Туреччина опинилася під масованої DDoS-атакою. DOS і DDoS-атаки: поняття, різновиди, методи виявлення і захисту Проти кого і з якою метою запускаються DDoS-атаки

ФСБ розслідує кримінальну справу за фактом масової хакерської атаки з використанням «Інтернету речей» (IoT) на об'єкти фінансового сектора восени 2016 року, об'єктами якої стали Сбербанк, «Росбанк», «Альфа-Банк», «Банк Москви», Московська біржа та інші .

Як пише «Коммерсант», про це розповів, виступаючи в Держдумі на поданні пакету урядових законопроектів про безпеку критичної інформаційної інфраструктури (КВІ) РФ замдиректора ФСБ Дмитро Шальков.

У 2016 році було зафіксовано близько 70 мільйонів DDoS-атак на російські офіційні інформаційні ресурси, що в три рази більше, ніж роком раніше. Однак листопадові хакерські атаки відрізняються від більшості з них, зазначив Шальков.

За його словами, в період з 8 по 14 листопада було скоєно DDoS-атаки середньої потужності на вісім організацій. У них брали участь так звані бот-мережі (зламані і взяті під контроль хакерами комп'ютери з доступом в інтернет), які брали підключені до мережі IoT-пристрої, а зокрема веб-камери. Заступник директора ФСБ зазначив схожість скоординованої атаки на російські структури з шестигодинний жовтневої атакою в США, спрямованої проти сервісів інтернет-провайдера Dyn, в результаті якої цілий ряд великих американських ресурсів (Twitter, CNN, Spotify, The New York Times і Reddit) протягом тривалого часу були недоступні.

При цьому атаки не супроводжувалися розкраданням грошових коштів, і атаковані банки не зафіксували порушення роботи сервісів. Після листопадових атак подібні інциденти не повторювалися, повідомили в ЦБ РФ.

«Коммерсант» зазначає, що DDoS-атаки самі по собі не орієнтовані на розкрадання фінансів, їх використовують, як правило, для блокування сайтів і банківських онлайн-сервісів. Заступник глави департаменту аудиту захищеності Digital Security Гліб Черба пояснив, що «пристрої та сервери, контрольовані зловмисниками, об'єднуються в бот-мережі, готові генерувати мережевий трафік, який отримує фатальні для атакується системи масштаби». Однак, масовані DDoS-атаки можуть принести банкам серйозні збитки. Наприклад, недоступність сервісів здатна викликати паніку серед вкладників, які почнуть масово вилучати вклади. Крім того, масовані DDoS-атаки часто використовуються для маскування інших дій. Зокрема, поки експерти з безпеки усувають уразливість, зловмисники можуть проникнути в банківську інфраструктуру.

За даними видання, збудження ФСБ кримінальної справи за фактом хакерських атак в листопаді 2016 року означає, що підозрювані вже наслідком визначені. Подібними справами слідство займається мінімум півроку, але в реальності термін розтягується на два-три роки, відзначає джерело видання.

Нестабільна економічна ситуація останніх двох років привела до істотного підвищення рівня конкурентної боротьби на ринку, внаслідок чого збільшилася популярність DDoS-атак - ефективного методу нанесення економічних збитків.

З 2016 року кількість комерційних замовлень на організацію DDoS-атак зросла в кілька разів. Масовані DDoS-атаки перейшли з області точкових політичних впливів, як було, наприклад, в 2014 р, в масовий бізнес-сегмент. Головне завдання зловмисників - якомога швидше і з мінімальними витратами зробити ресурс недоступним, щоб отримати за це гроші від конкурентів, забезпечити собі умови для вимагання та ін. DDoS-атаки використовуються дедалі активніше, що стимулює пошук все більш масштабних засобів захисту бізнесу.

При цьому число атак продовжує зростати, навіть незважаючи на помітні успіхи в боротьбі з DDoS. Згідно з даними Qrator Labs, в 2015 р кількість DDoS-атак збільшилася на 100%. Воно й не дивно, адже їх вартість знизилася приблизно до 5 дол. На годину, а інструменти їх реалізації вийшли на масовий чорний ринок. Зазначимо кілька основних тенденцій розподілених атак, націлених на відмову в обслуговуванні, які прогнозуються на найближчі кілька років.

Атаки UDP Amplification

До атак, спрямованих на вичерпання канальної ємності, відносяться UDP Amplification. Такі інциденти були найбільш поширеними в 2014 р і стали яскравим трендом 2015 г. Однак їх число вже досягло свого піку і поступово йде на спад - ресурс для проведення подібних атак не тільки є кінцевим, а й різко зменшується.

Під ампліфікатором мається на увазі публічний UDP-сервіс, який працює без аутентифікації, який на невеликій за обсягом запит може посилати в рази більший відповідь. Атакуючий, відправляючи такі запити, замінює свій IP-адресу на IP-адресу жертви. В результаті зворотний трафік, набагато перевищує пропускну здатність каналу атакуючого, перенаправляється на веб-ресурс жертви. Для мимовільного участі в атаках використовуються DNS-, NTP-, SSDP- і інші сервери.

Атаки на веб-додатки на рівні L7

У зв'язку зі скороченням числа ампліфікаторов на передову знову виходить організація атак на веб-додатки на рівні L7 з використанням класичних ботнетів. Як відомо, ботнет здатний виконувати мережеві атаки по віддаленим командам, причому власники заражених комп'ютерів можуть про це і не підозрювати. В результаті перевантаження сервісу «сміттєвими» запитами звернення легітимних користувачів взагалі залишаються без відповіді або на відповіді потрібно невиправдано велика кількість часу.

Сьогодні ботнети стають більш інтелектуальними. При організації відповідних атак підтримується технологія Full-browser stack, тобто повна емуляція призначеного для користувача комп'ютера, браузера, відпрацювання java script. Подібні техніки дозволяють прекрасно замаскувати атаки L7. Вручну відрізнити бот від користувача практично неможливо. Для цього потрібні системи, які застосовують технологію machine learning, завдяки якій рівень протидія атакам підвищується, механізми удосконалюються, а точність відпрацювання зростає.

проблеми BGP

З 2016 року з'явилася нова тенденція - атаки на інфраструктуру мережі, в тому числі засновані на використанні вразливостей протоколу BGP. Проблеми протоколу маршрутизації BGP, на якому базується весь Інтернет, відомі вже кілька років, але в останні роки вони все частіше призводять до серйозних негативних наслідків.

Мережеві аномалії, пов'язані з маршрутизацією на междоменной мережевому рівні, здатні вплинути на велику кількість хостів, мереж і навіть на глобальну зв'язність і доступність Інтернету. Найбільш типовим видом проблем є Route Leaks - «витік» маршруту, яка виникає в результаті його анонсування в неправильному напрямку. Поки уразливості BGP рідко використовуються навмисне: вартість організації такої атаки досить висока, і інциденти в основному виникають через банальні помилок в мережевих налаштуваннях.

Однак в останні роки значно зросли масштаби організованих злочинних угруповань в Інтернеті, тому, за прогнозом Qrator Labs, атаки, пов'язані з проблемами BGP, стануть популярні вже в доступному для огляду майбутньому. Яскравим прикладом є «викрадення» IP-адрес (hijacking) відомої кібергруппой Hacking Team, здійснений за державним замовленням: італійської поліції необхідно було взяти під контроль кілька комп'ютерів, щодо власників яких робилися слідчі дії.

інцидентиTCP

У мережевого стека системи TCP / IP є ряд проблем, які вже в поточному році виявляться особливо гостро. Для того щоб підтримувати активне зростання швидкостей, інфраструктуру Інтернету необхідно постійно оновлювати. Швидкості фізичного підключення до Інтернет зростають кожні кілька років. На початку 2000-х рр. стандартом став 1 Гбіт / с, сьогодні найпопулярніший фізичний інтерфейс - 10Гбіт / с. Однак вже почалося масове впровадження нового стандарту фізичного стику, 100 Гбіт / с, що породжує проблеми з застарілим протоколом TCP / IP, що не розрахованим на такі високі швидкості.

Наприклад, стає можливим за лічені хвилини підібрати TCP Sequence number - унікальний чисельний ідентифікатор, який дозволяє (вірніше, дозволяв) партнерам по TCP / IP-з'єднанню проводити взаємну аутентифікацію в момент встановлення з'єднання і обмінюватися даними, зберігаючи їх порядок і цілісність. На швидкостях 100 Гбіт / с рядок в лог-файлах TCP-сервера про відкрите з'єднанні і / або пересланих по ньому даних вже не гарантує того, що зафіксований IP-адреса реально встановлював з'єднання і передавав ці дані. Відповідно, відкривається можливість для організації атак нового класу, і може істотно знизитися ефективність роботи firewalls.

Уразливості TCP / IP привертають до себе увагу багатьох дослідників. Вони вважають, що вже в 2016 році ми почуємо про «гучних» атаках, пов'язаних з експлуатацією цих «дірок».

недалеке майбутнє

Сьогодні розвиток технологій і загроз відбувається не за «класичною» спіралі, оскільки система не є замкнутим - на неї впливає безліч зовнішніх чинників. В результаті виходить спіраль з розширюється амплітудою - вона піднімається вгору, складність атак зростає, і охоплення технологій істотно розширюється. Відзначимо кілька факторів, що серйозний вплив на розвиток системи.

Основний з них, безумовно, - міграція на новий транспортний протокол IPv6. У наприкінці 2015 р протокол IPv4 був визнаний застарілим, і на перший план виходить IPv6, що приносить з собою нові виклики: тепер кожен пристрій має IP-адресу, і всі вони можуть безпосередньо з'єднуватися між собою. Так, з'являються і нові рекомендації про те, як повинні працювати кінцеві пристрої, але як з усім цим буде справлятися індустрія, особливо оператори зв'язку, сегмент mass product і китайські вендори, - питання відкрите. IPv6 радикально змінює правила гри.

Ще один виклик - істотне зростання мобільних мереж, їх швидкостей і «витривалості». Якщо раніше мобільний ботнет створював проблеми, перш за все, самому оператору зв'язку, то зараз, коли зв'язок 4G стає швидше проводового Інтернету, мобільні мережі з величезною кількістю пристроїв, в тому числі китайського виробництва, перетворюються в відмінну платформу для проведення DDoS- і хакерських атак. І проблеми виникають не тільки у оператора зв'язку, а й у інших учасників ринку.

Серйозну загрозу представляє собою зароджується світ «Інтернету речей». З'являються нові вектори атак, оскільки величезна кількість пристроїв і використання бездротової технології зв'язку відкривають для хакерів воістину безмежні перспективи. Всі пристрої, підключені до Інтернету, потенційно можуть стати частиною інфраструктури зловмисників і бути задіяними в DDoS-атаках.

На жаль, виробники всіляких підключаються до Мережі побутових приладів (чайників, телевізорів, автомобілів, мультіварок, ваг, «розумних» розеток і т.п.) далеко не завжди забезпечують належний рівень їх захисту. Найчастіше в таких пристроях використовуються старі версії популярних операційних систем, і вендори не дбають про їх регулярне оновлення - заміні на версії, в яких усунуті уразливості. І якщо пристрій популярно і широко застосовується, то хакери не упустять можливості поексплуатувати його уразливості.

Передвісники проблеми IoT з'явилися вже в 2015 р За попередніми даними, остання атака на Blizzard Entertainment була здійснена за допомогою пристроїв класу IoT. Був зафіксований шкідливий код, що функціонує на сучасних чайниках і лампочках. Завдання хакерів спрощують і чіпсети. Не так давно був випущений недорогий чіпсет, призначений для різного устаткування, яке може «спілкуватися» з Інтернетом. Таким чином, зловмисникам не потрібно зламувати 100 тис. Кастомізованих прошивок - досить «зламати» один чіпсет і отримати доступ до всіх пристроїв, які на ньому базуються.

Прогнозується, що дуже скоро все смартфони, засновані на старих версіях Android, будуть складатися мінімум в одному ботнет. За ними підуть всі «розумні» розетки, холодильники та інша побутова техніка. Вже через пару років нас чекають ботнети з чайників, радионянь і мультіварок. «Інтернет речей» принесе нам не лише зручність і додаткові можливості, але і масу проблем. Коли речей в IoT буде безліч і кожна шпилька зможе посилати по 10 байт, виникнуть нові виклики безпеки, які доведеться вирішувати. І до цього слід готуватися вже сьогодні.

Брайан Кребс колись працював в The Washington Post, вів для них розслідування про інтернет безпеки. Пізніше журналіст звільнився, щоб відкрити власний блог. Спеціалізацію екс-журналіст не поміняв, за що у вересні і поплатився, коли розкрив аферу двох ізраїльських підлітків ..

Отже, Брайан Кребс займався своєю звичною справою, розслідував інтернет -злочини. До цього часу в його списку розкритих справ значилося справу про вірус Stuxnet, який збирав дані з домашніх комп'ютерів і промислових підприємств. Кребс був першим, хто публічно розповів про вірус ще в 2010 році. Трьома роками пізніше Брайан розкрив людини, який продавав інформацію про карти покупців магазинів Target. Помста інтернет - злочинців була специфічною, до нього додому викликали поліцейських.

Так що думається, Брайан розумів, на що здатні хакери, правда можливі масштаби навряд чи міг уявити, коли у вересні опублікував пост про ізраїльських підлітків, що займалися DDoS-атаками. В цей же день хакерів заарештували, але пізніше відпустили під заставу. Збіг чи ні, але з цього моменту сайту Брайана довелося відбиватися від серйозної DDoS-атаки, з якою не впоралася одна з провідних компаній по забезпеченню інтернет-безпеки. Akamai чотири роки безоплатно забезпечувала захист блогу Кребса від DDoS-атак. У своїй спеціалізованих видань у галузі інтернет - безпеки розповів про сервіс vDOS, який за офіційною версією тестував навантаження на сайти, але насправді порушував їх роботу. За приблизною оцінкою, творцям сервісу вдалося привласнити близько 600 тисяч доларів.

Помічникам Кребса вдалося завантажити бази даних, за допомогою яких були встановлені справжні адреси серверів в Болгарії, з яких велися DDoS-атаки. Як ви розумієте, хакери зацікавлені в приховуванні своїх реальних IP-адрес. Проаналізувавши дані, Брайану вдалося встановити імена і навіть номери телефонів жителів Ізраїлю, які могли бути власниками сервісу.

Пізніше стало відомо, що день публікації поста були заарештовані двоє підлітків, але які незабаром вийшли на свободу. А вже 10 вересня у сайту Брайана Кребса почалися проблеми. На максимумі потужність атаки досягала 140 гігабіт на секунду. Ображені хакери не забули залишити Кребсу повідомлення «ідісдохнімудак» ( «godiefaggot»). На якийсь час блог навіть припинив роботу, але фахівці Akamai зуміли його відновити. Але атаки на цьому не припинилися. А до 20 вересня її потужність становила вже 665 гігабіт на секунду. Akamai змушена була відмовитися від супроводу блогу Кребса, щоб забезпечити безпеку платним передплатникам. Потужність атаки, якій піддався сайт, була в два рази більше, ніж фахівцям Akamai доводилося досі спостерігати. Деякі журналісти і зовсім зійшлися на думці, що це найбільша атака за всю історію інтернету. Наприклад, на початку 2016 року сайт «Бі-Бі-Сі» зазнав атаки потужністю 602 гигабита в секунду. Кількома місяцями пізніше рекорд був побитий.

Мабуть, пост Кребса зачепив зловмисників за живе. Атака велася за допомогою IP-камер, роутерів та інших «інтернет речей», на які користувачі встановлюють стандартні паролі. Хакери навіть не намагалися замести сліди і засвітили адреси більшості пристроїв, які ще могли бути використані для інших фінансових атак. Знову таки, не стали мудрувати з словоформами. Нік одного з творців vDOC - AppleJ4ck можна було прочитати в деяких POST-запитах атаки, що містять рядок «freeapplej4ck». Тільки втручання Google дозволило відновити сайт з розслідуваннями Кребса. Project Shield інтернет-гіганта якраз захищає сайти незалежних журналістів і ЗМІ від кібер - атак.

А в першій публікації, після відновлення сайту, Брайан Кребс міркував про цензуру в інтернеті. Ефективні інструменти є не тільки у держави, а й у злочинців. DDoS атаки можуть бути серйозною перешкодою для незалежних розслідувань в умовах сучасної ринкової економіки. Не у всіх медіа є бюджет в 200 тисяч доларів для кібер захисту.

Помилка в тексті? Виділіть її мишою! І натисніть: Ctrl + Enter

Андрій Головачов нагадав на своїй сторінці в «Фейсбук», що політична кар'єра всіх українських президентів закінчувалася катастрофою. За словами політичного експерта, Леонід Кучма отримав під

Близько півроку тому громадськість дізналася про те, що у відомої російської актриси Анастасії Заворотнюк була виявлена ​​злоякісна пухлина головного мозку. Станом на сьогоднішній день немає

Обговорюючи стурбованість президента Володимира Зеленського під час візиту до Ватикану, деякі оглядачі відзначили, що це перший подібний випадок в історії, коли в Собор Святого Петра чиновники

DoS і DDoS-атака - це агресивне зовнішнє вплив на обчислювальні ресурси сервера або робочої станції, що проводиться з метою доведення останніх до відмови. Під відмовою ми розуміємо не фізичний вихід машини з ладу, а недоступність її ресурсів для сумлінних користувачів - відмова системи в їх обслуговуванні ( D enial o f S ervice, з чого і складається абревіатура DoS).

Якщо така атака проводиться з одиночного комп'ютера, вона класифікується як DoS (ДОС), якщо з декількох - DDoS (дідосілі або ДДоС), що означає «D istributed D enial o f S ervice »- розподілене доведення до відмови в обслуговуванні. Далі поговоримо, для чого зловмисники проводять подібні дії, якими вони бувають, якої шкоди завдають атакується і як останнім захищати свої ресурси.

Хто може постраждати від DoS і DDoS атак

Атакам піддаються корпоративні сервера підприємств і веб-сайти, значно рідше - особисті комп'ютери фізичних осіб. Мета подібних акцій, як правило, одна - нанести атакується економічних збитків і залишитися при цьому в тіні. В окремих випадках DoS і DDoS атаки є одним з етапів злому сервера і спрямовані на крадіжку або знищення інформації. По суті, жертвою зловмисників може стати підприємство або сайт, що належать кому завгодно.

Схема, що ілюструє суть DDoS-атаки:

DoS і DDoS-атаки найчастіше проводять з подачі нечесних конкурентів. Так, «завалив» веб-сайт інтернет-магазину, який пропонує аналогічний товар, можна на якийсь час стати «монополістом» і забрати його клієнтів собі. "Поклавши" корпоративний сервер, можна розладнати роботу конкуруючої компанії і тим самим знизити її позиції на ринку.

Масштабні атаки, здатні завдати істотної шкоди, виконуються, як правило, професійними кіберзлочинцями за чималі гроші. Але не завжди. Атакувати ваші ресурси можуть і доморощені хакери-любителі - з інтересу, і месники з числа звільнених співробітників, і просто ті, хто не поділяє ваші погляди на життя.

Іноді вплив проводиться з метою вимагання, зловмисник при цьому відкрито вимагає від власника ресурсу гроші за припинення атаки.

На сервера державних компаній і відомих організацій нерідко нападають анонімні групи висококваліфікованих хакерів з метою впливу на посадових осіб або виклику суспільний резонанс.

Як проводяться атаки

Принцип дії DoS і DDoS-атак полягає у відправці на сервер великого потоку інформації, який по максимуму (наскільки дозволяють можливості хакера) завантажує обчислювальні ресурси процесора, оперативної пам'яті, забиває канали зв'язку або заповнює дисковий простір. Атакована машина не справляється з обробкою даних, що надходять і перестає відгукуватися на запити користувачів.

Так виглядає нормальна робота сервера, візуалізована в програмі Logstalgia:

Ефективність одиночних DOS-атак не надто висока. Крім того, напад з особистого комп'ютера піддає зловмисника ризику бути впізнаним і спійманим. Набагато більший профіт дають розподілені атаки (DDoS), що проводяться з так званих зомбі-мереж або ботнетів.

Так відображає діяльність ботнету сайт Norse-corp.com:

Зомбі-мережу (ботнет) - це група комп'ютерів, які не мають фізичної зв'язку між собою. Їх об'єднує те, що всі вони знаходяться під контролем зловмисника. Контроль здійснюється за допомогою троянської програми, яка до пори до часу може ніяк себе не проявляти. При проведенні атаки хакер дає заражених комп'ютерів команду посилати запити на сайт або сервер жертви. І той, не витримавши натиску, перестає відповідати.

Так Logstalgia показує DDoS-атаку:

Увійти до складу ботнету може абсолютно будь-який комп'ютер. І навіть смартфон. Досить підхопити троянця і вчасно його не виявити. До речі, найбільший ботнет налічував майже 2 млн машин по всьому світу, а їх власники поняття не мали, чим їм доводиться займатися.

Способи нападу і захисту

Перед початком атаки хакер з'ясовує, як провести її з максимальним ефектом. Якщо атакується вузол має декілька вразливостей, вплив може бути проведено за різними напрямками, що значно ускладнить протидію. Тому кожному адміністратору сервера важливо вивчити всі його «вузькі місця» і по можливості їх зміцнити.

Флуд

Флуд, кажучи простою мовою, це інформація, що не несе смислового навантаження. В контексті DoS / DDoS-атак флуд являє собою лавину порожніх, безглуздих запитів того чи іншого рівня, які приймає вузол змушений обробляти.

Основна мета використання флуду - повністю забити канали зв'язку, наситити смугу пропускання до максимуму.

Види флуду:

  • MAC-флуд - вплив на мережеві комунікатори (блокування портів потоками даних).
  • ICMP-флуд - завалювання жертви службовими луна-запитами за допомогою зомбі-мережі або розсилка запитів «від імені» вузла, що атакується, щоб всі члени ботнету одночасно відправили йому луна-відповідь (атака Smurf). Окремий випадок ICMP-флуда - ping-флуд (відправка на сервер запитів ping).
  • SYN-флуд - відправка жертві численних SYN-запитів, переповняючи чергу TCP-підключень шляхом створюючи великої кількості напіввідкритих (очікують підтвердження клієнта) з'єднань.
  • UDP-флуд - працює за схемою Smurf-атак, де замість ICMP-пакетів пересилаються датаграми UDP.
  • HTTP-флуд - завалювання сервера численними HTTP-повідомленнями. Більш витончений варіант - HTTPS-флуд, де пересилаються дані попередньо шифруються, і перш ніж атакується вузол їх обробить, йому належить їх розшифрувати.


Як захиститися від флуду

  • Налаштувати на мережевих комутаторах перевірку на валідність і фільтрацію MAC-адрес.
  • Обмежити або заборонити обробку ехо-запитів ICMP.
  • Блокувати пакети, що приходять з певного адреси або домену, який дає привід підозрювати його в неблагонадійності.
  • Встановити ліміт на кількість напіввідкритих з'єднань з одним адресою, скоротити час їх утримання, подовжити чергу TCP-підключень.
  • Відключити сервіси UDP від ​​прийому трафіку ззовні або обмежити кількість UDP-з'єднань.
  • Використовувати CAPTCHA, затримки та інші прийоми захисту від ботів.
  • Збільшити максимальну кількість HTTP-підключень, налаштувати кешування запитів за допомогою nginx.
  • Розширити пропускну спроможність мережевого каналу.
  • По можливості виділити окремий сервер для обробки криптографії (якщо використовується).
  • Створити резервний канал для адміністративного доступу до сервера в аварійних ситуаціях.

Перевантаження апаратних ресурсів

Існують різновиди флуду, які впливають не на канал зв'язку, а на апаратні ресурси атакується комп'ютера, завантажуючи їх по повній і викликаючи зависання або аварійне завершення роботи. наприклад:

  • Створення скрипта, який розмістить на форумі або сайті, де у користувачів є можливість залишати коментарі, величезна кількість безглуздою текстової інформації, поки не заповниться все дисковий простір.
  • Те ж саме, тільки заповнювати накопичувач будуть логи сервера.
  • Завантаження сайту, де виконується якесь перетворення введених даних, безперервної обробкою цих даних (відправка так званих «важких» пакетів).
  • Завантаження процесора або пам'яті виконанням коду через інтерфейс CGI (підтримка CGI дозволяє запускати на сервері будь-яку зовнішню програму).
  • Виклик спрацьовування системи безпеки, що робить сервер недоступним ззовні і т. Д.


Як захиститися від перевантаження апаратних ресурсів

  • Збільшити продуктивність обладнання і обсяг дискового простору. При роботі сервера в штатному режимі вільними повинні залишатися не менше 25-30% ресурсів.
  • Задіяти системи аналізу та фільтрації трафіку до передачі його на сервер.
  • Лімітувати використання апаратних ресурсів компонентами системи (встановити квоти).
  • Зберігати лог-файли сервера на окремому накопичувачі.
  • Розосередити ресурси по декількох незалежних один від одного серверів. Так, щоб при відмові однієї частини інші зберігали працездатність.

Уразливості в операційних системах, програмному забезпеченні, прошивках пристроїв

Варіантів проведення такого роду атак незмірно більше, ніж з використанням флуду. Їх реалізація залежить від кваліфікації і досвіду зловмисника, його вміння знаходити помилки в програмному коді і використовувати їх на благо собі і на шкоду власнику ресурсу.

Після того як хакер виявить уразливість (помилку в програмному забезпеченні, використовуючи яку можна порушити роботу системи), йому залишиться лише створити і запустити експлойт - програму, яка експлуатує цю уразливість.

Експлуатація вразливостей не завжди має на меті викликати тільки відмова в обслуговуванні. Якщо хакеру пощастить, він зможе отримати контроль над ресурсом та розпорядитися цим «подарунком долі» на свій розсуд. Наприклад, використовувати для поширення шкідливих програм, вкрасти і знищити інформацію і т. Д.

Методи протидії експлуатації вразливостей в софті

  • Своєчасно встановлювати оновлення, що закривають уразливості операційних систем і додатків.
  • Ізолювати від стороннього доступу все служби, призначені для вирішення адміністративних завдань.
  • Використовувати кошти постійного моніторингу роботи ОС сервера і програм (поведінковий аналіз і т. П.).
  • Відмовитися від потенційно уразливих програм (безкоштовних, самописних, рідко оновлюваних) на користь перевірених і добре захищених.
  • Використовувати готові засоби захисту систем від DoS і DDoS-атак, які існують як у вигляді апаратних, так і програмних комплексів.

Як визначити, що ресурс піддався нападу хакера

Якщо зловмисникові вдалося досягти мети, не помітити атаку неможливо, але в окремих випадках адміністратор не може точно визначити, коли вона почалася. Тобто від початку нападу до помітних симптомів іноді проходить декілька годин. Однак під час прихованого впливу (поки сервер не «ліг») теж присутні певні ознаки. наприклад:

  • Неприродне поведінку серверних додатків або операційної системи (зависання, завершення роботи з помилками і т. Д.).
  • Навантаження на процесор, оперативну пам'ять і накопичувач в порівнянні з вихідним рівнем різко зростає.
  • Обсяг трафіку на один або кілька портів збільшується в рази.
  • Спостерігаються багаторазові звернення клієнтів до одних і тих же ресурсів (відкриття однієї сторінки сайту, скачування одного і того ж файлу).
  • Аналіз логів сервера, брандмауера і мережевих пристроїв показує велику кількість одноманітних запитів з різних адрес, часто спрямованих на конкретний порт або сервіс. Особливо якщо сайт орієнтований на вузьку аудиторію (наприклад, російськомовну), а запити йдуть з усього світу. Якісний аналіз трафіку при цьому показує, що звернення не мають практичного сенсу для клієнтів.

Все перераховане не є стовідсотковою ознакою атаки, але це завжди привід звернути на проблему увагу і вжити належних заходів захисту.

2021 wisemotors.ru. Як це працює. Залізо. Майнінг. Криптовалюта.