Что это ddos: Что такое DDoS-атака? Распределенная атака типа «отказ в обслуживании»

Что такое DDoS-атаки, и как защитить от них свой сайт?

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

План масштабирования

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

Что такое DDoS-атаки и как от них защищаться бизнесу :: РБК Тренды

«Принцип работы подобного типа атак кроется в их названии — Distributed Denial of Service или «отказ в обслуживании, — рассказывает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. — Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов».

Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.

Схематическое изображение ботнет-сети

(Фото: Cloudflare)

«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.

По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.

В чем отличие DoS от DDoS?

В арсенале киберпрестпуников есть еще один вид атаки типа «Отказ в обслуживании» — DoS-атака. Ее главное отличие от DDoS-атаки в том, что для рассылки запросов на сайт используется только одно устройство, а не сеть.

DDoS-атака — что это такое?

DDoS-атака (Distributed Denial of Service attack) — комплекс действий, способный полностью или частично вывести из строя интернет-ресурс. В качестве жертвы может выступать практически любой интернет-ресурс, например веб-сайт, игровой сервер или государственный ресурс. На данный момент практически невозможна ситуация, когда хакер в одиночку организует DDoS-атаку. В большинстве случаев злоумышленник использует сеть из компьютеров, зараженных вирусом. Вирус позволяет получать необходимый и достаточный удаленный доступ к зараженному компьютеру. Сеть из таких компьютеров называется ботнет. Как правило, в ботнетах присутствует координирующий сервер. Решив реализовать атаку, злоумышленник отправляет команду координирующему серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.

                                                                                              DDoS-атака

Причины DDoS-атак

Мотивы для осуществления DDoS-атак могут быть самыми разнообразными: от конкуренции до личной неприязни. Мы собрали основные причины DDoS-атак и решили поделиться с Вами этой информацией:

• Личная неприязнь

Эта причина встречается довольно часто. Некоторое время назад независимый журналист-исследователь Брайан Кребс раскрыл деятельность крупнейшего сервиса по осуществлению заказных DDoS-атак — vDOS. Информация была представлена в полных подробностях, что вызвало арест организаторов данного сервиса. В ответ хакеры организовали атаку на блог журналиста, мощность которой достигла 1 Тбит/с. Эта атака стала самой мощной в мире за все годы.

В настоящее время становится все проще организовать примитивную DDoS-атаку своими силами. Такая атака будет крайне не совершенна и не анонимна. К сожалению, большинство из тех, кто решил ощутить себя в роли «хакера», не догадываются ни о первом, ни о втором. Тем не менее, многие школьники часто практикуют DDoS-атаки. Итог таких случаев бывает самым разнообразным.

• Политический протест (хактивизм)

Одной из первых атак, имеющих социальную почву является DDoS-атака, реализованная в 1996 году хакером Omega. Omega являлся членом хакерской коалиции «Cult of the Dead Crew» (cDc). Термин хактивизм стал популярным в СМИ в связи с участившимися кибератаками, имеющим социальную почву. Типичными представителями хактивистов являются группы Anonymous и LulzSec.

• Недобросовестная конкуренция

Такие мотивы часто бывают в индустрии игровых серверов, но и в отрасли торговли  такие случаи встречаются довольно нередко. Достаточно действенный способ недобросовестной конкуренции, способный разрушить репутацию торговой площадки, если её владельцы вовремя не обратятся за помощью к специалистам. Такой мотив можно выделить среди остальных, как наиболее встречающийся.

• Вымогательство или шантаж

В этом случае злоумышленник требует с потенциальной жертвы денежную сумму за несовершение атаки. Либо за её прекращение. Часто жертвами таких атак становятся крупные организации, например в течение 2014 были атакованы банк «Тинькофф» и IT-ресурс Хабрахабр, крупнейший торрент-трекер Rutracker.org (как это было?).

Последствия DDoS-атак

Последствия DDoS-атак могут быть самыми разнообразными, от отключения датацентром Вашего сервера до полной потери репутации ресурса и клиентопотока. Многие организации с целью экономии неосознанно выбирают недобросовестных провайдеров защиты, что часто не приносит никакой пользы. Во избежание подобных проблем мы рекомендуем обратиться к профессионалам в своей отрасли.

Атаки, вошедшие в историю Интернет

Технический прогресс идет семимильными шагами и злоумышленники, в свою очередь, прикладывают все усилия, чтобы не стоять на месте и реализовывать все более сложные и мощные атаки. Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.

Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.

Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.

Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.

Характеристика атак сегодня

Исключая пиковые атаки можно сказать, что мощность атак с каждым годом растет более, чем в 3-4 раза. География атакующих от года к году изменяется лишь частично, ведь это обусловлено максимальным количеством компьютеров в определенной стране. Как видно из квартального отчета за 2016 год, подготовленного нашими специалистами, странами-рекордсменами по количеству ботов выступают Россия, США и Китай.

Какие бывают DDoS-атаки?

На данный момент типы атак можно разделить на 3 класса:

К этому типу атак можно отнести DNS амплификацию, ICMP флуд, UDP флуд и другие атаки с амплификацией;

Наиболее популярными и интересными атаками этого типа являются ACK/PUSH ACK флуд, SYN флуд, TCP null/IP null атака, Пинг смерти (Ping of death);

Среди атак на уровень приложений можно выделить следующие типы: HTTP флуд, атака фрагментированными HTTP пакетами, атака медленными сессиями (SlowLoris).

С более полным перечнем атак и их описанием Вы можете ознакомиться в нашей базе знаний.

Способы защиты от DDoS-атак

Наиболее верным способом по защите от DDoS-атак будет обратиться к нашим специалистам. Они предложат несколько вариантов. Один из самых популярных — это удаленная защита по технологии reverse proxy. Для подключения защиты не надо менять хостинг-провайдера, поэтому сам процесс занимает не более 10 минут. 

Почему стоит выбрать именно нас? Наше оборудование расположено в ключевых дата-центрах мира и способно отражать атаки до 300 Гбит/с или 360 миллионов пакетов в секунду. Также у нас организована сеть доставки контента (CDN) и имеется штат дежурных инженеров на случай нестандартной атаки или нештатных ситуаций. Поэтому, встав под защиту к нам, Вы можете быть уверены в доступности своего ресурса 24/7. Нам доверяют: REG.RU, Аргументы и Факты, WebMoney, российский радиохолдинг ГПМ и другие корпорации.

Лишь от небольшого количества атак Вы можете реализовать защиту самостоятельно, с помощью анализа трафика или же настройки правил маршрутизации. Способы защиты от некоторых атак приведены в базе знаний.

что это такое, их виды. Способы остановить и предотвратить DDoS-атаку

Что такое DDoS-атака

Атаки типа «отказ в обслуживании» DoS (Denial of Service) – это перегрузка сети паразитным трафиком (т.н. флуд), когда на атакуемый ресурс отправляется большое количество злонамеренных запросов, из-за чего полностью «забиваются» все каналы сервера или вся полоса пропускания входного маршрутизатора. При этом передать легитимный трафик на сервер становится невозможно. Запросов может быть так много, что сервер не успевает их обрабатывать и переходит в режим «отказа в обслуживании». На жаргоне специалистов это называется «положить сервер».

Если такая атака ведется не от одного компьютера, а от многих, то такая атака называется распределенной атакой DDoS (Distributed DoS).

Схема DDoS-атаки

Виды DDoS-атак

Атаки 3-4 уровня OSI

Это атаки на сетевом и транспортном уровнях. Злоумышленники «забивают» каналы передачи большим количеством передаваемых пакетов. Канал не может справиться с нагрузкой и выдает ошибку «отказ в доступе». DDoS-атаки могут использовать недостатки сетевых протоколов, перегружая сервер, в результате чего сервер перестает отвечать на запросы.

Атаки 7 уровня OSI

Атаки на уровне приложений потребляют не только сетевые ресурсы, но и ресурсы сервера. Сервер не выдерживает нагрузку, что приводит к его недоступности. Атака при этом направлена непосредственно на операционную систему или приложение с целью вынудить их превысить лимит вычислительной мощности сервера. При этом атакам подвергаются конкретные приложения, сервисы и службы. Атаки могут продолжаться длительное время (несколько часов или дней).

Типы DDoS-атак

• HTTP-флуд: самый простой вид запросов, например, при помощи HTTP-заголовка пакета, который указывает запрашиваемый ресурс сервера. Злоумышленник может использовать сколько угодно заголовков, придавая им нужные свойства. При DDoS-атаке HTTP-заголовки могут изменяться, делая их труднораспознаваемыми для выявления атаки. Кроме того, HTTP-запросы атаки могут передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. При этом «защищенность» идет атакующему только на пользу: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. То есть расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву, что приводит к исчерпанию его вычислительной мощности.
• SYN-флуд (TCP/SYN): устанавливает полуоткрытые соединения с узлом. Когда сервер-жертва принимает SYN-пакет синхронизации через открытый порт, он должен послать в ответ на сервер-источник запроса пакет подтверждения SYN-ACK и открыть соединение. После этого запроса сервер-источник должен послать на сервер пакет подтверждения ACK, однако злоумышленник не посылает это подтверждение. Соединения остаются полуоткрытыми до истечения тайм-аута. Очередь на подключение на атакуемом сервере переполняется и новые клиенты не могут установить соединение с сервером.
• MAC-флуд: злоумышленник посылает поток пустых фреймов Ethernet с разными MAC-адресами в каждом. Коммутаторы сети рассматривают каждый MAC-адрес в отдельности и резервируют ресурсы под каждый из них. Когда вся память коммутатора использована, он либо перестает отвечать, либо останавливает работу. Иногда атака MAC-флудом может удалять таблицы маршрутизации на узлах сети, таким образом нарушая работу всей сети, а не только одного сервера.
• Ping of Death: мастер-бот Ping of Death посылает злонамеренные пинг-запросы через различные IP-протоколы на атакуемый сервер, что приводит к его перегрузке. В настоящее время такие атаки редки. Пропускная способность сетей значительно повысилась, а для таких атак нужно много ресурсов – зараженных ботов.
• Smurf Attack: разновидность Ping of Death. Этот вид атаки использует протокол Интернет (IP) и протокол управляющих сообщений ICMP (Internet Control Message Protocol), на которых работает зловредная программа Smurf. Она подменяет IP-адрес атакующего и пингует IP-адреса в корпоративной сети, оставляя на них полуоткрытые соединения.
• Fraggle Attack: использует большие объемы трафика UDP на вещательной сети маршрутизатора. Эта атака работает аналогично Smurf-атаке, но вместо протокола ICMP использует вещательный протокол UDP.
• Slowloris. Атака Slowloris направлена на веб-сервер. Атакующий сервер подключается к целевому серверу и оставляет это подключение полуоткрытым настолько долго, насколько это возможно, а затем размножает эти полуоткрытые соединения. Закрытие таких соединений атакуемым сервером по таймауту происходит медленнее, чем установка новых соединений. Противодействовать этой атаке довольно сложно, поскольку сложно отследить источник атаки.
• NTP-усиление. Атака использует серверы протокола сетевого времени NTP (Network Time Protocol), который используется для синхронизации компьютерных часов в сети. Цель атаки – перегрузка трафиком UDP. При этой атаке атакуемый сервер отвечает, посылая UDP-трафик на подмененный злоумышленником IP-адрес. «Усиление» означает, что объем ответного UDP-трафика много больше запроса. Поэтому сеть быстро перегружается бесполезным трафиком, а ее узлы останавливают работу.
• Pulse Wave. Главная опасность пульсирующих атак Pulse wave заключается в методике периодических всплесков трафика. Обычная DDoS-атака выглядит как постепенно нарастающий поток вредоносного трафика. Pulse wave представляет собой серию коротких, но мощных импульсов, происходящих с определенной периодичностью.

Пульсирующий трафик атаки Pulse wave (источник: ddos-guard.net)

• APDoS. Усовершенствованная повторяющаяся DoS-атака APDoS (Advanced Persistent DoS) нацелена на нанесение максимального вреда атакуемому серверу. Он использует механизмы HTTP-флуда, SYN-флуда и других видов атак. При этом посылаются миллионы запросов в секунду. Такая атака может длиться неделями, поскольку злоумышленник все время меняет тактику атаки, типы атаки, чтобы обмануть средства противодействия атакуемой стороны.

Как остановить DDoS-атаку

Для противодействия случившейся DDoS-атаке необходимо принять следующие меры:

1. Как можно раньше идентифицировать DDoS-атаку. Чем скорее распознан факт атаки, а также ее источник, тем раньше ее можно остановить и минимизировать ущерб. Для этого полезно иметь профиль входящего трафика – какой объем и какого трафика откуда идет. При этом, если происходят отклонение от это этого профиля, это событие может быть автоматически распознано и могут быть приняты превентивные меры. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, поэтому полезно иметь возможность распознать, вызваны ли эти всплески внезапной активностью легитимных пользователей, либо это начало DDoS-атаки.

Например, 6 сентября 2019 года около 21:00 по московскому времени у многих пользователей в Европе и мире перестали открываться сайты Википедии и Викимедии, а средства контроля доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго. Около полуночи того же дня германский сайт Викимедиа сообщил в Твиттере о масштабной DDoS-атаке на свои серверы, которая с перерывами продолжалась до 5:40 утра следующего дня. Источником атаки была ранее неизвестная хакерская группа UkDrillas, которая проводила «натурные испытания» своих методик и средств, а сайт Википедии был выбран ими в качестве «подопытного кролика».

График сетевого трафика при DDoS-атаке на кластер серверов Викимедиа в г. Ашберн (шт. Вирджиния, США), достигавшего почти 3 Гбит/с (источник: ru.wikinews.org)

2. Однократное выделение серверу полосы пропускания «с запасом». Чем шире полоса у веб-сервера, тем обычно лучше. Таким образом сервер может выдерживать резкие и неожиданные всплески трафика, которые могут быть, например, результатом рекламной кампании. Но даже если заложить запас в 100 %, или 500 %, это вряд ли спасет от DDoS-атаки. Однако это может дать некоторое время на распознавание источника и типа атаки и принятие мер до того, как сервер «ляжет» полностью.
3. Защита периметра сети. Есть несколько технических мер, которые можно предпринять для частичного ограничения эффекта атаки. Многие из них довольно просты и требуют лишь регулировки сетевых настроек. Например:

• Ограничить скорости маршрутизатора, чтобы предотвратить остановку сервера.
• Установить фильтры на маршрутизаторе для сброса пакетов от распознанного источника атаки.
• Установить таймаут на полуоткрытые соединения (от которых в течение времени таймаута не получен подтверждающий ответ источника запроса).
• Сбрасывать пакеты с подмененными IP-адресами и вообще пакеты необычной структуры.
• Установить более низкие пороги сброса для SYN-, ICMP-, и UDP-флуда.

Однако все эти меры хорошо известны и хакерам, и они изобретают все новые способы атак и увеличивают их интенсивность. Но все же эти меры помогут выиграть время на распознавание атаки и принятие мер до наступления фатальной ситуации.

Шансы на предотвращение DDoS-атаки значительно увеличиваются, если веб-сервер расположен в дата-центре, а не в корпоративной сети предприятия. В дата-центрах обычно и входная полоса шире, и имеются мощные маршрутизаторы, которые не всякая организация может себе позволить, а также и персонал имеет больше опыта в предотвращении атак. По крайней мере, другие серверы организации (email, VoIP и пр.) не подвергнутся воздействию атаки.

4. Обратиться к специалисту по DDoS-атакам. Есть специальные компании, которые специализируются на оказании экстренной помощи организациям, ставшим объектом DDoS-атаки. У таких компаний есть разнообразные технологии и средства, чтобы обеспечить работоспособность сервера под DDoS-атакой.

Работа услуги предотвращения DDoS-атак, предоставляемая хостинг-провайдером (источник: ИКС медиа)

5. Создать инструкцию по действиям в случае DDoS—атаки. В такой инструкции могут быть в доступной форме расписаны действия персонала по предотвращению случившейся DDoS-атаки.

Как предотвратить DDoS-атаку

1. Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
2. Резервировать ИТ-инфраструктуру. Чтобы максимально усложнить хакерам задачу DDoS-атаки на сервер, лучше распределить виртуальную серверную инфраструктуру по нескольким дата-центрам с использованием хорошей системы балансировки, которая распределяет трафик между ними. При возможности эти дата-центры должны быть в разных областях и округах страны (или даже в разных странах). Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точке. Таким образом, хакеру, в лучшем случае, удастся атаковать лишь часть серверной инфраструктуры, а остальные части инфраструктуры смогут взять на себя дополнительный трафик или его долю.
3. Конфигурировать сетевое оборудования так, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
4. Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
5. Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
6. Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.

Заключение

Можно сказать, что не существует какой-то «волшебной таблетки», универсального средства, которые дадут возможность забыть о DDoS-атаках. Хакеры-злоумышленники – народ злобно-изощренный, и они не только изобретают все новые виды, методы и средства DDoS-атак, но также и тщательно изучают доступные на рынке средства противодействия им. Здесь весьма уместна присказка про «болт с резьбой», весьма популярная в среде хакеров.

Какие бы и сколько бы средств какой угодно мощности вы ни установите на свою сеть, это не даст гарантии того, что вы не станете жертвой DDoS-атаки. Поэтому защите от DDoS-атак необходимо постоянно уделять самое пристальное внимание. Не следует ограничиваться только установкой программно-аппаратных средств защиты. Необходимо также проводить образовательную работу среди инженерного персонала.

DDoS-Атака (Disturbed denial of Service): что это, как работает

#Информационная безопасность
#Киберугрозы

Distributed Denial of Service (DDoS) переводится как «распределенный отказ в обслуживании». Атака основана на ограничениях какой-нибудь службы — например, веб-сервера, когда количество запросов превышает возможности их обработки. Атакованный ресурс при этом становится недоступным, «подвисает» и т. п.
Объекты DDoS-атак: интернет-магазины, крупные порталы, казино и другие организации, которые предоставляют услуги через интернет. Для таких компаний даже один час простоя грозит существенными убытками.
Инициатора атаки определить трудно, так как запросы поступают с разных IP-адресов (например, из ботнета). Это могут быть хакерские группировки, которых наняли конкуренты, или злоумышленники, которые занимаются шантажом.

Существуют специализированные сайты, на которых можно заказать DDoS-атаку. Заказчик указывает объект, выбирает тарифный пакет и оплачивает услугу. Отследить клиента практически невозможно, поскольку информация о сделке шифруется, либо не сохраняется.

Аудит информационной безопасности

Классификация

DDoS-атаки делятся на три типа в зависимости от уровня и типа воздействия на объект:

• Исчерпание ресурсов

  Клиента «засыпают» пакетами по выбранному протоколу (например, UDP или ICMP) на случайные порты. Сервер проверяет входящие данные и отправляет ответ на указанный номера порта. Если узел недоступен, то хост высылает ответное сообщение с пометкой «Узел недоступен». В итоге канал переполняется пакетами со случайно указанными номерами портов.

• Использование особенностей протокола HTTP

  Злоумышленник проводит предварительный анализ атакуемого объекта, просматривает запросы, которые направлены на базу данных, и выбирает наиболее «тяжелые» POST-запросы. Далее он отправляет пакет на целевой узел при помощи зараженных компьютеров (ботов). В итоге, хост «захлебывается» от одновременного количества пакетов, которые приходит к нему, и перестает отвечать.

• Использование особенностей некоторых протоколов для создания очереди

  Киберпреступник отправляет пакет SYN на конечную точку как проверочный тест на доступность. Сервер подтверждает получение и в ответ посылает запрос на синхронизацию. В этот момент злоумышленник не отправляет сообщение, поэтому сервер ставит полученный пакет в очередь, чтобы дождаться подтверждения. Одновременная отправка с множества IP-адресов приводит к переполнению буфера.

Что такое DoS и DDoS атаки: классификация и защита

DoS-атака (от англ. Denial of Service – «отказ в обслуживании») – атака, которая используется для выведения из строя и взлома вычислительной техники и создания технических и экономических трудностей у цели. Осуществляется посредством создания большого количества запросов и серьезной нагрузки на технику, чаще всего на крупные сервера.

Схема DoS-атаки.

Почему используются DoS-атаки

Популярность ДоС-атак обусловлена тем, что определить исполнителя крайне сложно – он создает большую нагрузку через множество компьютеров в сети. Чаще всего такие атаки используются тогда, когда взломать систему или сервер не получается. Даже если с помощью DoS-атаки не удается получить доступ, техника выходит из строя или теряет производительность.

DoS-Атака на компанию Spamhaus.

Жертвами таких атак чаще всего становятся правительственные сайты, крупные порталы, онлайн-СМИ, серверы онлайн-игр, интернет-магазины, корпоративные сайты финансового сектора. Мотивация атакующего также зависит от сферы. Чаще всего атака происходит по причинам политических протестов, недобросовестной конкуренции, вымогательств и шантажа, личной неприязни, а также с целью развлечения.

Частота DoS-атак по сферам.

Классификация DoS-атак

• 
  Насыщение интернет-канала бесполезным трафиком (флудом) создает большое количество запросов к системе или серверу, за счет этого происходит быстрое исчерпание его ресурсов, что приводит к отключению или некорректной работе. Флуд бывает разных типов:
  • 
    HTTP-флуд и ping-флуд — одни из самых простых и доступных видов атак: с помощью ping-запросов на компьютер «жертвы» с меньшим каналом интернета. HTTP-флуд применяется для серверов, отправляется HTTP-пакет, на который сервер шлет ответные пакеты, превышающие размеры, за счет чего пропускные способности сервера снижаются.
  • 
    ICMP-флуд – атака с помощью ICMP-пакета, который через усиливающую сеть способен вывести из строя любой компьютер, сервер, если размер сети насчитывает большое количество компьютеров.
  • 
    UDP-флуд – аналог ICMP-атаки, только в этом случае используется UDP-пакет и создаются echo-запросы на седьмой порт жертвы. За счет атаки возникает насыщение полосы пропускания.

• 
  Проблемы системы квотирования – если на сервере плохо настроено квотирование, то можно получить доступ к CGI и задействовать скрипт, который будет использовать большое количество ресурсов компьютерной системы.
• 
  Ошибки программирования – если в программном коде есть ошибки, профессионалы в сфере DoS-атак используют именно их для того, чтобы заставить систему выполнить команду с ошибкой, что приведет к аварийному выключению.
• 
  Атаки на DNS-сервера – вид атаки, который использует множество компьютеров-зомби и путем захвата системных ресурсов или насыщения полосы выводит из строя обработчик доменного имени на IP адрес. Это делает страницу в интернете недоступной для пользователей.

Защита от DoS-атак

Наличие DoS-атаки невозможно не заметить по нагрузке на сервер и сопутствующим проблемам и сбоям. Но нужно знать хотя бы основные приемы по защите от подобных атак:

• 
  Для защиты от HTTP-флуда увеличивается количество одновременных подключений. Делается это с помощью установки производительного веб-сервера Nginx, кеширующего запросы.
• 
  ICMP-флуд можно предотвратить, отключив на компьютерной системе ответы на запросы ICMP ECHO.
• 
  Если ограничить количество соединений к DNS-серверу и отключить от внешнего выхода UDP-сервисы, можно избежать атаки с UDP-флудом.
• 
  Если отключить очередь «полуоткрытых» портов TCP-соединений, можно защитить систему от SYN-флуда.

Существуют также универсальные способы защиты от разного рода DoS-атак.

• Включать и настраивать брандмауэр для сетевых сервисов;
• Использовать сервисы защиты от данных атак;
• Увеличивать ресурсы системы, сервера.

что это такие и какие бывают DDoS-атаки.

Каждый сайт имеет ограниченную способность обрабатывать поступающие извне запросы. Она зависит от емкости диска и объема поступающего трафика. Если мощности сервера недостаточно, то при обработке запросов в работе сайта могут возникнуть сбои. Сначала он тормозит, а затем может вообще прекратить работу. Это явление называется DoS (Denial of Service – «отказ в обслуживании») и встречается часто, например, в работе новостных сайтов. Это естественный процесс, который не таит в себе серьезной опасности. Другое дело DDoS-атака (Distributed Denial of Service – «распределенный отказ от обслуживания»). Это преднамеренное влияние на тот или иной сайт, с целью вывести его из строя. Отказ в обслуживании может принести материальный ущерб, если речь идет об интернет-магазинах или компаниях, предоставляющих услуги.

 В чем заключается механизм действия DDoS-атаки?

Распределенный отказ от обслуживания возникает в результате поступления на ресурс жертвы такого количества запросов, что он не справляется с ними и полностью отключается. Причем «лечь» могут сервисы мелких компаний и сайты солидных хостинг-провайдеров. Например, известными DDoS-атаками стали хакерские нападения на площадки интернет-магазинов Amazon и AliExpress.

Чтобы атака была успешной, необходимо продуцировать большое количество запросов. Для этого хакеры создают троянские программы и внедряют их в дисковое пространство случайных пользователей, которые заходили на сомнительные сайты или перешли по отправленной на почту или через социальные сети ссылке. Поскольку объекты атаки вовсе не компьютеры пользователей, то антивирусы их могут и не отследить. В нужный момент на зараженные вирусом компьютеры поступает команда отправлять на указанный IP-адрес запросы. При этом сам инициатор атаки остается в тени. Ответы на запросы идут на адреса компьютеров «зомби», хозяева которых даже и не подозревают, что принимают участие в DDoS-атаке. Чем шире сеть таких ботов, тем мощнее атака и тем сильнее вреда она нанесет.

Какие существуют виды DDoS?

Если говорить об DDoS-атаках, целью которых вывод из строя сайта жертвы без того, чтобы внедриться в структуру или получить права администратора, то выделяют следующие виды:

1. 1Пинг-флуд
   
   Такая DDoS-атака проводится с нескольких компьютеров и не требует создания расширенной сети. На сайт жертвы отправляется большое количество схожих запросов, которые отбирают полезный ресурс сайта и приводят к его отключению. Чтобы отразить ее достаточно блокировать источники. Например, отключить опцию ответа на ICMP-запросы или установить алгоритм приоритетности.
2. 2HTTP-флуд
   
   Это популярный вид атаки, при котором на сайт жертвы посылается бесконечный поток HTTP-сообщений. Это приводит к тому, что сервер не может обслуживать другие запросы. Эту атаку направляют на корень сервера и на один из скриптов. Защититься от HTTP-флуда можно, используя улиту (D) DoS Deflate.
3. 3SMURF-атака
   
   Этот вид атаки специалисты считают наиболее опасной. Она представляет собой пинг-флуд, но разосланный с целой сети ботов.
4. 4Fraggle флуд
   
   Этот вид DDoS-атаки получил название «Осколочная граната». При проведении посылаются запросы по протоколу UPD на сайт жертвы с большого количество компьютеров-ботов.

Существует множество разновидностей DDoS-атак и постоянно появляются все новые и новые схемы.

Как противостоять атакам?

Борьба с атаками заключается в их предотвращении и немедленном реагировании в случаи возникновения. Так можно если не избежать негативного воздействия, то хотя бы минимизировать его последствия.

Вот некоторые советов по предотвращению DDoS-атак:

• 
  должна быть возможность провести удаленно перезагрузку сайта.
• 
  программное обеспечение всегда должно быть обновлено.
• 
  установите систему анализа трафика NetFlow. Она поможет распознать атаку на начальном этапе.
• 
  нежелательные запросы следует блокировать через htaccess
  .
• 
  осуществить защиту можно с помощью PHP-скрипта, блокируя нетипичные запросы.
• 
  простой и эффективный вариант – это воспользоваться помощью провайдера, который предоставляет услуги по защите интернет ресурсов. 

Услуги, связанные с термином:

Объяснение

DDoS: как развиваются распределенные атаки типа «отказ в обслуживании»

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление услуги. Этого можно достичь, заблокировав доступ практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже конкретным транзакциям внутри приложений. При DoS-атаке вредоносные данные или запросы отправляет одна система; DDoS-атака исходит из нескольких систем.

Как правило, эти атаки работают, забивая систему запросами данных. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он дает сбой по запросу, или это может быть база данных, пораженная большим объемом запросов. В результате доступная пропускная способность интернета, ресурсы ЦП и ОЗУ становятся перегруженными.

Воздействие может варьироваться от незначительного раздражения от сбоев в работе служб до того, что целые веб-сайты, приложения или даже весь бизнес отключены.

Видео по теме: Ранние предупреждающие признаки DDoS-атаки

3 типа DDoS-атак

Существует три основных класса DDoS-атак:

1. Объемные атаки используют огромные объемы фиктивного трафика для перегрузки такого ресурса, как веб-сайт или сервер. К ним относятся атаки ICMP, UDP и флуд-атаки с поддельными пакетами. Размер атаки на основе объема измеряется в битах в секунду (бит / с).

Протокол

2. или DDoS-атаки на сетевом уровне отправляют большое количество пакетов в целевые сетевые инфраструктуры и инструменты управления инфраструктурой.Эти атаки протокола включают, среди прочего, SYN-флуд и Smurf DDoS, и их размер измеряется в пакетах в секунду (PPS).
3. Атаки на уровне приложений проводятся путем переполнения приложений вредоносными запросами. Размер атак на уровне приложений измеряется запросами в секунду (RPS).

Для каждого типа атак цель всегда одна: сделать онлайн-ресурсы вялыми или полностью зависшими.

Симптомы DDoS-атаки

DDoS-атаки могут выглядеть как многие из не вредоносных вещей, которые могут вызвать проблемы с доступностью, например, отказавший сервер или система, слишком много законных запросов от законных пользователей или даже перерезанный кабель.Часто требуется анализ трафика, чтобы точно определить, что именно происходит.

График DDoS-атаки

Это была атака, которая навсегда изменила взгляд на атаки типа «отказ в обслуживании». В начале 2000 года канадский ученик средней школы Майкл Кальс, также известный как MafiaBoy, взломал Yahoo! с помощью распределенной атаки типа «отказ в обслуживании» (DDoS), в результате которой удалось остановить один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицелился и успешно взломал другие такие сайты, как Amazon, CNN и eBay.

Конечно, это не первая DDoS-атака, но эта широко известная и успешная серия атак навсегда превратили атаки типа «отказ в обслуживании» из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах руководителей по информационным технологиям и ИТ-директорам.

С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, как средство онлайн-активности и даже для ведения кибервойны.

Они тоже стали больше с годами.В середине 1990-х годов атака могла состоять из 150 запросов в секунду — и этого было бы достаточно, чтобы вывести из строя многие системы. Сегодня они могут превышать 1000 Гбит / с. Это во многом было вызвано огромным размером современных ботнетов.

В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял под волной DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры.На пике популярности Mirai достигла 400 000 ботов. Сервисы, включая Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, были остановлены.

В начале 2018 года начал появляться новый метод DDoS. 28 февраля служба хостинга контроля версий GitHub подверглась массированной атаке отказа в обслуживании, при которой популярный сайт пришелся на 1,35 ТБ трафика в секунду. Хотя GitHub отключался от сети лишь время от времени и ему удалось полностью отбить атаку менее чем через 20 минут, сам масштаб атаки вызывал беспокойство, так как она опередила атаку Dyn, пик которой достиг 1.2 ТБ в секунду.

Анализ технологии, использованной для атаки, показал, что в некоторых отношениях она была проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч устройств IoT, атака GitHub использовала серверы с системой кэширования памяти Memcached, которая может возвращать очень большие блоки данных в ответ на простые запросы.

Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, не имеет достаточной защиты, чтобы предотвратить подмену IP-адресов злоумышленниками и отправку огромных объемов данных ничего не подозревающим жертвам.К сожалению, тысячи серверов Memcached находятся в открытом Интернете, и наблюдается огромный рост их использования в DDoS-атаках. Сказать, что серверы «взломаны», не совсем справедливо, поскольку они с радостью отправят пакеты, куда бы им ни сказали, не задавая вопросов.

Спустя всего несколько дней после атаки GitHub еще одна DDoS-атака на основе Memecached обрушилась на американского поставщика услуг с объемом данных 1,7 ТБ в секунду.

Видео по теме: DDoS-атака Dyn через год

Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он задействовал уязвимые устройства Интернета вещей, а не ПК и серверы. Это особенно страшно, если учесть, что к 2020 году, согласно данным BI Intelligence, будет 34 миллиарда подключенных к Интернету устройств, а большинство (24 миллиарда) будут устройствами Интернета вещей.

К сожалению, Mirai не будет последним ботнетом на базе Интернета вещей. В ходе расследования, проведенного группами безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru, был обнаружен ботнет аналогичного размера, получивший название WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Проведением расследования послужила серия крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.

21 июня 2020 года Akamai сообщила, что смягчила DDoS-атаку на крупный европейский банк, максимальная скорость которой достигла 809 миллионов пакетов в секунду (Mpps), что является самым большим объемом пакетов за всю историю.Эта атака была разработана, чтобы подавить сетевое оборудование и приложения в центре обработки данных цели, отправив миллиарды небольших (29 байт, включая заголовок IPv4) пакетов.

Исследователи Akamai заявили, что эта атака была уникальной из-за большого количества используемых исходных IP-адресов. «Количество исходных IP-адресов, которые регистрировали трафик к месту назначения клиента, значительно увеличилось во время атаки, что свидетельствует о его высокой степени распределенности. Мы увидели, что количество исходных IP-адресов в минуту увеличилось в 600 раз по сравнению с тем, что мы обычно наблюдаем для этого клиента. пункт назначения «, — отметили исследователи.

DDoS-атаки сегодня

Несмотря на то, что объем DDoS-атак со временем снизился, они по-прежнему представляют собой серьезную угрозу. Лаборатория Касперского сообщает, что количество DDoS-атак во втором квартале 2019 года увеличилось на 32% по сравнению с третьим кварталом 2018 года, в первую очередь из-за всплеска атак в сентябре. В 2020 году Cloudflare сообщает, что объем DDoS-атак увеличивался каждый квартал, кроме Q4,

По словам Касперского, недавно обнаруженные бот-сети, такие как Torii и DemonBot, способные запускать DDoS-атаки, вызывают беспокойство.Torii способен захватить ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности.

Еще одна тревожная тенденция — появление новых платформ запуска DDoS, таких как 0x-booter. В этом DDos-as-a-service задействовано около 16 000 устройств Интернета вещей, зараженных вредоносным ПО Bushido, разновидностью Mirai.

Отчет о DDoS-атаках от Imperva показал, что большинство DDoS-атак в 2019 году были относительно небольшими.Например, атаки на сетевом уровне обычно не превышали 50 миллионов пакетов в секунду. Авторы отчета связали это с услугами DDoS-наемников, которые предлагают неограниченные, но небольшие атаки. Imperva действительно наблюдала несколько очень крупных атак в 2019 году, включая атаку сетевого уровня, которая достигла 580 миллионов запросов в секунду, и атаку уровня приложений, которая достигла пика в 292000 запросов в секунду и длилась 13 дней.

Эта тенденция изменилась в четвертом квартале 2020 года, когда Cloudflare сообщила о «массовом росте» числа атак со скоростью более 500 Мбит / с и 50 000 пакетов в секунду.Эти нападения также стали более постоянными: в период с октября по декабрь наблюдалось почти 9% атак, которые продолжались более 24 часов.

Cloudflare также наблюдала то, что она назвала «разрушительной тенденцией» в увеличении количества атак RDDoS в 2020 году, когда организации получают угрозу DDoS-атаки, которая нарушит их работу, если не будет выплачен выкуп. Злоумышленники, как правило, нацелены на жертв, которые менее способны отреагировать и оправиться от такой атаки.

Инструменты DDoS-атаки

Как правило, DDoS-атакующие используют ботнеты — совокупности сети зараженных вредоносным ПО систем, которые контролируются централизованно.Этими зараженными конечными точками обычно являются компьютеры и серверы, но все чаще это Интернет вещей и мобильные устройства. Злоумышленники собирают эти системы, идентифицируя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники арендуют эти бот-сети у тех, кто их построил.

Как развиваются DDoS-атаки

Как вкратце упоминалось выше, все чаще такие атаки проводятся с помощью арендованных ботнетов.Ожидайте, что эта тенденция сохранится.

Другой тенденцией является использование нескольких векторов атаки в рамках атаки, также известной как Advanced Persistent Denial-of-Service APDoS. Например, атака APDoS может включать в себя уровень приложений, например атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого« наводнения », — говорит Чак Макки, управляющий директор по успеху партнеров в Binary Defense.

Кроме того, объясняет Макки, злоумышленники часто атакуют не только своих жертв, но и организации, от которых они зависят, например интернет-провайдеров и поставщиков облачных услуг.«Это широкомасштабные, высокоэффективные и хорошо скоординированные атаки», — говорит он.

Это также меняет влияние DDoS-атак на организации и увеличивает их риск. «Компании больше не озабочены DDoS-атаками на себя, а атаками на огромное количество деловых партнеров, поставщиков и поставщиков, на которых полагаются эти компании», — говорит Майк Оверли, юрист по кибербезопасности в Foley & Lardner LLP. «Одна из старейших пословиц в сфере безопасности заключается в том, что безопасность бизнеса зависит от его самого слабого звена.В сегодняшних условиях (о чем свидетельствуют недавние взломы) этим самым слабым звеном может быть и часто оказывается одна из третьих сторон », — говорит он.

Конечно, по мере того, как преступники совершенствуют свои DDoS-атаки, технологии и тактика не будут стоять на месте. Как объясняет Род Сото, директор по исследованиям безопасности в JASK, добавление новых устройств Интернета вещей, развитие машинного обучения и искусственного интеллекта сыграют свою роль в изменении этих атак. «Злоумышленники в конечном итоге интегрируют эти технологии и в атаки, что затрудняет защиту защитников от DDoS-атак, особенно тех, которые не могут быть остановлены с помощью простых ACL или сигнатур.Технологии защиты от DDoS-атак также должны будут развиваться в этом направлении », — говорит Сото.

Примечание редактора: эта статья, впервые опубликованная в сентябре 2017 года, была обновлена ​​с учетом текущих данных Cloudflare.

Подробнее о DDoS-атаках:

Copyright © 2021 IDG Communications, Inc.

Что такое DDoS-атака | DDoS Значение

Распределенные сетевые атаки часто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует преимущества определенных ограничений пропускной способности, которые применяются к любым сетевым ресурсам, например к инфраструктуре, которая обеспечивает работу веб-сайта компании. В результате DDoS-атаки к атакованному веб-ресурсу будет отправлено несколько запросов с целью превышения возможностей веб-сайта для обработки нескольких запросов … и предотвращения правильной работы веб-сайта.

Типичные цели для DDoS-атак включают:

• Интернет-магазины
• Интернет-казино
• Любой бизнес или организация, зависящая от предоставления онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют конечный предел количества запросов, которые они могут обслуживать одновременно.В дополнение к пределу емкости сервера канал, который соединяет сервер с Интернетом, также будет иметь ограниченную полосу пропускания / емкость. Всякий раз, когда количество запросов превышает пределы емкости любого компонента инфраструктуры, уровень обслуживания может пострадать одним из следующих способов:

• Ответ на запросы будет намного медленнее, чем обычно.
• Некоторые или все запросы пользователей могут быть полностью проигнорированы.

Обычно конечной целью злоумышленника является полное предотвращение нормального функционирования веб-ресурса — полный «отказ в обслуживании».Злоумышленник также может запросить плату за прекращение атаки. В некоторых случаях DDoS-атака может быть даже попыткой дискредитировать или нанести ущерб бизнесу конкурента.

Использование «зомби-сети» ботнета для проведения DDoS-атаки

Чтобы отправить чрезвычайно большое количество запросов к ресурсу жертвы, киберпреступник часто создает «зомби-сеть» компьютеров, зараженных преступником. Поскольку преступник контролирует действия каждого зараженного компьютера в сети зомби, масштаб атаки может быть огромным для веб-ресурсов жертвы.

Природа сегодняшних DDoS-угроз

В период с начала до середины 2000-х подобный вид преступной деятельности был довольно распространенным явлением. Однако количество успешных DDoS-атак сокращается. Снижение числа DDoS-атак, вероятно, произошло в результате следующего:

• Полицейские расследования, в результате которых были арестованы преступники по всему миру
• Технические контрмеры, которые оказались успешными против DDoS-атак

Распределенные сетевые атаки / DDoS

Что такое DDoS-атака? — DDoS Значение

Распределенные сетевые атаки Kaspersky

часто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует преимущества определенных ограничений пропускной способности, которые применяются к любым сетевым ресурсам — например, к инфраструктуре, которая обеспечивает работу веб-сайта компании …

Что означает DDoS? | Объяснение распределенного отказа в обслуживании

Значение DDoS: Что такое DDoS?

Распределенные атаки типа «отказ в обслуживании» (DDoS) являются подклассом атак типа «отказ в обслуживании» (DoS). DDoS-атака включает в себя несколько подключенных онлайн-устройств, известных под общим названием ботнет, которые используются для перегрузки целевого веб-сайта поддельным трафиком.

В отличие от других видов кибератак, DDoS-атаки не пытаются нарушить периметр вашей безопасности. Скорее, DDoS-атака направлена ​​на то, чтобы сделать ваш веб-сайт и серверы недоступными для законных пользователей. DDoS также может использоваться как дымовая завеса для других злонамеренных действий и для отключения устройств безопасности, нарушая периметр безопасности цели.

Успешная распределенная атака отказа в обслуживании — это очень заметное событие, затрагивающее всю базу онлайн-пользователей. Это делает его популярным оружием хактивистов, кибервандалов, вымогателей и всех, кто хочет заявить о своей правоте или отстоять дело.

DDoS-атаки могут происходить короткими сериями или повторяться, но в любом случае воздействие на веб-сайт или бизнес может длиться дни, недели и даже месяцы, пока организация пытается восстановиться. Это может сделать DDoS чрезвычайно разрушительным для любой онлайн-организации. Среди прочего, DDoS-атаки могут привести к потере доходов, подорвать доверие потребителей, вынудить компании тратить целые состояния на компенсации и нанести долгосрочный ущерб репутации.

DoS против DDoS

Различия между регулярными и распределенными атаками отказа в обслуживании существенны.В DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы либо использовать уязвимость программного обеспечения, либо заполнить цель поддельными запросами — обычно в попытке исчерпать ресурсы сервера (например, RAM и CPU).

С другой стороны, распределенные атаки типа «отказ в обслуживании» (DDoS) запускаются с нескольких подключенных устройств, распределенных по Интернету. Эти заграждения с участием нескольких человек и нескольких устройств, как правило, труднее отклонить, в основном из-за огромного количества задействованных устройств.В отличие от DoS-атак с одним источником, DDoS-атаки, как правило, нацелены на сетевую инфраструктуру в попытке перенасыщать ее огромными объемами трафика.

DDoS-атаки также различаются по способу проведения. Вообще говоря, атаки типа «отказ в обслуживании» запускаются с использованием самодельных скриптов или инструментов DoS (например, Low Orbit Ion Canon), в то время как DDoS-атаки запускаются из ботнетов — больших кластеров подключенных устройств (например, мобильных телефонов, ПК или маршрутизаторов), зараженных вредоносным ПО, которое позволяет злоумышленнику удаленно управлять.

DDoS-ботнеты: проведение масштабных атак

Ботнет — это набор захваченных подключенных устройств, используемых для кибератак, которые управляются удаленно из Центра управления и контроля (C&C). Обычно к ним относятся персональные компьютеры, мобильные телефоны, незащищенные устройства Интернета вещей и даже ресурсы из общедоступных облачных сервисов. Злоумышленники используют вредоносное ПО и другие методы для взлома устройства, превращая его в «зомби» в ботнете злоумышленника.

Ботнеты позволяют злоумышленникам проводить DDoS-атаки, используя мощность многих машин и скрывая источник трафика. Поскольку трафик распределяется, инструментам безопасности и командам сложно обнаружить, что происходит DDoS-атака, пока не станет слишком поздно.

Чтобы узнать больше о крупномасштабной DDoS-инфраструктуре, прочтите нашу статью о DDoS-ботнетах .

Типы DDoS-атак

DoS-атаки можно разделить на две основные категории — атаки на уровне приложений и атаки на сетевом уровне.Каждый из этих типов DDoS-атак определяет определенные параметры и поведение, используемые во время атаки, а также цель атаки.

1. Атаки прикладного уровня (также известные как атаки уровня 7) могут быть либо DoS-, либо DDoS-угрозами, которые стремятся перегрузить сервер, отправляя большое количество запросов, требующих ресурсоемкой обработки и обработки. Среди других векторов атак в эту категорию входят HTTP-флуды, медленные атаки (например, Slowloris или RUDY) и флуд-атаки DNS-запросов.

Игровой веб-сайт подвергся массовому наводнению DNS, пиковая скорость которого превысила 25 миллионов пакетов в секунду

Размер атак на уровне приложений обычно измеряется в запросах в секунду (RPS), при этом для выхода из строя большинства веб-сайтов среднего размера требуется не более 50–100 RPS.

2. Атаки сетевого уровня (также известные как атаки уровней 3–4) почти всегда представляют собой атаки DDoS, настроенные для засорения «конвейеров», соединяющих вашу сеть. К векторам атак в этой категории относятся UDP-флуд, SYN-флуд, атаки с усилением NTP и DNS и многое другое.

Любой из них может быть использован для предотвращения доступа к вашим серверам, а также может вызвать серьезные операционные повреждения, такие как приостановка учетной записи и огромные расходы на превышение лимита.

DDoS-атаки почти всегда представляют собой события с высоким трафиком, обычно измеряемые в гигабитах в секунду (Гбит / с) или пакетах в секунду (PPS).Наибольшие атаки на сетевом уровне могут превышать сотни Гбит / с; тем не менее, от 20 до 40 Гбит / с достаточно для полного отключения большинства сетевых инфраструктур.

Причины DDoSing: Мотивация злоумышленников

«DDoSsing» описывает акт проведения DDoS-атаки. Атаки отказа в обслуживании инициируются отдельными лицами, предприятиями и даже национальными государствами, у каждого из которых есть собственная мотивация.

Хактивизм

Хактивисты используют DoS-атаки как средство, чтобы выразить свою критику всего, со стороны правительств и политиков, включая «большой бизнес», и текущих событий.Если хактивисты не согласны с вами, ваш сайт упадет (также известный как «танго вниз»).

Менее технически подкованные, чем другие типы злоумышленников, хактивисты, как правило, используют готовые инструменты для атак на свои цели. Anonymous, пожалуй, одна из самых известных групп хактивистов. Они несут ответственность за кибератаку на ИГИЛ в феврале 2015 года, последовавшую за террористической атакой последнего на парижский офис Charlie Hebdo, а также за нападение на правительство Бразилии и спонсоров чемпионата мира в июне 2014 года.

Типичный способ атаки хактивистов: DoS и DDoS.

Кибервандализм

Кибервандалов часто называют «детишками со сценариями» — за то, что они полагаются на готовые сценарии и инструменты, чтобы причинить горе своим согражданам в Интернете. Эти вандалы часто являются скучающими подростками, которые ищут прилив адреналина или стремятся выразить свой гнев или разочарование против учреждения (например, школы) или человека, который, по их мнению, обидел их. Некоторые, конечно, просто ищут внимания и уважения своих сверстников.

Помимо готовых инструментов и скриптов, кибервандалы также будут использовать сервисы DDoS-for-найма (также известные как ускорители или стрессеры), которые можно приобрести в Интернете всего за 19 долларов за штуку.

Вымогательство

Все более популярным мотивом для DDoS-атак является вымогательство, то есть киберпреступник требует денег в обмен на остановку (или невыполнение) разрушительной DDoS-атаки. Несколько известных онлайн-компаний-разработчиков программного обеспечения, в том числе MeetUp, Bitly, Vimeo и Basecamp, стали получать эти сообщения о DDoS-атаках, некоторые из них отключились после того, как отказались поддаться угрозам вымогателей.

Подобно кибервандализму, этот тип атаки возможен благодаря наличию служб stresser и booter.

Типичный способ нападения вымогателей: DDoS.

Деловая конкуренция

DDoS-атаки все чаще используются в качестве конкурентного бизнес-инструмента. Некоторые из этих атак предназначены для того, чтобы удержать конкурента от участия в значительном мероприятии (например, в Киберпонедельник), в то время как другие проводятся с целью полного закрытия онлайн-бизнеса на несколько месяцев.

Так или иначе, идея состоит в том, чтобы вызвать сбой, который побудит ваших клиентов устремиться к конкурентам, а также нанесет финансовый и репутационный ущерб. Средняя стоимость DDoS-атаки для организации может составлять 40 000 долларов в час.

Атаки бизнес-вражды часто хорошо финансируются и выполняются профессиональными «наемными стрелками», которые проводят раннюю разведку и используют собственные инструменты и ресурсы для противодействия чрезвычайно агрессивным и постоянным DDoS-атакам.

Типичный метод нападения, используемый бизнес-конкурентами: DDoS.

Кибервойна

DDoS-атак, спонсируемых государством, используются для того, чтобы заставить замолчать критику правительства и внутреннюю оппозицию, а также как средство нарушения критически важных финансовых, медицинских и инфраструктурных услуг во вражеских странах.

Эти атаки поддерживаются национальными государствами, то есть это хорошо финансируемые и организованные кампании, которые выполняются технически подкованными профессионалами.

Типичный метод нападения, используемый в кибервойне: DDoS.

Личное соперничество

DoS-атаки могут использоваться для сведения личных счетов или срыва онлайн-соревнований.Такие атаки часто происходят в контексте многопользовательских онлайн-игр, когда игроки запускают DDoS-атаки друг против друга и даже против игровых серверов, чтобы получить преимущество или избежать неминуемого поражения, «перевернув стол».

Атаки на игроков часто представляют собой DoS-атаки, выполняемые с помощью широко доступного вредоносного ПО. И наоборот, атаки на игровые серверы, скорее всего, будут DDoS-атаками, инициированными стрессерами и бустерами.

Типичный способ атаки личных соперников: DoS, DDoS.

DDoS наем: DDoSsers, бустеры и стрессеры

DDoS для найма провайдеры предлагают выполнять DDoS-атаки от имени других за плату. Эти субъекты угроз известны под разными именами, включая DDoSser, загрузчики и stressers. Широкая доступность DDoS-атак по найму позволяет практически каждому проводить крупномасштабные атаки.

Одна из причин, по которой акторы могут носить определенное имя, — это выступать в качестве юридической службы. Например, специалисты по стрессам обычно заявляют, что предлагают услуги по стресс-тестированию отказоустойчивости серверов.Однако эти субъекты часто не проверяют владельца сервера, который они «тестируют», чтобы убедиться, что тесты являются законными.

Напротив, субъекты, называющие себя инициаторами атак и DDoS-атаками, обычно не пытаются скрыть незаконный характер своих услуг.

Пример рекламируемых цен и мощности бустера

Как остановить DDoS-атаки: DIY

Невозможно предотвратить DoS-атаки. Киберпреступники собираются атаковать. Некоторые собираются поразить свои цели, независимо от существующей защиты.Однако есть несколько профилактических мер, которые вы можете предпринять самостоятельно:

• Мониторинг вашего трафика на предмет аномалий, включая необъяснимые всплески трафика и посещения с подозрительного IP-адреса и геолокации. Все это может быть признаком того, что злоумышленники проводят «пробные запуски», чтобы проверить вашу защиту, прежде чем совершить полноценную атаку. Признание их такими, какие они есть, может помочь вам подготовиться к последующему натиску.
• Следите за социальными сетями (особенно Twitter) и общественными мусорными баками (e.g., Pastebin.com) для угроз, разговоров и хвастовства, которые могут намекать на входящую атаку.
• Рассмотрите возможность использования стороннего DDoS-тестирования (то есть тестирования на проникновение) для имитации атаки на вашу ИТ-инфраструктуру, чтобы вы могли быть готовы, когда наступит момент истины. Когда вы предпримете это, протестируйте против широкого спектра атак, а не только от тех, с которыми вы знакомы.
• Создайте план реагирования и команду быстрого реагирования, то есть определенную группу людей, чья работа заключается в минимизации последствий нападения.При планировании внедрите процедуры для групп поддержки клиентов и коммуникаций, а не только для ИТ-специалистов.

Чтобы по-настоящему защититься от современных DDoS-атак, вам следует использовать решение для предотвращения DDoS-атак. Решения могут быть развернуты локально, но чаще они предоставляются как услуга сторонними поставщиками. В следующем разделе мы расскажем больше о службах защиты от DDoS-атак.

Чтобы узнать больше о подходах к защите от DDoS-атак, сделанных своими руками, локальными и облачными службами, см. Нашу статью , как остановить атаки DDoS .

Защита от DDoS-атак: как работает защита от DDoS-атак?

Первый шаг в выборе решения для защиты от DDoS-атак — оценка вашего риска. Важные основные вопросы включают:

• Какие активы инфраструктуры нуждаются в защите?
• Каковы слабые места или единственные точки отказа?
• Что требуется для их снятия?
• Как и когда вы узнаете, что на вас напали? Будет уже слишком поздно?
• Каковы последствия (финансовые и иные) продолжительного отключения электроэнергии?

Вооружившись этой информацией, пора расставить приоритеты для ваших опасений и изучить различные варианты предотвращения DDoS-атак в рамках вашего бюджета безопасности.

Если у вас есть коммерческий веб-сайт или онлайн-приложения (например, приложения SaaS, онлайн-банкинг, электронная коммерция), вам, вероятно, понадобится постоянная круглосуточная защита. С другой стороны, крупная юридическая фирма может быть больше заинтересована в защите своей инфраструктуры, включая почтовые серверы, FTP-серверы и платформы бэк-офиса, чем ее веб-сайт. Этот тип бизнеса может выбрать решение «по запросу».

Второй шаг — выбрать метод развертывания. Наиболее распространенный и эффективный способ развертывания защиты от DDoS-атак по запросу для служб базовой инфраструктуры во всей подсети — это маршрутизация по протоколу пограничного шлюза (BGP).Однако это будет работать только по запросу, и вам потребуется вручную активировать решение безопасности в случае атаки.

Следовательно, если вам нужна постоянная защита от DDoS-атак для вашего веб-приложения, вам следует использовать перенаправление DNS для перенаправления всего трафика веб-сайта (HTTP / HTTPS) через сеть вашего поставщика защиты от DDoS-атак (обычно интегрированную с сетью доставки контента, ). Преимущество этого решения заключается в том, что большинство CDN предлагают масштабируемость по вызову для поглощения объемных атак, в то же время минимизируя задержку и ускоряя доставку контента.

Снижение риска атак на сетевом уровне

Для борьбы с атаками на сетевом уровне требуется дополнительная масштабируемость — сверх того, что может предложить ваша собственная сеть.

Следовательно, в случае нападения делается объявление BGP, чтобы гарантировать, что весь входящий трафик маршрутизируется через набор центров очистки. Каждый из них способен обрабатывать сотни Гбит / с трафика. Затем мощные серверы, расположенные в центрах очистки, будут отфильтровывать вредоносные пакеты, перенаправляя только чистый трафик на исходный сервер через туннель GRE.

Этот метод смягчения последствий обеспечивает защиту от атак, направленных напрямую на IP, и обычно совместим со всеми типами инфраструктуры и протоколами связи (например, UDP, SMTP, FTP, VoIP).

Защита от атаки с усилением NTP: 180 Гбит / с и 50 миллионов пакетов в секунду

Смягчение атак на уровне приложений

Смягчение атак на уровне приложений основано на решениях для профилирования трафика, которые могут масштабироваться по запросу, а также могут различать злонамеренных ботов и законных посетителей веб-сайтов.

Для профилирования трафика передовой опыт требует эвристики на основе сигнатур и поведения в сочетании с оценкой репутации IP и прогрессивным использованием проблем безопасности (например, JS и файлов cookie).

Устранение последствий восьмидневного HTTP-флуда: 690 миллионов DDoS-запросов с 180 000 IP-адресов ботнетов

Вместе они точно фильтруют вредоносный трафик ботов, защищая от атак на уровне приложений, не оказывая никакого воздействия на ваших законных посетителей.

Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.

Защита от DDoS-атак с помощью Imperva

Imperva предлагает решение для защиты от DDoS-атак, которое быстро нейтрализует крупномасштабные DDoS-атаки, не прерывая обслуживания законных пользователей. Imperva обеспечивает защиту веб-сайтов и веб-приложений, сетей и подсетей, серверов доменных имен (DNS) и отдельных IP-адресов.

Imperva обнаруживает и смягчает любые типы DDoS-атак, включая TCP SYN + ACK, TCP Fragment, UDP, Slowloris, Spoofing, ICMP, IGMP, HTTP Flood, Brute Force, Connection Flood, DNS Flood, NXDomain, Ping of Death, Smurf, Отражено ICMP & UDP.

Защита от DDoS-атак Imperva обеспечивает:

• Поддержка Anycast и Unicast , что позволяет автоматически обнаруживать атаки и уязвимости и реагировать на них.
• Гарантия с поддержкой SLA, что атаки блокируются за три секунды или меньше, что предотвращает простои и сокращает время восстановления.
• Сеть с высокой пропускной способностью, способная анализировать более 65 миллиардов пакетов в секунду.
• Интерактивные информационные панели , позволяющие видеть текущий статус, определять DDoS-атаки и понимать параметры атаки.

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка сделать онлайн-сервис недоступным, перегружая его трафиком из нескольких источников. Они нацелены на широкий спектр важных ресурсов, от банков до новостных веб-сайтов, и представляют серьезную проблему для обеспечения того, чтобы люди могли публиковать важную информацию и получать к ней доступ.

Более 2000
Arbor Networks ежедневно отслеживает DDoS-атаки во всем мире.Отчет об угрозах ATLAS

Создание потенциала

Злоумышленники создают сети из зараженных компьютеров, известные как «ботнеты», путем распространения вредоносного ПО через электронную почту, веб-сайты и социальные сети. После заражения этими машинами можно управлять удаленно, без ведома их владельцев, и использовать их как армию для атаки на любую цель. Некоторые ботнеты состоят из миллионов машин.

Начало атак

Ботнеты могут генерировать огромные потоки трафика, чтобы сокрушить цель.Эти наводнения могут быть сгенерированы несколькими способами, такими как отправка большего количества запросов на соединение, чем сервер может обработать, или отправка компьютерами жертве огромных объемов случайных данных для использования полосы пропускания цели. Некоторые атаки настолько велики, что могут исчерпать международную кабельную емкость страны.

Продажа тишины

Существуют специализированные онлайн-площадки для покупки и продажи ботнетов или индивидуальных DDoS-атак. Используя эти подпольные рынки, любой может заплатить символическую плату, чтобы заставить замолчать веб-сайты, с которыми он не согласен, или нарушить работу организации в Интернете.Недельная DDoS-атака, способная вывести небольшую организацию из строя, может стоить всего 150 долларов.

Изучение данных

Карта цифровых атак отображает глобальную активность DDoS в любой день. Атаки отображаются в виде пунктирных линий, масштабируются по размеру и размещаются в соответствии с исходной и целевой странами атакующего трафика, если они известны. Некоторые функции включают:

• Используйте гистограмму внизу карты для просмотра исторических данных.
• Выберите страну для просмотра активности DDoS в этой стране или из нее.
• Используйте параметр цвета для просмотра атак по классам, продолжительности или портам источника / назначения.
• Используйте раздел новостей, чтобы найти в Интернете отчеты об атаках за указанное время.
• Просмотрите галерею, чтобы изучить некоторые примеры дней с заметными DDoS-атаками.

Типы атак

DDoS-атак бывают разных форм, от Smurfs до Teardrops и Ping of Death.Ниже приведены подробности о типах атак и методах усиления, найденных на карте:

Класс атаки : четыре общие категории атак

Атаки TCP-соединения — Занимающие соединения

Они пытаются использовать все доступные подключения к устройствам инфраструктуры, таким как балансировщики нагрузки, межсетевые экраны и серверы приложений. Эти атаки могут вывести из строя даже устройства, способные поддерживать состояние миллионов подключений.Учить больше…

Объемные атаки — Использование полосы пропускания

Они пытаются использовать полосу пропускания либо в целевой сети / службе, либо между целевой сетью / службой и остальной частью Интернета. Эти атаки просто вызывают скопление. Учить больше…

Фрагментационные атаки — Пакеты штук

Они отправляют поток фрагментов TCP или UDP жертве, подавляя способность жертвы повторно собирать потоки и серьезно снижая производительность.Учить больше…

Атаки на приложения — Нацеленные на приложения

Они пытаются подавить конкретный аспект приложения или службы и могут быть эффективными даже при очень небольшом количестве атакующих машин, генерирующих низкую скорость трафика (что затрудняет их обнаружение и смягчение). Учить больше…

Amplification : Атаки двумя способами могут увеличить трафик, который они могут отправить.

Отражение DNS — Маленький запрос, большой ответ.

Подделав IP-адрес жертвы, злоумышленник может отправить небольшие запросы на DNS-сервер и попросить его отправить жертве большой ответ. Это позволяет злоумышленнику усиливать каждый запрос от его ботнета в 70 раз, что значительно упрощает поражение цели. Учить больше…

Chargen Reflection — Устойчивые потоки текста

Большинство компьютеров и принтеров, подключенных к Интернету, поддерживают устаревшую службу тестирования под названием Chargen, которая позволяет кому-либо попросить устройство ответить потоком случайных символов.Chargen можно использовать как средство для усиления атак, аналогичных DNS-атакам, описанным выше. Узнать больше …

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика | Блоги McAfee Что такое DDoS-атака и как она работает?

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика

Представьте, что вы едете по шоссе, чтобы добраться до работы.На дороге есть и другие машины, но в целом все движутся плавно, с четким, законным ограничением скорости. Затем, когда вы приближаетесь к въездной рампе, к вам присоединяются другие машины. А потом еще, и еще, и еще, пока внезапно трафик не замедлился до ползания. Это иллюстрирует DDoS-атаку.

DDoS означает «распределенный отказ в обслуживании», и это метод, при котором киберпреступники наводняют сеть таким объемом вредоносного трафика, что она не может работать или взаимодействовать, как обычно. Это приводит к остановке обычного трафика сайта, также известного как законные пакеты.DDoS — это простой, эффективный и мощный метод, основанный на небезопасных устройствах и плохих цифровых привычках. К счастью, с помощью нескольких простых настроек ваших повседневных привычек вы можете защитить свои личные устройства от DDoS-атак.

Количество DDoS-атак растет

Расширение 5G, распространение Интернета вещей и интеллектуальных устройств, а также переход большего числа отраслей, переводящих свои операции в онлайн, открыли новые возможности для DDoS-атак. Киберпреступники пользуются этим, и в 2020 году произошло два самых крупных DDoS-нападения, когда-либо зарегистрированных.В 2020 году были запущены амбициозные атаки на Amazon и Google. Для киберпреступников нет слишком большой цели.

DDoS-атаки

являются одной из наиболее проблемных областей в кибербезопасности, потому что их невероятно сложно предотвратить и смягчить. Предотвратить эти атаки особенно сложно, потому что вредоносный трафик исходит не из одного источника. По оценкам, 12,5 миллионов устройств уязвимы для использования злоумышленником DDoS.

Персональные устройства становятся бойцами DDoS-атак

Атаки

DDoS довольно просты в создании.Все, что нужно, — это два устройства, которые координируют свои действия для отправки поддельного трафика на сервер или веб-сайт. Это оно. Например, ваш ноутбук и телефон можно запрограммировать на формирование собственной сети DDoS (иногда называемой ботнетом, подробнее ниже). Однако даже если два устройства направят всю свою вычислительную мощность на атаку, этого все равно недостаточно для отключения веб-сайта или сервера. Сотни и тысячи скоординированных устройств необходимы, чтобы остановить целого поставщика услуг.

Чтобы создать сеть такого размера, киберпреступники создают так называемый «ботнет» — сеть скомпрометированных устройств, которые координируются для выполнения конкретной задачи.Ботнеты не всегда должны использоваться в DDoS-атаках, и при DDoS-атаках не обязательно иметь ботнет для работы, но чаще всего они работают вместе, как Бонни и Клайд. Киберпреступники создают бот-сети довольно типичными способами: заставляя людей скачивать вредоносные файлы и распространять вредоносное ПО.

Но вредоносное ПО — не единственное средство вербовки устройств. Поскольку многие компании и потребители используют неверные пароли, злоумышленники могут сканировать Интернет в поисках подключенных устройств с известными заводскими учетными данными или легко угадываемыми паролями (например, «паролем»).После входа в систему киберпреступники могут легко заразить устройство и завербовать его в свою кибер-армию.

Почему запуск DDoS-атак часто бывает успешным

Эти завербованные кибер-армии могут бездействовать, пока им не будет отдан приказ. Здесь в игру вступает специализированный сервер, называемый сервером управления и контроля (обычно сокращенно «C2»). Получив указание, киберпреступники приказывают серверу C2 выдавать инструкции взломанным устройствам. Затем эти устройства будут использовать часть своей вычислительной мощности для отправки поддельного трафика на целевой сервер или веб-сайт и, , вуаля, ! Так запускается DDoS-атака.

DDoS-атаки обычно успешны из-за их распределенного характера и сложности различения между законными пользователями и поддельным трафиком. Однако они не являются нарушением. Это связано с тем, что DDoS-атаки подавляют цель, чтобы вывести ее из строя, а не украсть у нее. Обычно DDoS-атаки используются в качестве ответных мер против компании или службы, часто по политическим причинам. Однако иногда киберпреступники используют DDoS-атаки как дымовую завесу для более серьезных компромиссов, которые в конечном итоге могут привести к полномасштабному взлому.

3 способа предотвратить использование ваших устройств

DDoS-атаки возможны только потому, что устройства могут быть легко скомпрометированы. Вот три способа предотвратить участие ваших устройств в DDoS-атаке:

1. Защитите свой маршрутизатор: Маршрутизатор Wi-Fi является шлюзом в вашу сеть. Защитите его, изменив пароль по умолчанию. Если вы уже выбросили инструкции для своего маршрутизатора и не знаете, как это сделать, обратитесь к Интернету, чтобы узнать, как это сделать для вашей конкретной марки и модели, или позвоните производителю.И помните, что защита может запускаться и внутри вашего маршрутизатора. Такие решения, как McAfee Secure Home Platform, встроенная в отдельные маршрутизаторы, помогают легко управлять сетью и защищать ее.
2. Изменить пароли по умолчанию на устройствах IoT: Многие устройства Интернета вещей (IoT), интеллектуальные объекты, которые подключаются к Интернету для повышения функциональности и эффективности, поставляются с именами пользователей и паролями по умолчанию. Первое, что вам нужно сделать после извлечения своего IoT-устройства из коробки, — это изменить эти учетные данные по умолчанию.Если вы не знаете, как изменить настройку по умолчанию на своем IoT-устройстве, обратитесь к инструкциям по настройке или поищите информацию в Интернете.
3. Используйте комплексную безопасность: Многие бот-сети координируются на устройствах без какой-либо встроенной защиты. Комплексные решения безопасности, такие как McAfee Total Protection , могут помочь защитить ваши самые важные цифровые устройства от известных вариантов вредоносного ПО. Если у вас нет пакета безопасности, защищающего ваши устройства, найдите время, чтобы провести исследование и выбрать решение, которому вы доверяете.

Теперь, когда вы знаете, что такое DDoS-атака и как от нее защититься, вы лучше подготовлены, чтобы хранить свои личные устройства в безопасности.

Оставайтесь в курсе

Чтобы быть в курсе всех событий McAfee и последних угроз безопасности для потребителей и мобильных устройств, подписывайтесь на @McAfee_Home в Twitter, подписывайтесь на нашу электронную почту, слушайте наш подкаст Hackable? И ставьте нам лайки в Facebook.

Что такое DDoS-атака (распределенная атака отказа в обслуживании)?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это атака, при которой несколько скомпрометированных компьютерных систем атакуют цель, например сервер, веб-сайт или другой сетевой ресурс, и вызывают отказ в обслуживании для пользователей целевого ресурса.Поток входящих сообщений, запросов на соединение или искаженных пакетов к целевой системе вынуждает ее замедляться или даже аварийно завершать работу, тем самым отказывая в обслуживании законным пользователям или системам.

DDoS-атак были осуществлены различными участниками угроз, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений. В определенных ситуациях, часто связанных с плохим кодированием, отсутствием исправлений или в целом нестабильными системами, даже законные запросы к целевым системам могут привести к результатам, подобным DDoS.

Как работают DDoS-атаки

В типичной DDoS-атаке злоумышленник начинает с использования уязвимости в одной компьютерной системе и делает ее мастером DDoS-атак. Мастер-система атаки выявляет другие уязвимые системы и получает контроль над ними, либо заражая системы вредоносным ПО, либо обходя средства аутентификации (т. Е. Угадывая пароль по умолчанию в широко используемой системе или устройстве).

Компьютер или сетевое устройство, находящееся под контролем злоумышленника, называется зомби или ботом.Злоумышленник создает так называемый командный сервер для управления сетью ботов, также называемой ботнетом. Лицо, контролирующее ботнет, иногда называют ботмастером (этот термин также исторически использовался для обозначения первой системы, «завербованной» в ботнет, поскольку она используется для контроля распространения и активности других систем в ботнете. ).

Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными, и их размер может не иметь верхнего предела.После сборки ботнета злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, для наводнения целевого домена и отключения его.

Типы DDoS-атак

Существует три типа DDoS-атак. Сетецентрические или объемные атаки перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Атаки протоколов нацелены на протоколы сетевого или транспортного уровня, используя недостатки в протоколах для перегрузки целевых ресурсов.А атаки на уровне приложений перегружают службы приложений или базы данных большим объемом вызовов приложений. Избыток пакетов в адресате вызывает отказ в обслуживании.

Хотя очевидно, что целью DDoS-атаки является жертва, в типичной DDoS-атаке может быть много других жертв, включая владельцев систем, используемых для выполнения атаки. Хотя владельцы зараженных компьютеров обычно не знают, что их системы были скомпрометированы, они, тем не менее, могут пострадать от снижения качества обслуживания во время DDoS-атаки.

Интернет вещей и DDoS-атаки

Хотя вещи, составляющие Интернет вещей (IoT), могут быть полезны для законных пользователей, в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства, в которые встроены определенные вычислительные и сетевые ресурсы, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.

Устройства, подключенные к IoT, открывают большие поверхности для атак и уделяют минимальное внимание передовым методам безопасности.Например, устройства часто поставляются с жестко заданными учетными данными для аутентификации для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения устройства, что еще больше подвергает их атакам, использующим хорошо известные уязвимости.

Ботнеты Интернета вещей все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn, базирующегося в Манчестере, штат Нью-Йорк.ЧАС.; объем атак составил более 600 Гбит / с. Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика более 1 Тбит / с.

Защита и предотвращение DDoS-атак

DDoS-атаки могут создать серьезные бизнес-риски с долгосрочными последствиями. Поэтому администраторам и менеджерам ИТ и безопасности, а также их руководителям важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.

Находиться на стороне DDoS-атаки предотвратить практически невозможно.Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации, включая выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с отказом в обслуживании, и использование средств управления сетевой безопасностью, включая службы из облачных сред вендоры, специализирующиеся на реагировании на DDoS-атаки.

Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки через Интернет.

Общие сведения об атаках типа «отказ в обслуживании» | CISA

Атаки типа «отказ в обслуживании» затрагивают не только веб-сайты, но и отдельные домашние пользователи тоже могут стать их жертвами. Атаки типа «отказ в обслуживании» сложно отличить от обычной сетевой активности, но есть некоторые признаки того, что атака уже началась.

Что такое атака отказа в обслуживании?

Атака типа «отказ в обслуживании» (DoS) происходит, когда законные пользователи не могут получить доступ к информационным системам, устройствам или другим сетевым ресурсам из-за действий злонамеренного субъекта киберугроз.Затронутые службы могут включать электронную почту, веб-сайты, онлайн-аккаунты (например, банковские) или другие службы, которые зависят от затронутого компьютера или сети. Условие отказа в обслуживании достигается за счет наводнения целевого хоста или сети трафиком до тех пор, пока целевой объект не сможет ответить или просто не выйдет из строя, предотвращая доступ для законных пользователей. DoS-атаки могут стоить организации как времени, так и денег, в то время как их ресурсы и услуги недоступны.

Какие распространенные атаки типа «отказ в обслуживании»?

Существует множество различных методов проведения DoS-атаки.Наиболее распространенный метод атаки возникает, когда злоумышленник наводняет сетевой сервер трафиком. В этом типе DoS-атаки злоумышленник отправляет несколько запросов на целевой сервер, перегружая его трафиком. Эти служебные запросы являются незаконными и имеют сфабрикованные обратные адреса, которые вводят сервер в заблуждение, когда он пытается аутентифицировать отправителя запроса. Поскольку нежелательные запросы обрабатываются постоянно, сервер перегружен, что вызывает состояние DoS для законных запрашивающих.

• В атаке Smurf Attack злоумышленник отправляет широковещательные пакеты протокола управляющих сообщений Интернета на несколько узлов с поддельным исходным IP-адресом, принадлежащим целевой машине.Получатели этих поддельных пакетов затем ответят, и целевой хост будет завален этими ответами.
• SYN flood происходит, когда злоумышленник отправляет запрос на подключение к целевому серверу, но не завершает соединение с помощью так называемого трехстороннего рукопожатия — метода, используемого в сети TCP / IP для создания соединения между локальным хостом / клиентом и сервером. Неполное рукопожатие оставляет подключенный порт в состоянии занятости и недоступен для дальнейших запросов.Злоумышленник будет продолжать отправлять запросы, насыщая все открытые порты, так что легитимные пользователи не могут подключиться.

Отдельные сети могут быть затронуты DoS-атаками без прямого нападения. Если сетевой провайдер интернет-услуг (ISP) или поставщик облачных услуг подвергся нападению и атаке, сеть также потеряет возможность обслуживания.

Что такое распределенная атака отказа в обслуживании?

Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько машин работают вместе, чтобы атаковать одну цель.Злоумышленники DDoS часто используют ботнет — группу захваченных устройств, подключенных к Интернету, для проведения крупномасштабных атак. Злоумышленники используют уязвимости системы безопасности или слабые места устройства для управления многочисленными устройствами с помощью программного обеспечения для управления и контроля. Получив контроль, злоумышленник может дать команду своему ботнету провести DDoS-атаки на цель. В этом случае зараженные устройства также становятся жертвами атаки.

Бот-сети, состоящие из взломанных устройств, также могут быть сданы в аренду другим потенциальным злоумышленникам.Часто ботнет становится доступным для служб «атаки по найму», которые позволяют неквалифицированным пользователям запускать DDoS-атаки.

DDoS позволяет отправлять на цель экспоненциально больше запросов, что увеличивает мощность атаки. Это также увеличивает сложность атрибуции, поскольку истинный источник атаки труднее определить.

DDoS-атаки увеличиваются по размеру, поскольку все больше и больше устройств подключаются к сети через Интернет вещей (IoT) (см. Защита Интернета вещей).Устройства IoT часто используют пароли по умолчанию и не имеют надежных положений безопасности, что делает их уязвимыми для взлома и эксплуатации. Заражение устройств Интернета вещей часто остается незамеченным пользователями, и злоумышленник может легко взломать сотни тысяч этих устройств для проведения крупномасштабной атаки без ведома владельцев устройств.

Как избежать участия в проблеме?

Хотя невозможно полностью избежать того, чтобы стать целью DoS- или DDoS-атаки, администраторы могут предпринять упреждающие меры, чтобы уменьшить влияние атаки на свою сеть.

• Зарегистрируйтесь в службе защиты от DoS, которая обнаруживает аномальные потоки трафика и перенаправляет трафик из вашей сети. Трафик DoS фильтруется, и чистый трафик передается в вашу сеть.
• Создайте план аварийного восстановления, чтобы обеспечить успешную и эффективную связь, смягчение последствий и восстановление в случае атаки.

Также важно принять меры по усилению безопасности всех ваших подключенных к Интернету устройств, чтобы предотвратить их взлом.

• Установите и обслуживайте антивирусное программное обеспечение.
• Установите брандмауэр и настройте его, чтобы ограничить входящий и исходящий трафик на ваш компьютер (см. Общие сведения о брандмауэрах для дома и малого офиса).
• Оцените параметры безопасности и следуйте передовым методам обеспечения безопасности, чтобы минимизировать доступ других людей к вашей информации, а также управлять нежелательным трафиком (см. Хорошие навыки безопасности).

Как узнать о нападении?

Симптомы DoS-атаки могут напоминать непреднамеренные проблемы доступности, такие как технические проблемы с конкретной сетью или системным администратором, выполняющим обслуживание.Однако следующие симптомы могут указывать на DoS- или DDoS-атаку:

• Необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам),
• Недоступность определенного веб-сайта, или
• Невозможность получить доступ к любому веб-сайту.

Лучший способ обнаружить и идентифицировать DoS-атаку — это мониторинг и анализ сетевого трафика. Сетевой трафик можно отслеживать с помощью брандмауэра или системы обнаружения вторжений. Администратор может даже установить правила, которые создают предупреждение при обнаружении аномальной нагрузки трафика и идентифицируют источник трафика или отбрасывают сетевые пакеты, которые соответствуют определенным критериям.

Что делать, если вы думаете, что испытываете приступ?

Если вы считаете, что вы или ваш бизнес подвергаетесь DoS- или DDoS-атаке, важно обратиться за помощью к соответствующим техническим специалистам.

• Обратитесь к сетевому администратору, чтобы узнать, связано ли отключение обслуживания с техническим обслуживанием или внутренней проблемой сети. Сетевые администраторы также могут отслеживать сетевой трафик, чтобы подтвердить наличие атаки, идентифицировать источник и смягчить ситуацию, применяя правила брандмауэра и, возможно, перенаправляя трафик через службу защиты от DoS.
  

  Добавить комментарий Отменить ответ

  Ваш адрес email не будет опубликован. Обязательные поля помечены *

  Комментарий *

  Имя *

  Email *

  Сайт