Что такое ddos атака и как ее сделать
Добавил пользователь Morpheus Обновлено: 18.09.2024
Cтатья опубликована в рамках конкурса "Формула связи".
Введение
Сразу оговорюсь, что когда я писал данный обзор, я прежде всего ориентировался на аудиторию, разбирающуюся в специфике работы операторов связи и их сетей передачи данных. В данной статье излагаются основные принципы защиты от DDoS атак, история их развития в последнее десятилетие, и ситуация в настоящее время.
Что такое DDoS?
Наверное, о том, что такое DDoS-атаки, сегодня знает если не каждый "пользователь", то уж во всяком случае – каждый "АйТишник". Но пару слов всё же необходимо сказать.
DDoS-атаки (Distributed Denial of Service – распределённые атаки класса "отказ в обслуживании") – это атаки на вычислительные системы (сетевые ресурсы или каналы связи), имеющие целью сделать их недоступными для легитимных пользователей. DDoS-атаки заключаются в одновременной отправке в сторону определенного ресурса большого количества запросов с одного или многих компьютеров, расположенных в сети Интернет. Если тысячи, десятки тысяч или миллионы компьютеров одновременно начнут посылать запросы в адрес определенного сервера (или сетевого сервиса), то либо не выдержит сервер, либо не хватит полосы пропускания канала связи к этому серверу. В обоих случаях, пользователи сети Интернет не смогут получить доступ к атакуемому серверу, или даже ко всем серверам и другим ресурсам, подключенным через заблокированный канал связи.
Некоторые особенности DDoS-атак
Против кого и с какой целью запускаются DDoS-атаки?
Очень часто DDoS-атаки запускаются против web-представительств политических организаций, институтов или отдельных известных личностей. Многим известно про массированные и длительные DDoS-атаки, которые запускались против web-сайта президента Грузии во время грузино-осетинской войны 2008 года (web-сайт был недоступен в течение нескольких месяцев, начиная с августа 2008 года), против серверов правительства Эстонии (весной 2007 года, во время беспорядков, связанных с переносом Бронзового солдата), про периодические атаки со стороны северокорейского сегмента сети Интернет против американских сайтов.
Основными целями DDoS-атак являются либо извлечение выгоды (прямой или косвенной) путём шантажа и вымогательства, либо преследование политических интересов, нагнетание ситуации, месть.
Каковы механизмы запуска DDoS-атак?
Наиболее популярным и опасным способом запуска DDoS-атак является использование ботнетов (BotNets). Ботнет – это множество компьютеров, на которых установлены специальные программные закладки (боты), в переводе с английского ботнет – это сеть ботов. Боты как правило разрабатываются хакерами индивидуально для каждого ботнета, и имеют основной целью отправку запросов в сторону определенного ресурса в Интернет по команде, получаемой с сервера управления ботнетом – Botnet Command and Control Server. Сервером управления ботнетом управляет хакер, либо лицо, купившее у хакера данный ботнет и возможность запускать DDoS-атаку. Боты распространяются в сети Интернет различными способами, как правило – путем атак на компьютеры, имеющие уязвимые сервисы, и установки на них программных закладок, либо путем обмана пользователей и принуждения их к установке ботов под видом предоставления других услуг или программного обеспечения, выполняющего вполне безобидную или даже полезную функцию. Способов распространения ботов много, новые способы изобретаются регулярно.
Если ботнет достаточно большой – десятки или сотни тысяч компьютеров – то одновременная отправка со всех этих компьютеров даже вполне легитимных запросов в сторону определённого сетевого сервиса (например, web-сервиса на конкретном сайте) приведет к исчерпанию ресурсов либо самого сервиса или сервера, либо к исчерпанию возможностей канала связи. В любом случае, сервис будет недоступен пользователям, и владелец сервиса понесет прямые, косвенные и репутационные убытки. А если каждый из компьютеров отправляет не один запрос, а десятки, сотни или тысячи запросов в секунду, то ударная сила атаки увеличивается многократно, что позволяет вывести из строя даже самые производительные ресурсы или каналы связи.
Некоторые атаки запускаются более "безобидными" способами. Например, флэш-моб пользователей определенных форумов, которые по договоренности запускают в определенное время "пинги" или другие запросы со своих компьютеров в сторону конкретного сервера. Другой пример – размещение ссылки на web-сайт на популярных Интернет-ресурсах, что вызывает наплыв пользователей на целевой сервер. Если "фейковая" ссылка (внешне выглядит как ссылка на один ресурс, а на самом деле ссылается на совершенно другой сервер) ссылается на web-сайт небольшой организации, но размещена на популярных серверах или форумах, такая атака может вызвать нежелательный для данного сайта наплыв посетителей. Атаки последних двух типов редко приводят к прекращению доступности серверов на правильно организованных хостинг-площадках, однако такие примеры были, и даже в России в 2009 году.
Помогут ли традиционные технические средства защиты от DDoS-атак?
Особенностью DDoS-атак является то, что они состоят из множества одновременных запросов, из которых каждый в отдельности вполне "легален", более того – эти запросы посылают компьютеры (зараженные ботами), которые вполне себе могут принадлежать самым обычным реальным или потенциальным пользователям атакуемого сервиса или ресурса. Поэтому правильно идентифицировать и отфильтровать именно те запросы, которые составляют DDoS-атаку, стандартными средствами очень сложно. Стандартные системы класса IDS/IPS (Intrusion Detection / Prevention System – система обнаружения / предотвращения сетевых атак) не найдут в этих запросах "состава преступления", не поймут, что они являются частью атаки, если только они не выполняют качественный анализ аномалий трафика. А если даже и найдут, то отфильтровать ненужные запросы тоже не так просто – стандартные межсетевые экраны и маршрутизаторы фильтруют трафик на основании четко определяемых списков доступа (правил контроля), и не умеют "динамически" подстраиваться под профиль конкретной атаки. Межсетевые экраны могут регулировать потоки трафика, основываясь на таких критериях, как адреса отправителя, используемые сетевые сервисы, порты и протоколы. Но в DDoS-атаке принимают участие обычные пользователи Интернет, которые отправляют запросы по наиболее распространенным протоколам – не будет же оператор связи запрещать всем и всё подряд? Тогда он просто прекратит оказывать услуги связи своим абонентам, и прекратит обеспечивать доступ к обслуживаемым им сетевым ресурсам, чего, собственно, и добивается инициатор атаки.
Многим специалистам, наверное, известно о существовании специальных решений для защиты от DDoS-атак, которые заключаются в обнаружении аномалий в трафике, построении профиля трафика и профиля атаки, и последующем процессе динамической многостадийной фильтрации трафика. И об этих решениях я тоже расскажу в этой статье, но несколько попозже. А сначала будет рассказано о некоторых менее известных, но иногда достаточно эффективных мерах, которые могут приниматься для подавления DDoS-атак существующими средствами сети передачи данных и её администраторов.
Защита от DDoS-атак имеющимися средствами
Существует довольно много механизмов и "хитростей", позволяющих в некоторых частных случаях подавлять DDoS-атаки. Некоторые могут использоваться, только если сеть передачи данных построена на оборудовании какого то конкретного производителя, другие более или менее универсальные.
Начнем с рекомендаций Cisco Systems. Специалисты этой компании рекомендуют обеспечить защиту фундамента сети (Network Foundation Protection), которая включает защиту уровня администрирования сетью (Control Plane), уровня управления сетью (Management Plane), и защиту уровня данных в сети (Data Plane).
Защита уровня администрирования (Management Plane)
- реализацию ролевой модели доступа;
- контроль разрешенных подключений по адресу источника с помощью списков контроля доступа;
- отключение неиспользуемых сервисов, многие из которых включены по-умолчанию (либо их забыли отключить после диагностики или настройки системы);
- мониторинг использования ресурсов оборудования.
Естественно, перед тем как отключать данные сервисы, нужно тщательно проанализировать отсутствие их необходимости в вашей сети.
- загрузки процессора
- использования памяти
- загруженности интерфейсов маршрутизаторов.
Мониторинг можно осуществлять "вручную" (периодически отслеживая состояние оборудования), но лучше конечно это делать специальными системами мониторинга сети или мониторинга информационной безопасности (к последним относится Cisco MARS).
Защита уровня управления (Control Plane)
Уровень управления сетью включает весь служебный трафик, который обеспечивает функционирование и связность сети в соответствии с заданной топологией и параметрами. Примерами трафика уровня управления являются: весь трафик, генерируемый или предназначенный для процессора маршрутизации (route processor – RR), в том числе все протоколы маршрутизации, в некоторых случаях – протоколы SSH и SNMP, а также ICMP. Любая атака на функционирование процессора маршрутизации, а особенно – DDoS-атаки, могут повлечь существенные проблемы и перерывы в функционировании сети. Ниже описаны best practices для защиты уровня управления.
Control Plane Policing
Заключается в использовании механизмов QoS (Quality of Service - качество обслуживания) для предоставления более высокого приоритета трафику уровня управления, чем пользовательскому трафику (частью которого являются и атаки). Это позволит обеспечить работу служебных протоколов и процессора маршрутизации, то есть сохранить топологию и связность сети, а также собственно маршрутизацию и коммутацию пакетов.
IP Receive ACL
Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.
- применяются уже непосредственно на маршрутизирующем оборудовании перед тем, как трафик достигает процессора маршрутизации, обеспечивая "персональную" защиту оборудования;
- применяются уже после того, как трафик прошел обычные списки контроля доступа – являются последним уровнем защиты на пути к процессору маршрутизации;
- применяются ко всему трафику (и внутреннему, и внешнему, и транзитному по отношению к сети оператора связи).
Infrastructure ACL
- обычно устанавливаются на границе сети оператора связи ("на входе в сеть");
- имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
- обеспечивают беспрепятственный транзит трафика через границу операторской сети;
- обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).
Neighbour Authentication
Рекомендуется всегда, когда это возможно, обеспечивать аутентификацию хостов, с которыми производится обмен служебными данными либо трафиком управления.
Настройка BGP
- фильтрация префиксов BGP (BGP prefix filters) – используется для того, чтобы информация о маршрутах внутренней сети оператора связи не распространялась в Интернет (иногда эта информация может оказаться очень полезной для злоумышленника);
- ограничение количества префиксов, которые могут быть приняты от другого маршрутизатора (prefix limiting) – используется для защиты от DDoS атак, аномалий и сбоев в сетях пиринг-партнеров;
- использование параметров BGP Community и фильтрация по ним также могут использоваться для ограничения распространения маршрутной информации;
- мониторинг BGP и сопоставление данных BGP с наблюдаемым трафиком является одним из механизмов раннего обнаружения DDoS-атак и аномалий;
- фильтрация по параметру TTL (Time-to-Live) – используется для проверки BGP-партнёров.
Cisco DDoS
Protection Solution
Detection
Идентифицировать и классифицировать атаки на основании характеристик трафика
Diversion / Injection
Mitigation
Анализ трафика и удаление пакетов DDoS-атаки
Network Foundation Protection
- Детекторы производства Cisco Systems – сервисные модули Cisco Traffic Anomaly Detector Services Module, предназначенные для установки в шасси Cisco 6500/7600.
- Детекторы производства Arbor Networks – устройства Arbor Peakflow SP CP.
Ниже приведена таблица сравнения детекторов Cisco и Arbor.
Параметр
Cisco Traffic Anomaly Detector
Arbor Peakflow SP CP
Получение информации о трафике для анализа
Используется копия трафика, выделяемая на шасси Cisco 6500/7600
Используется Netflow-данные о трафике, получаемые с маршрутизаторов, допускается регулировать выборку (1 : 1, 1 : 1 000, 1 : 10 000 и т.д.)
Используемые принципы выявления
Сигнатурный анализ (misuse detection) и выявление аномалий ( dynamic profiling )
Преимущественно выявление аномалий; сигнатурный анализ используется, но сигнатуры имеют общий характер
сервисные модули в шасси Cisco 6500/7600
отдельные устройства (сервера)
Анализируется трафик до 2 Гбит/с
Практически неограниченна (можно уменьшать частоту выборки)
Установка до 4 модулей Cisco Detector SM в одно шасси (однако модули действуют независимо друг от друга)
Возможность использования нескольких устройств в рамках единой системы анализа, одному из которых присваивается статус Leader
Мониторинг трафика и маршрутизации в сети
Функционал практически отсутствует
Функционал очень развит. Многие операторы связи покупают Arbor Peakflow SP из-за глубокого и проработанного функционала по мониторингу трафика и маршрутизации в сети
Предоставление портала (индивидуального интерфейса для абонента, позволяющего мониторить только относящуюся непосредственно к нему часть сети)
Предусмотрено. Является серьезным преимуществом данного решения, так как оператор связи может продавать индивидуальные сервисы по защите от DDoS своим абонентам.
Совместимые устройства очистки трафика (подавления атак)
Cisco Guard Services Module Arbor Peakflow SP TMS; Cisco Guard Services Module.
В качестве устройства очистки трафика Cisco рекомендует использовать сервисный модуль Cisco Guard, который устанавливается в шасси Cisco 6500/7600 и по команде, получаемой с детектора Cisco Detector либо с Arbor Peakflow SP CP осуществляется динамическое перенаправление, очистка и обратный ввод трафика в сеть. Механизмы перенаправления – это либо BGP апдейты в сторону вышестоящих маршрутизаторов, либо непосредственные управляющие команды в сторону супервизора с использованием проприетарного протокола. При использовании BGP-апдейтов, вышестоящему маршрутизатору указывается новое значение nex-hop для трафика, содержащего атаку – так, что этот трафик попадает на сервер очистки. При этом необходимо позаботиться о том, чтобы эта информация не повлекла организацию петли (чтобы нижестоящий маршрутизатор при вводе на него очищенного трафика не пробовал снова завернуть этот трафик на устройство очистки). Для этого могут использоваться механизмы контроля распространения BGP-апдейтов по параметру community, либо использование GRE-туннелей при вводе очищенного трафика.
Такое положение дел существовало до тех пор, пока Arbor Networks существенно не расширил линейку продуктов Peakflow SP и не стал выходить на рынок с полностью самостоятельным решением по защите от DDoS-атак.
Появление Arbor Peakflow SP TMS
Несколько лет назад, компания Arbor Networks решила развивать свою линейку продуктов по защите от DDoS-атак самостоятельно и вне зависимости от темпов и политики развития данного направления у Cisco. Решения Peakflow SP CP имели принципиальные преимущества перед Cisco Detector, так как они анализировали flow-информацию с возможностью регулирования частоты выборки, а значит не имели ограничений по использованию в сетях операторов связи и на магистральных каналах (в отличие от Cisco Detector, которые анализируют копию трафика). Кроме того, серьезным преимуществом Peakflow SP явилась возможность для операторов продавать абонентам индивидуальный сервис по мониторингу и защите их сегментов сети.
Ввиду этих или других соображений, Arbor существенно расширил линейку продуктов Peakflow SP. Появился целый ряд новых устройств:
Peakflow SP TMS (Threat Management System) – осуществляет подавление DDoS-атак путем многоступенчатой фильтрации на основе данных, полученных от Peakflow SP CP и от лаборатории ASERT, принадлежащей Arbor Networks и осуществляющей мониторинг и анализ DDoS-атак в Интернете;
Peakflow SP BI (Business Intelligence) – устройства, обеспечивающие масштабирование системы, увеличивая число подлежащих мониторингу логических объектов и обеспечивая резервирование собираемых и анализируемых данных;
Peakflow SP PI (Portal Interface) – устройства, обеспечивающие увеличение абонентов, которым предоставляется индивидуальный интерфейс для управления собственной безопасностью;
Peakflow SP FS (Flow Censor) – устройства, обеспечивающие мониторинг абонентских маршрутизаторов, подключений к нижестоящим сетям и центрам обработки данных.
Принципы работы системы Arbor Peakflow SP остались в основном такими же, как и Cisco Clean Pipes, однако Arbor регулярно производит развитие и улучшение своих систем, так что на данный момент функциональность продуктов Arbor по многим параметрам лучше, чем у Cisco, в том числе и по производительности.
На сегодняшний день, максимальная производительность Cisco Guard модет быть достигнута путем создания кластера из 4-х модулей Guard в одной шасси Cisco 6500/7600, при этом полноценная кластеризация этих устройств не реализована. В то же время, верхние модели Arbor Peakflow SP TMS имеют производительность до 10 Гбит/с, и в свою очередь могут кластеризоваться.
Каждые сутки хакеры проводят около 2000 атак по всему миру. Представители малого и среднего бизнеса теряют в среднем 50 000$ за одну атаку, крупные компании — до 500 000$ и больше. Uber выплатил 149 миллионов долларов клиентам, чьи данные были украдены, Facebook заплатил штраф в размере 5 миллиардов долларов. Цели большинства атак: похищение конфиденциальных данных, вымогательство, желание сделать бяку конкуренту.
Что такое DDoS?
Кого и зачем атакуют
Знай врага в лицо
Кроме настольного друга, DDoS-атакой в вашем доме может заниматься холодильник, электрочайник, видеокамера и даже умная лампочка.
Что нужно для DDoS-атаки и сколько это стоит
Самый простой способ сделать подножку ненавистному сайту — заказать стресс-тест у сервиса, предлагающего защиту от атак. Это работает только с самыми простенькими сайтами на бесплатных CMS и дешевых виртуальных хостингах. Тест длится от 2 до 20 минут. Более серьезную атаку можно организовать с помощью автоматических инструментов.
Как вычисляют жертву?
Частный случай
Проникнуть в любую сеть можно через Wi-Fi. Хакеры удаленно перезагружают устройство с помощью программы типа Websploit. Роутер возвращается к базовым настройкам и стандартному паролю. Злоумышленник получает доступ ко всему трафику организации.
Выявить адрес жертвы можно с помощью Skype или другого мессенджера. Делается это с помощью хакерского ПО на Linux. На полученный адрес посылается множество пакетов данных. Бонусом можно поставить программку автодозвона на определенный номер.
Виды DDoS-атак
Smurf-атака — взломщик отправляет операционной системе запрос с подменным mac-адресом. Все ответы с сервера пересылаются на пинг-запрос хаккера, а жертва бесконечно долго ждет пакеты, который у нее умыкнул воришка.
UDP-флуд — в данном типе атаки превышается время ожидания ответа от сервера, соответственно, пользователь получает отказ в обработке запроса.
Программы-эксплоиты — используются более продвинутыми взломщиками, цель которых — коммерческие организации. Программное обеспечение выискивает ошибки кода, бэкдоры, уязвимости.
Атака на VoIP и SIP устройства связи — осуществляется через специальное ПО, для организации необходимо узнать IP-адрес пользователя.
Что делать во время DDoS-атаки
Можно провести обратную DDoS-атаку, перенаправив присланную бяку, атакующему. Если повезет, выведите из строя его оборудование. Для этого надо знать адрес сервера хакера и обладать хорошими навыками программирования. Без специалиста в этой области не обойтись — они редки и очень дорого стоят.
Активные методы защиты
Построение распределенных систем — целое искусство, позволяющее раскидывать запросы по разным узлам единой системы, если какие-то сервера стали не доступными. Вся информация дублируется, физически сервера находятся в Data-центрах разных стран. Такой подход имеет смысл использовать только для крупных проектов с большим количеством пользователей или высокими требованиями к бесперебойному доступу — банки, социальные сети.
Если у сервера нет надежной защиты или принятые меры не дали результатов — руби канаты.
Весь DDoS-трафик поступает от одного провайдера и магистрального маршрутизатора, поэтому можно заблокировать все, подключившись к резервной линии Интернет-соединения. Метод действенный, пока вас снова не обнаружат.
Как защищают сервисы
Весь интернет-трафик, поступающий на сайт, перенаправляется на сервера программно-аппаратных комплексов защиты, клиент получает только очищенный входящий трафик. Исходящий проходит через другие сервера.
Как правило, стоимость таких услуг довольна высока. Эти же сервисы предлагают постоянный мониторинг и выделенный IP, чтобы скрыть реальный адрес. Деньги берут в зависимости от объема трафика, поступающего на сервер. Расходы на защиту колеблются от 250 до нескольких тысяч долларов год.
Выбор стратегии зависит от серьезности угрозы и важности бесперебойной работы ресурса. Для большинства сайтов достаточно превентивных мер:межсетевые экраны, фильтрация запросов по ACL-списку, установка программ пассивного мониторинга, создание резервной линии Интернет-соеденения. Если доход от сайта исчисляется сотнями тысяч в день, стоит подумать о надежной защите на постоянной основе.
DoS (Denial of Service — отказ в обслуживании) — хакерская атака на компьютерную систему с целью доведения ее до отказа, то есть создание условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) или доступ затруднен.Опишем DDoS атаку и защиту от нее.
Отказ или ненормальное функционирование атакуемой системы также может быть шагом к освоению системы (если в нештатной ситуации программное обеспечение выдает какую-либо критическую информацию — например, версию, часть программного кода и т. Д.).
В данной работе в качестве критерия классификации мы будем рассматривать объект, на который направлена атака. В этом случае существует четыре основных класса атак, соответствующих уровням модели ISO OSI.
Чуть-чуть об уровнях:
Канальный уровень (L2) — атаки направлены на исчерпание полосы пропускания сетевого канала. В результате сервер теряет доступ к внешней сети. Для реализации используются объемные транспортные потоки. В настоящее время измеряется в ГБ / сек. Во время этой DDoS атаки трафик должен обрабатываться на стороне провайдера, то есть в дата-центре.С помощью BGP Flow Spec (преза, Pdf-ка) фильтруется часть атак по сигнатурам пакета. Amplification атаки (теория) отсекаются по порту.
Сетевой уровень (L3) — атаки направлены на нарушение работы элементов сетевой инфраструктуры. Требуется ручной анализ сетевой инфраструктуры. Если нет собственной автономной системы, то провайдер или центр обработки данных борются с этим классом атак. Желательно сотрудничество с ними.
Транспортный уровень (L4) — атаки направлены на использование уязвимостей в стеке TCP. Протокол TCP использует таблицу открытых соединений. Атаки, с другой стороны, составляют этот класс. Требуется постоянный анализ поведения TCP-стека, TCP-клиентов и TCP-пакетов. Эвристический анализ.
Прикладной уровень (L7) — атаки, направленные на нарушение работы веб-приложения. Атаки этого класса отличаются большим разнообразием. Отсутствие серверных ресурсов. Требуется поведенческий анализ и корреляция, мониторинг ресурсов сервера. Необходимо оптимально настроить сервер под решаемые им задачи. Полностью автоматизировать борьбу с этим классом атак практически невозможно.
1.Медленные атаки:
1.1 SlowLoris
Уровень атаки: транспортный уровень (L4).
Описание и принцип работы:
Уровень атаки: транспортный уровень (L4).
Описание и принцип работы:
1.3 Sockstress
Уровень атаки: транспортный уровень (L4).
Описание и принцип работы:
Примеры:
Размер окна пакета равен нулю, т.е. нет места для приема данных. Сценарий Sockstress отправляет эти пакеты и подсчитывает время их отправки, чтобы таймер сохраняемости не загружался.
2. Атака произвольными пакетами:
Уровень атаки: канальный уровень (L2), прикладной уровень (L7).
Описание и принцип работы:
2.UDP-Flood
Уровень атаки: канальный уровень (L2), прикладной уровень (L7).
Описание и принцип работы:
2.3 SYN-Flood
Уровень атаки: канальный уровень (L2), транспортный уровень (L4).
Описание и принцип работы:
2.4 ICMP-Flood
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Данный тип флуда направлен на сетевое оборудование. Принцип данной DDoS атаки заключается в том, что ICMP-пакет при небольшом размере самого запроса требует от устройств значительно большего объёма работы. То есть, при отправлении сравнительно небольшого объёма ICMP запросов возникает перегрузка сетевого оборудования и значительная часть легитимных запросов теряется. Злоумышленник, меняет IP-адрес источника, отправляет ICMP Echo Request пакет к определённым компьютерам, входящим в бот-нет. Они отвечают ICMP Echo Reply пакетом, посылая его на изменённый IP-адрес. Для увеличения мощности атаки используют локальные сети (LAN) с включенной опцией направленной широковещательной рассылки (directed broadcast).
3.Атака с помощью SSL
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Secure Sockets Layer (SSL) — это протокол безопасности для защиты целостности сети связи и передачи данных. SSL может зашифровать подключение к сети на транспортном уровне. Процессы шифрования протокола SSL, расшифровки и обмена ключами потребляют огромное количество системных ресурсов. Существует два типа атака основанных на протоколе SSL.
Первый тип эксплуатирует механизм рукопожатия, который исчерпывает ресурсы атакуемого сервера. Злоумышленник посылает некорректные SSL данные на сервер, на обработку которых затрачивается большое количество вычислительной мощности.
4.Атака почтового сервера c SMTP-Flood
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
В DDoS атаках этого типа злоумышленник пытается установить соединение с почтовым сервером и отправляет произвольные письма на сгенерированные случайным образом адреса, либо бездействует до истечения тайм-аута, удерживая соединение открытым. Каждое SMTP соединение утилизирует часть ресурсов сервера, тем самым атакующий пытается вызвать отказ в обслуживании.
Технология заключается в том, что когда мы пишем электронное письмо от несуществующего получателя, SMTP-сервер предупреждает нас, используя электронную почту (отправителя), что письмо не придет. Мы отправляем много запросов на SMTP-сервер (пишем письма) и указываем, что не все электронные письма действительны, а отправитель (цель атаки). И им сообщат, что письмо не пришло. Несколько серверов SMTP отправят трафик на цель атаки.
5.Некорректные пакеты/фрагменты:
5.1 UDP fragment flood
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Данный тип DDoS атаки основан на отправки UDP датаграмм, которые случайным образом ссылаются на датаграммы отсутствующие в потоке. Это приводит к увеличению потребления памяти на атакуемом сервере. При атаке UDP Fragment Flood, злоумышленники посылают UDP пакеты большого размера, для истощения пропускной способности канала.
5.2 Некорректные IP-фрагменты
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Данный тип DDoS атак эксплуатирует уязвимости в поддержке фрагментации пакетов протокола IP. Одна из атак этого типа — это пересечение IP-фрагментов. Она реализуется с помощью уязвимости операционной системы, которая заключается в сборке фрагментированных IP- пакетов. В процессе сборки образуется цикл по принятым фрагментам. Затем из них копируется информативная часть и передаётся на IP уровень. Разработчики предусмотрели проверку на чрезмерный объем копируемой информации, но не ввели проверку на копирование фрагмента отрицательной длины. Копирование блока информации отрицательной длины равносильно копированию очень большого блока информации. Это приводит к затиранию большого участка памяти и к нарушению работы системы.
Существует две программы с небольшими отличиями в константах механизма, который осуществляет пересечение IP-фрагментов: newtear и teardrop. Они отправляют пакеты с заданного IP-адреса на любой порт, независимо, открыт он или закрыт. Еще один вариант данной атаки — bonk. После сборки фрагментов в пакете остаются пустые места. Это приводит к сбою ядра операционной системы и нарушению работы электронных вычислительных средств. Данные уязвимости присутствуют в старых версиях ОС(операционных систем) Windows и Linux. На сегодняшний день большинство сетевых ОС защищены от сбоев в работе, вызванных данной атакой.
5.3 Неверные значения в заголовках пакетов
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Эти DDoS атаки нацелены на определенные приложения и операционные системы, которые неправильно обрабатывают недопустимые значения в заголовках пакетов. Land
attack является примером такой атаки. При этом злоумышленник определяет один и тот же IP-адрес для источника и назначения в пакете. Это приводит к зацикливанию в подключении сервера к самому себе.
6.Amplification атаки (атаки N-усиления)
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Эти DDoS атаки основаны на отсутствии проверки отправителя в протоколе UDP. Ответ отправляется адресату, указанному в заголовках пакетов. Злоумышленник может подделать свой IP-адрес с IP-адресом атакованного сервера в заголовках отправленных пакетов. Суть атаки также заключается в том, что объем ответа многократно превышен по сравнению с запросом. Таким образом, злоумышленник может анонимно запускать атаки с большим объемом трафика. Для проведения такой DDoS атаки можно использовать сервисы на основе протокола UDP: DNS, NTP, SNMP, rsyslog и многие другие. Дело в том, что сетевые устройства, предоставляющие эти услуги, широко распространены в сети. Службы включены по умолчанию и часто неправильно настроены.
В таблице 1 представлены типы amplification атак проведённых в ходе исследования. В ней отображается по какому протоколу осуществляются атаки, коэффициент их усиления и уязвимая команда, используемая для реализации атаки.
6.1 NTP amplification атака
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Злоумышленник отправляет на NTP-сервер запрос monlist с IP-адресом атакуемого сервера. Ответ Monlist включает в себя список из 600 недавних клиентов ntpd. Суть амплификации заключается в том, что злоумышленник отправляет небольшой запрос на уязвимый сервер, и с него на атакованный сервер отправляется большой поток UDP-трафика. Уязвимый NTP-сервер — невольный посредник в атаке. Ntpd до версии 4.2.7p26 уязвимы для атак.
6.2 DNS Amplification атака
Уровень атаки: канальный уровень (L2).
Описание и принцип работы:
Атака основана на том, что злоумышленник отправляет на уязвимый DNS-сервер запрос с IP-адресом атакуемого сервера. DNS-сервер отправляет жертве ответ, который во много раз превышает размер запроса. Таким образом, пропускная способность атакуемого сервера исчерпана.
Можно выделить ключевые моменты атаки:
Уровень атаки: прикладной уровень (L7).
Описание и принцип работы:
Если в клетку таблицы вставить формулу
Некоторые DoS & DDoS инструменты
1. Встроенные тулзы Kali Linux
В сети доступно сотни программ для выполнения ддос атаки. Первое место где мы можем найти подобные инструменты это хакерский дистрибутив Kali Linux. Открыв в нем следующий путь:
kali > cd /usr/share/metasplot-framework/auxiliary/dos
и просмотрев содержимое директории мы увидим что Metasploit имеет множество инструментов для организации DDoS атак.
kali linux ddos tools
kali linux ddos tools
Просмотреть листинг доступных инструментов для DDOS атак в KALI вы можете выполнив команду:
Данная команда показывает базу данных эксплоитов для атаки Windows систем.
Для просмотра доступных инструментов DDoS атаки Linux вводим команду:
2. LOIC
The Low Orbit Ion Cannon (LOIC) или Низко орбитальная ионная пушка. Возможно самая популярная DDOS программа. Она может рассылать массовые запросы по протоколам ICMP, UDP тем самым забивая канал к серверу жертвы. Самая известная атака с помощью LOIC была совершена группой Anonymous в 2009 году и направлена против PayPal, Visa, MasterCard в отместку за отключение WikiLeaks от системы сбора пожертвований.
Low Orbit Ion Cannon
DDoS атаки, организованные с помощью LOIC, могут быть устранены путем блокировки пакетов UDP и ICMP на сетевых устройствах провайдера. Вы можете бесплатно скачать LOIC с SourceForge . Этот инструмент основан на Windows и очень прост в использовании. Укажите сайты жертвы и просто нажмите одну кнопку.
2. HOIC
3. HULK
4. RUDY
5. OWASP Switchblade
6. DDOSIM – Layer 7 DDoS эмулятор
Сколько стоит заказать DDoS на черном рынке?
Distributed Denial of Service (DDoS) — один из самых популярных инструментов в арсенале киберпреступников. Мотивом DDoS-атаки может быть что угодно, от кибер-хулиганства до шантажа. Известны случаи, когда преступные группировки угрожали своим жертвам DDoS-атакой, если они не заплатили им 5 биткойнов (то есть более 5000 долларов). DDoS-атака часто используется для отвлечения ИТ-персонала во время совершения другого киберпреступления, например Б. кража данных или внедрение вредоносного ПО.
DDoS как услуга
Предлагая функции своего ботнета, организаторы службы DDoS, как мы обнаружили, предлагают своим клиентам тариф, по которому покупатель платит за пропускную способность ботнета в секунду. Например, 300 секунд DDoS-атаки с использованием ботнета с общей пропускной способностью 125 ГБ в секунду обойдутся заказчику в 5 долларов. Более того, все остальные характеристики (мощности и сценарии) были одинаковыми для всех тарифов.
В свою очередь, 10 800 секунд DDoS-атак обходятся клиенту в 60 долларов, или около 20 долларов в час атаки, характеристики которой (сценарий атаки и потребляемая вычислительная мощность) злоумышленники не всегда указывали на своем ресурсе для опытных клиентов. По-видимому, не все киберпреступники считают целесообразным раскрыть внутреннюю работу своего ботнета (и вполне возможно, что не все владельцы ботнета понимают технические характеристики из-за своей некомпетентности). В частности, злоумышленники не раскрывают типы ботов, которые включены в ботнет для этой цели.
За указанную цену преступники обещают своим клиентам реализовать довольно тривиальные сценарии:
- SYN-flood;
- UDP-flood;
- NTP-amplification;
- Multi-vector amplification (несколько amplification-сценариев одновременно).
Сколько стоит DDoS устроить
Некоторые сервисы предлагают выбрать конкретный сценарий DDoS атаки, что позволяет киберпреступникам комбинировать разные сценарии и проводить атаки с учетом индивидуальных характеристик жертвы. Например, если жертве удается обработать SYN-поток, злоумышленник может изменить сценарий атаки в панели управления и оценить реакцию жертвы.
Сколько стоит DDoS устроить
Среди проанализированных нами предложений мы также встретили такие, в которых злоумышленники предлагают разные цены на свои услуги в зависимости от типа жертвы.
Сколько стоит DDoS устроить
Информация, найденная на русскоязычном сайте, целиком посвященном сервису DDoS-атак
Например, киберпреступники предлагают 400 долларов в день за сайт / сервер, который использует службы защиты от DDoS-атак, что в четыре раза больше, чем незащищенный сайт.
Сколько стоит DDoS устроить
Любопытно, что некоторые преступники не брезгуют наряду со своими сервисами DDoS предоставлять и защиту от DDoS-атак.
Сколько стоит DDoS устроить
А как же защита от ДДоС?
Данный вопрос рано или поздно начинает волновать каждого хозяина успешного сайта Мы также не являемся исключением. Дешёвым и мало эффективным методом защиты от DDoS атак, является самостоятельная защита. Как правило ее пробивают с помощью обычного флуда, направленного на переполнение канала к серверу. После этого ваш хостинг провайдер отключает IP адрес вашего сайта.
Данный сервис проверен временем и предоставляет одну из лучших защит в мире. Да, я не преувеличиваю Если у вас будет подобная проблема, можете смело обращаться сославшись на наш блог. В этом случае вы сможете даже расчитывать на скидку!
Объясняем, почему обращаться к хакерам — последнее дело честного предпринимателя и чем это грозит.
Как сделать Ддос-атаку знает даже школьник
Сегодня инструменты для организации Ддос-атаки доступны для всех желающих. Порог вхождения для начинающих хакеров низкий. Поэтому доля коротких, но сильных атак на российские сайты выросла. Похоже, что хакерские группы просто отрабатывают навыки.
Сообщество юных борцов с системой Республики Татарстан
Раньше вырывали страницы в дневниках, а теперь взламывают сайты
Из-за простоты Ддос-атак за них берутся новички без моральных принципов и пониманий своих возможностей. Такие могут и перепродать данные о заказчике. Омоложение исполнителей Ддос-атак — мировая тенденция.
Весной 2017 года тюремный срок получил британский студент. Когда ему было 16 лет, он создал программу для Ддос-атак Titanium Stresser. На её продаже британец заработал 400 тысяч фунтов стерлингов (29 миллионов рублей). С помощью этой Ддос-программы провели 2 миллиона атак на 650 тысяч пользователей во всём мире.
Подростками оказались участники крупных Ддос-группировок Lizard Squad и PoodleCorp. Юные американцы придумали собственные Ддос-программы, но использовали их для атаки на игровые серверы, чтобы получить преимущества в онлайн-играх. Так их и нашли.
Доверять ли репутацию компании вчерашним школьникам, каждый решит сам.
Наказание за Ддос-программы в России
Российское законодательство предусматривает наказание за кибер-преступления. Исходя из сложившейся практики, участники Ддос-атаки могут попасть под следующие статьи.
Заказчики. Их действия обычно подпадают под статью 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.
Наказание: лишение свободы до семи лет или штраф до 500 тысяч рублей.
Пример. По этой статье осудили сотрудника отдела технической защиты информации администрации города Курган. Он разработал многофункциональную программу Мета. С её помощью злоумышленник собрал персональные данные на 1,3 миллиона жителей области. После — продавал банкам и коллекторским агентствам. Хакер получил два года лишения свободы.
Исполнители. Как правило, наказываются по статье 273 УК РФ — создание, использование и распространение вредоносных компьютерных программ.
Наказание. Лишение свободы до семи лет со штрафом до 200 тысяч рублей.
Пример. 19-летний студент из Тольятти получил получил 2,5 года условного срока и штраф 12 млн рублей. С помощью программы для Ддос-атак он пытался обрушить информационные ресурсы и сайты банков. После атаки студент вымогал деньги.
Неосторожные пользователи. Несоблюдение правил безопасности при хранении данных карается по статье 274 УК РФ — нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
Наказание: лишение свободы до пяти лет или штрафом до 500 тысяч рублей.
Пример. Если в ходе доступа к информации каким-либо образом были похищены деньги, статью переквалифицируют в мошенничестве в сфере компьютерной информации ( статья 159.6 УК РФ). Так два года в колонии-поселении получили уральские хакеры, получившие доступ к серверам банков.
Нападки на СМИ. Если Ддос-атаки направлены на нарушение журналистских прав, действия подпадают под статью 144 УК РФ — воспрепятствование законной профессиональной деятельности журналиста.
Наказание: лишение свободы до шести лет или штрафом до 800 тысяч рублей.
Программы для Ддос-атак
По информации экспертов, для атаки на средний сайт достаточно 2000 ботов. Стоимость Ддос-атаки начинается от 20 долларов (1 100 рублей). Количество атакующих каналов и время работы обсуждаются индивидуально. Встречаются и вымогательства.
Хакеры проведут Ддос-атаку на конкурента. Потом могут получить доступ к его вычислительной мощности и замайнить биткоин-другой. Только эти доходы заказчику не достанутся.
Риски заказа Ддос-атаки
Подведём итог, взвесив достоинства и недостатки заказа Ддос-атаки на конкурентов.
Андрей, вы правы, в прошлом происходило огромное количество взломов, однако хочется подчеркнуть, что это было по ряду причин:
1) Слабые технологии защиты;
2) Отсутствие компьютерной грамотности у людей;
Иметь пароль в виде даты рождения считалось нормой, и взломщикам не приходилось выдумывать сложные алгоритмы для подбора символов. Сейчас же большинство уже на автомате подключает двухфакторную авторизацию, не говоря о паролях с абсолютно рандомными символами.
Время меняется, в компетентные органы приходят молодые сотрудники со знаниями и пониманием. К примеру, в мае 2017 года был осужден житель Забайкальского края за взлом страницы знакомой, его приговорили к исправительным работам. В 2019 году осудили 21-летнего хакера из Воронежа, взламывающего личные страницы ВКонтакте. Его приговорили к году исправительных работ с удержанием заработной платы в размере 10% ежемесячно в пользу государства.
Ужасная статья, вы сами та читали что пишете? ..Создал ддос программу, которая сбрала данные о 1.3млн человек…. Это как вообще? Вы хоть почитайте что такое дудос, не удивлюсь что сами такие школьники
Ошибки нет. Некорректно описали процесс. Там мужчина валил сервера, а потом собирал данные. Перепислаи в статье этот блок, чтобы всем читателям было понятно. Спасибо!
Читайте также: