- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
DDoS (Distributed Denial of Service attack) – это целенаправленный комплекс действий для выведения из строя, сбоя работы интернет-ресурса. Жертвой может стать любой ресурс, в том числе интернет-магазин, государственный сайт или игровой сервер. В большинстве подобных случаев злоумышленник использует для таких целей сеть компьютеров, которые заражены вирусом. Такая сеть называется ботнет. В нем присутствует координирующий главный сервер. Для запуска атаки хакер отправляет команду такому серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.
Причин для осуществления DDoS-атаки может быть много.
Например:
Атаки, вошедшие в историю Интернет
Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.
Виды DDoS атак - обобщенная классификация
Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.
Самые распространённые виды DDoS атак можно условно разделить на 3 основные категории:
Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.
Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.
Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от DDoS атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.
SYN флуд, icmp flood и другие DDoS атаки уровня протоколов
Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.
Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»
Атака udp flood в сегменте объемных DDoS
Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP - пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.
Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.
Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.
Типы DDoS-трафика
Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.
HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.
Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.
HTTP GET
Классификация и цели DDoS-атак по уровням OSI
OSI – семиуровневая эталонная модель, описывающая схему взаимодействия сетевых устройств. Модель OSI была разработана еще в 70-х годах, и описывала взаимодействие семейства собственных протоколов, которые разрабатывались как главные конкуренты TCP/IP. И хотя особого распространения они так и не получили, модель взаимодействия оказалась настолько удачной, что стала применяться для TCP/IP протоколов как тогда, так и сейчас. Виды DDoS атак и защит от них, доступных на каждом из уровней, различны.
Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.
DDoS-атаки возможны на каждом из семи уровней.
Рассмотрим их подробнее:
Применительно к беспроводным сетям, DDoS атаки на физическом уровне характеризуются генерацией различного вида помех, способных нарушить связи между элементами сети.
Виды DDoS атак, применяемые на этом уровне - SYN-флуд, Smurf-атака и другие. В результате таких атак наблюдается превышение количества доступных подключений (ширина канала достигает своего предела), и возможны перебои в работе сетевого оборудования. Самым распространенным методом противодействия таким атакам является blackholing. Это метод фильтрации трафика на уровне провайдера, до его попадания в частные сети. Его суть состоит в том, что в случае атаки сетевой администратор сможет настроить систему таким образом, чтоб пакеты от злоумышленников будут отбрасываться. У blackholing есть и минусы – при недостаточно точных параметрах фильтрации, кроме вредоносных пакетов, могут отсекаться и запросы от «легальных» пользователей, не имеющих к злоумышленникам никакого отношения.
Еще одним моментом, работающим на руку злоумышленникам, является тот факт, что процесс расшифровки пакета требует практически в 10 раз больше ресурсов, чем необходимо для зашифровки. Атаки, производимы посредством подложных SSL запросов, могут принести значительный вред, при этом ресурсные затраты злоумышленника будут относительно невелики. Подходить к защите от DDoS атак на этом уровне следует комплексно: использовать специализированные средства, проверяющие входящий трафик (фильтрация трафика DDoS), и попытаться распределить инфраструктуру SSL (например, разместить функционал SSL – терминирования на отдельном сервере).
Методы защиты от DDoS атак
Рассмотрим различные методы, направленные на предотвращение DDoS атак и уменьшение вреда, нанесенного злоумышленниками, вследствие успешно проведенной атаки.
Использование межсетевых экранов допустимо только для частных сетей, зато этот способ чрезвычайно эффективен в противостоянии DDoS атакам.
Причин для осуществления DDoS-атаки может быть много.
Например:
- для развлечения. Примитивную атаку может организовать каждый, кто хоть немного разбирается в данной области. Правда, такая атака не анонимна и не эффективна, а те, кто ее совершают могут даже не догадываться об этом. Часто такие ситуации практикуют школьники для развлечения. Целью такой “забавы” может стать практически любой сайт в Интернете.
- из-за личной неприязни. DDoS-атака на Ваш сайт может быть и по такой причине. Мало ли кому Вы перешли дорогу, это могут сделать и конкуренты, и любые другие люди, которым Ваш интернет-ресурс “не по душе”.
- ради шантажа или вымогательства. Мошенники шантажируют в большинстве случаев крупные компании. Они требуют плату за то, чтобы прекратить атаку на сервера или за ее несовершение.
- недобросовестная конкуренция. Часто такие атаки создаются для разрушения репутации сайта и потери клиентопотока.
Атаки, вошедшие в историю Интернет
Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.
- Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.
- Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.
- Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.
Виды DDoS атак - обобщенная классификация
Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.
Самые распространённые виды DDoS атак можно условно разделить на 3 основные категории:
- Уровень приложений.
- Уровень протоколов.
- Объемные.
Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.
Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.
Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от DDoS атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.
SYN флуд, icmp flood и другие DDoS атаки уровня протоколов
Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.
Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»
Атака udp flood в сегменте объемных DDoS
Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP - пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.
Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.
Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.
Типы DDoS-трафика
Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.
HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.
Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.
HTTP GET
- HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
- HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.
- HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
- HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.
- SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.
- UDP-флуд - чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.
- ICMP-флуд - протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.
- MAC-флуд - редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.
Классификация и цели DDoS-атак по уровням OSI
OSI – семиуровневая эталонная модель, описывающая схему взаимодействия сетевых устройств. Модель OSI была разработана еще в 70-х годах, и описывала взаимодействие семейства собственных протоколов, которые разрабатывались как главные конкуренты TCP/IP. И хотя особого распространения они так и не получили, модель взаимодействия оказалась настолько удачной, что стала применяться для TCP/IP протоколов как тогда, так и сейчас. Виды DDoS атак и защит от них, доступных на каждом из уровней, различны.
Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.
DDoS-атаки возможны на каждом из семи уровней.
Рассмотрим их подробнее:
- Физический.
Применительно к беспроводным сетям, DDoS атаки на физическом уровне характеризуются генерацией различного вида помех, способных нарушить связи между элементами сети.
- Канальный.
- Сетевой.
- Транспортный.
Виды DDoS атак, применяемые на этом уровне - SYN-флуд, Smurf-атака и другие. В результате таких атак наблюдается превышение количества доступных подключений (ширина канала достигает своего предела), и возможны перебои в работе сетевого оборудования. Самым распространенным методом противодействия таким атакам является blackholing. Это метод фильтрации трафика на уровне провайдера, до его попадания в частные сети. Его суть состоит в том, что в случае атаки сетевой администратор сможет настроить систему таким образом, чтоб пакеты от злоумышленников будут отбрасываться. У blackholing есть и минусы – при недостаточно точных параметрах фильтрации, кроме вредоносных пакетов, могут отсекаться и запросы от «легальных» пользователей, не имеющих к злоумышленникам никакого отношения.
- Сеансовый.
- Представительский.
Еще одним моментом, работающим на руку злоумышленникам, является тот факт, что процесс расшифровки пакета требует практически в 10 раз больше ресурсов, чем необходимо для зашифровки. Атаки, производимы посредством подложных SSL запросов, могут принести значительный вред, при этом ресурсные затраты злоумышленника будут относительно невелики. Подходить к защите от DDoS атак на этом уровне следует комплексно: использовать специализированные средства, проверяющие входящий трафик (фильтрация трафика DDoS), и попытаться распределить инфраструктуру SSL (например, разместить функционал SSL – терминирования на отдельном сервере).
- Прикладной.
Методы защиты от DDoS атак
Рассмотрим различные методы, направленные на предотвращение DDoS атак и уменьшение вреда, нанесенного злоумышленниками, вследствие успешно проведенной атаки.
- Уклонение.
- Постоянный мониторинг системы.
Использование межсетевых экранов допустимо только для частных сетей, зато этот способ чрезвычайно эффективен в противостоянии DDoS атакам.
- Ответная реакция.
