Атаки на сайты
Атаки на сайты — совершение противоправных действий, направленных на получение конкурентных преимуществ путем взлома, заражения вредоносным кодом, блокирования доступа (с дальнейшем требованием выкупа), кражи конфиденциальных данных, вывода из строя программного обеспечения, в отношении сетевых ресурсов (веб-сайтов).
Веб-сайт — это информационный актив и вид собственности. Он может подвергаться атакам злоумышленников с самыми разными целями. Сайт всегда на виду, всегда должен быть доступен, и это делает его крайне уязвимым.
Способы атак на сайты
На первом этапе киберпреступник изучает ресурс на предмет уязвимостей. Они, в свою очередь, бывают нескольких типов.
Уязвимости кода сайта появляются ввиду ошибок или недостаточной проработки вопросов безопасности со стороны программистов, создающих ядро и расширения сайта. При наличии подобных изъянов злоумышленник может внедрить свой код в исполняемые сценарии, запросы к базе данных (SQL-инъекции) или почтовому серверу сайта (email-инъекции), либо в страницу, которую пользователь открывает в своем браузере, с целью кражи его личных данных, включая пароли (межсайтовый скриптинг).
Ошибки в настройке прав пользователей проявляются по-разному.Распространенной ошибкой можно назвать слабые пароли. Они по-прежнему встречаются сплошь и рядом, хотя о правилах составления надежных паролей написаны тысячи статей. Злоумышленнику достаточно подобрать брутфорсом хотя бы одно из кодовых слов.
Бекдоры в сторонних модулях и расширениях также позволяют проводить атаки на сайты. Очень редко весь код сайта пишется с нуля, гораздо чаще используются одна из существующих CMS (систем управления контентом), а также различные модули и расширения, добавляющие нужную функциональность. Часть из них распространяется бесплатно, за другие просят деньги. Взломав такое платное расширение, злоумышленник добавляет в него шелл-код, открывающий доступ к сайту или веб-серверу, и предлагает для скачивания уже бесплатно.
Наконец, уязвимым может быть и хостинг-провайдер. Часто десятки и сотни сайтов размещаются на одном сервере, и если он настроен неправильно, то киберпреступник сможет получить доступ ко всем этим многочисленным ресурсам.
Наличие любого типа уязвимости веб-сайта приводит к атакам, целью которых в большинстве случаев становится полный несанкционированный доступ к содержимому сайта. Получение доступа зависит от характера уязвимости — например, при SQL-инъекции путем различных запросов к базе данных извлекают логины и пароли всех пользователей, включая администратора.
Имея же права администратора, с зараженным сайтом можно делать что угодно. Иногда злоумышленники не вмешиваются в нормальную работу, ограничиваясь кражей клиентской базы и данных пользователей, а в других случаях они уничтожают или подменяют содержимое либо дополняют функциональность согласно собственным нуждам — размещают рекламные баннеры, ссылки на распространяющие запрещенную информацию ресурсы или фишинговые сайты, сценарии для межсайтовой подделки запроса, когда от лица пользователя, зашедшего на страницу и имеющего аккаунт на другом ресурсе (к примеру, в электронной платежной системе), делается запрос на перевод денег преступнику.
Отчасти особняком стоят получившие широкую известность и распространенность DDoS-атаки. Их цель — не внедриться в систему, подменить контент или украсть чужие данные, а сделать сайт недоступным на некоторое время. После этого владельцев сайта, как правило, шантажируют, вымогая у них деньги за остановку атаки. Осуществляется DDoS-атака одновременной посылкой запросов с множества компьютеров ботнета. Перегружая сервер потоком бессмысленных сообщений, атакующий делает его недоступным для обычных посетителей.
Какие сайты атакуют?
Интернет-сайты на популярных CMS взламывают массово с целью заражения через типовые уязвимости.
Что же касается DDoS-атак, то их делают по заказу, и здесь есть конкретные группы риска. Например, очень часто атакуют бизнес, который зависит от интернета, так что любой инцидент простоя приводит к убыткам. Злоумышленники начинают атаку и предлагают владельцу откупиться.
По статистике, чаще всего подвергаются нападениям:
- купонные сервисы,
- платежные системы,
- информационные агрегаторы,
- электронная коммерция,
- игры и игровые площадки.
Веб-страницы банков и электронных платежных систем взламывают с целью кражи денег; сайты коммерческих компаний атакуют ради клиентской базы и создания проблем конкуренту, либо ради шантажа, требуя деньги за возобновление нормальной работы; сайты правительственных органов и общественных организаций атакуются идеологическими противниками.
Анализ угроз для сайтов
Основным источником угрозы для сайта является его собственный код, написанный небрежно, с ошибками, без учета строгих правил безопасности, вкупе с использованием устаревших либо скачанных с пиратских сайтов модулей, расширений и плагинов.
Другая серьезная проблема — неправильное администрирование. Предоставляя пользователям излишне широкие права, позволяя им загружать на сайт файлы без должной проверки, администратор фактически открывает ворота для всевозможных троянов, бэкдоров и прочих экземпляров вредоносного кода.
Третий источник опасности — плохие пароли.
Наконец, еще одна, не связанная напрямую с созданием и работой сайта угроза — содержимое как таковое. Например, движущей силой многих DDoS-атак является месть. От таких нападений не спасает самый идеальный код и надежное администрирование — атака целиком и полностью идет извне.
Сделать сайт стопроцентно устойчивым к любым атакам нереально. Можно лишь усложнить преступникам достижение их целей. В конце концов, атака на сайт требует времени и денег, и если предполагаемая выгода или ущерб противника окажется меньше затрат на попытку взлома, то злоумышленник переключится на более привлекательную цель.
Как не допустить атаку на сайт?
Следует использовать при создании сайта лишь надежные, проверенные ядра, а если заказывается свой «движок», то нужно поручать его написание команде опытных профессионалов. При использовании готовых систем управления контентом необходимо регулярно их обновлять — большинство обновлений предназначено как раз для устранения очередной выявленной уязвимости. Нельзя использовать старые и уж тем более необновляемые CMS — изъяны в их безопасности никем не закрываются и хорошо известны хакерам, которые не замедлят ими воспользоваться.
То же самое касается любых приложений и расширений. Бесплатные — скачивать только с официальных сайтов разработчиков и своевременно обновлять, платные — либо честно покупать, либо отказаться от их использования. За условно-бесплатное скачивание с пиратского сайта в конечном счете придется заплатить намного больше, когда понадобится восстанавливать как содержимое, так и репутацию в глазах поисковых систем, которые игнорируют сайты, содержащие нерелевантные ссылки и распространяющие зараженные файлы.
Необходимо четко разграничить права разных категорий пользователей. Никто не должен иметь больше возможностей, чем необходимо.
Пароли для администраторов и привилегированных групп пользователей должны быть сложными.
Желательно использовать различные программы и утилиты, повышающие безопасность. Неплохо также проверить сайт специальными программами поиска уязвимостей, либо, если надежность важна и финансы позволяют, поручить задачу профессионалам.
Защита от DDoS-атак (по крайней мере, низкой и средней мощности) осуществляется размещением сайта на серверах с высокой пропускной способностью. Также используются анализ и фильтрование трафика с блокировкой IP-адресов атакующих машин. В случае же мощных атак зачастую остается лишь переждать, пока они прекратятся. Заказчики DDoS-атак редко располагают собственными ресурсами для их проведения и вынуждены платить хакерам — владельцам ботнетов (сетей зараженных компьютеров, с которых и ведется атака). Соответственно, мощная атака стоит немалых денег и редко длится дольше нескольких дней. Другим вариантом является приобретение специальных средств для защиты от отказа в обслуживании. Чтобы снизить вероятность DDoS-атак, не стоит размещать контент, оскорбительный для больших групп людей или влиятельных структур, способных отомстить.
Наконец, полезно регулярно выполнять резервное копирование сайта, чтобы в случае серьезных проблем быстро его восстановить.
Что такое DDoS-атаки, и как защитить от них свой сайт?
Уменьшение зон, доступных для атаки
Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.
План масштабирования
Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.
Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.
Сведения о типичном и нетипичном трафике
Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.
Развертывание брандмауэров для отражения сложных атак уровня приложений
Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Сколько стоит DDoS устроить | Securelist
Атака типа Distributed Denial of Service (DDoS) является одним из самых популярных инструментов в арсенале киберпреступников. Мотивом для DDoS-атаки может быть что угодно — от кибер-хулиганства до вымогательства. Известны случаи, когда преступные группы угрожали своим жертвам DDoS-атакой, если те не заплатят им 5 биткоинов (то есть больше $5000). Часто DDoS-атаку используют для того, чтобы отвлечь ИТ-персонал, пока происходит другое киберпреступление, например, кража данных или внедрение вредоносного ПО.
Жертвой DDoS-атаки может стать кто угодно: ее организация — процесс недорогой и довольно простой, а эффективность, при отсутствии надежной защиты, высока. На основе анализа данных, полученных из открытых источников (например, из предложений об организации DDoS-атак на форумах в интернете или в Tor), мы выяснили стоимость услуг DDoS-атак на черном рынке в настоящее время, а также определили, что именно предлагают своим заказчикам киберпреступники, занимающиеся организацией DDoS.
DDoS как сервис
Процесс заказа DDoS осуществляется, как правило, с помощью полноценных веб-сервисов, исключающих необходимость прямого контакта организатора атаки и заказчика. В подавляющем большинстве авторы найденных нами предложений вместо своих контактных данных оставляют ссылки на подобные ресурсы. С их помощью потенциальный заказчик может внести оплату, получить отчет о проделанной работе и воспользоваться дополнительными услугами. По сути, их функциональность мало чем отличается от сервисов, предлагающих услуги легальные.
Один из многочисленных примеров веб-сервиса для заказа DDoS-атак, который напоминает скорее веб-страницу какого-то IT-стартапа, нежели киберкриминальной организации
Подобные веб-сервисы представляют собой полноценные веб-приложения, которые позволяют зарегистрированным заказчикам управлять балансом и планировать бюджет на проведение DDoS-атак. В некоторых случаях разработчики предусмотрели систему бонусов и кредитов, которые могут начисляться за каждую проведенную атаку с использованием данного сервиса. Другими словами, киберпреступники развивают программы лояльности и клиентский сервис.
Предложение на одном из российских публичных форумов: сервис организации DDoS-атаки от $50 в сутки
Некоторые из найденным нами сервисов содержали опубликованную информацию о количестве зарегистрированных пользователей, а также данные о числе атак в день. Порядок количества регистраций на многих веб-сервисах для организации DDoS-атак измеряется десятками тысяч учетных записей. Однако, данная информация может не соответствовать действительности и предоставляться владельцами сервисов специально с целью искусственного увеличения популярности ресурса.
Статистика одного из сервисов, демонстрирующая его популярность среди заказчиков DDoS (479270 реализованных атак)
Статистика одного из сервисов, демонстрирующая популярность некоторых сценариев DDoS-атак
Информация о популярности среди злоумышленников сервиса DDoS-атак
Расценки на DDoS
Особенности DDoS-атак, которые злоумышленники выделяют в описании своих услуг, влияют как на преимущество DDoS-сервиса перед конкурентами, так и на выбор, который Заказчик атаки делает в пользу того или иного сервиса:
Объект атаки и его характеристики. Преступник, который берется за реализацию атаки на государственный ресурс, может сформировать вокруг себя адиторию Заказчиков, которым интерессен данный сервис. Соответственно за данную услугу, злодей может запросить больше, чем за услугу атаки на интернет-магазин. Важную роль в ценообразовании услуг может также играть наличие каких-либо средств защиты от DDoS-атак на стороне жертвы: если она используют системы фильтрации трафика для защиты своих ресурсов, то преступники вынуждены изобретать методы их обхода, чтобы сделать свою атаку эффективной, а значит, вырастет и цена.
Источники атаки и их характеристики. Данный фактор может определять цену, которую злоумышленники выставляют за организацию атак: чем дешевле злодею обходится содержание ботнета (которе, например, определяется средней стоимостью заражения одного устройства для включения его в ботнет), тем с большей вероятностью преступник может демпинговать цену на свои услуги. Например, сеть, состоящая из 1000 камер наблюдения, может быть дешевле в плане организации, чем ботнет из 100 серверов: камеры и прочие IoT-устройства в настоящий момент менее защищены, а их владельцы, по сути, игнорируют проблему.
Сценарий атаки. Потребность в организации «нетипичной» DDoS-атаки (к примеру, заказчик может потребовать от владельца ботнета чередовать различные методы DDoS-атаки в течение короткого промежутка времени или реализовать несколько методов одновременно) может увеличить ее стоимость.
Средняя стоимость услуги DDoS-атаки в конкретной стране. Наличие конкурентов заставляет киберпреступников поднимать или снижать цены на свои услуги. Кроме того, злодеи стараются учитывать платежеспособность своей аудитории и соответствующим образом строят свою политику (например, предложение организации DDoS-атаки для заказчиков из США будет дороже аналогичного предложения в России).
С предложением характеристик своего ботнета, организаторы найденных нами DDoS-сервисов предлагают своим клиентам тарифную сетку, в которой покупатель оплачивает посекундную аренду мощностей ботнета. Так, например, 300 секунд DDoS-атаки при помощи ботнета, суммарная пропускная способность канала которого составляет 125 Гбайт в секунду, обойдется заказчику в 5 евро. При этом все остальные характеристики (мощность и сценарии) были одинаковыми для всех тарифов.
Прайс-лист одного из крупных сервисов для организации DDoS-атак
В свою очередь, 10800 секунд DDoS-атаки обойдутся клиенту в $60 или примерно $20/час атаки, особенности которой (сценарий атаки и используемые вычислительные мощности) злодеи не всегда указывали на своем ресурсе для опытных клиентов. Видимо, не все злоумышленники считают уместным раскрывать внутреннюю кухню своего ботнета (а вполне возможно, не все владельцы ботнетов, в силу своей некомпетентности, понимают его технические характеристики). В частности, злодеи не раскрывают тип ботов, входящих в ботнет для того.
За указанную цену преступники обещают своим клиентам реализовать довольно тривиальные сценарии:
- SYN-flood;
- UDP-flood;
- NTP-amplification;
- Multi-vector amplification (несколько amplification-сценариев одновременно).
Прайс-лист сервиса, позволяющего в несколько кликов заказать DDoS-атаку на произвольный ресурс и получить детальный отчет об оказанной услуге
Некоторые сервисы предлагают выбрать конкретный сценарий атаки, что позволяет киберпреступникам комбинировать разные сценарии и осуществлять атаки с учетом индивидуальных особенностей жертвы. К примеру, если жертва успешно справляется с SYN-flood, злодей может переключить сценарий атаки в панели управления и оценить реакцию жертвы.
Тарифные планы одного из англоязычных сервисов, который разбивает свою тарифную сетку по числу секунд DDoS-атаки
Среди проанализированных нами предложений также встретились те, в которых злоумышленники предлагают разную цену на свои услуги, которая зависит от типа жертвы.
Информация, найденная на русскоязычном сайте, целиком посвященном сервису DDoS-атак
Например, злоумышленники предлагают цену от $400 в сутки за сайт/сервер, пользующийся услугами защиты от DDoS, то есть в 4 раза больше, чем за сайт без защиты.
Кроме того, не каждый киберпреступник, занимающийся организацией DDoS-атак, возьмется за атаку государственных ресурсов: они находятся под наблюдением правоохранительных органов, а организаторы атак не хотят лишний раз «светить» свои ботнеты. Однако нам встречались предложения, в которых DDoS-атаки государственных ресурсов были включены в тарифную сетку отдельным пунктом.
«Цена может быть изменена, если ресурс имеет политический статус» — сообщает ресурс, посвященный организации DDoS-атак
Любопытно, что некоторые преступники не брезгуют наряду со своими сервисами DDoS предоставлять и защиту от DDoS-атак.
Среди услуг организации DDoS-атак также присутствуют услуги защиты от DDoS-атак
Пример ценообразования
Рассмотрим для примера сценарий DDoS-атаки «с усилением» (DNS Amplification). Суть атаки заключается в том, что злоумышленник отправляет специальным образом сформированный запрос (объемом, условно, 100 байт) к уязвимому DNS-серверу, а тот отвечает «отправителю» (т.е. жертве) большим объемом (килобайтом) данных. Ботнет может состоять их десятков и даже сотен таких серверов или ресурсов какого-нибудь публичного облачного сервис-провайдера. Добавим сюда публичные веб-сервисы нагрузочного тестирования, с помощью которых можно реализовать атаку типа «SaaS Amplification», и получим довольно тяжелую «кувалду».
DDoS = Облако + DNS Amplification + SaaS Amplification
При этом стоимость данной услуги будет зависеть от стоимости ресурсов ее провайдера. В качестве примера можно взять Amazon EC2 — цена за виртуальный выделенный сервер минимальной конфигурации (а для DDoS-атаки важна не столько конфигурация зараженной рабочей станции, сколько пропускная способность ее соединения) составляет примерно $0.0065 в час. Соответственно 50 виртуальных серверов для организации DDoS-атаки малой мощности на какой-нибудь интернет-магазин будет стоить киберпреступникам $0.325 в час. Учитывая дополнительные расходы преступников (например, расходы на приобретение SIM-карты для регистрации аккаунта и привязку кредитной карты), 1 час DDoS-атаки с использованием облачного сервиса обойдется злодеям примерно в $4.
Прайс-лист инстансов от популярных облачных сервис-провайдеров
Таким образом, «себестоимость» атаки, с использованием облачного ботнета из 1000 рабочих станций может составлять для исполнителя около $7 за час атаки. Учитывая тарифные сетки найденных нами сервисов, средняя цена атаки обходится заказчику в $25 за час. А это в свою очередь, означает, что киберпреступник, который организует DDoS, получает прибыль около $18 за час атаки.
Заключение
Клиенты рассмотренных сервисов прекрасно понимают выгоду от проведения DDoS-атак и их эффективность. Стоимость пяти минут атаки на крупный интернет-магазин составляет около в 5 долларов. Жертва же может потерять куда больше, лишившись покупателей, которые просто не смогут оформить заказ. Можно даже представить, скольких клиентов лишится интернет-магазин, если атака будет длиться целый день.
В то же время, преступники продолжают активно искать новые, более дешевые способы организации ботнетов. В этом плане «интернет вещей» очень облегчает им жизнь. В настоящее время одним из трендов развития является организация заражения IoT-устройств (камер видеонаблюдения, «умных» бытовых приборов и т.д.) и их последующее использование в DDoS-атаках. И пока есть уязвимые IoT-устройства, у злодеев есть возможность использовать их не по назначению.
Кроме этого, следует понимать, что DDoS и в особенности DDoS-вымогательство, уже превратились в высокомаржинальный бизнес: рентабельность одной атаки может превышать 95%. А тот факт, что владельцы онлайн-площадок зачастую готовы платить отступные даже не проверяя, могут ли злоумышленники действительно произвести атаку (чем уже начали пользоваться мошенники другого рода), еще сильнее подливает масла в огонь. Все вышесказанное дает основания сделать прогноз, что средняя стоимость DDoS-атак в ближайшее время будет лишь снижаться, а их частота расти.
Что такое DDoS-атаки и как от них защищаться бизнесу
«Принцип работы подобного типа атак кроется в их названии — Distributed Denial of Service или «отказ в обслуживании, — рассказывает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. — Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов».
Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.
Схематическое изображение ботнет-сети (Фото: Cloudflare)
«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.
По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.
В чем отличие DoS от DDoS?
В арсенале киберпрестпуников есть еще один вид атаки типа «Отказ в обслуживании» — DoS-атака. Ее главное отличие от DDoS-атаки в том, что для рассылки запросов на сайт используется только одно устройство, а не сеть.
Как работает DDoS | Блог SSL.com.ua
DDoS-атаки проводят, когда хотят, чтобы сайт временно перестал работать или стал сильно тормозить. Это популярный способ парализовать работу онлайн-бизнеса: пока сайт недоступен, посетители уходят покупать к конкурентам или ждут, чтобы зайти к себе в аккаунт. В результате бизнес теряет деньги и репутацию. Разбираемся, как устроены DDoS-атаки и как от них защититься.
Что такое DDoS-атака
DDoS это частный случай DoS. Кратко введём в курс дела, если вы не знаете, что это.
DoS означает Denial of Service, по-русски — отказ в обслуживании. Это сетевая атака, в ходе которой злоумышленник пытается так сильно нагрузить сайт, чтобы он начал сильно тормозить или стал недоступен для обычных клиентов. Другими словами — атака, во время которой сайт должен «отказать в обслуживании».
А DDoS — это когда сайт атакуют не с одного устройства, а сразу с тысячи. Чем больше устройств, тем больше нагрузка на сервер и выше вероятность сделать сайт недоступным.
Участвовать в атаке могут быть любые устройства, которые подключаются к интернету и умеют отправлять запросы: смартфоны, смарт-часы, бытовая техника, хостинговые серверы.
Но найти и организовать тысячу желающих провести атаку трудно. Гораздо проще превратить компьютеры обычных людей в зомби и управлять ими издалека. Обычно это делают с помощью вирусов.
Такие вирусы не требуют ничего от пользователя и не выдают себя, поэтому владелец устройства может даже не подозревать, что участвует в атаке. Их могут встроить в программу для активации Windows, пиратскую копию игры или программы с торрентов, неофициальную прошивку для смартфона.
Как устроены атаки
Разновидностей DDoS-атак много, но условно они делятся на два типа: атаки на сетевую и программную часть сервера.
Во время атаки на сетевую часть злоумышленник пытается перегрузить канал связи сервера. Канал связи отвечает за объём данных, который сервер способен принять. Когда данных слишком много, сервер не успевает их обрабатывать и для части посетителей сайт перестаёт открываться.
Предположим, канал сервера может принять 1 Гб трафика или 10 000 пользователей одновременно. Задача злоумышленника — преодолеть этот барьер и делать это как можно дольше, чтобы реальные пользователи не могли прорваться на сайт.
Во время атаки на программную часть злоумышленник пытается исчерпать какой-то из ресурсов сервера: мощность процессора, оперативную память, допустимое количество процессов или подключений к базе данных. Когда какой-то из ресурсов заканчивается, сервер начинает тормозить или зависает.
Сервер использует какой-то из ресурсов каждый раз, когда посетитель совершает на сайте какое-то действие. Например, когда посетитель вводит детали входа в аккаунт, сервер проверяет их и отправляет в ответ следующую страницу или показывает ошибку.
Для ответа на разные запросы нужно разное количество ресурсов. Задача злоумышленника — найти запрос, на который сервер тратит максимум ресурсов, а потом закидать его им, пока тот не отключится.
Как устроить DDoS
Теоретически можно попытаться атаковать сайт в одиночку, но заставить сайт отказать в обслуживании будет сложно.
Шансы на успех будут только в случае атаки на программную часть сервера. Но для этого атакующий должен понимать, как устроен хостинг и приложения изнутри. Без этих знаний не получится найти запросы, которые требуют много ресурсов.
Атаку на сетевую часть сервера провести проще, но делать это в одиночку бессмысленно. Каналы связи большинства хостинг-провайдеров выдерживают намного больше трафика, чем способен сгенерировать один компьютер. Плюс грамотный системный администратор легко обнаружит мусорный трафик и отфильтрует его.
Более популярный вариант — заказать атаку в интернете. По запросу «заказать DDoS» Гугл показывает целую кучу сайтов, которые предлагают любые типы атак. Но стоить атака будет дорого. При этом непонятно, будет ли атака эффективной, гарантий никто не даёт.
Стоимость услуг на одном из сайтов
Зачем атакуют сайты
Недоступность сайта приносит онлайн-бизнесу убытки. Большинство людей не станет разбираться, почему сайт не открывается или загружается бесконечно. Проще закрыть его и поискать в другом интернет-магазине. Особенно в дни крупных акций вроде Чёрной пятницы, когда из-за нерасторопности можно остаться без скидки.
Атака может отразиться не только на выручке, но и на SEO. Если в момент недоступности сайта на какую-то из его страниц придёт поисковый бот, он исключит эту страницу из поисковой выдачи. Потому что поисковикам нет смысла показывать страницы, которые не работают.
Это не значит, что страница исчезнет из результатов поиска навсегда. Со временем бот вернётся на неё и проиндексирует снова, если в этот раз она будет доступна. Можно даже найти такие страницы и отправить на переиндексацию вручную, просто на это придётся потратить время. Особенно если на сайте сотни страниц.
Кроме конкурентов атаковать сайт могут вымогатели. Они связываются с владельца и требуют заплатить за прекращение атаки. Лучше, конечно, не платить, а связаться с хостинг-провайдеров и вместе с ними найти способ справиться с атакой.
Иногда случаются ситуации, когда сайт начинает тормозить или становится недоступен, хотя его не атакуют. Такое бывает, если сайт хранится на виртуальном хостинге. У пользователей такого хостинга есть общие ресурсы, поэтому если во время атаки какой-то из них полностью израсходуется, это затронет все сайты.
В таких ситуациях хостинг-провайдер может временно отключить сайт, который атакуют, чтобы не нарушать работу сайтов других клиентов.
Как защититься от DDoS-атаки
На сервере без защиты отразить грамотно спланированный DDoS будет сложно. На поиск решения нужно время, но если атака окажется достаточно мощной, сервер будет тормозить, а может и вообще зависнуть. Поэтому позаботиться о защите лучше заранее.
Защиту предоставляют специальные компании. Принцип её работы напоминает фильтр: сайт подключают к серверам провайдера защиты, после чего весь трафик сначала проходит через них, подозрительные запросы отсеиваются, а на сайт попадают только безопасные.
Базовая защита стоит $20 в месяц. Её можно купить у CloudFlare и DDoS-Guard. Она защитит только от самых распространённых видов атак. Такой вариант подойдёт небольшим сайтам, которых ещё не атаковали или атаки были слабыми.
Минус в том, что при атаке даже средней мощности такой защиты может не хватить и работа сайта всё равно нарушится.
Средняя защита стоит около $200 долларов в месяц. На неё можно перейти, если базовый тариф не подошёл. Такая защита спасёт от большинства видов атак и у вас будет больше возможностей настройки фильтров на стороне провайдера.
Даже если атака окажется мощной, защита возьмёт на себя большую часть нагрузки. Из-за этого сайт может оставаться работоспособным, хотя без защиты давно перестал бы открываться. Это даст системным администраторам возможность принять меры на своей стороне.
Полноценная защита от DDoS-атак любого типа и мощности стоит от $1000 в месяц. Её предоставляют крупные компании вроде DataDome или Sucuri. Стоимость может быть и выше, потому что её часто рассчитывают индивидуально, исходя из размера сайта.
Такая защита подойдёт, если сайт работает на нескольких выделенных серверах и в прошлом его уже доводили до отказа. Главное — оценить убытки от простоя. При регулярной недоступности они могут оказаться больше, чем стоимость защиты.
А какую защиту используете вы? Расскажите о своём опыте борьбы с DDoS-атаками в комментариях.
Что такое ddos/ддос атака и защита от ддос атак. Компания Allta (Киев).
Что такое DDoS атака?
DDoS-атака (Distributed Denial of Service) – это распределенная атака типа «отказ в обслуживании» на компьютерный ресурс с целью вывести его из строя, сделать недоступным для его пользователей. Данным атакам могут подвергаться веб-сайты, приложения, электронная почта, голосовая почта, компьютерные сети. Такие атаки производятся с помощью большого количества дистанционно-управляемых компьютеров путем направления потоков ложного сетевого трафика к цели. Цель становится настолько занятой рассмотрением запросов атакующего, что не имеет ресурсов и времени для ответов на запросы легитимных пользователей, и в конечном итоге, либо происходят задержки с ответами на запросы, либо отключение системы.
Почему распределенная (distributed) атака?
Атаки DoS (Denial of Service) называются распределенными, потому что они реализуются одновременно из многих компьютеров. Злоумышленник (дидосер) контролирует большое количество компьютеров, которые были заражены троянским вирусом. Владельцы компьютеров, участвующих в DDoS- атаке могут быть как добровольными, так и в некоторых случаях обманутыми, поскольку вирус представляет собой небольшое приложение, которое дает возможность удаленного контроля над компьютером без ведома пользователя.
Зомби и ботнеты
Инфицированные вирусом компьютеры называются зомби, потому что они делают все, что повелит им сделать злоумышленник. Большая группа компьютеров-зомби называется ботнет.
Любой компьютер может быть частью ботнета без ведома владельца. Пользователь может не заметить никакой разницы, или может отметить, что компьютер работает не так быстро, как раньше. Потому что компьютер может быть занят участием в атаке DDoS одновременно с выполнением ваших задач. Также Вы можете узнать о том, что ваш компьютер заражен, когда провайдер Интернета (ISP) отключит Ваш сервис, вследствие того что из Вашего компьютера отправляется чрезвычайно высокое количество сетевых запросов.
Как избежать DDoS?
Пользователи, стремящиеся к уменьшению риска заражения подобным вирусом, должны иметь установленное антивирусное программное обеспечение и регулярно проверять содержимое устройств хранения информации на предмет содержания вирусов и вредоносного ПО.
Атаки проводятся из разных точек земного шара и могут наносить вред коммерческим, государственным и промышленным структурам, при этом большинство злоумышленников остается безнаказанными.
Таким образом, DDoS является реальной угрозой для организации любого уровня и масштаба по всему миру, при этом, инициатором такой атаки может быть кто угодно. Готовность идентификации и предотвращения этих угроз является частью грамотного использования Интернет-ресурса, а также частью вашей повседневной жизни он-лайн без DDoS.
что это такое, их виды. Способы остановить и предотвратить DDoS-атаку
Что такое DDoS-атака
Атаки типа «отказ в обслуживании» DoS (Denial of Service) – это перегрузка сети паразитным трафиком (т.н. флуд), когда на атакуемый ресурс отправляется большое количество злонамеренных запросов, из-за чего полностью «забиваются» все каналы сервера или вся полоса пропускания входного маршрутизатора. При этом передать легитимный трафик на сервер становится невозможно. Запросов может быть так много, что сервер не успевает их обрабатывать и переходит в режим «отказа в обслуживании». На жаргоне специалистов это называется «положить сервер».
Если такая атака ведется не от одного компьютера, а от многих, то такая атака называется распределенной атакой DDoS (Distributed DoS).
Схема DDoS-атаки
Виды DDoS-атак
Атаки 3-4 уровня OSI
Это атаки на сетевом и транспортном уровнях. Злоумышленники «забивают» каналы передачи большим количеством передаваемых пакетов. Канал не может справиться с нагрузкой и выдает ошибку «отказ в доступе». DDoS-атаки могут использовать недостатки сетевых протоколов, перегружая сервер, в результате чего сервер перестает отвечать на запросы.
Атаки 7 уровня OSI
Атаки на уровне приложений потребляют не только сетевые ресурсы, но и ресурсы сервера. Сервер не выдерживает нагрузку, что приводит к его недоступности. Атака при этом направлена непосредственно на операционную систему или приложение с целью вынудить их превысить лимит вычислительной мощности сервера. При этом атакам подвергаются конкретные приложения, сервисы и службы. Атаки могут продолжаться длительное время (несколько часов или дней).
Типы DDoS-атак
- HTTP-флуд: самый простой вид запросов, например, при помощи HTTP-заголовка пакета, который указывает запрашиваемый ресурс сервера. Злоумышленник может использовать сколько угодно заголовков, придавая им нужные свойства. При DDoS-атаке HTTP-заголовки могут изменяться, делая их труднораспознаваемыми для выявления атаки. Кроме того, HTTP-запросы атаки могут передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. При этом «защищенность» идет атакующему только на пользу: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. То есть расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву, что приводит к исчерпанию его вычислительной мощности.
- SYN-флуд (TCP/SYN): устанавливает полуоткрытые соединения с узлом. Когда сервер-жертва принимает SYN-пакет синхронизации через открытый порт, он должен послать в ответ на сервер-источник запроса пакет подтверждения SYN-ACK и открыть соединение. После этого запроса сервер-источник должен послать на сервер пакет подтверждения ACK, однако злоумышленник не посылает это подтверждение. Соединения остаются полуоткрытыми до истечения тайм-аута. Очередь на подключение на атакуемом сервере переполняется и новые клиенты не могут установить соединение с сервером.
- MAC-флуд: злоумышленник посылает поток пустых фреймов Ethernet с разными MAC-адресами в каждом. Коммутаторы сети рассматривают каждый MAC-адрес в отдельности и резервируют ресурсы под каждый из них. Когда вся память коммутатора использована, он либо перестает отвечать, либо останавливает работу. Иногда атака MAC-флудом может удалять таблицы маршрутизации на узлах сети, таким образом нарушая работу всей сети, а не только одного сервера.
- Ping of Death: мастер-бот Ping of Death посылает злонамеренные пинг-запросы через различные IP-протоколы на атакуемый сервер, что приводит к его перегрузке. В настоящее время такие атаки редки. Пропускная способность сетей значительно повысилась, а для таких атак нужно много ресурсов – зараженных ботов.
- Smurf Attack: разновидность Ping of Death. Этот вид атаки использует протокол Интернет (IP) и протокол управляющих сообщений ICMP (Internet Control Message Protocol), на которых работает зловредная программа Smurf. Она подменяет IP-адрес атакующего и пингует IP-адреса в корпоративной сети, оставляя на них полуоткрытые соединения.
- Fraggle Attack: использует большие объемы трафика UDP на вещательной сети маршрутизатора. Эта атака работает аналогично Smurf-атаке, но вместо протокола ICMP использует вещательный протокол UDP.
- Slowloris. Атака Slowloris направлена на веб-сервер. Атакующий сервер подключается к целевому серверу и оставляет это подключение полуоткрытым настолько долго, насколько это возможно, а затем размножает эти полуоткрытые соединения. Закрытие таких соединений атакуемым сервером по таймауту происходит медленнее, чем установка новых соединений. Противодействовать этой атаке довольно сложно, поскольку сложно отследить источник атаки.
- NTP-усиление. Атака использует серверы протокола сетевого времени NTP (Network Time Protocol), который используется для синхронизации компьютерных часов в сети. Цель атаки – перегрузка трафиком UDP. При этой атаке атакуемый сервер отвечает, посылая UDP-трафик на подмененный злоумышленником IP-адрес. «Усиление» означает, что объем ответного UDP-трафика много больше запроса. Поэтому сеть быстро перегружается бесполезным трафиком, а ее узлы останавливают работу.
- Pulse Wave. Главная опасность пульсирующих атак Pulse wave заключается в методике периодических всплесков трафика. Обычная DDoS-атака выглядит как постепенно нарастающий поток вредоносного трафика. Pulse wave представляет собой серию коротких, но мощных импульсов, происходящих с определенной периодичностью.
Пульсирующий трафик атаки Pulse wave (источник: ddos-guard.net)
- APDoS. Усовершенствованная повторяющаяся DoS-атака APDoS (Advanced Persistent DoS) нацелена на нанесение максимального вреда атакуемому серверу. Он использует механизмы HTTP-флуда, SYN-флуда и других видов атак. При этом посылаются миллионы запросов в секунду. Такая атака может длиться неделями, поскольку злоумышленник все время меняет тактику атаки, типы атаки, чтобы обмануть средства противодействия атакуемой стороны.
Как остановить DDoS-атаку
Для противодействия случившейся DDoS-атаке необходимо принять следующие меры:
- Как можно раньше идентифицировать DDoS-атаку. Чем скорее распознан факт атаки, а также ее источник, тем раньше ее можно остановить и минимизировать ущерб. Для этого полезно иметь профиль входящего трафика – какой объем и какого трафика откуда идет. При этом, если происходят отклонение от это этого профиля, это событие может быть автоматически распознано и могут быть приняты превентивные меры. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, поэтому полезно иметь возможность распознать, вызваны ли эти всплески внезапной активностью легитимных пользователей, либо это начало DDoS-атаки.
Например, 6 сентября 2019 года около 21:00 по московскому времени у многих пользователей в Европе и мире перестали открываться сайты Википедии и Викимедии, а средства контроля доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго. Около полуночи того же дня германский сайт Викимедиа сообщил в Твиттере о масштабной DDoS-атаке на свои серверы, которая с перерывами продолжалась до 5:40 утра следующего дня. Источником атаки была ранее неизвестная хакерская группа UkDrillas, которая проводила «натурные испытания» своих методик и средств, а сайт Википедии был выбран ими в качестве «подопытного кролика».
График сетевого трафика при DDoS-атаке на кластер серверов Викимедиа в г. Ашберн (шт. Вирджиния, США), достигавшего почти 3 Гбит/с (источник: ru.wikinews.org)
- Однократное выделение серверу полосы пропускания «с запасом». Чем шире полоса у веб-сервера, тем обычно лучше. Таким образом сервер может выдерживать резкие и неожиданные всплески трафика, которые могут быть, например, результатом рекламной кампании. Но даже если заложить запас в 100 %, или 500 %, это вряд ли спасет от DDoS-атаки. Однако это может дать некоторое время на распознавание источника и типа атаки и принятие мер до того, как сервер «ляжет» полностью.
- Защита периметра сети. Есть несколько технических мер, которые можно предпринять для частичного ограничения эффекта атаки. Многие из них довольно просты и требуют лишь регулировки сетевых настроек. Например:
- Ограничить скорости маршрутизатора, чтобы предотвратить остановку сервера.
- Установить фильтры на маршрутизаторе для сброса пакетов от распознанного источника атаки.
- Установить таймаут на полуоткрытые соединения (от которых в течение времени таймаута не получен подтверждающий ответ источника запроса).
- Сбрасывать пакеты с подмененными IP-адресами и вообще пакеты необычной структуры.
- Установить более низкие пороги сброса для SYN-, ICMP-, и UDP-флуда.
Однако все эти меры хорошо известны и хакерам, и они изобретают все новые способы атак и увеличивают их интенсивность. Но все же эти меры помогут выиграть время на распознавание атаки и принятие мер до наступления фатальной ситуации.
Шансы на предотвращение DDoS-атаки значительно увеличиваются, если веб-сервер расположен в дата-центре, а не в корпоративной сети предприятия. В дата-центрах обычно и входная полоса шире, и имеются мощные маршрутизаторы, которые не всякая организация может себе позволить, а также и персонал имеет больше опыта в предотвращении атак. По крайней мере, другие серверы организации (email, VoIP и пр.) не подвергнутся воздействию атаки.
- Обратиться к специалисту по DDoS-атакам. Есть специальные компании, которые специализируются на оказании экстренной помощи организациям, ставшим объектом DDoS-атаки. У таких компаний есть разнообразные технологии и средства, чтобы обеспечить работоспособность сервера под DDoS-атакой.
Работа услуги предотвращения DDoS-атак, предоставляемая хостинг-провайдером (источник: ИКС медиа)
- Создать инструкцию по действиям в случае DDoS—атаки. В такой инструкции могут быть в доступной форме расписаны действия персонала по предотвращению случившейся DDoS-атаки.
Как предотвратить DDoS-атаку
- Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
- Резервировать ИТ-инфраструктуру. Чтобы максимально усложнить хакерам задачу DDoS-атаки на сервер, лучше распределить виртуальную серверную инфраструктуру по нескольким дата-центрам с использованием хорошей системы балансировки, которая распределяет трафик между ними. При возможности эти дата-центры должны быть в разных областях и округах страны (или даже в разных странах). Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точке. Таким образом, хакеру, в лучшем случае, удастся атаковать лишь часть серверной инфраструктуры, а остальные части инфраструктуры смогут взять на себя дополнительный трафик или его долю.
- Конфигурировать сетевое оборудования так, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
- Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
- Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
- Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.
Заключение
Можно сказать, что не существует какой-то «волшебной таблетки», универсального средства, которые дадут возможность забыть о DDoS-атаках. Хакеры-злоумышленники – народ злобно-изощренный, и они не только изобретают все новые виды, методы и средства DDoS-атак, но также и тщательно изучают доступные на рынке средства противодействия им. Здесь весьма уместна присказка про «болт с резьбой», весьма популярная в среде хакеров.
Какие бы и сколько бы средств какой угодно мощности вы ни установите на свою сеть, это не даст гарантии того, что вы не станете жертвой DDoS-атаки. Поэтому защите от DDoS-атак необходимо постоянно уделять самое пристальное внимание. Не следует ограничиваться только установкой программно-аппаратных средств защиты. Необходимо также проводить образовательную работу среди инженерного персонала.
Типы DDoS-атак и методы смягчения
Определение распределенной атаки типа «отказ в обслуживании» (DDoS)
Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка сделать онлайн-сервис недоступным для пользователей, обычно путем временного прерывания или приостановки обслуживания его хост-сервера.
DDoS-атака запускается с множества взломанных устройств, которые часто распространяются по всему миру в так называемых ботнетах.Он отличается от других атак типа «отказ в обслуживании» (DoS) тем, что использует одно подключенное к Интернету устройство (одно сетевое соединение) для наводнения цели вредоносным трафиком. Этот нюанс — основная причина существования этих двух, несколько разных определений.
«И на этом наша вечеринка DDoS завершается: Escapist Magazine, Eve Online, Minecraft, League of Legends + 8 телефонных запросов». Твитнул LulzSec — 14 июня 2011 г., 23:07
В общих чертах, DoS- и DDoS-атаки можно разделить на три типа:
Атаки на основе объема
Включает лавинную рассылку UDP, лавинную рассылку ICMP и другие лавинные потоки поддельных пакетов.Цель атаки — перегрузить полосу пропускания атакуемого сайта, и ее величина измеряется в битах в секунду (бит / с).
Протокол атак
Включает SYN-флуд, атаки фрагментированных пакетов, Ping of Death, Smurf DDoS и многое другое. Этот тип атаки потребляет фактические ресурсы сервера или промежуточного коммуникационного оборудования, такого как межсетевые экраны и балансировщики нагрузки, и измеряется в пакетах в секунду (Pps).
Атаки на уровне приложений
Включает низко- и медленные атаки, наводнения GET / POST, атаки, нацеленные на уязвимости Apache, Windows или OpenBSD, и многое другое.Целью этих атак, состоящих из кажущихся законными и невинных запросов, является сбой веб-сервера, а величина измеряется в запросах в секунду (Rps).
Распространенные типы DDoS-атак
Некоторые из наиболее часто используемых типов DDoS-атак включают:
UDP Наводнение
UDP-флуд, по определению, — это любая DDoS-атака, которая наводняет цель пакетами протокола пользовательских дейтаграмм (UDP). Цель атаки — заполнить случайные порты на удаленном хосте.Это заставляет хост неоднократно проверять, прослушивает ли этот порт приложение, и (если приложение не найдено) отвечает пакетом ICMP «Destination Unreachable». Этот процесс истощает ресурсы хоста, что в конечном итоге может привести к недоступности.
ICMP (Ping) Флуд
В принципе, аналогично атаке UDP-лавинной рассылки, ICMP-лавинная переполняет целевой ресурс пакетами эхо-запроса ICMP (ping), обычно отправляя пакеты как можно быстрее, не дожидаясь ответов.Этот тип атаки может потреблять как исходящую, так и входящую полосу пропускания, поскольку серверы жертвы часто пытаются ответить пакетами эхо-ответа ICMP, что приводит к значительному общему замедлению работы системы.
SYN Flood
Атака SYN flood DDoS использует известную слабость в последовательности TCP-соединения («трехстороннее рукопожатие»), при которой на SYN-запрос для инициирования TCP-соединения с хостом должен быть получен ответ SYN-ACK от этого хоста, а затем подтверждается ответом ACK от запрашивающей стороны.В сценарии SYN-лавинной рассылки запрашивающая сторона отправляет несколько SYN-запросов, но либо не отвечает на ответ SYN-ACK хоста, либо отправляет SYN-запросы с поддельного IP-адреса. В любом случае хост-система продолжает ждать подтверждения для каждого запроса, привязывая ресурсы до тех пор, пока новые соединения не перестанут быть установлены, что в конечном итоге приведет к отказу в обслуживании.
Пинг смерти
Атака POD (POD) включает в себя отправку злоумышленником нескольких неверно сформированных или вредоносных запросов на компьютер.Максимальная длина IP-пакета (включая заголовок) составляет 65 535 байт. Однако уровень канала передачи данных обычно устанавливает ограничения на максимальный размер кадра — например, 1500 байтов по сети Ethernet. В этом случае большой IP-пакет разделяется на несколько IP-пакетов (известных как фрагменты), и хост-получатель повторно собирает IP-фрагменты в полный пакет. В сценарии Ping of Death после злонамеренного манипулирования содержимым фрагмента получатель получает IP-пакет, размер которого при повторной сборке превышает 65 535 байт.Это может привести к переполнению буферов памяти, выделенных для пакета, что приведет к отказу в обслуживании законных пакетов.
Slowloris
Slowloris — это целенаправленная атака, позволяющая одному веб-серверу отключать другой сервер, не затрагивая другие службы или порты в целевой сети. Slowloris делает это, удерживая как можно больше открытых подключений к целевому веб-серверу. Это достигается путем создания соединений с целевым сервером, но отправкой только частичного запроса.Slowloris постоянно отправляет новые заголовки HTTP, но никогда не выполняет запрос. Целевой сервер сохраняет открытыми каждое из этих ложных подключений. Это в конечном итоге приводит к переполнению максимального пула одновременных подключений и приводит к отказу от дополнительных подключений от законных клиентов.
Усиление NTP
В атаках с усилением NTP злоумышленник использует общедоступные серверы Network Time Protocol (NTP), чтобы перегружать целевой сервер трафиком UDP. Атака определяется как атака с усилением, потому что соотношение запросов и ответов в таких сценариях составляет от 1:20 до 1: 200 или более.Это означает, что любой злоумышленник, который получает список открытых серверов NTP (например, с помощью такого инструмента, как Metasploit, или данных из Open NTP Project), может легко создать разрушительную DDoS-атаку большого объема с высокой пропускной способностью.
HTTP-флуд
При DDoS-атаке HTTP-потоком злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки на веб-сервер или приложение. HTTP-потоки не используют искаженные пакеты, методы спуфинга или отражения и требуют меньшей полосы пропускания, чем другие атаки, чтобы вывести целевой сайт или сервер из строя.Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимально возможные ресурсы в ответ на каждый отдельный запрос.
Imperva смягчает масштабный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
DDoS-атаки нулевого дня
Определение «нулевого дня» охватывает все неизвестные или новые атаки, использующие уязвимости, для которых еще не выпущено исправление. Этот термин хорошо известен среди членов хакерского сообщества, где практика торговли уязвимостями нулевого дня стала популярным занятием.
×Мотивация DDoS-атак
DDoS-атаки быстро становятся наиболее распространенным типом киберугроз, которые, согласно последним исследованиям рынка, за последний год быстро выросли как по количеству, так и по объему. Тенденция заключается в более короткой продолжительности атаки, но большем объеме атаки пакетов в секунду.
Основными мотивами злоумышленников являются:
- Идеология — Так называемые «хактивисты» используют DDoS-атаки как средство нацеливания на веб-сайты, с которыми они не согласны идеологически.
- Деловые распри — Компании могут использовать DDoS-атаки для стратегического уничтожения веб-сайтов конкурентов, например, чтобы не допустить их участия в значительном событии, таком как Киберпонедельник.
- Скука — Кибервандалы, также известные как «скрипт-кидди», используют заранее написанные сценарии для запуска DDoS-атак.Виновным в этих атаках обычно бывает скучно, потенциальные хакеры ищут прилив адреналина.
- Вымогательство — Злоумышленники используют DDoS-атаки или угрозу DDoS-атак как средство вымогательства денег у своих целей.
- Кибервойна — санкционированные правительством DDoS-атаки могут использоваться как для нанесения вреда оппозиционным веб-сайтам, так и для инфраструктуры вражеской страны. LOIC (Low Orbit Ion Cannon): инструмент DoS-атак «начального уровня», используемый для кибервандализма
Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.
Решения Imperva уменьшают ущерб от DDoS-атак
Imperva беспрепятственно и всесторонне защищает веб-сайты от всех трех типов DDoS-атак, обращаясь к каждому с помощью уникального набора инструментов и стратегии защиты:
Объемные атаки
Imperva противостоит этим атакам, поглощая их с помощью глобальной сети центров очистки, которые масштабируются по запросу для противодействия многогигабайтным DDoS-атакам.
Протокол атак
Imperva смягчает этот тип атак, блокируя «плохой» трафик еще до того, как он достигнет сайта, используя технологию идентификации посетителей, которая различает законных посетителей веб-сайта (люди, поисковые системы и т. Д.)) и автоматические или злонамеренные клиенты.
Атаки на уровне приложений
Imperva смягчает атаки на уровне приложений, отслеживая поведение посетителей, блокируя известные плохие боты и проверяя подозрительные или нераспознанные объекты с помощью теста JS, запроса cookie и даже CAPTCHA.
Imperva предотвращает DDoS-атаку 250 Гбит / с — одну из крупнейших в Интернете.
Во всех этих сценариях Imperva применяет свои решения по защите от DDoS-атак за пределами вашей сети, что означает, что только отфильтрованный трафик достигает ваших хостов.Кроме того, Imperva поддерживает обширную базу знаний об угрозах DDoS, которая включает в себя новые и появляющиеся методы атак. Эта постоянно обновляемая информация собирается по всей нашей сети, выявляя новые угрозы по мере их появления, выявляя известных злоумышленников и применяя средства защиты в реальном времени на всех веб-сайтах, защищенных Imperva.
Что делать при DDoS-атаке [Руководство]
Как обсуждалось в других статьях (например, Что такое DDoS), DDoS-атака — это массовое нападение на систему с целью снижения ее производительности.Злоумышленник надеется сделать его недоступным для предполагаемых пользователей.
Как узнать, что я подвергся DDoS-атаке?
Если сайт работает медленно, означает ли это, что на него проводится DDoS-атака? Если он генерирует коды ошибок в 500 (код ошибки 500, 504, 505…), подвергается ли он атаке? Не обязательно, но может.
Иногда DDoS-атаки очевидны. Большинство злоумышленников не являются альтруистами (т. Е. Их мотивируют деньги), и вымогательство DDoS является обычным явлением. Итак, когда ваш сайт выходит из строя, а затем вы получаете требование выкупа (обычно выплачиваемого в биткойнах), становится ясно, что происходит.
Другие атаки не столь очевидны, но вы все равно можете найти наиболее вероятное объяснение. Например, если есть нация, которая недовольна вашей страной, и ваш сайт перегружен трафиком с IP-адресов в этой другой стране, то это, вероятно, политически мотивированный DDoS.
Также возможно участвовать в DDoS-атаке, но не в качестве жертвы. Буква D в слове DDoS означает «Распределенный», потому что многие компьютеры используются для атак на другие компьютерные системы.Владельцы этих «подчиненных» систем могут не знать, что они используются в атаке. Тем не менее, есть некоторые явные признаки, которые могут указывать на то, что компьютер был взломан (низкая производительность, высокая загрузка ЦП, высокий исходящий сетевой трафик и т. Д.). Если вы подозреваете, что ваша система используется для DDoS-атаки, обратитесь в компанию, которая может проанализировать вашу сеть и определить, было ли вторжение.
На меня напали — что делать?
Если вы установили, что в настоящее время подвергаетесь DDoS-атаке, есть несколько возможных решений, которые обычно используются.Вот они, в порядке увеличения эффективности.
- Настройте ограничение скорости брандмауэра на стороне сервера (IPTABLES или брандмауэр MS-Windows). Это заблокирует атаку, но может поставить под угрозу доступ сервера к сети. Это также не предотвратит насыщение входящего Интернет-канала трафиком атаки, поэтому ваш сайт может по-прежнему стать недоступным для веб-пользователей, даже если сам сервер продолжает реагировать.
- Ограничение количества запросов и количества запросов в конфигурации веб-сервера .Как и в первом варианте, это не защитит входящую трубу. Кроме того, будут фильтроваться только простейшие формы DDoS-атак; злоумышленники, которые меняют IP-адреса или используют другую тактику обфускации, обычно могут обойти эту форму защиты.
- Добавьте в ферму новые серверы для распределения нагрузки. Это дорого, и на это уходит много времени. Он также решает неправильную проблему; DDoS не вызван недостаточной мощностью сервера, проблема в том, что в сеть разрешается враждебный трафик.
- Измените записи DNS для домена (ов) . Это может сработать, но обычно только временно.
- Установите межсетевой экран пограничной сети и ограничьте скорость входящего пути . Это может сработать, но для правильной настройки может потребоваться время. Между тем атака будет продолжаться. Также, как и в случае с вариантом 2, многие из этих межсетевых экранов не способны обнаруживать более изощренные формы атак.
Как лучше всего остановить DDoS-атаку?
Лучший способ остановить атаку — обратиться за помощью к профессионалам.
Большинство компаний, предлагающих решения для защиты от DDoS-атак, также предлагают немедленную помощь компаниям, подвергшимся атаке. (Обратите внимание, что это бизнес-решения. Многие DDoS-атаки происходят на игровых серверах, и геймеры иногда обращаются к этим компаниям с просьбой о помощи. Если это ваша ситуация, имейте в виду, что эти компании, вероятно, не смогут вам помочь.)
Самый быстрый и простой способ остановить DDoS-атаки — это использовать облачное решение безопасности. Reblaze развертывается за считанные минуты, и для активации требуется только изменение DNS.По мере распространения изменения DNS входящий трафик начинает маршрутизироваться через Reblaze. При этом трафик DDoS и других атак отфильтровывается; на защищаемый сайт проходит только законный трафик. А в качестве облачного решения Reblaze имеет доступ к практически неограниченной пропускной способности, автоматическое масштабирование для обработки даже массовых DDoS-атак.
Атака остановлена, что теперь?
Если вы остановили атаку самостоятельно (без решения облачной безопасности) или просто подождали, пока она остановится, то ваша краткосрочная проблема решена, но долгосрочная проблема остается.Атака показала, что ваше текущее решение безопасности неадекватно. Вам следует развернуть облачное решение для веб-безопасности, которое успешно защитит вас от DDoS-атак, а также от других форм интернет-угроз.
ОбъяснениеDDoS: как развиваются распределенные атаки типа «отказ в обслуживании»
Что такое DDoS-атака?
Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление услуги.Этого можно достичь, заблокировав доступ практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже конкретным транзакциям внутри приложений. При DoS-атаке вредоносные данные или запросы отправляет одна система; DDoS-атака исходит из нескольких систем.
Как правило, эти атаки работают, забивая систему запросами данных. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он дает сбой по запросу, или это может быть база данных, пораженная большим объемом запросов.В результате доступная пропускная способность интернета, ресурсы ЦП и ОЗУ становятся перегруженными.
Воздействие может варьироваться от незначительного раздражения от сбоев в работе служб до того, что целые веб-сайты, приложения или даже весь бизнес отключены.
Видео по теме: Ранние предупреждающие признаки DDoS-атаки
3 типа DDoS-атак
Существует три основных класса DDoS-атак:
- Объемные атаки используют огромные объемы фиктивного трафика для перегрузки такого ресурса, как веб-сайт или сервер.К ним относятся атаки ICMP, UDP и флуд-атаки с поддельными пакетами. Размер атаки на основе объема измеряется в битах в секунду (бит / с).
- Протокол или DDoS-атаки на сетевом уровне отправляют большое количество пакетов в целевую сетевую инфраструктуру и инструменты управления инфраструктурой. Эти атаки протокола включают, среди прочего, SYN-флуд и Smurf DDoS, и их размер измеряется в пакетах в секунду (PPS).
- Атаки на уровне приложений проводятся путем переполнения приложений вредоносными запросами.Размер атак на уровне приложений измеряется запросами в секунду (RPS).
Для каждого типа атаки цель всегда одна: сделать онлайн-ресурсы вялыми или полностью невосприимчивыми.
Симптомы DDoS-атаки
DDoS-атаки могут выглядеть как многие из не вредоносных вещей, которые могут вызвать проблемы с доступностью, например, отказавший сервер или система, слишком много законных запросов от законных пользователей или даже перерезанный кабель. Часто требуется анализ трафика, чтобы точно определить, что именно происходит.
График DDoS-атаки
Это была атака, которая навсегда изменила взгляд на атаки типа «отказ в обслуживании». В начале 2000 года канадский ученик средней школы Майкл Кальс, также известный как MafiaBoy, взломал Yahoo! с помощью распределенной атаки типа «отказ в обслуживании» (DDoS), в результате которой удалось остановить один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицелился и успешно взломал другие такие сайты, как Amazon, CNN и eBay.
Конечно, это не первая DDoS-атака, но эта широко известная и успешная серия атак навсегда превратила атаки типа «отказ в обслуживании» из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах руководителей по информационным технологиям и ИТ-директорам.
С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, как средство онлайн-активности и даже для ведения кибервойны.
Они тоже стали больше с годами. В середине 1990-х годов атака могла состоять из 150 запросов в секунду — и этого было бы достаточно, чтобы вывести из строя многие системы. Сегодня они могут превышать 1000 Гбит / с. Это во многом было вызвано огромным размером современных ботнетов.
В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял под волной DNS-запросов с десятков миллионов IP-адресов.Эта атака, осуществленная через ботнет Mirai, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры. На пике популярности Mirai достигла 400 000 ботов. Сервисы, включая Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, были остановлены.
В начале 2018 года начал появляться новый метод DDoS. 28 февраля служба хостинга контроля версий GitHub подверглась массированной атаке отказа в обслуживании, трафик на популярный сайт приходился на 1,35 ТБ в секунду. Хотя GitHub отключался от сети лишь время от времени и ему удалось полностью отбить атаку менее чем через 20 минут, сам масштаб атаки вызывал беспокойство, так как она опередила атаку Dyn, пик которой достиг 1.2 ТБ в секунду.
Анализ технологии, использованной для атаки, показал, что в некоторых отношениях она была проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч устройств IoT, атака GitHub использовала серверы с системой кэширования памяти Memcached, которая может возвращать очень большие блоки данных в ответ на простые запросы.
Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, не имеет достаточной защиты, чтобы предотвратить подмену IP-адресов злоумышленниками и отправку огромных объемов данных ничего не подозревающим жертвам.К сожалению, тысячи серверов Memcached находятся в открытом Интернете, и наблюдается огромный рост их использования в DDoS-атаках. Сказать, что серверы «взломаны», не совсем справедливо, поскольку они с радостью отправят пакеты, куда бы им ни сказали, не задавая вопросов.
Спустя всего несколько дней после атаки GitHub, еще одна DDoS-атака на основе Memecached обрушилась на американского поставщика услуг с объемом данных 1,7 ТБ в секунду.
Видео по теме: DDoS-атака Dyn через год
Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он задействовал уязвимые устройства Интернета вещей, а не ПК и серверы. Это особенно страшно, если учесть, что к 2020 году, согласно данным BI Intelligence, будет 34 миллиарда подключенных к Интернету устройств, а большинство (24 миллиарда) будут устройствами Интернета вещей.
К сожалению, Mirai не будет последним ботнетом на базе Интернета вещей. В ходе расследования, проведенного группами безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru, был обнаружен ботнет аналогичного размера, получивший название WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Проведением расследования послужила серия крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.
21 июня 2020 года Akamai сообщила, что смягчила DDoS-атаку на крупный европейский банк, пик которой достиг 809 миллионов пакетов в секунду (Mpps), что является самым большим объемом пакетов за всю историю.Эта атака была разработана, чтобы перегрузить сетевое оборудование и приложения в центре обработки данных цели, отправив миллиарды небольших (29 байт, включая заголовок IPv4) пакетов.
Исследователи Akamai заявили, что эта атака была уникальной из-за большого количества используемых исходных IP-адресов. «Количество исходных IP-адресов, которые регистрировали трафик к месту назначения клиента, значительно увеличилось во время атаки, что указывает на его высокую степень распределенности по своей природе. Мы увидели, что количество исходных IP-адресов в минуту увеличилось в 600 раз по сравнению с тем, что мы обычно наблюдаем для этого клиента. пункт назначения «, — отметили исследователи.
DDoS-атаки сегодня
Несмотря на то, что объем DDoS-атак со временем снизился, они по-прежнему представляют собой серьезную угрозу. Лаборатория Касперского сообщает, что количество DDoS-атак во втором квартале 2019 года увеличилось на 32% по сравнению с третьим кварталом 2018 года, в первую очередь из-за всплеска атак в сентябре. В 2020 году Cloudflare сообщает, что объем DDoS-атак увеличивался каждый квартал, кроме Q4,
По словам Касперского, недавно обнаруженные бот-сети, такие как Torii и DemonBot, способные запускать DDoS-атаки, вызывают беспокойство.Torii способен захватить ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности.
Еще одна тревожная тенденция — появление новых платформ запуска DDoS, таких как 0x-booter. В этом DDos-as-a-service задействовано около 16 000 устройств Интернета вещей, зараженных вредоносным ПО Bushido, разновидностью Mirai.
Отчет о DDoS-атаках от Imperva показал, что большинство DDoS-атак в 2019 году были относительно небольшими.Например, атаки на сетевом уровне обычно не превышали 50 миллионов пакетов в секунду. Авторы отчета связывают это с услугами DDoS-наемника, которые предлагают неограниченные, но небольшие атаки. Imperva действительно наблюдала несколько очень крупных атак в 2019 году, включая атаку сетевого уровня, которая достигла 580 миллионов запросов в секунду, и атаку уровня приложений, которая достигла пика в 292000 запросов в секунду и длилась 13 дней.
Эта тенденция изменилась в четвертом квартале 2020 года, когда Cloudflare сообщила о «массовом росте» числа атак со скоростью более 500 Мбит / с и 50 000 пакетов в секунду.Эти атаки также стали более постоянными: в период с октября по декабрь наблюдалось почти 9% атак, которые длились более 24 часов.
Cloudflare также наблюдала то, что она назвала «разрушительной тенденцией» в увеличении количества атак RDDoS в 2020 году, когда организации получают угрозу DDoS-атаки, которая нарушит их работу, если не будет выплачен выкуп. Злоумышленники, как правило, нацелены на жертв, которые менее способны отреагировать и оправиться от такой атаки.
Инструменты для DDoS-атакОбычно DDoS-атакующие используют ботнеты — совокупности сети зараженных вредоносным ПО систем, которые контролируются централизованно.Этими зараженными конечными точками обычно являются компьютеры и серверы, но все чаще это Интернет вещей и мобильные устройства. Злоумышленники будут использовать эти системы, идентифицируя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники арендуют эти бот-сети у тех, кто их построил.
Как развиваются DDoS-атакиКак вкратце упоминалось выше, все чаще такие атаки проводятся с помощью арендованных ботнетов.Ожидайте, что эта тенденция сохранится.
Другой тенденцией является использование нескольких векторов атаки в рамках атаки, также известной как Advanced Persistent Denial-of-Service APDoS. Например, атака APDoS может включать в себя уровень приложений, например атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого« наводнения », — говорит Чак Макки, управляющий директор по успеху партнеров Binary Defense.
Кроме того, объясняет Макки, злоумышленники часто атакуют не только своих жертв, но и организации, от которых они зависят, такие как интернет-провайдеры и облачные провайдеры.«Это широкомасштабные, мощные и хорошо скоординированные атаки», — говорит он.
Это также меняет влияние DDoS-атак на организации и увеличивает их риск. «Компании больше не озабочены DDoS-атаками на себя, а атаками на огромное количество деловых партнеров, поставщиков и поставщиков, на которых полагаются эти компании», — говорит Майк Оверли, юрист по кибербезопасности в Foley & Lardner LLP. «Одна из старейших пословиц в сфере безопасности заключается в том, что безопасность бизнеса зависит от его самого слабого звена.В сегодняшних условиях (о чем свидетельствуют недавние взломы) этим самым слабым звеном может быть и часто оказывается одна из третьих сторон », — говорит он.
Конечно, по мере того, как преступники совершенствуют свои DDoS-атаки, технологии и тактика не будут стоять на месте. Как объясняет Род Сото, директор по исследованиям безопасности в JASK, добавление новых устройств Интернета вещей, развитие машинного обучения и искусственного интеллекта сыграют свою роль в изменении этих атак. «Злоумышленники в конечном итоге интегрируют эти технологии и в атаки, что затрудняет защиту защитников от DDoS-атак, особенно тех, которые не могут быть остановлены простыми ACL-списками или сигнатурами.Технологии защиты от DDoS-атак также должны будут развиваться в этом направлении », — говорит Сото.
Примечание редактора: эта статья, впервые опубликованная в сентябре 2017 года, была обновлена с учетом текущих данных Cloudflare.
Подробнее о DDoS-атаках:
Copyright © 2021 IDG Communications, Inc.
Что такое DDoS-атака | DDoS Значение
Распределенные сетевые атаки часто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует преимущества определенных ограничений пропускной способности, которые применяются к любым сетевым ресурсам, например к инфраструктуре, которая обеспечивает работу веб-сайта компании. В результате DDoS-атаки к атакованному веб-ресурсу будет отправлено несколько запросов с целью превышения возможностей веб-сайта для обработки нескольких запросов … и предотвращения правильной работы веб-сайта.
Типичные цели для DDoS-атак:
- Интернет-магазины
- Интернет-казино
- Любой бизнес или организация, зависящая от предоставления онлайн-услуг
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют конечный предел количества запросов, которые они могут обслуживать одновременно.В дополнение к пределу емкости сервера канал, который соединяет сервер с Интернетом, также будет иметь ограниченную полосу пропускания / емкость. Каждый раз, когда количество запросов превышает пределы емкости любого компонента инфраструктуры, уровень обслуживания может пострадать одним из следующих способов:
- Ответ на запросы будет намного медленнее, чем обычно.
- Некоторые или все запросы пользователей могут быть полностью проигнорированы.
Обычно конечной целью злоумышленника является полное предотвращение нормального функционирования веб-ресурса — полный «отказ в обслуживании».Злоумышленник также может запросить плату за прекращение атаки. В некоторых случаях DDoS-атака может быть даже попыткой дискредитировать или нанести ущерб бизнесу конкурента.
Использование «зомби-сети» ботнета для проведения DDoS-атаки
Чтобы отправить чрезвычайно большое количество запросов к ресурсу жертвы, киберпреступник часто создает «зомби-сеть» компьютеров, зараженных преступником. Поскольку преступник контролирует действия каждого зараженного компьютера в сети зомби, масштаб атаки может быть огромным для веб-ресурсов жертвы.
Характер сегодняшних DDoS-угроз
В период с начала до середины 2000-х этот вид преступной деятельности был довольно распространенным явлением. Однако количество успешных DDoS-атак сокращается. Снижение количества DDoS-атак, вероятно, произошло в результате следующего:
- Полицейские расследования, в результате которых были арестованы преступники по всему миру
- Технические контрмеры, которые оказались успешными против DDoS-атак
Другие статьи и ссылки, связанные с Распределенные сетевые атаки / DDoS
Что такое DDoS-атака? — DDoS Значение
Распределенные сетевые атаки Kasperskyчасто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует преимущества определенных ограничений пропускной способности, которые применяются к любым сетевым ресурсам — например, к инфраструктуре, которая обеспечивает работу веб-сайта компании …
Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?
Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка вывести из строя веб-сервер или онлайн-систему, перегружая ее данными. DDoS-атаки могут быть простыми озорством, местью или хактивизмом и могут варьироваться от незначительного раздражения до длительного простоя, приводящего к потере бизнеса.
хакеров поразили GitHub DDoS-атакой со скоростью 1,35 терабайта данных в секунду в феврале 2018 года. Это масштабная атака, и вряд ли она станет последней в своем роде.
Получите бесплатное тестирование на проникновение в средах Active Directory EBook
«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защита».
В отличие от программ-вымогателей или атак со стороны APT-групп, которые имеют финансовую мотивацию, DDoS-атаки более разрушительны и раздражают.Насколько плохо это может быть? Тысячи заядлых игроков не смогли попасть в Classic WoW из-за DDoS-атаки! Дело в том, что злоумышленники не зарабатывают на DDoS-атаках — они просто делают это, чтобы причинить боль.
Как работает DDoS-атака?
DDoS-атаки чаще всего работают с помощью ботнетов — большой группы распределенных компьютеров, которые действуют согласованно друг с другом, одновременно рассылая спам веб-сайта или поставщика услуг с запросами данных.
Злоумышленники используют вредоносные программы или незащищенные уязвимости для установки программного обеспечения Command and Control (C2) в системы пользователей для создания ботнета.DDoS-атаки полагаются на большое количество компьютеров в ботнете для достижения желаемого эффекта, и самый простой и дешевый способ получить контроль над таким количеством машин — использовать эксплойты.
Атака DYNDNS использовала камеры WIFI с паролями по умолчанию для создания огромного ботнета. Когда ботнет готов, злоумышленники отправляют команду запуска на все свои узлы ботнета, а затем ботнеты отправляют свои запрограммированные запросы на целевой сервер. Если атака преодолевает внешнюю защиту, она быстро подавляет большинство систем, вызывает сбои в обслуживании, а в некоторых случаях приводит к сбою сервера.Конечным результатом DDoS-атаки является в первую очередь потеря производительности или прерывание обслуживания — клиенты не видят веб-сайт.
Хотя это может показаться незначительным, стоимость DDoS-атаки в 2017 году составила в среднем 2,5 миллиона долларов. Kaspersky сообщает, что DDoS-атаки обходятся малым предприятиям в 120 000 долларов, а предприятиям — в 2 000 000 долларов. Хакеры используют DDoS-атаки для чего угодно, начиная от детских шуток и заканчивая местью бизнесу и выражением политической активности.
DDoS-атаки являются незаконными в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях.Запуск DDoS-атаки на сеть без разрешения обойдется вам до 10 лет тюрьмы и до 500000 долларов штрафа.
В чем разница между DoS-атакой и DDoS-атакой?
Атака отказа в обслуживании (DoS) включает в себя множество видов атак, каждая из которых предназначена для нарушения работы служб. В дополнение к DDoS вы можете использовать DoS на уровне приложений, расширенный постоянный DoS и DoS как услугу. Компании будут использовать DoS как услугу для стресс-тестирования своих сетей.
Короче говоря, DDoS — это один из типов DoS-атаки, однако DoS также может означать, что злоумышленник использовал один узел для инициирования атаки вместо использования ботнета.Оба определения верны.
Что означает DDoS-атака для моей безопасности?
Вам необходимо подготовиться и спланировать управление DDoS-атакой на ваши системы. Вам необходимо отслеживать, генерировать предупреждения и быстро диагностировать текущую DDoS-атаку. Следующим шагом будет быстрое прекращение атаки, не затрагивая ваших пользователей. Вы можете заблокировать IP-адреса с помощью межсетевого экрана нового поколения или закрыть входящий трафик целевой системы и переключиться на резервную копию. Есть и другие планы реагирования, которые вы можете реализовать, убедитесь, что они у вас есть.
Распространенные типы DDoS-атак
Злоумышленники могут совершить DDoS-атаку несколькими способами. Вот некоторые из наиболее известных:
Атаки на уровне приложений
DDoS-атаки на уровне приложений направлены на исчерпание ресурсов цели и нарушение доступа к веб-сайту или службе цели. Злоумышленники загружают ботов сложным запросом, который облагает налогом целевой сервер, когда он пытается ответить. Запрос может потребовать доступа к базе данных или больших загрузок.Если цель получит несколько миллионов таких запросов за короткое время, она может очень быстро перегрузиться и либо замедлиться до обхода, либо полностью заблокироваться.
Атака HTTP Flood, например, представляет собой атаку уровня приложения, которая нацелена на веб-сервер на цели и использует множество быстрых HTTP-запросов для остановки сервера. Думайте об этом как о нажатии кнопки обновления в режиме быстрой стрельбы на игровом контроллере. Такой трафик сразу со многих тысяч компьютеров быстро затопит веб-сервер.
Атаки на протокол
DDoS-атаки по протоколунацелены на сетевой уровень целевых систем. Их цель — перегрузить табличные пространства основных сетевых служб, брандмауэра или балансировщика нагрузки, который перенаправляет запросы к цели.
Как правило, сетевые службы работают с очередью «первым пришел — первым вышел» (FIFO). Приходит первый запрос, компьютер обрабатывает запрос, а затем он идет и получает следующий запрос в очереди и так далее. Теперь в этой очереди есть ограниченное количество мест, и при DDoS-атаке очередь может стать настолько большой, что у компьютера не будет ресурсов для обработки первого запроса.
Атака SYN flood — это атака определенного протокола. В стандартной сетевой транзакции TCP / IP есть трехстороннее рукопожатие. Это SYN, ACK и SYN-ACK. SYN — это первая часть, которая представляет собой какой-то запрос, ACK — это ответ от цели, а SYN-ACK — это исходный запросчик, говорящий «спасибо, я получил запрошенную информацию». При атаке SYN-флуда злоумышленники создают SYN-пакеты с поддельными IP-адресами. Затем цель отправляет ACK на фиктивный адрес, который никогда не отвечает, а затем сидит там и ждет, пока все эти ответы истекут, что, в свою очередь, истощает ресурсы для обработки всех этих поддельных транзакций.
Объемные атаки
Цель объемной атаки — использовать ботнет для генерации большого количества трафика и блокирования работ на цели. Думайте об атаке HTTP Flood, но с добавленным компонентом экспоненциального ответа. Например, если вы и 20 ваших друзей позвонили в одну и ту же пиццерию и одновременно заказали 50 пирогов, эта пиццерия не сможет выполнить эти запросы. Объемные атаки работают по тому же принципу. Они запрашивают у цели что-то, что значительно увеличивает размер ответа, а объем трафика резко возрастает и забивает сервер.
DNS Amplification — это разновидность объемной атаки. В этом случае они атакуют DNS-сервер напрямую и запрашивают обратно большой объем данных с DNS-сервера, что может вывести DNS-сервер из строя и нанести вред любому, кто использует этот DNS-сервер для служб разрешения имен.
Как предотвратить DDoS-атаки?
Как GitHub пережил эту массовую DDoS-атаку? Конечно же, планирование и подготовка. После 10 минут периодических отключений серверы GitHub активировали свою службу защиты от DDoS-атак.Служба смягчения последствий перенаправила входящий трафик и очистила вредоносные пакеты, и примерно через 10 минут злоумышленники сдались.
Помимо оплаты услуг по предотвращению DDoS-атак от таких компаний, как Cloudflare и Akamai, вы можете использовать стандартные меры безопасности конечных точек. Исправьте свои серверы, отключите серверы Memcached от открытого Интернета и обучите пользователей распознавать фишинговые атаки.
Вы можете включить Black Hole Routing во время DDoS-атаки, чтобы отправить весь трафик в пропасть.Вы можете установить ограничение скорости, чтобы ограничить количество запросов, которые сервер получает за короткий промежуток времени. Правильно настроенный брандмауэр также может защитить ваши серверы.
Varonis отслеживает ваши DNS, VPN, прокси-серверы и данные, чтобы помочь обнаружить признаки надвигающейся DDoS-атаки на вашу корпоративную сеть. Varonis отслеживает модели поведения и генерирует предупреждения, когда текущее поведение соответствует модели угрозы или отклоняется от стандартного поведения. Это может включать атаки вредоносных ботнетов или значительное увеличение сетевого трафика, указывающее на DDoS-атаку.
DDoS-атак сегодня
Как и все остальное в вычислительной технике, DDoS-атаки развиваются и становятся все более разрушительными для бизнеса. Размеры атак увеличиваются: со 150 запросов в секунду в 1990-х годах — что привело бы к отказу серверов той эпохи — до недавних атак DYNDNS и GitHub с объемом 1,2 ТБ и 1,35 ТБ соответственно. Целью обеих этих атак было подорвать два основных источника производительности по всему миру.
В этих атаках использовались новые методы для достижения огромной пропускной способности.Атака Dyn использовала эксплойт, обнаруженный в устройствах Интернета вещей (IoT), для создания ботнета, который называется атакой Mirai Botnet. Mirai использовала открытые порты Telnet и пароли по умолчанию, чтобы захватить камеры с поддержкой WiFi для выполнения атаки. Эта атака была детской шуткой, но представляла собой серьезную уязвимость, которая связана с распространением устройств IoT.
Атака GitHub использовала многие тысячи серверов, на которых запущена Memcached в открытом Интернете, система кэширования памяти с открытым исходным кодом.Memcached с радостью отвечает огромными объемами данных на простые запросы, поэтому оставлять эти серверы в открытом Интернете категорически запрещено.
Обе эти атаки показывают значительный риск будущих эксплойтов, особенно по мере того, как вселенная Интернета вещей продолжает расти. Насколько весело было бы, если бы ваш холодильник стал частью ботнета? С другой стороны, атака даже не остановила GitHub.
Более того, выполнение DDoS-атак никогда не было таким простым. Имея несколько доступных вариантов DDoS-as-a-Service, злоумышленники могут заплатить символическую плату за «аренду» ботнета зараженных компьютеров для выполнения DDoS-атаки против выбранной ими цели.
В сентябре 2019 года злоумышленники поразили как Википедию, так и классический World of Warcraft с помощью DDoS-атак. В настоящее время нет никаких признаков того, что эти атаки являются новой технологией, но следите за обновлениями.
Часто задаваемые вопросы о DDoS-атаках
Краткий обзор ответов на часто задаваемые вопросы о DDoS-атаках.
В: Что происходит во время DDoS-атаки?
A: Во время DDoS-атаки распределенные компьютеры — ботнет — рассылают цели как можно больше запросов данных.
В: Являются ли DDoS-атаки незаконными?
A: Да, незаконно использовать методы DDoS для нарушения работы цели без разрешения. Рекомендуется организовать тренировку по DDoS-атакам, чтобы вы могли практиковать свой план реагирования на инциденты для DDoS-атак, которые являются законным использованием DDoS.
Вопрос: Какой канал связи обычно используется при DDoS-атаке?
A: Запросы HTTP, DNS и TCP / IP — распространенные протоколы, используемые для DDoS-атак.
АтакиDDoS могут быть разрушительными, поэтому используйте упреждающий подход и создайте план реагирования на инциденты, чтобы быстро реагировать.Уникальное сочетание возможностей мониторинга и обнаружения угроз Varonis дает вам преимущество в реализации стратегии DDoS-атак.
Посетите веб-семинар Live Cyber Attack Demo, чтобы увидеть Varonis в действии.
Как остановить DDoS-атаку на ваш сайт
За считанные минуты распределенный отказ в обслуживании или DDoS — атака может привести к остановке трафика на ваш сайт.
В прошлом эти атаки были скорее раздражением, чем серьезной угрозой, но теперь ситуация изменилась.DDoS-атаки становятся все чаще и чаще. В период с первого квартала 2018 года по первый квартал 2019 года количество крупных атак увеличилось на 967%. Восстановление после такой DDoS-атаки может стоить малому бизнесу сотни тысяч долларов.
Почему DDoS-атака разрушительна?
Существует несколько вариантов DDoS-атак, но, как правило, киберпреступники используют эти типы атак для блокировки легального трафика на веб-сайт. Несколько удаленно управляемых компьютеров в разных сетях наводняют серверы «фальшивыми» запросами.Сеть машин, используемых для запуска атаки, называется «ботнетом».
Часто избыток запросов вызывает сбой хост-сервера, переводя целевой веб-сайт в автономный режим. Даже если атака не приведет к сбою веб-сайта, она может замедлить его настолько, чтобы сделать его непригодным для использования посетителями.
Стоимость DDoS-атаки
потеря законного трафика веб-сайта в результате DDoS-атаки может дорого обойтись для предприятий любого размера. Согласно исследованию Coreo, проведенному в 2018 году, жертвы DDoS-атак могут проиграть до 50 000 долларов конфискованного дохода от каждой атаки.
А тем не менее, для большинства компаний, пострадавших от DDoS-атак, репутационный ущерб даже оправиться труднее, чем финансовые потери. Неспособность защитить себя от Интернет — верный способ потерять доверие клиентов, и это доверие может быть трудно отыграть.
Почему люди запускают DDoS-атаки?
В то время как DDoS-атаки могут дорого обойтись жертвам, они относительно дешевы для киберпреступников нужно казнить, что является одной из причин их роста.
Киберпреступник не получит никакой финансовой выгоды непосредственно от DDoS-атаки (если за ее выполнение им не заплатит третья сторона). Обычно киберпреступники используют DDoS-атаки в качестве отвлекающего маневра, привлекая внимание целевой организации, в то время как кража данных или внедрение вредоносного ПО осуществляется за кулисами. Другие мотивы могут быть политическими, эгоцентрическими или местными по своей природе, и почти любой может нанять киберпреступника для проведения DDoS-атаки.
Обнаружение признаков DDoS-атаки
Диагностика DDoS-атаки могут быть сложными, потому что симптомы атаки часто напоминают непредвиденные проблемы доступности, такие как низкая скорость сайта или проблемы с сетью.
Однако, если соединение с вашим сайтом необычно медленное, или ваш сайт полностью не может подключиться к сети, у вас могут быть признаки DDoS-атаки. Точно так же, если вы заметите необычный или неожиданный всплеск трафика веб-сайта, который длится несколько дней, а не часов, или значительный всплеск спама в электронных письмах, вы можете подвергнуться атаке.
Как остановить DDoS-атаку на ваш Сайт
Это дешевле и проще предотвратить DDoS-атаку, чем оправиться от нее.Но как предотвращаются DDoS-атаки?
Ваш первой линией защиты должно быть веб-приложение межсетевой экран (WAF), который может защитить ваш сайт даже от самых мощных DDoS-атак. угрозы. WAF с поддержкой DDoS перенаправляют вредоносный трафик на другой контент сети доставки, распределяя нагрузку от сервера. Вы можете использовать свой брандмауэр в сочетании со сканером веб-сайтов или другое вторжение система обнаружения для выявления вредоносного трафика ботов и быстрого удаления вредоносных программ.
Некоторые администраторы также будут создавать предупреждения, уведомляющие их об аномальных обнаруживается нагрузка трафика или автоматически отбрасываются сетевые пакеты, соответствующие определенным критерии.Даже если у вас нет технических знаний, чтобы сделать это на своем собственный, ваш брандмауэр и веб-сканер позволят вам относительно легко обнаружить и устранять угрозы.
Если злоумышленник успешно осуществит атаку на ваш сайт, ваш WAF сможет помочь вам в смягчая его. С другой стороны, невозможно полностью предотвратить DDoS-атаку. без межсетевого экрана. Если на вас настроен таргетинг, а у вас его нет, вы скорее всего придется пережить атаку.
Как владельцу малого бизнеса очень важно знать, как предотвратить DDoS-атаку на свой веб-сайт. В будущем эти атаки станут еще более частыми. В частности, по мере того, как небезопасные устройства Интернета вещей (IoT) становятся все более распространенными, киберпреступники будут иметь все больше векторов атак. Не превращайте себя в легкую мишень; примите меры по усилению безопасности всех ваших устройств прямо сейчас.
Моник Беченти (Monique Becenti) — специалист по маркетингу продуктов и каналов сбыта в SiteLock , облачном провайдере безопасности веб-сайтов, который в настоящее время защищает более 12 миллионов веб-сайтов по всему миру.Моник стремится улучшить качество обслуживания клиентов для всех. Сочетание целенаправленных исследований и разработок SiteLock, агрессивных планов развития продуктов и доступа к огромному набору глобальных данных делают компанию ведущим новатором в области веб-безопасности.
Как уберечь ваш сайт от DoS-атаки
Узнайте, как предотвратить атаки типа «отказ в обслуживании», которые хакеры могут использовать для нацеливания на веб-сайт.
Интернет — бесценный инструмент, который стал важной частью жизни почти каждого, но иногда он может быть пугающим местом.Поскольку в новостях регулярно появляются истории о хакерах, ошибках и уязвимостях безопасности, владельцы веб-сайтов могут беспокоиться о том, в безопасности ли они и что они могут сделать, чтобы не пострадать от злонамеренных людей, скрывающихся в захудалой изнанке Интернета.
Хотя может показаться трудным уследить за всеми возможными способами причинения вреда вашему веб-сайту, еще одна вещь, на которую следует обратить внимание, — это атаки типа «отказ в обслуживании» (DoS). Мы хотели узнать, что именно представляют собой эти виды атак и как владельцы сайтов могут с ними бороться:
Что такое DoS-атака?
Атака типа «отказ в обслуживании» — это метод остановки веб-сайта путем перегрузки его запросами или данными.Это можно сделать разными способами, но основная цель атаки — отправить на веб-сайт такой объем трафика или данных, чтобы ресурсы сервера были израсходованы, что не позволило законным пользователям получить доступ к сайту.
Если такая атака проводится с одного компьютера, ей обычно можно противостоять, заблокировав трафик с этого компьютера. Однако хакеры стали более коварными, используя несколько компьютеров для запуска атаки из большого количества источников. Они часто могут сделать это, заражая компьютеры вредоносным ПО, превращая их в «ботнет», который представляет собой совокупность сотен или тысяч машин, которыми они могут управлять, не зная о том, что их владельцы знают о происходящем.Атака с использованием нескольких компьютеров называется атакой распределенного отказа в обслуживании (DDoS) .
Хакеры могут выполнять такого рода атаки по разным причинам, включая злонамеренные действия по отношению к конкурентам, вымогательство или политическую демонстрацию. К сожалению, эти атаки могут также затронуть другие сайты наряду с намеченной целью (целями), сбивая всех, кто использует один сервер или сеть, до тех пор, пока проблема не будет решена.
Как мне дать отпор?
В то время как DoS-атака, исходящая от одного компьютера, может быть смягчена путем блокировки трафика с этого IP-адреса, с DDoS-атаками, использующими большое количество компьютеров, бороться намного сложнее.Эти атаки могут иметь несколько различных форм, нацеленных на различные аспекты веб-сайта или сети, включая протоколы TCP / IP, SSL, DNS, межсетевые экраны, серверы SQL или уровень приложений веб-сайта. Сложность этих атак может создать проблему для владельцев веб-сайтов, поэтому им необходимо убедиться, что их хостинг-провайдер использует инструменты и услуги для борьбы с атаками и обеспечивает доступность своего веб-сайта.
Помимо обеспечения достаточной сетевой емкости среды хостинга веб-сайта для обработки неожиданного увеличения трафика и использования балансировки нагрузки, поставщики услуг хостинга веб-сайтов могут использовать как облачные системы , так и локальные системы предотвращения атак .
Локальные системы работают в среде хостинга веб-сайта, исследуя трафик на сайт, чтобы определить, соответствует ли он схеме атаки, и работая над смягчением любых атак, которые они обнаруживают. Однако, поскольку они расположены в том же центре обработки данных, что и веб-сервер (-ы), они не могут бороться с атаками, затрагивающими всю сеть.
Облачные системы обеспечивают внешнюю защиту от атак за счет использования большого количества пропускной способности на нескольких серверах по всему миру.Сети доставки контента (CDN), такие как CloudFlare, могут обеспечить защиту от DDoS-атак, перенаправляя трафик на несколько серверов и поглощая вредоносный трафик.