Ддос что это: Что такое DDoS-атака? Распределенная атака типа «отказ в обслуживании»

Содержание

Какие бывают DDoS-атаки и почему защищаться сложнее из

По данным системы активного анализа уровня угроз NETSCOUT Threat Intelligence во время пандемии произошло самое большое количество атак, которое когда-либо наблюдали наши партнеры — 4,83 миллиона DDoS-атак в первой половине 2020 года (на 15% больше, чем в 2019 году). А частота DDoS-атак увеличилась на 25% в период с марта по июнь.

Однако стоит заметить, что количество одновекторных атак за первую половину 2020 года снизилось на 43% по сравнению с тем же периодом предыдущего года. А количество сложных многовекторных (15+ векторов) атак увеличилось на 126% за последний год и на 2851% с 2017 года.

 

Подробная статистика и выводы о DDoS-атаках за первое полугодие 2020 года собрана в нашей pdf-брошюре.

Скачать брошюру

 

Таким образом, отражать DDoS-атаки становится сложнее. Подавляющее большинство DDoS-атак длится один час или меньше, а почти четверть из них длится менее пяти минут. Это означает, что компаниям необходима защита, которая может мгновенно обнаруживать и смягчать атаки до того, как будет нанесен ущерб.

Какие категории DDoS-атак бывают и в чем их опасность, разберем в этой статье.

 

Категории DDoS-атак и их опасность

От того, какую часть сети злоумышленники планируют атаковать, зависит сложность и тип DDoS-атаки. Сетевые подключения состоят из различных уровней (согласно сетевой модели OSI), DDoS-атака может быть направлена на любой из них:

L7 (уровень приложения) обеспечивает взаимодействие пользовательских приложений с сетью. Например, просмотр страниц с помощью протокола HTTP.

L6 (уровень представления) обеспечивает преобразование протоколов и кодирование/декодирование данных. Этот уровень работает на основе протоколов сжатия и кодирования данных (ASCII, EBCDIC).

L5 (сеансовый уровень) обеспечивает поддержку сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Основные протоколы этого уровня — SMPP и PAP.

L4 (транспортный уровень) обеспечивает надежную передачу данных от отправителя к получателю. Основные протоколы этого уровня — UDP и TCP.

L3 (сетевой уровень) отвечает за трансляцию логических адресов и имён, коммутацию и маршрутизацию. Работает по протоколу IP (Internet Protocol).

L2 (канальный уровень) обеспечивает взаимодействие сетей на физическом уровне. Работает через коммутаторы и концентраторы.

L1 (физический уровень) определяет метод передачи данных, представленных в двоичном виде, от одного устройства к другому. Работает благодаря протоколам Ethernet, Bluetooth, Wi-Fi, IRDA.

Киберпреступники могут атаковать любой из семи уровней, но наиболее часто подвергаются атакам L3 и L4 (низкоуровневые атаки), а также L5 и L7 (высокоуровневые атаки).

 

DDoS-атаки могут иметь смешанный характер, однако можно выделить три категории:

  • атаки на уровне приложений;
  • атаки на уровне протокола;
  • объемные атаки.

Разберем каждую категорию с примерами атак.

 

Атаки на уровне приложений

Атаки на уровне приложений особенно разрушительны и трудны для выявления, так как могут имитировать легитимный трафик. Они предназначены для перегрузки элементов инфраструктуры сервера приложений и выведении их из строя. На этом уровне киберпреступники используют ресурсозатратные вызовы и взаимосвязи приложений, провоцируя систему атаковать себя же.

Взлом BGP (Border Gateway Protocol) нацелен на протокол шлюза, используемый для стандартизации данных маршрутизации и обмена информацией, связан с изменением IP-маршрутов. Эта атака направлена ​​на маршрутизацию интернет-трафика в непредусмотренный пункт назначения.

Атака Slowloris (сессионная атака) нацелена на запросы HTTP-соединения, чтобы поддерживать как можно больше одновременных соединений. Киберпреступники открывают множество соединений и держат каждое из них открытым как можно дольше — до момента таймаута. В результате замедляется работа серверов и игнорируются запросы реальных пользователей.

Медленная POST-атака основана на отправке правильно заданных заголовков HTTP POST на сервер, но тело заголовка передается с очень низкой скоростью, обрывая связь на одном из моментов и начиная новое соединение. Поскольку заголовок сообщения правильный, сервер отвечает на запрос. В результате сервер открывает множество таких соединений, расходуя ресурсы.

Атака медленного чтения по принципу напоминает медленную POST-атаку, но в обратном направлении. Разница в том, что в случае POST-атаки медленно отправляется тело сообщения, а в случае атаки медленного чтения — HTTP-запросы намеренно принимаются и читаются с очень низкой скоростью. Сервер должен держать такие запросы открытыми — это увеличивает нагрузку.

Low and slow атака основана на небольшом потоке очень медленного трафика. Этим методом киберпреступники постепенно перегружают серверы, в результате чего запросы реальных пользователей на подключение отклоняются. Для таких атак необходима небольшая полоса пропускания и их трудно предотвратить, так как генерируется трафик аналогичный трафику реальных пользователей.

POST-атака с большой полезной нагрузкой основана на использовании расширяемого языка разметки XML. Сервер получает измененные киберпреступниками данные в кодировке XML. Фактический размер таких данных в разы больше, поэтому когда они попадают на сервер, его память значительно заполняется.

Имитация просмотра страниц. Этот тип DDoS-атак имитирует паттерны поведения реальных пользователей на страницах приложения, что приводит к резкому увеличению количества посетителей и усложняет возможность отсеивать легитимный трафик от трафика ботнета.

 

Атаки на уровне протокола

Атаки на уровне протокола расходуют ресурсы сервера или оборудования. В этом случае задача киберпреступников — исключить возможность обрабатывать пакеты реальных пользователей, отправляя на сервер вредоносные пакеты.

SYN flood использует уязвимости в системе установления связи TCP, а именно: SYN-запросы, SYN-ACK и пакеты ACK. На сервер отправляется SYN-запрос, на который сервер отвечает сообщением SYN-ACK. Сервер в ответ ожидает пакет ACK от пользователя, но оборудование киберпреступника настроено таким образом, чтобы пакет ACK никогда не приходил. Большое количество таких запросов может вызвать сбой на сервере.

Атака фрагментированными пакетами (TearDrop) нацелена на максимально возможную пропускную способность протокола TCP/IP. Киберпреступники отправляют множество фрагментированных пакетов на сервер жертвы, но во время передачи происходит смещение пакетов, а при сборке пакетов — перекрытие. Такое перекрытие приводит к ошибке на сервере и аварийному завершению системы.

Smurf DDoS-атака основана на отправке запросов большому количеству устройств сети, используя IP-адрес жертвы. Киберпреступники, используя широковещательные сетевые рассылки, отправляют поддельный запрос с адресом жертвы на разные устройства. Получив такой запрос, эти устройства отвечают, создавая усиленный трафик в адрес устройства жертвы.

 

Объемные атаки

Объемные атаки направлены на превышение пропускной способности канала. Мощность объемных DDoS-атак измеряется в количестве бит за единицу времени. Наиболее эффективная защита от таких атак — очистка трафика на уровне, например, операторов связи. Наш сервис, Internet Umbrella, обеспечивает защиту от DDoS-атак мощностью до 5 Тб/с при грубой очистке и до 300 Гб/с при тонкой очистке.

HTTP flood перегружает сервер огромным количеством HTTP-запросов, например, для получения тяжёлых элементов сайта. Запросы подбираются таким образом, чтобы ответ был максимальным по объему. В результате обратный канал от сервера к клиентам перегружается трафиком HTTP-ответов.

ICMP flood основан на отправке большого количества вредоносных ICMP пакетов с разных IP-адресов, перегружая сервер поддельными запросами. Каждый раз, когда сервер получает такой запрос, он должен диагностировать состояние своей сети. В результате сам поток ICMP запросов перегружает входящий канал.

UDP flood использует большое количество запросов UDP с различных адресов, в результате чего сервер оказывается переполненным вредоносными UDP пакетами, загружая ими всю линию соединения.

Атака с усилением (DNS amplification) основана на отправке множества запросов с поддельными IP-адресами от имени жертвы на DNS-сервер. Такие запросы требуют объемных ответов, которые и направляются на сайт жертвы.

 

Защищаться становится сложнее

В первом полугодии средняя продолжительность атак снизилась на 51% по сравнению с первым полугодием 2019 года. Более короткие атаки требуют меньше ресурсов киберпреступников и осложняют реагирование на такие инциденты со стороны специалистов по кибербезопасности.

Одновременно с этим количество многовекторных (15+ векторов) атак увеличилось на 2851% по сравнению с 2017 годом. Еще три года назад такие атаки считались статистическими выбросами в общем количестве инцидентов.

DDoS-атаки стали более короткими и сложными. В результате у специалистов по ИБ остается меньше времени и ресурсов на их отражение. Это доказывает необходимость уже сейчас начать применять передовые и автоматизированные технологии защиты от DDoS-атак.

Например, NETSCOUT — наш партнер и поставщик решений для защиты от DDoS-атак Arbor Networks, предоставляет обновляемую аналитику угроз о DDoS-атаках со всего мира. Благодаря автоматической доставке обновлений и подстройке защиты нашим центром SOC мы можем оперативно отражать новые угрозы со стороны ботнетов и вредоносных программ.

 

Источники:
https://www.netscout.com/blog
https://orangecyberdefense.com
Justinas Mazura, What is a DDoS attack?, https://cybernews.com/
 

Перспективные DDoS-атаки: о чём нужно знать и как готовиться?

По мере своего роста проекты и организации приобретают новые ресурсы, но и оказываются перед лицом новых угроз. Иногда даже незначительные по масштабу компании становятся жертвами киберпреступников.

Причины атак на цифровые ресурсы могут быть различными — от охоты за ценными сведениями и доступами до намеренного причинения репутационного и финансового ущерба. В любом случае безопасность должна стоять на первом месте.

Облачная инфраструктура, особенно публичные облака, приобрели большую популярность за прошедшие несколько лет. Тысячи компаний по всему миру, от малого бизнеса до настоящих гигантов, полагаются на облачные сервисы. Киберугрозы могут поставить под удар любой онлайн-бизнес, если не предпринимать меры для защиты.

Классификация DDoS-атак

Одной из самых распространнённых киберугроз являются DDoS-атаки, Distributed Denial of Service. Их целью является дословно "Отказ в обслуживании" — то есть такие атаки нарушают работу серверов, сайтов, сервисов посредством избыточного потока запросов. Не рассчитанные на высокие нагрузки ресурсы просто перестают работать, в результате чего доступа к ним лишаются все пользователи. Также в рамках DDoS-атак используются уязвимости на уровне сетевых протоколов и непосредственно приложений.

Термин "distributed", или "распределённые", применительно к данному виду атак предполагает, что в качестве их источника злоумышленниками скрытно используются целые сети заражённых устройств — ботнеты. Владельцы зачастую не подозревают, что с их устройств и IP-адресов осуществляются атаки. Особенно удачно для таких целей подходят IoT-девайсы, количество которых непрерывно растёт, а защищённость остаётся на низком уровне.

Несмотря на то, что почти половина всех DDoS-атак имеют смешанный характер, выделяют три основные категории.

Volumetric attacks

Объёмные атаки или флуд. Самый распространённый тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети. Его объём может доходить до нескольких терабит в секунду. В результате, неподготовленная инфраструктура не выдерживает атаки и перестаёт отвечать на запросы.

К типу volumetric attacks относятся такие категории, как, например:

  • DNS amplification (усиление) — к публичному DNS-серверу от имени жертвы (в запросах прописывается IP атакуемого сервера) идут многочисленные запросы, требующие объёмных ответов. Последние, в свою очередь, перенаправляются на сервер жертвы.
  • DNS flood — отправка запросов DNS-серверу с многочисленных IP-адресов. Среди полученных сервером пакетов весьма тяжело обнаружить вредоносные.
  • ICMP flood — ICMP пакеты не требуют подтверждения о получении, поэтому их крайне трудно отделить от вредоносного трафика.
  • SYN flood — отправка избыточного количества запросов на открытие новых сессий с целью исчерпать память таблицы соединений.
Protocol attacks

Существует разновидность атак, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объёмом трафика, сколько точечными действиями, использующими несовершенства сети. В частности, к атакам данного типа относится:

  • POD (ping of death) — пинг сервера с помощью ICMP пакетов, в которых содержимое искажено или объём которых превышает максимально допустимый.
Application layer attacks

Атаки на прикладном уровне, 7 уровень OSI, направлены на веб-сервера и приложения — например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM. Цель может быть достигнута с помощью внешнего HTTP-запроса, в ответ на который система начинает исполнение такого числа внутренних запросов, на которое просто не рассчитана. К атакам на уровне приложений среди прочих относятся:

  • HTTP flood — избыточное количество GET и POST запросов к серверу — например, для получения самых тяжёлых элементов сайта.
  • Slowloris — бот открывает множество сессий на сервере, при этом, не отвечая на них и провоцируя таймаут. В результате, такие поддельные сессии забирают на себя ресурсы сервера и ведут к его недоступности.

Самые перспективные типы DDoS-атак

К некоторым методам злоумышленники проявляют особый интерес ввиду их высокой эффективности. Самые серьёзные инциденты как в настоящем, так и в ближайшей перспективе, связаны с несколькими типами DDoS-атак.

DNS reflected Amplification

Подвид volumetric атак, суть которых — в комбинации двух вредоносных факторов. Во-первых, имитируя запрос с сервера жертвы путём подстановки его IP в запрос, атакующий использует публичный DNS-сервер как рефлектор, то есть, "отражатель". Тот, получив запрос якобы от атакуемого сервера, возвращает ответ ему же, "отражая" запрос.

Более того, запросить можно не только IP-адрес домена, а намного больше данных, в связи с чем ответ DNS-сервера станет гораздо более объёмным. Наконец, трафик можно довести до предела, осуществляя запросы через ботнет. Таким образом, с высокой вероятностью достигается перегрузка пропускной полосы сервера жертвы.

Самый известный случай применения DNS reflected amplification — атака на github в феврале 2018 — самая крупная из известных DDoS-атак. Поток трафика достигал 1,35 Тб/с, а коэффициент усиления (амплификация) — 51 000.

Generated UDP Flood

Generated UDP Flood сочетает генерацию избыточного объёма трафика и элементы атаки уровня протоколов.

Атака с помощью UDP-пакетов, отправляемых с подставных IP-адресов, направлена на IP-адрес и порт сервера. Правильно подобрав параметры пакетов и интенсивности их отправки, можно сымитировать легитимный трафик. Выявить "мусорные" запросы становится крайне трудно.

Такой атаке подвергся сервер MMORPG Albion Online. В качестве решения для устранения угрозы был выбран программный комплекс G-Core Labs, сочетающий такие методы, как:

  • Rate-limiting — ограничение трафика;
  • Regexp-filtering — фильтрация пакетов, совпадающих с regexp в payload;
  • Whitelisting — добавление IP игрока в белый список при прохождении авторизации;
  • Blacklisting — добавление в чёрный список адресов, не прошедших валидацию;
  • IP Geolocation Filter — блокировка IP-адресов по геолокации;

а также ряд методов, не имеющих аналогов. Например, G‑Core Labs' Challenge Response (CR) — протокол, интегрируемый на стороне клиента и позволяющий валидировать его IP-адрес.

HTTP GET/POST Flood

Атака уровня приложений. В данном случае на сервер отправляется непрерывный поток GET и POST запросов, легитимных на первый взгляд. Проблема в том, что атакующий не дожидается ответов, а направляет запросы постоянно, вследствие чего ресурсы сервера исчерпываются в процессе их обработки.

Согласно открытым источникам, от подобной атаки в ноябре 2016 пострадали сайты ряда крупных российских банков. HTTP flood использовали в самом начале, чтобы точно определить частоту запросов и объём трафика, необходимый для отказа в обслуживании. Метод выступил как вспомогательный, после чего в ход пошли другие инструменты.

Burst attack (Hit-and-run)

Один из подвидов Volumetric атак, hit and run работает особым образом, непохожим на большинство других атак. Это непродолжительные всплески трафика, объёмом сотни гигабит в секунду, длительностью 20-60 минут, а в ряде случаев — менее минуты. Они многократно повторяются в течение длительных периодов времени — дней и даже недель — с интервалами, в среднем, 1-2 суток.

Подобные атаки стали популярными ввиду своей дешевизны. Они эффективны против защитных решений, активируемых вручную. Опасность hit and run заключается в том, что последовательная защита требует непрерывного мониторинга и готовности систем реагирования.

Основными жертвами атак hit-and-run становятся сервера онлайн-игр и сервис-провайдеры. С ними сталкиваются 42% организаций.

SYN Flood

Очередной пример класса Volumetric атак. Стандартное соединение с сервером по протоколу TCP производится методом трёх рукопожатий. На первом этапе клиент отправляет пакет с флагом SYN для синхронизации. Сервер отвечает пакетом SYN-ACK, уведомляя клиента о получении первого пакета и предлагая отправить завершающий, третий, для подтверждения соединения. Клиент же не отвечает пакетом ACK, продолжая флуд, и, тем самым, перегружая ресурсы сервера.

SYN flood атакам, а также их близким аналогам подвергались крупнейшие компании, такие как Amazon, SoftLayer (IBM), Eurobet Italia SRL, Korea Telecom. Одним из серьёзных инцидентов стало выведение из строя сайта спортивных ставок Eurobet в октябре 2019. Позднее в том же месяце жертвами TCP SYN-ACK reflection стали ряд финансовых и телекоммуникационных компаний в Италии, Южной Корее и Турции.

Slowloris

Представитель DDoS-атак уровня приложений. Session attack или Slowloris нацелена на "изматывание" сервера жертвы. Злоумышленник открывает множество соединений и держит каждое из них открытым как можно дольше до момента таймаута.

Подобные атаки нелегко обнаружить, так как соединение TCP уже установлено, HTTP запросы выглядят легитимными. Через некоторое время такая тактика позволяет занять все соединения, исключив доступ реальных пользователей к серверу.

Slowloris приобрела широкую известность в ходе президентских выборов в Иране, когда атакующие предприняли попытку отключить сайты, принадлежащие правительству страны.

Как защититься от DDoS атак: 3 составляющих безопасности системы

Очевидно, что кибербезопасность — узкая компетенция и её едва ли удастся закрыть так же легко, как HR или бухгалтерию, какой бы продвинутой ни была компания. Важно заботиться о том, чтобы ваши сервис-провайдеры и поставщики инфраструктуры были глубоко погружены в вопросы кибербезопасности и зарекомендовали себя как настоящие профессионалы.

Надёжная защита обеспечивается соблюдением 3 условий:

  • Использование проверенного решения для непрерывной защиты от DDoS-атак;
  • Разработка плана действий на случай угрозы — DDoS Response Plan;
  • Проведение регулярного healthcheck системы и устранение уязвимостей приложений.
Проверенное решение для защиты от DDoS

Если рассматривать облачную инфраструктуру, то в данной сфере защита требует особого внимания.

Сервер — одна из основ любого веб-сервиса, приложения, сайта. Если на него совершена атака, которая привела к потере доступа пользователей к ресурсам, последствия могут быть плачевными. Это финансовые и репутационные риски, компрометация конфиденциальной информации, уничтожение ценных ресурсов, судебные риски.

Чтобы сохранить активы в безопасности, важно использовать проверенные средства онлайн-защиты. Они должны включать такие элементы, как:

  • Средства непрерывного мониторинга трафика и выявления подозрительной активности;
  • Black- и whitelisting IP-адресов;
  • Систему оповещения об угрозах;
  • Систему нейтрализации атак.

Особенно важно в процессе ликвидации угрозы не заблокировать пользовательский трафик вместе с вредоносным.

Показательным примером эффективной точной настройки служит сервис защиты от DDoS-атак компании G-Core Labs. Этот сервис полезен любому онлайн-бизнесу: медиа-ресурсам, разработчикам и издателям игр, телеком-компаниям, страховому бизнесу и банкам, а особенно — интернет-магазинам.

Интеллектуальная фильтрация трафика на основе анализа статистических, сигнатурных, технических и поведенческих факторов даёт возможность блокировать даже единичные вредоносные запросы, не затрагивая рядовых пользователей.

DDoS Response Plan

План реагирования призван ограничить ущерб, причиняемый DDoS-атакой. Это должна быть чёткая последовательность действий и мер, незамедлительно принимаемых при возникновении угрозы.

Подробный план должен включать, как минимум, такие меры, как:

  • Установление полного перечня ресурсов, подвергшихся атаке;
  • Локализация угрозы и предотвращение её распространения;
  • Оповещение ответственных и заинтересованных лиц об инциденте;
  • Идентификация характера угрозы, обнаружение цифровых следов;
  • Определение методов и средств, лежащих в основе атаки;
  • Полное сканирование IT-инфраструктуры, оценка ущерба;
  • Контроль исходящего трафика и предотвращение утечек информации;
  • Устранение угрозы;
  • Подготовка к противодействию аналогичным атакам в будущем.
Регулярный Healthcheck системы и устранение уязвимостей приложения

Чтобы DDoS-атака не застала врасплох и нанесла минимальный урон, следует постоянно совершенствовать защитные механизмы. Правило касается не только инструментов, предназначенных для отражения атак, но и защищаемой инфраструктуры и приложения.

  • Уязвимости на этапе аутентификации;
  • Вредоносные вставки кода;
  • Cross-site scripting;
  • Уязвимости шифрования;
  • Логические ошибки, несовершенная структура данных;

Всё это перечень потенциальных угроз. Сканирование систем на предмет уязвимостей и постоянное обновление кода приложений поможет поддерживать устойчивость ресурсов компании к большинству известных киберугроз.

Что такое DoS и DDoS атаки: классификация и защита

DoS-атака (от англ. Denial of Service – «отказ в обслуживании») – атака, которая используется для выведения из строя и взлома вычислительной техники и создания технических и экономических трудностей у цели. Осуществляется посредством создания большого количества запросов и серьезной нагрузки на технику, чаще всего на крупные сервера.

Схема DoS-атаки.

Почему используются DoS-атаки

Популярность ДоС-атак обусловлена тем, что определить исполнителя крайне сложно – он создает большую нагрузку через множество компьютеров в сети. Чаще всего такие атаки используются тогда, когда взломать систему или сервер не получается. Даже если с помощью DoS-атаки не удается получить доступ, техника выходит из строя или теряет производительность.

DoS-Атака на компанию Spamhaus.

Жертвами таких атак чаще всего становятся правительственные сайты, крупные порталы, онлайн-СМИ, серверы онлайн-игр, интернет-магазины, корпоративные сайты финансового сектора. Мотивация атакующего также зависит от сферы. Чаще всего атака происходит по причинам политических протестов, недобросовестной конкуренции, вымогательств и шантажа, личной неприязни, а также с целью развлечения.

Частота DoS-атак по сферам.

Классификация DoS-атак

  • Насыщение интернет-канала бесполезным трафиком (флудом) создает большое количество запросов к системе или серверу, за счет этого происходит быстрое исчерпание его ресурсов, что приводит к отключению или некорректной работе. Флуд бывает разных типов:
    • HTTP-флуд и ping-флуд - одни из самых простых и доступных видов атак: с помощью ping-запросов на компьютер «жертвы» с меньшим каналом интернета. HTTP-флуд применяется для серверов, отправляется HTTP-пакет, на который сервер шлет ответные пакеты, превышающие размеры, за счет чего пропускные способности сервера снижаются.
    • ICMP-флуд – атака с помощью ICMP-пакета, который через усиливающую сеть способен вывести из строя любой компьютер, сервер, если размер сети насчитывает большое количество компьютеров.
    • UDP-флуд – аналог ICMP-атаки, только в этом случае используется UDP-пакет и создаются echo-запросы на седьмой порт жертвы. За счет атаки возникает насыщение полосы пропускания.
  • Проблемы системы квотирования – если на сервере плохо настроено квотирование, то можно получить доступ к CGI и задействовать скрипт, который будет использовать большое количество ресурсов компьютерной системы.
  • Ошибки программирования – если в программном коде есть ошибки, профессионалы в сфере DoS-атак используют именно их для того, чтобы заставить систему выполнить команду с ошибкой, что приведет к аварийному выключению.
  • Атаки на DNS-сервера – вид атаки, который использует множество компьютеров-зомби и путем захвата системных ресурсов или насыщения полосы выводит из строя обработчик доменного имени на IP адрес. Это делает страницу в интернете недоступной для пользователей.

Защита от DoS-атак

Наличие DoS-атаки невозможно не заметить по нагрузке на сервер и сопутствующим проблемам и сбоям. Но нужно знать хотя бы основные приемы по защите от подобных атак:

  • Для защиты от HTTP-флуда увеличивается количество одновременных подключений. Делается это с помощью установки производительного веб-сервера Nginx, кеширующего запросы.
  • ICMP-флуд можно предотвратить, отключив на компьютерной системе ответы на запросы ICMP ECHO.
  • Если ограничить количество соединений к DNS-серверу и отключить от внешнего выхода UDP-сервисы, можно избежать атаки с UDP-флудом.
  • Если отключить очередь «полуоткрытых» портов TCP-соединений, можно защитить систему от SYN-флуда.

Существуют также универсальные способы защиты от разного рода DoS-атак.

  • Включать и настраивать брандмауэр для сетевых сервисов;
  • Использовать сервисы защиты от данных атак;
  • Увеличивать ресурсы системы, сервера.

Что такое DDoS-атаки и как защитить от них свой сайт и сервер?

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

  • государственных учреждений,
  • крупных корпораций,
  • здравоохранительных организаций,
  • онлайн-школ,
  • игровых сервисов,
  • местных и региональных СМИ,
  • онлайн-кинотеатров,
  • банков,
  • хостинг-провайдеров.

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

  • Низкоуровневая атака — на сетевом и транспортном уровнях (третий и четвёртый уровень модели OSI). На этих уровнях для атаки используются «дыры» в сетевых протоколах. На виртуальном хостинге, VPS и выделенных серверах REG.RU установлена бесплатная защита от данных типов атак.

  • Высокоуровневая атака — атака на сеансовом и прикладном уровнях (пятый и седьмой уровни по модели OSI). Такие атаки схожи с поведением пользователей. В данном случае может помочь тонкая настройка сервера или платная защита от DDoS.

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

  • Ping of death. Это атака, которая заключается в отправке эхо-запроса, который превышает допустимый объём в 65535 байт. Устройство не знает, как обработать такой запрос, и перестаёт отвечать. В настоящее время Ping of death уже не используется — проверка размера при сборке пакета решила проблему. Пакеты, размер которых превышает допустимый, отбрасываются как неверные. Эта атака относится к классу DoS, так как в качестве отправителя выступает один компьютер, а не сеть из разных устройств, как в случае с DDoS.

  • SYN Flood. Клиент отправляет серверу огромное количество SYN-пакетов с поддельным IP-адресом. Сервер отвечает на каждый запрос и ожидает подключения клиента. Клиент игнорирует приглашение и создаёт новые запросы, чем переполняет очередь на подключение. В итоге производительность сервера падает вплоть до полного прекращения работы.

  • HTTP Flood. Каждый участник ботнета генерирует большое количество HTTP-запросов к серверу, за счёт чего сильно повышает нагрузку. Это могут быть как GET, так и POST-запросы. В GET клиент запрашивает самые тяжеловесные части сайта. А в POST-запросах передаёт большие объёмы данных серверу в теле запроса.

  • UDP Flood. Злоумышленник отправляет жертве много UDP-пакетов большого размера на определенные или случайные порты. Получатель тратит ресурсы на обработку запросов и отправку ICMP-ответа, что может привести к отказу в обслуживании.

  • DNS Flood. Это разновидность UDP Flood. Отличается тем, что атаке подвергается DNS-сервер. Сервер не может отличить участника такой атаки от обычного пользователя и обрабатывает все запросы, на что может не хватить ресурсов.

  • VoIP Flood. Снова вариант UDP Flood, цель которой — IP-телефония. Сервер получает запросы с разных IP-адресов, которые приходится обрабатывать вместе с запросами от легитимных клиентов.

  • ICMP Flood. На сервер жертвы отправляется множество ICMP-запросов с разных IP-адресов. Этот вид флуда может использоваться как для перегрузки сервера, так и для сбора информации о сервере при подготовке к другой атаке.

  • DNS-амплификация. Атакующие устройства отправляют небольшие запросы на публичные DNS-серверы. Запросы формируются так, чтобы ответ содержал как можно больше данных. Кроме этого, в запросе подменяется IP-адрес реального отправителя на адрес жертвы, на который DNS-сервер и отправит ответы. В результате жертва получит много больших пакетов данных от DNS-сервера, что вызовет переполнение канала.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

  1. Изучите ПО, которое планируете использовать в вашем проекте или уже используете, на наличие уязвимостей и критических ошибок. Их не должно быть. Выбирайте те инструменты, в которых уверены. Регулярно обновляйте их и делайте резервное копирование.

  2. Используйте сложные пароли для доступа к административным частям вашего ресурса.

  3. Настройте сеть так, чтобы доступ к админке был из только из внутренней сети или через VPN.

  4. Подключите WAF и CDN. WAF — брандмауэр веб-приложений для проверки легитимности трафика и его фильтрации. CDN — сеть доставки контента позволяет распределять нагрузку на серверы и увеличивать скорость загрузки страниц за счёт географически распределённых серверов.

  5. Установите капчу или другие компоненты в форму обратной связи на сайте. Это защитит сайт от спам-ботов.

  6. Распределите ресурсы сайта между несколькими серверами, которые не зависят друг от друга. В случае сбоя одного из серверов, работу обеспечат запасные серверы.

  7. Перенаправьте атаку на злоумышленника. Таким образом вы сможете не только отразить удар, но и нанести ущерб злоумышленнику. Для этого требуются специалисты, но это вполне реально.

  8. Узнайте у вашего хостинг-провайдера, какой уровень защиты он гарантирует для вашего хостинга или VDS. Если хостер не предоставляет защиту, выберите другого провайдера.

Компания REG.RU предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

Закажите услугу «Сервер для бизнеса»

Сосредоточьтесь на вашем бизнесе, о хостинге позаботится REG.RU! Закажите мощный облачный сервер с круглосуточным администрированием.

Подробнее Помогла ли вам статья?

72 раза уже
помогла

Что такое DDoS-атаки, какие они бывают и можно ли их избежать

Расскажем, что такое DDoS-атаки, какие они бывают, почему так опасны и что нужно знать, чтобы им противостоять.

Всё, что создано человеком, можно сломать и повредить. В огромной степени это справедливо для компьютерных программ. Вредоносным и исследовательским вмешательством в работу софта занимаются хакеры. Сегодня мы рассмотрим один из самых смертоносный приемов из их арсенала — это DDoS-атаки, от которых не застрахована ни одна программа в мире.

Что такое DDoS-атака на сервер: объясняем принцип на пальцах

Допустим, на вашем сервере расположен интернет-магазин, который исправно обслуживает покупателей. Конечно, с ним может случиться неприятность, если вы заранее не позаботились о достаточном количестве ресурсов на случай роста трафика. Тогда, если на сайт придет слишком много клиентов, серверу станет трудно отвечать на большое количество запросов. А значит, сайт начнет подтормаживать.

Если сайт расположен не на обычном сервере, а на облачном, такого не случится. Вы можете сразу получить нужное количество дополнительных мощностей, и сервер легко обработает возросшее число запросов.

Но представьте, что на ваш магазин обрушивается не просто поток покупателей, а настоящий шторм запросов — в таком количестве, в котором их просто невозможно обслужить. Тогда любой сайт может перестать отвечать совсем. Покупатели заходят на страницу — и видят лишь крутящуюся иконку загрузки. Ни картинок, ни текстов — просто пустой экран. Разочарованные клиенты ищут похожий магазин и уходят. Как потом выяснится, взломщики в течение многих часов слали на ваш сервер миллионы запросов в секунду и парализовали его возможность отвечать на них.

Такой шквал запросов называется DoS-атакой — это denial-of-service, атака отказом оборудования. А если она производится не с одного компьютера, а сразу с нескольких, то говорят, что это DDoS-атака — distributed denial-of-service, распределенная атака отказом оборудования.

Что собой представляет DDoS-атака

Английская аббревиатура DDoS расшифровывается как Distributed Denial of Service, что дословно переводится как «распределенный отказ в обслуживании». На деле эта терминология подразумевает атаку, которая выполняется одновременно с большого числа компьютеров. Задачей такой атаки является выведение из строя сервера цели (как правило, крупной организации) за счет огромного количества запросов, которые вычислительная система не в состоянии обработать. Рассмотрим детально подобный вид атаки.

 

 

1. Введение

2. Различные виды DDoS-атак

3. Что такое амплификация (amplification)

4. Выводы

 

Введение

Люди, неискушенные в теме ИБ, зачастую могут путать DoS-атаки и DDoS-атаки, здесь проще всего будет запомнить так: при Dos-атаке отказ в обслуживании пытается вызвать одна атакующая машина; при DDoS-атаке таких машин много, как правило, это бот-сеть, в которую входят зараженные и полностью контролируемые злоумышленником компьютеры.

Как можно догадаться, бороться с DDoS-атакой гораздо сложнее, она может длиться дни, даже недели — зависит от бюджета киберпреступника. Эффективность этой атаки очевидна, а доступность и вовсе поражает — на рынках даркнета небольшой ботнет можно купить за 150 долларов.

Чтобы иметь представление о том, сколько атак DDoS совершается в разных регионах мира, взгляните на специальную карту цифровых атак.

На данном этапе мы имеем большое разнообразие атак DDoS, рассмотрим некоторые из них.

 

Виды DDoS-атак

DDoS прикладного уровня (Application layer DDoS)

Атака прикладного (или 7-го) уровня заключается в отправке огромного количества запросов, требующих большой вычислительной мощности. В этот класс также входят атаки HTTP-флуд и DNS-флуд.

HTTP-флуд

HTTP-флуд обычно осуществляется против конкретной цели, как следствие, такую атаку довольно трудно предотвратить. В ней не используются вредоносные пакеты, она больше полагается на бот-сеть.

DNS-флуд

В этом виде атак целью является DNS-сервер жертвы. Если DNS-сервер будет недоступен, вы не сможете найти соответствующий сервер. DNS-флуд — это симметричная атака, запущенная множественными зомби, находящимися в бот-сети и относящаяся к классу атак UDP. Эта атака упрощает спуфинг.

DDoS сетевого уровня (Network layer DDoS)

Это очень масштабные атаки, измеряемые в гигабитах в секунду (Гбит/с) или в пакетах в секунду (PPS). В худших случаях такие атаки могут достигать от 20 до 200 Гбит/с. Такой тип DDoS-атак делится на SYN-флуд и UDP-флуд.

SYN-флуд

Создает поток запросов на подключение к серверу, при котором становится невозможным ответить на эти запросы. Целью здесь является каждый порт сервера, который «наводняется» (от английского слова flood) SYN-пакетами, за счет этого на сервере переполняется очередь на подключения. При этом пакеты SYN-ACK игнорируются, благодаря чему появляются так называемые полуоткрытые соединения, ожидающие подтверждения от клиента.

UDP-флуд

Сервер «наводняется» UDP-запросами на каждый порт. В этом случае сервер отвечает пакетами «адресат недоступен», в итоге атакуемая система окажется перегруженной и не сможет отвечать.

 

Что такое амплификация (amplification)

Амплификация (усиление) — это метод, используемый для усиления полосы пропускания DDoS-атаки. Путем подмены IP-адреса в запросе злоумышленник может повысить эффективность своей атаки в 70 раз. Коэффициент усиления может варьироваться в зависимости от типа сервера.

К примеру, команда monlist, часто используется для NTP DDoS-атак. Эта команда отправляет злоумышленнику сведения о последних 600 клиентах ntpd. То есть при небольшом запросе от зараженного компьютера, обратно отправляется большой поток UDP. Такая атака приобретает просто гигантские масштабы при использовании ботнета.

 

Рисунок 1. Схема DDoS-атак

 

 

Выводы

Теперь мы имеем базовое представление о DDoS-атаках, можно порассуждать о том, как от них защититься. Первым делом следует определить, в какой части ваша сеть наиболее уязвима. Затем стоит поставить себя на место злоумышленника, чтобы представить, что ему нужно сделать для того, чтобы провести успешную атаку на вашу сеть.

Пожалуй, самое главное — иметь некую систему оповещений, которая будет вас информировать в случае совершения атаки DDoS, чем раньше вы узнаете о самом факте, тем лучше, так вы успеете продумать план по нейтрализации.

Наконец, можно заказать тестирование на проникновение (оно же пентест, pentest, penetration test), чтобы проверить безопасность вашей сети, насколько она готова к вторжениям извне. Это хорошая практика, которая поможет понять и устранить слабые места, таким образом, что ваша сеть будет относительно защищенной.

что это такие и какие бывают DDoS-атаки.

Каждый сайт имеет ограниченную способность обрабатывать поступающие извне запросы. Она зависит от емкости диска и объема поступающего трафика. Если мощности сервера недостаточно, то при обработке запросов в работе сайта могут возникнуть сбои. Сначала он тормозит, а затем может вообще прекратить работу. Это явление называется DoS (Denial of Service – «отказ в обслуживании») и встречается часто, например, в работе новостных сайтов. Это естественный процесс, который не таит в себе серьезной опасности. Другое дело DDoS-атака (Distributed Denial of Service – «распределенный отказ от обслуживания»). Это преднамеренное влияние на тот или иной сайт, с целью вывести его из строя. Отказ в обслуживании может принести материальный ущерб, если речь идет об интернет-магазинах или компаниях, предоставляющих услуги.

 В чем заключается механизм действия DDoS-атаки?

Распределенный отказ от обслуживания возникает в результате поступления на ресурс жертвы такого количества запросов, что он не справляется с ними и полностью отключается. Причем «лечь» могут сервисы мелких компаний и сайты солидных хостинг-провайдеров. Например, известными DDoS-атаками стали хакерские нападения на площадки интернет-магазинов Amazon и AliExpress.

Чтобы атака была успешной, необходимо продуцировать большое количество запросов. Для этого хакеры создают троянские программы и внедряют их в дисковое пространство случайных пользователей, которые заходили на сомнительные сайты или перешли по отправленной на почту или через социальные сети ссылке. Поскольку объекты атаки вовсе не компьютеры пользователей, то антивирусы их могут и не отследить. В нужный момент на зараженные вирусом компьютеры поступает команда отправлять на указанный IP-адрес запросы. При этом сам инициатор атаки остается в тени. Ответы на запросы идут на адреса компьютеров «зомби», хозяева которых даже и не подозревают, что принимают участие в DDoS-атаке. Чем шире сеть таких ботов, тем мощнее атака и тем сильнее вреда она нанесет.

Какие существуют виды DDoS?

Если говорить об DDoS-атаках, целью которых вывод из строя сайта жертвы без того, чтобы внедриться в структуру или получить права администратора, то выделяют следующие виды:

  1. 1Пинг-флуд
    Такая DDoS-атака проводится с нескольких компьютеров и не требует создания расширенной сети. На сайт жертвы отправляется большое количество схожих запросов, которые отбирают полезный ресурс сайта и приводят к его отключению. Чтобы отразить ее достаточно блокировать источники. Например, отключить опцию ответа на ICMP-запросы или установить алгоритм приоритетности.
  2. 2HTTP-флуд
    Это популярный вид атаки, при котором на сайт жертвы посылается бесконечный поток HTTP-сообщений. Это приводит к тому, что сервер не может обслуживать другие запросы. Эту атаку направляют на корень сервера и на один из скриптов. Защититься от HTTP-флуда можно, используя улиту (D) DoS Deflate.
  3. 3SMURF-атака
    Этот вид атаки специалисты считают наиболее опасной. Она представляет собой пинг-флуд, но разосланный с целой сети ботов.
  4. 4Fraggle флуд
    Этот вид DDoS-атаки получил название «Осколочная граната». При проведении посылаются запросы по протоколу UPD на сайт жертвы с большого количество компьютеров-ботов.

Существует множество разновидностей DDoS-атак и постоянно появляются все новые и новые схемы.

Как противостоять атакам?

Борьба с атаками заключается в их предотвращении и немедленном реагировании в случаи возникновения. Так можно если не избежать негативного воздействия, то хотя бы минимизировать его последствия.

Вот некоторые советов по предотвращению DDoS-атак:

  • должна быть возможность провести удаленно перезагрузку сайта.
  • программное обеспечение всегда должно быть обновлено.
  • установите систему анализа трафика NetFlow. Она поможет распознать атаку на начальном этапе.
  • нежелательные запросы следует блокировать через htaccess .
  • осуществить защиту можно с помощью PHP-скрипта, блокируя нетипичные запросы.
  • простой и эффективный вариант – это воспользоваться помощью провайдера, который предоставляет услуги по защите интернет ресурсов. 

Услуги, связанные с термином:

Что означает DDoS? | Объяснение распределенного отказа в обслуживании

Значение DDoS: Что такое DDoS?

Распределенные атаки типа «отказ в обслуживании» (DDoS) являются подклассом атак типа «отказ в обслуживании» (DoS). DDoS-атака включает в себя несколько подключенных онлайн-устройств, известных под общим названием ботнет, которые используются для перегрузки целевого веб-сайта поддельным трафиком.

В отличие от других видов кибератак, DDoS-атаки не пытаются нарушить периметр вашей безопасности.Скорее, DDoS-атака направлена ​​на то, чтобы сделать ваш веб-сайт и серверы недоступными для законных пользователей. DDoS также может использоваться как дымовая завеса для других злонамеренных действий и для отключения устройств безопасности, нарушая периметр безопасности цели.

Успешная распределенная атака отказа в обслуживании - это очень заметное событие, затрагивающее всю базу онлайн-пользователей. Это делает его популярным оружием хактивистов, кибервандалов, вымогателей и всех, кто хочет заявить о себе или отстоять дело.

DDoS-атаки могут происходить короткими сериями или повторяться, но в любом случае воздействие на веб-сайт или бизнес может длиться дни, недели и даже месяцы, пока организация пытается восстановиться. Это может сделать DDoS чрезвычайно разрушительным для любой онлайн-организации. Среди прочего, DDoS-атаки могут привести к потере доходов, подорвать доверие потребителей, вынудить компании тратить целые состояния на компенсации и нанести долгосрочный ущерб репутации.

DoS против DDoS

Различия между регулярными и распределенными атаками отказа в обслуживании существенны.В DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы либо воспользоваться уязвимостью программного обеспечения, либо заполнить цель поддельными запросами - обычно в попытке исчерпать ресурсы сервера (например, RAM и CPU).

С другой стороны, распределенные атаки типа «отказ в обслуживании» (DDoS) запускаются с нескольких подключенных устройств, распределенных по Интернету. Эти заграждения с участием нескольких человек и нескольких устройств, как правило, труднее отклонить, в основном из-за огромного количества задействованных устройств.В отличие от DoS-атак с одним источником, DDoS-атаки, как правило, нацелены на сетевую инфраструктуру, пытаясь перенести на нее огромные объемы трафика.

DDoS-атаки также различаются по способу проведения. В общих чертах, атаки типа «отказ в обслуживании» запускаются с использованием самодельных скриптов или инструментов DoS (например, Low Orbit Ion Canon), в то время как DDoS-атаки запускаются из ботнетов - больших кластеров подключенных устройств (например, мобильных телефонов, ПК или маршрутизаторов), зараженных вредоносным ПО, которое позволяет злоумышленнику удаленно управлять.

×

DDoS-ботнеты: проведение масштабных атак

Ботнет - это набор захваченных подключенных устройств, используемых для кибератак, которые управляются удаленно из Центра управления и контроля (C&C). Обычно к ним относятся персональные компьютеры, мобильные телефоны, незащищенные устройства Интернета вещей и даже ресурсы из общедоступных облачных сервисов.Злоумышленники используют вредоносное ПО и другие методы для взлома устройства, превращая его в «зомби» в ботнете злоумышленника.

Ботнеты позволяют злоумышленникам проводить DDoS-атаки, используя мощность многих машин и скрывая источник трафика. Поскольку трафик распределяется, инструментам безопасности и командам сложно обнаружить, что происходит DDoS-атака, пока не станет слишком поздно.

Чтобы узнать больше о крупномасштабной DDoS-инфраструктуре, прочтите нашу статью о DDoS-ботнетах .

Типы DDoS-атак

DoS-атаки можно разделить на две основные категории - атаки на уровне приложений и атаки на сетевом уровне. Каждый из этих типов DDoS-атак определяет определенные параметры и поведение, используемые во время атаки, а также цель атаки.

  1. Атаки прикладного уровня (также известные как атаки уровня 7) могут быть либо DoS-, либо DDoS-угрозами, которые стремятся перегрузить сервер, отправляя большое количество запросов, требующих ресурсоемкой обработки и обработки.Среди других векторов атак в эту категорию входят HTTP-флуды, медленные атаки (например, Slowloris или RUDY) и флуд-атаки DNS-запросов.

Игровой веб-сайт подвергся массовому наводнению DNS, пиковая скорость которого превысила 25 миллионов пакетов в секунду

Размер атак на уровне приложений обычно измеряется в запросах в секунду (RPS), при этом требуется не более 50–100 RPS, чтобы вывести из строя большинство веб-сайтов среднего размера.

  1. Атаки на сетевом уровне (также известные как атаки уровня 3–4) почти всегда представляют собой атаки DDoS, настроенные для засорения «конвейеров», соединяющих вашу сеть.К векторам атак в этой категории относятся UDP-флуд, SYN-флуд, атаки с усилением NTP и DNS и многое другое.

Любой из них может быть использован для предотвращения доступа к вашим серверам, а также для причинения серьезного операционного ущерба, такого как приостановка учетной записи и огромные платежи за превышение лимита.

DDoS-атаки почти всегда представляют собой события с высоким трафиком, обычно измеряемым в гигабитах в секунду (Гбит / с) или пакетах в секунду (PPS). Наибольшие атаки на сетевом уровне могут превышать сотни Гбит / с; тем не менее, от 20 до 40 Гбит / с достаточно для полного отключения большинства сетевых инфраструктур.

Причины DDoSing: Мотивация злоумышленников

«DDoSsing» описывает акт проведения DDoS-атаки. Атаки отказа в обслуживании инициируются отдельными лицами, предприятиями и даже национальными государствами, у каждого из которых есть собственная мотивация.

Хактивизм

Хактивисты используют DoS-атаки как средство, чтобы выразить свою критику всего, со стороны правительств и политиков, включая «большой бизнес», и текущих событий. Если хактивисты не согласны с вами, ваш сайт упадет (a.к.а., «танго даун»).

Менее технически подкованные, чем другие типы злоумышленников, хактивисты, как правило, используют готовые инструменты для атак на свои цели. Anonymous, пожалуй, одна из самых известных групп хактивистов. Они несут ответственность за кибератаку на ИГИЛ в феврале 2015 года после террористической атаки последнего на парижский офис Charlie Hebdo, а также за нападение на правительство Бразилии и спонсоров чемпионата мира в июне 2014 года.

Типичный способ атаки хактивистов: DoS и DDoS.

Кибервандализм

Кибервандалов часто называют «детишками со сценариями» - за то, что они полагаются на готовые сценарии и инструменты, чтобы причинить горе своим согражданам в Интернете. Эти вандалы часто являются скучающими подростками, которые ищут прилив адреналина или стремятся выразить свой гнев или разочарование против учреждения (например, школы) или человека, который, по их мнению, обидел их. Некоторые, конечно, просто ищут внимания и уважения своих сверстников.

Наряду с готовыми инструментами и скриптами кибервандалы также приводят к использованию сервисов DDoS-for-найма (a.k.a., бустеры или стрессеры), которые можно приобрести в Интернете всего за 19 долларов за штуку.

Вымогательство

Все более популярным мотивом для DDoS-атак является вымогательство, то есть киберпреступник требует денег в обмен на остановку (или невыполнение) разрушительной DDoS-атаки. Несколько известных онлайн-компаний-разработчиков программного обеспечения, в том числе MeetUp, Bitly, Vimeo и Basecamp, стали получать эти сообщения о DDoS-атаках, некоторые из них отключились после того, как отказались поддаться угрозам вымогателей.

Подобно кибервандализму, этот тип атаки возможен благодаря наличию служб stresser и booter.

Типичный способ нападения вымогателей: DDoS.

Деловая конкуренция

DDoS-атаки все чаще используются в качестве конкурентного бизнес-инструмента. Некоторые из этих атак предназначены для того, чтобы удержать конкурента от участия в значительном мероприятии (например, в Киберпонедельник), в то время как другие проводятся с целью полного закрытия онлайн-бизнеса на несколько месяцев.

Так или иначе, идея состоит в том, чтобы вызвать сбой, который побудит ваших клиентов устремиться к конкурентам, а также нанесет финансовый и репутационный ущерб. Средняя стоимость DDoS-атаки для организации может составлять 40 000 долларов в час.

Атаки бизнес-вражды часто хорошо финансируются и выполняются профессиональными «наемными стрелками», которые проводят раннюю разведку и используют собственные инструменты и ресурсы для противодействия чрезвычайно агрессивным и постоянным DDoS-атакам.

Типичный метод нападения, используемый бизнес-конкурентами: DDoS.

Кибервойна

DDoS-атак, спонсируемых государством, используются для того, чтобы заставить замолчать критику правительства и внутреннюю оппозицию, а также как средство нарушения критически важных финансовых, медицинских и инфраструктурных услуг во вражеских странах.

Эти атаки поддерживаются национальными государствами, то есть это хорошо финансируемые и организованные кампании, которые выполняются технически подкованными профессионалами.

Типичный метод нападения, используемый в кибервойне: DDoS.

Личное соперничество

DoS-атаки могут использоваться для сведения личных счетов или срыва онлайн-соревнований.Такие атаки часто происходят в контексте многопользовательских онлайн-игр, когда игроки запускают DDoS-атаки друг против друга и даже против игровых серверов, чтобы получить преимущество или избежать неминуемого поражения, «перевернув стол».

Атаки на игроков часто представляют собой DoS-атаки, выполняемые с помощью широко доступного вредоносного ПО. И наоборот, атаки на игровые серверы, скорее всего, будут DDoS-атаками, инициированными стрессерами и бустерами.

Типичный способ атаки личных соперников: DoS, DDoS.

DDoS по найму: DDoSsers, бустеры и стрессеры

DDoS для найма провайдеры предлагают выполнять DDoS-атаки от имени других за плату. Эти злоумышленники известны под разными именами, включая DDoSser, загрузчики и stressers. Широкая доступность DDoS-атак по найму позволяет практически каждому проводить крупномасштабные атаки.

Одна из причин, по которой акторы могут носить определенное имя, - это выступать в качестве юридической службы. Например, специалисты по стрессам обычно заявляют, что предлагают услуги по стресс-тестированию отказоустойчивости серверов.Однако эти субъекты часто не проверяют владельца сервера, который они «тестируют», чтобы убедиться, что тесты законны.

Напротив, субъекты, называющие себя инициаторами атак и DDoS-атаками, обычно не пытаются скрыть незаконный характер своих услуг.

Пример рекламируемых цен и мощности бустера

Как остановить DDoS-атаки: DIY

Невозможно предотвратить DoS-атаки. Киберпреступники собираются атаковать. Некоторые собираются поразить свои цели, независимо от существующей защиты.Однако есть несколько профилактических мер, которые вы можете предпринять самостоятельно:

  • Мониторинг вашего трафика на предмет аномалий, включая необъяснимые всплески трафика и посещения с подозрительного IP-адреса и геолокации. Все это может быть признаком того, что злоумышленники проводят «пробные запуски», чтобы проверить вашу защиту, прежде чем совершить полноценную атаку. Признание их такими, какие они есть, может помочь вам подготовиться к последующему натиску.
  • Следите за социальными сетями (особенно Twitter) и общественными мусорными баками (e.g., Pastebin.com) для угроз, разговоров и хвастовства, которые могут намекать на входящую атаку.
  • Рассмотрите возможность использования стороннего DDoS-тестирования (то есть тестирования на проникновение) для имитации атаки на вашу ИТ-инфраструктуру, чтобы вы могли быть готовы, когда наступит момент истины. Когда вы предпримете это, протестируйте против широкого спектра атак, а не только от тех, с которыми вы знакомы.
  • Создайте план реагирования и группу быстрого реагирования, то есть определенную группу людей, чья работа заключается в минимизации последствий нападения.При планировании внедрите процедуры для групп поддержки клиентов и коммуникаций, а не только для ИТ-специалистов.

Чтобы по-настоящему защититься от современных DDoS-атак, вам следует использовать решение для предотвращения DDoS-атак. Решения могут быть развернуты локально, но чаще они предоставляются как услуга сторонними поставщиками. В следующем разделе мы расскажем больше о службах защиты от DDoS-атак.

Чтобы узнать больше о подходах к защите от DDoS-атак, сделанных своими руками, локальными и облачными службами, см. Нашу статью о , как остановить DDoS-атаки .

Защита от DDoS-атак: как работает защита от DDoS-атак?

Этот первый шаг при выборе решения для защиты от DDoS-атак - оценка вашего риска. К важным основным вопросам относятся:

  • Какие активы инфраструктуры нуждаются в защите?
  • Каковы слабые места или единственные точки отказа?
  • Что требуется для их снятия?
  • Как и когда вы узнаете, что на вас напали? Будет уже слишком поздно?
  • Каковы последствия (финансовые и иные) продолжительного отключения электроэнергии?

Вооружившись этой информацией, пора расставить приоритеты для ваших опасений и изучить различные варианты предотвращения DDoS-атак в рамках вашего бюджета безопасности.

Если у вас есть коммерческий веб-сайт или онлайн-приложения (например, приложения SaaS, онлайн-банкинг, электронная коммерция), вам, вероятно, понадобится постоянная круглосуточная защита. С другой стороны, крупная юридическая фирма может быть больше заинтересована в защите своей инфраструктуры, включая почтовые серверы, FTP-серверы и платформы бэк-офиса, чем ее веб-сайт. Этот тип бизнеса может выбрать решение «по запросу».

Второй шаг - выбрать метод развертывания. Наиболее распространенный и эффективный способ развертывания защиты от DDoS-атак по запросу для служб базовой инфраструктуры во всей подсети - это маршрутизация по протоколу пограничного шлюза (BGP).Однако это будет работать только по запросу, и вам потребуется вручную активировать решение безопасности в случае атаки.

Следовательно, если вам нужна постоянная защита от DDoS-атак для вашего веб-приложения, вам следует использовать перенаправление DNS для перенаправления всего трафика веб-сайта (HTTP / HTTPS) через сеть вашего поставщика защиты от DDoS-атак (обычно интегрированную с сетью доставки контента, ). Преимущество этого решения заключается в том, что большинство CDN предлагают масштабируемость по вызову для поглощения объемных атак, в то же время минимизируя задержку и ускоряя доставку контента.

Снижение риска атак на сетевом уровне

Для борьбы с атаками на сетевом уровне требуется дополнительная масштабируемость - сверх того, что может предложить ваша собственная сеть.

Следовательно, в случае нападения делается объявление BGP, чтобы гарантировать, что весь входящий трафик маршрутизируется через набор центров очистки. Каждый из них способен обрабатывать сотни Гбит / с трафика. Затем мощные серверы, расположенные в центрах очистки, будут отфильтровывать вредоносные пакеты, перенаправляя только чистый трафик на исходный сервер через туннель GRE.

Этот метод смягчения последствий обеспечивает защиту от атак, направленных напрямую на IP, и обычно совместим со всеми типами инфраструктуры и протоколами связи (например, UDP, SMTP, FTP, VoIP).

Защита от атаки с усилением NTP: 180 Гбит / с и 50 миллионов пакетов в секунду

Смягчение атак на уровне приложений

Смягчение атак на уровне приложений основано на решениях для профилирования трафика, которые могут масштабироваться по запросу, а также могут различать злонамеренных ботов и законных посетителей веб-сайтов.

Для профилирования трафика передовой опыт требует эвристики на основе сигнатур и поведения в сочетании с оценкой репутации IP и постепенным использованием проблем безопасности (например, JS и файлов cookie).

Устранение последствий восьмидневного HTTP-флуда: 690 миллионов DDoS-запросов с 180 000 IP-адресов ботнетов

Вместе они точно фильтруют вредоносный трафик ботов, защищая от атак на уровне приложений, не оказывая никакого воздействия на ваших законных посетителей.

Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.

Защита от DDoS-атак с помощью Imperva

Imperva предлагает решение для защиты от DDoS-атак, которое быстро нейтрализует крупномасштабные DDoS-атаки, не прерывая обслуживания законных пользователей. Imperva обеспечивает защиту веб-сайтов и веб-приложений, сетей и подсетей, серверов доменных имен (DNS) и отдельных IP-адресов.

Imperva обнаруживает и смягчает любые типы DDoS-атак, включая TCP SYN + ACK, TCP Fragment, UDP, Slowloris, Spoofing, ICMP, IGMP, HTTP Flood, Brute Force, Connection Flood, DNS Flood, NXDomain, Ping of Death, Smurf, Отражено ICMP & UDP.

Защита от DDoS-атак Imperva обеспечивает:

  • Поддержка Anycast и Unicast , что позволяет автоматически обнаруживать атаки и уязвимости и реагировать на них.
  • Гарантия на основе SLA, что атаки блокируются за три секунды или меньше, что предотвращает простои и сокращает время восстановления.
  • Сеть с высокой пропускной способностью, способная анализировать более 65 миллиардов пакетов в секунду.
  • Панели мониторинга в реальном времени , позволяющие видеть текущий статус, определять DDoS-атаки и понимать параметры атаки.

Что такое DDoS-атака? Объяснение распределенных атак типа «отказ в обслуживании»

Что такое DDoS-атака?

При распределенной атаке типа «отказ в обслуживании» (DDoS) несколько скомпрометированных компьютерных систем атакуют цель и вызывают отказ в обслуживании для пользователей целевого ресурса. Целью может быть сервер, веб-сайт или другой сетевой ресурс. Поток входящих сообщений, запросов на соединение или искаженных пакетов в целевую систему заставляет ее замедляться или даже аварийно завершать работу, тем самым отказывая в обслуживании законным пользователям или системам.

Многие типы злоумышленников, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений, проводят DDoS-атаки. В определенных ситуациях - часто связанных с плохим кодированием, отсутствующими исправлениями или нестабильными системами - даже законные, несогласованные запросы к целевым системам могут выглядеть как DDoS-атака, если это просто случайные потери производительности системы.

Как работают DDoS-атаки?

В типичной DDoS-атаке злоумышленник использует уязвимость в одной компьютерной системе, делая ее мастером DDoS-атак.Мастер-система атаки выявляет другие уязвимые системы и получает контроль над ними, заражая их вредоносным ПО или обходя средства аутентификации с помощью таких методов, как угадывание пароля по умолчанию в широко используемой системе или устройстве.

Компьютер или сетевое устройство, находящееся под контролем злоумышленника, называется зомби или ботом . Злоумышленник создает так называемый командно-управляющий сервер для управления сетью ботов, также называемый ботнетом .Лицо, контролирующее ботнет, называется ботмастером . Этот термин также использовался для обозначения первой системы, задействованной в ботнете, поскольку она используется для контроля распространения и активности других систем в ботнете.

Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными. Их размер может не иметь верхнего предела. После того, как ботнет собран, злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, чтобы заполнить целевой домен и отключить его.

Целью DDoS-атаки не всегда является единственная жертва, поскольку DDoS-атаки затрагивают многие устройства. Устройства, используемые для маршрутизации вредоносного трафика к цели, также могут страдать от снижения качества обслуживания, даже если они не являются основной целью.

Ботнеты - это ключевой инструмент в DDoS-атаках на основе Интернета вещей, но они также могут использоваться для других злонамеренных действий.

Типы DDoS-атак

Существует три основных типа DDoS-атак:

  1. Сетецентрические или объемные атаки. Они перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Примером этого типа атаки является атака с усилением системы доменных имен, которая делает запросы к DNS-серверу, используя адрес Интернет-протокола (IP) цели. Затем сервер заваливает цель ответами.
  2. Протокол атаки. Эти целевые протоколы сетевого или транспортного уровня используют недостатки в протоколах для перегрузки целевых ресурсов. Атака SYN-лавинной рассылки, например, отправляет на целевые IP-адреса большое количество пакетов «запроса начального соединения» с использованием поддельных исходных IP-адресов.Это затягивает рукопожатие протокола управления передачей, которое никогда не может завершиться из-за постоянного притока запросов.
  3. Уровень приложения . Здесь службы приложений или базы данных перегружаются из-за большого количества вызовов приложений. Избыток пакетов вызывает отказ в обслуживании. Одним из примеров этого является флуд-атака по протоколу передачи гипертекста (HTTP), которая эквивалентна многократному одновременному обновлению множества веб-страниц.

Интернет вещей и DDoS-атаки

Устройства, составляющие Интернет вещей (IoT), могут быть полезны для законных пользователей, но в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства со встроенными вычислительными и сетевыми возможностями, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.

устройства, подключенные к Интернету вещей, открывают большие поверхности для атак и часто уделяют минимальное внимание передовым методам обеспечения безопасности.Например, устройства часто поставляются с жестко запрограммированными учетными данными для аутентификации для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения, что еще больше подвергает их атакам с использованием хорошо известных уязвимостей.

Ботнеты Интернета вещей все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn; объем атак составил более 600 гигабит в секунду.Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика со скоростью более 1 терабит в секунду. Многие ботнеты Интернета вещей, начиная с Mirai, используют элементы своего кода. Ботнет dark_nexus IoT - один из примеров.

Выявление DDoS-атак

DDoS-атаки по сути вызывают проблемы с доступностью. Проблемы с доступностью и обслуживанием - нормальное явление в сети. Важно уметь различать эти стандартные операционные проблемы и DDoS-атаки.

Иногда DDoS-атака может выглядеть обыденной, поэтому важно знать, на что обращать внимание.Подробный анализ трафика необходим, чтобы сначала определить, имеет ли место атака, а затем определить метод атаки.

Примеры поведения сети и сервера, которые могут указывать на DDoS-атаку, перечислены ниже. Одно из этих поведений или их сочетание должно вызывать беспокойство:

  • Один или несколько определенных IP-адресов отправляют много последовательных запросов в течение короткого периода.
  • Рост трафика исходит от пользователей со схожими поведенческими характеристиками.Например, если большой объем трафика исходит от пользователей схожих устройств, одного географического местоположения или одного и того же браузера.
  • Время ожидания сервера при попытке проверить его с помощью службы проверки связи.
  • Сервер отвечает сообщением об ошибке 503 HTTP, что означает, что сервер либо перегружен, либо отключен для обслуживания.
  • Журналы показывают сильный и постоянный скачок пропускной способности. Пропускная способность должна оставаться даже для нормально работающего сервера.
  • Журналы показывают скачки трафика в необычное время или в обычной последовательности.
  • Журналы показывают необычно большие всплески трафика на одну конечную точку или веб-страницу.

Эти поведения также могут помочь определить тип атаки. Если они находятся на уровне протокола или сети - например, ошибка 503 - это, скорее всего, атака на основе протокола или сетевая атака. Если поведение проявляется как трафик к приложению или веб-странице, это может быть более признаком атаки на уровне приложения.

В большинстве случаев человек не может отследить все переменные, необходимые для определения типа атаки, поэтому для автоматизации процесса необходимо использовать инструменты анализа сети и приложений.

Признаки распределенной атаки отказа в обслуживании аналогичны признакам атаки отказа в обслуживании.

Защита и предотвращение DDoS

DDoS-атаки могут создать серьезные бизнес-риски с долгосрочными последствиями. Поэтому важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.

Когда они начнутся, остановить эти атаки практически невозможно. Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации.Сюда входит выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с DoS, и использование средств контроля сетевой безопасности, включая услуги от поставщиков облачных услуг, специализирующихся на реагировании на DDoS-атаки.

Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки через Интернет.

Примеры DDoS-атак

Помимо DDoS-атак на основе Интернета вещей, упомянутых ранее, к другим недавним DDoS-атакам относятся следующие:

Хотя DDoS-атаки относительно дешевы и просты в реализации, они сильно различаются по сложности и могут серьезно повлиять на предприятия или организации, на которые они направлены.Узнайте, как предприятия могут предотвратить эти атаки , купив услугу у интернет-провайдера, используя сеть доставки контента и развернув внутреннюю систему предотвращения вторжений.

Общие сведения об атаках типа «отказ в обслуживании» | CISA

Атаки типа «отказ в обслуживании» затрагивают не только веб-сайты, но и отдельные домашние пользователи тоже могут стать их жертвами. Атаки типа «отказ в обслуживании» сложно отличить от обычной сетевой активности, но есть некоторые признаки того, что атака уже началась.

Что такое атака отказа в обслуживании?

Атака типа «отказ в обслуживании» (DoS) происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злонамеренного субъекта киберугроз. Затронутые службы могут включать электронную почту, веб-сайты, онлайн-аккаунты (например, банковские) или другие службы, которые зависят от затронутого компьютера или сети. Условие отказа в обслуживании достигается за счет переполнения целевого хоста или сети трафиком до тех пор, пока целевой объект не сможет ответить или просто не выйдет из строя, предотвращая доступ для законных пользователей.DoS-атаки могут стоить организации как времени, так и денег, в то время как их ресурсы и услуги недоступны.

Что такое обычные атаки типа «отказ в обслуживании»?

Существует множество различных методов проведения DoS-атаки. Наиболее распространенный метод атаки возникает, когда злоумышленник наводняет сетевой сервер трафиком. В этом типе DoS-атаки злоумышленник отправляет несколько запросов на целевой сервер, перегружая его трафиком. Эти служебные запросы являются незаконными и имеют сфабрикованные обратные адреса, которые вводят сервер в заблуждение, когда он пытается аутентифицировать отправителя запроса.Поскольку нежелательные запросы обрабатываются постоянно, сервер перегружен, что вызывает состояние DoS для законных запрашивающих.

  • В атаке Smurf злоумышленник отправляет широковещательные пакеты протокола управляющих сообщений Интернета на несколько узлов с поддельным исходным IP-адресом, принадлежащим целевой машине. Получатели этих поддельных пакетов затем ответят, и целевой хост будет завален этими ответами.
  • SYN-флуд происходит, когда злоумышленник отправляет запрос на подключение к целевому серверу, но не завершает соединение с помощью так называемого трехстороннего рукопожатия - метода, используемого в сети протокола управления передачей (TCP) / IP. для создания соединения между локальным хостом / клиентом и сервером.Неполное рукопожатие оставляет подключенный порт в состоянии занятости и недоступен для дальнейших запросов. Злоумышленник будет продолжать отправлять запросы, насыщая все открытые порты, так что легитимные пользователи не могут подключиться.

Отдельные сети могут быть затронуты DoS-атаками без прямого нападения. Если сетевой провайдер интернет-услуг (ISP) или поставщик облачных услуг подвергся нападению и атаке, сеть также потеряет возможность обслуживания.

Что такое распределенная атака типа «отказ в обслуживании»?

Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько машин работают вместе, чтобы атаковать одну цель.Злоумышленники DDoS часто используют ботнет - группу захваченных подключенных к Интернету устройств для проведения крупномасштабных атак. Злоумышленники используют уязвимости системы безопасности или слабые места устройства для управления многочисленными устройствами с помощью программного обеспечения для управления и контроля. Получив контроль, злоумышленник может дать команду своему ботнету провести DDoS-атаки на цель. В этом случае зараженные устройства также становятся жертвами атаки.

Бот-сети, состоящие из взломанных устройств, также могут быть сданы в аренду другим потенциальным злоумышленникам.Часто ботнет становится доступным для служб «атаки по найму», которые позволяют неквалифицированным пользователям запускать DDoS-атаки.

DDoS позволяет отправлять на цель экспоненциально больше запросов, что увеличивает мощность атаки. Это также увеличивает сложность атрибуции, поскольку истинный источник атаки труднее определить.

Количество атак

DDoS увеличилось, поскольку все больше и больше устройств подключаются к сети через Интернет вещей (IoT) (см. Защита Интернета вещей).Устройства IoT часто используют пароли по умолчанию и не имеют надежных положений безопасности, что делает их уязвимыми для взлома и эксплуатации. Заражение устройств Интернета вещей часто остается незамеченным пользователями, и злоумышленник может легко взломать сотни тысяч этих устройств для проведения крупномасштабной атаки без ведома владельцев устройств.

Как избежать участия в проблеме?

Хотя невозможно полностью избежать того, чтобы стать целью DoS- или DDoS-атаки, администраторы могут предпринять упреждающие меры, чтобы уменьшить влияние атаки на свою сеть.

  • Зарегистрируйтесь в службе защиты от DoS, которая обнаруживает ненормальные потоки трафика и перенаправляет трафик из вашей сети. Трафик DoS фильтруется, и чистый трафик передается в вашу сеть.
  • Создайте план аварийного восстановления, чтобы обеспечить успешную и эффективную связь, смягчение последствий и восстановление в случае атаки.

Также важно принять меры по усилению безопасности всех ваших подключенных к Интернету устройств, чтобы предотвратить их взлом.

  • Установите и обслуживайте антивирусное программное обеспечение.
  • Установите брандмауэр и настройте его, чтобы ограничить входящий и исходящий трафик на ваш компьютер (см. Общие сведения о брандмауэрах для дома и малого офиса).
  • Оцените параметры безопасности и следуйте передовым методам обеспечения безопасности, чтобы минимизировать доступ других людей к вашей информации, а также управлять нежелательным трафиком (см. Хорошие навыки безопасности).

Как узнать о нападении?

Симптомы DoS-атаки могут напоминать непреднамеренные проблемы доступности, такие как технические проблемы с конкретной сетью или системным администратором, выполняющим обслуживание.Однако следующие симптомы могут указывать на DoS- или DDoS-атаку:

  • Необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам),
  • Недоступность определенного веб-сайта или
  • Невозможность получить доступ к любому веб-сайту.

Лучший способ обнаружить и идентифицировать DoS-атаку - это мониторинг и анализ сетевого трафика. Сетевой трафик можно контролировать с помощью брандмауэра или системы обнаружения вторжений. Администратор может даже установить правила, которые создают предупреждение при обнаружении аномальной нагрузки трафика и идентифицируют источник трафика или отбрасывают сетевые пакеты, которые соответствуют определенным критериям.

Что делать, если вы думаете, что испытываете приступ?

Если вы считаете, что вы или ваш бизнес подвергаетесь DoS- или DDoS-атаке, важно обратиться за помощью к соответствующим техническим специалистам.

  • Обратитесь к сетевому администратору, чтобы узнать, связано ли отключение обслуживания с техническим обслуживанием или внутренней проблемой сети. Сетевые администраторы также могут отслеживать сетевой трафик, чтобы подтвердить наличие атаки, идентифицировать источник и смягчить ситуацию, применяя правила брандмауэра и, возможно, перенаправляя трафик через службу защиты от DoS.
  • Обратитесь к своему интернет-провайдеру, чтобы узнать, есть ли сбой на его стороне или даже если его сеть является целью атаки, а вы - косвенная жертва. Они могут посоветовать вам подходящий курс действий.

В случае атаки не упускайте из виду другие хосты, ресурсы или службы, находящиеся в вашей сети. Многие злоумышленники проводят DoS- или DDoS-атаки, чтобы отвлечь внимание от намеченной цели и использовать возможность для вторичных атак на другие службы в вашей сети.

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика | Блоги McAfee Что такое DDoS-атака и как она работает?

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика

Представьте, что вы едете по шоссе, чтобы добраться до работы. На дороге есть и другие машины, но в целом все движутся плавно, с четким, законным ограничением скорости. Затем, когда вы приближаетесь к въезду, к вам присоединяются другие машины.А потом еще, и еще, и еще, пока внезапно трафик не замедлился до ползания. Это иллюстрирует DDoS-атаку.

DDoS означает «распределенный отказ в обслуживании», и это метод, при котором киберпреступники наводняют сеть таким объемом вредоносного трафика, что она не может работать или взаимодействовать, как обычно. Это приводит к остановке обычного трафика сайта, также известного как законные пакеты. DDoS - это простой, эффективный и мощный метод, основанный на небезопасных устройствах и плохих цифровых привычках.К счастью, с помощью нескольких простых настроек ваших повседневных привычек вы можете защитить свои личные устройства от DDoS-атак.

Количество DDoS-атак растет

Расширение 5G, распространение Интернета вещей и интеллектуальных устройств, а также переход большего числа отраслей, переводящих свои операции в онлайн, открыли новые возможности для DDoS-атак. Киберпреступники пользуются этим, и в 2020 году были зафиксированы два крупнейших DDoS-нападения за всю историю. В 2020 году были запущены амбициозные атаки на Amazon и Google.Для киберпреступников нет слишком большой цели.

DDoS-атаки

являются одной из наиболее проблемных областей кибербезопасности, потому что их невероятно сложно предотвратить и смягчить. Предотвратить эти атаки особенно сложно, потому что вредоносный трафик не исходит из единого источника. По оценкам, 12,5 миллионов устройств уязвимы для использования злоумышленником DDoS.

Персональные устройства становятся бойцами DDoS-атак Атаки

DDoS довольно просто создать.Все, что нужно, - это два устройства, которые координируют свои действия для отправки поддельного трафика на сервер или веб-сайт. Вот и все. Например, ваш ноутбук и ваш телефон могут быть запрограммированы на формирование собственной сети DDoS (иногда называемой ботнетом, подробнее ниже). Однако даже если два устройства направят всю свою вычислительную мощность на атаку, этого все равно недостаточно для отключения веб-сайта или сервера. Сотни и тысячи скоординированных устройств необходимы, чтобы остановить целого поставщика услуг.

Чтобы создать сеть такого размера, киберпреступники создают так называемый «ботнет» - сеть скомпрометированных устройств, которые координируются для выполнения конкретной задачи.Ботнеты не всегда должны использоваться в DDoS-атаках, и при DDoS-атаках не обязательно иметь ботнет для работы, но чаще всего они работают вместе, как Бонни и Клайд. Киберпреступники создают бот-сети довольно типичными способами: заставляя людей скачивать вредоносные файлы и распространять вредоносное ПО.

Но вредоносное ПО - не единственное средство вербовки устройств. Поскольку многие компании и потребители используют неверные пароли, злоумышленники могут сканировать Интернет в поисках подключенных устройств с известными заводскими учетными данными или легко угадываемыми паролями (например, «паролем»).После входа в систему киберпреступники могут легко заразить устройство и завербовать его в свою кибер-армию.

Почему запуск DDoS-атак часто бывает успешным

Эти завербованные кибер-армии могут бездействовать, пока им не будет отдан приказ. Здесь в игру вступает специализированный сервер, называемый сервером управления и контроля (обычно сокращенно «C2»). Получив указание, киберпреступники приказывают серверу C2 выдавать инструкции скомпрометированным устройствам. Затем эти устройства будут использовать часть своей вычислительной мощности для отправки поддельного трафика на целевой сервер или веб-сайт и, , вуаля, ! Так запускается DDoS-атака.

DDoS-атаки обычно успешны из-за их распределенного характера и сложности различения между законными пользователями и поддельным трафиком. Однако они не являются нарушением. Это связано с тем, что DDoS-атаки подавляют цель, чтобы вывести ее из строя, а не украсть у нее. Обычно DDoS-атаки используются в качестве ответных мер против компании или службы, часто по политическим причинам. Однако иногда киберпреступники используют DDoS-атаки в качестве дымовой завесы для более серьезных компромиссов, которые в конечном итоге могут привести к полномасштабному взлому.

3 способа предотвратить использование ваших устройств

DDoS-атаки возможны только потому, что устройства могут быть легко скомпрометированы. Вот три способа предотвратить участие ваших устройств в DDoS-атаке:

  1. Защитите свой маршрутизатор: Маршрутизатор Wi-Fi является шлюзом в вашу сеть. Защитите его, изменив пароль по умолчанию. Если вы уже выбросили инструкции для своего маршрутизатора и не знаете, как это сделать, обратитесь к Интернету, чтобы узнать, как это сделать для вашей конкретной марки и модели, или позвоните производителю.И помните, что защита может запускаться и внутри вашего маршрутизатора. Такие решения, как McAfee Secure Home Platform, встроенная в отдельные маршрутизаторы, помогают легко управлять сетью и защищать ее.
  2. Изменить пароли по умолчанию на устройствах IoT: Многие устройства Интернета вещей (IoT), интеллектуальные объекты, которые подключаются к Интернету для повышения функциональности и эффективности, поставляются с именами пользователей и паролями по умолчанию. Первое, что вам следует сделать после извлечения своего IoT-устройства из коробки, - это изменить эти учетные данные по умолчанию.Если вы не знаете, как изменить настройку по умолчанию на своем IoT-устройстве, обратитесь к инструкциям по настройке или поищите информацию в Интернете.
  3. Используйте комплексную безопасность: Многие бот-сети координируются на устройствах без какой-либо встроенной защиты. Комплексные решения безопасности, такие как McAfee Total Protection , могут помочь защитить ваши самые важные цифровые устройства от известных вариантов вредоносного ПО. Если у вас нет пакета безопасности, защищающего ваши устройства, найдите время, чтобы провести исследование и выбрать решение, которому вы доверяете.

Теперь, когда вы знаете, что такое DDoS-атака и как от нее защититься, вы лучше подготовлены, чтобы хранить свои личные устройства в безопасности.

Что такое DDoS? - Reblaze Wiki

DDoS означает распределенный отказ в обслуживании. Как следует из названия, это атака DoS (отказ в обслуживании), которая исходит из нескольких источников одновременно.

Атака DoS (отказ в обслуживании) - это попытка заставить целевую систему перестать отвечать на запросы предполагаемых пользователей.В первые дни Интернета веб-сайты существовали на отдельных хостах, и DoS-атаки с одним источником могли быть эффективными. Сегодня это гораздо менее вероятно; сайты размещаются в облаке и / или в нескольких центрах обработки данных, интегрированы с CDN и т. д. Даже с использованием таких методов, как усиление и отражение, атаке из одного источника очень сложно получить достаточную пропускную способность, чтобы перегрузить ресурсы современного сайта.

В результате злоумышленники сегодня распределяют свои атаки по нескольким источникам.Это позволяет им мобилизовать потенциально огромный пул ресурсов для своих атак, что сделало DDoS серьезной проблемой сегодня.

Масштаб современного DDoS

DDoS может быть самой драматичной формой кибератаки. Ресурсы, доступные современным злоумышленникам, могут позволить совершать массовые нападения.

Текущий рекорд размера DDoS - это атака в марте 2018 года, максимальная скорость которой составила 1,7 терабит в секунду (Тбит / с). Это побило рекорд всего пятью днями ранее: 1.Атака 35 Тбит / с на GitHub.

Измерить влияние DDoS-атаки сложнее, чем измерить ее размер. Вероятно, худшим с точки зрения воздействия DDoS-атак был DDoS-атака на Dyn в октябре 2016 года. Когда этот DNS-провайдер подвергся массированной атаке (крупнейшей из когда-либо существовавших на тот момент), клиенты в Северной Америке и Европе потеряли доступ к услугам. В список затронутых компаний входят AirBnB, Twitter, Zillow, правительство Швеции и многие другие.

Среди других заметных атак за последние годы:

  • Атака PopVote 2014 (500 Гбит / с), направленная на массовое движение в Гонконге, известное как Occupy Central.Движение выступало за более демократическую систему голосования.
  • Атака 2014 г. на Cloudflare (400 Гбит / с)
  • Атака 2013 г. на Spamhaus (300 Гбит / с).
  • Серия атак 2012 г. на несколько банков США (60 Гбит / с). Среди жертв были крупные национальные учреждения: Bank of America, JP Morgan Chase, U.S. Bancorp, Citigroup и PNC Bank.

В 2017 году Cisco прогнозировала, что к 2021 году количество DDoS-атак, превышающих 1 гигабит в секунду, возрастет до 3.1 миллион. Это в 2,5 раза больше, чем в 2016 году.

Масштаб - не единственная проблема

DDoS может быть очень драматичным, как видно из перечисленных выше инцидентов. Конечно, большинство DDoS-атак намного меньше этих.

Но это не означает, что руководители могут расслабиться и игнорировать угрозу DDoS. Чтобы атака была эффективной, не обязательно, чтобы ее масштаб был рекордным. Просто он должен быть достаточно большим, чтобы преодолеть защиту вашего сайта.

Современные злоумышленники имеют доступ к разнообразным дешевым и многочисленным ресурсам DDoS.Успешные атаки становятся еще проще благодаря различным типам DDoS-атак, которые используют усиление и отражение для увеличения своего воздействия.

Кто подвержен риску

У злоумышленников сегодня есть разные мотивы для проведения DDoS-атак. Мотивы включают:

  • Прямая денежная выгода (обычно от вымогательства DDoS: начало и поддержание атаки до тех пор, пока не будет выплачен выкуп).
  • Косвенная денежная выгода (например, сайт розничной торговли атакует конкурента во время сезона праздничных покупок, чтобы украсть часть его продаж).
  • Политические мотивы (например, DDoS-атаки со стороны правительства на СМИ, которые оно считает враждебными, или политические активисты, которых оно считает опасными).
  • Месть.
  • Троллинг (скрипичные детишки атакуют просто для развлечения).
  • И другие.

Список жертв DDoS включает сайты любого размера и типа. Если на ваш сайт в последнее время не попадали, скорее всего, скоро это случится.

Что такое атака отказа в обслуживании (DoS)?

Атака типа «отказ в обслуживании» (DoS) - это атака, предназначенная для выключения компьютера или сети, что делает ее недоступной для предполагаемых пользователей.DoS-атаки достигают этого, наводняя цель трафиком или отправляя ей информацию, которая вызывает сбой. В обоих случаях DoS-атака лишает законных пользователей (то есть сотрудников, участников или владельцев учетных записей) службы или ресурса, на которые они рассчитывали.

Жертвы DoS-атак часто нацелены на веб-серверы крупных организаций, таких как банковские, коммерческие и медиа-компании, или правительственные и торговые организации. Хотя DoS-атаки обычно не приводят к краже или потере важной информации или других активов, они могут стоить жертве много времени и денег.

Существует два основных метода DoS-атак: сервисы лавинной рассылки или аварийные сервисы. Атаки Flood происходят, когда система получает слишком много трафика для буферизации сервера, что приводит к их замедлению и, в конечном итоге, к остановке. Популярные атаки наводнения включают:

  • Атаки переполнения буфера - наиболее распространенная DoS-атака. Идея состоит в том, чтобы отправить на сетевой адрес больше трафика, чем программисты создали систему для обработки. Он включает в себя атаки, перечисленные ниже, в дополнение к другим, которые предназначены для использования ошибок, характерных для определенных приложений или сетей
  • ICMP Flood - использует неправильно настроенные сетевые устройства, отправляя поддельные пакеты, которые проверяют каждый компьютер в целевой сети, а не только один конкретный компьютер.Затем сеть запускается для увеличения трафика. Эта атака также известна как атака смурфа или звук смерти.
  • SYN flood - отправляет запрос на подключение к серверу, но никогда не завершает рукопожатие. Продолжается до тех пор, пока все открытые порты не будут заполнены запросами и ни один из них не станет доступным для подключения законным пользователям.

Другие DoS-атаки просто используют уязвимости, которые вызывают сбой целевой системы или службы. В этих атаках отправляются входные данные, которые используют ошибки в цели, которые впоследствии приводят к сбою или серьезной дестабилизации системы, так что к ней нельзя получить доступ или использовать.

Дополнительным типом DoS-атаки является распределенная атака типа «отказ в обслуживании» (DDoS). DDoS-атака происходит, когда несколько систем организуют синхронизированную DoS-атаку на одну цель. Существенное отличие состоит в том, что вместо того, чтобы быть атакованным из одного места, цель атакуют сразу из многих мест. Распределение хостов, определяющее DDoS-атаку, дает злоумышленнику несколько преимуществ:

  • Он может использовать больший объем машины для проведения серьезной разрушительной атаки
  • Место атаки трудно определить из-за случайного распределения атакующих систем (часто по всему миру)
  • Сложнее выключить несколько машин, чем одну
  • Истинную атакующую сторону очень сложно идентифицировать, так как они замаскированы за многими (в основном скомпрометированными) системами

Современные технологии безопасности разработали механизмы для защиты от большинства форм DoS-атак, но из-за уникальных характеристик DDoS-атак он по-прежнему рассматривается как повышенная угроза и вызывает большее беспокойство у организаций, которые опасаются подвергнуться такой атаке.

DDoS - Что это такое и как защитить себя

DoS против DDoS

Отказ в обслуживании (DoS) может исходить из одного источника. С другой стороны, DDoS-атака исходит от десятков, сотен или даже тысяч отдельных устройств (обычно без ведома их владельцев).

Два типа DDoS-атак

Существует два основных типа DDoS-атак. Это:

  • Объемные атаки - это включает отправку большого количества нежелательных данных на заданный IP-адрес.Он настолько велик, что подключение к Интернету не может принять его.
  • Атаки на приложения - это исчерпание ИТ-резервов интернет-приложения (например, вычислительной мощности или памяти). Этот тип DDoS-атаки намного опаснее, потому что его сложнее обнаружить из-за действия, напоминающего «настоящие» задачи, которые человек выполняет для приложения.

Что делать, если вы стали жертвой DDoS-атаки?

Прежде всего, стоит помнить, что то, что ваш веб-сайт немного медленный, не всегда означает, что произошла DDoS-атака.Часто это происходит просто из-за увеличения посещаемости сайта. Однако если ситуация повторяется слишком часто, стоит предпринять соответствующие шаги.

В такой ситуации позвоните в компанию, у которой размещен ваш сервер. Таким образом, вы сможете подтвердить, что DDoS-атака произошла. Если нападение действительно произошло, сообщите об этом в полицию, чтобы установить личность преступника. Конечно, для этого вам понадобятся доказательства, поэтому убедитесь, что у вас есть подготовленные журналы сервера.

Защита от DDoS-атак

Существует несколько методов защиты от DDoS-атак.Это может включать блокировку регионов, из которых можно получить доступ к веб-сайту (есть определенные регионы, откуда происходят больше атак).

Еще один, лучший способ защиты от DDoS - это использование правильного программного обеспечения. Для этого есть интегрированные функции в межсетевые экраны или UTM (для небольших объемов данных), собственные устройства DoS для очень больших объемов данных и центры обработки данных или даже облачные службы, где доступ к веб-серверу направляется в центр обработки данных оператор и связь с сервером компании происходит только в фоновом режиме.Таким образом, вы переносите уязвимость из своей собственной структуры в большую распределенную с большей вычислительной мощностью и более быстрым подключением к Интернету. В этом случае очень много помогает! Хорошая программа также должна генерировать отчеты и статистику, которые еще больше повышают эффективность защиты. ТАКЖЕ, вместе с компетентными ИТ-партнерами на месте, оказывает поддержку в выборе подходящей программы.

DDoS-атаки могут случиться со всеми компаниями. Однако стоит знать об угрозе и быть готовыми принять соответствующие меры в случае атаки.Так что помните не только о том, чтобы как следует защитить себя, но и о том, чтобы подготовить план действий в случае возникновения проблемы.

.
Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

© 2019 Штирлиц Сеть печатных салонов в Перми

Цифровая печать, цветное и черно-белое копирование документов, сканирование документов, ризография в Перми.