Ддос атака что это: типы и методы защиты 🛡

«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.

При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.

/ Flickr / Kenny Louie / CC

DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.

Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.

TCP SYN Flood

Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.

Fragmented UDP Flood

Атака с использованием ботнета

В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.

При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.

Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).

В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.

Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.

Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.

Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.

Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.

Smurf-атаки

Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.

DNS-атака с усилением

Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.

TCP Reset

Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.

Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.

Дополнительное чтение по теме DPI (Deep packet inspection):

понятие, разновидности, методы выявления и защиты

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (Denial of Service, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «Distributed Denial of Service» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

• MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
• ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
• SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
• UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
• HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.

Как защититься от флуда

• Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
• Ограничить или запретить обработку эхо-запросов ICMP.
• Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
• Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
• Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
• Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
• Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
• Расширить пропускную способность сетевого канала.
• По возможности выделить отдельный сервер для обработки криптографии (если используется).
• Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

• Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
• То же самое, только заполнять накопитель будут логи сервера.
• Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
• Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
• Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.

Как защититься от перегрузки аппаратных ресурсов

• Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
• Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
• Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
• Хранить лог-файлы сервера на отдельном накопителе.
• Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

• Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
• Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
• Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
• Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
• Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

• Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
• Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
• Объем трафика на один или несколько портов увеличивается в разы.
• Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
• Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.

Что такое DDoS-атака? | The Ultimate Guide

Это детский душ Дженни, и все девушки обсуждают его, рассказывая о том, как они взволнованы этой пачкой любви и радости, чтобы войти в мир, волнующий и кричащий. Внезапно Бекки, которая очень мила, выхватывает гигантский ромовый пирог, чтобы удивить особую будущую маму. Но тогда, она задается вопросом, безопасно ли для беременной женщины съесть ромовый пирог? Они вынимают свои телефоны для проверки, но когда они заходят на Cake-babies.com, они обнаруживают, что не могут получить доступ к сайту.Любой другой сайт работает нормально, но по какой-то причине этот просто не загружается.

Вероятность того, что ваш веб-сайт «ребенок с пирогом» в настоящее время подвергается ужасной атаке «Отказ в обслуживании», почти невелика.

Что такое DoS-атака?

DoS, или атака типа «отказ в обслуживании», представляет собой сосредоточенную попытку хакеров ограничить или полностью исключить веб-трафик для определенного веб-сайта, сервера или онлайн-службы.

Существует множество способов выполнить DoS-атаку, наиболее известной и распространенной из которых является DDoS-атака или «распределенный отказ в обслуживании», которая включает в себя принуждение или обмана нескольких компьютеров для загрузки сервера с данными на сервер. Точка, где это не может быть использовано.Мы поговорим об этом чуть подробнее ниже.

DDoS-атака наводняет сервер настолько большим количеством запросов, что он перестает отвечать на запросы, что фактически останавливает его службу

Что касается того, почему люди проводят DoS-атаки, то это немного сложнее. Наиболее распространенной, но далеко не единственной причиной является кибер-активизм, способ протестовать против веб-сайта или организации, с которыми злоумышленники каким-то глубоким образом не согласны и хотят либо замолчать, либо запугать. Но они также могут быть шутками, угрозой выкупа, попыткой вымогательства или отвлечением для более серьезного, разрушительного взлома, происходящего на заднем плане.А иногда они просто используются, чтобы проверить, насколько способен сервер.

DoS-атак было проведено против всех — от финансовых учреждений до электронных торговых точек, видеоигр, религиозных групп и даже правительств. Они — главный продукт мира онлайн-хакеров, и они, вероятно, не уйдут в ближайшее время. Но есть большая вероятность, что это не ваша проблема.

Тем не менее, вы пришли сюда, чтобы учиться, и учиться вы будете.

Как работает атака распределенного отказа в обслуживании?

DDoS-атака — это простая предпосылка: наполняйте сервер бессмысленным трафиком, чтобы веб-сайты, на которых он размещен, работали медленно, если вообще работали.Но поскольку в Интернете нет ничего простого, объяснение того, как это работает, потребует немного больше технических деталей.

Давайте попробуем сделать это как можно проще, не так ли?

Некоторые основы интернета

В 2006 году американский сенатор Тед Стивенс стал мемом для описания интернета как «серии трубок», и, хотя во многих отношениях он имеет недостатки, он может быть лучшей аналогией для ситуации, поэтому давайте поработаем с этим. По сути: каждый раз, когда вы пытаетесь что-то сделать онлайн, отправляете ли вы сообщение, заходите на веб-сайт или играете в игру, ваш компьютер должен связываться с другим компьютером и / или сервером.Для этого им нужен носитель, такой как эфир для WiFi, или медный провод / оптоволокно, если вы подключены с помощью кабелей локальной сети. Скорость, с которой несущая может передавать данные, называется шириной полосы пропускания: поэтому для этой аналогии полоса пропускания представляет собой размер трубки, при этом большая трубка позволяет быстрее передавать больше информации.

Дело в том, что вам всегда нужно делиться пропускной способностью / трубкой с другими компьютерами, которые также пытаются отправлять сообщения, заходить на веб-сайты или играть в игры. Это означает, что пробирки могут заполняться довольно быстро, и если вы попытаетесь использовать уже заполненную пробирку, вы можете испачкать все данные, которые уже есть.

Плохая, но полезная аналогия: представьте, что Интернет — это серия трубок, а DDoS-атака — засорение этих трубок.

Есть несколько способов, как мы пытаемся предотвратить это: первым является Collision Domain, который сводит сети в несколько соединенных между собой трубок. Подумайте о воде: если вы подключите несколько трубок и наполните одну водой, то эта вода будет равномерно распределяться по всем трубкам. Данные действуют одинаково, распространяясь по всей трубчатой ​​сети в поисках определенного компьютера или сервера, и это занимает как пространство, так и время.Таким образом, чтобы этого не произошло, мы используем отдельные, но связанные «домены», которые действуют как своего рода контрольная точка: если ваши данные пытаются пройти, и контрольная точка понимает, что пытается связаться с компьютером или сервером, находящимся не в своем домене, она отклоняет попытка ввода ваших данных таким образом, чтобы защищенные ими трубы оставались незагрязненными вашими данными. Интернет в основном таков на международном уровне.

Но второе — и более важное для наших целей — это то, что называется экспоненциальным откатом.Если ваш компьютер пытается использовать трубку и замечает, что она заполнена, он подождет секунду, прежде чем попытаться использовать ее снова, надеясь, что к тому времени она станет чистой и сможет заполнить трубку своими собственными данными. Но если он все еще заполнен, ваш компьютер будет ждать две секунды (и случайный интервал в миллисекунды), прежде чем пытаться снова. Тогда четыре. Тогда восемь. Тогда шестнадцать. И число будет расти до тех пор, пока оно не пройдет или не прекратит попытки вообще.

Какое это имеет отношение к DDoS-атакам?

DDoS-атака — распределенный отказ в обслуживании — это попытка заполнить канал / полосу пропускания сервера таким большим количеством данных, что экспоненциальный откат либо замедлит работу сайтов, либо сделает их совершенно невозможными.Для этого вам нужно много данных, которые в случае DDoS-атак представляют собой компьютеры, пытающиеся получить доступ к серверу. Это означает, что для организации такой атаки вам нужно либо очень хорошо скоординированных друзей по всему миру, либо, что более реалистично, вам понадобится ботнет.

Если вам лень кликать по ссылке выше, это в основном гигантская коллекция компьютеров и интернет-устройств, подключенных через вредоносное ПО, которые хакер может дать команду, чтобы сделать все виды испорченных вещей, от отправки волны спама для взлома паролей.Они также могут, конечно, организовать DDoS-атаки.

Еще один слой сложности

Не думайте, что ботнет будет атаковать саму цель: это могут сделать только ленивые и неэффективные хакеры. Лучшие DDoS-атаки добавляют дополнительный уровень сложности (и защиту для себя), вместо этого обманывая невинных компьютеров, выполняя за них грязную работу. Эти невинные компьютеры, называемые «отражателями», посылают вводящий в заблуждение запрос на соединение с одного из компьютеров-зомби в ботнете.Этот запрос на контакт заставит рефлектора думать, что целевой сервер пытается связаться с ними, и, как хорошая машина, он попытается связаться с ним, чтобы увидеть, что ему нужно. Вы получаете достаточно невинных «отражателей», которые одновременно пропингуют сервер, и вы получаете DDoS-атаку.

Даже невинные и незараженные компьютеры могут быть вовлечены в DDoS-атаку, став «отражателями»

Этот метод предпочтителен по двум причинам.Во-первых, отправлять эти запросы на подключение гораздо проще, чем пытаться вручную сделать DDoS-сайт самостоятельно, и это позволяет более мелким ботнетам обманывать гораздо большие сети, выполняя за них тяжелую работу. Во-вторых, он обеспечивает дополнительный защитный слой между хакером и атакующим сервером, что усложняет его отслеживание.

Хакеры могут также использовать определенные разделы веб-сайта или службы, используя эту технику, называемую DDoS-атакой на уровне приложений, чтобы отключить определенные функции (например, функцию поиска).Как правило, это делается для того, чтобы отвлечь ИТ-специалистов, когда происходит гораздо более важный или разрушительный взлом.

проблема IoT

В прошлом DDoS-атаки было немного сложнее, потому что требовалось много подключенных к Интернету устройств, а на самом деле было только одно: компьютеры. Но в последние годы все больше и больше устройств могут подключаться в сети, что позволяет ботнетам расти и расти. Чем больше объектов, тем больше пингов и возможностей заполнить «трубу» данными, поэтому в некоторых отношениях мы живем в золотой век возможностей DDoS.Как весело!

Более подробную информацию вы можете найти в нашем полном руководстве по ботнетам.

Другие виды DoS-атак

Конечно, есть и другие способы, чем старые DDoS, заблокировать сайт! Существует множество других популярных инструментов и методов для выполнения атаки типа «отказ в обслуживании», даже если DDoS является наиболее распространенным.

• Атаки Teardrop отправляют искаженные IP-адреса и негабаритные пакеты данных на целевой компьютер, чтобы либо замедлить их, либо потерпеть крах, когда они попытаются разобраться в этом.
• Банановые атаки создают петлю обратной связи, заставляя все исходящие сообщения, которые цель отсылает обратно в цель, что вызывает больше сообщений и сводит все с ума.
• Атаки Smurf используют неправильно настроенные сетевые устройства для одновременной отправки массивных файлов на каждое подключенное устройство, взрыва сети.
• PDoS (или постоянного отказа в обслуживании) атаки включают в себя взлом устройств IoT и полную замену микропрограммного обеспечения чем-то поврежденным или неисправным.
• Nukes включает в себя отправку поврежденных сообщений об ошибках или оперативных информационных данных на цель, замедляя ее до полной остановки.
• Одноранговые атаки В хакеры взломали сеть цели и дали указание всем подключенным устройствам попытаться подключиться к одному веб-сайту или серверу одновременно.
• Пинг-флуд просто требует, чтобы вы отправляли огромное количество пингов с одного компьютера на другой — простая атака и распространенный инструмент для мошенничества в онлайн-играх.
• Атаки с ухудшением качества обслуживания заставляют бот-сети атаковать веб-сайт «волнами», поэтому веб-сайт не закрывается полностью, а просто замедляется часто и непредсказуемо.
• Атаки HTTP POST — это устаревший метод атаки, который включал отправку целевых данных, но передавал их так медленно, что другие данные должны «ждать», пока они не закончатся, прежде чем уйти.
• Атаки уровня 2 на отказ в обслуживании обманывают механизм защиты цели, блокируя сеть из Интернета и отключая все сети.
• Ping of Death — это злонамеренный искаженный пинг размером более 65 535 байт, который вызывает сбой некоторых систем при попытке их обработать.
• Атаки с усилением манипулирует общедоступным DNS для отправки DNS-трафика на неподготовленные сайты, как большая версия атаки отражателем.
• Slowloris (или RUDY) пытается установить как можно больше соединений с веб-сайтом или службой, чтобы ограничить доступность для законных пользователей.
• Акулы нацелены на Протокол комиссии по передаче с быстрыми всплесками активности для использования механизмов тайм-аута и замедления законного трафика.

И этот список продолжает расти, поскольку люди обнаруживают новые уязвимости и создают новые инструменты для устранения пробелов и нарушения трафика.

Кто подвергается DoS-атакам?

Если вы сидите в подземном бункере в ужасе от того, что «этот человек» попытается заставить вас сделать так, чтобы вы не узнали правду, вы можете пойти дальше и снять алюминиевую фольгу с головы.DoS-атаки никогда не осуществляются против отдельных лиц: все они выполняются против серверов, чтобы отключить определенные веб-сайты (и любые другие веб-сайты, которые могут случайно быть размещены на указанном сервере). Кроме того, в отличие от большинства других сетевых атак, нет никакой финансовой или практической выгоды от случайной атаки сайтов с помощью DoS: они всегда выполняются с определенной целью, так что если вы не размещаете спорные данные (или вы не спорную фигуру с блогом или веб-сайт или что-то), вам не нужно беспокоиться о том, чтобы быть засыпанным одним

DoS атака законна?

В теории нет. На практике … ну …

По сути, выполнение DoS-атаки на любую организацию или веб-сайт считается преступлением, хотя и не очень плохим. В большинстве случаев вам грозит около года за решеткой и огромный штраф, хотя если вы делаете что-то серьезное (например, в полицейском участке), то к ним могут быть добавлены другие обвинения. Были люди, которые утверждали, что это должна быть законная форма протеста, но, в общем, попадание в DoSing доставит вам неприятности в США и Великобритании.

Но на практике легальность DoS-атак находится в воздухе. А именно, правительства могли и использовали DoS-атаки в прошлом (см. Ниже) как форму кибервойны, и организации могут атаковать DoS-атаки для проверки мощности сервера и / или своей команды по кибербезопасности. Поэтому, хотя вы не должны делать DoS-атаки, просто знайте, что попадание в ловушку также доставит вам неприятности.

Известные примеры DoS Cases

В относительно короткой истории было много DoS-атак.Давайте посмотрим на несколько примеров, не так ли?

Проект Риволта — террор на рубеже веков

Когда часы пробили полночь и зазвонил 2000 год, люди в ужасе затаили дыхание, боясь ошибки 2000 года. В конечном счете ничего не произошло из-за этого в значительной степени необоснованного беспокойства, но в крыльях скрывался еще один интернет-катаклизм: проект Rivolta. 7 февраля того же года канадский мастер-хакер по имени Mafiaboy начал массированную DoS-атаку, которая уничтожила крупнейшие на тот момент сайты в сети: Yahoo !, Fifa.com, Amazon.com, Dell, Inc., E * TRADE, eBay, CNN и другие. Он сделал это, взломав каждую сеть и установив «проваленное» программное обеспечение, которое наводнило цели агрессивным трафиком — атака PDoS.

Это была огромная сделка: это была не только одна из первых DoS-атак, но она продолжалась гораздо дольше, чем ваша стандартная DoS-атака, ограничивая доступ к тому, что фактически было целым интернетом, в течение целой недели, прежде чем можно было удалить провалы.

Проект Rivolta был первой DoS-атакой

Была организована международная охота на людей, чтобы поймать преступника, и благодаря его большому рту (он много хвастался этим в Интернете), Мафиабой был пойман и обнаружен канадским старшеклассником по имени Майкл Кальс.Они приговорили его к 8 месяцам в следственном изоляторе с ограниченным доступом в Интернет.

DoS продлился всего неделю, но знаете, что 15-летний подросток может «сломать» интернет? Это оказало гораздо большее влияние, нанеся ущерб мировой экономике и заставив многих людей серьезно пересмотреть онлайн-безопасность.

В 2007 году Эстония атакует — первая кибервойна

В наши дни кибервойна — обычное явление, и правительства часто взламывают, шпионят и заражают друг друга, чтобы одержать верх над друзьями и врагами.Но в 2007 году этот темный мир был открыт для публики, когда десятки веб-сайтов, управляемых эстонскими, организациями и предприятиями, были закрыты из-за общенациональной кампании DoS — от пинг-потопов до DDoS-атак.

Банки, газеты и даже парламент — все подвергались нападениям, и их число сократилось на несколько недель, что вскоре вызвало беспорядки по всей и без того нестабильной стране. Люди не могли получить доступ к своим деньгам, государственные служащие едва могли общаться, а следить за новостями стало практически невозможно.К тому времени, когда ситуация могла быть сдержана и исправлена, ущерб уже был нанесен: 150 человек получили ранения и один погиб во время всех беспорядков.

Штурм Эстонии укрепил место DDoS в арсенале оружия кибервойны.

Как и в случае с большинством кибератак, отследить виновных оказалось сложно. Международные следователи возложили вину на Россию из-за того, что атаки осуществлялись с российских IP-адресов, онлайн-инструкции были на русском языке, и Москва не предложила помощи, когда Эстония попросила об этом, но пока единственным обвиняемым был один эстонец националист, который мог быть непосредственно связан с атаками.Он был оштрафован.

В результате этого нападения в Таллинне, Эстония, был основан Центр передового опыта совместной киберзащиты НАТО.

Проект Chanology — повстанцы с причиной

До 2008 года «Аноним» был просто группой онлайн-шутников, которые время от времени возились, но в основном были несущественными. После 2008 года они стали лицом глубокой сети, и о них можно будет говорить так, как будто они были неким бесформенным онлайн-божеством. И проект Chanology во многом виноват.

Онлайн-кампания против саентологической группы Project Chanology отмечает первый раз, когда DoS-атаки использовались в качестве формы протеста, когда группа возражала против почти всего, за что выступает организация. В то время как DoS-атаки на сайентологические сайты были основным методом атаки, они также пропускали документы, совершали розыгрыши на большие расстояния, чтобы раздражать и причинять неудобства церкви, и проводили живые протесты в своих культовых масках Гая Фокса. И это продолжалось более года.

Несмотря на то, что удары обменивались с обеих сторон, и Саентология, и Аноним остались, хотя и сильно изменились из опыта. Но самое большое наследие, оставленное Project Chanology, заключается в том, что он будет вдохновлять бесчисленные другие формы онлайн-протеста как внутри, так и за пределами группы: например, в 2010 году операция «Окупаемость», Anonymous провела DDoS-атаки против Американской ассоциации кинематографических движений, Международная федерация фонографической индустрии и другие правообладатели в знак протеста против атак на пиратские сайты.Другой случайный пример: в 2016 году несколько хакеров DDoS обратились к правительству Таиланда в знак протеста против строгого регулирования интернета.

Одно можно сказать наверняка: эта размолвка с Саентологией закрепила место атаки DDoS в истории протестов.

Сетевая атака PlayStation 2014 — пример для подражания

В августе 2014 года сеть PlayStation Network (именно так PlayStation подключалась и игралась в сети) была выведена из строя из-за широкомасштабной атаки DDoS, которая сбила серверы и лишила десятки миллионов людей возможности играть в онлайн-игры.

Хакеры, стоящие за атакой, теперь уже не существовавший отряд ящеров, утверждали, что атака была организована террористической группой ИГИЛ, и что они также заложили бомбу в самолет, на который летал президент Sony Online Entertainment Джон Смедли во время атаки , Самолет приземлился без проблем.

довольно распространены в игровом мире, поэтому в этой замечательной схеме ничего особенного в этой атаке не было бы … если бы не тот факт, что PSN в 2011 году подвергся огромному взлому и утечке данных, в результате чего Sony шатаясь и обещая улучшить свою онлайн-безопасность.Этот хак, всего три года спустя, был значительно меньше, но сделал хорошую работу, еще больше подорвав доверие потребителей к Sony и продемонстрировав, насколько беспомощными или апатичными могут быть компании перед лицом современного онлайн-мира.

Вид облома, тот.

Гонконгская кибервойна 2014 года — атака, не похожая на другие

Эстония, возможно, была первой страной, подвергшейся DoS в политической атаке, но они не были последней или даже самой большой.Эта честь принадлежит независимой прессе в Гонконге, которая была DDoSd не несколько дней или недель, а месяцев , так как протесты «Оккупируй Центральную» стали более масштабными и жестокими.

Веб-сайты Apple Daily и PopVote, которые организовывали фиктивные выборы и продвигали марши за демократию, которые наводнили город Гонконг, оказались на приеме беспрецедентной DDoS-атаки с более чем 500 гигабайтами «ненужного трафика», передаваемого в потоке на их серверы одновременно с помощью взломанных серверов Amazon и LeaseWeb, что делает их почти полностью бесполезными.В конце концов, родительская компания этих двух веб-сайтов, Cloudflare, также попала в DoS.

Это добавило до 250 миллионов DNS-запросов в секунду.

К сожалению, DoS-атаки прекратились только тогда, когда протесты были насильственно разогнаны в декабре 2014 года: 955 арестов, 255 раненых протестующих, 130 раненых полицейских и Китай не приблизились к свободным выборам.

Что вы можете сделать для защиты от DoS-атак?

Не много, это длинный и короткий.

Помимо того, что ваш компьютер не является частью ботнета (поэтому установите антивирус, улучшите безопасность маршрутизатора и обновите пароли подключенного устройства), чтобы убедиться, что вы не вносите прямой вклад, это не в ваших силах, чтобы предотвратить это. И даже если вы не являетесь частью этого, вы мало что сможете сделать, если ваш компьютер является одним из «отраженных» устройств, поскольку этот прием использует законные вычислительные методы.

Скачать AVG AntiVirus БЕСПЛАТНО

Тем не менее, если вам доведется запустить сервер или вы являетесь веб-администратором, у вас есть несколько инструментов для борьбы со многими видами DoS-атак, если вы достаточно быстры, чтобы их поймать:

• Мертвый трафик может быть перенаправлен на «черную дыру», несуществующий сервер, где они никому не мешают.
• Существуют инструменты управления пропускной способностью, которые могут проверять и идентифицировать потенциально опасные пакеты данных и блокировать их, прежде чем они получат доступ к вашей сети.
• Фильтры восходящего потока могут использовать «чистящие центры» для фильтрации плохих соединений и позволять только хорошим подключаться к сети.
• И всегда есть возможность арендовать больше пропускной способности, чтобы вместить весь дополнительный «трафик».

, которые мы предлагаем в AVG AntiVirus Business Edition, также могут блокировать чрезвычайно простые DoS-атаки, если вы дадите им указание блокировать весь трафик с определенного проблемного IP-адреса.

а для обычного пользователя? Это на самом деле не то, что вы можете контролировать. Вы должны будете переждать это, или возможно использовать другой сервис в настоящее время. Есть худшие судьбы, чем использование Hulu, верно?

Инструменты угнетения. Инструменты протеста

DoS-атака здесь, чтобы остаться, к лучшему или к худшему.

Несмотря на то, что нам обычно легко оправдать все формы онлайн-атак, DoS-атаки занимают очень специфическое место в среде сетевых угроз. Они являются инструментами для угнетения, но они также являются инструментами для протеста.Они, несомненно, плохие, но и намного лучше, чем утечки и докси. Они причиняют боль простым людям, но средний человек никогда не становится целью. Хотя мы хотим жить в мире, где DoS-атаки не существуют, было бы гораздо лучше существовать в мире, в котором они не нуждались.

И обычный пользователь может ничего не сделать, чтобы остановить это с технической точки зрения, возможно, мы могли бы помочь сделать этот идеальный мир немного ближе к тому, чтобы стать реальностью. Но это забегает вперед, не так ли?

Все то же самое: будь в безопасности!

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — одно из самых мощных средств в Интернете. Когда вы слышите о веб-сайте, «взломанном хакерами», это обычно означает, что он стал жертвой DDoS-атаки. Короче говоря, это означает, что хакеры попытались сделать веб-сайт или компьютер недоступными из-за переполнения или сбоя веб-сайта с большим объемом трафика.

Что такое распределенные атаки типа «отказ в обслуживании» (DDoS)?

Распределенные атаки типа «отказ в обслуживании» нацелены на веб-сайты и онлайн-сервисы.Цель состоит в том, чтобы перегружать их большим объемом трафика, чем может вместить сервер или сеть. Цель — сделать сайт или сервис неработоспособным.

Трафик может состоять из входящих сообщений, запросов на подключение или поддельных пакетов. В некоторых случаях целевым жертвам грозит DDoS-атака или атака на низком уровне. Это может сочетаться с угрозой вымогательства более разрушительной атаки, если компания не заплатит выкуп за криптовалюту. В 2015 и 2016 годах преступная группировка под названием «Коллектив Армада» неоднократно вымогала банками, провайдерами веб-хостинга и так далее.

Примеры DDoS-атак

Вот немного истории и две заметные атаки.

В 2000 году Майкл Кальс, 15-летний мальчик, который использовал сетевое имя «Мафия», начал одну из первых зарегистрированных атак DDoS. Кальс взломал компьютерные сети ряда университетов. Он использовал их серверы для проведения DDoS-атаки, которая привела к краху нескольких крупных веб-сайтов, включая CNN, E-Trade, eBay и Yahoo. Кальс был осужден за свои преступления в суде по делам молодежи Монреаля.Став взрослым, он стал «хакером в белой шляпе», выявляя уязвимости в компьютерных системах крупных компаний.

Совсем недавно, в 2016 году, Dyn, крупный поставщик систем доменных имен — или DNS — подвергся массированной DDoS-атаке, которая уничтожила основные сайты и службы, включая AirBnB, CNN, Netflix, PayPal, Spotify, Visa, Amazon, The New York Times, Reddit и GitHub.

Игровая индустрия также стала целью DDoS-атак, наряду с компаниями-разработчиками программного обеспечения и медиа.

DDoS-атаки иногда проводятся, чтобы отвлечь внимание целевой организации. В то время как целевая организация фокусируется на DDoS-атаке, киберпреступник может преследовать основную мотивацию, такую ​​как установка вредоносного программного обеспечения или кража данных.

DDoS-атак использовались в качестве оружия выбора хактивистов, киберпреступников, мотивируемых прибылью, национальных государств и даже — особенно в первые годы DDoS-атак — компьютерных завистников, стремящихся сделать грандиозный жест.

Как работают DDoS-атаки?

Теория DDoS-атаки проста, хотя атаки могут варьироваться по уровню сложности. Вот основная идея. DDoS — это кибератака на сервер, сервис, веб-сайт или сеть, наводняя его интернет-трафиком. Если трафик переполняет цель, ее сервер, служба, веб-сайт или сеть становятся неработоспособными.

Сетевые подключения в Интернете состоят из разных уровней модели взаимодействия открытых систем (ОС).Различные типы DDoS-атак фокусируются на определенных уровнях. Несколько примеров:

• Уровень 3, Сетевой уровень. Атаки известны как Smurf Attacks, ICMP Floods и IP / ICMP Fragmentation.
• Уровень 4, Транспортный уровень. Атаки включают в себя SYN Floods, UDP Floods и исчерпание TCP-соединения.
• Уровень 7, Прикладной уровень. В основном, HTTP-шифрованные атаки.

ботнетов

Основной способ выполнения DDoS — через сеть удаленно управляемых, взломанных компьютеров или ботов.Их часто называют «компьютерами-зомби». Они образуют так называемый «ботнет» или сеть ботов. Они используются для заполнения целевых веб-сайтов, серверов и сетей большим количеством данных, чем они могут вместить.

Бот-сети могут отправлять больше запросов на подключение, чем сервер может обрабатывать или отправлять огромные объемы данных, которые превышают пропускную способность целевой жертвы. Ботнеты могут варьироваться от тысяч до миллионов компьютеров, управляемых киберпреступниками. Киберпреступники используют бот-сети для различных целей, включая рассылку спама и вредоносных программ, таких как вымогатели.Ваш компьютер может быть частью ботнета, даже если вы этого не знаете.

Все чаще миллионы устройств, составляющих постоянно расширяющийся Интернет вещей (IoT), подвергаются хакерской атаке и становятся частью ботнетов, используемых для обеспечения DDoS-атак. Безопасность устройств, составляющих Интернет вещей, как правило, не так продвинута, как безопасность программного обеспечения на компьютерах и ноутбуках. Это может сделать устройства уязвимыми для киберпреступников, чтобы использовать их для создания более широких ботнетов.

Атака Dyn 2016 года была осуществлена ​​с помощью вредоносной программы Mirai, которая создала ботнет IoT-устройств, включая камеры, интеллектуальные телевизоры, принтеры и радионяни. Ботнет Mirai устройств Internet of Things может быть даже более опасным, чем кажется на первый взгляд. Это потому, что Mirai был первым ботнетом с открытым исходным кодом. Это означает, что код, использованный для создания ботнета, доступен для киберпреступников, которые могут изменять его и развивать для использования в будущих атаках DDoS.

Потоп

Ботнеты используются для создания потока HTTP или HTTPS.Ботнет компьютеров используется для отправки, как представляется, законных запросов HTTP или HTTPS для атаки и перегрузки веб-сервера. HTTP — сокращение от HyperText Transfer Protocol — это протокол, который управляет форматированием и передачей сообщений. HTTP-запрос может быть либо запросом GET, либо запросом POST. Вот разница:

• Запрос GET — это запрос, когда информация извлекается с сервера.
• POST-запрос — это тот, в котором информация запрашивается для загрузки и хранения.Этот тип запроса требует более широкого использования ресурсов целевым веб-сервером.

В то время как HTTP-потоки с использованием запросов POST используют больше ресурсов веб-сервера, HTTP-потоки с использованием GET-запросов проще и проще в реализации.

DDoS-атак можно приобрести на черном рынке

Сборка ботнетов, необходимых для проведения DDoS-атак, может быть трудоемкой и длительной.

Киберпреступники разработали бизнес-модель, которая работает следующим образом: более изощренные киберпреступники создают ботнеты и продают или сдают их в аренду менее изощренным киберпреступникам в темной сети — той части Интернета, где преступники могут покупать и продавать товары, такие как ботнеты и украденные кредитные карты номера анонимно.

Доступ к темной сети обычно осуществляется через браузер Tor, который предоставляет анонимный способ поиска в Интернете. Ботнеты сдаются в аренду в темной паутине всего за пару сотен долларов. Различные темные веб-сайты продают широкий спектр нелегальных товаров, услуг и украденных данных.

В некотором смысле, эти темные веб-сайты работают как обычные онлайн-магазины. Они могут предоставлять гарантии клиентов, скидки и пользовательские рейтинги.

Каковы симптомы DDoS-атаки?

DDoS-атаки имеют явные симптомы.Проблема в том, что симптомы настолько похожи на другие проблемы, которые могут возникнуть у вас на компьютере — от вируса до медленного подключения к Интернету, — что трудно определить без профессиональной диагностики. Симптомы DDoS включают в себя:

• Медленный доступ к файлам, локально или удаленно
• Долгосрочная неспособность получить доступ к определенному веб-сайту
• Отключение интернета
• Проблемы с доступом ко всем сайтам
• Чрезмерное количество спам-писем

Большинство из этих симптомов трудно определить как необычные.Тем не менее, если два или более случая происходят в течение длительного периода времени, вы можете стать жертвой DDoS.

Типы DDoS-атак

DDoS-атаки обычно состоят из атак, подпадающих под одну или несколько категорий, при этом некоторые более сложные атаки сочетают атаки на разные векторы. Это категории:

• объемных атак. Они отправляют огромные объемы трафика для превышения пропускной способности сети.
• Протокольные атаки. Они более сфокусированы и используют уязвимости в ресурсах сервера.
• Применение Атаки. являются наиболее сложной формой DDoS-атак, ориентированных на определенные веб-приложения.

. Здесь подробнее рассмотрим различные типы DDoS-атак.

Атаки TCP-соединения

Атаки соединения TCP или SYN Floods используют уязвимость в последовательности соединения TCP, обычно называемую трехсторонним соединением рукопожатия с хостом и сервером.

Вот как. Целевой сервер получает запрос на начало рукопожатия.В SYN Flood рукопожатие никогда не завершается. Это оставляет подключенный порт как занятый и недоступный для обработки дальнейших запросов. Тем временем киберпреступник продолжает отправлять все новые и новые запросы, перекрывая все открытые порты и выключая сервер.

прикладных атак

Атаки прикладного уровня — иногда называемые атаками уровня 7 — медленнее нацелены на приложения жертвы атаки. Таким образом, они могут первоначально появляться как законные запросы от пользователей, пока не станет слишком поздно, и жертва перегружена и не может ответить.Эти атаки направлены на уровень, где сервер генерирует веб-страницы и отвечает на запросы http.

Часто атаки на уровне приложений сочетаются с другими типами DDoS-атак, направленных не только на приложения, но и на сеть и полосу пропускания. Атаки прикладного уровня особенно опасны. Зачем? Они недороги в эксплуатации и их сложнее обнаружить компаниям, чем атаки, направленные на сетевой уровень.

Фрагментарные атаки

Фрагментарные атаки — еще одна распространенная форма DDoS-атаки.Киберпреступник использует уязвимости в процессе фрагментации дейтаграмм, когда дейтаграммы IP делятся на более мелкие пакеты, передаются по сети и затем снова собираются. При атаках фрагментации поддельные пакеты данных, которые невозможно собрать, переполняют сервер.

В другой форме атаки фрагментации, называемой атакой Teardrop, отправленное вредоносное ПО предотвращает повторную сборку пакетов. Уязвимость, используемая в атаках Teardrop, была исправлена ​​в более новых версиях Windows, но пользователи устаревших версий все равно будут уязвимы.

Объемные атаки

являются наиболее распространенной формой DDoS-атак. Они используют ботнет для заполнения сети или сервера трафиком, который выглядит законным, но не позволяет сетевым или серверным возможностям обрабатывать трафик.

Типы DDoS-усиления

При атаке с усилением DDoS киберпреступники переполняют сервер системы доменных имен (DNS) тем, что кажется законным запросом на обслуживание. Используя различные методы, киберпреступник может увеличить DNS-запросы через ботнет в огромный объем трафика, направленного на целевую сеть.Это потребляет пропускную способность жертвы.

Chargen Reflection

Вариант атаки DDoS Amplification использует Chargen, старый протокол, разработанный в 1983 году. В этой атаке небольшие пакеты, содержащие поддельный IP-адрес целевой жертвы, отправляются на устройства, которые работают с Chargen и являются частью Интернета вещей. Например, многие подключенные к Интернету копиры и принтеры используют этот протокол. Затем устройства заполняют цель пакетами протокола пользовательских дейтаграмм (UDP), и цель не может их обработать.

DNS Reflection

DNS Reflection атаки являются типом DDoS-атаки, которую злоумышленники использовали много раз. Чувствительность к этому типу атак обычно связана с тем, что потребители или предприятия, имеющие маршрутизаторы или другие устройства с DNS-серверами, неправильно настроены для приема запросов из любой точки мира, а не DNS-серверов, настроенных для предоставления услуг только в доверенном домене.

Затем киберпреступники отправляют поддельные DNS-запросы, которые, похоже, поступают из целевой сети, поэтому, когда DNS-серверы отвечают, они делают это на целевой адрес.Атака усиливается путем запроса большого количества DNS-серверов.

Посмотрите карту цифровой атаки DDoS

Карта цифровых атак разработана глобальной системой анализа угроз Arbor Networks ATLAS. Он использует данные, собранные от более чем 330 клиентов интернет-провайдеров, анонимно разделяющие сетевой трафик и информацию об атаках

Посмотрите на карту цифровых атак. Это позволяет вам видеть на глобальной карте, где происходят DDoS-атаки, а информация обновляется ежечасно.

Как защитить себя от атак распределенного отказа в обслуживании

Защита от DDoS-атаки — сложная задача. Компании должны планировать защиту и смягчение таких атак. Определение ваших уязвимостей является важным начальным элементом любого протокола защиты.

Метод 1: Принять быстрые меры

Чем раньше будет обнаружена атака DDoS, тем легче будет предотвратить нанесение вреда. Компании должны использовать технологии или службы защиты от DDoS, которые могут помочь вам распознать законные скачки сетевого трафика и атаки DDoS.

Если вы обнаружите, что ваша компания находится под атакой, вы должны как можно скорее уведомить вашего провайдера, чтобы определить, можно ли перенаправить ваш трафик. Наличие резервного провайдера также хорошая идея. Кроме того, рассмотрите службы, которые распределяют большой трафик DDoS среди сети серверов, делая атаку неэффективной.

будут использовать маршрутизацию «черная дыра», которая направляет трафик на нулевой маршрут, иногда называемый черной дырой, когда возникает избыточный трафик, тем самым препятствуя сбоям целевого веб-сайта или сети, но недостатком является то, что как законный, так и незаконный трафик перенаправляется в эта мода.

Способ 2. Настройка брандмауэров и маршрутизаторов

должны быть настроены так, чтобы отклонять фиктивный трафик, и вы должны регулярно обновлять свои маршрутизаторы и брандмауэры с помощью последних исправлений безопасности. Они остаются вашей первоначальной линией обороны.

Прикладное аппаратное обеспечение, которое интегрируется в сеть до того, как трафик достигает сервера, анализирует и просматривает пакеты данных, классифицируя данные как приоритетные, регулярные или опасные при поступлении в систему и может использоваться для блокировки угрожающих данных.

Метод 3: Рассмотрим искусственный интеллект

Несмотря на то, что в настоящее время распространена защита современных брандмауэров и систем обнаружения вторжений, ИИ используется для разработки новых систем.

Системы, которые могут быстро направлять интернет-трафик в облако, где он анализируется, и вредоносный веб-трафик можно заблокировать до того, как он попадет на компьютеры компании. Такие программы ИИ могут выявлять и защищать от известных ориентировочных DDoS-схем. Кроме того, возможности самообучения ИИ помогут предсказать и определить будущие паттерны DDoS.

Исследователи изучают использование блокчейна, той же технологии, что и биткойны и другие криптовалюты, чтобы люди могли делиться неиспользованной пропускной способностью, чтобы поглощать вредоносный трафик, создаваемый атакой DDoS, и делать его неэффективным.

Метод 4: Защитите свои устройства Интернета вещей

Это для потребителей. Чтобы ваши устройства не стали частью ботнета, разумно убедиться, что на ваших компьютерах установлено надежное программное обеспечение безопасности. Важно регулярно обновлять его до последних исправлений безопасности.

Если у вас есть устройства IoT, вы должны убедиться, что ваши устройства отформатированы для максимальной защиты. Безопасные пароли должны использоваться для всех устройств. Устройства Интернета вещей были уязвимы для слабых паролей, и многие устройства работают с легко обнаруживаемыми паролями по умолчанию. Сильный брандмауэр также важен.

Защита ваших устройств является неотъемлемой частью кибербезопасности.

Что такое DDoS-атака?

Атака распределенного отказа в обслуживании (DDoS) — это попытка сделать онлайн-сервис недоступным, подавив его трафиком из нескольких источников. Они предназначены для широкого круга важных ресурсов, от банков до новостных сайтов, и представляют собой серьезную проблему для обеспечения того, чтобы люди могли публиковать и получать доступ к важной информации.

Строительный потенциал

Злоумышленники создают сети зараженных компьютеров, известных как «ботнеты», путем распространения вредоносного программного обеспечения через электронную почту, веб-сайты и социальные сети.После заражения эти машины могут управляться удаленно, без ведома их владельцев, и использоваться как армия для атаки против любой цели. Некоторые ботнеты состоят из миллионов машин.

Запуск атак

Бот-сети могут генерировать огромные потоки трафика, чтобы сокрушить цель. Эти потоки могут быть сгенерированы несколькими способами, такими как отправка большего количества запросов на подключение, чем может обработать сервер, или когда компьютеры отправляют жертве огромные объемы случайных данных, чтобы использовать пропускную способность цели.Некоторые атаки настолько велики, что могут максимально использовать международную пропускную способность страны.

Продам Тишина

Существуют специализированные онлайн-магазины для покупки и продажи бот-сетей или отдельных DDoS-атак. Используя эти подпольные рынки, любой может заплатить номинальную плату, чтобы заставить замолчать сайты, с которыми они не согласны, или нарушить работу организации в Интернете. Недельная DDoS-атака, способная перевести небольшую организацию в автономный режим, может стоить всего 150 долларов.

Изучение данных

Карта цифровых атак отображает глобальную активность DDoS в любой день.Атаки отображаются в виде пунктирных линий, масштабируются по размеру и располагаются в соответствии со странами происхождения и назначения трафика атаки, если они известны. Некоторые функции включают в себя:

• Используйте гистограмму внизу карты для изучения исторических данных.
• Выберите страну для просмотра активности DDoS в или из этой страны.
• Используйте цветовую опцию для просмотра атак по классу, продолжительности или порту источника / назначения.
• Используйте раздел новостей, чтобы найти в Интернете отчеты об атаках за указанное время.
• Просмотрите галерею, чтобы ознакомиться с некоторыми примерами дней с заметными DDoS-атаками.

типов атак

DDoS-атаки бывают разных форм, от Smurfs до Teardrops, до Pings of Death. Ниже приведены подробные сведения о типах атак и методах усиления, найденных на карте:

Класс атаки : четыре распространенные категории атак

Они пытаются использовать все доступные подключения к инфраструктурным устройствам, таким как балансировщики нагрузки, брандмауэры и серверы приложений.Эти устройства могут разрушить даже устройства, способные поддерживать состояние на миллионах соединений. Выучить больше…

Они пытаются использовать полосу пропускания либо в целевой сети / услуге, либо между целевой сетью / услугой и остальной частью Интернета. Эти атаки просто вызывают заторы. Выучить больше…

Они отправляют поток фрагментов TCP или UDP жертве, подавляя способность жертвы повторно собирать потоки и значительно снижая производительность.Выучить больше…

Они пытаются подавить определенный аспект приложения или службы и могут быть эффективными даже при очень небольшом количестве атакующих машин, генерирующих низкую скорость трафика (что затрудняет их обнаружение и снижение). Выучить больше…

Усиление : два способа атаки могут увеличить трафик, который они могут отправлять.

Подделав IP-адрес жертвы, злоумышленник может отправить небольшие запросы на DNS-сервер и попросить его отправить жертве большой ответ. Это позволяет атакующему усиливать каждый запрос из своей бот-сети в 70 раз, что значительно облегчает поражение цели. Выучить больше…

Большинство компьютеров и принтеров, подключенных к Интернету, поддерживают устаревшую службу тестирования под названием Chargen, которая позволяет кому-либо просить устройство ответить потоком случайных символов.Chargen можно использовать как средство усиления атак, аналогичных атакам DNS, описанным выше. Подробнее …

Что такое DDoS-атака | DDoS Значение

Распределенные сетевые атаки часто называют атаками распределенного отказа в обслуживании (DDoS). Этот тип атаки использует преимущества определенных ограничений емкости, которые применяются к любым сетевым ресурсам, таким как инфраструктура, которая обеспечивает веб-сайт компании. DDoS-атака отправит несколько запросов на атакованный веб-ресурс — с целью превышения способности веб-сайта обрабатывать несколько запросов … и помешать правильной работе веб-сайта.

Типичные цели для DDoS-атак:

• Интернет-магазины
• Интернет казино
• Любой бизнес или организация, которая зависит от предоставления онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограниченное количество запросов, которые они могут обслуживать одновременно. В дополнение к ограничению пропускной способности сервера канал, соединяющий сервер с Интернетом, также будет иметь ограниченную пропускную способность / пропускную способность.Всякий раз, когда количество запросов превышает пределы пропускной способности любого компонента инфраструктуры, уровень обслуживания может пострадать одним из следующих способов:

• Ответ на запросы будет намного медленнее, чем обычно.
• Некоторые или все запросы пользователей могут быть полностью проигнорированы.

Обычно конечной целью злоумышленника является полное предотвращение нормального функционирования веб-ресурса — полное «отказ в обслуживании». Злоумышленник также может потребовать оплату за прекращение атаки.В некоторых случаях DDoS-атака может даже быть попыткой дискредитировать или нанести ущерб бизнесу конкурента.

Использование бот-сети «сеть зомби» для атаки DDoS

Чтобы отправить чрезвычайно большое количество запросов на ресурс жертвы, киберпреступник часто создает «сеть зомби» компьютеров, которые преступник заразил. Поскольку преступник контролирует действия каждого зараженного компьютера в сети зомби, масштаб атаки может быть огромным для веб-ресурсов жертвы.

Характер современных угроз DDoS

В начале и середине 2000-х этот вид преступной деятельности был довольно распространенным явлением. Тем не менее, количество успешных DDoS-атак сокращается. Это снижение DDoS-атак может быть вызвано следующим:

• Полицейские расследования, приведшие к аресту преступников по всему миру
• Технические контрмеры, которые были успешными против DDoS-атак

Другие статьи и ссылки, связанные с распределенными сетевыми атаками / DDoS

Что такое DDoS-атака? — DDoS Значение

часто называют атаками распределенного отказа в обслуживании (DDoS).Этот тип атаки использует преимущества определенных ограничений емкости, которые применяются к любым сетевым ресурсам, таким как инфраструктура, которая обеспечивает веб-сайт компании …