Какой тип атак использует зомби – Атака сетевых «зомби» / Сети и коммуникации

Содержание

Атака сетевых «зомби» / Сети и коммуникации

Эра ботнетов началась около одиннадцати лет назад, когда тысячи компьютеров, одновременно отправив огромный поток запросов, на некоторое время "завалили" домен microsoft.com. Постановку этих компьютеров под контроль обеспечил компьютерный вирус, укоренившийся в памяти ПК в скрытом режиме и направлявший их сетевую активность по заранее намеченному плану. Сегодня такие компьютерные сети, состоящие из множества хостов с запущенными "ботами" (автономным программным обеспечением, установленным туда с помощью компьютерных вирусов), являются эффективным оружием для нелегальной деятельности киберпреступников.

Внешний вид и составляющие

Ботнет является сетью компьютеров, работающих под частичным управлением вредоносной программы. В локальном режиме, не подключенные к сети Интернет, они совершенно безопасны, но как только осуществляется подключение к сети, все меняется с точность до наоборот - они начинают управляться киберпреступникам без ведома пользователей. Хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому такие компьютеры называют еще "зомби"-компьютерами. Подобные системы разной типологии (существует как минимум несколько десятков их типов) обладают мощными вычислительными ресурсами и являются эффективным кибероружием и, разумеется, источником финансовых потоков для злоумышленников. При этом, зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, причем полностью анонимно. Чаще всего это осуществляется с помощью мобильного ПК по беспроводной сети, причем и техника, и доступ в сеть оплачены либо наличными, либо (что чаще всего) ворованными кредитными карточками.

Типичная схема ботсети - заражая компьютеры с помощью компьютерного вируса,
их можно использовать для широкого спектра противоправных действий.

У зомби-сетей существует своя иерархия. Крупной считается сеть, в которой есть 100-200 тыс. компьютеров, небольшая - в 10 раз меньше. Больше всего небольших и средних - всего в единый момент времени в киберпространстве функционирует порядка 1,5-2 тыс. таких зомби-сетей. При этом, надо отметить, что размер ботнета определяется всего тремя факторами. Во-первых, многое зависит от эффективности той или иной технологии распространения заражения - для постановки под контроль компьютера его сначала необходимо инфицировать с помощью вирусной программы. В данном случае на первый план выходит антивирусная безопасность сетей, наличие и обновление которой позволяют снизить риск использования рабочих станций и серверов компаний в работе ботсетей. Чем выше эффективность системы безопасности, тем, разумеется, ниже вероятность того, что ваши компьютеры будут работать в зомби-сети. Во-вторых, это невидимость заражения для пользователя и срок недетектируемости такой программы, заразившей компьютер. Разумеется, чем этот срок дольше, тем лучше для злоумышленников. Ведь вредоносная программа-бот старается функционировать в системе тихо, незаметно и изо всех сил изображает, что ее здесь вообще нет. Сам компьютер интересует злоумышленников не так уж и сильно: для них главное - создавать сетевую активность для реализации своих практических задач. Кроме того, к примеру, излишняя активность той или иной рабочей станции быстрее обращает на себя внимание и администраторов, и пользователей. Ну и, в-третьих, имеет значение возраст ботнета - своего пика такая сеть достигает сразу после её создания, в течение 2-4 недель, конечно, если механизм заражения сторонних компьютеров достаточно эффективен. Но это далеко не вечное образование, подобные сети не постоянны и динамически меняют число находящихся под их контролем компьютеров.

Практика поражения

Даже простое открытие специально подготовленного документа (Word, Excel, Acrobat) или картинки на компьютере пользователя может привести к исполнению злонамеренного кода и заражению ПК. То есть потенциально, уверен Антон Разумов, консультант по безопасности Check Point, можно подцепить Backdoor, стать участником ботсети, просто посетив раскрученный ресурс (форум, Живой Журнал и пр.). Большинство современных антивирусов блокирует такие попытки заражения, но подобные средства установлены и функционируют далеко не на всех компьютерах пользователей. Кроме того, злоумышленники за последний год существенно увеличили спектр возможных путей заражения мобильных ПК и настольных рабочих станций.

Злоумышленники коренными образом
сменили тактику "вербовки"
компьютеров в ботсети.

Сегодня уже можно говорить о радикальной смене тактики при "вербовке" новых зомби-машин. "Например, семейство червей conficker, - говорит Григорий Васильев, технический директор компании ESET, - не использует социальных технологий при проникновении на компьютеры пользователя. Они берут широким спектром технических средств распространения - помимо уязвимости в ОС, заражение происходит через автозапуск на сменных носителях, по сетям p2p, через папки общего доступа". Кроме того, в 2008 году средства заражения стали все активнее перемещаться в веб, - уверен Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. - За прошедшее время основное количество атак происходило на базе взлома легитимных или создания поддельных сайтов, на которых размещалось различное вредоносное ПО или происходило принудительное перенаправление на нелегитимные сайты". "Вместе с этим, - говорит Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского", - к эффективным тактическим приемам для включения компьютеров в ботсети можно отнести использование уязвимостей в браузерах и компонентах, дополняющих их, т.е. с применением программ-мини-эксплойтов. Кроме того, вполне эффективным оружием для создания ботнетсетей являются компьютерные вирусы". К примеру, у одной из крупнейших сетей подобного рода из 1,9 млн. компьютеров, которая управляется хакерами из Украины, базовая версия вируса-трояна, используемая для вторжения в компьютеры, детектируется лишь 10% из 39 наиболее популярных в мире антивирусов. Еще одна интересная новинка недавнего прошлого - создание ботнета, организованного исключительно из компьютеров, работающих под управлением ОС MacOS. Такой результат был достигнут с помощью внедрения вредоносных программ типа OSX.Iservice.B в пиратскую копию офисного пакета iWork 09. Причем основным каналом его распространения были не интернет-сайты, а файлообменные p2p-сети. Подобную сеть из нескольких тысяч компьютеров уже используют для DDoS-атак - эта возможность появилась после запуска на компьютерах жертв PHP-скрипта с правами root. Стоит упомянуть и еще один интересный пример атаки, который был обнаружен в первом квартале этого года. Причем его целью были не "обычные" компьютеры или серверы, а недорогие модели сетевого оборудования - модемы и роутеры. Червь "psyb0t" является пока единственным приложением, разработанным специально для атаки на домашнее сетевое оборудование - на текущий момент число "подчиненных" им устройств составляет порядка 110-130 тыс. Они тоже используются для проведения DDoS-атак. Кроме того, "побочной" задачей вируса является анализ пересылаемых пакетов и сбор имен пользователей, их паролей для доступа к различным web-ресурсам - там можно найти много всего интересного. Самый печальный факт состоит в том, что автономное антивирусное ПО в сетевом оборудовании чаще всего не установлено, поэтому конечные пользователи попросту не догадываются о том, что их сеть взломали. Среди уязвимых устройств числятся те роутеры и модемы, которые используют Linux Mipsel, имеют не измененные заводские настройки в части адреса административного интерфейса (к примеру, 192.168.1.1) и доступ со стандартным паролем (admin или 111), а таких значительное количество. После того, как червь берет устройство под контроль, он закрывает к нему административный доступ легальных пользователей, блокируя telnet, sshd и доступ через web-интерфейс.

К эффективным тактическим приемам для включения компьютеров в ботсети
можно отнести использование уязвимостей в браузерах
и компонентах, дополняющих их,
т.е. с применением программ-мини-эксплойтов.

"Подобный пример, - говорит Антон Разумов, - показывает, что вирус использовал пока что только слабости парольной защиты выставляемой "по умолчанию". Но скоро обнаружатся уязвимости и в IP-стеке. По всей вероятности, можно ожидать рост числа подобных атак, поскольку многие пользователи используют недорогие сетевые устройства, создатели которых не имеют возможности уделять серьезное внимание безопасности. При этом, как было сказано, традиционный антивирус на компьютере в данном случае не поможет, а автоматически обновлять свои прошивки такие устройства, к несчастью, не умеют (да и мало кто из пользователей это регулярно делает "вручную")". Вполне возможно, что атака на сетевые устройства, используемые в небольших мобильных офисах или дома, станет основным трендом этого года.

Число "зомби"

О количестве включенных в разнообразные ботсети компьютеров существует слишком много версий. Но мнение о том, что каждый пятый компьютер, подключенный к интернету, входит в хакерские ботсети, конечно, является преувеличением. По мнению Виталия Камлюка, их не больше 10%, учитывая, что общее количество компьютеров, подключенных в сети Интернет составляет около 1 млрд. машин. Вообще, у аналитиков на этот счет нет общей картины мира. Особенность состоит в том, - говорит Антон Разумов, - что в данном случае существует два основных варианта: либо машина защищена достаточно хорошо, и не входит ни в один ботнет, либо защищена плохо и входит сразу в несколько ботнетов. "Фактически зараженные компьютеры учитываются несколько раз, - поясняет он". Более точные данные приводит Кирилл Керценбаум - по данным аналитического Отчета Symantec Internet Security Threat Report, в 2008 году ежедневное количество регистрируемых инфицированных бот-компьютеров выросло на 31% по сравнению с 2007 годом. Примерное число таких компьютеров за годовой период составило 9,4 млн. машин, что на 1% выше, чем в предыдущий период. Но эта цифра очень нестабильная и ботсети очень динамичны; поскольку одни ПК добавляются к ним, а другие - исчезают, то очень сложно оценить относительный уровень заражения программами-ботами, однако эта цифра достоверно чуть выше 10%. В России же, уверен Григорий Васильев, ситуация более благоприятна: в нашей стране число интернет-пользователей достигает 35-40 млн., а доля зараженных машин не превышает 3-5% от этого числа.

Заработок на ботнетах

В настоящий момент злоумышленникам, которые хотят построить зомби-сеть, нужен самый минимум специальных знаний, ограниченная сумма денег и анонимный хостинг. Причем, ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление на анонимных досках объявлений или в блогах. Самые популярные из них - программные пакеты, известные как MPack, IcePack, AdPack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной web-страницы, используя уязвимости в ПО браузеров или в плагинах к ним. Такие программные пакеты называются web-системами массового заражения или просто ExploitPack.

Управлять ботсетью можно
с помощью обычного мобильного ПК по беспроводной связи.

А вот вариантов контроля ботсетей очень много, хотя и там наблюдается определенная эволюция. К примеру, IRC-ориентированные ботнеты, где управление ботами осуществляется на основе IRC (каждый зараженный компьютер соединяется с указанным в теле программы-бота IRC-сервером, заходит на определенный канал и ждет команды от своего "хозяина"), сдают свои позиции. Еще один вид ботов - правда, не очень популярных - это IM-ориентированные. Они отличаются от своих IRC-ориентированных собратьев только тем, что для передачи данных используют каналы IM-служб (Instant Messaging), например, AOL, MSN, ICQ и др. А вот наибольшую активность демонстрируют web-ориентированные боты: это относительно новая и быстро развивающаяся ветвь ботнетов, предназначенная для управления через Web. Такой бот соединяется с определенным web-сервером, получает от него команды и передает в ответ свои данные. Такие системы популярны в силу относительной легкости их разработки, большого числа возможных web-серверов в интернете, которые можно использовать как управляющий центр, а также простоты управления ботнетом через web-интерфейс. Причем, командных серверов у ботнета обычно несколько, они постоянно ротируются, поскольку в результате работы сети некоторые из них вполне естественно "выбиваются" правоохранительными органами. Совершенно отдельные сетевые хранилища используются для загрузки на компьютеры пользователей новых версий вредоносного программного обеспечения. Кроме того, существуют и другие интересные механизмы контроля. К примеру, интересный механизм рассылки инструкций зомби-компьютерам - это протокол P2P. Изначально компьютеры могут быть заражены троянской программой (к примеру, Nugache), которая распространяется при помощи AOL Instant Messenger и зараженного дистрибутива P2P-клиента LimeWire. А после этого ботнет может работать без единого контролирующего центра: отдельные сети можно организовать в пиринговую сеть: сейчас такая схема используется владельцами ботнетов чаще. Это вполне закономерно - уничтожить такой ботнет гораздо сложнее, он может распадаться на части, управление которыми может быть осуществлено отдельно. Подобные ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба. "При этом, - уверен Виталий Камлюк, - в настоящий момент владельцы ботнетов не склонны специализироваться только на одном виде "услуг", - они предлагают своим клиентам широкий выбор возможных действий. К примеру, распространяют поддельные антивирусы, которые, на самом деле, не защищают компьютеры пользователей, а предоставляют злоумышленникам "дырки" для снятия финансовой и личной информации". Такая вот "клиентцентрированность" во время финансового кризиса. Кроме того, подобные действия исполнять спокойнее и гораздо прибыльнее - владельцы подобных программ заплатят владельцу ботнета, при этом его не будут разыскивать правоохранительные органы - ведь DDoS-атаки через этот ботнет не проводились. Кроме того, отмечает Григорий Васильев, ботнеты используются и для массивной рассылки спама (куда может входить и фишинг, и другие виды атак), распространения вредоносного ПО, для расширения самой ботсети. Кстати, спам-рассылки обладают наибольшим потенциалом, с точки зрения "бизнеса" - при своей невысокой стоимости услуга востребована при любой экономической ситуации, причем ее эффект легко просчитать. В настоящее время, по данным "Лаборатории Касперского", более 80% спам-писем (которые, в свою очередь, составляют до 75% всей корреспонденции в сети) рассылается именно с зомби-машин. Еще один, наиболее очевидный вариант применения ботнета - это DDoS-атаки (Distributed Denial of Service - распределенная атака типа "отказ в обслуживании"), хотя их тактика тоже подвержена изменению. К примеру, тот же кибершантаж, так популярный год-два назад, в результате которого атакуемый сайт платит выкуп за отказ от подобных атак в будущем, постепенно сходит на нет. Значительно больше и стабильнее деньги можно заработать на целенаправленной атаке ресурсов конкурентов по конкретному "виртуальному" заказу. Ведь большинство коммерческих компаний не готово платить 1-1,5 тыс. долларов за защиту от DDoS на постоянной основе. А когда атака состоялась, то "поднять" сайт стоит гораздо больше.

Наиболее активный тип DDoS-атак -
блокирование web-сайтов конкурентов
по конкретному "виртуальному" заказу.

Напомним, что значительная часть DDoS-атак базируется на использовании уязвимостей в основном интернет-протоколе (TCP/IP), в частности, на обработке системами запроса SYN (Synchronize sequence numbers - синхронизация номеров последовательности). Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить анонимность, применяют ложные исходные адреса для управления атакой и вполне реальные - для генерации паразитического трафика. Поскольку зомби-машин в их сетях достаточное количество, это значительно затрудняет выявление реальных авторов атаки. Кроме того, многие средства организации DDoS легко доступны и не требуют высокой квалификации пользователей для своей организации. Хотя, в целом, проведение DDoS-атаки представляет собой интересную операцию по дестабилизации работы того или иного информационного ресурса, для чего злоумышленники используют как минимум трехуровневую архитектуру, которую называют кластером DDoS. Ее основа - управляющая консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник группирует свои силы, подает сигнал о начале атаки, распределяет имеющиеся в его распоряжении ресурсы и анализирует статистику тех или иных кластеров своей ботсети. Обычно такой управляющий центр представляет собой ноутбук, подключенный к интернету с помощью мобильного телефона или спутникового канала связи: при выходе в сеть с такой машины хакеры используют всевозможные уловки от работы через анонимайзеры до маскировки реального IP, чтобы не быть обнаруженными. Второй уровень - так называемые главные компьютеры, те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". Обычно это серверы, находящиеся в ЦОДах, владельцы которых и не подозревают о "второй жизни" своего оборудования. Таким образом, на одну управляющую консоль, в зависимости от масштабности атаки, может приходиться до нескольких сотен главных компьютеров. На третьем, низовом уровне находятся агенты -"зомбированные" ПК, своими запросами атакующие узел-цель. В отличие от главных компьютеров и управляющих консолей, их число постоянно меняется (владельцы компьютеров задействуют антивирусные средства, администраторы отключают зараженные сегменты от доступа к глобальной сети и т.д.), что заставляет злоумышленников постоянно распространять вирусы, чтобы получать всё новые бот-системы в активном режиме. Кстати, на одно из лидирующих мест выходит и фишинг - фактически создаваемая в киберспространстве незаконная копия того или иного популярного ресурса, куда пользователей "сгоняют" с помощью спам-рассылок, подменяя известный адрес web-ресурса копией. Цель вполнее понятна - сбор личных данных. Ботнет в данном случае - отмечают аналитики "Лаборатории Касперского" - дает возможность фишерам быстро менять адреса фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес web-сервера фишера. Результатом этого вида деятельности является кража конфиденциальных данных - уверен Виталий Камлюк - "улов" в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, web-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз.

Кража личных данных -
один из основных типов работы для ботнетов.

Типичные атаки подобного уровня были обнаружены еще в 2007 году, когда ботнеты проводили атаку на крупнейший онлайн-аукцион eBay. Вирус-троян загружался с зараженных сайтов на компьютеры пользователей, используя критические уязвимости в Microsoft Internet Explorer. После того, как он "укоренялся" на захваченном пользовательском компьютере, он сканировал сетевые подключения для получения порции учетных записей и паролей, которые отправлял своим хозяевам для опробования на сайте eBay.

Кто попадает в ботсети

Как отмечают эксперты, в 2008 году Россия вышла на первое место среди европейских стран по количеству управляющих ботсетями серверов - отечественные злоумышленники достаточно быстро освоили инструментарий, необходимый для создания и управления подобным оружием. Кроме того, "была отмечена тенденция разукрупнения существующих и создание новых, более мелких ботсетей, - говорит Кирилл Керценбаум. - Это связано с тем, что более мелкие ботсети намного сложнее отследить, а соответственно - заблокировать". Вместе с этим, отмечает Виталий Камлюк, подобная тактика позволяет атаковать "сайт-цель" в различное время суток из разных географических зон и с помощью различных методов. Сегодня эта тенденция сохранилась, но при этом не является доминирующей. Однако существует и иная ситуация: увеличение концентрации различных ботнет-кластеров в одном управляющем центре. За примерами далеко идти не нужно - к примеру, ботнет Kido в настоящий момент представляет наиболее серьезную угрозу. Эта вредоносная система была впервые была обнаружена еще в ноябре 2008 года и сейчас насчитывает "в строю" не менее пяти миллионов компьютеров. Подобная система, действуя эшелонированными порядками и привлекая скрытые до поры резервы и ударные отряды, может быстро и надолго блокировать не только web-ресурс службы новостей, но и государственных органов власти, финансово-кредитных учреждений и т.д., попутно "отбомбившись" по дополнительным целям наступления: к примеру, ресурсам хостинг-провайдеров. В этой связи стоит отметить такое перспективное направление для ботсетей, как постановку под контроль смартфонов и коммуникаторов, имеющих постоянное подключение к сети Интернет с помощью UMTS-сетей или систем мобильного WiMAX. Потенциально именно такие устройства, распространенные во всех развитых странах мира, будут являться крайне интересной целью для хакеров в силу слабости их антивирусного обеспечения и большой концентрации личных данных, представленных на подобных терминалах. Кроме того, компьютерная грамотность большинства их владельцев оставляет желать много лучшего, и они просто не смогут разобраться в том, загружал их коммуникатор данные для виджетов о погоде и курсах валют или атаковал по приказу центра ботсети, к примеру, сайт платежной системы. Но в настоящий момент подобный риск пока маловероятен, уверен Виталий Камлюк. "Во многом в силу того, что лишь относительно небольшое число разработчиков способно создать необходимый в данном случае софт". Только поэтому подобное вредоносное ПО пока не столь популярно.

Перспективное направление для ботсетей -
постановка под контроль "умных" мобильных.

"Кроме того, - добавляет Григорий Васильев, - угроза зомби-сетей на базе смартфонов и коммуникаторов менее актуальна по сравнению с традиционными компьютерными ботсетями хотя бы потому, что технические возможности ПК значительно шире и исследованы гораздо более глубоко". Вдобавок, на рынке мобильных устройств, в отличие от ПК, существует целый "зоопарк" операционных систем, что делает разработку вирусов для таких систем более затратным мероприятием. Таким образом, индустрия производства вредоносного ПО, работающая по принципу быстрого возврата инвестиций с высокой рентабельностью, понимает, что данное направление все еще недостаточно развито, и подобные атаки, являющиеся не менее затратными, не принесут достаточного уровня прибыльности. Следовательно, "спасает" мобильные устройства тот факт, что все еще есть другие и более эффективные направления вредоносной деятельности. Но вероятность использования "умных" мобильных в качестве частей ботсети со временем все-таки возрастает вместе с увеличением доли "умных" мобильных на всем рынке. Злоумышленники теоретически смогут использовать их для рассылки SMS-спама абонентам сотовых операторов или для организации атак на беспроводные сервисы, а также массово списывать деньги со счетов за счет отправки SMS на платные номера операторов связи. Кроме того, в числе потенциальных целей - мобильный банкинг, VoIP-сервисы. Пока же, судя по статистике крупных производителей средств антивирусной защиты, наиболее часто в ботсети попадают ПК обычных домашних пользователей и небольших компаний, которые слабо защищены, а порой их владельцы вообще относятся к средствам защиты своих ПК достаточно халатно. "Если говорить о крупном бизнесе, - уверен Кирилл Керценбаум, - в том числе и государственных компаний, то здесь такие случаи менее распространены: в подобных сетях вопросы защиты сети в большинстве случаев решаются на физическом уровне, и ПК часто просто не имеют доступа в интернет. Соответственно, и заражение, и функционирование самого бота практически невозможно, так как инфицированные компьютеры должны иметь постоянное подключение к интернету для получения заданий и обновления, а этого в данном случае просто нет". А вот проект всеобщей компьютеризации школ и подключения их к интернету до сих пор вызывает у специалистов по информационной безопасности очень серьезные опасения, - рассказывает Антон Разумов: "Не исключено, что при нынешнем подходе к безопасности этого проекта (которая практически не прорабатывается, несмотря на множество призывов и предупреждений), это в скором времени станет потрясающего размера ботнетом (точнее, множества ботнетов)". Дело в том, что квалификации большинства преподавателей, назначенных администраторами систем, просто не хватает для защиты ПК в классах информатики, и они являются хорошим "сырьем" для ботсетей.

Оборона периметра

Есть ли возможность гарантированно защитить ПК от попадания в ботнет? Бороться с зомби-сетями в глобальном масштабе - занятие, вежливо говоря, очень долгосрочное. Наиболее эффективно сосредоточиться на защите личных персональных компьютеров и сетей. Наверное, банальным будет говорить о том, что обязательно наличие антивируса на серверах, рабочих станциях и мобильных ПК, а также периодический запуск в системе специальных утилит, целенаправленно сканирующих наличие наиболее распространенных ботсетей (обычно бесплатно выпускаются производителями антивирусного ПО). Кроме того, желательно удостовериться, что пароль учетной записи локального администратора устойчив ко взлому (для этого он должен содержать не менее шести символов, с использованием разных регистров и/или цифр), отключить автозапуск исполняемых файлов со съемных носителей, а также, по возможности, остановить службу Task Scheduler (Планировщик Задач) в ОС Windows. "Кроме того, - уверен Антон Разумов, - наиболее действенным средством, на мой взгляд, служит использование персональных межсетевых экранов с контролем приложений. Inetrnet Explorer, Opera, FireFox, Google Chrome и ряд других известных браузеров могут беспрепятственно выходить в интернет, но какое-то новое приложение при попытке обратиться к порту 80, например, будет заблокировано". Желательно не рисковать и не использовать для этого встроенный в Windows брандмауэр - надежнее будет использовать сторонний, более продвинутый сервис. При этом, чтобы избавить не очень продвинутого в техническом плане пользователя от лавины вопросов, исходящих от различных приложений, жаждущих доступа в сеть, наиболее разумным представляется выбирать программы, оснащенные таким механизмом, как у ПО от компании ZoneLabs. Через свои сервисы SmartDefense, DefenseNet, куда включены базы данных "хороших" и "плохих" программ, поддерживаемые специалистами, она предлагает пользователю, к примеру, разрешить группе "хороших" браузеров доступ в интернет, и пользователя уже не будет заботить, какая версия IE у него стоит, какие апдейты были установлены в системе. Таким образом, те же "хорошие" браузеры будут работать свободно, не надоедая пользователю вопросами, в то же время, злонамеренный код будет остановлен. Т.е. даже если пользователь где-то и заразится, в ботнет он все равно не попадет. Вдобавок, отмечает Григорий Васильев, одними из наиболее эффективных систем для отслеживания зарождения и развития ботсетей являются технологии обратной связи клиентов с вирусными лабораториями, так называемые системы раннего обнаружения угроз. "Фактически, - уточняет он, - это разновидность in cloud computing. Каждый компьютер с установленным антивирусным ПО способен пересылать образцы подозрительного ПО специалистам вендора. Если такой пример признан вредоносным, немедленно выпускается обновление для защиты пользователей продукта по всему миру. Применение данной технологии предоставляет разработчикам уникальную возможность точно представлять характер угрозы, особенности распространения вредоносной программы. Как следствие, можно быстро локализовать опасность и устранить заражение. На сегодняшний день это, пожалуй, единственный путь борьбы с ботсетями".

Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

3dnews.ru

что известно в 2018 году / Habr

Мы постоянно используем Интернет, чтобы управлять своими цифровыми устройствами в работе и трансляции жизни в социальные сети.

Наряду с нашим подключением к Интернету появляется связь с такими побочными эффектами, как вирусы, спам, хакерские атаки и цифровое мошенничество. Количество фишинговых сайтов, вредоносных писем, разрушительных вирусов возросло во всем мире.

Из различных угроз, с которыми отдельные лица и многие компании сталкиваются в наши дни через Интернет, ботнет является наиболее распространенным.

Ботнет — это сеть компьютеров, которые управляются хакерами удаленно.

Ботнеты используются преступниками для распространения программ-вымогателей на ваш ноутбук, телефон, планшет, компьютер. Они могут быть не обнаружены даже антивирусом, и вы можете долгое время не догадываться, что ваше устройство является частью ботнета.

Что такое ботнет в 2018 году?

Классическое понимание:
Слово «ботнет» представляет собой сочетание двух слов «робот» и «сеть».

Здесь киберпреступник, выполняющий роль ботмастера, использует троянские вирусы, чтобы нарушить безопасность нескольких компьютеров и подключить их к сети в злонамеренных целях. Каждый компьютер в сети действует как «бот» и управляется мошенником для передачи вредоносных программ, спама или вредоносного контента для запуска атаки. Ботнет порой называют «армией зомби», т.к. компьютеры контролируются кем-то иным, кроме их владельца.

Происхождение ботнетов главным образом зародилось в каналах интернет-чатов (IRC).
В конце концов, спамеры стали использовать уязвимости, присутствующие в сетях IRC,
и разработали ботов.

Это было сделано специально для выполнения злонамеренных действий, таких как регистрация, эмуляция действий «заинтересованного клиента», кража пароля и многое другое.

Структура ботнета обычно принимает одну из двух форм: модель «клиент-сервер» или одноранговую модель (P2P, «Peer-to-peer»).

Модель «клиент-сервер»

В структуре бот-системы «клиент-сервер», создается базовая сеть, в которой один сервер выступает в роли ботмастера. Ботмастер контролирует передачу информации от каждого клиента для установки команд и управления над клиентскими устройствами.

Модель «клиент-сервер» работает с помощью специального программного обеспечения и позволяет ботмастеру сохранять постоянный контроль над зараженными устройствами.
Эта модель имеет несколько недостатков: ее можно легко обнаружить, и она имеет только одну контрольную точку. В этой модели, если сервер уничтожен, ботнет погибает.

Одноранговая модель (PTP, Peer-to-peer)

Чтобы преодолеть недостаток использования одного централизованного сервера, были созданы ботнеты современного типа. Они взаимосвязаны в форме одноранговой структуры.

В модели бот-сети P2P каждое подключенное устройство работает независимо как клиент и как сервер, координируя между собой обновление и передачу информации между ними.

Структура бот-сети P2P сильнее из-за отсутствия единого централизованного управления.

Типы атак ботнетов


Распределенный отказ в обслуживании

Ботнет может использоваться для атаки распределенного отказа в обслуживании (DDoS) с целью уничтожения сетевых подключений и сервисов.

Это делается путем перегрузки вычислительных ресурсов.

Наиболее часто применяемыми атаками, являются атаки TCP SYN и UDP.

DDoS-атаки не ограничиваются только веб-серверами, но могут быть направлены на любую службу, подключенную к Интернету. Серьезность атаки может быть увеличена путем использования рекурсивных HTTP-потоков на веб-сайте жертвы, что означает, что боты рекурсивно следуют по всем ссылкам в HTTP-пути.

Эта форма называется «паутиной», и практикуется для более эффективного увеличения нагрузки.

Одна из крупнейших DDoS-атак ботнета 2018 года была связана с IoT и использовала вирус ботнета Mirai.

Вирус предназначался для десятков тысяч менее защищенных интернет-устройств и контролировал их, превращая в ботов для запуска DDoS-атаки.

Mirai породил множество производных запросов и продолжил расширяться, делая атаку более сложной.

Это навсегда изменило ландшафт угроз с точки зрения используемых методов.

Спам и мониторинг трафика

Ботов можно использовать в качестве анализатора для выявления наличия конфиденциальных данных на зараженных машинах или компьютерах-зомби. Они также могут найти бот-сети конкурента (если они установлены на той же машине), и могут быть своевременно взломаны. Некоторые боты предлагают открыть прокси-сервер SOCKS v4 / v5 (универсальный протокол прокси для сети на основе TCP / IP). Когда прокси-сервер SOCKS включен на скомпрометированной машине, его можно использовать для различных целей, например, для рассылки спама.

Боты используют анализатор пакетов для отслеживания информации или данных, переданных скомпрометированной машиной. Сниффер может получить конфиденциальную информацию, такую как имя пользователя и пароль.

Keylogging

С помощью кейлоггера ботмастеру легко получить конфиденциальную информацию и украсть данные пользователя. Используя программу кейлоггер, злоумышленник может собрать только те ключи, которые набраны в последовательности клюевых слов, таких как PayPal, Yahoo и другое.
Разновидность шпионского ПО, идентифицируемая как OSX / XSLCmd, перенесенная из Windows в OS X, включает в себя возможность ведения блогов и захвата экрана.

Массовая кража личных данных

Различные виды ботов могут взаимодействовать для совершения крупномасштабной кражи личных данных, что является одним из наиболее быстро растущих преступлений. С помощью ботов можно маскироваться под известный бренд и просить пользователя предоставить личные данные, такие как пароль банковского счета, данные кредитной карты, данные о налогообложении.

Массовая кража личных данных может быть осуществлена с использованием фишинговых писем, которые вынуждают жертв вводить учетные данные для входа на веб-сайты, как eBay, Amazon или даже известные коммерческие банки.

Злоупотребление платой за клик

Программа Google Ads позволяет веб-сайтам показывать рекламные объявления Google и тем самым зарабатывать на них деньги. Google платит деньги владельцам веб-сайтов на основании количества кликов, полученных от рекламы. Скомпрометированные машины используются для автоматического нажатия на ссылки, увеличивая количество фейковых кликов.

Adware

Рекламное программное обеспечение используется для привлечения пользователей за счет рекламы на веб-страницах или в приложениях. Они появляются на компьютерах без ведома или разрешения пользователей, а оригинальная реклама заменяется мошенническим рекламным ПО, которое заражает систему любых пользователей, кто на нее нажимает.

Рекламное программное обеспечение выглядит как безвредная реклама, но использует шпионское ПО для сбора данных браузера.

habr.com

Немного о типах DDoS-атак и методах защиты / VAS Experts corporate blog / Habr

Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.

«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.

При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.


/ Flickr / Kenny Louie / CC

DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.

Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.

TCP SYN Flood


Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.

Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.

Fragmented UDP Flood


Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.

Атака с использованием ботнета


Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.

В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.

При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.

Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).

В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.

Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.

Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.

Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.

Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.

Smurf-атаки


Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.

Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.

DNS-атака с усилением


Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.

Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.

TCP Reset


TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.

Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.

Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.

Дополнительное чтение по теме DPI (Deep packet inspection):

habr.com

DDoS великий и ужасный / ua-hosting.company corporate blog / Habr

Знаете ли Вы, что по данным исследований, проведённых Arbor Networks, Verisign Inc. и некоторыми другими компаниями:
  • ежедневно наблюдается порядка 2000 DDoS атак;
  • атака, способная «положить» небольшую компанию на неделю, стоит всего $150;
  • около 2/3 участников исследований (63%) страдали хотя бы раз от DDoS в течение года;
  • помимо прямых убытков и потери лояльности пользователей, атаки также влияют на продуктивность работы персонала;
  • 11% респондентов были под атакой шесть и более раз за год;
  • среди тех, кто за последние 12 месяцев был под атакой, 46% лежали более 5 часов, а 23% — более 12 часов;
  • примерно треть всех случаев даунтайма у респондентов вызваны DDoS атаками.

Каким бывает DDoS, можно ли с ним бороться и как можно предостеречься? Об этом я вкратце поведаю в данной статье.

Какой ты, DDoS?

Все DDoS атаки можно разделить на три обширные группы:
  • объёмные;
  • атаки на уровне протоколов;
  • атаки на уровне приложений.

Подробнее отдельные виды атак будут рассмотрены ниже, а пока — небольшой обзор групп.
Атаки, направленные на объём

Данная категория атак направлена на насыщение полосы пропускания, соответственно, сила атаки измеряется в битах в секунду. К этой категории разносятся различные виды флудов: UDP, ICMP и прочие потоки сфальсифицированных пакетов. Сила атаки растёт с каждым годом, и если в далёком 2002 году 400 Мбит/с казалось чем-то из ряда вон выходящим, то сейчас отдельные атаки превышают 100 Гбит/с и способны «сдуть» некоторые «карманные» дата-центры.

Пожалуй, единственный способ борьбы с такими атаками — фильтрация на уровне дата-центра (если он предоставляет такую услугу) или специализированных сервисов защиты. Они обладают достаточными канальными мощностями и вычислительными ресурсами, чтобы поглотить объём и передать на сервер пользователя уже отфильтрованный трафик. Для «выщипывания» остатков паразитного трафика можно также применить средства аппаратной защиты.

Атаки на уровне протоколов

Эта категория направлена на ограничения оборудования или уязвимости различных протоколов. Такие атаки забивают ресурсы сервера либо промежуточного оборудования (фаерволы, балансировщики нагрузки и т.п.) паразитными пакетами, в результате чего системы оказываются неспособны обрабатывать полезные. Сила атаки измеряется в пакетах в секунду. К этой категории относятся SYN флуд, «пинг смерти», атаки с фрагментированными пакетами и другие.

На этом уровне аппаратная защита становится ощутимо эффективнее. Специально разработанные производителями таких устройств алгоритмы помогают отсортировать и отфильтровать трафик. Естественно, любые алгоритмы несовершенны, и какая-то часть паразитного трафика всё-таки прорвётся к Вам, а какая-то часть полезного может быть утеряна. Сторонние сервисы фильтрации также могут быть вполне эффективны.

Атаки на уровне приложений

Как можно понять из названия, атаки направлены на уязвимости в приложениях и операционных системах (Apache, Windows, OpenBSD и т.п.). Они приводят к неработоспособности какого-либо приложения или ОС в целом. Среди таких атак: Slowloris, атаки нулевого дня и прочие. Как правило, состоящие из вполне невинных свиду запросов, такие атаки «ложат» веб-сервер. Интенсивность измеряется в запросах в секунду.

Данный тип атак наиболее «убийственный». Они чрезвычайно узко направлены, благодаря чему могут создать весьма серьёзные проблемы атакуемому при малых затратах ресурсов атакующего. За последние 3-4 года данный тип атак становится преобладающим, и простой флуд HTTP GET запросов является одним из наиболее распространённых видов.

К арсеналу борьбы с этой категорией атак, помимо упомянутых выше внешних сервисов и аппаратной защиты, можно также добавить встроенные программные алгоритмы, анализирующие запросы и создающие правила для фаервола по результатам такого анализа.

Немного подробнее

Существует немало видов DDoS атак, у каждой свой почерк и способы преодоления. Не все атаки можно ослабить или побороть. Иногда даже нет смысла пытаться, и проще переждать, грустно подсчитывая убытки. Изложить подробно механизмы противостояния каждому типу невозможно, об этом можно писать книги и защищать диссертации. Однако попробую представить описания сути наиболее распространённых видов атак и базовые принципы противодействия им.

UDP флуд

Этот вид атак использует простейший UDP протокол. Его характерные особенности — отсутствие необходимости в установлении сессии и отправки какого-либо ответа. На случайные порты хост-машины приходит бесчисленное количество пакетов, принуждая постоянно проверять, слушает ли данный порт какое-то приложение, и в случае ошибки возвращать пакет «ICMP Destination Unreachable». Естественно, такая активность поглощает ресурсы хост-машины, приводя к её недоступности. Один из простейших способов хотя бы частично защититься от данной проблемы — блокировка UDP трафика (если Ваше приложение его не требует, конечно). Для борьбы с более масштабными атаками подойдут аппаратные средства защиты и фильтрующие сети.
ICMP флуд

Схож с UDP флудом. На хост-машину с максимальной частотой посылаются ping-запросы, принуждающие её давать эхо-ответы. Невинный инструмент проверки доступности сетевого узла становится злобным пожирателем системных ресурсов. Именно поэтому некоторые системные администраторы напрочь блокируют ICMP запросы на уровне фаервола. Сервер или любое другое сетевое оборудование будет вполне доступным, но пропинговать его Вы не сможете.
SYN флуд

В этом виде атак используется один из базовых принципов, заложенных в протокол TCP — принцип «тройного рукопожатия». Машина, инициирующая соединение, отправляет хост-машине SYN пакет. Хост отвечает пакетом SYN-ACK, на что машина-инициатор должна ответить ACK пакетом. В случае SYN флуда ACK пакет не отправляется, в результате чего соединение некоторое время висит открытым и закрывается по тайм-ауту. Так как количество подключений, которые одновременно могут поддерживаться хост-машиной открытыми, ограничено, рано или поздно наступает насыщение, приводящее к отказу в обработке полезных пакетов.
MAC флуд

Весьма экзотический тип атаки, направленный в основном на сетевое оборудование. Атакующая сторона отправляет пустые Ethernet пакеты с разными MAC адресами. Свитч рассматривает такие пакеты как отдельные, и резервирует под каждый из них некое количество ресурсов. Насыщение ресурсов может привести к тому, что свитч перестанет отвечать на запросы, а в отдельных случаях — к полному сбою таблицы маршрутизации.
Пинг смерти

У этого вида разные имена: Ping of Death (пинг смерти), Teardrop (слезинка) и некоторые другие. На сегодняшний день он уже не является такой уж серьёзной угрозой, но в прежние времена всё было несколько иначе. Максимальный размер IP пакета — 65535 байт. Однако в процессе передачи по сети пакет дробится на части, соответствующие размеру окна. В результате манипуляций с получившимися субпакетами можно добиться, что при обратной «сборке» получится пакет, превышающий максимальный размер. Это может привести к переполнению выделенного буфера памяти и отказу в обслуживании для других пакетов.
Slowloris

Особо изощрённый и узко специализированный тип атаки, позволяющий относительно малыми ресурсами (достаточно одного сервера) положить веб-сервер, не затронув другие протоколы. Атакующий сервер пытается открыть как можно больше HTTP соединений и держать их как можно дольше, понемногу отправляя частичные запросы. Лимит одновременных подключений на атакуемом сервере весьма быстро заканчивается, и он перестаёт принимать полезные запросы. Лечится отлавливанием и блокировкой таких затягивающихся соединений.
Отражённые атаки

В данном типе пакеты с фальсифицированными IP отправителя рассылаются максимально возможному количеству машин. Ответы машин стекаются на IP жертвы, перегружая её сервер. Один из распространённых примеров — использование неверно настроенных DNS-серверов. DNS-серверам отправляются небольшие запросы якобы от IP жертвы. Размер ответа сервера в среднем в 10 раз превышает размер запроса. Таким образом, атакующий сервер, рассылающий 100 Мбит/с ложных запросов, может обрушить на атакуемый порядка гигабита паразитного трафика.
Деградация сервиса

Основная суть данного типа — множественная симуляция действий реальной аудитории. Самый примитивный вариант — частые запросы одной и той же страницы сайта. Лечится временной блокировкой страницы с отдачей сообщения об ошибке. Более сложные атакующие системы будут случайным образом ходить по Вашему сайту, запрашивать не только html документ, но и все сопутствующие картинки, скрипты и файлы стилей. В результате зомби-компьютеры будут истощать ресурсы сервера и приводить к деградации (или, по-простонародному, «тормозам»).

Общий принцип борьбы — поведенческий анализ и отсеивание подозрительных IP на уровне фаервола. Например, повышенная частота запросов, повтор маршрутов продвижения по сайту разными IP или запрос исключительно html документов выглядят подозрительными и свидетельствуют в пользу необходимости блокировки таких IP. Однако чем более сложный алгоритм заложен в атакующую программу, тем сложнее выявить паразитный трафик и тем больше ложноположительных срабатываний, блокирующих доступ к ресурсу реальным пользователям. Не все захотят с этим мириться.

Неумышленный DDoS

Собственно, это нельзя назвать атакой. Этот вид DDoS-а происходит, когда ссылка на какой-то сайт попадает, например, в топовый новостной ресурс или популярный блог, вызывая резкий рост посещаемости, к которому сайт оказывается не готов. Широко известным в узких кругах примером является хабраэффект. Бороться с этим не нужно, скорее нужно радоваться, что Ваш сайт растёт. Ну, и пора задуматься об апгрейде.
Атака нулевого дня

К этому типу относят атаки, которые фиксируются впервые. Как и в случае с новыми вирусами, новыми бактериями и новыми паразитами, понадобится время, чтобы проанализировать атаку и подобрать эффективное лекарство.
Многовекторные атаки

Наиболее сложный вид атак. Атакующая сторона использует несколько разных типов и инструментов атаки, что существенно усложняет или даже делает невозможным идентификацию составляющих и подбор средств борьбы.
Насколько это доступно?

Безмерно доступно. На сегодняшний день существует немало свободно доступных в интернете приложений для проведения DDoS атак. Некоторые из них используют механизмы атак, которым сложно противодействовать, другие позволяют объединить всех пользователей в добровольный ботнет, что даёт возможность пользоваться чужими ресурсами для проведения атак и раздавать взамен свои. При этом таким на первый взгляд аматорским атакам бывает сложно противостоять даже хорошо подготовленным коммерческим системам.

Другой способ — аренда ресурсов ботнета. Интернет полон ресурсов, предоставляющих подобные услуги по весьма символическим ценам: от $5 за час, от $40 за сутки. За такие, можно сказать, смешные деньги запросто можно «заказать» своих конкурентов по электронной коммерции и принести им намного более существенные убытки.

Зачем это нужно?

Думаю, ответ известен всем. Чаще всего причиной служит недобросовестная конкуренция. Спектр атакуемых сайтов и ресурсов чрезвычайно широк. На сегодняшний день это не только финансовые учреждения, игровые сайты и интернет-магазины, зафиксированы случаи атак даже на правительственные сайты и службы доставки пиццы.

Широкая доступность инструментов для атак постепенно переводит их из разряда сугубо оружия экономической борьбы к более широкому применению, вплоть до идеологической борьбы, народного протеста, мести обиженного клиента неугодному сервису и банального интернет-вандализма. Лично мне пока верится слабо, но некоторые отчёты утверждают, что в последние годы именно идеологический хактивизм и интернет-вандализм возглавляют список, отодвинув конкурентную борьбу на более низкие позиции.

Как с этим жить?

Мы совместно с нашими клиентами неоднократно сталкивались с проблемой DDoS разного типа и масштаба. Некоторые атаки лечились грамотной настройкой фаервола на сервере, другие же требовали аппаратной или внешней фильтрации. Бывало, что дата-центр просто нульрутил IP, т.к. входящий объём трафика внезапно превышал входящий канал не только сервера, но и всего шкафа в целом. Являясь провайдером услуг по аренде серверов, мы проповедуем политику, согласно которой пользователь и только он — главная заинтересованная в сохранности и доступности данных сторона. Таким образом, резервное копирование, своевременное устранение программных брешей в безопасности и наличие договорённости с сервисом защиты от DDoS — святые обязанности любого переживающего за свой проект человека.

Однако мы с удовольствием поделимся некоторыми полезными на наш взгляд рекомендациями. Если Ваш проект относится к тем категориям ресурсов, которые чаще всего оказываются под атакой, Вам стоит своевременно задуматься о нескольких простых и очевидных, но нередко игнорируемых шагах, которые помогут если не уберечься от атак, то хотя бы снизить их отрицательное влияние.

Изучите свою сеть. У любого сервиса есть некоторые характерные черты использования сети: типы и объём трафика, суточная кривая и т.п. Например, сайтам для взрослых характерен плавный рост трафика в вечернее время с постепенным спадом за полночь, плюс небольшой пик во время обеденного перерыва. Не поленитесь изучить стандартные характеристики и регулярно отслеживать текущую картину. Атаки редко приходят как по щелчку рубильника, чаще они приходят, как волна. Начинается всё с небольшого подъёма активности, который вскоре начинает активно нарастать. Если Вы сможете отловить начало волны, у Вас появится шанс заранее принять меры.

Знайте, с кем связаться. Вы должны чётко знать, к кому обратиться в случае, если Вы уже под атакой либо чувствуете её приближение. Это может быть внутренний отдел безопасности, удалённый сотрудник, инженер дата-центра, сервис сопровождения по вопросам безопасности и т.п. Лопатить поисковые результаты, читать наспех отзывы, обзванивать или списываться с представителями различных сервисов — это последнее, что Вам нужно, когда беда уже пришла. Пока Вы выберете исполнителя, атака может уже рассосаться сама по себе, а вопрос наличия гарантированного контакта помощи опять будет отложен до очередной критической ситуации. И так до бесконечности
.
Проработайте план действий. Несмотря на всю характерную славянской душе спонтанность, критичные бизнес-процессы нужно по возможности стандартизировать и документировать. Наличие контакта «службы спасения» — это немаловажно, но Ваши сотрудники должны знать, как с ней корректно и оптимально взаимодействовать. Если в проекте участвуют два-три человека, можно просто проговорить последовательность действий на словах. Но если у Вас достаточно большой штат, есть круглосуточные дежурные сетевики, лучше всего, чтобы краткая пошаговая инструкция была прописана на бумаге и висела рядом с планом эвакуации при пожаре. В момент атаки на смене может оказаться сотрудник с малой квалификацией или без практического опыта решения такой проблемы, и важно, чтобы у него не возникало необходимости много думать и искать решение.

Проводите «учебные тревоги». Особенно этот пункт актуален, если у Вас достаточно крупное и критическое приложение. На заводах (и не только) периодически проводят проверочные эвакуации в случае пожара или какого-либо другого стихийного бедствия. DDoS — это тоже своего рода стихийное бедствие. Почему бы не устраивать периодические проверки навыков оперативной обработки критических ситуаций? Это позволит закрепить навыки и выявить слабые места в процедурах. С поправкой на наш менталитет — необходимо также правильно подать эти тренировки сотрудникам, чтобы это не воспринималось, как «очередная корпоративная дуристика».

Знайте, что блокировать. Любой сервис обладает определённым набором основных портов, необходимых для его работы. Заблаговременно заблокируйте на фаерволе всё лишнее. Это позволит сузить поле для атаки. Если у Вас есть определённый список ключевых клиентов, позаботьтесь о добавлении их адресов в предопределённый белый список, чтобы в случае атаки не резать их запросы.

Знайте, где блокировать. Блокировать трафик на фаерволе или на роутере? Подключать аппаратный DDoS или внешний сервис фильтрации трафика? Если Вы предпочли не отдавать обеспечение защиты полностью на откуп сторонним сервисам, а проводить базовую диагностику и решать хотя бы часть проблем самостоятельно, не забудьте в плане ликвидации прописать диагностические процедуры и правила действий в тех или иных ситуациях. Это позволит избавиться от метода проб и ошибок тогда, когда на него совершенно нет времени.

Как я уже говорил, эти шаги не станут панацеей, но помогут свести к минимуму простой и убытки. Буду признателен за любые дополнения и рекомендации из личной практики.

Чистого Вам канала.

habr.com

Intel Cascade Lake атакует Zombieload v2

Новейшие процессоры Intel Cascade Lake, которые компания обещала защитить на аппаратном уровне от атак на микроархитектуру и технологию спекулятивных (упреждающих) вычислений, оказались уязвимы к новым видам атаки по побочным каналам на всё ту же технологию спекулятивных вычислений.

Новая атака Zombieload v2 стала вариацией на тему так называемых MDS-атак, раскрытых в мае этого года. Атака Zombieload v2 затронула не только старые процессоры Intel, но также серию новейших серверных процессоров поколения Cascade Lake и производных из неё в виде самых мощных настольных процессоров компании. Например, исследователи показали работу новой уязвимости на моделях Intel Core i9-9900K и Xeon Gold 5218, а ведь они-то были аппаратно защищены от похожей уязвимости Meltdown.

Уязвимость и механизм атаки Zombieload v2 были обнаружены ещё в мае вместе с четырьмя другими видами уязвимостей MDS (Microarchitectural Data Sampling, по-русски микроархитектурная выборка данных). Но исследователи скрыли эту информацию до тех пор, пока Intel не смогла подготовить микрокод для защиты от атаки с использованием новой уязвимости. Этот микрокод уже выпущен и Intel рекомендует воспользоваться им всем тем, кто имеет дело с критически важными данными. Что же атакуют «зомби-загрузки» второй версии?

По какой-то злой иронии атаке подверглась технология работы с транзакционной памятью, с которой у Intel уже были проблемы в 2013 году, когда она выпустила процессоры на архитектуре Haswell. Вскоре после этого выяснилось, что работа с транзакционной памятью с помощью инструкций TSX (Transactional Synchronization Extensions) в ряде случаев выполняется с ошибками. Был выпущен патч и рекомендации отключать TSX тем, кому это не нужно. Сам набор инструкций TSX помогал ускорять работы баз данных, что было критично для Xeon и не очень для Core. Атака Zombieload v2, как выяснилось, тоже бьёт по TSX.

Прежде чем перейти к Zombieload v2, вспомним о Zombieload. Как уже сказано выше, атака Zombieload использует уязвимости в спекулятивном механизме вычислений с извлечением (выборкой) данных из микроархитектуры процессоров, в частности, из буферов и портов. Это даёт возможность злоумышленнику вытащить из буферов информацию, включая пароли и прочее. По большому счёту Zombieload относится к тому же классу атак, что и Meltdown, и Spectre ― она атакует по побочным каналам, чтобы получить доступ к данным, хранящимся в местах, которые непосредственно не подвержены атаке. Конкретно Zombieload позволяла следить за действиями пользователя в сети, включая Интернет и несмотря на установленное защитное ПО и работу с использованием браузера Tor.

Атака Zombieload v2 с официально присвоенным индексом CVE-2019-11135 эксплуатирует операцию асинхронного прерывания в механизме Transactional Synchronization Extensions. В Intel назвали уязвимость TAA (TSX Asynchronous Abort). Злоумышленник, используя TAA и вредоносный код, запускаемый на атакуемом процессоре, вызывает конфликт между операциями чтения в процессоре. Конфликт ведёт к утечке данных о том, что обрабатывается процессором. Эта уязвимость затрагивает все процессоры компании с технологией TSX, а внедрена она была с 2013 года и, как видим, даже перекочевала в неизменном (уязвимом) виде в самые современные процессоры Intel.

По словам Intel, уязвимость Zombieload v2, во-первых, уже закрыта микрокодом и, во-вторых, трудно реализуема на практике. Компания не считает эту атаку чем-то опасным, хотя рекомендует обновить микрокод всем, кто оперирует чувствительными к утечкам данными. Но даже запуск на процессоре вредоносного кода с использованием Zombieload v2 не даёт никаких гарантий кражи чувствительных данных, заявляют в Intel. Злоумышленник не сможет контролировать утечки и извлекать то, что ему нужно. В крайнем случае, предлагают в Intel, просто отключите поддержку процессором инструкций TSX. Это снизит производительность при обработке больших массивов данных, но позволит спать спокойно.

Впрочем, исследователи докладывают, что Intel не смогла в полной мере защититься даже от обнаруженных в мае уязвимостей MDS (и Zombieload). Набор инструкций VERW, который должен был защитить от четырёх уязвимостей MDS, оказалось, можно обойти, что и было продемонстрировано. В Intel признались, что VERW действительно не даёт полной защиты от атак на микроархитектуру, а лишь усложняет проведение этого типа атак. Враги! Кругом враги.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.

3dnews.ru

Виды сетевых атак

Виды сетевых атак

В настоящее время существует множество различных видов сетевых атак, которые используют уязвимости как операционной системы, так и иного установленного программного обеспечения системного и прикладного характера. Злоумышленники постоянно совершенствуют методы нападения, результатом которых могут стать кража конфиденциальной информации, выведение системы из строя либо ее полный "захват" с последующим использованием как части зомби-сети для совершения новых атак.

Чтобы своевременно обеспечить безопасность компьютера, важно знать, какого рода сетевые атаки могут ему угрожать. Известные сетевые угрозы можно условно разделить на три большие группы:

  • Сканирование портов – угрозы этого вида сами по себе не являются атакой, но обычно ей предшествуют, поскольку это один из основных способов получить сведения об удаленном компьютере. Этот способ заключается в сканировании UDP/TCP-портов, используемых сетевыми сервисами на интересующем компьютере, для выяснения их состояния (закрытые или открытые порты).

    Сканирование портов позволяет понять, какие типы атак на данную систему могут оказаться удачными, а какие нет. Кроме того, полученная в результате сканирования информация ("слепок" системы) даст злоумышленнику представление о типе операционной системы на удаленном компьютере. Это, в свою очередь, еще сильнее ограничивает круг потенциальных атак и, соответственно, время, затрачиваемое на их проведение, а также позволяет попытаться использовать специфические для данной операционной системы уязвимости.

  • DoS-атаки или атаки, вызывающие отказ в обслуживании – это атаки, результатом которых является приведение атакуемой системы в нестабильное или полностью нерабочее состояние. Последствиями атак такого типа могут стать повреждение или разрушение информационных ресурсов, на которые они направлены, и, следовательно, невозможность их использования.

    Существует два основных типа DoS-атак:

    • отправка компьютеру-жертве специально сформированных пакетов, не ожидаемых этим компьютером, что приводит к перезагрузке или остановке системы;
    • отправка компьютеру-жертве большого количества пакетов в единицу времени, которые этот компьютер не в состоянии обработать, что приводит к исчерпанию ресурсов системы.

    Яркими примерами данной группы атак являются следующие атаки:

    • Атака Ping of death состоит в посылке ICMP-пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы некоторых операционных систем.
    • Атака Land заключается в передаче на открытый порт вашего компьютера запроса на установление соединения с самим собой. Атака приводит к зацикливанию компьютера, в результате чего сильно возрастает загрузка процессора и возможно аварийное завершение работы некоторых операционных систем.
    • Атака ICMP Flood заключается в отправке на ваш компьютер большого количества ICMP-пакетов. Атака приводит к тому, что компьютер вынужден отвечать на каждый поступивший пакет, в результате чего сильно возрастает загрузка процессора.
    • Атака SYN Flood заключается в отправке на ваш компьютер большого количества запросов на установку соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего тратит свои ресурсы полностью и перестает реагировать на другие попытки соединения.
  • Атаки-вторжения, целью которых является "захват" системы. Это самый опасный тип атак, поскольку в случае успешного выполнения система оказывается полностью скомпрометированной перед злоумышленником.

    Данный тип атак применяется, когда необходимо получить конфиденциальную информацию с удаленного компьютера (например, номера кредитных карт, пароли) либо просто закрепиться в системе для последующего использования ее вычислительных ресурсов в целях злоумышленника (использование захваченной системы в зомби-сетях либо как плацдарма для новых атак).

    В данную группу включено самое большое количество атак. Их можно разделить на три подгруппы в зависимости от операционной системы: атаки под Microsoft Windows, атаки под Unix, а также общая группа для сетевых сервисов, использующихся в обеих операционных системах.

    Наиболее распространены следующие виды атак, использующих сетевые сервисы операционной системы:

    • Атаки на переполнение буфера – тип уязвимостей в программном обеспечении, возникающий из-за отсутствия контроля (либо недостаточном контроле) при работе с массивами данных. Это один из самых старых типов уязвимостей и наиболее простой для эксплуатации злоумышленником.
    • Атаки, основанные на ошибках форматных строк – тип уязвимостей в программном обеспечении, возникающий из-за недостаточного контроля значений входных параметров функций форматного ввода-вывода типа printf(), fprintf(), scanf() и прочих из стандартной библиотеки языка Си. Если подобная уязвимость присутствует в программном обеспечении, то злоумышленник, имея возможность посылать специальным образом сформированные запросы, может получить полный контроль над системой.

    Система обнаружения вторжений автоматически анализирует и предотвращает использование подобных уязвимостей в наиболее распространенных сетевых сервисах (FTP, POP3, IMAP), если они функционируют на компьютере пользователя.

    Атаки под операционную систему Microsoft Windows основаны на использовании уязвимостей установленного на компьютере программного обеспечения (например, таких программ как Microsoft SQL Server, Microsoft Internet Explorer, Messenger), а также уязвимостей системных компонент, доступных по сети, – DCom, SMB, Wins, LSASS, IIS5.

    Например, компонент Анти-Хакер защищает компьютер от атак, использующих следующие известные уязвимости программного обеспечения (список уязвимостей приведен в соответствии с нумерацией Microsoft Knowledge Base):

    (MS03-026) DCOM RPC Vulnerability(Lovesan worm)

    (MS03-043) Microsoft Messenger Service Buffer Overrun

    (MS03-051) Microsoft Frontpage 2000 Server Extensions Buffer Overflow

    (MS04-007) Microsoft Windows ASN.1 Vulnerability

    (MS04-031) Microsoft NetDDE Service Unauthenticated Remote Buffer Overflow

    (MS04-032) Microsoft Windows XP Metafile (.emf) Heap Overflow

    (MS05-011) Microsoft Windows SMB Client Transaction Response Handling

    (MS05-017) Microsoft Windows Message Queuing Buffer Overflow Vulnerability

    (MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow

    (MS04-045) Microsoft Windows Internet Naming Service (WINS) Remote Heap Overflow

    (MS05-051) Microsoft Windows Distributed Transaction Coordinator Memory Modification

    Кроме того, частными случаями атак-вторжений являются использование различного вида вредоносных скриптов, в том числе скриптов, обрабатываемых Microsoft Internet Explorer, а также разновидности червя Helkern. Суть атаки последнего типа состоит в отправке на удаленный компьютер UDP-пакета специального вида, способного выполнить вредоносный код.

Помните, что при работе в сети ваш компьютер ежедневно подвергается риску быть атакованным злоумышленниками. Чтобы обеспечить безопасную работу компьютера, обязательно включайте компонент Анти-Хакер при работе в интернете и регулярно обновляйте базы сетевых атак.

certsrv.ru

DDoS-атаки: типы атак и уровни модели OSI

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.

Первая D в DDoS означает distributed: распределённая атака типа «отказ в обслуживании». В этом случае речь идёт об огромной массе злонамеренных запросов, поступающих на сервер жертвы из множества разных мест. Обычно такие атаки организуются посредством бот-сетей.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.

Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

  • HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

  • HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной

Тип данныхДанные
Описание уровняНачало создания пакетов данных. Присоединение и доступ к данным. Пользовательские протоколы, такие как FTP, SMTP, Telnet, RAS
ПротоколыFTP, HTTP, POP3, SMTP и шлюзы, которые их используют
Примеры технологий DoSPDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи)
Последствия DDoS-атакиНехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.

Что делать: Мониторинг приложений — систематический мониторинг ПО, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

 

6-й уровень OSI: Представительский

Тип данныхДанные
Описание уровняТрансляция данных от источника получателю
ПротоколыПротоколы сжатия и кодирования данных (ASCII, EBCDIC)
Примеры технологий DoSПодложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы
Последствия DDoS-атакиАтакуемые системы могут перестать принимать SSL соединения или автоматически перегружаться

Что делать: Для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отличном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом, находившимся в защищенной памяти безопасного узла-бастиона.

 

5-й уровень OSI: Сеансовый

Тип данныхДанные
Описание уровняУправление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход)
ПротоколыПротоколы входа/выхода (RPC, PAP)
Примеры технологий DoSАтака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным
Последствия DDoS-атакиДелает невозможным для администратора управление свитчем

Что делать: Поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

 

4-й уровень OSI: Транспортный

Тип данныхСегменты
Описание уровняОбеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень
ПротоколыПротоколы TCP, UDP
Примеры технологий DoSSYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами)
Последствия DDoS-атакиДостижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования

Что делать: Фильтрация DDoS-трафика, известная как blackholing — метод, часто используемый провайдерами для защиты клиентов (мы и сами используем этот метод). Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

 

3-й уровень OSI: Сетевой

Тип данныхПакеты
Описание уровняМаршрутизация и передача информации между различными сетями
ПротоколыПротоколы IP, ICMP, ARP, RIP и роутеры, которые их используют
Примеры технологий DoSICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети
Последствия DDoS-атакиСнижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра

Что делать: Ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

 

2-й уровень OSI: Канальный

Тип данныхКадры
Описание уровняУстановка и сопровождение передачи сообщений на физическом уровне
ПротоколыПротоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют
Примеры технологий DoSMAC-флуд — переполнение пакетами данных сетевых коммутаторов
Последствия DDoS-атакиПотоки данных от отправителя получателю блокируют работу всех портов

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

 

1-й уровень OSI: Физический

Тип данныхБиты
Описание уровняПередача двоичных данных
ПротоколыПротоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют
Примеры технологий DoSФизическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами
Последствия DDoS-атакиСетевое оборудование приходит в негодность и требует ремонта для возобновления работы

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.

 

Устранение крупномасштабных DoS/DDoS-атак

Хотя атака возможна на любом из уровней, особой популярностью пользуются атаки на 3-4 и 7 уровнях модели OSI.

  • DDoS-атаки на 3-м и 4-м уровне — инфраструктурные атаки — типы атак, основанные на использовании большого объема, мощного потока данных (флуд) на уровне инфраструктуры сети и транспортном уровне с целью замедлить работу веб-сервера, «заполнить» канал, и в конечном счете помешать доступу других пользователей к ресурсу. Эти типы атак как правило включают ICMP-, SYN- и UDP-флуд.
  • DDoS атака на 7-м уровне — атака, заключающаяся в перегрузке некоторых специфических элементов инфраструктуры сервера приложений. Атаки 7-го уровня особенно сложны, скрыты и трудны для выявления в силу их сходства с полезным веб-трафиком. Даже самые простенькие атаки 7-го уровня, например, попытка входа в систему под произвольным именем пользователя и паролем или повторяющийся произвольный поиск на динамических веб-страницах, могут критически загрузить CPU и базы данных. Также DDoS злоумышленники могут неоднократно изменять сигнатуры атак 7-го уровня, делая их еще более сложными для распознавания и устранения.
УстройствоУровеньОптимизирована дляDDoS-защита
Брандмауэр4-7Проверка потока, глубокая проверкаЭкраны, ограничения сеанса, SYN cookie
Роутер3-4Пакетная проверка, фреймовая проверкаЛинейные списки контроля доступа, ограничение скорости

Некоторые действия и оборудование для устранения атак:

  • Брандмауэры с динамической проверкой пакетов
  • Динамические механизмы SYN прокси
  • Ограничение количества SYN-ов за секунду для каждого IP-адреса
  • Ограничение количества SYN-ов за секунду для каждого удаленного IP-адреса
  • Установка экранов ICMP флуда на брандмауэре
  • Установка экранов UDP флуда на брандмауэре
  • Ограничение скорости роутеров, примыкающих к брандмауэрам и сети

 

firstvds.ru

Отправить ответ

avatar
  Подписаться  
Уведомление о