Чем опасны DoS и DDoS атаки? DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты Чем отличается dos от ddos.

Целью DDoS-атаки может быть как блокирование проекта конкурента или популярного ресурса, так и получение полного контроля над системой. При раскрутке сайта учитывают, что DoS-условия возникают по следующим причинам:

  • из-за ошибок в программном коде, которые приводят к выполнению недопустимых инструкций, обращению к неиспользуемой части адресного пространства и т.д.;
  • из-за недостаточной проверки данных пользователей, что может привести к длительному (или бесконечному) циклу, увеличенному потреблению ресурсов процессора, исчерпанию памяти и др.;
  • из-за флуда — внешней атаки посредством большого числа неправильно сформированных или бессмысленных запросов к серверу. Различают флуд TCP-подсистемы, каналов связи и прикладного уровня
  • из-за внешнего воздействия, цель которого - вызвать ложное срабатывание защитной системы и, как следствие, привести к недоступности ресурса.

Защита

DDoS-атаки осложняют , так как при достаточно продолжительной неработоспособности сервера страницы выпадают из индекса. Для обнаружения угрозы используют сигнатурные, статистические и гибридные методы. Первые базируются на качественном анализе , вторые - на количественном, третьи сочетают достоинства предыдущих способов. Меры противодействия бывают пассивными и активными, превентивными и реакционными. В основном применяются следующие способы:

  • устранение личных и социальных причин, побуждающих людей организовывать DDoS-атаки,
  • блэкхолинг и фильтрация трафика,
  • ликвидация уязвимостей кода в ходе поисковой оптимизации сайта,
  • наращивание ресурсов сервера, построение продублированных и распределенных систем для резервного обслуживания пользователей,
  • техническое и организационно-правовое воздействие на организатора, источники или центр управления атакой,
  • установка оборудования по отражению DDoS-атак (Arbor Peakflow®, DefensePro® и др.),
  • покупка выделенного сервера для хостинга сайта.

Уровень угрозы напрямую зависит силы и продолжительности атаки

Dos (Denial of Service) атаки

Логикой атаки является создание условий, при которых обычные или легитимные пользователи системы не могут получить доступ к предоставляемым сайтом ресурсам, либо этот доступ к ним затруднён.

В большинстве случаев DoS атака - это мера коммерческое давления сайты. Простой сайта, приносящего доход, счета от провайдера, меры по уходу от атаки ощутимо бьют собственника ресурса по карману.
Целью DoS атаки могут также стать политические, религиозные или иные мотивы, когда атакующие не согласны с контентом и политикой сайта.

DoS атака на сайт может быть и прелюдией к взлому сайта, если при сбое ПО сервера или код сайта выдаёт какую-либо критическую информацию - например, версию ПО, часть программного кода, серверные пути и т. п.).

В случае, когда атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service).

DDos (Distributed Denial of Service) атаки

Технологии проведения DoS и DDoS атак разнообразны, от простого навала на ресурс, до техники "умного" DoSa, атакующего конкретные слабые, или долго выполняющиеся скрипты сайта.

Часто злоумышленники пользуются уязвимостями в серверном программном обеспечении. Старые версии серверного ПО подвержены множественным уязвимостям, включая неустойчивостью к DoS и DDoS атакам. Применяются эксплойты использующие эти уязвимости, для организации DoS и DDoS атак.

Техникой "умного" DDoSa так же является атака, приводящая к отказу в обслуживании путем превышения лимитов установленных хостинг - провайдерами.

Практически у всех хостингов существуют недокументированные ограничения в обслуживание, такие как количество единовременных обращений к файловой системе сервера, ограничение по нагрузке на процессор и.т.п. Обладая этой информацией злоумышленник направляет атаку на сайт или сервер целью которой является превышение этих лимитов.

Классификация DoS и DDoS атак:

  • НАСЫЩЕНИЕ ПОЛОСЫ ПРОПУСКАНИЯ - атака, связанная с большим количеством бессмысленных запросов к сайту, с целью его отказа из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • HTTP - флуд и PING - флуд - примитивная DoS атака, целью которой является насыщение полосы пропускания и отказ сайта в обслуживание. Успех атаки напрямую зависит от разницы размеров ширины канала атакуемого сайта и атакующего сервера.
  • SMURF - атака (ICMP - флуд) - одна из самых опасных DDoS атак, когда атакующий использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. В ней по широковещательному адресу атакующий отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный атакующим через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз.
  • FRAGGLE - атака (UDP - флуд) - атака, аналогичная SMURF - атаке, где вместо ICMP пакетов используются пакеты UDP. Принцип действия этой атаки простой: на атакуемый сервер отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы
  • АТАКА ПАКЕТАМИ SYN (SYN-флуд) - суть атаки заключается в следующем: два сервера устанавливают TCP соединение, установку которого выделяется небольшое количество ресурсов. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения. Делается это подменой истинного IP на несуществующий IP адрес атакующего сервера, при отправке SYN пакетов. Сервер - жертва будет создавать очередь из необработанных соединений, которая исчерпает его ресурсы.
    Определить источник такой атаки крайне сложно, т.к. истинные адреса атакующих серверов подменяются на несуществующие.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном ресурсе ссылки на сайт, размещённый на не очень быстром и производительном сервере (слэшдот-эффект).

Большой наплыв пользователей так же приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании.

Защита от DoS и DDoS атак

Универсальной защиты от DoS и DDoS атак не существует.
Гарантированной защиты от мощной DDoS атаки не существует.

Стратегия защиты DoS или DDoS напрямую зависит от типа, логики и мощности самой атаки

Аудит безопасности сайта

Гарантированная защита сайта от взлома и атак

На вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

  • Ошибка в программном коде , приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера - серверной программы. Классическим примером является обращение по нулевому (англ. null ) адресу.
  • Недостаточная проверка данных пользователя , приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).
  • Флуд (англ. flood - «наводнение», «переполнение») - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов - с нескольких рассредоточенных в сети компьютеров - то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS ).

Эксплуатация ошибок

Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).

Флуд

О флуде как нарушении сетевого этикета см. Флуд .

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка »), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты . Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг » или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP , подвержен таким типам флуда:

  • SYN-флуд - при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
  • UDP-флуд - этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP -пакеты надо доставить первыми, а TCP - могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP , перестаёт отвечать.
  • ICMP-флуд - то же самое, но с помощью ICMP -пакетов.

Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) - флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, - для выведения веб-сервера из строя может применяться как простейшее GET / , так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка> .

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд -атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

  • сигнатурные - основанные на качественном анализе трафика.
  • статистические - основанные на количественном анализе трафика.
  • гибридные (комбинированные) - сочетающие в себе достоинства обоих вышеназванных методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
  • Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
  • Обратный DDOS - перенаправление трафика, используемого для атаки, на атакующего.
  • Устранение уязвимостей. Не работает против флуд -атак, для которых «уязвимостью » является конечность тех или иных системных ресурсов.
  • Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
  • Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
  • Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
  • Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

См. также

Примечания

Литература

  • Крис Касперски Компьютерные вирусы изнутри и снаружи. - Питер. - СПб. : Питер, 2006. - С. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Анализ типовых нарушений безопасности в сетях = Intrusion Signatures and Analysis. - New Riders Publishing (англ.) СПб.: Издательский дом «Вильямс» (русск.), 2001. - С. 464. - ISBN 5-8459-0225-8 (русск.), 0-7357-1063-5 (англ.)
  • Morris, R.T = A Weakness in the 4.2BSD Unix TCP/IP Software. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, Feb 1985.
  • Bellovin, S. M. = Security Problems in the TCP/IP protocol Suite. - Computer Communication Review, Vol. 19, No.2. - AT&T Bell Laborotories, April 1989.
  • = daemon9 / route / infinity «IP-spooling Demystified: Trust Realationship Exploitation». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.
  • = daemon9 / route / infinity «Project Neptune». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.

Ссылки

  • DoS-атака в каталоге ссылок Open Directory Project (

Английская аббревиатура DDoS расшифровывается как Distributed Denial of Service, что дословно переводится как «распределенный отказ в обслуживании». На деле эта терминология подразумевает атаку, которая выполняется одновременно с большого числа компьютеров. Задачей такой атаки является выведение из строя сервера цели (как правило, крупной организации) за счет огромного количества запросов, которые вычислительная система не в состоянии обработать. Рассмотрим детально подобный вид атаки.

Введение

Люди, неискушенные в теме ИБ, зачастую могут путать DoS-атаки и DDoS-атаки, здесь проще всего будет запомнить так: при Dos-атаке отказ в обслуживании пытается вызвать одна атакующая машина; при DDoS-атаке таких машин много, как правило, это бот-сеть, в которую входят зараженные и полностью контролируемые злоумышленником компьютеры.

Как можно догадаться, бороться с DDoS-атакой гораздо сложнее, она может длиться дни, даже недели - зависит от бюджета киберпреступника. Эффективность этой атаки очевидна, а доступность и вовсе поражает - на рынках даркнета небольшой ботнет можно купить за 150 долларов.

Чтобы иметь представление о том, сколько атак DDoS совершается в разных регионах мира, взгляните на специальную карту цифровых атак .

На данном этапе мы имеем большое разнообразие атак DDoS, рассмотрим некоторые из них.

Виды DDoS-атак

DDoS прикладного уровня (Application layer DDoS)

Атака прикладного (или 7-го) уровня заключается в отправке огромного количества запросов, требующих большой вычислительной мощности. В этот класс также входят атаки HTTP-флуд и DNS-флуд.

HTTP-флуд

HTTP-флуд обычно осуществляется против конкретной цели, как следствие, такую атаку довольно трудно предотвратить. В ней не используются вредоносные пакеты, она больше полагается на бот-сеть.

DNS-флуд

В этом виде атак целью является DNS-сервер жертвы. Если DNS-сервер будет недоступен, вы не сможете найти соответствующий сервер. DNS-флуд - это симметричная атака, запущенная множественными зомби, находящимися в бот-сети и относящаяся к классу атак UDP. Эта атака упрощает спуфинг .

DDoS сетевого уровня (Network layer DDoS)

Это очень масштабные атаки, измеряемые в гигабитах в секунду (Гбит/с) или в пакетах в секунду (PPS). В худших случаях такие атаки могут достигать от 20 до 200 Гбит/с. Такой тип DDoS-атак делится на SYN-флуд и UDP-флуд.

SYN-флуд

Создает поток запросов на подключение к серверу, при котором становится невозможным ответить на эти запросы. Целью здесь является каждый порт сервера, который «наводняется» (от английского слова flood) SYN-пакетами, за счет этого на сервере переполняется очередь на подключения. При этом пакеты SYN-ACK игнорируются, благодаря чему появляются так называемые полуоткрытые соединения, ожидающие подтверждения от клиента.

UDP-флуд

Сервер «наводняется» UDP-запросами на каждый порт. В этом случае сервер отвечает пакетами «адресат недоступен», в итоге атакуемая система окажется перегруженной и не сможет отвечать.

Что такое амплификация (amplification)

Амплификация (усиление) - это метод, используемый для усиления полосы пропускания DDoS-атаки. Путем подмены IP-адреса в запросе злоумышленник может повысить эффективность своей атаки в 70 раз. Коэффициент усиления может варьироваться в зависимости от типа сервера.

К примеру, команда monlist, часто используется для NTP DDoS-атак. Эта команда отправляет злоумышленнику сведения о последних 600 клиентах ntpd. То есть при небольшом запросе от зараженного компьютера, обратно отправляется большой поток UDP. Такая атака приобретает просто гигантские масштабы при использовании ботнета.

Рисунок 1. Схема DDoS-атак

Выводы

Теперь мы имеем базовое представление о DDoS-атаках, можно порассуждать о том, как от них защититься. Первым делом следует определить, в какой части ваша сеть наиболее уязвима. Затем стоит поставить себя на место злоумышленника, чтобы представить, что ему нужно сделать для того, чтобы провести успешную атаку на вашу сеть.

Пожалуй, самое главное - иметь некую систему оповещений, которая будет вас информировать в случае совершения атаки DDoS, чем раньше вы узнаете о самом факте, тем лучше, так вы успеете продумать план по нейтрализации.

Наконец, можно заказать тестирование на проникновение (оно же пентест, pentest, penetration test), чтобы проверить безопасность вашей сети, насколько она готова к вторжениям извне. Это хорошая практика, которая поможет понять и устранить слабые места, таким образом, что ваша сеть будет относительно защищенной.

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

  • MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
  • ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
  • SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
  • UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
  • HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.


Как защититься от флуда

  • Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
  • Ограничить или запретить обработку эхо-запросов ICMP.
  • Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
  • Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
  • Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
  • Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
  • Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
  • Расширить пропускную способность сетевого канала.
  • По возможности выделить отдельный сервер для обработки криптографии (если используется).
  • Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

  • Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
  • То же самое, только заполнять накопитель будут логи сервера.
  • Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
  • Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
  • Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.


Как защититься от перегрузки аппаратных ресурсов

  • Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
  • Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
  • Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
  • Хранить лог-файлы сервера на отдельном накопителе.
  • Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

  • Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
  • Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
  • Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
  • Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
  • Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

  • Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
  • Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
  • Объем трафика на один или несколько портов увеличивается в разы.
  • Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
  • Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.