Ддос как устроить ддос атаку на: Как сделать Ддос-атаку и сесть на семь лет

Как работает DDoS | Блог SSL.com.ua

DDoS-атаки проводят, когда хотят, чтобы сайт временно перестал работать или стал сильно тормозить. Это популярный способ парализовать работу онлайн-бизнеса: пока сайт недоступен, посетители уходят покупать к конкурентам или ждут, чтобы зайти к себе в аккаунт. В результате бизнес теряет деньги и репутацию. Разбираемся, как устроены DDoS-атаки и как от них защититься.

Что такое DDoS-атака

DDoS это частный случай DoS. Кратко введём в курс дела, если вы не знаете, что это.

DoS означает Denial of Service, по-русски — отказ в обслуживании. Это сетевая атака, в ходе которой злоумышленник пытается так сильно нагрузить сайт, чтобы он начал сильно тормозить или стал недоступен для обычных клиентов. Другими словами — атака, во время которой сайт должен «отказать в обслуживании».

А DDoS — это когда сайт атакуют не с одного устройства, а сразу с тысячи. Чем больше устройств, тем больше нагрузка на сервер и выше вероятность сделать сайт недоступным.

Участвовать в атаке могут быть любые устройства, которые подключаются к интернету и умеют отправлять запросы: смартфоны, смарт-часы, бытовая техника, хостинговые серверы.

Но найти и организовать тысячу желающих провести атаку трудно. Гораздо проще превратить компьютеры обычных людей в зомби и управлять ими издалека. Обычно это делают с помощью вирусов.

Такие вирусы не требуют ничего от пользователя и не выдают себя, поэтому владелец устройства может даже не подозревать, что участвует в атаке. Их могут встроить в программу для активации Windows, пиратскую копию игры или программы с торрентов, неофициальную прошивку для смартфона.

Как устроены атаки

Разновидностей DDoS-атак много, но условно они делятся на два типа: атаки на сетевую и программную часть сервера.

Во время атаки на сетевую часть злоумышленник пытается перегрузить канал связи сервера. Канал связи отвечает за объём данных, который сервер способен принять. Когда данных слишком много, сервер не успевает их обрабатывать и для части посетителей сайт перестаёт открываться.

Предположим, канал сервера может принять 1 Гб трафика или 10 000 пользователей одновременно. Задача злоумышленника — преодолеть этот барьер и делать это как можно дольше, чтобы реальные пользователи не могли прорваться на сайт.

Во время атаки на программную часть злоумышленник пытается исчерпать какой-то из ресурсов сервера: мощность процессора, оперативную память, допустимое количество процессов или подключений к базе данных. Когда какой-то из ресурсов заканчивается, сервер начинает тормозить или зависает.

Сервер использует какой-то из ресурсов каждый раз, когда посетитель совершает на сайте какое-то действие. Например, когда посетитель вводит детали входа в аккаунт, сервер проверяет их и отправляет в ответ следующую страницу или показывает ошибку.

Для ответа на разные запросы нужно разное количество ресурсов. Задача злоумышленника — найти запрос, на который сервер тратит максимум ресурсов, а потом закидать его им, пока тот не отключится.

Как устроить DDoS

Теоретически можно попытаться атаковать сайт в одиночку, но заставить сайт отказать в обслуживании будет сложно.

Шансы на успех будут только в случае атаки на программную часть сервера. Но для этого атакующий должен понимать, как устроен хостинг и приложения изнутри. Без этих знаний не получится найти запросы, которые требуют много ресурсов.

Атаку на сетевую часть сервера провести проще, но делать это в одиночку бессмысленно. Каналы связи большинства хостинг-провайдеров выдерживают намного больше трафика, чем способен сгенерировать один компьютер. Плюс грамотный системный администратор легко обнаружит мусорный трафик и отфильтрует его.

Более популярный вариант — заказать атаку в интернете. По запросу «заказать DDoS» Гугл показывает целую кучу сайтов, которые предлагают любые типы атак. Но стоить атака будет дорого. При этом непонятно, будет ли атака эффективной, гарантий никто не даёт.

Стоимость услуг на одном из сайтов

Зачем атакуют сайты

Недоступность сайта приносит онлайн-бизнесу убытки. Большинство людей не станет разбираться, почему сайт не открывается или загружается бесконечно. Проще закрыть его и поискать в другом интернет-магазине. Особенно в дни крупных акций вроде Чёрной пятницы, когда из-за нерасторопности можно остаться без скидки.

Атака может отразиться не только на выручке, но и на SEO. Если в момент недоступности сайта на какую-то из его страниц придёт поисковый бот, он исключит эту страницу из поисковой выдачи. Потому что поисковикам нет смысла показывать страницы, которые не работают.

Это не значит, что страница исчезнет из результатов поиска навсегда. Со временем бот вернётся на неё и проиндексирует снова, если в этот раз она будет доступна. Можно даже найти такие страницы и отправить на переиндексацию вручную, просто на это придётся потратить время. Особенно если на сайте сотни страниц.

Кроме конкурентов атаковать сайт могут вымогатели. Они связываются с владельца и требуют заплатить за прекращение атаки. Лучше, конечно, не платить, а связаться с хостинг-провайдеров и вместе с ними найти способ справиться с атакой.

Иногда случаются ситуации, когда сайт начинает тормозить или становится недоступен, хотя его не атакуют. Такое бывает, если сайт хранится на виртуальном хостинге. У пользователей такого хостинга есть общие ресурсы, поэтому если во время атаки какой-то из них полностью израсходуется, это затронет все сайты.

В таких ситуациях хостинг-провайдер может временно отключить сайт, который атакуют, чтобы не нарушать работу сайтов других клиентов.

Как защититься от DDoS-атаки

На сервере без защиты отразить грамотно спланированный DDoS будет сложно. На поиск решения нужно время, но если атака окажется достаточно мощной, сервер будет тормозить, а может и вообще зависнуть. Поэтому позаботиться о защите лучше заранее.

Защиту предоставляют специальные компании. Принцип её работы напоминает фильтр: сайт подключают к серверам провайдера защиты, после чего весь трафик сначала проходит через них, подозрительные запросы отсеиваются, а на сайт попадают только безопасные.

Базовая защита стоит $20 в месяц. Её можно купить у CloudFlare и DDoS-Guard. Она защитит только от самых распространённых видов атак. Такой вариант подойдёт небольшим сайтам, которых ещё не атаковали или атаки были слабыми.

Минус в том, что при атаке даже средней мощности такой защиты может не хватить и работа сайта всё равно нарушится.

Средняя защита стоит около $200 долларов в месяц. На неё можно перейти, если базовый тариф не подошёл. Такая защита спасёт от большинства видов атак и у вас будет больше возможностей настройки фильтров на стороне провайдера.

Даже если атака окажется мощной, защита возьмёт на себя большую часть нагрузки. Из-за этого сайт может оставаться работоспособным, хотя без защиты давно перестал бы открываться. Это даст системным администраторам возможность принять меры на своей стороне.

Полноценная защита от DDoS-атак любого типа и мощности стоит от $1000 в месяц. Её предоставляют крупные компании вроде DataDome или Sucuri. Стоимость может быть и выше, потому что её часто рассчитывают индивидуально, исходя из размера сайта.

Такая защита подойдёт, если сайт работает на нескольких выделенных серверах и в прошлом его уже доводили до отказа. Главное — оценить убытки от простоя. При регулярной недоступности они могут оказаться больше, чем стоимость защиты.

А какую защиту используете вы? Расскажите о своём опыте борьбы с DDoS-атаками в комментариях.

Как устроить DoS атаку на сервер баз данных одной строчкой / Хабр

40 МБит / сек — неплохой трафик для DoS атаки. Именно на столько внезапно вырос входящий трафик до одного из наших серверов. Сайт мужественно держался. Время начала всплеска аномально высокого трафика подозрительно точно совпадало с временем выкладывания одного крупного релиза, что и навело на мысль о том что мы DoS`им себя сами.

Ситуацию осложняло то, что в релиз попали изменения порядка сотни разных php-файлов и просмотреть весь список изменений было очень трудоёмко. tcpdump помог выяснить что трафик вырос до сервера баз данных PostgreSQL. Круг сужался.

Первым предположение было то что в одном из SQL-запросов забыли limit и он выбирает весь набор данных вместо одной строки. Но как узнать что это за запрос? На помощь пришёл pgFouine. Анализ лога работы сервера баз данных за две минуты и вот он — источник зла!

select oid,typname from pg_type

Вот он — запрос без limit`а, который выполнялся тысячи раз. Но в наших исходниках не было этого запроса! Нигде, ни в одном файле он не встречался.

Источник проблемы скрывался в php-функции pg_field_type, которая всего навсего возвращала символьное имя типа колонки результата выборки.

Проблема уходит своими корнями как минимум в 2005 год но до сих пор в официальной документации не добавлено замечание о то, что библиотека php-pgsql для доступа к PostgreSQL делает дополнительный запрос к СУБД выбирая полный список из более чем 1000 типов данных.

Возможно на редко посещаемом сайте это совсем не сказывается на быстродействии, но на нагруженном проекте это может создать серьёзную проблему. Мы обошли проблему, использовав вместо функции pg_field_type её аналог pg_field_type_oid, которая возвращает внутренний oid типа данных вместо его символьного имени. Да, это немного ухудшило читабельность кода, но разгрузило канал до сервера баз данных на 40 МБит.

Возможно если бы мы использовали True FastCGI, то у нас бы не было это проблемы, но php стал готов к этому всего несколько месяцев назад, а проблема существует уже около 6 лет.

Поищите в ваших исходниках по ключевому слову pg_field_type — возможно вы сможете очень облегчить тяжёлую жизнь вашего сервера PostgreSQL.

Как происходят DDoS атаки? | Лаборатория Касперского

Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все . .. и вызвать отказ в обслуживании.

Стандартные цели DDoS-атак:

• Сайты интернет-магазинов
• Онлайн-казино
• Компания или организация, работа которой связана с предоставлением онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:

• Существенное замедление время ответа на запросы.
• Отказ в обслуживании всех запросов пользователей или части из них.

Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.

Использование сети зомби-компьютеров для проведения DDoS-атак

Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.

Природа современных DDoS-угроз

В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:

• Полицейские расследования, которые привели к аресту преступников по всему миру
• Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам

w3.org/1999/xhtml»>Другие статьи и ссылки по теме «Распределенные сетевые атаки»

Распределенные сетевые атаки / DDoS

Kaspersky

DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.

DDoS атака — как ее устроить и защита от нее

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на компьютерную систему с целью доведения ее до отказа, то есть создание условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) или доступ затруднен.Опишем DDoS атаку и защиту от нее.

Отказ или ненормальное функционирование атакуемой системы также может быть шагом к освоению системы (если в нештатной ситуации программное обеспечение выдает какую-либо критическую информацию — например, версию, часть программного кода и т. Д.).

Если DDoS атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).

Для обнаружения и защиты от распределенных атак типа «отказ в обслуживании» их необходимо классифицировать и понимать, как они работают.

В данной работе в качестве критерия классификации мы будем рассматривать объект, на который направлена ​​атака. В этом случае существует четыре основных класса атак, соответствующих уровням модели ISO OSI.

Чуть-чуть об уровнях:

Канальный уровень (L2) — атаки направлены на исчерпание полосы пропускания сетевого канала. В результате сервер теряет доступ к внешней сети. Для реализации используются объемные транспортные потоки. В настоящее время измеряется в ГБ / сек. Во время этой DDoS атаки трафик должен обрабатываться на стороне провайдера, то есть в дата-центре.С помощью BGP Flow Spec (преза, Pdf-ка) фильтруется часть атак по сигнатурам пакета. Amplification атаки (теория) отсекаются по порту.

Сетевой уровень (L3) — атаки направлены на нарушение работы элементов сетевой инфраструктуры. Требуется ручной анализ сетевой инфраструктуры. Если нет собственной автономной системы, то провайдер или центр обработки данных борются с этим классом атак. Желательно сотрудничество с ними.

Транспортный уровень (L4) — атаки направлены на использование уязвимостей в стеке TCP. Протокол TCP использует таблицу открытых соединений. Атаки, с другой стороны, составляют этот класс. Требуется постоянный анализ поведения TCP-стека, TCP-клиентов и TCP-пакетов. Эвристический анализ.

Прикладной уровень (L7) — атаки, направленные на нарушение работы веб-приложения. Атаки этого класса отличаются большим разнообразием. Отсутствие серверных ресурсов. Требуется поведенческий анализ и корреляция, мониторинг ресурсов сервера. Необходимо оптимально настроить сервер под решаемые им задачи. Полностью автоматизировать борьбу с этим классом атак практически невозможно.

1.Медленные атаки:

1.1 SlowLoris

Уровень атаки: транспортный уровень (L4).

Описание и принцип работы:

DDoS атака Slowloris устанавливает много открытых соединений на сервере с помощью постоянной отправки незавершенных HTTP-запросов. В определенные моменты времени Slowloris отправляет следующие HTTP заголовки для каждого запроса, но не завершает соединение. Если запросы посылаются с оптимальной периодичностью, сервер начинает ожидать завершения открытых соединений. В данном случае ресурсы сервера остаются относительно свободными, но сам сервер перестаёт обслуживать новые подключения.

Дело в том, что веб-серверы Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer и Squid поддерживают ограниченное число одновременно открытых подключений. Но Slowloris не представляет угрозы для серверов IIS, lighttpd, NGINX. Они имеют эффективные механизмы распределения нагрузки и используют worker pool — «пулы рабочих потоков», которые позволяют удерживать любое количество открытых соединений при наличии свободных ресурсов.

1.2 Slow HTTP POST/GET

Уровень атаки: транспортный уровень (L4).

Описание и принцип работы:

DDoS атака основана на уязвимости в протоколе HTTP. Slow HTTP POST атака отправляет POST заголовок с полем «Content-Length». Веб-сервер понимает, какой объём данных он должен получить. После этого с очень низкой скоростью передаётся тело POST сообщения. Это позволяет задействовать ресурсы сервера длительное время, и в последствии помешать обработке других запросов. Атака опасна для веб-серверов Microsoft IIS и Apache и NGINX со стандартными настройками в рамках протоколов HTTP, HTTPS, подключений SSL, VPN. Также атака может быть настроена для работы с SMTP и DNS-серверами.

Этот тип атаки типа «отказ в обслуживании» может быть организован через прокси. Трафик для этой атаки аналогичен легитимному трафику.

1.3 Sockstress

Уровень атаки: транспортный уровень (L4).

Описание и принцип работы:

Атака заключается в следующем. Если на веб-сервере есть объект, размер которого больше send buffer, выделенного ядром для соединения. То можно заставить ядро не принимать данные, а сервер будет пробовать отправить кусок данных, занимая стек соединений, ресурсы процессора и память. При большом количество подобных соединений TCP-стек заполниться и не будет открывать новые соединения.

Примеры:

Размер окна пакета равен нулю, т.е. нет места для приема данных. Сценарий Sockstress отправляет эти пакеты и подсчитывает время их отправки, чтобы таймер сохраняемости не загружался.

Создайте сокет с небольшим буфером приема на клиенте. Отправьте HTTP-запрос объекту сайта, размер которого превышает размер буфера. Время от времени мы читаем несколько байтов из буфера приема. Сервер попытается загрузить данные и загрузить ресурсы.

2. Атака произвольными пакетами:

2.1 HTTP-Flood

Уровень атаки: канальный уровень (L2), прикладной уровень (L7).

Описание и принцип работы:

В основе этой DDoS атаки лежит механизм отправления максимального числа HTTP запросов на 80-й порт веб-сервера. Целью атаки может быть корень сервера или ресурсоёмкий элемент. В результате данной атаки возможно прекращение предоставления услуг по HTTP, и затруднен доступ легитимных пользователей к сайту. Распознать атаку можно с помощью выявления быстрого роста количества запросов к некоторым элементам веб-сервера и логов сервера.

2.UDP-Flood

Уровень атаки: канальный уровень (L2), прикладной уровень (L7).

Описание и принцип работы:

UDP flood атака основана на отправке большого количества UDP-пакетов на некоторые порты сервера. Он должен определить приложение для каждого полученного пакета, удостоверится в его неактивности и отправить в ответ ICPM-сообщение «недоступен». В итоге вырастут затрачиваемые ресурсы атакуемого сервера и полоса пропускания заполнится UDP-пакетами. В UDP протоколе нет механизма проверки отправителя пакетов, тем самым злоумышленник может подменить IP-адреса и обеспечить анонимность.

2.

3 SYN-Flood

Уровень атаки: канальный уровень (L2), транспортный уровень (L4).

Описание и принцип работы:

SYN Flood атака использует механизм рукопожатия в протоколе TCP. Работает следующим образом. Посылается пакет с флагом SYN на атакуемый сервер. Он вынужден отправить в ответ пакеты с флагами SYN+ACK. Злоумышленник игнорирует SYN+ACK пакеты сервера и не высылает в ответ пакет ACK. Либо подделывает IP-адрес SYN пакета, чтобы ответный SYN+ACK отправляется на некорректный адрес. Цель данной атаки — заполнение TCP стека множеством полуоткрытых соединений, в следствие чего сервер перестают устанавливать соединения с новыми клиентами. Запросы на соединение полученные сервером хранятся в стеке с определенным размером, который зависит от операционной системы. Они находятся в стеке, пока сервер не получит информацию об установленном соединении от клиента.

2.4 ICMP-Flood

Уровень атаки: канальный уровень (L2).

Описание и принцип работы:

Данный тип флуда направлен на сетевое оборудование. Принцип данной DDoS  атаки заключается в том, что ICMP-пакет при небольшом размере самого запроса требует от устройств значительно большего объёма работы. То есть, при отправлении сравнительно небольшого объёма ICMP запросов возникает перегрузка сетевого оборудования и значительная часть легитимных запросов теряется. Злоумышленник, меняет IP-адрес источника, отправляет ICMP Echo Request пакет к определённым компьютерам, входящим в бот-нет. Они отвечают ICMP Echo Reply пакетом, посылая его на изменённый IP-адрес. Для увеличения мощности атаки используют локальные сети (LAN) с включенной опцией направленной широковещательной рассылки (directed broadcast).

3.Атака с помощью SSL

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

Secure Sockets Layer (SSL) — это протокол безопасности для защиты целостности сети связи и передачи данных. SSL может зашифровать подключение к сети на транспортном уровне. Процессы шифрования протокола SSL, расшифровки и обмена ключами потребляют огромное количество системных ресурсов. Существует два типа атака основанных на протоколе SSL.

Первый тип эксплуатирует механизм рукопожатия, который исчерпывает ресурсы атакуемого сервера. Злоумышленник посылает некорректные SSL данные на сервер, на обработку которых затрачивается большое количество вычислительной мощности.

Второй тип использует функцию повторного подтверждения соединения — SSL Renegotiation. Установка безопасного соединения и повторное подтверждение SSL затрачивают в разы больше вычислительной мощности на сервере, чем на стороне клиента. Благодаря этому возможно осуществление атаки и истощение ресурсов атакуемого сервера. Как правило, HTTPS расшифровывается глубоко внутри организационной сети, где серверы и модули более уязвимы к вредоносному трафику. Также злоумышленники используют этот протокол для обхода механизмов безопасности. Таким образом, возможно туннелирование других атак.

4.Атака почтового сервера c SMTP-Flood

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

В DDoS атаках этого типа злоумышленник пытается установить соединение с почтовым сервером и отправляет произвольные письма на сгенерированные случайным образом адреса, либо бездействует до истечения тайм-аута, удерживая соединение открытым. Каждое SMTP соединение утилизирует часть ресурсов сервера, тем самым атакующий пытается вызвать отказ в обслуживании.

Технология заключается в том, что когда мы пишем электронное письмо от несуществующего получателя, SMTP-сервер предупреждает нас, используя электронную почту (отправителя), что письмо не придет. Мы отправляем много запросов на SMTP-сервер (пишем письма) и указываем, что не все электронные письма действительны, а отправитель (цель атаки). И им сообщат, что письмо не пришло. Несколько серверов SMTP отправят трафик на цель атаки.

5.Некорректные пакеты/фрагменты:

5.1 UDP fragment flood

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

Данный тип DDoS атаки основан на отправки UDP датаграмм, которые случайным образом ссылаются на датаграммы отсутствующие в потоке. Это приводит к увеличению потребления памяти на атакуемом сервере. При атаке UDP Fragment Flood, злоумышленники посылают UDP пакеты большого размера, для истощения пропускной способности канала.

5.2 Некорректные IP-фрагменты

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

Данный тип DDoS атак эксплуатирует уязвимости в поддержке фрагментации пакетов протокола IP. Одна из атак этого типа — это пересечение IP-фрагментов. Она реализуется с помощью уязвимости операционной системы, которая заключается в сборке фрагментированных IP- пакетов. В процессе сборки образуется цикл по принятым фрагментам. Затем из них копируется информативная часть и передаётся на IP уровень. Разработчики предусмотрели проверку на чрезмерный объем копируемой информации, но не ввели проверку на копирование фрагмента отрицательной длины. Копирование блока информации отрицательной длины равносильно копированию очень большого блока информации. Это приводит к затиранию большого участка памяти и к нарушению работы системы.

Существует две программы с небольшими отличиями в константах механизма, который осуществляет пересечение IP-фрагментов: newtear и teardrop. Они отправляют пакеты с заданного IP-адреса на любой порт, независимо, открыт он или закрыт. Еще один вариант данной атаки — bonk. После сборки фрагментов в пакете остаются пустые места. Это приводит к сбою ядра операционной системы и нарушению работы электронных вычислительных средств. Данные уязвимости присутствуют в старых версиях ОС(операционных систем) Windows и Linux. На сегодняшний день большинство сетевых ОС защищены от сбоев в работе, вызванных данной атакой.

5.3 Неверные значения в заголовках пакетов

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

Эти DDoS атаки нацелены на определенные приложения и операционные системы, которые неправильно обрабатывают недопустимые значения в заголовках пакетов. Land
attack является примером такой атаки. При этом злоумышленник определяет один и тот же IP-адрес для источника и назначения в пакете. Это приводит к зацикливанию в подключении сервера к самому себе.

6.Amplification атаки (атаки N-усиления)

Уровень атаки: канальный уровень (L2).

Описание и принцип работы:

Эти DDoS атаки основаны на отсутствии проверки отправителя в протоколе UDP. Ответ отправляется адресату, указанному в заголовках пакетов. Злоумышленник может подделать свой IP-адрес с IP-адресом атакованного сервера в заголовках отправленных пакетов. Суть атаки также заключается в том, что объем ответа многократно превышен по сравнению с запросом. Таким образом, злоумышленник может анонимно запускать атаки с большим объемом трафика. Для проведения такой DDoS атаки можно использовать сервисы на основе протокола UDP: DNS, NTP, SNMP, rsyslog и многие другие. Дело в том, что сетевые устройства, предоставляющие эти услуги, широко распространены в сети. Службы включены по умолчанию и часто неправильно настроены.

В таблице 1 представлены типы amplification атак проведённых в ходе исследования. В ней отображается по какому протоколу осуществляются атаки, коэффициент их усиления и уязвимая команда, используемая для реализации атаки.

6.1 NTP amplification атака

Уровень атаки: канальный уровень (L2).

Описание и принцип работы:

Злоумышленник отправляет на NTP-сервер запрос monlist с IP-адресом атакуемого сервера. Ответ Monlist включает в себя список из 600 недавних клиентов ntpd. Суть амплификации заключается в том, что злоумышленник отправляет небольшой запрос на уязвимый сервер, и с него на атакованный сервер отправляется большой поток UDP-трафика. Уязвимый NTP-сервер — невольный посредник в атаке. Ntpd до версии 4.2.7p26 уязвимы для атак.

6.2 DNS Amplification атака

Уровень атаки: канальный уровень (L2).

Описание и принцип работы:

Атака основана на том, что злоумышленник отправляет на уязвимый DNS-сервер запрос с IP-адресом атакуемого сервера. DNS-сервер отправляет жертве ответ, который во много раз превышает размер запроса. Таким образом, пропускная способность атакуемого сервера исчерпана.

Можно выделить ключевые моменты атаки:

1. Эффект отражения: подмена IP-адреса позволяет перенаправить ответы от всех DNS-серверов на атакуемый сервер.
2. Коэффициент усиления атаки: (amplification factor): он может принимать значения от 28 до 92. То есть на 1 байт запроса — совокупность DNS-серверов отправит 28-92 байт ответа. Это обеспечивает кратное увеличение объёма трафика.
3. Проблема «open resolver»: это неправильно настроенный или старой версии DNS-сервер. Он разрешает получать запросы из сторонних сетей, выполняя рекурсивные запросы для них, и отправлять ответы без необходимых предварительных проверок.

6.3 HTTP flood с помощью сервисов

Уровень атаки: прикладной уровень (L7).

Описание и принцип работы:

WordPress сайт с включенным Pingback, можно использовать для проведения HTTP flood атаки на другие сайты. Они отправляют множество запросов к атакуемому сайту со случайными параметрами («?a=a» и др.), с помощью которых обходится кэширование страницы. Эта операция быстро расходует ресурсы атакуемого сервера и нарушает его работу. Злоумышленник может использовать большое количество обычных WordPress сайтов для DDoS атаки и не бояться быть обнаруженным с помощью Pingback запросу к файлу XML-RPC. Google использует FeedFetcher для кэширования любого контента в Google Spreadsheet, вставленного через формулу

=image(«link»).

Если в клетку таблицы вставить формулу

=image(«http://target/file.pdf»),

то Google отправит FeedFetcher скачать этот PDF файл и закэшировать для дальнейшего отображения в таблице. Но если добавлять случайный параметр к URL картинке (от «?r=1» до «?r=1000»), FeedFetcher будет скачивать её каждый раз заново. Это приведёт к исчерпанию лимита трафика атакуемого сервера. Злоумышленник может запустить массированную HTTP GET flood атаку на веб-сервер, используя браузер с одной открытой вкладкой.

Некоторые DoS & DDoS инструменты

1. Встроенные тулзы Kali Linux

В сети доступно сотни программ для выполнения ддос атаки. Первое место где мы можем найти подобные инструменты это хакерский дистрибутив Kali Linux. Открыв в нем следующий путь:

kali > cd /usr/share/metasplot-framework/auxiliary/dos

и просмотрев содержимое директории мы увидим что Metasploit имеет множество инструментов для организации DDoS атак.

kali linux ddos tools

Также мы найдем сотни DDOS программ в Exploit Database этого дистрибутива и на сайте Exploit-DB.com.

kali linux ddos tools

Просмотреть листинг доступных инструментов для DDOS атак в KALI вы можете выполнив команду:

kali > /usr/share/exploitdb/platforms/windows/dos

Данная команда показывает базу данных эксплоитов для атаки Windows систем.

Для просмотра доступных инструментов DDoS атаки Linux вводим команду:

/usr/share/exploitdb/platforms/Linux/dos

2. LOIC

The Low Orbit Ion Cannon (LOIC) или Низко орбитальная ионная пушка. Возможно самая популярная DDOS программа. Она может рассылать массовые запросы по протоколам ICMP, UDP тем самым забивая канал к серверу жертвы. Самая известная атака с помощью LOIC была совершена группой Anonymous в 2009 году и направлена против PayPal, Visa, MasterCard в отместку за отключение WikiLeaks от системы сбора пожертвований.

Low Orbit Ion Cannon

DDoS атаки, организованные с помощью LOIC, могут быть устранены путем блокировки пакетов UDP и ICMP на сетевых устройствах провайдера. Вы можете бесплатно скачать LOIC с SourceForge. Этот инструмент основан на Windows и очень прост в использовании. Укажите сайты жертвы и просто нажмите одну кнопку.

2. HOIC

HOIC был разработан в ходе операции Payback by Praetox той же командой что создала LOIC. Ключевое отличие в том, что HOIC использует HTTP протокол и с его помощью посылает поток рандомизированных HTTP GET и POST запросов. Он способен одновременно вести атаку на 256 доменов. Вы можете скачать его с SourceForge.

HOIC

3. HULK

HTTP Unbearable Load King (король высоких нагрузок) или HULK, еще одна программа способная уронить ваш сервер. В этой системе используются различные техники обхода защиты что добавляет проблем системным администраторам.

HTTP Unbearable Load King

4. RUDY

R-U-Dead-Yet, или RUDY, использует другой подход к исполнению DDoS атак на интернет сайты. Программа дает возможность выбрать форму на целевом сайте и отправлять в эту форму произволные данные с помощью POST запросов. Скачать программу можно здесь Hybrid Security

R-U-Dead-Yet

5. OWASP Switchblade

Open Web Application Security Project (OWASP) и ProactiveRISK разработали инсрумент Switchblade DoS tool для тестирования WEB приложений на устойчивость к ДДОС атакам.Он имеет три режима работы: 1. SSL Half-Open, 2. HTTP Post, и 3. Slowloris. Скачать для ознакомления можно с сайта OWASP.

5. GoldenEye HTTP DoS Tool

GoldenEye это простой DoS инструмент, который нагружает удаленный HTTP server запросами и пытается занять все доступные соединения. Это прекрассный инструмент для нагрузочного тестирования Web сайта на этапе внедрения, но, по словам специалистов antiddos.biz, абсолютно бесполезный в реальных условиях. И может быть зафильтрован с помощью простого скрипта на сервере. Скачать исходные коды и саму программу можно с  GitHub.

6. DDOSIM – Layer 7 DDoS эмулятор

Этот инструмент создан Storm Security симулирует DDoS атаку с множества “зомби” компьютеров с случайных IP адресов. Он создает TCP соединения (SYN-SYN/ACK-ACK). Программа работает на application layer (layer 7), что достаточно не обычно. Она также способна симулировать различные типы флуда по протоколам SMTP и TCP flood на различные порты. Программа будет очень полезна для нагрузочного тестирования сервера. Скачать можно с сайта  SourceForge.

Сколько стоит заказать DDoS на черном рынке?

Distributed Denial of Service (DDoS) — один из самых популярных инструментов в арсенале киберпреступников. Мотивом DDoS-атаки может быть что угодно, от кибер-хулиганства до шантажа. Известны случаи, когда преступные группировки угрожали своим жертвам DDoS-атакой, если они не заплатили им 5 биткойнов (то есть более 5000 долларов). DDoS-атака часто используется для отвлечения ИТ-персонала во время совершения другого киберпреступления, например Б. кража данных или внедрение вредоносного ПО.

DDoS как услуга

Предлагая функции своего ботнета, организаторы службы DDoS, как мы обнаружили, предлагают своим клиентам тариф, по которому покупатель платит за пропускную способность ботнета в секунду. Например, 300 секунд DDoS-атаки с использованием ботнета с общей пропускной способностью 125 ГБ в секунду обойдутся заказчику в 5 долларов. Более того, все остальные характеристики (мощности и сценарии) были одинаковыми для всех тарифов.

В свою очередь, 10 800 секунд DDoS-атак обходятся клиенту в 60 долларов, или около 20 долларов в час атаки, характеристики которой (сценарий атаки и потребляемая вычислительная мощность) злоумышленники не всегда указывали на своем ресурсе для опытных клиентов. По-видимому, не все киберпреступники считают целесообразным раскрыть внутреннюю работу своего ботнета (и вполне возможно, что не все владельцы ботнета понимают технические характеристики из-за своей некомпетентности). В частности, злоумышленники не раскрывают типы ботов, которые включены в ботнет для этой цели.

За указанную цену преступники обещают своим клиентам реализовать довольно тривиальные сценарии:

• SYN-flood;
• UDP-flood;
• NTP-amplification;
• Multi-vector amplification (несколько amplification-сценариев одновременно).

Сколько стоит DDoS устроить

Некоторые сервисы предлагают выбрать конкретный сценарий DDoS атаки, что позволяет киберпреступникам комбинировать разные сценарии и проводить атаки с учетом индивидуальных характеристик жертвы. Например, если жертве удается обработать SYN-поток, злоумышленник может изменить сценарий атаки в панели управления и оценить реакцию жертвы.

Сколько стоит DDoS устроить

Среди проанализированных нами предложений мы также встретили такие, в которых злоумышленники предлагают разные цены на свои услуги в зависимости от типа жертвы.

Сколько стоит DDoS устроить

Информация, найденная на русскоязычном сайте, целиком посвященном сервису DDoS-атак

Например, киберпреступники предлагают 400 долларов в день за сайт / сервер, который использует службы защиты от DDoS-атак, что в четыре раза больше, чем незащищенный сайт.

Кроме того, не все киберпреступники, организующие DDoS-атаки, будут атаковать государственные ресурсы: за ними следят правоохранительные органы, а организаторы атак не хотят снова «включать» свои ботнеты. Однако нам попадались предложения, в которых DDoS-атаки на госресурсы включались в прайс-лист отдельным пунктом.

Сколько стоит DDoS устроить

Любопытно, что некоторые преступники не брезгуют наряду со своими сервисами DDoS предоставлять и защиту от DDoS-атак.

Сколько стоит DDoS устроить

А как же защита от ДДоС?

Данный вопрос рано или поздно начинает волновать каждого хозяина успешного сайта Мы также не являемся исключением. Дешёвым и мало эффективным методом защиты от DDoS атак, является самостоятельная защита. Как правило ее пробивают с помощью обычного флуда, направленного на переполнение канала к серверу. После этого ваш хостинг провайдер отключает IP адрес вашего сайта.

А как же тогда защитить себя от ДДоСа? Мы используем защиту от DDoS атак от сервиса antiddos.biz  

Данный сервис проверен временем и предоставляет одну из лучших защит в мире. Да, я не преувеличиваю  Если у вас будет подобная проблема, можете смело обращаться сославшись на наш блог. В этом случае вы сможете даже расчитывать на скидку!

Click to rate this post!

[Total: 1 Average: 5]

Что такое DDoS-атаки и как защитить от них свой сайт и сервер?

DDoS-атака (от англ. Distributed Denial of Service) — распределённая атака, которая создаёт нагрузку на сервер и приводит к отказу системы. При таких условиях пользователи не могут получить доступ к сайту или веб-сервису, а владельцы проектов могут потерять прибыль.

Причиной для отказа системы не всегда является DDoS-атака. Ресурсы сервера ограничены, и если при штатной нагрузке всё работает, то при аномальном скачке могут возникнуть сбои. Если вы накануне запустили на своём сайте акцию или рекламную кампанию, которые вызвали резкий всплеск посещаемости, также могут возникнуть проблемы с доступом к сайту.

Если вы уверены, что сбой на сайте не связан с вашими действиями, читайте ниже, почему на ваш сайт могут устроить DDoS, как происходит сама атака и как с ней бороться.

Почему ваш сайт могут атаковать?

Одна из причин, по которой ваш сайт может подвергнуться DDoS-атаке, — конкуренция. Атакуемый сайт недоступен, так как на него поступает слишком большое количество запросов и он не справляется с нагрузкой. Увидев неработающий сайт, клиент может уйти на доступный сайт конкурента. Если ваш бизнес успешен, а конкуренция на рынке значительна, будьте готовы, что ваш сайт в любой момент может подвергнуться DDoS.

Кроме этого, ваш интернет-ресурс может просто привлечь внимание злоумышленников. Они могут организовать DDoS-атаку ради развлечения, из-за личной неприязни или с целью вымогательства.

По результатам исследования «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) хотя бы раз подверглась DDoS-атаке. В 2018 году, по сравнению с 2017 годом, количество атак выросло в 5 раз.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Какие сайты чаще подвергаются атакам

Чаще других DDoS-атакам подвергаются следующие сайты:

• государственных учреждений,
• крупных корпораций,
• здравоохранительных организаций,
• онлайн-школ,
• игровых сервисов,
• местных и региональных СМИ,
• онлайн-кинотеатров,
• банков,
• хостинг-провайдеров.

От года к году этот список не меняется. Однако то, какая сфера будет страдать от атак больше, нередко зависит от происходящих в мире в тот или иной период социальных и политических событий. Такую зависимость можно проследить в квартальных отчётах компаний по кибербезопасности.

Как происходит DDoS-атака?

Современный Интернет работает по семиуровневой сетевой модели OSI. Модель определяет уровни взаимодействия систем, каждый уровень отвечает за определённые функции.

DDoS-атака может произойти на любом из семи уровней, но чаще всего это:

• Низкоуровневая атака — на сетевом и транспортном уровнях (третий и четвёртый уровень модели OSI). На этих уровнях для атаки используются «дыры» в сетевых протоколах. На виртуальном хостинге, VPS и выделенных серверах REG.RU установлена бесплатная защита от данных типов атак.

• Высокоуровневая атака — атака на сеансовом и прикладном уровнях (пятый и седьмой уровни по модели OSI). Такие атаки схожи с поведением пользователей. В данном случае может помочь тонкая настройка сервера или платная защита от DDoS.

Стоит отметить, что DDoS-атаки разнообразны. Разработчики ПО улучшают методы защиты, выпуская обновления, но злоумышленники каждый год придумывают новый способ, чтобы привести систему к отказу.

Хорошо организованная атака состоит из множества запросов к серверу из разных точек мира. Но откуда у злоумышленников такие ресурсы?

К 2020 году самым опасным видом атаки считается атака с помощью ботнета.

Ботнет — объединённая сеть устройств, на которой установлено автономное программное обеспечение. Злоумышленники под видом программ, писем, файлов и иного контента распространяют вредоносное ПО, которое скрыто устанавливается на устройство жертвы и может быть запущено в любой момент. Вмешательство происходит незаметно: пользователи не подозревают о наличии вредоносного ПО.

Таким образом, любое устройство, которое имеет доступ к сети Интернет (мобильный телефон или стиральная машинка с WI-FI), может стать участником DDoS-атаки.

При атаке на сервер невозможно определить её инициатора: запросы идут со всего мира, с разных устройств. Злоумышленник, как правило, остаётся безнаказанным.

Виды DDoS-атак

Классификация DDoS-атак описана в статье DDoS-атаки: виды атак и уровни модели OSI. Здесь мы рассмотрим как работают самые популярные виды DDoS.

• Ping of death. Это атака, которая заключается в отправке эхо-запроса, который превышает допустимый объём в 65535 байт. Устройство не знает, как обработать такой запрос, и перестаёт отвечать. В настоящее время Ping of death уже не используется — проверка размера при сборке пакета решила проблему. Пакеты, размер которых превышает допустимый, отбрасываются как неверные. Эта атака относится к классу DoS, так как в качестве отправителя выступает один компьютер, а не сеть из разных устройств, как в случае с DDoS.

• SYN Flood. Клиент отправляет серверу огромное количество SYN-пакетов с поддельным IP-адресом. Сервер отвечает на каждый запрос и ожидает подключения клиента. Клиент игнорирует приглашение и создаёт новые запросы, чем переполняет очередь на подключение. В итоге производительность сервера падает вплоть до полного прекращения работы.

• HTTP Flood. Каждый участник ботнета генерирует большое количество HTTP-запросов к серверу, за счёт чего сильно повышает нагрузку. Это могут быть как GET, так и POST-запросы. В GET клиент запрашивает самые тяжеловесные части сайта. А в POST-запросах передаёт большие объёмы данных серверу в теле запроса.

• UDP Flood. Злоумышленник отправляет жертве много UDP-пакетов большого размера на определенные или случайные порты. Получатель тратит ресурсы на обработку запросов и отправку ICMP-ответа, что может привести к отказу в обслуживании.

• DNS Flood. Это разновидность UDP Flood. Отличается тем, что атаке подвергается DNS-сервер. Сервер не может отличить участника такой атаки от обычного пользователя и обрабатывает все запросы, на что может не хватить ресурсов.

• VoIP Flood. Снова вариант UDP Flood, цель которой — IP-телефония. Сервер получает запросы с разных IP-адресов, которые приходится обрабатывать вместе с запросами от легитимных клиентов.

• ICMP Flood. На сервер жертвы отправляется множество ICMP-запросов с разных IP-адресов. Этот вид флуда может использоваться как для перегрузки сервера, так и для сбора информации о сервере при подготовке к другой атаке.

• DNS-амплификация. Атакующие устройства отправляют небольшие запросы на публичные DNS-серверы. Запросы формируются так, чтобы ответ содержал как можно больше данных. Кроме этого, в запросе подменяется IP-адрес реального отправителя на адрес жертвы, на который DNS-сервер и отправит ответы. В результате жертва получит много больших пакетов данных от DNS-сервера, что вызовет переполнение канала.

Защита от DDoS-атак

Рассмотрим основные действия, с помощью которых может быть организована защита сервера от DDoS-атак. Чтобы минимизировать риск атаки и её последствий:

1. Изучите ПО, которое планируете использовать в вашем проекте или уже используете, на наличие уязвимостей и критических ошибок. Их не должно быть. Выбирайте те инструменты, в которых уверены. Регулярно обновляйте их и делайте резервное копирование.

2. Используйте сложные пароли для доступа к административным частям вашего ресурса.

3. Настройте сеть так, чтобы доступ к админке был из только из внутренней сети или через VPN.

4. Подключите WAF и CDN. WAF — брандмауэр веб-приложений для проверки легитимности трафика и его фильтрации. CDN — сеть доставки контента позволяет распределять нагрузку на серверы и увеличивать скорость загрузки страниц за счёт географически распределённых серверов.

5. Установите капчу или другие компоненты в форму обратной связи на сайте. Это защитит сайт от спам-ботов.

6. Распределите ресурсы сайта между несколькими серверами, которые не зависят друг от друга. В случае сбоя одного из серверов, работу обеспечат запасные серверы.

7. Перенаправьте атаку на злоумышленника. Таким образом вы сможете не только отразить удар, но и нанести ущерб злоумышленнику. Для этого требуются специалисты, но это вполне реально.

8. Узнайте у вашего хостинг-провайдера, какой уровень защиты он гарантирует для вашего хостинга или VDS. Если хостер не предоставляет защиту, выберите другого провайдера.

Компания REG.RU предлагает виртуальный хостинг, VPS и выделенные серверы с бесплатной защитой от низкоуровневых DDoS-атак — DDoS-GUARD. DDoS-GUARD использует серию надёжных фильтров, которые последовательно анализируют проходящий трафик, выявляя аномалии и нестандартную сетевую активность.

Высокоуровневые атаки достаточно редки из-за сложности в реализации и требуемых ресурсов, поэтому на виртуальном хостинге они встречаются нечасто, а на VPS вы можете настроить сервер исходя из установленного ПО.

Как правило, если не предпринимать никаких действий по защите, DDoS-атака закончится через пару суток. Поэтому вы можете выбрать тактику невмешательства и дождаться её окончания.

Закажите услугу «Сервер для бизнеса»

Сосредоточьтесь на вашем бизнесе, о хостинге позаботится REG.RU! Закажите мощный облачный сервер с круглосуточным администрированием.

Подробнее

Помогла ли вам статья?

58
раз уже
помогла

Автогол. Как я сделал DDoS атаку на наш сервер

Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и без неё.

О типах DDoS-атак и способах защиты от них мы уже писали в нашем предыдущем материале. Помимо базовых решений по контролю и фильтрации сетевого трафика, Selectel предоставляет услугу по расширенной защите от DDoS-атак. Подобный уровень защиты добавляет в комплекс очистки трафика дополнительную ступень в виде специального прокси-сервера, настроенного под конкретные приложения.

В этой статье мы рассмотрим случай атаки, нацеленной на перегрузку полосы пропускания, а конкретно используем метод DrDOS (Distributed Reflection Denial of Service), использующий технику отражения запросов. Подобный метод интересен тем, что позволяет многократно усиливать объем атаки по сравнению с пропускной способностью зараженной машины, и был выбран нами поскольку наглядно показывает масштаб возможной атаки.

План действий

Демонстрацию услуги по защите от DDoS-атак мы проведем с помощью эксперимента, целью которого будет сравнение работоспособности веб-сервера, находящегося под DDoS-атакой, с подключенной услугой и без неё. Для этого мы организуем два стресс-теста с одинаковыми параметрами атаки на заранее подготовленный веб-сервер в VPC через защищенный и прямой IP-адрес. Степень влияния услуги по защите от DDoS-атак на фильтрацию нежелательного трафика мы оценим с помощью метрик загрузки процессора и сетевого устройства. Кроме того, используем инструмент мониторинга сервисов для определения доступности веб-сервера в разных локациях.

Веб-сервер:

• Простой сайт на WordPress, развернутый с помощью стандартного LAMP-стека;
• Виртуальный сервер в VPC с 1 vCPU и 1 GB оперативной памяти на Ubuntu.

Инструменты мониторинга:

• Утилита Netdata для просмотра сведений о системе в реальном времени;
• Мониторинг доступности сервисов, в котором мы используем простой GET-запрос для проведения теста.

Инструмент для стресс-теста:

• IP Stresser, предоставляющий возможность создания теста с объемом атаки до 3 Гбит/c.

В результате проведения испытаний ожидается, что при подключенной услуге по защите от DDoS-атак работоспособность сервиса нарушена не будет. В следующей части мы рассмотрим создание и настройку приложения в VPC и процесс подключения услуги. Затем проведем стресс-тесты и сравним показания метрик.

Настройка приложения и подключение услуги по защите от DDoS

В качестве среды для размещения веб-сервера мы выбрали виртуальное приватное облако за возможность быстрого создания виртуальной машины и подключения публичной подсети:

В состав выделенных ресурсов мы также включили публичную подсеть — для работы с услугой по защите от DDoS плавающий IP-адрес не подходит:

Далее создадим сервер внутри проекта, используя в качестве источника для установки системы готовый образ Ubuntu 16.04. В разделе настройки сети необходимо выбрать подключение через зарезервированную ранее публичную подсеть, а также выбрать и записать публичный IP-адрес: он понадобится нам позже.

После установки сервера настроим WordPress, используя стандартный LAMP-стек:

Убедившись в работоспособности приложения, перейдем к заказу услуги по защите от DDoS.

Подключение услуги Базовая защита от DDoS

Заказ услуги осуществляется в разделе Сети и услуги в личном кабинете Selectel:

Выберем пункт Базовая защита от DDoS 10 Мбит/с и произведем оплату услуги:

После подключения услуги будет создан тикет в техническую поддержку для настройки защиты под ваше приложение. Сотруднику техподдержки необходимо сообщить IP-адрес и тип приложения. После получения всей необходимой информации будет произведена настройка защиты. Дополнительные сведения о подключенной защите и сервисах будут в ответном сообщении службы поддержки:

Нам был выделен защищенный IP-адрес, который мы настроим далее, а также указаны данные для доступа к сервису статистики атак. Кроме того, как видно из сообщения, необходимо настроить приложение для работы с новым выделенным защищенным IP-адресом, поскольку трафик, поступающий на первоначальный IP-адрес не будет фильтроваться.

Настройка алиасов немного различается в различных системах, в нашем примере мы используем Ubuntu, где это осуществляется следующей командой:

$ sudo ifconfig eth0:0 95.213.255.18 up

Для многих компаний техподдержка не является главным приоритетом и поэтому время ответа на запросы может стремиться к бесконечности, а качество предлагаемых решений оставляет желать лучшего. Однако, в Selectel круглосуточная поддержка, которая отвечает даже в вечер воскресенья (у автора статьи возникла проблема с доступом к сервису статистики):

На данном этапе остается протестировать работу и доступность сервиса через защищенный IP-адрес:

Стресс-тест на незащищенный IP-адрес

Перейдем к стресс-тесту системы на незащищенный IP-адрес со следующими настройками атаки:

В качестве целевого хоста указан адрес, который при реальном использовании услуги необходимо будет скрывать — трафик, идущий на него не будет фильтроваться и приведет к отказу работоспособности системы.

Начнём первый стресс-тест:

Видно, что почти мгновенно происходит перегрузка процессора и объем принимаемого трафика стремится к 3Гбит/с:

Теперь оценим доступность и время отклика сервиса в разных географических точках:

Большая часть точек проверок показала недоступность указанного сервиса и большое время отклика, что говорит об успешном проведении стресс-теста и уязвимости текущей конфигурации перед DDoS-атаками транспортного уровня.

Резюмируя полученные результаты, очевидно, что веб-сервер полностью принял на себя весь объем тестовой атаки, а в случае увеличения нагрузки произошел бы отказ работоспособности приложения. Далее мы протестируем доступность веб-сервера с подключенной услугой по защите от DDoS атак, однако в реальных системах крайне желательно провести дополнительные мероприятия по обеспечению безопасности приложения на программном уровне.

Стресс-тест на защищенный IP-адрес

Используя полностью аналогичные параметры для атаки кроме IP-адреса, запустим стресс-тест:

Видно, что регистрируемый объем входящего трафика составляет около 120 Мбит/с, а нагрузка на процессор составляет около 20%:

Теперь перейдем к тестированию доступности и времени отклика веб-сервера через инструмент мониторинга:

Уже сейчас можно сказать, что использование подобной услуги по защите от DDoS-атак обеспечивает определенный уровень безопасности веб-сервера.

Мониторинг атак и статистика

Как только начинается атака на защищенный адрес, служба Servicepipe уведомляет клиента об этом по email:

Для просмотра информации об атаках в реальном времени доступен веб-интерфейс:

В нем содержится более подробная информация о поступающем трафике:

А также можно увидеть источники трафика по странам:

Вывод

Проведенный опыт показал сохранение работоспособности веб-сервера под тестовой DDoS-атакой при подключенной услуге по защите от DDoS. Кроме того, использование сервиса Servicepipe позволяет отслеживать в реальном времени поступающие DDoS-атак без дополнительных настроек рабочих систем и оперативно реагировать на них.

В пространство дальнейших исследований можно включить создание более сложных стресс-тестов и использование не только базовой защиты, но и расширенной с более совершенными инструментами фильтрации трафика.

Ознакомиться с типами защит и успешным опытом наших клиентов можно на странице услуги.

Атаки на сайты

Атаки на сайты — совершение противоправных действий, направленных на получение конкурентных преимуществ путем взлома, заражения вредоносным кодом, блокирования доступа (с дальнейшем требованием выкупа), кражи конфиденциальных данных, вывода из строя программного обеспечения, в отношении сетевых ресурсов (веб-сайтов).

Веб-сайт — это информационный актив и вид собственности. Он может подвергаться атакам злоумышленников с самыми разными целями. Сайт всегда на виду, всегда должен быть доступен, и это делает его крайне уязвимым.

Способы атак на сайты

На первом этапе киберпреступник изучает ресурс на предмет уязвимостей. Они, в свою очередь, бывают нескольких типов.

Уязвимости кода сайта появляются ввиду ошибок или недостаточной проработки вопросов безопасности со стороны программистов, создающих ядро и расширения сайта. При наличии подобных изъянов злоумышленник может внедрить свой код в исполняемые сценарии, запросы к базе данных (SQL-инъекции) или почтовому серверу сайта (email-инъекции), либо в страницу, которую пользователь открывает в своем браузере, с целью кражи его личных данных, включая пароли (межсайтовый скриптинг).

Ошибки в настройке прав пользователей проявляются по-разному.Распространенной ошибкой можно назвать слабые пароли. Они по-прежнему встречаются сплошь и рядом, хотя о правилах составления надежных паролей написаны тысячи статей. Злоумышленнику достаточно подобрать брутфорсом хотя бы одно из кодовых слов.

Бекдоры в сторонних модулях и расширениях также позволяют проводить атаки на сайты. Очень редко весь код сайта пишется с нуля, гораздо чаще используются одна из существующих CMS (систем управления контентом), а также различные модули и расширения, добавляющие нужную функциональность. Часть из них распространяется бесплатно, за другие просят деньги. Взломав такое платное расширение, злоумышленник добавляет в него шелл-код, открывающий доступ к сайту или веб-серверу, и предлагает для скачивания уже бесплатно.

Наконец, уязвимым может быть и хостинг-провайдер. Часто десятки и сотни сайтов размещаются на одном сервере, и если он настроен неправильно, то киберпреступник сможет получить доступ ко всем этим многочисленным ресурсам.

Наличие любого типа уязвимости веб-сайта приводит к атакам, целью которых в большинстве случаев становится полный несанкционированный доступ к содержимому сайта. Получение доступа зависит от характера уязвимости — например, при SQL-инъекции путем различных запросов к базе данных извлекают логины и пароли всех пользователей, включая администратора.

Имея же права администратора, с зараженным сайтом можно делать что угодно. Иногда злоумышленники не вмешиваются в нормальную работу, ограничиваясь кражей клиентской базы и данных пользователей, а в других случаях они уничтожают или подменяют содержимое либо дополняют функциональность согласно собственным нуждам — размещают рекламные баннеры, ссылки на распространяющие запрещенную информацию ресурсы или фишинговые сайты, сценарии для межсайтовой подделки запроса, когда от лица пользователя, зашедшего на страницу и имеющего аккаунт на другом ресурсе (к примеру, в электронной платежной системе), делается запрос на перевод денег преступнику.

Отчасти особняком стоят получившие широкую известность и распространенность DDoS-атаки. Их цель — не внедриться в систему, подменить контент или украсть чужие данные, а сделать сайт недоступным на некоторое время. После этого владельцев сайта, как правило, шантажируют, вымогая у них деньги за остановку атаки. Осуществляется DDoS-атака одновременной посылкой запросов с множества компьютеров ботнета. Перегружая сервер потоком бессмысленных сообщений, атакующий делает его недоступным для обычных посетителей.

Какие сайты атакуют?

Интернет-сайты на популярных CMS взламывают массово с целью заражения через типовые уязвимости.

Что же касается DDoS-атак, то их делают по заказу, и здесь есть конкретные группы риска. Например, очень часто атакуют бизнес, который зависит от интернета, так что любой инцидент простоя приводит к убыткам. Злоумышленники начинают атаку и предлагают владельцу откупиться.  

По статистике, чаще всего подвергаются нападениям:

• купонные сервисы,
• платежные системы,
• информационные агрегаторы,
• электронная коммерция,
• игры и игровые площадки.

Веб-страницы банков и электронных платежных систем взламывают с целью кражи денег; сайты коммерческих компаний атакуют ради клиентской базы и создания проблем конкуренту, либо ради шантажа, требуя деньги за возобновление нормальной работы; сайты правительственных органов и общественных организаций атакуются идеологическими противниками.

Анализ угроз для сайтов 

Основным источником угрозы для сайта является его собственный код, написанный небрежно, с ошибками, без учета строгих правил безопасности, вкупе с использованием устаревших либо скачанных с пиратских сайтов модулей, расширений и плагинов.

Другая серьезная проблема — неправильное администрирование. Предоставляя пользователям излишне широкие права, позволяя им загружать на сайт файлы без должной проверки, администратор фактически открывает ворота для всевозможных троянов, бэкдоров и прочих экземпляров вредоносного кода.

Третий источник опасности — плохие пароли.

Наконец, еще одна, не связанная напрямую с созданием и работой сайта угроза — содержимое как таковое. Например, движущей силой многих DDoS-атак является месть. От таких нападений не спасает самый идеальный код и надежное администрирование — атака целиком и полностью идет извне.

Сделать сайт стопроцентно устойчивым к любым атакам нереально. Можно лишь усложнить преступникам достижение их целей. В конце концов, атака на сайт требует времени и денег, и если предполагаемая выгода или ущерб противника окажется меньше затрат на попытку взлома, то злоумышленник переключится на более привлекательную цель.

Как не допустить атаку на сайт?

Следует использовать при создании сайта лишь надежные, проверенные ядра, а если заказывается свой «движок», то нужно поручать его написание команде опытных профессионалов. При использовании готовых систем управления контентом необходимо регулярно их обновлять — большинство обновлений предназначено как раз для устранения очередной выявленной уязвимости. Нельзя использовать старые и уж тем более необновляемые CMS — изъяны в их безопасности никем не закрываются и хорошо известны хакерам, которые не замедлят ими воспользоваться.

То же самое касается любых приложений и расширений. Бесплатные — скачивать только с официальных сайтов разработчиков и своевременно обновлять, платные — либо честно покупать, либо отказаться от их использования. За условно-бесплатное скачивание с пиратского сайта в конечном счете придется заплатить намного больше, когда понадобится восстанавливать как содержимое, так и репутацию в глазах поисковых систем, которые игнорируют сайты, содержащие нерелевантные ссылки и распространяющие зараженные файлы.

Необходимо четко разграничить права разных категорий пользователей. Никто не должен иметь больше возможностей, чем необходимо.

Пароли для администраторов и привилегированных групп пользователей должны быть сложными.

Желательно использовать различные программы и утилиты, повышающие безопасность. Неплохо также проверить сайт специальными программами поиска уязвимостей, либо, если надежность важна и финансы позволяют, поручить задачу профессионалам.

Защита от DDoS-атак (по крайней мере, низкой и средней мощности) осуществляется размещением сайта на серверах с высокой пропускной способностью. Также используются анализ и фильтрование трафика с блокировкой IP-адресов атакующих машин. В случае же мощных атак зачастую остается лишь переждать, пока они прекратятся. Заказчики DDoS-атак редко располагают собственными ресурсами для их проведения и вынуждены платить хакерам — владельцам ботнетов (сетей зараженных компьютеров, с которых и ведется атака). Соответственно, мощная атака стоит немалых денег и редко длится дольше нескольких дней. Другим вариантом является приобретение специальных средств для защиты от отказа в обслуживании. Чтобы снизить вероятность DDoS-атак, не стоит размещать контент, оскорбительный для больших групп людей или влиятельных структур, способных отомстить.

Наконец, полезно регулярно выполнять резервное копирование сайта, чтобы в случае серьезных проблем быстро его восстановить.

Типы DDoS-атак и методы смягчения

Определение распределенной атаки типа «отказ в обслуживании» (DDoS)

Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка сделать онлайн-сервис недоступным для пользователей, обычно путем временного прерывания или приостановки обслуживания его хост-сервера.

DDoS-атака запускается с множества взломанных устройств, которые часто распространяются по всему миру в так называемых ботнетах.Он отличается от других атак типа «отказ в обслуживании» (DoS) тем, что использует одно подключенное к Интернету устройство (одно сетевое соединение) для наводнения цели вредоносным трафиком. Этот нюанс — основная причина существования этих двух, несколько разных определений.

«И на этом наша вечеринка DDoS завершается: журнал Escapist, Eve Online, Minecraft, League of Legends + 8 телефонных запросов». Твитнул LulzSec — 14 июня 2011 г., 23:07

В общих чертах, DoS- и DDoS-атаки можно разделить на три типа:

Атаки на основе объема
Включает лавинную рассылку UDP, лавинную рассылку ICMP и другие лавинные потоки поддельных пакетов.Цель атаки — заполнить полосу пропускания атакуемого сайта, и ее величина измеряется в битах в секунду (бит / с).

Протокол атак
Включает SYN-флуд, атаки с использованием фрагментированных пакетов, Ping of Death, Smurf DDoS и многое другое. Этот тип атаки потребляет фактические ресурсы сервера или промежуточного коммуникационного оборудования, такого как межсетевые экраны и балансировщики нагрузки, и измеряется в пакетах в секунду (Pps).

Атаки на уровне приложений
Включает низко-медленные атаки, наводнения GET / POST, атаки, нацеленные на уязвимости Apache, Windows или OpenBSD, и многое другое.Целью этих атак, состоящих из кажущихся законными и невинных запросов, является сбой веб-сервера, а величина измеряется в запросах в секунду (Rps).

Распространенные типы DDoS-атак

Некоторые из наиболее часто используемых типов DDoS-атак включают:

UDP Наводнение

UDP-флуд, по определению, — это любая DDoS-атака, которая наводняет цель пакетами протокола пользовательских дейтаграмм (UDP). Цель атаки — заполнить случайные порты на удаленном хосте.Это заставляет хост многократно проверять, прослушивает ли этот порт приложение, и (если приложение не найдено) отвечает пакетом ICMP «Destination Unreachable». Этот процесс истощает ресурсы хоста, что в конечном итоге может привести к недоступности.

ICMP (Ping) Флуд

В принципе, аналогично атаке UDP-лавинной рассылки, ICMP-лавинная переполняет целевой ресурс пакетами эхо-запроса ICMP (ping), обычно отправляя пакеты как можно быстрее, не дожидаясь ответов.Этот тип атаки может потреблять как исходящую, так и входящую полосу пропускания, поскольку серверы жертвы часто пытаются ответить пакетами эхо-ответа ICMP, что приводит к значительному общему замедлению работы системы.

SYN Flood

Атака SYN flood DDoS использует известную слабость в последовательности TCP-соединения («трехстороннее рукопожатие»), при которой на SYN-запрос для инициирования TCP-соединения с хостом должен быть получен ответ SYN-ACK от этого хоста, и затем подтверждается ответом ACK от запрашивающей стороны.В сценарии SYN-лавинной рассылки запрашивающая сторона отправляет несколько SYN-запросов, но либо не отвечает на ответ SYN-ACK хоста, либо отправляет SYN-запросы с поддельного IP-адреса. В любом случае хост-система продолжает ждать подтверждения для каждого запроса, привязывая ресурсы до тех пор, пока новые соединения не перестанут быть установлены, что в конечном итоге приведет к отказу в обслуживании.

Пинг смерти

Атака POD (POD) включает в себя отправку злоумышленником нескольких неверно сформированных или вредоносных запросов на компьютер.Максимальная длина IP-пакета (включая заголовок) составляет 65 535 байт. Однако уровень канала передачи данных обычно устанавливает ограничения на максимальный размер кадра — например, 1500 байтов по сети Ethernet. В этом случае большой IP-пакет разделяется на несколько IP-пакетов (известных как фрагменты), и хост-получатель повторно собирает IP-фрагменты в полный пакет. В сценарии Ping of Death после злонамеренного манипулирования содержимым фрагмента получатель получает IP-пакет, размер которого при повторной сборке превышает 65 535 байт.Это может привести к переполнению буферов памяти, выделенных для пакета, что приведет к отказу в обслуживании законных пакетов.

Slowloris

Slowloris — это целенаправленная атака, позволяющая одному веб-серверу отключать другой сервер, не затрагивая другие службы или порты в целевой сети. Slowloris делает это, удерживая как можно больше открытых подключений к целевому веб-серверу. Это достигается путем создания соединений с целевым сервером, но отправкой только частичного запроса.Slowloris постоянно отправляет новые заголовки HTTP, но никогда не выполняет запрос. Целевой сервер сохраняет открытыми каждое из этих ложных подключений. Это в конечном итоге приводит к переполнению максимального пула одновременных подключений и приводит к отказу от дополнительных подключений от законных клиентов.

Усиление NTP

В атаках с усилением NTP злоумышленник использует общедоступные серверы Network Time Protocol (NTP), чтобы перегружать целевой сервер трафиком UDP. Атака определяется как атака с усилением, потому что соотношение запросов и ответов в таких сценариях составляет от 1:20 до 1: 200 или более.Это означает, что любой злоумышленник, который получает список открытых серверов NTP (например, с помощью такого инструмента, как Metasploit, или данных из Open NTP Project), может легко создать разрушительную DDoS-атаку большого объема с высокой пропускной способностью.

HTTP-флуд

При DDoS-атаке HTTP-потоком злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки на веб-сервер или приложение. HTTP-потоки не используют искаженные пакеты, методы спуфинга или отражения и требуют меньшей полосы пропускания, чем другие атаки, чтобы вывести из строя целевой сайт или сервер.Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимально возможные ресурсы в ответ на каждый отдельный запрос.

Imperva смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.

DDoS-атаки нулевого дня

Определение «нулевого дня» охватывает все неизвестные или новые атаки, использующие уязвимости, для которых еще не выпущено исправление. Этот термин хорошо известен среди членов хакерского сообщества, где практика торговли уязвимостями нулевого дня стала популярным занятием.

Мотивация DDoS-атак

DDoS-атаки быстро становятся наиболее распространенным типом киберугроз, которые, согласно последним исследованиям рынка, за последний год быстро выросли как по количеству, так и по объему. Тенденция заключается в более короткой продолжительности атаки, но большем объеме атаки пакетов в секунду.

Основными мотивами злоумышленников являются:

• Идеология — Так называемые «хактивисты» используют DDoS-атаки как средство нацеливания на веб-сайты, с которыми они не согласны идеологически.
• Деловые распри — Компании могут использовать DDoS-атаки для стратегического уничтожения веб-сайтов конкурентов, например, чтобы не допустить их участия в значительном событии, таком как Киберпонедельник.
• Скука — Кибервандалы, также известные как «скрипт-кидди», используют заранее написанные сценарии для запуска DDoS-атак. Виновным в этих атаках обычно бывает скучно, потенциальные хакеры ищут прилив адреналина.
• Вымогательство — Злоумышленники используют DDoS-атаки или угрозу DDoS-атак как средство вымогательства денег у своих целей.
• Кибервойна — санкционированные правительством DDoS-атаки могут использоваться как для нанесения вреда оппозиционным веб-сайтам, так и для инфраструктуры вражеской страны. LOIC (Low Orbit Ion Cannon): инструмент DoS-атаки «начального уровня», используемый для кибервандализма

Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.

Решения Imperva уменьшают ущерб от DDoS-атак

Imperva беспроблемно и комплексно защищает веб-сайты от всех трех типов DDoS-атак, обращаясь к каждому с помощью уникального набора инструментов и стратегии защиты:

Объемные атаки
Imperva противостоит этим атакам, поглощая их с помощью глобальной сети центров очистки, которые масштабируются по запросу для противодействия многогигабайтным DDoS-атакам.

Протокол атак
Imperva смягчает этот тип атак, блокируя «плохой» трафик еще до того, как он достигает сайта, используя технологию идентификации посетителей, которая различает законных посетителей веб-сайта (люди, поисковые системы и т. Д.) И автоматических или злонамеренных клиентов.

Атаки на уровне приложений
Imperva смягчает атаки на уровне приложений, отслеживая поведение посетителей, блокируя известные плохие боты и проверяя подозрительные или нераспознанные объекты с помощью теста JS, запроса cookie и даже CAPTCHA.

Imperva предотвращает DDoS-атаку 250 Гбит / с — одну из крупнейших в Интернете.

Во всех этих сценариях Imperva применяет свои решения для защиты от DDoS-атак за пределами вашей сети, что означает, что только отфильтрованный трафик достигает ваших хостов. Кроме того, Imperva поддерживает обширную базу знаний об угрозах DDoS, которая включает в себя новые и появляющиеся методы атак. Эта постоянно обновляемая информация собирается по всей нашей сети, выявляя новые угрозы по мере их появления, выявляя известных злоумышленников и применяя средства защиты в режиме реального времени на всех веб-сайтах, защищенных Imperva.

6 советов по борьбе с DDoS-атаками

Знание, как быстро остановить DDoS-атаку, может стать разницей между процветанием вашей организации и ее банкротством. Это связано с тем, что последствия успешной DDoS-атаки могут быть разрушительными: ваша организация исчезнет из Интернета и не сможет взаимодействовать с клиентами.

Если вы стали жертвой DDoS-атаки, вы не одиноки. Среди известных жертв DDoS-атак в 2018 году были такие разные организации, как Google, Amazon, PlayStation, Pinterest и GitHub, которые подверглись самой масштабной DDoS-атаке, когда-либо наблюдавшейся.

Базовая атака типа «отказ в обслуживании» (DoS) включает в себя бомбардировку IP-адреса большим объемом трафика. Если IP-адрес указывает на веб-сервер, то он (или вышестоящие маршрутизаторы) может быть перегружен. Законный заголовок трафика для веб-сервера не сможет связаться с ним, и сайт станет недоступен. В обслуживании отказано.

Посмотрите наши подборки ведущих поставщиков DDoS-атак

Распределенная атака типа «отказ в обслуживании» (DDoS) — это особый тип атаки типа «отказ в обслуживании».Принцип тот же, но вредоносный трафик генерируется из нескольких источников, хотя и управляется из одной центральной точки. Тот факт, что источники трафика распределены — часто по всему миру — делает DDoS-атаку намного сложнее заблокировать, чем атаку, исходящую с одного IP-адреса.

Узнайте о различных типах DDoS-атак

Участие DDoS-атак

Согласно исследованию, опубликованному Corero Network Security в конце 2017 года, DDoS-атаки

становятся все более обычным явлением.Согласно отчету DDoS Trends and Analysis, количество атак увеличилось на 35% в период со 2 квартала 2017 года по 3 квартал 2017 года.

Одной из причин их роста является рост числа незащищенных устройств Интернета вещей (IoT), которые заражаются и задействуются в ботнетах, таких как Reaper.

Объем данных, передаваемых жертвами DDoS-атак, также значительно вырос, в основном благодаря атакам с усилением, таким как метод атаки с усилением memcached. Ранее в этом году киберпреступники предприняли около 15 000 атак memcached, включая атаку на GitHub, которая достигла поразительной отметки в 1.35 Тбит / с.

Предотвратить DDoS-атаку, когда злоумышленники могут запустить на ваших серверах скорость более 1 Тбит / с, практически невозможно, а это означает, что как никогда важно понять, как остановить DDoS-атаку после того, как она начала влиять на ваши операции. Вот шесть советов по предотвращению DDoS-атаки.

Как остановить DDoS-атаку

1. Определите раннюю DDoS-атаку

Если у вас есть собственные серверы, вы должны иметь возможность определять, когда вы подвергаетесь атаке.Это потому, что чем раньше вы определите, что проблемы с вашим сайтом вызваны DDoS-атакой, тем скорее вы сможете остановить DDoS-атаку.

Чтобы иметь возможность сделать это, рекомендуется ознакомиться со своим типичным профилем входящего трафика; чем больше вы знаете о том, как выглядит ваш обычный трафик, тем легче заметить изменение его профиля. Большинство DDoS-атак начинаются с резких скачков трафика, и полезно иметь возможность отличить внезапный всплеск законных посетителей от начала DDoS-атаки.

Также неплохо назначить в вашей компании лидера по DDoS-атакам, который будет отвечать за действия в случае нападения на вас.

2. Пропускная способность избыточного выделения

Обычно имеет смысл иметь большую полосу пропускания, доступную для вашего веб-сервера, чем вы думаете, что вам может понадобиться. Таким образом, вы можете справиться с внезапными и неожиданными скачками трафика, которые могут быть результатом рекламной кампании, специального предложения или даже упоминания вашей компании в СМИ.

Даже если вы предоставите избыточное количество ресурсов на 100 или 500 процентов, это, скорее всего, не остановит DDoS-атаку.Но это может дать вам несколько дополнительных минут, чтобы действовать, прежде чем ваши ресурсы будут полностью исчерпаны.

3. Защита периметра сети (если у вас собственный веб-сервер)

Существует несколько технических мер, которые можно предпринять для частичного смягчения последствий атаки — особенно в первые минуты — и некоторые из них довольно просты. Например, вы можете:

• ограничьте скорость вашего маршрутизатора, чтобы предотвратить перегрузку вашего веб-сервера
• добавить фильтры, чтобы указать маршрутизатору отбрасывать пакеты от очевидных источников атаки
• таймаут полуоткрытых соединений более агрессивно
• отбрасывать поддельные или искаженные пакеты
• установить более низкие пороги отбрасывания SYN, ICMP и UDP.

Но правда в том, что, хотя эти шаги были эффективны в прошлом, DDoS-атаки теперь обычно слишком велики, чтобы эти меры могли полностью остановить DDoS-атаку.Опять же, самое большее, на что вы можете надеяться, это то, что они выиграют вам немного времени, поскольку DDoS-атака нарастает.

4. Позвоните своему интернет-провайдеру или хостинг-провайдеру

Следующий шаг — позвонить своему интернет-провайдеру (или хостинг-провайдеру, если у вас нет собственного веб-сервера), сообщить им, что вы подверглись атаке, и попросить о помощи. Держите под рукой контакты вашего интернет-провайдера или хостинг-провайдера, чтобы вы могли сделать это быстро. В зависимости от силы атаки интернет-провайдер или хостер, возможно, уже обнаружил ее — или они сами могут быть поражены атакой.

У вас больше шансов противостоять DDoS-атаке, если ваш веб-сервер расположен в хостинг-центре, чем если вы запустите его самостоятельно. Это связано с тем, что его центр обработки данных, вероятно, будет иметь каналы с более высокой пропускной способностью и маршрутизаторы с большей пропускной способностью, чем ваша компания, а его сотрудники, вероятно, будут иметь больший опыт борьбы с атаками. Размещение вашего веб-сервера с хостером также будет удерживать DDoS-трафик, направленный на ваш веб-сервер, за пределы корпоративной локальной сети, поэтому по крайней мере эта часть вашего бизнеса — включая электронную почту и, возможно, услуги передачи голоса по IP (VoIP) — должна нормально работать во время атаки.

Если DDoS-атака достаточно велика, первое, что может сделать хостинговая компания или интернет-провайдер, — это «нулевой маршрут» вашего трафика, в результате чего пакеты, предназначенные для вашего веб-сервера, будут отброшены до их прибытия.

«Хостинговой компании может быть очень дорого разрешить DDoS-атаки в их сети, потому что это потребляет много пропускной способности и может повлиять на других клиентов, поэтому первое, что мы можем сделать, — это черная дыра для вас на время», — сказал Лиам Энтикнап. , инженер по эксплуатации сети на хостинге PEER 1.

Тим Пэт ​​Даффи, управляющий директор интернет-провайдера и хостинговой компании ServerSpace, согласился. «Первое, что мы делаем, когда видим, что клиент подвергается атаке, — это подключаемся к нашим маршрутизаторам и предотвращаем попадание трафика в нашу сеть», — говорит он. «Это занимает около двух минут для глобального распространения с использованием BGP (протокол пограничного шлюза), а затем трафик падает».

Если бы это был конец истории, DDoS-атака все равно была бы успешной. Чтобы вернуть веб-сайт в оперативный режим, ваш интернет-провайдер или хостинговая компания могут перенаправить трафик на «скруббер», где вредоносные пакеты могут быть удалены до того, как законные будут отправлены на ваш веб-сервер.

«Мы используем наш опыт и различные инструменты, чтобы понять, как трафик на ваш сайт изменился по сравнению с тем, который он получал раньше, и для выявления вредоносных пакетов», — сказал Enticknap. Он говорит, что PEER 1 может принимать, очищать и отправлять на очень высоких уровнях трафика, но с уровнями трафика, сопоставимыми с теми, которые испытывает Github, даже эти усилия по очистке, вероятно, будут подавлены.

5. Позвоните специалисту по предотвращению DDoS-атак

В случае очень крупных атак, скорее всего, ваш лучший шанс остаться в сети — это использовать специализированную компанию по предотвращению DDoS-атак.Эти организации имеют крупномасштабную инфраструктуру и используют различные технологии, в том числе очистку данных, чтобы поддерживать ваш веб-сайт в сети. Возможно, вам потребуется напрямую связаться с компанией по предотвращению DDoS-атак, либо ваша хостинговая компания или поставщик услуг могут заключить с ней соглашение о партнерстве для обработки крупных атак.

«Если клиенту требуется защита от DDoS-атак, мы перенаправляем их трафик в Black Lotus (компания по предотвращению DDoS-атак)», — сказал Даффи. «Мы делаем это с помощью BGP, поэтому это займет всего несколько минут.”

Центр очистки

Black Lotus может обрабатывать очень высокий уровень трафика и отправлять очищенный трафик по назначению. Это приводит к увеличению задержки для пользователей веб-сайта, но в качестве альтернативы они вообще не смогут получить доступ к сайту.

Услуги по предотвращению DDoS-атак

не бесплатны, поэтому вам решать, хотите ли вы заплатить, чтобы оставаться в сети, или принять удар и дождаться, пока DDoS-атака прекратится, прежде чем продолжить работу. Подписка на службу защиты от DDoS-атак на постоянной основе может стоить несколько сотен долларов в месяц.Однако, если вы ждете, пока он вам понадобится, рассчитывайте заплатить гораздо больше за услугу и подождите дольше, прежде чем она начнет работать.

Подробнее о DDoS-решениях

6. Создайте сценарий DDoS-атак

Лучший способ гарантировать, что ваша организация отреагирует как можно быстрее и эффективнее, чтобы остановить DDoS-атаку, — это создать сценарий, в котором подробно документируется каждый шаг заранее запланированного ответа при обнаружении атаки.

Это должно включать действия, описанные выше, с контактными именами и номерами телефонов всех тех, кого, возможно, потребуется привлечь к действиям в рамках плана действий.Компании по предотвращению DDoS-атак могут помочь в этом, запустив имитацию DDoS-атаки, что позволит вам разработать и усовершенствовать быструю корпоративную процедуру реагирования на реальную атаку.

Важной частью вашего запланированного ответа на DDoS-атаку, которую не следует упускать из виду, является то, как вы сообщаете о проблеме клиентам. DDoS-атаки могут длиться до 24 часов, и хорошее общение может гарантировать минимальные затраты для вашего бизнеса, пока вы остаетесь под атакой.

Ваша организация должна приложить значительные усилия для предотвращения воздействия DDoS-атак на вашу инфраструктуру, и это тема следующей статьи этой серии, Как предотвратить DDoS-атаки .

Пауль Рубенс занимается вопросами ИТ-безопасности более 20 лет. В то время он писал для ведущих британских и международных изданий, включая The Economist, The Times, Financial Times, BBC, Computing и ServerWatch.

Эта статья была первоначально опубликована 30 апреля 2013 г. и обновлена ​​25 января 2016 г. и 26 июня 2018 г.

Стоимость запуска DDoS-атаки

Распределенная атака типа «отказ в обслуживании» (DDoS) — один из самых популярных инструментов в арсенале киберпреступников.Мотивы таких атак могут быть разными — от киберхулиганства до вымогательства. Были случаи, когда преступные группы угрожали своим жертвам DDoS-атакой, если последняя не заплатила 5 биткойнов (более 5000 долларов). Часто DDoS-атака используется для отвлечения ИТ-персонала во время совершения другого киберпреступления, такого как кража данных или внедрение вредоносного ПО.

Практически любой может стать жертвой DDoS-атаки. Они относительно дешевы и просты в организации, и могут быть очень эффективными при отсутствии надежной защиты.На основе анализа данных, полученных из открытых источников (например, предложений организовать DDoS-атаки на интернет-форумах или в Tor), нам удалось выяснить текущую стоимость DDoS-атаки на черном рынке. Мы также установили, что именно киберпреступники, стоящие за DDoS-атаками, предлагают своим клиентам.

DDoS как услуга

Заказ DDoS-атаки обычно осуществляется с помощью полноценного веб-сервиса, что исключает необходимость прямого контакта между организатором и заказчиком.Большинство предложений, с которыми мы сталкивались, оставляли ссылки на эти ресурсы, а не на контактные данные. Клиенты могут использовать их для оплаты, получения отчетов о проделанной работе или использования дополнительных услуг. Фактически, функциональные возможности этих веб-сервисов похожи на те, что предлагаются юридическими услугами.

Пример веб-сервиса для заказа DDoS-атак, который больше похож на веб-страницу ИТ-стартапа, чем на киберпреступную операцию

Эти веб-службы представляют собой полнофункциональные веб-приложения, которые позволяют зарегистрированным клиентам управлять своим балансом и планировать свой бюджет для DDoS-атак.Некоторые разработчики даже предлагают бонусные баллы за каждую атаку, проведенную с их помощью. Другими словами, у киберпреступников есть собственные программы лояльности и обслуживания клиентов.

DDoS-сервис, рекламируемый на российском публичном форуме, предлагает атаки от 50 долларов в день

Некоторые из идентифицированных нами сервисов содержали информацию о количестве зарегистрированных пользователей, а также данные о количестве атак, проводимых за день. Многие веб-сервисы, предлагающие DDoS-атаки, утверждали, что имеют десятки тысяч зарегистрированных учетных записей.Однако владельцы сервисов могут завышать эти цифры, чтобы их ресурсы выглядели более популярными.

Статистика предоставлена ​​одним сервисом для демонстрации его популярности среди клиентов DDoS (479270 реализованных атак)

Статистика предоставлена ​​одним сервисом для демонстрации популярности сценариев DDoS-атак

Информация о популярности DDoS-сервиса

Тарифы на DDoS

Особые характеристики, подчеркнутые в рекламе услуг DDoS, могут дать конкретной услуге преимущество перед ее конкурентами и повлиять на выбор клиента:

1. Мишень и ее характеристики. Киберпреступник, который соглашается атаковать государственный ресурс, привлечет клиентов, заинтересованных в этой конкретной услуге. Злоумышленник может запросить за этот тип услуг больше денег, чем за атаку на интернет-магазин. Стоимость услуги также может зависеть от типа защиты от DDoS, которую имеет потенциальная жертва: если цель использует системы фильтрации трафика для защиты своих ресурсов, киберпреступники должны найти способы их обхода, чтобы обеспечить эффективную атаку, а это тоже означает рост цены.

2. Источники атак и их характеристики. Этот фактор может определять цену, которую злоумышленники запрашивают за проведение своих атак. Чем дешевле для преступника поддерживать ботнет (определяемый, например, средней стоимостью заражения устройства и включения его в ботнет), тем больше вероятность, что они потребуют заниженные цены на свои услуги. Например, ботнет из 1000 камер наблюдения может быть дешевле с точки зрения организации, чем ботнет из 100 серверов.Это связано с тем, что камеры и другие устройства Интернета вещей в настоящее время менее безопасны — факт, который часто игнорируется их владельцами.

3. Сценарий атаки. Запросы на атипичные DDoS-атаки (например, заказчик может попросить владельца ботнета переключиться между различными методами DDoS-атак в течение короткого периода времени или реализовать несколько методов одновременно) могут увеличить затраты.

4. Средняя стоимость DDoS-атаки как услуги в конкретной стране. Конкуренция может побуждать киберпреступников повышать или понижать стоимость своих услуг. Они также стараются учитывать платежеспособность своей аудитории и соответственно разрабатывать свою ценовую политику (например, DDoS-атака будет стоить клиентам в США больше, чем аналогичное предложение в России).

Наряду с особенностями ботнета, организаторы DDoS-сервисов также предлагают клиентам тарифный план, при котором покупатель платит посекундную арендную плату за мощность ботнета.Например, 300-секундная DDoS-атака с использованием ботнета с общей пропускной способностью 125 Гбит / с будет стоить 5 евро, при этом все остальные характеристики (мощность и сценарии) останутся неизменными для всех тарифов.

Прейскурант одной из крупнейших услуг, предлагающих DDoS-атаки

DDoS-атака продолжительностью 10800 секунд будет стоить клиенту 60 долларов, или примерно 20 долларов в час, а спецификации атаки (сценарий и используемые вычислительные мощности) не всегда указывались на ресурсах, обращенных к клиенту.По-видимому, не все киберпреступники считают целесообразным раскрывать внутреннюю работу своих ботнетов (также возможно, что некоторые владельцы на самом деле не понимают технических характеристик своих ботнетов). В частности, они не раскрывают тип ботов, включенных в ботнет.

В цену включена реализация следующих довольно тривиальных сценариев:

• SYN-флуд;
• UDP-флуд;
• NTP-амплификация;
• Многовекторное усиление (несколько сценариев усиления одновременно).

Прейскурант на услугу, позволяющую в несколько кликов заказать DDoS-атаку на произвольный ресурс с подробным отчетом

Некоторые сервисы предлагают выбор сценария атаки, который позволяет киберпреступникам комбинировать различные сценарии и проводить атаки с учетом индивидуальных характеристик жертвы. Например, если жертва успешно борется с SYN-flood, злоумышленник может переключить сценарий на панели управления и оценить реакцию жертвы.

Различные тарифы англоязычной службы, цены на которые меняются в зависимости от количества секунд, в течение которых длится DDoS-атака

Среди проанализированных нами предложений были такие, в которых злоумышленники указывали разные цены на свои услуги в зависимости от типа жертвы.

Информация, найденная на российском сайте, полностью посвященном DDoS-сервисам

Например, киберпреступники запрашивают 400 долларов в день за атаку сайта / сервера, использующего защиту от DDoS, что в четыре раза дороже, чем атака на незащищенный сайт.

Более того, не все киберпреступники, предлагающие DDoS-атаки, согласятся атаковать государственные ресурсы: такие сайты тщательно контролируются правоохранительными органами, а организаторы не хотят раскрывать свои бот-сети. Однако нам попадались сервисы, предлагающие атаки на государственные ресурсы отдельным пунктом в прайс-листе.

«Цена может измениться, если ресурс имеет политический статус» — означает ресурс, продвигающий DDoS-атаки.

Интересно, что некоторые преступники не видят ничего плохого в обеспечении защиты от DDoS вместе со своими сервисами DDoS-атак.

Некоторые сервисы, предлагающие DDoS-атаки, также могут предлагать защиту от таких атак

Ценообразование: пример «облака»

Давайте рассмотрим сценарий атаки с усилением DNS. Этот тип атаки включает отправку специально сформированного запроса (например, объемом 100 байт) на уязвимый DNS-сервер, который отвечает «отправителю» (то есть жертве) большим объемом (килобайт) данных. Ботнет может состоять из десятков и даже сотен таких серверов или ресурсов поставщика общедоступных облачных сервисов.Добавьте общедоступные веб-сервисы нагрузочного тестирования, которые можно использовать для проведения атаки с усилением SaaS, и мы получим довольно тяжелую «кувалду».

DDoS = облако + усиление DNS + усиление SaaS

Стоимость данной услуги зависит от стоимости ресурсов провайдера. Возьмем для примера Amazon EC2 — цена виртуального выделенного сервера с минимальной конфигурацией (для DDoS-атаки конфигурация зараженной рабочей станции не так важна, как ее пропускная способность подключения) составляет около 0 долларов.0065 в час. Таким образом, 50 виртуальных серверов для организации маломощной DDoS-атаки на интернет-магазин обойдутся злоумышленникам в 0,325 доллара в час. С учетом дополнительных затрат (например, наличие SIM-карты для регистрации аккаунта и добавления к нему кредитной карты) часовая DDoS-атака с использованием облачного сервиса обойдется злоумышленникам примерно в 4 доллара.

Прейскурант популярных поставщиков облачных услуг

Это означает, что фактическая стоимость атаки с использованием ботнета из 1000 рабочих станций может составить 7 долларов в час.Запрашиваемые цены на услуги, которые нам удалось найти, составляли в среднем 25 долларов в час, что означает, что киберпреступники, организующие DDoS-атаку, получают прибыль около 18 долларов за каждый час атаки.

Заключение

Клиенты этих сервисов прекрасно понимают преимущества DDoS-атак и их эффективность. Стоимость пятиминутной атаки на крупный интернет-магазин составляет около 5 долларов. Однако жертва может потерять гораздо больше, потому что потенциальные клиенты просто не могут разместить заказ.Мы можем только догадываться, сколько покупателей теряет интернет-магазин, если атака длится целый день.

В то же время киберпреступники продолжают активно искать новые и более дешевые способы организации ботнетов. В этом плане Интернет вещей облегчает им жизнь. Одна из актуальных тенденций — заражение IoT-устройств (камеры видеонаблюдения, DVR-системы, «умная» бытовая техника и др.) И их последующее использование в DDoS-атаках. И хотя уязвимые устройства Интернета вещей существуют, киберпреступники могут использовать их.

Следует отметить, что DDoS-атаки и, в частности, DDoS-вымогатели уже превратились в высокодоходный бизнес: доходность одной атаки может превышать 95%. А тот факт, что владельцы онлайн-сайтов часто готовы платить выкуп, даже не проверив, могут ли злоумышленники на самом деле провести атаку (что уже подхватили другие мошенники), добавляет еще больше масла в огонь. Все вышесказанное говорит о том, что средняя стоимость DDoS-атак в ближайшее время будет только падать, а их частота увеличиваться.

DDoS-атак: что это такое и как DDoS-атаки

Обновлено 06.10.2020

Атака DDoS (распределенный отказ в обслуживании) очень похожа на атаку DoS (отказ в обслуживании) , с той лишь разницей, что одна и та же атака выполняется разными людьми (или ботнеты) в одно и то же время. Следовательно, DDoS — это вопрос масштаба.

После выбора службы для нацеливания выполните следующие пять шагов, чтобы выполнить DoS-атаку:

1. Запустите средство DoS, например LOIC.

2. Укажите IP-адрес атакуемого сервера.

3. Выберите порт, который, как вы знаете, открыт и принимает входящие соединения.

4. Выберите TCP.

5. Нажмите на кнопку, чтобы начать атаку.

Для проведения DDoS-атаки выполните те же действия, что и для DoS-атаки, за исключением инструмента HOIC. Это как DDoS:

1. Найдите и выберите услугу.

2. Выберите открытый порт.

3. Запустить HOIC.

4. Увеличьте количество нитей.

5. Укажите желаемый URL-адрес.

6. Увеличьте мощность до максимума.

7. Выберите усилитель.

8. Смонтировать атаку.

Давайте сначала рассмотрим атаку DoS , чтобы лучше понять атаку DDoS .

Что такое атака типа «отказ в обслуживании» (DoS)?

DoS — это кибератака, предназначенная для подавления работы онлайн-сервиса, сбоя их системы, что приводит к отказу в обслуживании клиентов, сотрудников и т. Д. Чтобы осуществить DoS-атаку, все, что вам нужно сделать, это:

1. Найдите и выберите услугу для таргетинга.

2. Выберите открытый порт.

3. Превосходный сервис.

По своей сути, DoS-атака довольно проста и проста в исполнении.Настоящий вопрос здесь в том, достаточно ли у вас масштаба, чтобы перегрузить вашу целевую систему.

Вот разбивка каждого шага.

Найдите и выберите службу для таргетинга

Первый шаг к установке DoS — поиск службы, на которую можно нацеливаться. Это должно быть что-то с открытыми портами и уязвимостями, которое будет принимать входящие соединения.

Вот некоторые из услуг, которые могут соответствовать этим критериям:

• Веб-серверы

• DNS-серверы

• Почтовые серверы

• FTP-серверы

• Telnet-серверы

Что делает эти службы настолько легкими для нацеливания, так это то, что они принимают неаутентифицированные соединения.

Выберите открытый порт

Просмотрите список открытых портов в Windows, открыв командную строку DOS, введя netstat и нажав Enter. Чтобы просмотреть порты, с которыми компьютер обменивается данными, введите netstat -an | find / i «installed».

Настройки порта различаются от программы к программе, но общая идея одинакова для всех. Когда вы пытаетесь получить доступ к порту, вы узнаете, что он недоступен, если сообщение «Подключение…» зависает, а затем окно закрывается. Если он доступен, вы получите пустое окно или увидите текст, похожий на «220 ESMTP, говорят здесь.”

Если хотите, вот три инструмента, которые вы можете использовать для поиска открытых портов:

1. Telnet

2. CurrPorts

3. TCPEye

Превзойти службу

В идеале вы должны выбрать службу, у которой нет максимального ограничения на количество разрешенных подключений. Лучший способ узнать, нет ли у сервиса верхней границы, — это отправить ему несколько сотен тысяч подключений, а затем понаблюдать, что происходит.

Для достижения оптимального эффекта вы должны отправлять конкретные запросы и информацию. Например, если вы нацеливаетесь на веб-сервер с помощью поисковой системы, не просто запрашивайте веб-страницу или нажимайте F5 несколько раз. Запросите сложный поисковый запрос, на решение которого потребуется значительное количество энергии. Если выполнение этого только один раз окажет заметное влияние на серверную часть, то выполнение этого действия сотни раз в секунду, вероятно, приведет к остановке сервера.

То же самое можно сделать и с DNS-сервером.Вы можете заставить его разрешать сложные DNS-запросы, которые не кэшируются. Делайте это достаточно часто, и сервер выйдет из строя.

Для службы электронной почты вы можете отправлять множество больших вложений электронной почты, если вы можете получить законную учетную запись на ее сервере. Если вы не можете, это довольно легко подделать.

Если вы не можете настроить таргетинг на какую-либо конкретную службу, вы можете просто заполнить хост трафиком, за исключением того, что атака может быть не такой элегантной и, безусловно, потребует немного больше трафика.

Как только вы перегружаете систему, окружающая среда готовится к атаке.

Как организовать DoS-атаку

После того, как вы выполнили процессы отслеживания, сканирования и перечисления сети, вы должны иметь хорошее представление о том, что происходит в сети, на которую вы нацеливаетесь. Вот пример одной конкретной системы, которую вы хотите атаковать. Это 192.168.1.16 (контроллер домена Windows 2008 и веб-сервер).

Чтобы атаковать его, выполните следующие 5 шагов:

1. Запустите ваш любимый инструмент для атаки на системы. Мне нравится низкоорбитальная ионная пушка (LOIC).Это самый простой для понимания инструмент, потому что совершенно очевидно, что он делает.

Другие инструменты DoS, которые можно использовать для атак, включают XOIC, HULK, DDOSIM, R.U.D.Y. и Tor’s Hammer.

2. Укажите IP-адрес атакуемого сервера, в данном случае 192.168.1.16. Держись за это.

3. Выберите порт, который, как вы знаете, открыт и принимает входящие соединения. Например, выберите порт 80 для атаки через Интернет.

4. Выберите TCP, чтобы указать, какие ресурсы нужно связать.

5. Нажмите на кнопку, чтобы начать атаку.

Вы увидите, что количество запрашиваемых данных быстро увеличивается.

Увеличение объема данных может в конечном итоге начать немного замедляться, частично из-за того, что вы потребляете ресурсы на клиенте, а также из-за того, что самому серверу либо не хватит ресурсов, либо он начнет защищаться от вашей атаки.

Что делать, когда хост начинает защищаться

Некоторые хосты можно настроить для поиска шаблонов, выявления атак и начала защиты.Чтобы противостоять их защите, вы можете:

1. Остановите атаку на мгновение (щелкнув ту же кнопку, которую вы нажали, чтобы начать атаку).

2. Измените порт, который вы атакуете.

3. Немного замедлите атаку, что добавляет путаницы.

В нашем примере вы измените порт с 80 на порт 88 (если вы посмотрите снимок экрана в Advanced Port Scanner, вы увидите, что порт 88 также открыт).После того, как вы закончите изменять настройки, вы можете возобновить атаку, снова нажав кнопку атаки.

Теперь вы атакуете другой порт (который представляет собой другую службу) немного другим способом и с другой скоростью. Скорость важна только в том случае, если вы атакуете с одного клиента.

Вот как будет выглядеть атака, если вы сделаете такого рода DoS только с одной машины.

Что такое DDoS-атака? Одновременная атака на нескольких клиентов

Распределенная атака типа «отказ в обслуживании» (DDoS) выполняется с целью отключения веб-сайта или службы путем наводнения на них большего количества информации или обработки, чем веб-сайт может обработать.Это практически то же самое, что и DoS-атака, с той лишь разницей, что она выполняется множеством разных машин одновременно.

В зависимости от ситуации, один клиент, атакующий таким образом, может или не может сразу повлиять на производительность сервера, но DDoS-атака не должна останавливаться только с одним клиентом. Обычно вы проводите эту атаку против разных портов в разное время и пытаетесь определить, влияют ли ваши действия на службы. Еще лучше, он отключит сервер.

Если атака дает желаемый эффект, вы можете масштабировать ее, запустив LOIC на дюжине (или даже сотнях) компьютеров одновременно. Многие из этих действий можно запрограммировать, то есть вы можете захватывать трафик и воспроизводить его в командной строке для разных целей. Или вы можете играть в него как часть сценария от разных злоумышленников, которые могут быть вашими сверстниками, вашими зомби или обоими. Часто для запуска атак используется вредоносное ПО (ботнеты, рассмотренные ниже), потому что вредоносное ПО может запускаться точно в один и тот же момент.

Это когда скорость становится менее важной, потому что у вас одновременно атакуют сотни разных клиентов. Вы можете замедлить работу каждого отдельного клиента и при этом провести довольно эффективную атаку.

Экран будет выглядеть одинаково на каждой отдельной машине, если вы начнете атаку с сотен или тысяч машин, как если бы вы выполняли ее на одной машине.

Что такое ботнет?

По данным Internet Society:

«Ботнет — это совокупность подключенных к Интернету пользовательских компьютеров (ботов), зараженных вредоносным программным обеспечением (вредоносным ПО), которое позволяет оператору (пастуху) удаленно управлять компьютерами через сервер управления и контроля (C&C). выполнять автоматические задачи на устройствах, подключенных ко многим компьютерам, например кражу информации или запуск атак на другие компьютеры.Вредоносные программы для ботнетов позволяют операторам контролировать сразу несколько компьютеров пользователей. Это позволяет операторам бот-сетей использовать вычислительные ресурсы и ресурсы полосы пропускания во многих различных сетях для злонамеренных действий ».

Хотя ботнеты и являются большим подспорьем для хакеров, они в большей степени являются бедствием для большей части онлайн-общества. Ботнеты:

• Может распространяться на большие расстояния, даже работая в разных странах.

• Ограничьте открытость, инновации и глобальный охват Интернета.

• Нарушать основные права пользователей, блокируя свободу выражения и мнения, а также нарушая конфиденциальность.

Как провести DDoS-атаку

Для проведения более 256 одновременных DDoS-атак, которые приведут к отказу системы, группа из нескольких пользователей может использовать высокоорбитальную ионную пушку (HOIC) одновременно, а вы можете использовать дополнительный скрипт «Booster».

Чтобы выполнить DDoS-атаку, найдите и выберите службу, выберите открытый порт и перегрузите службу, выполнив следующие действия:

1. Запустить HOIC.

2. Увеличьте количество нитей.

3. Укажите желаемый URL-адрес.

4. Увеличьте мощность до максимума.

5. Выберите усилитель.

6. Смонтировать атаку.

Почему нелегальные хакеры проводят DoS- и DDoS-атаки?

DoS-атаки

и DDoS-атаки являются чрезмерно разрушительными и могут потребовать некоторой работы для запуска, но они используются киберпреступниками как оружие против конкурента, как форма вымогательства или как дымовая завеса, чтобы скрыть извлечение конфиденциальных данных.

Кроме того, иногда атаки проводятся по одной или нескольким из следующих причин:

• Интернет-войны за территорию.

• Выражение гнева или наказание.

• Попрактикуйтесь или просто посмотрите, можно ли это сделать.

• Для «развлечения» причинения хаоса.

Ущерб от DDoS-атак чрезвычайно велик. Cisco сообщила несколько сенсационных фактов и оценок:

• Количество глобальных DDoS-атак увеличится вдвое с 7.С 9 миллионов в 2018 году до 15,4 миллионов к 2023 году.

• Средний размер DDoS-атаки составляет 1 Гбит / с, что может полностью отключить организацию.

Исследование ITIC 2019 года показало, что «один час простоя сейчас обходится 98% фирм как минимум в 100 000 долларов. И 86% предприятий говорят, что стоимость одного часа простоя составляет 300 000 долларов и выше ». Тридцать четыре процента говорят, что один час простоя стоит от 1 до 5 миллионов долларов.

Недавним примером DDoS-атаки является атака Amazon Web Services в феврале 2020 года.Гигант облачных вычислений стал мишенью и отправил поразительные 2,3 терабайта данных в секунду в течение трех дней подряд.

Если вы хотите просматривать всемирные атаки, происходящие в реальном времени (или близко к нему), ознакомьтесь с картой угроз кибератак.

Как защитить свой бизнес от DoS- и DDoS-атак

Чтобы защитить ваш бизнес от DoS- и DDoS-атак, вот несколько рекомендаций:

1. Установите программное обеспечение безопасности и обновляйте его с помощью последних исправлений.

2. Защитите все пароли.

3. Используйте службы защиты от DDoS-атак, чтобы распознавать допустимые всплески сетевого трафика, а не атаковать.

4. Используйте резервного интернет-провайдера, чтобы он мог перенаправлять ваш трафик.

5. Используйте службы, которые распределяют трафик массовых атак по сети серверов.

6. Обновите и настройте брандмауэры и маршрутизаторы, чтобы отклонять мошеннический трафик.

7. Интегрируйте оборудование внешнего интерфейса приложения для проверки и классификации пакетов.

8. Используйте самообучающуюся систему искусственного интеллекта, которая маршрутизирует и анализирует трафик до того, как он достигнет компьютеров компании.

9. Нанять этичного хакера для поиска незащищенных мест в вашей системе.

Защитить свой бизнес от DoS- и DDoS-атак — сложная задача, но определение ваших уязвимостей, наличие плана защиты и разработка тактики смягчения являются важными элементами сетевой безопасности.

Подробнее об этическом взломе

Этичный взлом — важный и ценный инструмент, используемый профессионалами в области ИТ-безопасности в их борьбе с дорогостоящими и потенциально разрушительными кибер-нарушениями.Он использует методы взлома для получения информации об эффективности программного обеспечения и политик безопасности, чтобы обеспечить лучшую защиту сетей.

Основные руководящие принципы, которым следует следовать при легальном взломе:

• Никогда не используйте свои знания в личных целях.

• Делайте это только тогда, когда вам дали право.

• Не используйте пиратское ПО в своих атаках.

• Всегда будьте порядочны и заслуживаете доверия.

Теперь, когда вы знаете, что такое DDoS-атака (и как DDoS-атака), если вы хотите узнать больше о том, как этично взломать компьютерные сетевые системы, Pluralsight имеет все необходимые ресурсы. Прочтите «Этичный взлом: профессиональные аппаратные и программные средства» или пройдите один из наших многочисленных курсов по этическому взлому!

Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка вывести из строя веб-сервер или онлайн-систему, перегружая ее данными.DDoS-атаки могут быть простыми озорством, местью или хактивизмом и могут варьироваться от незначительного раздражения до длительного простоя, приводящего к потере бизнеса.

хакеров поразили GitHub DDoS-атакой со скоростью 1,35 терабайта данных в секунду в феврале 2018 года. Это масштабная атака, и вряд ли она станет последней в своем роде.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защитная работа.”

В отличие от программ-вымогателей или атак со стороны APT-групп, которые имеют финансовую мотивацию, DDoS-атаки более разрушительны и раздражают. Насколько плохо это может быть? Тысячи заядлых игроков не смогли попасть в Classic WoW из-за DDoS-атаки! Дело в том, что злоумышленники не зарабатывают на DDoS-атаках — они просто делают это, чтобы причинить боль.

Как работает DDoS-атака?

DDoS-атаки чаще всего работают с помощью ботнетов — большой группы распределенных компьютеров, которые действуют согласованно друг с другом, одновременно рассылая спам веб-сайта или поставщика услуг с запросами данных.

Злоумышленники используют вредоносные программы или незащищенные уязвимости для установки программного обеспечения Command and Control (C2) в системы пользователей для создания ботнета. DDoS-атаки полагаются на большое количество компьютеров в ботнете для достижения желаемого эффекта, и самый простой и дешевый способ получить контроль над таким количеством машин — использовать эксплойты.

Атака DYNDNS использовала камеры WIFI с паролями по умолчанию для создания огромного ботнета. Когда ботнет готов, злоумышленники отправляют команду запуска на все свои узлы ботнета, а затем ботнеты отправляют свои запрограммированные запросы на целевой сервер.Если атака преодолевает внешнюю защиту, она быстро подавляет большинство систем, вызывает сбои в обслуживании, а в некоторых случаях приводит к сбою сервера. Конечным результатом DDoS-атаки в первую очередь является потеря производительности или прерывание обслуживания — клиенты не видят веб-сайт.

Хотя это может показаться незначительным, стоимость DDoS-атаки в 2017 году составила в среднем 2,5 миллиона долларов. Kaspersky сообщает, что DDoS-атаки обходятся малым предприятиям в 120 000 долларов, а предприятиям — в 2 000 000 долларов. Хакеры используют DDoS-атаки для чего угодно, начиная от детских розыгрышей и заканчивая местью бизнесу и выражением политической активности.

DDoS-атаки являются незаконными в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях. Запуск DDoS-атаки на сеть без разрешения обойдется вам до 10 лет тюрьмы и до 500000 долларов штрафа.

В чем разница между DoS-атакой и DDoS-атакой?

Атака отказа в обслуживании (DoS) включает в себя множество видов атак, каждая из которых предназначена для нарушения работы служб. В дополнение к DDoS вы можете использовать DoS на уровне приложений, расширенный постоянный DoS и DoS как услугу. Компании будут использовать DoS как услугу для стресс-тестирования своих сетей.

Короче говоря, DDoS — это один из типов DoS-атаки, однако DoS также может означать, что злоумышленник использовал один узел для инициирования атаки вместо использования ботнета. Оба определения верны.

Что означает DDoS-атака для моей безопасности?

Вам необходимо подготовиться и спланировать управление DDoS-атакой на ваши системы. Вам необходимо отслеживать, генерировать предупреждения и быстро диагностировать текущую DDoS-атаку. Следующим шагом будет быстрое прекращение атаки, не затрагивая ваших пользователей.Вы можете заблокировать IP-адреса с помощью межсетевого экрана нового поколения или закрыть входящий трафик целевой системы и переключиться на резервную копию. Есть и другие планы реагирования, которые вы можете реализовать, убедитесь, что они у вас есть.

Распространенные типы DDoS-атак

Существует несколько различных способов, с помощью которых злоумышленники могут продолжить DDoS-атаку. Вот некоторые из самых известных:

Атаки на уровне приложений

DDoS-атаки на уровне приложений направлены на исчерпание ресурсов цели и нарушение доступа к веб-сайту или службе цели.Злоумышленники загружают ботов сложным запросом, который облагает налогом целевой сервер, когда он пытается ответить. Запрос может потребовать доступа к базе данных или больших загрузок. Если цель получит несколько миллионов таких запросов за короткое время, она может очень быстро перегрузиться и либо замедлиться до обхода, либо полностью заблокироваться.

Атака HTTP Flood, например, представляет собой атаку уровня приложения, которая нацелена на веб-сервер на цели и использует множество быстрых HTTP-запросов для остановки сервера.Думайте об этом как о нажатии кнопки обновления в режиме быстрой стрельбы на игровом контроллере. Такой трафик сразу со многих тысяч компьютеров быстро затопит веб-сервер.

Протокол атак

DDoS-атаки по протоколу

нацелены на сетевой уровень целевых систем. Их цель — перегрузить табличные пространства основных сетевых служб, брандмауэра или балансировщика нагрузки, который перенаправляет запросы к цели.

Как правило, сетевые службы работают с очередью «первым пришел — первым вышел» (FIFO).Приходит первый запрос, компьютер обрабатывает запрос, а затем он идет и получает следующий запрос в очереди и так далее. Теперь в этой очереди есть ограниченное количество мест, и при DDoS-атаке очередь может стать настолько большой, что у компьютера не будет ресурсов для обработки первого запроса.

Атака SYN flood — это атака определенного протокола. В стандартной сетевой транзакции TCP / IP есть трехстороннее рукопожатие. Это SYN, ACK и SYN-ACK. SYN — это первая часть, которая представляет собой какой-то запрос, ACK — это ответ от цели, а SYN-ACK — это исходный запросчик, говорящий: «Спасибо, я получил запрошенную информацию.«При атаке SYN-флуда злоумышленники создают SYN-пакеты с поддельными IP-адресами. Затем цель отправляет ACK на фиктивный адрес, который никогда не отвечает, а затем сидит там и ждет, пока все эти ответы истекут, что, в свою очередь, истощает ресурсы для обработки всех этих поддельных транзакций.

Объемные атаки

Цель объемной атаки — использовать ботнет для генерации большого количества трафика и блокирования работ на цели. Думайте об атаке HTTP Flood, но с добавленным компонентом экспоненциального ответа.Например, если вы и 20 ваших друзей позвонили в одну и ту же пиццерию и одновременно заказали 50 пирогов, эта пиццерия не сможет выполнить эти запросы. Объемные атаки работают по тому же принципу. Они запрашивают у цели что-то, что значительно увеличивает размер ответа, а объем трафика резко возрастает и забивает сервер.

DNS Amplification — это разновидность объемной атаки. В этом случае они атакуют DNS-сервер напрямую и запрашивают обратно большой объем данных с DNS-сервера, что может вывести DNS-сервер из строя и нанести вред любому, кто использует этот DNS-сервер для служб разрешения имен.

Как предотвратить DDoS-атаки?

Как GitHub пережил эту массовую DDoS-атаку? Конечно же, планирование и подготовка. После 10 минут периодических отключений серверы GitHub активировали свою службу защиты от DDoS-атак. Служба смягчения последствий перенаправила входящий трафик и очистила вредоносные пакеты, и примерно через 10 минут злоумышленники сдались.

Помимо оплаты услуг по предотвращению DDoS-атак от таких компаний, как Cloudflare и Akamai, вы можете использовать стандартные меры безопасности конечных точек.Исправьте свои серверы, отключите серверы Memcached от открытого Интернета и обучите пользователей распознавать фишинговые атаки.

Вы можете включить Black Hole Routing во время DDoS-атаки, чтобы отправить весь трафик в пропасть. Вы можете установить ограничение скорости, чтобы ограничить количество запросов, которые сервер получает за короткий промежуток времени. Правильно настроенный брандмауэр также может защитить ваши серверы.

Varonis контролирует ваши DNS, VPN, прокси-серверы и данные, чтобы помочь обнаружить признаки надвигающейся DDoS-атаки на вашу корпоративную сеть.Varonis отслеживает модели поведения и генерирует предупреждения, когда текущее поведение соответствует модели угрозы или отклоняется от стандартного поведения. Это может включать атаки вредоносных ботнетов или значительное увеличение сетевого трафика, указывающее на DDoS-атаку.

DDoS-атак сегодня

Как и все остальное в вычислительной технике, DDoS-атаки развиваются и становятся все более разрушительными для бизнеса. Размеры атак увеличиваются: со 150 запросов в секунду в 1990-х годах, что привело бы к отказу серверов той эпохи, до недавней атаки DYNDNS и атаки GitHub на уровне 1.2 ТБ и 1,35 ТБ соответственно. Целью обеих этих атак было подорвать два основных источника производительности по всему миру.

В этих атаках использовались новые методы для достижения огромной пропускной способности. Атака Dyn использовала эксплойт, обнаруженный в устройствах Интернета вещей (IoT), для создания ботнета, который называется атакой Mirai Botnet. Mirai использовала открытые порты Telnet и пароли по умолчанию, чтобы захватить камеры с поддержкой WiFi для выполнения атаки. Эта атака была детской шуткой, но представляла собой серьезную уязвимость, которая связана с распространением устройств IoT.

Атака GitHub использовала многие тысячи серверов, на которых запущена Memcached в открытом Интернете, система кэширования памяти с открытым исходным кодом. Memcached с радостью отвечает огромными объемами данных на простые запросы, поэтому оставлять эти серверы в открытом Интернете категорически запрещено.

Обе эти атаки показывают значительный риск будущих эксплойтов, особенно по мере того, как вселенная Интернета вещей продолжает расти. Насколько весело было бы, если бы ваш холодильник стал частью ботнета? С другой стороны, атака даже не остановила GitHub.

Более того, выполнение DDoS-атак никогда не было таким простым. Имея несколько доступных вариантов DDoS-as-a-Service, злоумышленники могут заплатить номинальную плату за «аренду» ботнета зараженных компьютеров для выполнения DDoS-атаки против выбранной ими цели.

В сентябре 2019 года злоумышленники поразили как Википедию, так и классический World of Warcraft с помощью DDoS-атак. В настоящее время нет никаких признаков того, что эти атаки являются новой технологией, но следите за обновлениями.

Часто задаваемые вопросы о DDoS-атаках

Краткий обзор ответов на часто задаваемые вопросы о DDoS-атаках.

В: Что происходит во время DDoS-атаки?

A: Во время DDoS-атаки распределенные компьютеры — ботнет — рассылают цели как можно больше запросов данных.

В: Являются ли DDoS-атаки незаконными?

A: Да, незаконно использовать методы DDoS для нарушения работы цели без разрешения. Рекомендуется организовать тренировку по DDoS-атакам, чтобы вы могли практиковать свой план реагирования на инциденты для DDoS-атак, которые являются законным использованием DDoS.

Вопрос: Какой канал связи обычно используется при DDoS-атаке?

A: Запросы HTTP, DNS и TCP / IP — распространенные протоколы, используемые для DDoS-атак.

Атаки

DDoS могут быть разрушительными, поэтому используйте упреждающий подход и создайте план реагирования на инциденты, чтобы быстро реагировать. Уникальное сочетание возможностей мониторинга и обнаружения угроз Varonis дает вам преимущество в реализации стратегии DDoS.

Посетите веб-семинар Live Cyber ​​Attack Demo, чтобы увидеть Varonis в действии.

Как остановить и предотвратить DDoS-атаку

Распределенные атаки типа «отказ в обслуживании» (DDoS) становятся все более серьезной проблемой для глобальных компаний, значительная часть бизнеса которых находится в сети.Знание того, как остановить DDoS-атаку, жизненно важно, особенно с учетом того, что это может стоить бизнесу значительных потерь в виде потери дохода. Это может означать использование инструментов защиты — мой личный выбор — Security Event Monitor.

Что такое DDoS-атака?

DDoS-атака использует такой инструмент, как бот, который снова и снова наводняет сеть сигналами, что в конечном итоге приводит к тому, что сеть перестает обрабатывать подлинные запросы от пользователей или других частей сети. Веб-сервисы и платформы особенно подвержены риску, поскольку хакеры могут атаковать критически важные сервисы, перегружая сеть трафиком. DDoS-атаки часто используются против крупного бизнеса или банков; они также могут вызвать проблемы с деловой репутацией , если пользователи не знают, почему не работает веб-сайт или служба. По этим причинам изучение того, как остановить и предотвратить эти атаки , имеет решающее значение для бизнес-операций и успеха.

Типы DDoS-атак

Существует несколько типов DDoS-атак, и они по-разному нацелены на вашу сеть или системы. В их числе:

• Объемные атаки .Это наиболее распространенный тип DDoS-атаки. Бот перегружает пропускную способность сети, поскольку отправляет огромное количество ложных запросов на каждый открытый порт . Это означает, что законные запросы не могут быть обработаны. Два основных типа объемных атак называются наводнениями UDP и наводнениями ICMP. UDP расшифровывается как User Datagram Protocol и представляет собой протокол, который относится к передаче данных без проверок. ICMP означает протокол управляющих сообщений Интернета и является протоколом, используемым между сетевыми устройствами, когда они обмениваются данными друг с другом.
• Атаки на уровне приложений . Этот тип DDoS-атаки нацелен на приложения, с которыми фактически взаимодействуют пользователи. Он напрямую вмешивается в веб-трафик, атакуя протоколы HTTP, HTTPS, DNS или SMTP. Часто этот тип атак бывает трудно обнаружить и устранить, поскольку он может легче имитировать законный веб-трафик.
• Атаки протокола . Атаки протокола обычно нацелены на части сети, которые используются для проверки соединений. Они работают, отправляя преднамеренно медленные или искаженные эхо-запросы, так что сеть использует много памяти, пытаясь проверить эти эхо-запросы. . Этот тип атаки также может быть нацелен на брандмауэры, отправляя большие объемы преднамеренно нерегулярных данных.

В некоторых случаях злоумышленники используют DDoS-атаки всех трех типов одновременно, чтобы полностью перегрузить сеть и вызвать ее сбой.

Как предотвратить DDoS-атаки

Можно предотвратить DDoS-атаку с помощью тщательного планирования и мер безопасности .Первое, что нужно понять, это то, что DDoS-атаки могут случиться с кем угодно, даже если ваш бизнес небольшой или относительно неизвестный. Хотя многие атаки происходят по политическим мотивам, из-за проблем с деловой репутацией (например, после атаки на веб-сайт бензиновой компании после разлива нефти) или из-за троллинга, даже малые предприятия могут стать объектами атак DDoS-хакеров. Есть несколько мер, которые вы можете использовать для защиты своего бизнеса от DDoS-атаки:

1. Имейте план .Для начала настройте план реагирования на DDoS-атаки. Составление плана означает прохождение вашей системы и отработку любых возможных уязвимостей безопасности, а также определение четкого ответа вашей организации в случае DDoS-атаки.
2. Распределить роли . У вас должна быть определенная группа реагирования для ваших центров обработки данных, а также для сетевых администраторов или ИТ-групп. Убедитесь, что все знают свою роль и с кем поговорить, если им нужно обострить ситуацию, и предоставьте список внутренних и внешних контактов, которые могут помочь.
3. Установить средства защиты . Убедитесь, что у вас установлены соответствующие инструменты защиты как для ваших сетей, так и для ваших приложений. Сюда входят такие ключевые инструменты, как межсетевые экраны, программное обеспечение для мониторинга сети, антивирусные программы и программы защиты от вредоносных программ, а также системы мониторинга угроз. С их помощью вы можете отслеживать базовый сетевой трафик и настраивать предупреждения о необычном поведении.
4. Держите все в актуальном состоянии . Все эти системы необходимо обновлять, чтобы исправлять любые ошибки или проблемы.Обнаружение угроз как можно раньше — лучший способ предотвратить DDoS-атаку, которая разрушит важную сетевую инфраструктуру и повлияет на ваших конечных пользователей.

Инструменты для предотвращения DDoS-атак

Я рекомендую несколько инструментов для предотвращения и остановки DDoS-атак.

1. Диспетчер событий безопасности

Для отслеживания поведения сети и выявления угроз до того, как они станут подавляющими. мне нравится SolarWinds Security Event Manager (SEM).

© 2020 SolarWinds Worldwide, LLC. Все права защищены.

Возможность быстрого реагирования на угрозу жизненно важна, поскольку инициативы по обеспечению безопасности могут быстро стать бесполезными, если их развертывание займет слишком много времени. SEM включает в себя автоматических ответов, которые могут заблокировать подозрительный IP или USB, отключить вредоносные устройства или отключить их привилегии, а также убить приложения, которые ведут себя неожиданным образом . Это означает, что временные задержки в борьбе с чем-то вроде DDoS-атаки сведены к минимуму.

SEM также контролирует целостность файлов и USB-накопителей, поэтому, если что-то не так, его можно остановить на своем пути.

SolarWinds SEM предлагается бесплатно в течение тридцати дней. После этого вы можете изучить цены для каждого узла.

2. Cloudflare

© 2020 Cloudflare, Inc.

Cloudflare предлагает устойчивый и масштабируемый инструмент , который объединяет несколько методов защиты от DDoS-атак в одно решение . Он предотвращает проникновение вредоносного и вредоносного трафика в вашу сеть, позволяя остальной части вашей сети оставаться функциональной и высокопроизводительной. Cloudflare использует базу данных репутации, чтобы отслеживать потенциальные угрозы от злоумышленников.

Для предприятий Cloudflare стоит 200 долларов в месяц, но на уровне предприятия вам необходимо связаться с Cloudflare для получения расценки.

3. Имперва

Авторские права © 2020 Imperva. Все права защищены.

Средство защиты Imperva от DDoS-атак обеспечивает безопасность всей сети и защиту от атак с помощью высокопроизводительной обработки пакетов . Он обеспечивает постоянную защиту от DDoS-атак или защиту от DDoS-атак по требованию, в зависимости от того, что больше всего подходит вашему бизнесу, а также включает в себя автоматическое обновление информационных панелей, отображающих данные о трафике атак.Основным недостатком инструмента Imperva является то, что он ограничен защитой от DDoS-атак.

Рекомендуемая литература

В современных условиях умение защитить себя от DDoS-атак имеет решающее значение для безопасности и успеха вашего бизнеса. Я рекомендую каждому бизнесу иметь группы по работе с сетями и данными, которые полностью понимают, как работают DDoS-атаки, и имеют четкий план или инструмент, такой как SolarWinds Security Event Manager, для предотвращения и реагирования.

Узнайте больше о DDoS-атаках:

Как остановить DDOS-атаку: руководство для экспертов

В 2018 году на GitHub произошла одна из крупнейших когда-либо зарегистрированных DDoS-атак.Согласно Wired , скорость атаки составляла 1,35 терабит данных в секунду, в результате чего GitHub пострадал от сбоев. К счастью, компания разработала стратегию смягчения последствий и быстро переключилась на маршрутизацию трафика через службу защиты от DDoS-атак, предотвратив атаку.

По данным Netscout, чья дочерняя компания Arbor Networks создала карту, отображающую ежедневные DDoS-атаки, в 2019 году компания обнаруживала в среднем 23000 атак каждый день. В его ежегодном отчете об угрозах содержится предупреждение о том, что рост Интернета вещей, который, по прогнозам, приведет к 20 миллиардам подключенных устройств в этом году, значительно увеличивает риски DDoS-атак, частота и интенсивность которых возросла.

Но, как показывает опыт GitHub, можно иметь план, который может уменьшить ущерб и даже отразить DDoS-атаки, когда они происходят. Компании могут принимать технические меры предосторожности, пользоваться услугами защиты от DDoS-атак и принимать четкие бизнес-планы на случай атаки.

Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?

DDoS — один из самых популярных типов атак типа «отказ в обслуживании». Вместо того, чтобы запускать атаку с одного компьютера, злоумышленники используют множество распределенных машин, таких как компьютеры или интеллектуальные устройства в разных местах, чтобы сокрушить цель.

БОЛЬШЕ О КИБЕРБЕЗОПАСНОСТИПопулярность приложений полицейского радио растет. Есть только одна проблема.

Атаки типа «отказ в обслуживании» предотвращают доступ законных пользователей к сайту компании. | Изображение: Shutterstock

Как выглядит отказ в обслуживании?

Инструктор Том Скотт объясняет на Computerphile, что злонамеренным ядром DDoS-атаки является отказ в обслуживании, форма атаки, впервые наблюдаемая в 1990-х годах, когда большинство людей с компьютерами просматривали Интернет, используя коммутируемое соединение.Коммутируемое соединение происходит медленно — скорость передачи данных составляет 56 000 бит в секунду, что менее чем на 1 процент от скорости современных широкополосных соединений. Согласно сообщению в блоге SolarWinds, такая скорость делает просмотр видео в реальном времени невозможным, и даже загрузка одной страницы на современном веб-сайте в среднем занимает более минуты.

В видеоролике Computerphile Скотт объясняет, что злоумышленники, у которых был доступ к более высокоскоростному Интернету, например широкополосному доступу к компьютерам бизнеса и университетов, выбирали цель и отправляли на нее поток данных, оставляя цель неспособной сделать дополнительные соединения.Наиболее важным фактором успешной атаки было наличие более быстрого интернет-соединения, чем у цели, поэтому у цели не хватало полосы пропускания для обработки других запросов.

Скотт говорит, что, хотя этот тип кибератаки не крадет какую-либо информацию и не наносит непоправимый вред системам, он создает проблему для веб-сайтов, которые не могут обслуживать своих пользователей, поскольку злоумышленники вытесняют все законные запросы. Для пользователя, пытающегося перейти на веб-сайт при атаке типа «отказ в обслуживании», страница никогда не загрузится — она ​​будет зависать в течение длительного времени, а затем просто истечет время ожидания.

В наши дни, отмечает Скотт, этот тип атак типа «отказ в обслуживании» менее популярен, потому что сложно иметь один компьютер с достаточной пропускной способностью, чтобы самостоятельно закрыть веб-сайт. Но злоумышленники довольно изобретательны, и существуют варианты отказа в обслуживании, которые позволяют обойти эту проблему.

Одно интересное вращение известно как Slowloris, которое инструктор Майк Паунд описывает в видеоролике Computerphile. Вместо того, чтобы отправлять как можно больше данных через компьютер злоумышленника, атака Slowloris увеличивает продолжительность каждого запроса до бесконечности, используя преимущества взаимодействия веб-серверов и клиентов.Этот метод связывает соединения с сервером и в конечном итоге монополизирует весь трафик на целевой сервер. Для злоумышленников преимущество атак Slowloris заключается в том, что они не занимают много полосы пропускания, но атака эффективна только на серверах, которые испытывают трудности с обработкой большого количества одновременных подключений.

Распределенные атаки типа «отказ в обслуживании» используют ботнеты для запуска атак из разных источников. | Изображение: Shutterstock

Типы DDoS-атак

DDoS — что означает распределенный отказ в обслуживании — является одной из самых популярных версий атак типа «отказ в обслуживании».Cloudflare, компания, предлагающая услуги защиты от DDoS-атак, наряду с другой веб-инфраструктурой и продуктами безопасности, объясняет стратегию атаки на своем веб-сайте. Вместо того, чтобы запускать атаку с одного компьютера, злоумышленники используют множество распределенных машин в разных местах, работающих согласованно, чтобы сокрушить цель. Распределенные машины часто представляют собой компьютеры или даже интеллектуальные устройства, такие как радионяни, которые были тайно заражены вредоносным ПО и зачислены в ботнет под контролем злоумышленника.Затем злоумышленник может использовать распределенные машины — или ботов — для отправки трафика туда, где это необходимо для проведения любого типа DDoS-атаки.

По словам технического директора Cloudflare Джона Грэма-Камминга, в наши дни для атак обычным явлением является использование нескольких типов DDoS в одной атаке: «Это просто попытка перегрузить сеть, поэтому они будут пытаться отправить столько разных сообщений, сколько возможно », — сказал он Built In.

При этом атаки можно разделить на три категории.

Согласно веб-сайту Cloudflare, первый тип DDoS-атаки, известный как атака на уровне приложений, работает как атаки типа «отказ в обслуживании», только в большем масштабе.Боты отправляют поток трафика на цель, вытесняя других пользователей, пытающихся получить доступ к целевому серверу. Злоумышленники обычно направляют трафик на ресурсоемкие конечные точки на цели — например, запросы, требующие больших запросов к базе данных или генерирующие большие файлы. Эти типы конечных точек не требуют от злоумышленника большого количества ресурсов, но они требуют большой пропускной способности для того, чтобы цель могла ответить. Это означает, что цель может быстро сжечь свои ресурсы.

«Это просто попытка перегрузить сеть, поэтому они попытаются отправить как можно больше разных сообщений.”

Другой тип DDoS-атаки нацелен на то, как должны работать интернет-протоколы — правила, облегчающие взаимодействие компьютеров через Интернет. Пример, представленный Cloudflare, — это атака SYN flood, нацеленная на протокол управления передачей (TCP). В обычной транзакции TCP клиент и сервер устанавливают соединение, обмениваясь стандартизированной серией сообщений, известной как «рукопожатие», подобно тому, как при скалолазании альпинист общается со страхующим с помощью стандартизированных подтверждений.Это рукопожатие сообщает обеим сторонам, что соединение установлено успешно.

Атака SYN-флуда имеет некоторые сходства с отказом в обслуживании Slowloris. Во время атаки злоумышленник отправляет целевому серверу только первое из трех этапов рукопожатия. Затем сервер отвечает вторым, но злоумышленник не отправляет окончательное подтверждение, оставляя сервер в ожидании и неспособном использовать это соединение для ответа на дополнительные запросы в течение некоторого времени. Если ботнет делает это, эффект на цель многократно увеличивается.

Третий тип DDoS-атаки — это атака с усилением. Согласно Cloudflare, в этих атаках используются различные интернет-протоколы для увеличения размера каждого запроса, отправляемого злоумышленником. Например, атака с усилением системы доменных имен (DNS) использует протокол DNS, который компьютеры обычно используют для поиска IP-адреса, соответствующего заданному URL-адресу веб-сайта, что делает возможной навигацию в Интернете. Клиенты обычно отправляют запрос, содержащий URL-адрес веб-сайта, который они хотят найти на DNS-сервере, и получают ответ с соответствующим IP-адресом.

Cloudflare объясняет, что злоумышленник выполняет усиление DNS путем «спуфинга» источника запроса, заставляя DNS-сервер думать, что запрос был отправлен от цели, а не от злоумышленника. Запрос обычно запрашивает у DNS-сервера большой объем данных, которые затем DNS-сервер отправляет целевому объекту. Эффект усиления возникает из-за сравнительно небольшой полосы пропускания, необходимой злоумышленнику для отправки запроса по сравнению с полосой пропускания, необходимой цели для получения ответа, а также из-за способности злоумышленника отправлять запросы на несколько DNS-серверов.Как и во всех распределенных атаках, это число умножается на количество ботов в ботнете, выполняющих атаку.

Компании могут принимать внутренние меры, снижающие вред от DDoS-атак. | ИЗОБРАЖЕНИЕ: Shutterstock

Уменьшение последствий DDoS

DDoS-атаки, как и другие кибератаки, являются незаконными в соответствии с Законом США о компьютерном мошенничестве и злоупотреблениях, но это не мешает людям их использовать. Активисты использовали DDoS как форму онлайн-протеста, а хакерский коллектив Anonymous даже ходатайствовал о том, чтобы сделать DDoS легальным, утверждая, что это форма свободы слова, аналогичная личным протестующим, отказывающим в доступе в здание.Атаки на онлайн-игроков настолько распространены, что игровые компании даже публикуют руководства по стратегиям предотвращения. Правительства также были целями и исполнителями DDoS-атак.

Чтобы не стать следующей жертвой, компании могут предпринять превентивные меры. В курсе Pluralsight «Этичный взлом: отказ в обслуживании» инструктор Трой Хант объясняет, что DDoS наносит ущерб, занимая все сетевые подключения или пропускную способность, которые компания должна тратить на законных пользователей. Быстрое масштабирование серверов для обработки большего количества подключений и пропускной способности может смягчить проблему, но также может быть дорогостоящим.Компании, размещающие свои сайты у облачных провайдеров, обычно имеют легкий доступ к этой опции.

Хант объясняет в своем курсе, что другая стратегия заключается в том, чтобы компании размещали конечные точки, которые выполняют ресурсоемкие функции, за какой-либо защитой, что затрудняет доступ к ним ботам. Например, компании могут препятствовать тому, чтобы боты быстро занимали ресурсы сервера, размещая конечные точки с интенсивными запросами к базе данных или большими загрузками файлов за страницами входа. Вездесущий тест CAPTCHA с его волнистыми словами или изображениями, которые пользователи могут расшифровать, — это еще один способ защиты ресурсоемких конечных точек от ботов.

То, как компании разрабатывают свои веб-сайты, также важно, — говорит Хант. Кодирование веб-сайта как взаимосвязанных компонентов вместо взаимозависимого монолита позволило бы другим разделам сайта оставаться функциональными, даже если один раздел подвергнется DDoS-атаке.

Услуги защиты от DDoS-атак могут защитить компании от большинства последствий DDoS-атак. | Изображение: Shutterstock

Как работают службы защиты от DDoS-атак

Сегодня многие компании предлагают защиту от DDoS-атак как услугу.

Cloudflare — один из крупнейших сервисов защиты от DDoS-атак. Он использует некоторые из тех же методов, которые используют отдельные компании для защиты от DDoS, но, согласно блогу компании, его самым большим оружием является большая сеть серверов по всему миру, которые перехватывают веб-трафик от имени клиентов.

Сеть Cloudflare находится между серверами клиента и остальной частью Интернета, принимая входящие клиентские запросы и передавая их на серверы клиента.В качестве посредника Cloudflare может искать подозрительную активность и отфильтровывать любые вредоносные запросы, отбрасывая их до того, как они попадут к клиенту.

Даже когда DDoS-атака направлена ​​на клиента, Cloudflare может поглотить наплыв данных, распределяя их по сети Cloudflare и распределяя работу по множеству серверов. На каждом сервере Cloudflare проверяет каждый тип DDoS-атаки и соответствующим образом фильтрует запросы.

«Все эти разные типы атак, вам нужно разделить их, чтобы они охватили как можно больше разных городов», — сказал Грэм-Камминг Built In.«Затем в каждом центре обработки данных вы определяете, что плохо, и избавляетесь от этого. Так что, будь то SYN-флуд, ACK-атака или что-то, использующее DNS-усиление, во многом это одно и то же ».

«Вы можете буквально взглянуть на структуру данных в пакете и сказать:« Это SYN-флуд »».

Отдельным компаниям может быть сложно справиться с атаками, включающими несколько типов DDoS, особенно из-за того, что некоторые из них обнаружить сложнее, чем другие.Грэм-Камминг сказал, что компании, которые труднее всего обнаружить, — это атаки на уровне приложений, где DDoS-атаки могут выглядеть как обычные запросы, не считая объема.

Cloudflare борется с атаками на уровне приложений, анализируя признаки злого умысла. По словам Грэхема-Камминга, отчасти в этом анализе помогает машинное обучение.

«Из-за масштаба сети, ориентированной на облако — с таким большим количеством пользователей, использующих Cloudflare, проходящим через нас трафиком — мы действительно можем искать аномальное поведение в нашей сети, которое может указывать на какой-то тип атаки, а затем мы можем использовать это для защиты других пользователей », — сказал он.«Речь идет больше о том, чтобы смотреть на трафик, смотреть на пакеты, идущие к вам, снимать с них отпечатки пальцев и говорить:« Мы знаем, что этот пакет на самом деле участвует в DDoS-атаке из-за некоторых характеристик самого пакета »».

По его словам, отпечатки пальцев, разработанные Cloudflare для распознавания шаблонов атак, весьма чувствительны.

«Буквально вы можете посмотреть на структуру данных в пакете и сказать:« Это SYN-поток », — сказал Грэм-Каммингс.

Но компаниям, использующим услуги защиты от DDoS-атак, все же следует проявлять бдительность.

«Затем злоумышленники пытаются обойти службу», — сказал он. «Они попытаются найти исходный IP-адрес вашей службы и сразу же приступить к нему».

Грэм-Камминг рекомендовал клиентам, использующим службы защиты от DDoS-атак, настроить фильтрацию своего трафика, чтобы их серверы принимали трафик только с IP-адреса службы, чтобы решить эту проблему.

Что нужно каждому бизнесу в случае атаки DDoS

DDoS может нанести ущерб репутации компании, отрицательно сказаться на доходах и потребовать значительных затрат для устранения атаки.Хант объясняет в своем курсе Pluralsight, что законные пользователи и клиенты не могут получить доступ к целевому сайту, что мешает нормальной работе бизнеса и сокращает покупки и доходы от рекламы на сайте.

DDoS-атаки не могут напрямую украсть информацию у цели, но известно, что злоумышленники используют DDoS для отвлечения компаний от одновременных кибератак — пока организация пытается управлять DDoS, злоумышленники преследуют свои истинные цели.