Что такое ддос атаки: Что такое DDoS-атака? Распределенная атака типа «отказ в обслуживании»

Содержание

Что такое DDoS-атаки, и как защитить от них свой сайт?

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

План масштабирования

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

Что такое DDoS-атаки и как от них защищаться бизнесу

«Принцип работы подобного типа атак кроется в их названии — Distributed Denial of Service или «отказ в обслуживании, — рассказывает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. — Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов».

Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.

Схематическое изображение ботнет-сети

(Фото: Cloudflare)

«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.

По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.

В чем отличие DoS от DDoS?

В арсенале киберпрестпуников есть еще один вид атаки типа «Отказ в обслуживании» — DoS-атака. Ее главное отличие от DDoS-атаки в том, что для рассылки запросов на сайт используется только одно устройство, а не сеть.

DDoS-атака — что это такое?

DDoS-атака (Distributed Denial of Service attack) — комплекс действий, способный полностью или частично вывести из строя интернет-ресурс. В качестве жертвы может выступать практически любой интернет-ресурс, например веб-сайт, игровой сервер или государственный ресурс. На данный момент практически невозможна ситуация, когда хакер в одиночку организует DDoS-атаку. В большинстве случаев злоумышленник использует сеть из компьютеров, зараженных вирусом. Вирус позволяет получать необходимый и достаточный удаленный доступ к зараженному компьютеру. Сеть из таких компьютеров называется ботнет. Как правило, в ботнетах присутствует координирующий сервер. Решив реализовать атаку, злоумышленник отправляет команду координирующему серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.

                                                                                              DDoS-атака

Причины DDoS-атак

Мотивы для осуществления DDoS-атак могут быть самыми разнообразными: от конкуренции до личной неприязни. Мы собрали основные причины DDoS-атак и решили поделиться с Вами этой информацией:

  • Личная неприязнь

Эта причина встречается довольно часто. Некоторое время назад независимый журналист-исследователь Брайан Кребс раскрыл деятельность крупнейшего сервиса по осуществлению заказных DDoS-атак — vDOS. Информация была представлена в полных подробностях, что вызвало арест организаторов данного сервиса. В ответ хакеры организовали атаку на блог журналиста, мощность которой достигла 1 Тбит/с. Эта атака стала самой мощной в мире за все годы.

В настоящее время становится все проще организовать примитивную DDoS-атаку своими силами. Такая атака будет крайне не совершенна и не анонимна. К сожалению, большинство из тех, кто решил ощутить себя в роли «хакера», не догадываются ни о первом, ни о втором. Тем не менее, многие школьники часто практикуют DDoS-атаки. Итог таких случаев бывает самым разнообразным.

  • Политический протест (хактивизм)

Одной из первых атак, имеющих социальную почву является DDoS-атака, реализованная в 1996 году хакером Omega. Omega являлся членом хакерской коалиции «Cult of the Dead Crew» (cDc). Термин хактивизм стал популярным в СМИ в связи с участившимися кибератаками, имеющим социальную почву. Типичными представителями хактивистов являются группы Anonymous и LulzSec.

  • Недобросовестная конкуренция

Такие мотивы часто бывают в индустрии игровых серверов, но и в отрасли торговли  такие случаи встречаются довольно нередко. Достаточно действенный способ недобросовестной конкуренции, способный разрушить репутацию торговой площадки, если её владельцы вовремя не обратятся за помощью к специалистам. Такой мотив можно выделить среди остальных, как наиболее встречающийся.

  • Вымогательство или шантаж

В этом случае злоумышленник требует с потенциальной жертвы денежную сумму за несовершение атаки. Либо за её прекращение. Часто жертвами таких атак становятся крупные организации, например в течение 2014 были атакованы банк «Тинькофф» и IT-ресурс Хабрахабр, крупнейший торрент-трекер Rutracker.org (как это было?).

Последствия DDoS-атак

Последствия DDoS-атак могут быть самыми разнообразными, от отключения датацентром Вашего сервера до полной потери репутации ресурса и клиентопотока. Многие организации с целью экономии неосознанно выбирают недобросовестных провайдеров защиты, что часто не приносит никакой пользы. Во избежание подобных проблем мы рекомендуем обратиться к профессионалам в своей отрасли.

Атаки, вошедшие в историю Интернет

Технический прогресс идет семимильными шагами и злоумышленники, в свою очередь, прикладывают все усилия, чтобы не стоять на месте и реализовывать все более сложные и мощные атаки. Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.

Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.

Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.

Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.

Характеристика атак сегодня

Исключая пиковые атаки можно сказать, что мощность атак с каждым годом растет более, чем в 3-4 раза. География атакующих от года к году изменяется лишь частично, ведь это обусловлено максимальным количеством компьютеров в определенной стране. Как видно из квартального отчета за 2016 год, подготовленного нашими специалистами, странами-рекордсменами по количеству ботов выступают Россия, США и Китай.

Какие бывают DDoS-атаки?

На данный момент типы атак можно разделить на 3 класса:

К этому типу атак можно отнести DNS амплификацию, ICMP флуд, UDP флуд и другие атаки с амплификацией;

Наиболее популярными и интересными атаками этого типа являются ACK/PUSH ACK флуд, SYN флуд, TCP null/IP null атака, Пинг смерти (Ping of death);

Среди атак на уровень приложений можно выделить следующие типы: HTTP флуд, атака фрагментированными HTTP пакетами, атака медленными сессиями (SlowLoris).

С более полным перечнем атак и их описанием Вы можете ознакомиться в нашей базе знаний.

Способы защиты от DDoS-атак

Наиболее верным способом по защите от DDoS-атак будет обратиться к нашим специалистам. Они предложат несколько вариантов. Один из самых популярных — это удаленная защита по технологии reverse proxy. Для подключения защиты не надо менять хостинг-провайдера, поэтому сам процесс занимает не более 10 минут. 

Почему стоит выбрать именно нас? Наше оборудование расположено в ключевых дата-центрах мира и способно отражать атаки до 300 Гбит/с или 360 миллионов пакетов в секунду. Также у нас организована сеть доставки контента (CDN) и имеется штат дежурных инженеров на случай нестандартной атаки или нештатных ситуаций. Поэтому, встав под защиту к нам, Вы можете быть уверены в доступности своего ресурса 24/7. Нам доверяют: REG.RU, Аргументы и Факты, WebMoney, российский радиохолдинг ГПМ и другие корпорации.

Лишь от небольшого количества атак Вы можете реализовать защиту самостоятельно, с помощью анализа трафика или же настройки правил маршрутизации. Способы защиты от некоторых атак приведены в базе знаний.

Что такое DDoS-атаки и как защитить от них свой сайт и сервер?

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

  • государственных учреждений,
  • крупных корпораций,
  • здравоохранительных организаций,
  • онлайн-школ,
  • игровых сервисов,
  • местных и региональных СМИ,
  • онлайн-кинотеатров,
  • банков,
  • хостинг-провайдеров.

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

  • Низкоуровневая атака — на сетевом и транспортном уровнях (третий и четвёртый уровень модели OSI). На этих уровнях для атаки используются «дыры» в сетевых протоколах. На виртуальном хостинге, VPS и выделенных серверах REG.RU установлена бесплатная защита от данных типов атак.

  • Высокоуровневая атака — атака на сеансовом и прикладном уровнях (пятый и седьмой уровни по модели OSI). Такие атаки схожи с поведением пользователей. В данном случае может помочь тонкая настройка сервера или платная защита от DDoS.

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

  • Ping of death. Это атака, которая заключается в отправке эхо-запроса, который превышает допустимый объём в 65535 байт. Устройство не знает, как обработать такой запрос, и перестаёт отвечать. В настоящее время Ping of death уже не используется — проверка размера при сборке пакета решила проблему. Пакеты, размер которых превышает допустимый, отбрасываются как неверные. Эта атака относится к классу DoS, так как в качестве отправителя выступает один компьютер, а не сеть из разных устройств, как в случае с DDoS.

  • SYN Flood. Клиент отправляет серверу огромное количество SYN-пакетов с поддельным IP-адресом. Сервер отвечает на каждый запрос и ожидает подключения клиента. Клиент игнорирует приглашение и создаёт новые запросы, чем переполняет очередь на подключение. В итоге производительность сервера падает вплоть до полного прекращения работы.

  • HTTP Flood. Каждый участник ботнета генерирует большое количество HTTP-запросов к серверу, за счёт чего сильно повышает нагрузку. Это могут быть как GET, так и POST-запросы. В GET клиент запрашивает самые тяжеловесные части сайта. А в POST-запросах передаёт большие объёмы данных серверу в теле запроса.

  • UDP Flood. Злоумышленник отправляет жертве много UDP-пакетов большого размера на определенные или случайные порты. Получатель тратит ресурсы на обработку запросов и отправку ICMP-ответа, что может привести к отказу в обслуживании.

  • DNS Flood. Это разновидность UDP Flood. Отличается тем, что атаке подвергается DNS-сервер. Сервер не может отличить участника такой атаки от обычного пользователя и обрабатывает все запросы, на что может не хватить ресурсов.

  • VoIP Flood. Снова вариант UDP Flood, цель которой — IP-телефония. Сервер получает запросы с разных IP-адресов, которые приходится обрабатывать вместе с запросами от легитимных клиентов.

  • ICMP Flood. На сервер жертвы отправляется множество ICMP-запросов с разных IP-адресов. Этот вид флуда может использоваться как для перегрузки сервера, так и для сбора информации о сервере при подготовке к другой атаке.

  • DNS-амплификация. Атакующие устройства отправляют небольшие запросы на публичные DNS-серверы. Запросы формируются так, чтобы ответ содержал как можно больше данных. Кроме этого, в запросе подменяется IP-адрес реального отправителя на адрес жертвы, на который DNS-сервер и отправит ответы. В результате жертва получит много больших пакетов данных от DNS-сервера, что вызовет переполнение канала.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

  1. Изучите ПО, которое планируете использовать в вашем проекте или уже используете, на наличие уязвимостей и критических ошибок. Их не должно быть. Выбирайте те инструменты, в которых уверены. Регулярно обновляйте их и делайте резервное копирование.

  2. Используйте сложные пароли для доступа к административным частям вашего ресурса.

  3. Настройте сеть так, чтобы доступ к админке был из только из внутренней сети или через VPN.

  4. Подключите WAF и CDN. WAF — брандмауэр веб-приложений для проверки легитимности трафика и его фильтрации. CDN — сеть доставки контента позволяет распределять нагрузку на серверы и увеличивать скорость загрузки страниц за счёт географически распределённых серверов.

  5. Установите капчу или другие компоненты в форму обратной связи на сайте. Это защитит сайт от спам-ботов.

  6. Распределите ресурсы сайта между несколькими серверами, которые не зависят друг от друга. В случае сбоя одного из серверов, работу обеспечат запасные серверы.

  7. Перенаправьте атаку на злоумышленника. Таким образом вы сможете не только отразить удар, но и нанести ущерб злоумышленнику. Для этого требуются специалисты, но это вполне реально.

  8. Узнайте у вашего хостинг-провайдера, какой уровень защиты он гарантирует для вашего хостинга или VDS. Если хостер не предоставляет защиту, выберите другого провайдера.

Компания REG.RU предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

Закажите услугу «Сервер для бизнеса»

Сосредоточьтесь на вашем бизнесе, о хостинге позаботится REG.RU! Закажите мощный облачный сервер с круглосуточным администрированием.

Подробнее

Помогла ли вам статья?

73
раза уже помогла

Какие бывают DDoS-атаки и почему защищаться сложнее из

По данным системы активного анализа уровня угроз NETSCOUT Threat Intelligence во время пандемии произошло самое большое количество атак, которое когда-либо наблюдали наши партнеры — 4,83 миллиона DDoS-атак в первой половине 2020 года (на 15% больше, чем в 2019 году). А частота DDoS-атак увеличилась на 25% в период с марта по июнь.

Однако стоит заметить, что количество одновекторных атак за первую половину 2020 года снизилось на 43% по сравнению с тем же периодом предыдущего года. А количество сложных многовекторных (15+ векторов) атак увеличилось на 126% за последний год и на 2851% с 2017 года.

 

Подробная статистика и выводы о DDoS-атаках за первое полугодие 2020 года собрана в нашей pdf-брошюре.

Скачать брошюру

 

Таким образом, отражать DDoS-атаки становится сложнее. Подавляющее большинство DDoS-атак длится один час или меньше, а почти четверть из них длится менее пяти минут. Это означает, что компаниям необходима защита, которая может мгновенно обнаруживать и смягчать атаки до того, как будет нанесен ущерб.

Какие категории DDoS-атак бывают и в чем их опасность, разберем в этой статье.

 

Категории DDoS-атак и их опасность

От того, какую часть сети злоумышленники планируют атаковать, зависит сложность и тип DDoS-атаки. Сетевые подключения состоят из различных уровней (согласно сетевой модели OSI), DDoS-атака может быть направлена на любой из них:

L7 (уровень приложения) обеспечивает взаимодействие пользовательских приложений с сетью. Например, просмотр страниц с помощью протокола HTTP.

L6 (уровень представления) обеспечивает преобразование протоколов и кодирование/декодирование данных. Этот уровень работает на основе протоколов сжатия и кодирования данных (ASCII, EBCDIC).

L5 (сеансовый уровень) обеспечивает поддержку сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Основные протоколы этого уровня — SMPP и PAP.

L4 (транспортный уровень) обеспечивает надежную передачу данных от отправителя к получателю. Основные протоколы этого уровня — UDP и TCP.

L3 (сетевой уровень) отвечает за трансляцию логических адресов и имён, коммутацию и маршрутизацию. Работает по протоколу IP (Internet Protocol).

L2 (канальный уровень) обеспечивает взаимодействие сетей на физическом уровне. Работает через коммутаторы и концентраторы.

L1 (физический уровень) определяет метод передачи данных, представленных в двоичном виде, от одного устройства к другому. Работает благодаря протоколам Ethernet, Bluetooth, Wi-Fi, IRDA.

Киберпреступники могут атаковать любой из семи уровней, но наиболее часто подвергаются атакам L3 и L4 (низкоуровневые атаки), а также L5 и L7 (высокоуровневые атаки).

 

DDoS-атаки могут иметь смешанный характер, однако можно выделить три категории:

  • атаки на уровне приложений;
  • атаки на уровне протокола;
  • объемные атаки.

Разберем каждую категорию с примерами атак.

 

Атаки на уровне приложений

Атаки на уровне приложений особенно разрушительны и трудны для выявления, так как могут имитировать легитимный трафик. Они предназначены для перегрузки элементов инфраструктуры сервера приложений и выведении их из строя. На этом уровне киберпреступники используют ресурсозатратные вызовы и взаимосвязи приложений, провоцируя систему атаковать себя же.

Взлом BGP (Border Gateway Protocol) нацелен на протокол шлюза, используемый для стандартизации данных маршрутизации и обмена информацией, связан с изменением IP-маршрутов. Эта атака направлена ​​на маршрутизацию интернет-трафика в непредусмотренный пункт назначения.

Атака Slowloris (сессионная атака) нацелена на запросы HTTP-соединения, чтобы поддерживать как можно больше одновременных соединений. Киберпреступники открывают множество соединений и держат каждое из них открытым как можно дольше — до момента таймаута. В результате замедляется работа серверов и игнорируются запросы реальных пользователей.

Медленная POST-атака основана на отправке правильно заданных заголовков HTTP POST на сервер, но тело заголовка передается с очень низкой скоростью, обрывая связь на одном из моментов и начиная новое соединение. Поскольку заголовок сообщения правильный, сервер отвечает на запрос. В результате сервер открывает множество таких соединений, расходуя ресурсы.

Атака медленного чтения по принципу напоминает медленную POST-атаку, но в обратном направлении. Разница в том, что в случае POST-атаки медленно отправляется тело сообщения, а в случае атаки медленного чтения — HTTP-запросы намеренно принимаются и читаются с очень низкой скоростью. Сервер должен держать такие запросы открытыми — это увеличивает нагрузку.

Low and slow атака основана на небольшом потоке очень медленного трафика. Этим методом киберпреступники постепенно перегружают серверы, в результате чего запросы реальных пользователей на подключение отклоняются. Для таких атак необходима небольшая полоса пропускания и их трудно предотвратить, так как генерируется трафик аналогичный трафику реальных пользователей.

POST-атака с большой полезной нагрузкой основана на использовании расширяемого языка разметки XML. Сервер получает измененные киберпреступниками данные в кодировке XML. Фактический размер таких данных в разы больше, поэтому когда они попадают на сервер, его память значительно заполняется.

Имитация просмотра страниц. Этот тип DDoS-атак имитирует паттерны поведения реальных пользователей на страницах приложения, что приводит к резкому увеличению количества посетителей и усложняет возможность отсеивать легитимный трафик от трафика ботнета.

 

Атаки на уровне протокола

Атаки на уровне протокола расходуют ресурсы сервера или оборудования. В этом случае задача киберпреступников — исключить возможность обрабатывать пакеты реальных пользователей, отправляя на сервер вредоносные пакеты.

SYN flood использует уязвимости в системе установления связи TCP, а именно: SYN-запросы, SYN-ACK и пакеты ACK. На сервер отправляется SYN-запрос, на который сервер отвечает сообщением SYN-ACK. Сервер в ответ ожидает пакет ACK от пользователя, но оборудование киберпреступника настроено таким образом, чтобы пакет ACK никогда не приходил. Большое количество таких запросов может вызвать сбой на сервере.

Атака фрагментированными пакетами (TearDrop) нацелена на максимально возможную пропускную способность протокола TCP/IP. Киберпреступники отправляют множество фрагментированных пакетов на сервер жертвы, но во время передачи происходит смещение пакетов, а при сборке пакетов — перекрытие. Такое перекрытие приводит к ошибке на сервере и аварийному завершению системы.

Smurf DDoS-атака основана на отправке запросов большому количеству устройств сети, используя IP-адрес жертвы. Киберпреступники, используя широковещательные сетевые рассылки, отправляют поддельный запрос с адресом жертвы на разные устройства. Получив такой запрос, эти устройства отвечают, создавая усиленный трафик в адрес устройства жертвы.

 

Объемные атаки

Объемные атаки направлены на превышение пропускной способности канала. Мощность объемных DDoS-атак измеряется в количестве бит за единицу времени. Наиболее эффективная защита от таких атак — очистка трафика на уровне, например, операторов связи. Наш сервис, Internet Umbrella, обеспечивает защиту от DDoS-атак мощностью до 5 Тб/с при грубой очистке и до 300 Гб/с при тонкой очистке.

HTTP flood перегружает сервер огромным количеством HTTP-запросов, например, для получения тяжёлых элементов сайта. Запросы подбираются таким образом, чтобы ответ был максимальным по объему. В результате обратный канал от сервера к клиентам перегружается трафиком HTTP-ответов.

ICMP flood основан на отправке большого количества вредоносных ICMP пакетов с разных IP-адресов, перегружая сервер поддельными запросами. Каждый раз, когда сервер получает такой запрос, он должен диагностировать состояние своей сети. В результате сам поток ICMP запросов перегружает входящий канал.

UDP flood использует большое количество запросов UDP с различных адресов, в результате чего сервер оказывается переполненным вредоносными UDP пакетами, загружая ими всю линию соединения.

Атака с усилением (DNS amplification) основана на отправке множества запросов с поддельными IP-адресами от имени жертвы на DNS-сервер. Такие запросы требуют объемных ответов, которые и направляются на сайт жертвы.

 

Защищаться становится сложнее

В первом полугодии средняя продолжительность атак снизилась на 51% по сравнению с первым полугодием 2019 года. Более короткие атаки требуют меньше ресурсов киберпреступников и осложняют реагирование на такие инциденты со стороны специалистов по кибербезопасности.

Одновременно с этим количество многовекторных (15+ векторов) атак увеличилось на 2851% по сравнению с 2017 годом. Еще три года назад такие атаки считались статистическими выбросами в общем количестве инцидентов.

DDoS-атаки стали более короткими и сложными. В результате у специалистов по ИБ остается меньше времени и ресурсов на их отражение. Это доказывает необходимость уже сейчас начать применять передовые и автоматизированные технологии защиты от DDoS-атак.

Например, NETSCOUT — наш партнер и поставщик решений для защиты от DDoS-атак Arbor Networks, предоставляет обновляемую аналитику угроз о DDoS-атаках со всего мира. Благодаря автоматической доставке обновлений и подстройке защиты нашим центром SOC мы можем оперативно отражать новые угрозы со стороны ботнетов и вредоносных программ.

 

Источники:
https://www.netscout.com/blog
https://orangecyberdefense.com
Justinas Mazura, What is a DDoS attack?, https://cybernews.com/
 

Что такое ddos/ддос атака и защита от ддос атак. Компания Allta (Киев).

Что такое DDoS атака?
DDoS-атака (Distributed Denial of Service) – это распределенная атака типа «отказ в обслуживании» на компьютерный ресурс с целью вывести его из строя, сделать недоступным для его пользователей. Данным атакам могут подвергаться веб-сайты, приложения, электронная почта, голосовая почта, компьютерные сети. Такие атаки производятся с помощью большого количества дистанционно-управляемых компьютеров путем направления потоков ложного сетевого трафика к цели. Цель становится настолько занятой рассмотрением запросов атакующего, что не имеет ресурсов и времени для ответов на запросы легитимных пользователей, и в конечном итоге, либо происходят задержки с ответами на запросы, либо отключение системы.
Почему распределенная (distributed) атака?
Атаки DoS (Denial of Service) называются распределенными, потому что они реализуются одновременно из многих компьютеров. Злоумышленник (дидосер) контролирует большое количество компьютеров, которые были заражены троянским вирусом. Владельцы компьютеров, участвующих в DDoS- атаке могут быть как добровольными, так и в некоторых случаях обманутыми, поскольку вирус представляет собой небольшое приложение, которое дает возможность удаленного контроля над компьютером без ведома пользователя.
Зомби и ботнеты
Инфицированные вирусом компьютеры называются зомби, потому что они делают все, что повелит им сделать злоумышленник. Большая группа компьютеров-зомби называется ботнет.
Любой компьютер может быть частью ботнета без ведома владельца. Пользователь может не заметить никакой разницы, или может отметить, что компьютер работает не так быстро, как раньше. Потому что компьютер может быть занят участием в атаке DDoS одновременно с выполнением ваших задач. Также Вы можете узнать о том, что ваш компьютер заражен, когда провайдер Интернета (ISP) отключит Ваш сервис, вследствие того что из Вашего компьютера отправляется чрезвычайно высокое количество сетевых запросов.
Как избежать DDoS?
Пользователи, стремящиеся к уменьшению риска заражения подобным вирусом, должны иметь установленное антивирусное программное обеспечение и регулярно проверять содержимое устройств хранения информации на предмет содержания вирусов и вредоносного ПО.
Атаки проводятся из разных точек земного шара и могут наносить вред коммерческим, государственным и промышленным структурам, при этом большинство злоумышленников остается безнаказанными.
Таким образом, DDoS является реальной угрозой для организации любого уровня и масштаба по всему миру, при этом, инициатором такой атаки может быть кто угодно. Готовность идентификации и предотвращения этих угроз является частью грамотного использования Интернет-ресурса, а также частью вашей повседневной жизни он-лайн без DDoS.

ТОП способов защиты от DDoS-атак

Распределенная DoS-атака, выполняемая одновременно с большого числа устройств, над которыми злоумышленники смогли получить контроль и по команде генерировать потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

Оглавление:

Принцип действия

Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей.

Подавляющее большинство атак развиваются в следующей последовательности:

  • 1) сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
  • 2) подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
  • 3) генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
  • 4) анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Мотивация злоумышленников может быть различной. Наиболее часто встречаются недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро проплачен, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.

Против кого осуществляются DDoS-атаки

Чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции. С началом пандемии резко усилились атаки на образовательные ресурсы, сервисы видеоконференций, онлайн-кинотеатры, медийные и развлекательные сайты.

Одной из самых интенсивных и длительных стала произошедшая в 2007 году серия DDoS-атак против правительственных, финансовых, медийных и прочих ресурсов в Эстонии, по всей вероятности, ставшая выражением протеста против сноса памятников советским воинам, освобождавшим республику.

Еще одну крупнейшую атаку провели в 2013 году против международной некоммерческой организации Spamhaus, ставящей целью борьбу со спамом. Можно предположить, что заинтересованные в распространении спама злоумышленники были явно недовольны ее успешной деятельностью.

В 2014 году была проведена одна из мощнейших DDoS-атак в истории — на сей раз против набиравшего силу в Гонконге движения Occupy Central, выступавшего за изменение действовавшей в стране системы голосования.

В 2015 и 2018 годах состоялись еще две вошедшие в историю DDoS-атаки — против крупнейшего в мире интернет-ресурса для совместной разработки и хостинга ИТ-проектов GitHub.

Не забывают злоумышленники и о российских ресурсах. Так, регулярно подвергаются нападениям сайты Центральной избирательной комиссии РФ, Сбербанка и других финансовых учреждений России, различных коммерческих компаний. В частности, Сбербанк сообщил, что 2 января 2020 года была зафиксирована самая мощная DDoS-атака за всю его историю, она была выполнена с помощью автономных устройств Интернета вещей.

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Перечислим наиболее распространенные виды атак:

  • Сетевой уровень (L3): DDoS-атаки этого уровня «работают» по протоколам IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Целями атак являются в первую очередь сетевые устройства — коммутаторы (свичи) и маршрутизаторы (роутеры).
  • Транспортный уровень (L4): воздействие производится по протоколам TCP и UDP, а также по подпротоколам DCCP, RUDP, SCTP, UDP Lite. Целями атак этого уровня обычно становятся серверы и некоторые интернет-сервисы, например игровые.
  • Уровень приложений (L7): атака осуществляется на уровне протоколов приложений. Чаще всего злоумышленники используют HTTP, HTTPS и DNS. Атаки этого уровня нацелены как на популярные сетевые сервисы, так и на различные веб-сайты и веб-приложения.

Еще один распространенный способ классификации — по способу воздействия:

  • использование уязвимостей протоколов: они позволяют добиваться отказа в обслуживании путем воздействия на атакуемый ресурс некорректными запросами, в результате чего жертва «уходит в ступор», пытаясь их обработать;
  • переполнение трафика мощным потоком запросов, который жертва не в состоянии «переварить»;
  • воздействие на слабые места в архитектуре и логике работы приложений, способное сильно нарушить работоспособность подключенного к Интернету программного комплекса, особенно если он имеет слабый уровень защищенности.

Способы защиты от DDoS-атак

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:

  • 1) предоставить как можно меньше информации атакующему;
  • 2) предоставить как можно больше информации DDoS-защитнику;
  • 3) обеспечить понятные возможности фильтрации атаки;
  • 4) обеспечить надежность сервиса под атакой.

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак. Подробнее о защите и о том, что на нее влияет, можно узнать здесь:

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

  • защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
  • защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
  • защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.

И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка сделать онлайн-сервис недоступным, перегружая его трафиком из нескольких источников. Они нацелены на широкий спектр важных ресурсов, от банков до новостных веб-сайтов, и представляют собой серьезную проблему для обеспечения того, чтобы люди могли публиковать важную информацию и получать к ней доступ.


Более 2000
Arbor Networks ежедневно отслеживает DDoS-атаки во всем мире. Отчет об угрозах ATLAS

Создание потенциала

Злоумышленники создают сети из зараженных компьютеров, известные как «ботнеты», путем распространения вредоносного ПО через электронную почту, веб-сайты и социальные сети.После заражения этими машинами можно управлять удаленно, без ведома их владельцев, и использовать их как армию для атаки на любую цель. Некоторые ботнеты состоят из миллионов машин.

Запуск атак

Ботнеты могут генерировать огромные потоки трафика, чтобы сокрушить цель. Эти наводнения могут быть сгенерированы несколькими способами, такими как отправка большего количества запросов на соединение, чем сервер может обработать, или отправка компьютерами жертве огромных объемов случайных данных для использования полосы пропускания цели.Некоторые атаки настолько велики, что могут исчерпать международную кабельную емкость страны.

Продажа тишины

Существуют специализированные онлайн-площадки для покупки и продажи ботнетов или индивидуальных DDoS-атак. Используя эти подпольные рынки, любой может заплатить символическую плату, чтобы заставить замолчать веб-сайты, с которыми он не согласен, или нарушить работу организации в Интернете. Недельная DDoS-атака, способная вывести небольшую организацию из строя, может стоить всего 150 долларов.

Изучение данных

Карта цифровых атак отображает глобальную активность DDoS в любой день.Атаки отображаются в виде пунктирных линий, масштабируются по размеру и размещаются в соответствии с исходной и целевой странами атакующего трафика, если они известны. Некоторые функции включают:

  • Используйте гистограмму внизу карты для просмотра исторических данных.
  • Выберите страну для просмотра активности DDoS в этой стране или из нее.
  • Используйте параметр цвета для просмотра атак по классам, продолжительности или портам источника / назначения.
  • Используйте раздел новостей, чтобы найти в Интернете отчеты об атаках за определенное время.
  • Просмотрите галерею, чтобы изучить некоторые примеры дней с заметными DDoS-атаками.

Типы атак

DDoS-атак бывают разных форм, от Smurfs до Teardrops и Ping of Death. Ниже приведены подробности о типах атак и методах усиления, найденных на карте:

Класс атаки : четыре общие категории атак

Атаки TCP-соединения Занимающие соединения

Они пытаются использовать все доступные подключения к устройствам инфраструктуры, таким как балансировщики нагрузки, межсетевые экраны и серверы приложений.Эти атаки могут вывести из строя даже устройства, способные поддерживать состояние миллионов подключений. Учить больше…

Объемные атаки Использование полосы пропускания

Они пытаются использовать полосу пропускания либо в целевой сети / службе, либо между целевой сетью / службой и остальной частью Интернета. Эти атаки просто вызывают скопление. Учить больше…

Фрагментационные атаки Кусочки пакетов

Они отправляют поток фрагментов TCP или UDP жертве, подавляя способность жертвы повторно собирать потоки и серьезно снижая производительность.Учить больше…

Атаки на приложения Нацеленные на приложения

Они пытаются подавить определенный аспект приложения или службы и могут быть эффективными даже при очень небольшом количестве атакующих машин, генерирующих низкую скорость трафика (что затрудняет их обнаружение и смягчение). Учить больше…

Усиление : Атаки двумя способами могут увеличить трафик, который они могут отправить.

Отражение DNS Маленький запрос, большой ответ.

Подделав IP-адрес жертвы, злоумышленник может отправить небольшие запросы на DNS-сервер и попросить его отправить жертве большой ответ. Это позволяет злоумышленнику усиливать каждый запрос от его ботнета в 70 раз, что значительно упрощает поражение цели. Учить больше…

Chargen Reflection Устойчивые потоки текста

Большинство компьютеров и принтеров, подключенных к Интернету, поддерживают устаревшую службу тестирования под названием Chargen, которая позволяет кому-либо попросить устройство ответить потоком случайных символов.Chargen можно использовать как средство для усиления атак, аналогичных DNS-атакам, описанным выше. Узнать больше …

Что означает DDoS? | Объяснение распределенного отказа в обслуживании

Значение DDoS: Что такое DDoS?

Распределенные атаки типа «отказ в обслуживании» (DDoS) являются подклассом атак типа «отказ в обслуживании» (DoS). DDoS-атака включает в себя несколько подключенных онлайн-устройств, известных под общим названием ботнет, которые используются для перегрузки целевого веб-сайта поддельным трафиком.

В отличие от других видов кибератак, DDoS-атаки не пытаются нарушить периметр вашей безопасности. Скорее, DDoS-атака направлена ​​на то, чтобы сделать ваш веб-сайт и серверы недоступными для законных пользователей. DDoS также может использоваться как дымовая завеса для других злонамеренных действий и для отключения устройств безопасности, нарушая периметр безопасности цели.

Успешная распределенная атака типа «отказ в обслуживании» — это очень заметное событие, затрагивающее всю базу онлайн-пользователей. Это делает его популярным оружием хактивистов, кибервандалов, вымогателей и всех, кто хочет заявить о себе или отстоять дело.

DDoS-атаки могут происходить короткими сериями или повторяться, но в любом случае воздействие на веб-сайт или бизнес может длиться дни, недели и даже месяцы, пока организация пытается восстановиться. Это может сделать DDoS чрезвычайно разрушительным для любой онлайн-организации. Среди прочего, DDoS-атаки могут привести к потере доходов, подорвать доверие потребителей, вынудить компании тратить целые состояния на компенсации и нанести долгосрочный ущерб репутации.

DoS против DDoS

Различия между регулярными и распределенными атаками отказа в обслуживании существенны.В DoS-атаке злоумышленник использует одно подключение к Интернету, чтобы либо воспользоваться уязвимостью программного обеспечения, либо заполнить цель поддельными запросами — обычно в попытке исчерпать ресурсы сервера (например, RAM и CPU).

С другой стороны, распределенные атаки типа «отказ в обслуживании» (DDoS) запускаются с нескольких подключенных устройств, распределенных по Интернету. Эти заграждения с участием нескольких человек и нескольких устройств, как правило, труднее отклонить, в основном из-за огромного количества задействованных устройств.В отличие от DoS-атак с одним источником, DDoS-атаки, как правило, нацелены на сетевую инфраструктуру в попытке перенасыщать ее огромными объемами трафика.

DDoS-атаки также различаются по способу проведения. Вообще говоря, атаки типа «отказ в обслуживании» запускаются с использованием самодельных скриптов или инструментов DoS (например, Low Orbit Ion Canon), в то время как DDoS-атаки запускаются из ботнетов — больших кластеров подключенных устройств (например, мобильных телефонов, ПК или маршрутизаторов), зараженных вредоносным ПО, которое позволяет злоумышленнику удаленно управлять.

×

DDoS-ботнеты: проведение масштабных атак

Ботнет — это набор захваченных подключенных устройств, используемых для кибератак, которые управляются удаленно из Центра управления и контроля (C&C). Обычно к ним относятся персональные компьютеры, мобильные телефоны, незащищенные устройства Интернета вещей и даже ресурсы из общедоступных облачных сервисов.Злоумышленники используют вредоносное ПО и другие методы для взлома устройства, превращая его в «зомби» в ботнете злоумышленника.

Ботнеты

позволяют злоумышленникам проводить DDoS-атаки, используя мощность многих машин и скрывая источник трафика. Поскольку трафик распределяется, инструментам безопасности и командам сложно обнаружить, что происходит DDoS-атака, пока не станет слишком поздно.

Чтобы узнать больше о крупномасштабной DDoS-инфраструктуре, см. Нашу статью о DDoS-ботнетах .

Типы DDoS-атак

DoS-атаки можно разделить на две основные категории — атаки на уровне приложений и атаки на сетевом уровне. Каждый из этих типов DDoS-атак определяет определенные параметры и поведение, используемые во время атаки, а также цель атаки.

  1. Атаки прикладного уровня (также известные как атаки уровня 7) могут быть либо DoS-, либо DDoS-угрозами, которые стремятся перегрузить сервер, отправляя большое количество запросов, требующих ресурсоемкой обработки и обработки.Среди других векторов атак в эту категорию входят HTTP-флуды, медленные атаки (например, Slowloris или RUDY) и атаки DNS-запросов.

Игровой веб-сайт подвергся массовому наводнению DNS, пиковая скорость которого превысила 25 миллионов пакетов в секунду

Размер атак на уровне приложений обычно измеряется в запросах в секунду (RPS), при этом для выхода из строя большинства веб-сайтов среднего размера требуется не более 50–100 RPS.

  1. Атаки сетевого уровня (также известные как атаки уровней 3–4) почти всегда представляют собой атаки DDoS, настроенные для засорения «конвейеров», соединяющих вашу сеть.К векторам атак в этой категории относятся UDP-флуд, SYN-флуд, атаки с усилением NTP и DNS и многое другое.

Любой из них может быть использован для предотвращения доступа к вашим серверам, а также может привести к серьезным операционным повреждениям, таким как приостановка учетной записи и огромные платежи за превышение лимита.

DDoS-атаки почти всегда представляют собой события с высоким трафиком, обычно измеряемым в гигабитах в секунду (Гбит / с) или пакетах в секунду (PPS). Наибольшие атаки на сетевом уровне могут превышать сотни Гбит / с; тем не менее, от 20 до 40 Гбит / с достаточно для полного отключения большинства сетевых инфраструктур.

Причины DDoSing: Мотивация злоумышленников

«DDoSsing» описывает акт проведения DDoS-атаки. Атаки отказа в обслуживании инициируются отдельными лицами, предприятиями и даже национальными государствами, у каждого из которых есть собственная мотивация.

Хактивизм

Хактивисты используют DoS-атаки как средство, чтобы выразить свою критику всего, со стороны правительств и политиков, включая «большой бизнес», и текущих событий. Если хактивисты не согласны с вами, ваш сайт упадет (a.к.а., «танго даун»).

Менее технически подкованные, чем другие типы злоумышленников, хактивисты, как правило, используют готовые инструменты для атак на свои цели. Anonymous, пожалуй, одна из самых известных групп хактивистов. Они несут ответственность за кибератаку на ИГИЛ в феврале 2015 года после террористической атаки последнего на парижский офис Charlie Hebdo, а также за нападение на правительство Бразилии и спонсоров чемпионата мира в июне 2014 года.

Типичный способ атаки хактивистов: DoS и DDoS.

Кибервандализм

Кибервандалов часто называют «детишками со сценариями» — за то, что они полагаются на готовые сценарии и инструменты, чтобы причинить горе своим согражданам в Интернете. Эти вандалы часто являются скучающими подростками, которые ищут прилив адреналина или стремятся выразить свой гнев или разочарование против учреждения (например, школы) или человека, который, по их мнению, обидел их. Некоторые, конечно, просто ищут внимания и уважения своих сверстников.

Помимо готовых инструментов и скриптов, кибервандалы также будут использовать сервисы DDoS-for-найма (a.k.a., бустеры или стрессеры), которые можно приобрести в Интернете всего за 19 долларов за штуку.

Вымогательство

Все более популярным мотивом для DDoS-атак является вымогательство, то есть киберпреступник требует денег в обмен на остановку (или невыполнение) разрушительной DDoS-атаки. Несколько известных онлайн-компаний-разработчиков программного обеспечения, в том числе MeetUp, Bitly, Vimeo и Basecamp, стали получать эти сообщения о DDoS-атаках, некоторые из них отключились после того, как отказались поддаться угрозам вымогателей.

Подобно кибервандализму, этот тип атаки возможен благодаря наличию служб stresser и booter.

Типичный способ нападения вымогателей: DDoS.

Деловая конкуренция

DDoS-атаки все чаще используются как конкурентный бизнес-инструмент. Некоторые из этих атак предназначены для того, чтобы удержать конкурента от участия в значительном мероприятии (например, в Киберпонедельник), в то время как другие проводятся с целью полного закрытия онлайн-бизнеса на несколько месяцев.

Так или иначе, идея состоит в том, чтобы вызвать сбой, который побудит ваших клиентов устремиться к конкурентам, а также нанесет финансовый и репутационный ущерб. Средняя стоимость DDoS-атаки для организации может составлять 40 000 долларов в час.

Атаки бизнес-вражды часто хорошо финансируются и выполняются профессиональными «наемными стрелками», которые проводят раннюю разведку и используют собственные инструменты и ресурсы для противодействия чрезвычайно агрессивным и постоянным DDoS-атакам.

Типичный метод нападения, используемый бизнес-конкурентами: DDoS.

Кибервойна

DDoS-атак, спонсируемых государством, используются для того, чтобы заставить замолчать критику правительства и внутреннюю оппозицию, а также как средство нарушения критически важных финансовых, медицинских и инфраструктурных услуг во вражеских странах.

Эти атаки поддерживаются национальными государствами, то есть это хорошо финансируемые и организованные кампании, которые выполняются технически подкованными профессионалами.

Типичный метод нападения, используемый в кибервойне: DDoS.

Личное соперничество

DoS-атаки могут использоваться для сведения личных счетов или срыва онлайн-соревнований.Такие атаки часто происходят в контексте многопользовательских онлайн-игр, когда игроки запускают DDoS-атаки друг против друга и даже против игровых серверов, чтобы получить преимущество или избежать неминуемого поражения, «перевернув стол».

Атаки на игроков часто представляют собой DoS-атаки, выполняемые с помощью широко доступного вредоносного ПО. И наоборот, атаки на игровые серверы, скорее всего, будут DDoS-атаками, инициированными стрессерами и бустерами.

Типичный способ атаки личных соперников: DoS, DDoS.

DDoS наем: DDoSsers, бустеры и стрессеры

DDoS для найма провайдеры предлагают выполнять DDoS-атаки от имени других за плату. Эти субъекты угроз известны под разными именами, включая DDoSser, загрузчики и stressers. Широкая доступность DDoS-атак по найму позволяет практически каждому проводить крупномасштабные атаки.

Одна из причин, по которой актеры могут носить определенное имя, — это выступать в качестве юридической службы. Например, специалисты по стрессам обычно заявляют, что предлагают услуги по стресс-тестированию отказоустойчивости серверов.Однако эти субъекты часто не проверяют владельца сервера, который они «тестируют», чтобы убедиться, что тесты являются законными.

Напротив, субъекты, называющие себя инициаторами атак и DDoS-атаками, обычно не пытаются скрыть незаконный характер своих услуг.

Пример рекламируемых цен и мощности бустера

Как остановить DDoS-атаки: DIY

Невозможно предотвратить DoS-атаки. Киберпреступники собираются атаковать. Некоторые собираются поразить свои цели, независимо от существующей защиты.Однако есть несколько профилактических мер, которые вы можете предпринять самостоятельно:

  • Мониторинг вашего трафика на предмет аномалий, включая необъяснимые всплески трафика и посещения с подозрительного IP-адреса и геолокации. Все это может быть признаком того, что злоумышленники проводят «пробные запуски», чтобы проверить вашу защиту, прежде чем совершить полноценную атаку. Признание их такими, какие они есть, может помочь вам подготовиться к последующему натиску.
  • Следите за социальными сетями (особенно Twitter) и общественными мусорными баками (напр.g., Pastebin.com) для угроз, разговоров и хвастовства, которые могут намекать на входящую атаку.
  • Рассмотрите возможность использования стороннего DDoS-тестирования (т. Е. Тестирования на проникновение) для имитации атаки на вашу ИТ-инфраструктуру, чтобы вы могли быть готовы, когда наступит момент истины. Когда вы предпримете это, протестируйте против широкого спектра атак, а не только от тех, с которыми вы знакомы.
  • Создайте план реагирования и группу быстрого реагирования, то есть определенную группу людей, чья работа заключается в минимизации последствий нападения.При планировании внедрите процедуры для групп поддержки клиентов и коммуникаций, а не только для ИТ-специалистов.

Чтобы по-настоящему защититься от современных DDoS-атак, вам следует использовать решение для предотвращения DDoS-атак. Решения могут быть развернуты локально, но чаще они предоставляются как услуга сторонними поставщиками. В следующем разделе мы расскажем больше о службах защиты от DDoS-атак.

Чтобы узнать больше о подходах к защите от DDoS-атак, сделанных своими руками, локальными и облачными службами, см. Нашу статью , как остановить DDoS-атаки .

Защита от DDoS-атак: как работает защита от DDoS-атак?

Первый шаг в выборе решения для защиты от DDoS-атак — оценка вашего риска. Важные основные вопросы включают:

  • Какие активы инфраструктуры нуждаются в защите?
  • Каковы слабые места или единственные точки отказа?
  • Что требуется для их снятия?
  • Как и когда вы узнаете, что на вас напали? Будет уже слишком поздно?
  • Каковы последствия (финансовые и иные) продолжительного отключения электроэнергии?

Вооружившись этой информацией, пора расставить приоритеты для ваших проблем, изучив различные варианты предотвращения DDoS-атак в рамках вашего бюджета безопасности.

Если у вас есть коммерческий веб-сайт или онлайн-приложения (например, приложения SaaS, онлайн-банкинг, электронная коммерция), вам, вероятно, понадобится постоянная круглосуточная защита. С другой стороны, крупная юридическая фирма может быть больше заинтересована в защите своей инфраструктуры, включая почтовые серверы, FTP-серверы и платформы бэк-офиса, чем ее веб-сайт. Этот тип бизнеса может выбрать решение «по запросу».

Второй шаг — выбрать метод развертывания. Наиболее распространенный и эффективный способ развертывания защиты от DDoS-атак по запросу для служб базовой инфраструктуры во всей подсети — это маршрутизация по протоколу пограничного шлюза (BGP).Однако это будет работать только по запросу, и вам потребуется вручную активировать решение безопасности в случае атаки.

Следовательно, если вам нужна постоянная защита от DDoS-атак для вашего веб-приложения, вам следует использовать перенаправление DNS для перенаправления всего трафика веб-сайта (HTTP / HTTPS) через сеть вашего поставщика защиты от DDoS-атак (обычно интегрированную с сетью доставки контента, ). Преимущество этого решения заключается в том, что большинство CDN предлагают масштабируемость по вызову для поглощения объемных атак, в то же время минимизируя задержку и ускоряя доставку контента.

Снижение риска атак на сетевом уровне

Для борьбы с атаками на сетевом уровне требуется дополнительная масштабируемость — сверх того, что может предложить ваша собственная сеть.

Следовательно, в случае нападения делается объявление BGP, чтобы гарантировать, что весь входящий трафик маршрутизируется через набор центров очистки. Каждый из них способен обрабатывать сотни Гбит / с трафика. Затем мощные серверы, расположенные в центрах очистки, будут отфильтровывать вредоносные пакеты, перенаправляя только чистый трафик на исходный сервер через туннель GRE.

Этот метод смягчения последствий обеспечивает защиту от атак, направленных напрямую на IP, и обычно совместим со всеми типами инфраструктуры и протоколами связи (например, UDP, SMTP, FTP, VoIP).

Защита от атаки с усилением NTP: 180 Гбит / с и 50 миллионов пакетов в секунду

Смягчение атак на уровне приложений

Смягчение атак на уровне приложений основано на решениях для профилирования трафика, которые могут масштабироваться по запросу, а также могут различать злонамеренных ботов и законных посетителей веб-сайтов.

Для профилирования трафика передовой опыт требует эвристики на основе сигнатур и поведения в сочетании с оценкой репутации IP и прогрессивным использованием проблем безопасности (например, JS и cookie).

Устранение последствий восьмидневного HTTP-флуда: 690 миллионов DDoS-запросов с 180 000 IP-адресов ботнетов

Вместе они точно фильтруют вредоносный трафик ботов, защищая от атак на уровне приложений без какого-либо ущерба для ваших законных посетителей.

Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.

Защита от DDoS-атак с помощью Imperva

Imperva предлагает решение для защиты от DDoS-атак, которое быстро нейтрализует крупномасштабные DDoS-атаки, не прерывая обслуживания законных пользователей. Imperva обеспечивает защиту веб-сайтов и веб-приложений, сетей и подсетей, серверов доменных имен (DNS) и отдельных IP-адресов.

Imperva обнаруживает и смягчает любые типы DDoS-атак, включая TCP SYN + ACK, TCP Fragment, UDP, Slowloris, Spoofing, ICMP, IGMP, HTTP Flood, Brute Force, Connection Flood, DNS Flood, NXDomain, Ping of Death, Smurf, Отражено ICMP & UDP.

Защита от DDoS-атак Imperva обеспечивает:

  • Поддержка Anycast и Unicast , что позволяет автоматически обнаруживать атаки и уязвимости и реагировать на них.
  • Гарантия на основе SLA, что атаки блокируются за три секунды или меньше, что предотвращает простои и сокращает время восстановления.
  • Сеть с высокой пропускной способностью , способная анализировать более 65 миллиардов пакетов в секунду.
  • Панели мониторинга в реальном времени , позволяющие видеть текущий статус, определять DDoS-атаки и понимать параметры атаки.

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика | Блоги McAfee Что такое DDoS-атака и как она работает?

Что такое DDoS-атака и как обезопасить себя от схем вредоносного трафика

Представьте, что вы едете по шоссе, чтобы добраться до работы. На дороге есть и другие машины, но в целом все движутся плавно, с четким, законным ограничением скорости. Затем, когда вы приближаетесь к въездной рампе, к вам присоединяются другие машины.А потом еще, и еще, и еще, пока внезапно трафик не замедлился до ползания. Это иллюстрирует DDoS-атаку.

DDoS означает «распределенный отказ в обслуживании», и это метод, при котором киберпреступники наводняют сеть таким количеством вредоносного трафика, что она не может работать или общаться, как обычно. Это приводит к остановке обычного трафика сайта, также известного как законные пакеты. DDoS — это простой, эффективный и мощный метод, который основан на небезопасных устройствах и плохих цифровых привычках.К счастью, с помощью нескольких простых настроек ваших повседневных привычек вы можете защитить свои личные устройства от DDoS-атак.

Количество DDoS-атак растет

Расширение 5G, распространение Интернета вещей и интеллектуальных устройств, а также переход большего числа отраслей, переводящих свои операции в онлайн, открыли новые возможности для DDoS-атак. Киберпреступники пользуются этим, и в 2020 году были зафиксированы два самых крупных DDoS-нападения за всю историю. В 2020 году были запущены амбициозные атаки на Amazon и Google.Для киберпреступников нет слишком большой цели.

DDoS-атаки

являются одной из наиболее проблемных областей в сфере кибербезопасности, потому что их невероятно сложно предотвратить и смягчить. Предотвратить эти атаки особенно сложно, потому что вредоносный трафик исходит не из одного источника. По оценкам, 12,5 миллионов устройств уязвимы для использования злоумышленником DDoS.

Персональные устройства становятся бойцами DDoS-атак

Атаки

DDoS довольно просты в создании.Все, что нужно, — это два устройства, которые координируют свои действия для отправки поддельного трафика на сервер или веб-сайт. Вот и все. Например, ваш ноутбук и ваш телефон могут быть запрограммированы на формирование собственной сети DDoS (иногда называемой ботнетом, подробнее ниже). Однако даже если два устройства направят всю свою вычислительную мощность на атаку, этого все равно недостаточно для отключения веб-сайта или сервера. Сотни и тысячи скоординированных устройств необходимы, чтобы остановить целого поставщика услуг.

Чтобы создать сеть такого размера, киберпреступники создают так называемый «ботнет» — сеть скомпрометированных устройств, которые координируются для выполнения конкретной задачи.Ботнеты не всегда должны использоваться в DDoS-атаках, и при DDoS-атаках не обязательно иметь ботнет для работы, но чаще всего они работают вместе, как Бонни и Клайд. Киберпреступники создают бот-сети довольно типичными способами: заставляя людей скачивать вредоносные файлы и распространять вредоносное ПО.

Но вредоносное ПО — не единственное средство вербовки устройств. Поскольку многие компании и потребители используют неверные пароли, злоумышленники могут сканировать Интернет в поисках подключенных устройств с известными заводскими учетными данными или легко угадываемыми паролями (например, «паролем»).После входа в систему киберпреступники могут легко заразить устройство и завербовать его в свою кибер-армию.

Почему запуск DDoS-атак часто бывает успешным

Эти завербованные кибер-армии могут бездействовать, пока им не будет отдан приказ. Здесь в игру вступает специализированный сервер, называемый сервером управления и контроля (обычно сокращенно «C2»). Получив указание, киберпреступники приказывают серверу C2 выдавать инструкции скомпрометированным устройствам. Затем эти устройства будут использовать часть своей вычислительной мощности для отправки поддельного трафика на целевой сервер или веб-сайт и, , вуаля, ! Так запускается DDoS-атака.

DDoS-атаки обычно успешны из-за их распределенного характера и сложности различения между законными пользователями и поддельным трафиком. Однако они не являются нарушением. Это связано с тем, что DDoS-атаки подавляют цель, чтобы вывести ее из строя, а не украсть у нее. Обычно DDoS-атаки используются в качестве ответных мер против компании или службы, часто по политическим причинам. Однако иногда киберпреступники используют DDoS-атаки в качестве дымовой завесы для более серьезных компромиссов, которые в конечном итоге могут привести к полномасштабному взлому.

3 способа предотвратить использование ваших устройств

DDoS-атаки возможны только потому, что устройства могут быть легко взломаны. Вот три способа предотвратить участие ваших устройств в DDoS-атаке:

  1. Защитите свой маршрутизатор: Маршрутизатор Wi-Fi является шлюзом в вашу сеть. Защитите его, изменив пароль по умолчанию. Если вы уже выбросили инструкции для своего маршрутизатора и не знаете, как это сделать, обратитесь к Интернету, чтобы узнать, как это сделать для вашей конкретной марки и модели, или позвоните производителю.И помните, что защита может запускаться и внутри вашего маршрутизатора. Такие решения, как McAfee Secure Home Platform, встроенная в отдельные маршрутизаторы, помогают легко управлять сетью и защищать ее.
  2. Изменить пароли по умолчанию на устройствах IoT: Многие устройства Интернета вещей (IoT), интеллектуальные объекты, которые подключаются к Интернету для повышения функциональности и эффективности, поставляются с именами пользователей и паролями по умолчанию. Первое, что вам следует сделать после извлечения своего IoT-устройства из коробки, — это изменить эти учетные данные по умолчанию.Если вы не знаете, как изменить настройку по умолчанию на своем IoT-устройстве, обратитесь к инструкциям по настройке или поищите в Интернете.
  3. Использовать комплексную безопасность: Многие бот-сети координируются на устройствах без какой-либо встроенной защиты. Комплексные решения безопасности, такие как McAfee Total Protection , могут помочь защитить ваши самые важные цифровые устройства от известных вариантов вредоносного ПО. Если у вас нет пакета безопасности, защищающего ваши устройства, найдите время, чтобы провести исследование и выбрать решение, которому вы доверяете.

Теперь, когда вы знаете, что такое DDoS-атака и как от нее защититься, вы лучше подготовлены, чтобы хранить свои личные устройства в безопасности.

Что такое DDoS-атака? Объяснение распределенных атак типа «отказ в обслуживании»

Что такое DDoS-атака?

При распределенной атаке типа «отказ в обслуживании» (DDoS) несколько скомпрометированных компьютерных систем атакуют цель и вызывают отказ в обслуживании для пользователей целевого ресурса. Целью может быть сервер, веб-сайт или другой сетевой ресурс.Поток входящих сообщений, запросов на соединение или искаженных пакетов в целевую систему заставляет ее замедляться или даже аварийно завершаться, тем самым отказывая в обслуживании законным пользователям или системам.

Многие типы злоумышленников, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений, проводят DDoS-атаки. В определенных ситуациях — часто связанных с плохим кодированием, отсутствующими исправлениями или нестабильными системами — даже законные, несогласованные запросы к целевым системам могут выглядеть как DDoS-атака, если это просто случайные потери производительности системы.

Как работают DDoS-атаки?

В типичной DDoS-атаке злоумышленник использует уязвимость в одной компьютерной системе, делая ее мастером DDoS. Мастер-система атаки идентифицирует другие уязвимые системы и получает контроль над ними, заражая их вредоносным ПО или обходя средства аутентификации с помощью таких методов, как угадывание пароля по умолчанию в широко используемой системе или устройстве.

Компьютер или сетевое устройство, находящееся под контролем злоумышленника, называется зомби или ботом .Злоумышленник создает так называемый командно-управляющий сервер для управления сетью ботов, также называемый ботнетом . Лицо, контролирующее ботнет, называется ботмастером . Этот термин также использовался для обозначения первой системы, задействованной в ботнете, поскольку он используется для контроля распространения и активности других систем в ботнете.

Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными.Их размер может не иметь верхнего предела. После сборки ботнета злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, для наводнения целевого домена и отключения его.

Целью DDoS-атаки не всегда является единственная жертва, поскольку DDoS-атаки затрагивают многие устройства. Устройства, используемые для маршрутизации вредоносного трафика к цели, также могут страдать от снижения качества обслуживания, даже если они не являются основной целью.

Ботнеты являются ключевым инструментом в DDoS-атаках на основе Интернета вещей, но они также могут использоваться для других злонамеренных действий.

Типы DDoS-атак

Существует три основных типа DDoS-атак:

  1. Сетецентрические или объемные атаки. Они перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Примером этого типа атаки является атака с усилением системы доменных имен, которая делает запросы к DNS-серверу, используя адрес Интернет-протокола (IP) цели. Затем сервер заваливает цель ответами.
  2. Протокол атаки. Эти целевые протоколы сетевого или транспортного уровня используют недостатки в протоколах для перегрузки целевых ресурсов. Например, атака SYN-лавинной рассылки отправляет на целевые IP-адреса большой объем пакетов «запроса начального соединения» с использованием поддельных исходных IP-адресов. Это затягивает рукопожатие протокола управления передачей, которое никогда не может завершиться из-за постоянного притока запросов.
  3. Уровень приложения . Здесь службы приложений или базы данных перегружаются из-за большого количества вызовов приложений.Избыток пакетов вызывает отказ в обслуживании. Одним из примеров этого является флуд-атака по протоколу передачи гипертекста (HTTP), которая эквивалентна многократному одновременному обновлению множества веб-страниц.

Интернет вещей и DDoS-атаки

Устройства, составляющие Интернет вещей (IoT), могут быть полезны законным пользователям, но в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства со встроенными вычислительными и сетевыми возможностями, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.

Устройства, подключенные к Интернету вещей, открывают большие поверхности для атак и часто уделяют минимальное внимание передовым методам безопасности. Например, устройства часто поставляются с жестко запрограммированными учетными данными для проверки подлинности для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения, что еще больше подвергает их атакам с использованием хорошо известных уязвимостей.

Ботнеты Интернета вещей все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn; объем атак составил более 600 гигабит в секунду. Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика со скоростью более 1 терабит в секунду. Многие ботнеты Интернета вещей, начиная с Mirai, используют элементы своего кода. Ботнет dark_nexus IoT — один из примеров.

Выявление DDoS-атак

DDoS-атаки по сути вызывают проблемы с доступностью.Проблемы с доступностью и обслуживанием — нормальное явление в сети. Важно уметь различать эти стандартные операционные проблемы и DDoS-атаки.

Иногда DDoS-атака может показаться обыденной, поэтому важно знать, на что обращать внимание. Подробный анализ трафика необходим, чтобы сначала определить, имеет ли место атака, а затем определить метод атаки.

Примеры поведения сети и сервера, которые могут указывать на DDoS-атаку, перечислены ниже.Одно из этих поведений или их сочетание должно вызывать беспокойство:

  • Один или несколько определенных IP-адресов отправляют много последовательных запросов в течение короткого периода.
  • Всплеск трафика исходит от пользователей со схожими поведенческими характеристиками. Например, если большой трафик исходит от пользователей схожих устройств, одного географического местоположения или одного и того же браузера.
  • Время ожидания сервера при попытке протестировать его с помощью службы проверки связи.
  • Сервер отвечает сообщением об ошибке 503 HTTP, что означает, что сервер либо перегружен, либо отключен для обслуживания.
  • Журналы показывают сильный и постоянный скачок пропускной способности. Пропускная способность должна оставаться даже для нормально работающего сервера.
  • Журналы показывают скачки трафика в необычное время или в обычной последовательности.
  • Журналы показывают необычно большие всплески трафика на одну конечную точку или веб-страницу.

Эти поведения также могут помочь определить тип атаки. Если они находятся на уровне протокола или сети — например, ошибка 503 — это, скорее всего, атака на основе протокола или сетевая атака.Если поведение проявляется как трафик к приложению или веб-странице, это может быть более признаком атаки на уровне приложения.

В большинстве случаев человек не может отследить все переменные, необходимые для определения типа атаки, поэтому необходимо использовать инструменты анализа сети и приложений для автоматизации процесса.

Признаки распределенной атаки отказа в обслуживании аналогичны признакам атаки отказа в обслуживании.

Защита и предотвращение DDoS

DDoS-атаки могут создавать серьезные бизнес-риски с долгосрочными последствиями.Поэтому важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.

Когда они начнутся, остановить эти атаки практически невозможно. Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации. Сюда входит выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с DoS, и использование средств контроля сетевой безопасности, включая услуги от поставщиков облачных услуг, специализирующихся на реагировании на DDoS-атаки.

Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки через Интернет.

Примеры DDoS-атак

Помимо DDoS-атак на основе Интернета вещей, упомянутых ранее, к другим недавним DDoS-атакам относятся следующие:

Хотя DDoS-атаки относительно дешевы и просты в реализации, они сильно различаются по сложности и могут серьезно повлиять на предприятия или организации, на которые они направлены.Узнайте, как предприятия могут предотвратить эти атаки , купив услугу у интернет-провайдера, используя сеть доставки контента и развернув внутреннюю систему предотвращения вторжений.

Что такое атака отказа в обслуживании (DoS)?

Атака типа «отказ в обслуживании» (DoS) — это атака, предназначенная для выключения машины или сети, что делает ее недоступной для предполагаемых пользователей. DoS-атаки достигают этого, наводняя цель трафиком или отправляя ей информацию, которая вызывает сбой.В обоих случаях DoS-атака лишает законных пользователей (то есть сотрудников, участников или владельцев учетных записей) службы или ресурса, на которые они рассчитывали.

Жертвы DoS-атак часто нацелены на веб-серверы крупных организаций, таких как банковские, коммерческие и медиа-компании, а также правительственные и торговые организации. Хотя DoS-атаки обычно не приводят к краже или потере важной информации или других активов, они могут стоить жертве много времени и денег.

Существует два основных метода DoS-атак: сервисы лавинной рассылки или аварийные сервисы. Атаки Flood происходят, когда система получает слишком много трафика для буферизации сервера, что приводит к их замедлению и, в конечном итоге, к остановке. Популярные атаки наводнения включают:

  • Атаки переполнения буфера — наиболее распространенная DoS-атака. Идея состоит в том, чтобы отправить на сетевой адрес больше трафика, чем программисты создали систему для обработки. Он включает в себя атаки, перечисленные ниже, в дополнение к другим, которые предназначены для использования ошибок, характерных для определенных приложений или сетей.
  • ICMP Flood — использует неправильно настроенные сетевые устройства, отправляя поддельные пакеты, которые проверяют каждый компьютер в целевой сети, а не только один конкретный компьютер.Затем сеть запускается для увеличения трафика. Эта атака также известна как атака смурфа или звук смерти.
  • SYN flood — отправляет запрос на подключение к серверу, но никогда не завершает рукопожатие. Продолжается до тех пор, пока все открытые порты не будут заполнены запросами и ни один из них не станет доступным для подключения законным пользователям.

Другие DoS-атаки просто используют уязвимости, которые вызывают сбой целевой системы или службы. В этих атаках отправляются входные данные, которые используют ошибки в цели, которые впоследствии приводят к сбою или серьезной дестабилизации системы, так что к ней нельзя получить доступ или использовать.

Дополнительным типом DoS-атаки является распределенная атака типа «отказ в обслуживании» (DDoS). DDoS-атака происходит, когда несколько систем организуют синхронизированную DoS-атаку на одну цель. Существенное отличие состоит в том, что вместо того, чтобы быть атакованным из одного места, цель атакуют сразу из многих мест. Распределение хостов, определяющее DDoS-атаку, дает злоумышленнику несколько преимуществ:

  • Он может использовать больший объем машины для проведения серьезной разрушительной атаки
  • Место атаки трудно определить из-за случайного распределения атакующих систем (часто по всему миру)
  • Сложнее выключить несколько машин, чем одну
  • Настоящую атакующую сторону очень сложно идентифицировать, так как они замаскированы за многими (в основном скомпрометированными) системами

Современные технологии безопасности разработали механизмы для защиты от большинства форм DoS-атак, но из-за уникальных характеристик DDoS-атак он по-прежнему рассматривается как повышенная угроза и вызывает большую озабоченность у организаций, которые опасаются подвергнуться такой атаке.

Что такое DDOS-атака и как защитить ваш сайт от нее

Уменьшить площадь атаки

Одним из первых методов смягчения DDoS-атак является минимизация площади поверхности, которая может быть атакована, тем самым ограничивая возможности злоумышленников и позволяя создавать защиту в одном месте. Мы хотим убедиться, что мы не открываем наше приложение или ресурсы для портов, протоколов или приложений, откуда они не ожидают никакой связи.Таким образом, сводя к минимуму возможные точки атаки и позволяя нам сконцентрировать наши усилия по смягчению последствий. В некоторых случаях это можно сделать, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик определенными частями вашей инфраструктуры, например серверами баз данных. В других случаях вы можете использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик достигает ваших приложений.

Масштаб

Двумя ключевыми факторами предотвращения крупномасштабных объемных DDoS-атак являются пропускная способность (или транзит) и емкость сервера для поглощения и смягчения атак.

Транзитная пропускная способность. При разработке архитектуры приложений убедитесь, что ваш хостинг-провайдер предоставляет достаточные резервные возможности подключения к Интернету, которые позволяют обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак — повлиять на доступность ваших ресурсов / приложений, вы должны размещать их не только рядом с вашими конечными пользователями, но и на крупных интернет-биржах, которые предоставят вашим пользователям легкий доступ к вашему приложению даже при больших объемах. трафика.Кроме того, веб-приложения могут пойти еще дальше, используя сети распространения контента (CDN) и интеллектуальные службы разрешения DNS, которые обеспечивают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые часто находятся ближе к вашим конечным пользователям.

Вместимость сервера. Большинство DDoS-атак являются объемными атаками, которые потребляют много ресурсов; поэтому важно, чтобы вы могли быстро увеличивать или уменьшать свои вычислительные ресурсы.Вы можете сделать это, запустив вычислительные ресурсы большего размера или ресурсы с такими функциями, как расширенные сетевые интерфейсы или улучшенная сеть, поддерживающая большие объемы. Кроме того, также часто используются балансировщики нагрузки для постоянного мониторинга и переключения нагрузок между ресурсами, чтобы предотвратить перегрузку какого-либо одного ресурса.

Знайте, что такое нормальный и ненормальный трафик

Всякий раз, когда мы обнаруживаем повышенный уровень трафика, попадающего на хост, основная цель — иметь возможность принимать только столько трафика, сколько наш хост может обработать, не влияя на доступность.Эта концепция называется ограничением скорости. Более продвинутые методы защиты могут пойти еще дальше и разумно принимать только законный трафик, анализируя сами отдельные пакеты. Для этого вам необходимо понимать характеристики хорошего трафика, который обычно получает цель, и уметь сравнивать каждый пакет с этим базовым показателем.

Развертывание межсетевых экранов для атак на сложные приложения

Хорошей практикой является использование брандмауэра веб-приложений (WAF) против атак, таких как внедрение SQL или подделка межсайтовых запросов, которые пытаются использовать уязвимость в самом приложении.Кроме того, из-за уникального характера этих атак вы должны иметь возможность легко создавать индивидуальные меры защиты от незаконных запросов, которые могут иметь такие характеристики, как маскировка под хороший трафик или исходящие с плохих IP-адресов, неожиданного географического расположения и т. Д. Иногда это также может быть полезно в предотвращении атак, поскольку они получают опытную поддержку для изучения шаблонов трафика и создания индивидуальных средств защиты.

DDoS | Что такое DDoS-атака?

Значение DDoS: что такое DDos?

DDoS означает распределенный отказ в обслуживании.Этот тип атаки включает отправку большого количества трафика из нескольких источников на службу или веб-сайт с намерением перегрузить его. Огромный приток трафика сразу может заблокировать все ресурсы сайта и тем самым лишить доступа законных пользователей.

Это DDoS или распределенный отказ в обслуживании, злонамеренная сетевая атака, при которой хакеры вынуждают множество подключенных к Интернету устройств отправлять запросы сетевой связи одной конкретной службе или веб-сайту с намерением подавить их ложным трафиком или запросами.Это приводит к связыванию всех доступных ресурсов для обработки этих запросов и сбоям веб-сервера или его отвлечению настолько, что обычные пользователи не могут создать соединение между своими системами и сервером.

Веб-сайты

иногда «падают» из-за входящего потока законного трафика, например, когда выпускается долгожданный продукт, и миллионы людей сразу же заходят на сайт, пытаясь его купить. DDoS-атаки пытаются сделать то же самое.

DoS против DDoS

DoS означает отказ в обслуживании.Разница между DoS- и DDoS-атаками заключается в том, используется ли в атаке один компьютер или атака отправляется из нескольких источников. Источники могут включать традиционные компьютеры, а также подключенные к Интернету устройства, которые были задействованы как часть ботнета.

Как работают DDoS-атаки

Поскольку для DDoS-атак требуется, чтобы трафик шел из многих источников, они часто проводятся с использованием ботнетов. Это похоже на армию компьютеров-зомби, которые выполняют приказы злоумышленников. Злоумышленники используют то, что мы называем DDoSTool, для порабощения компьютеров и создания своей армии.Эта зомби-сеть ботов (ботнет) взаимодействует с командным сервером (C&C), ожидая команд от злоумышленника, который запускает ботнет. В случае DDoS-атаки десятки тысяч или даже миллионы ботов могут работать одновременно, отправляя большие объемы сетевого трафика в направлении целевого сервера. Обычно, но не всегда, исходный заражающий DDoSTool не пытается украсть данные или иным образом нанести вред хосту. Вместо этого он бездействует, пока не будет вызван для участия в DDoS-атаке.

Инструменты DDoS

Чтобы создать ботнет, злоумышленникам необходимо внедрить DDoSTool в вашу систему. С этой целью киберпреступники используют целый набор уловок, чтобы поработить ваш ПК, Mac, Android, iPhone или конечную точку компании в своем ботнете. Вот несколько распространенных способов, которыми они это делают:

  • Вложение электронной почты. В момент принятия неверного решения вы нажимаете либо вложение, либо ссылку на веб-сайт, который контролируется злоумышленником и на котором размещено вредоносное ПО, которое он отправляет вам.
  • Ваша социальная сеть или приложение для обмена сообщениями.Как и электронные письма, они могут содержать ссылки, по которым злоумышленники хотят, чтобы вы нажали снова, чтобы инициировать загрузку DDoSTool.
  • Попутные загрузки или мошенничество с кликами. Если вы просматриваете законный, хотя и зараженный, веб-сайт, вам даже не нужно ничего нажимать, чтобы вредоносная реклама загрузила вредоносное ПО ботнета. Или вы становитесь жертвой всплывающего окна, в котором отображается «срочное» сообщение, предлагающее загрузить некоторую якобы необходимую антивирусную защиту (это вредоносное ПО).

После того, как заражение DDoSTool пустит корни, ваш компьютер, по-видимому, не изменится, хотя есть некоторые характерные признаки.Ваш компьютер мог заметно замедлиться. Вы получаете случайные сообщения об ошибках или ваш вентилятор загадочно увеличивает обороты, даже когда вы находитесь в режиме ожидания. Независимо от того, проявляются ли на нем эти признаки или нет, зараженное устройство периодически проверяется на сервере управления ботнетом (C&C) до тех пор, пока киберпреступник, запускающий ботнет, не выдаст команду вашему устройству (вместе со всеми другими ботами) на подъем и атаковать конкретную цель.

Почему злоумышленники проводят DDoS-атаки?

Мотивы атак на веб-сайт или сервис различаются.Хактивисты будут использовать DDoS, чтобы сделать политическое заявление против организации или правительства. Есть преступники, которые делают это, чтобы удерживать коммерческий веб-сайт в заложниках, пока не получат выкуп. Недобросовестные конкуренты использовали DDoS для грязной игры против компаний-конкурентов. Иногда DDoS также является стратегией отвлечения администраторов веб-сайтов, позволяя злоумышленнику внедрять другие вредоносные программы, такие как рекламное ПО, шпионское ПО, программы-вымогатели или даже устаревшие вирусы.

Как предотвратить участие в ботнете?

Чтобы не стать невольным и невольным участником DDoS-атак, подпитываемых ботнетами, соблюдайте те же правила компьютерной гигиены для предотвращения всех заражений вредоносными программами: обновляйте свою операционную систему и приложения и не переходите по неизвестным ссылкам и неожиданным вложениям.

И, конечно же, постоянная кибербезопасность в режиме реального времени является неотъемлемой частью защиты от загрузок DDoSTool и всех других связанных вредоносных программ. Независимо от того, какое устройство и платформу вы используете, от Windows, Mac и Chromebook до Android, iPhone и бизнес-сред, программы кибербезопасности Malwarebytes защищают пользователей от объектов, обнаруженных как DDoSTool.

Могут ли происходить DDoS-атаки на Android?

Поскольку смартфоны в основном представляют собой портативные карманные компьютеры, в сочетании с тем фактом, что их используется около двух миллиардов, они обеспечивают обширный вектор атаки DDoS на ходу.Они обладают вычислительной мощностью, памятью и емкостью, что делает их привлекательной целью для хакеров, особенно потому, что пользователи телефонов редко защищают свои устройства защитой от вредоносных программ. Как и пользователи ПК, пользователи смартфонов так же подвержены фишингу по электронной почте и SMS.

Что касается векторов заражения, характерных для смартфонов, предположительно легальные приложения, найденные на рынке загрузок, часто становятся местом охоты для злоумышленников, которые тайно загрузили приложения с помощью вредоносного DDoSTool.Фактически, именно так в августе 2018 года была обнаружена массовая DDoS-атака на Android-устройства, когда ботнет, получивший название WireX, поразил цели в различных отраслях, включая гостиничный бизнес, азартные игры и регистраторов доменных имен. Оказалось, что до 300 вредоносных приложений для Android проникли в Google Play (который компания удалила после того, как узнала об угрозе), кооптировав устройства в ботнет более чем в 100 странах.

История DDoS

Согласно Википедии, первая демонстрация DDoS-атаки была сделана хакером Khan C.Смит в 1997 году во время мероприятия DEF CON, прервав доступ к Интернету на Лас-Вегас-Стрип более чем на час. Выпуск образца кода во время мероприятия привел к онлайн-атаке Sprint, EarthLink, E-Trade и других крупных корпораций в следующем году.

В начале 2000 года канадский хакер-подросток Майкл Кальс повысил ставки DDoS и произвел большое впечатление на бизнес-сообщество, остановив Yahoo! с помощью DDoS-атак — подвиг, который он повторил на неделе, за которым последовало нарушение работы других крупных сайтов, таких как Amazon, CNN и eBay.

Общий порог усилий, который требуется хакеру для организации DDoS-атаки, только снизился с учетом сообщений о том, что кибергруппы сдают в аренду ботнеты всего за 10 долларов в час.

Наконец, когда мы вступили в эру Интернета вещей (IoT), почти любое подключенное к Интернету устройство, такое как смартфоны, камеры видеонаблюдения, маршрутизаторы и принтеры, можно подключить к ботнету для еще большего воздействия DDoS.

Новости DDoS

Как DDoS-атаки влияют на бизнес?

Очевидно, что компания или розничный коммерческий веб-сайт должны серьезно относиться к угрозам DDoS.А в 2018 году было несколько огромных.

Как пишет эксперт по Malwarebytes Питер Арнц: «В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно, от небольшой неприятности до чего-то, что может нарушить ваш поток доходов и нанести ему непоправимый ущерб. DDoS-атака может нанести вред некоторым онлайн-предприятиям на период времени, достаточный для того, чтобы значительно их отбросить, или даже полностью вывести их из бизнеса на время атаки и некоторое время после нее. В зависимости от типа атаки могут иметь место — намеренные или непреднамеренные — побочные эффекты, которые могут еще больше навредить вашему бизнесу.”

Побочные эффекты DDoS-атаки включают:

  • Разочарованные пользователи, которые могут никогда не вернуться
  • Потеря данных
  • Упущенная выгода
  • Возмещение убытков
  • Потерянное рабочее время / производительность
  • Ущерб репутации бизнеса

«В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно, от небольшой неприятности до чего-то, что может нарушить ваш поток доходов и нанести ему непоправимый ущерб.»
Питер Арнц
Исследователь вредоносного ПО

Как остановить DDoS-атаки?

Для предприятий лучшее решение — заранее спланировать DDoS-атаки, используя либо постоянный тип защиты, либо четкие протоколы, которым ваша организация будет следовать при атаке.

Например, вместо того, чтобы отключать клиентов, онлайн-бизнес может продолжать разрешать пользователям использовать сайт как можно чаще, даже во время атаки. Ваш бизнес также может переключиться на альтернативную систему для работы.

Компании, которые уязвимы для угроз, связанных с мобильными телефонами, должны убедиться, что частные устройства, подключенные к корпоративной сети, имеют утвержденное решение мобильной безопасности для защиты от инфекций (а также средства предотвращения установки неавторизованных приложений). И ИТ-отдел должен проявлять бдительность в обнаружении и перехвате любых злонамеренных сообщений, отправляемых на серверы и серверы DDoS.

Что касается внутренней безопасности, есть несколько рекомендаций, которым вы должны следовать:

  • Не храните пароли, написанные на стикерах на столе или мониторе
  • Смена паролей на IoT-устройствах
  • Заблокируйте компьютер при выходе
  • Выход в конце дня
  • Никому не сообщайте свои учетные данные

В последнем случае, если абсолютно необходимо поделиться информацией для входа в систему, убедитесь, что она отправляется по зашифрованным каналам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *