Bună ziua, dragi utilizatori ai site-ului. Fiecare proprietar de blog încearcă să-și protejeze resursa din toate puterile, folosind plugin-uri, complicând parolele, îngreunând conectarea la panoul de control, ștergând linii din codul sursă a paginii etc.
Dar ce să faci dacă site-ul tău este atacat? În astfel de situații, utilizatorii blogosferei, de regulă, încep să intre în panică. Ei bine, desigur, cine nu și-ar face griji pentru ceva căruia i-a dedicat mai mult de un an și și-a investit mult timp și nervi în această chestiune.
Una dintre aceste probleme poate fi un atac ddos!
În acest articol aș dori să vă spun despre următoarele:
Ce este un atac DDoS?Atacul DDoS este un acronim pentru Distributed Denial Of Service Attack. Există și atacuri DoS, care diferă de primul tip prin faptul că atacul nu are loc de la adrese IP diferite. Dar acum, pe primul loc.
Atacurile DDos nu sunt simple încercări de a vă sparge blogul și de a planta un virus acolo. Scopul principal al hackerilor este să vă paralizeze site-ul sau orice alt site web. Astfel de încercări de hacking sunt cunoscute de foarte mult timp; în 1999, resursele de internet ale mai multor companii mari au fost dezactivate. Acest lucru s-a întâmplat din nou în 2000 și administratorii de sistem nu au putut face nimic.
Și de ce toate? Pentru că la acea vreme nimeni nu știa cum să facă față unor astfel de atacuri.
Deci, să aruncăm o privire mai atentă la modul în care hackerii au compromis site-urile web bine protejate?
Totul pare destul de simplu, dar încă nu este atât de ușor de făcut.
Schema de atac DDoS este construită astfel. Hackerii au ales un server, pe care acum îl vor ataca. Și imediat îl bombardează cu o grămadă de solicitări false și fac asta din toată lumea și, prin urmare, de la diferite adrese IP. În cele din urmă, resursa își cheltuiește toată energia pe procesare.
Astfel de atacuri duc la faptul că utilizatorii obișnuiți nu au acces la site. Aș dori să remarc că solicitările false se fac de pe PC-uri și laptopuri ale unor persoane care nici măcar nu vorbesc serios.
Știi, atacatorii sparg mai întâi computerele a sute de utilizatori, apoi organizează un atac masiv. De asemenea, accesarea computerului cuiva nu este întotdeauna ușoară. Unii folosesc troieni, alții pătrund în rețele neprotejate și apoi zombifică dispozitivul, iar adresa IP le este complet subordonată.
Dos atac.Acum puțin despre atacurile Dos. Acesta este puțin diferit de ddos, dar vi se va oferi și o refuz de serviciu pentru resursă.
Esența sa constă în faptul că un hacker folosește o vulnerabilitate pe computer, ceea ce contribuie la apariția unei erori. La rândul său, suspendă funcționarea resursei web.
Dacă nu a fost posibilă instalarea vulnerabilității pe computer, atunci atacatorul folosește a doua opțiune, care este puțin similară cu un atac ddos.
În general, o cantitate mare de informații este trimisă de la adrese diferite. Sistemul procesează un fișier și astfel treptat toate celelalte. Dacă strângeți o grămadă de informații în masă, computerul se va supraîncărca și, eventual, se va îngheța, ceea ce vor hackerii să obțină.
Tipuri de atacuri DDoS și cum să vă protejați de ele?Este imposibil să vă securizați complet site-ul împotriva atacurilor DDoS. De regulă, toți cei care doresc să-și protejeze resursa nu găsesc niciodată informații sută la sută. Prin urmare, protecția se bazează în principal pe prevenirea și configurarea competente.
Iată ce ar trebui să faceți sau, mai degrabă, operațiunile pe care trebuie să le efectuați:
Prevenirea.
În primul rând, este foarte important să nu inițiezi atacuri ddos împotriva ta, pentru că sunt făcute de oameni care au nevoie de ceva de la tine. Cel mai adesea, toate acestea se întâmplă din cauza unui conflict bazat pe religie, politică sau alte dezacorduri. Pot spune cu siguranță că acele cazuri sunt rare atunci când atacurile de acest gen apar de dragul curiozității și al jocului.
Filtrare.
Dacă observați trafic de la mașinile care atacă, atunci nu ezitați să-l blocați prin orice mijloace. De exemplu, utilizați pluginul WordFence Security, care vă permite să blocați accesul la adrese IP, chiar și ale țărilor întregi. Dar să te joci cu asta este foarte periculos și te poți ruina. Pe scurt, acționează doar atunci când ești sigur că ai dreptate. Nu există o astfel de expresie: „Riscul este o cauză nobilă” sau „Cine nu își asumă riscuri nu bea șampanie”.
DDOS invers.
Este posibil să redirecționați traficul către atacator. Nu știu cum să fac asta, așa că nici eu nu te învăț, dar sunt specialiști care înțeleg astfel de lucruri.
Eliminarea vulnerabilităților.
Vulnerabilitatea poate fi eliminată folosind Anti-Virus. Personal, folosesc Kaspersky, despre avantajele și caracteristicile sale puteți citi în articolul despre
Dispersare.
Un fapt important este faptul de duplicare a sistemului, adică dacă ați fost atacat și atacul a avut succes de către hackeri, atunci pur și simplu lucrați printr-un alt sistem care vă suportă site-ul. Acest lucru este foarte convenabil, dar în același timp nu este ușor de făcut.
Această metodă de prevenire este perfectă pentru resursele corporațiilor, companiilor mari, firmelor etc.
Construirea de sisteme distribuite și redundante care nu vor înceta să servească utilizatorii, chiar dacă unele dintre elementele acestora devin indisponibile din cauza unui atac DoS.
Evaziune.
Monitorizați în mod constant când apar atacuri asupra altor resurse și încercați să nu salvați nicio informație despre domeniul dvs. pe astfel de site-uri.
Răspuns activ.
Cred că un simplu blogger pur și simplu nu va putea influența hackerii care efectuează atacuri DDoS. Pentru această sarcină, avem nevoie de webmasteri mai puternici, sau cel puțin de cei care știu multe despre munca lor. Dacă ripostezi, atunci nu vor dori să-și piardă timpul luptând.
Ne-am familiarizat cu măsurile preventive. Acum vă voi prezenta tipurile de atacuri DDoS.
În primul rând, voi atinge subiectul atacurilor de inundații. Acestea au ca scop epuizarea unei resurse de sistem și aceasta este cantitatea de memorie, canalul de comunicare sau același procesor.
memorieHTTP inundație.
Fișierele HTTP sunt încărcate în resursa web a cuiva, la care serverul răspunde cu și mai multe informații. Dacă această acțiune este efectuată cu un flux mare, atunci lățimea de bandă a victimelor este completată și sistemul este completat. Ca urmare, eșecul muncii. Nu este disponibil pentru nimeni. Dar cum ajunge un hacker acolo? Își schimbă adresa de rețea cu adresa nodurilor web care se află în interiorul canalului.
ICMP flod (atac ștrumf).
Acesta este cel mai periculos tip de atac DDoS. Totul se întâmplă astfel: un pachet de informații fals cu date este trimis către sistem. Hackerul își schimbă adresa cu adresa obiectului atacat. Pentru un atac mai eficient, se folosesc „calculatoare zombie”. La începutul articolului am vorbit despre asta. Să presupunem că au format 1000 de adrese IP și au trimis un pachet de informații, dar nu doar așa, ci amplificând computerul de 1 ori 1. Asta înseamnă că au trimis 1000 de solicitări către resursă, crescând în același timp numărul lor de o mie de ori.
Odată în viața mea a fost un astfel de caz când puterea unui atac asupra unui server a ajuns la 300 Gbit/s. Cu toate acestea, sistemul a fost capabil să reziste atacului. Elementul principal de protecție au fost atacurile inverse și redirecționarea traficului către centrele lor de date suplimentare.
Vă puteți imagina ce este asta? Probabil ca nu. În general, milioane de utilizatori de PC și alți gadget-uri au simțit această putere. La urma urmei, multe site-uri și bloguri au început să eșueze, toate din cauza unui fel de atac DDoS.
Acum v-am spus despre două tipuri de inundații. Nu mă voi atinge de restul, deoarece esența lor este aceeași. Toată lumea vrea să efectueze o supraîncărcare banală și, prin urmare, să forțeze sistemul să încetinească.
Cum să înțelegeți că există un atac DDoS pe site?De regulă, nu sunt necesare programe pentru aceasta, deoarece totul este vizibil cu ochiul liber. Cu toate acestea, acest lucru nu este întotdeauna cazul. Uneori intri și întregul site refuză să funcționeze.
Pentru a evita acest lucru, trebuie să aveți grijă în avans să detectați atacurile DDoS pe blogul dvs.
În primul rând, ar trebui să monitorizați traficul pe resursa dvs. Puteți efectua analiza din panoul de control. Nu mă obosesc să realizez că serviciul este cu adevărat unic, nu există altele asemenea.
Puteți observa de unde utilizatorii vă vizitează site-ul și din ce țări. Dar aici, desigur, totul poate părea plauzibil, dar aceste adrese IP pot fi deja în mâinile atacatorilor. Deci, să folosim Scrutinize. Folosind-o, puteți analiza traficul de rețea.
Sper că vă puteți proteja blogul de atacurile DDoS. Pune în practică toate metodele de control pe care le-am descris în articol și apoi îți vei putea securiza resursa web.
La revedere, dragi cititori!
Salutări, Zhuk Yuri.
Dacă citiți ghidul nostru și implementați toate tehnologiile descrise, vă veți proteja computerul de amenințările hackerilor! Nu neglija asta!
În domeniul securității informațiilor, atacurile ddos ocupă unul dintre primele locuri în clasamentul amenințărilor electronice. Dar majoritatea utilizatorilor au cunoștințe foarte limitate în acest subiect. Acum vom încerca să acoperim acest subiect cât mai detaliat și cât mai accesibil posibil, astfel încât să vă puteți imagina ce înseamnă acest tip de amenințare electronică, cum este realizată și, în consecință, cum să o faceți în mod eficient. Așadar, fă cunoștință - atac DDOS.
TerminologiePentru a vorbi aceeași limbă, trebuie să introducem termeni și definițiile acestora.
Atacul dos este un atac de refuz de serviciu. De aici și abrevierea în engleză dos - Denial of Service. Unul dintre subtipuri este un atac distribuit, efectuat simultan de la mai multe și, de obicei, de la un număr mare de gazde. Vom dedica partea principală a discuției acestor opțiuni, deoarece un atac ddos are consecințe mai distructive, iar diferența semnificativă este doar în numărul de gazde utilizate pentru atac.
Pentru a-ți fi mai ușor de înțeles. Astfel de acțiuni vizează oprirea temporară a funcționării unui serviciu. Acesta ar putea fi un site separat în rețea, un furnizor mare de internet sau de telefonie mobilă, precum și un serviciu separat (acceptând carduri de plastic). Pentru ca un atac să aibă succes și să aducă acțiuni distructive, el trebuie efectuat dintr-un număr mare de puncte (acest punct va fi discutat mai detaliat mai târziu). De aici „atacul distribuit”. Dar esența rămâne aceeași - întreruperea funcționării unui anumit sistem.
Pentru a completa imaginea, trebuie să înțelegeți cine efectuează astfel de acțiuni și în ce scop.
Atacurile de denegare a serviciului, ca și alte infracțiuni informatice, sunt pedepsite prin lege. Prin urmare, materialul este prezentat doar în scop informativ. Ele sunt realizate de specialiști IT, oameni care cunosc bine subiectele „calculatoare” și „rețele de calculatoare” sau, după cum a devenit la modă, hackeri. Practic, acest eveniment are ca scop obținerea de profit, deoarece, de regulă, atacurile ddos sunt comandate de concurenți fără scrupule. Ar fi potrivit să dăm aici un mic exemplu.
Să presupunem că există doi furnizori mari de internet pe piața de servicii a unui oraș mic. Și unul dintre ei vrea să înlăture un concurent. Ei ordonă hackerilor să distribuie un atac dos distribuit pe serverul unui concurent. Iar al doilea furnizor, din cauza supraîncărcării rețelei sale, nu mai este capabil să ofere acces la Internet utilizatorilor săi. Rezultatul este pierderea clienților și a reputației. Hackerii își primesc recompensa, iar furnizorul fără scrupule primește noi clienți.
Dar există adesea cazuri când „o fac” doar pentru distracție sau pentru a-și perfecționa abilitățile.
Atacul Ddos distribuitSă fim de acord imediat - vom analiza atacurile computerizate. Prin urmare, dacă vorbim de mai multe dispozitive de pe care se efectuează un atac, acestea vor fi computere cu software ilegal.
Aici este de asemenea potrivit să facem o mică digresiune. În esență, pentru a opri funcționarea oricărui serviciu sau serviciu, trebuie să depășiți sarcina maximă pentru acesta. Cel mai simplu exemplu este accesarea unui site web. Într-un fel sau altul, este conceput pentru o anumită prezență de vârf. Dacă la un anumit moment în timp de zece ori mai mulți oameni vizitează site-ul, atunci serverul nu va mai putea procesa un astfel de volum de informații și nu va mai funcționa. Și conexiunile în acest moment se vor face de la un număr mare de computere. Acestea vor fi aceleași noduri discutate mai sus.
Să vedem cum arată în diagrama de mai jos:
După cum puteți vedea, hackerul a preluat controlul asupra unui număr mare de computere ale utilizatorilor și și-a instalat programele spion pe acestea. Datorită lui, acum poate efectua acțiunile necesare. În cazul nostru, este să efectuăm un atac DDoS.
Astfel, dacă nu respectați regulile de siguranță atunci când lucrați la un computer, vă puteți infecta cu un virus. Și poate că computerul dvs. va fi folosit ca gazdă pentru a desfășura activități rău intenționate.
Veți avea nevoie de el: Am descris câteva aspecte de securitate în articol.
Dar modul în care vor fi folosite depinde de opțiunea pe care o alege atacatorul
Clasificarea atacurilor ddosUrmătoarele tipuri de atacuri pot fi încercate de către atacatori:
De exemplu, am decis să vă arătăm cum puteți efectua un atac DDOS folosind un software special.
Pentru a începe, descărcați programul de la această adresă. După aceea, lansează-l. Ar trebui să vedeți fereastra de pornire:
Trebuie să faceți setări minime:
Asta este - atacul a început. Încă o dată, toate acțiunile sunt prezentate în scop informativ.
Cum să te protejezi de atacurile DDOSProbabil ați realizat deja că acest tip de amenințare este foarte periculos. Prin urmare, este foarte important să cunoaștem metodele și principiile de combatere și prevenire a atacurilor distribuite.
Video pentru articol:
ConcluzieAcum probabil înțelegeți pericolul atacurilor DDOS. Problemele de asigurare a siguranței resurselor dumneavoastră trebuie abordate foarte responsabil, fără a economisi timp, efort și bani. Este chiar mai bine să ai un specialist separat sau un întreg departament de securitate a informațiilor.
Cititorii obișnuiți au pus foarte des întrebarea cum puteți edita textul dacă fișierul este în format PDF. Răspunsul poate fi găsit în material -
Puteți folosi o gamă întreagă de măsuri pentru a vă proteja datele. O astfel de opțiune este
Dacă aveți nevoie să vă editați videoclipul online, am pregătit o recenzie a celor populare pentru dvs.
De ce să căutați informații pe alte site-uri dacă totul este adunat aici?
Fără îndoială, un atac DDOS este rău, un atac DDOS este neașteptat, un atac DDOS este neprofitabil. Dar nu intrați în panică. Atacurile distribuite sunt o realitate a internetului modern; ele ar trebui tratate ca blocajele de trafic. Și nu ar trebui să iei niciodată decizii pripite. Nu ar trebui să cumpărați firewall-uri noi și toate astea. Ai răbdare și citește, de exemplu, site-uri specializate. Și vei găsi soluții în orice caz. Daca nu, cere-ne sfaturi, intelegem ceva despre asta si cu siguranta te vom ajuta. Iar pentru cei care caută, citiți articolul.
IntroducereImaginează-ți că acum 100 de mii de oameni de pe Internet se vor conecta simultan la serverul tău WEB și vor încerca să-și încarce pagina principală. Există suficientă lățime de bandă pentru internet? Cum să te protejezi de supraîncărcarea rău intenționată a canalelor tale de comunicare?
DefinițiiExistă un număr mare de computere infectate pe Internet care execută comenzi de la distanță, inclusiv, la comandă, se pot conecta și descărca orice pagină de pe orice server WEB. Un astfel de computer controlat se numește bot. Un set de astfel de computere controlate se numește rețea bot. Fiecare astfel de computer din această rețea este un zombie, întotdeauna gata să îndeplinească comanda stăpânului său. O astfel de rețea de bot poate consta din până la câteva sute de mii de computere simultan.
Proprietarii adevărați de computere de cele mai multe ori nu bănuiesc că cineva își poate controla computerul de la distanță. În zilele noastre, programele troiene funcționează neobservate și noi, fără să observăm acest lucru, le permitem persoanelor necunoscute să folosească resursele computerelor noastre în scopuri proprii. Oamenii care conduc o rețea de bot atât de mare pot șantaja companii mari, proprietari de magazine online, cazinouri online, site-uri de știri, sisteme de plată și alte resurse populare, oferindu-se să plătească o răscumpărare pentru că nu le atacă folosind rețeaua lor de bot.
Cu siguranță, astfel de resurse de calcul prezintă un interes practic clar. Puteți nu numai să efectuați atacuri DDoS, ci și să trimiteți spam sau să efectuați calcule distribuite, cum ar fi ghicirea parolelor. Prin urmare, foarte des se încearcă să fure rețeaua de bot. Pentru ca un computer zombi să accepte o comandă de la proprietar, trebuie să dovediți că sunteți proprietarul, de exemplu, folosind o parolă. Dacă ghiciți această parolă, atunci există șansa de a deveni stăpânul unui stol mic de computere. De exemplu, acest lucru este posibil pentru o rețea bazată pe roboți BlackEnergy, care sunt protejați doar de o parolă.
Exemplul 1. Cele mai mari rețele de bot
A fost descoperită o nouă rețea de bot numită Kraken, care include aproximativ 400 de mii de computere. Dimensiunea rețelei de bot depășește renumita rețea de bot Storm, a cărei dimensiune este de aproximativ 100 de mii de computere. Sursa: Damballa la conferinta RSA 04/07/2008
Întrebați-vă: ce garanții am că computerul meu nu face parte dintr-o rețea de bot? Antivirusul de semnătură instalat oferă astfel de garanții? Nu seamănă. Potrivit statisticilor, 40% dintre calculatoarele incluse într-o rețea de bot au un antivirus care nu detectează că computerul este infectat. Antivirusul comportamental instalat sau sistemul de prevenire a atacurilor oferă garanții? Poate, dar mulți oameni nici măcar nu știu ce este. Și, intenționat, când pleacă de la serviciu, nu opresc niciodată computerul. Nimeni nu este imun de complicitate în organizarea atacurilor DDOS.
Pentru ca computerul dvs. să devină participant la un atac DDoS, nu este absolut necesar ca acesta să aibă o vulnerabilitate sau să aibă instalat vreun cod rău intenționat. Vecinul tău poate avea codul pentru atac online sau pe un site web popular de pe Internet. Deci, Trojan-Downloader.JS.Agent inserează javascript rău intenționat în toate computerele învecinate folosind un atac în timp ce acestea descarcă pagini din browserul lor de pe Internet. Acesta poate fi orice cod, inclusiv cod pentru efectuarea unui atac DDoS. Acest cod din browserul dvs. va realiza 10.000 de conexiuni la orice site:
attack_host="www.(attacked site).com" attack_port=80 path="index.html" for(i=1;i
attack_host = „www.(site atacat).com”
port_atac = 80
cale = „index.html”
pentru (i = 1; i
Dacă citiți o pagină printr-un browser WEB, de exemplu, o pagină cu acest articol, și acest cod javascript este încorporat în ea, atunci deveniți complice la un atac DDoS și veți ataca site-ul ales de autorul scriptului 10.000 ori. Și dacă 10.000 de oameni citesc acest articol, atunci se vor face deja 100.000.000 (100 de milioane) de conexiuni la site. O altă opțiune este dacă unul dintre utilizatori introduce acest javascript într-un site în care conținutul site-ului este completat de utilizatorii înșiși (forumuri, bloguri, rețele sociale), atunci oricine vizitează site-ul va ajuta la efectuarea atacului. De exemplu, dacă este odnoklassniki.ru, unde există deja 20 de milioane de utilizatori, atunci teoretic este posibil să ataci site-ul folosind 200000000000 (200 de miliarde) de conexiuni. iar aceasta nu este limita.Deci vă puteți imagina deja amploarea amenințării. Trebuie să ne apărăm. Atât proprietarii resurselor de rețea din atacuri, cât și utilizatorii care devin complici la un atac.
Exemplul 2: Cum să efectuați un atac DoS pe un server WEB folosind două șurubelnițe și un browser.
Lansați Internet Explorer, introduceți adresa site-ului dorit, utilizați o șurubelniță pentru a securiza butonul Ctrl și cealaltă F5. Numărul de solicitări pe secundă pe care le va trimite Internet Explorer poate împiedica funcționarea site-ului și chiar împiedică alte persoane să viziteze aceeași resursă.
Trebuie să vă pregătiți pentru un atac DDoSInternetul este un mediu destul de agresiv pentru a începe o afacere pe el fără a avea grijă de protecția dumneavoastră. Dar multe companii trăiesc în ea conform zicalului: până când nu va da tunetul, omul nu se va cruci. Atacurile DoS și DDoS sunt diferite prin aceea că nu pot fi tratate fără pregătire prealabilă. Și pe deasupra, și asta este și mai rău, ei sunt încă greu de luptat chiar dacă te-ai pregătit din timp. Dacă site-urile DNS și WEB suferă în prezent, atunci vine o amenințare pentru servicii din ce în ce mai populare precum VoIP și IPTV.
Exemplul 3: atac DDoS asupra site-urilor web ale guvernului estonian
Atacurile împotriva site-urilor web ale guvernului estonien au început după ce autoritățile au mutat statuia Soldatului de Bronz din centrul Tallinnului la periferie. Ca urmare, multe site-uri web ale guvernului estonien au încetat să funcționeze, iar echipa locală de răspuns a computerului a fost forțată să blocheze accesul la site-uri din străinătate. Apogeul atacurilor a avut loc pe 8 și 9 mai 2007. Potrivit prim-ministrului Estoniei, atacurile au reprezentat o avalanșă de cereri, uneori de până la 5 milioane pe secundă, împotriva traficului obișnuit de 1-1,5 mii pe zi. Rusia a fost învinuită pentru acest atac, mai ales că unii hackeri ruși și-au revendicat responsabilitatea pentru aceste acțiuni. Citiți dacă Rusia a fost într-adevăr sursa atacului la sfârșitul articolului.
Din păcate, multe servere sunt expuse pe Internet chiar și fără protecție firewall, ca să nu mai vorbim de sisteme de protecție mai complexe precum sistemele de prevenire a atacurilor. Drept urmare, în momentul în care începe atacul, se dovedește că nu există nimic de care să se apere și companiile sunt nevoite să petreacă timp prețios (în momentul atacului) lucruri simple, precum instalarea unui firewall pe server. , instalarea unui sistem de prevenire a atacurilor sau trecerea la alt furnizor. Dar din moment ce atacurile DDoS sunt greu de oprit chiar și cu sistemele de protecție instalate, iar în momentul atacului nu vei avea timp să alegi metoda potrivită de protecție, te poți baza doar pe instrumentele de protecție ale furnizorului tău. Și, de regulă, eșecul unui atac DDoS se datorează furnizorului. Acest articol este despre alegerea furnizorului potrivit. În primul rând, să aruncăm o privire mai atentă la ce sunt atacurile de tip denial-of-service.
Tipuri de atacuri DoS
Există mai multe moduri de a grupa atacurile DoS după tip. Una dintre categoriile logice ale atacurilor DoS este aici http://www.niser.org.my/resources/dos_attack.pdf
Există mai multe tipuri de atacuri DoS.
- Distructiv
- Atacurile care duc la un dispozitiv din rețea să devină complet inoperabil: se îngheață, sistemul de operare sau configurația este distrusă. Astfel de atacuri se bazează pe vulnerabilitățile software ale sistemelor atacate.
- Atacuri asupra resurselor sistemului
- Atacurile care reduc semnificativ performanța dispozitivelor sau aplicațiilor. De exemplu, această clasă include atacul
- Capacitatea canalului de umplere
Această categorie include atacuri care urmăresc să depășească capacitatea canalului. De obicei, orice tip de pachete TCP, ICMP sau UDP cu adrese sursă false care se schimbă aleatoriu într-un interval de valori posibile sunt utilizate pentru a inunda un canal; adresele de destinație din pachet sunt, de asemenea, selectate aleatoriu din intervalul rețelei care este situat pe canalul atacat. Cu toate acestea, acum astfel de atacuri au început să fie efectuate folosind rețele de calculatoare infectate, unde adresele surselor de atac sunt reale și, astfel, practic nu se pot distinge de computerele conectate ale utilizatorilor reali.
Un alt tip de atac DDoS de acest tip sunt atacurile DRDoS (Distributed Reflection DoS), care pot folosi orice server de pe Internet ca sursă a atacului lor. Ideea DRDoS: orice server va răspunde cu siguranță la un pachet TCP cu un steag SYN cu un pachet TCP cu steaguri SYN+ACK. Dacă setați adresa sursă din primul pachet la adresa victimei, serverul va trimite mai multe pachete TCP cu steagurile SYN+ACK la adresa victimei până când își dă seama că victima nu dorește o conexiune și nu va exista nicio conexiune. Dacă utilizați multe dintre aceste servere puternice pentru un atac, răspunzând la pachete false la o adresă falsă, atunci victima va fi inundată cu un val de pachete.
Exemplul 4: DDoS pe Kommersant
Directorul general al editurii Kommersant, Demyan Kudryavtsev, a declarat într-un interviu acordat agenției Interfax pe 14 martie 2008 că pierderile financiare ale companiei asociate cu blocarea site-ului www.kommersant.ru ca urmare a atacurilor DDoS se ridică la zeci sau chiar sute de mii de dolari.
Kudryavtsev a subliniat că atacurile DDoS pe site-ul Kommersant sunt fără precedent pentru Rusia: „ Dacă atacurile cunoscute asupra site-urilor web ale Ambasadei Estoniei și ale postului de radio „Echoul Moscovei” s-au ridicat la 200-300 de megaocteți de trafic de gunoi pe secundă, atunci ieri pe site-ul nostru nivelul său a atins 2 gigaocteți pe secundă„”, a notat el.
Sursa: securitylab.ru
Atacurile de tip 1 și 2 sunt destul de comune și, pentru a le combate, administratorii folosesc de multă vreme eficient atât sistemele de prevenire a atacurilor bazate pe rețea, cât și pe gazdă (IPS). În acest articol vom vorbi despre protecția împotriva atacurilor de tip 3, deoarece nu există încă informații despre aceste metode de protecție pe internetul în limba rusă. Un atac de al treilea tip poate fi detectat de un sistem de detectare sau prevenire a atacurilor, dar, din păcate, niciun sistem de apărare nu va putea bloca un astfel de atac asupra canalului în sine. Canalul este plin în timpul unui atac, iar furnizorul din amonte trebuie să ia parte la protecția împotriva atacurilor. IPS nu sunt utilizate de obicei pentru a proteja împotriva unor astfel de atacuri, deși semnăturile de protecție SYN-Flood și UDP-Flood ajută la reducerea impactului acestor atacuri prin ameliorarea serverelor atacate.
Cel mai adesea, acest tip de atac folosește rețele bot care realizează conexiuni complet legitime și funcționează cu rețeaua ta. Dar problema este că sunt prea multe și este aproape imposibil să distingem un computer zombi de un utilizator real. Atacurile de al treilea tip sunt familiare tuturor locuitorilor de vară care încearcă să părăsească Moscova vineri și să se întoarcă la Moscova duminică: șoseaua de centură a Moscovei și toate autostrăzile din regiune sunt înfundate și nu există nicio modalitate de a scăpa de ele. Toți cei care încearcă să treacă prin ambuteiaj blestemă, deși, de fapt, ei înșiși fac parte din acest ambuteiaj. Tot ce putem face este să așteptăm ca totul să se termine de la sine.
Protecție DDoS pentru rețeaua corporativăDacă furnizorul dvs. nu oferă un serviciu de blocare a atacurilor DDoS, atunci aveți opțiunea de a cere altcuiva să o facă, dar fără a schimba furnizorul. Vom analiza acest serviciu folosind exemplul companiei Antiddos (). Chiar dacă sunteți atacat în prezent, îl puteți bloca rapid folosind serviciul Antiddos folosind una dintre următoarele opțiuni.
Redirecționare DNS și utilizare proxyPuteți înregistra adresele IP ale rețelei companiei în DNS. Să presupunem că serverul dvs. WEB se află pe adresele IP ale Antiddos. Ca urmare, atacul va fi direcționat către rețeaua lor, traficul DDoS va fi întrerupt, iar traficul necesar de pe site-ul dvs. WEB va fi livrat tuturor clienților folosind un proxy invers. Această opțiune este foarte potrivită pentru băncile de pe Internet, magazinele online, cazinourile online sau reviste electronice. În plus, proxy-ul vă permite să stocați în cache datele.
Rute BGP și tuneluri GREPoate, folosind protocolul de rutare BGP, spuneți întregului Internet că rețeaua dvs. se află pe un site de rețea și tot traficul va fi redirecționat către ei, unde va fi curățat de conținut rău intenționat. Traficul curat va fi redirecționat către dvs. folosind protocolul GRE, care transferă date în rețeaua dvs. ca și cum nu ar exista un atac DDoS. Și din rețea ta vei răspunde la pachetele care vin la tine ca de obicei, deoarece canalul tău nu va mai fi supraîncărcat.
Conexiune directă la sitePuteți să vă conectați direct rețeaua și să fiți mereu sub a lor, dar din motive evidente acest lucru nu este întotdeauna posibil... Și va fi dificil să efectuați un atac DDoS asupra dvs.
Compania noastră protejează împotriva atacurilor DDoS folosind tehnologiile sale unice. Nu folosim apărări active. Întreaga noastră infrastructură este construită pe un complex software și hardware de design propriu, ceea ce ne permite să personalizăm în mod flexibil sistemul de protecție pentru a se potrivi nevoilor oricăror clienți și, de asemenea, să contracarăm atacurile de orice putere.
Serviciu de la AkamaiCompaniile mari precum IBM, Microsoft, Apple, Sony, AMD, BMW, Toyota, FedEx, NASA, NBA, MTV își protejează site-urile WEB de atacurile DDoS folosind serviciul Akamai (www.akamai.com). Cu toate acestea, protecția DDoS este doar una dintre capacitățile serviciului Akamai. Acest serviciu permite companiilor să își reflecte site-urile în mii de locații diferite de pe tot globul, garantând disponibilitatea 100% în orice moment. De obicei, oglinzile conțin date multimedia, cum ar fi video, audio și grafică. Akamai folosește algoritmi matematici pentru a rezolva problemele cu supraîncărcările care apar pe serverele WEB la scară globală. Acești algoritmi au fost dezvoltați la Massachusetts Institute of Technology (MIT). Și datorită lor, Akamai asigură livrarea rapidă și fiabilă a conținutului utilizatorilor de internet. Există și un fapt trist în soarta companiei: unul dintre fondatorii Akamai, Daniel Levin, a fost ucis în timp ce încerca să-i oprească pe teroriști într-unul dintre avioanele deturnate pe 11 septembrie 2001 în Statele Unite.
Exemplul 6.
Dar chiar și Akamai a fost odată în afara acțiunii timp de o oră în 2004. Ei spun că a fost un atac la DNS, dar aceasta este și una dintre poveștile întunecate. Citiți mai multe aici www.washingtonpost.com/wp-dyn/articles/A44688-2004Jun15.html
Protecție împotriva atacurilor DDoS pentru furnizoriÎntr-o situație normală, este imposibil să se separe traficul bot de traficul real al utilizatorilor: în aparență, acestea sunt exact aceleași solicitări de la diferite adrese sursă. 99% dintre aceste adrese sursă pot fi roboți și doar 1% pot fi persoane reale care doresc să vă folosească site-ul. Și aici apare o soluție complet așteptată: trebuie doar să aveți o listă cu acești zombi și să-i blocați. Dar cum să colectezi o astfel de listă globală, deoarece afectează întreaga lume? Și după cum se dovedește, acest lucru este elementar pentru noi.
Există companii comerciale care colectează continuu o listă de adrese cu computere infectate. Tot ce rămâne este să-ți treci traficul printr-un filtru care va tăia cererile inutile și va lăsa pe cele necesare. Aici filtrul poate fi fie un firewall pe care a fost instalată o nouă politică de filtrare, fie un router către care a fost trimisă o nouă listă de acces, dar cea mai eficientă este utilizarea unor blocante speciale. Este timpul să numiți numele unor astfel de producători (în ordine alfabetică):
Arbor (www.arborneworks.com/en/threat-management-system.html)
Cisco (www.cisco.com/en/US/products/ps5888/index.html)
CloudShield (www.cloudshield.com/Products/cs2000.asp)
Narus (www.narus.com/products/index.html)
Arbor colectează liste de adrese botnet (http://atlas.arbor.net/summary/botnets) care sunt utilizate în produsele Arbor și ale partenerilor săi. Astfel de liste de adrese sunt actualizate în mod constant la fiecare 15 minute și, de exemplu, sunt folosite pentru a detecta conectarea stațiilor de lucru protejate la rețelele bot din produsul IBM Proventia Anomaly Detection System. În primul caz, furnizorii folosesc tehnologia Peakflow SP, în celălalt, rețelele corporative folosesc tehnologia Peakflow X. Dispozitivele producătorilor de sisteme de protecție împotriva atacurilor distribuite diferă în primul rând prin vitezele maxime la care operează și numărul de clienți protejați simultan. Dacă canalele dvs. de transmisie de date utilizează sau plănuiesc mai mult de o conexiune de 10 Gbit, atunci trebuie să vă gândiți ce producător să alegeți. În plus, producătorii diferă în diferite funcționalități suplimentare, timpul necesar pentru a detecta un atac și a activa protecția, performanța și alți parametri.
Automatizare vs. InteligențăÎn cazul în care atacul nu vizează serverul, ci depășirea canalului, roboții înlocuiesc orice adresă ca adresă sursă, iar traficul arată ca un flux de date de la toate adresele de internet către toate adresele rețelei atacate. . Acesta este cel mai dificil tip de atac.
Exemplul 7: Atacul la ISP
În perioada 30-31 mai 2007, furnizorul Infobox din Sankt Petersburg a fost supus unui atac masiv DDoS - până la 2 GB pe secundă. Atacul a fost efectuat de la zeci de mii de adrese din întreaga lume, inclusiv din Rusia, Coreea, Emiratele Arabe Unite și China. Serverele DNS au fost atacate. Ca urmare, majoritatea canalelor au fost supraîncărcate. Site-ul web, serverele găzduite de furnizor și căsuțele poștale au fost complet sau parțial indisponibile. Suportul tehnic a spus: „ Încercăm să minimizăm daunele cauzate de atac, dar acest lucru este destul de problematic și poate provoca neplăceri unor clienți (blocarea accesului din rețelele marilor furnizori)„. Potrivit CEO-ului Infobox Alexey Bakhtiarov, atacul a fost efectuat de la zeci de mii de adrese situate în întreaga lume.”
Probabil, mulți utilizatori moderni de computere și Internet au auzit despre prezența atacurilor DDoS efectuate de atacatori împotriva oricăror site-uri web sau servere ale marilor companii. Să ne uităm la ce este un atac DDoS, cum să îl faci singur și cum să te protejezi de astfel de acțiuni.
Ce este un atac DDoS?Pentru început, poate că merită să înțelegem care sunt astfel de acțiuni ilegale. Să lămurim imediat că, atunci când luăm în considerare subiectul „Atacul DDoS: cum să o faci singur”, informațiile vor fi furnizate exclusiv în scop informativ și nu pentru utilizare practică. Toate acțiunile de acest fel sunt pedepsite penal.
Atacul în sine, în mare, trimite un număr suficient de mare de solicitări către un server sau un site web, care, dacă limita de solicitări este depășită, blochează funcționarea unei resurse web sau a unui serviciu de furnizor sub forma închiderii serverului. folosind software de securitate, firewall-uri sau echipamente specializate.
Este clar că un atac DDoS DIY nu poate fi creat de un utilizator de pe un terminal de calculator fără programe speciale. La urma urmei, el nu va sta zile la rând și nu va trimite cereri către site-ul atacat în fiecare minut. Un astfel de număr nu va funcționa, deoarece fiecare furnizor oferă protecție împotriva atacurilor DDoS, iar un utilizator nu este capabil să furnizeze un astfel de număr de solicitări unui server sau site care ar depăși limita de solicitare într-un timp scurt și ar declanșa diverse mecanisme de protecție. Așa că va trebui să folosești altceva pentru a-ți crea propriul atac. Dar mai multe despre asta mai târziu.
De ce apare amenințarea?Dacă înțelegeți ce este un atac DDoS, cum să îl efectuați și să trimiteți un număr excesiv de solicitări către server, merită să luați în considerare mecanismele prin care sunt efectuate astfel de acțiuni.
Acestea pot fi unele nesigure care nu sunt capabile să facă față unui număr mare de solicitări, lacune în sistemul de securitate al furnizorului sau în sistemele de operare în sine, lipsa resurselor de sistem pentru a procesa cererile primite cu înghețari sau blocări suplimentare ale sistemului, etc.
În zorii acestui fenomen, atacurile DDoS „do-it-yourself” au fost efectuate în principal de programatori înșiși, care au creat și testat performanța sistemelor de protecție cu ajutorul acestuia. Apropo, la un moment dat, chiar și giganți IT precum Yahoo, Microsoft, eBay, CNN și mulți alții au suferit din cauza acțiunilor atacatorilor care au folosit componente DoS și DDoS ca arme. Punctul cheie în acele situații a fost încercările de a elimina concurenții în ceea ce privește limitarea accesului la resursele lor de internet.
În general, comercianții moderni de electronice fac același lucru. Pentru a face acest lucru, pur și simplu descărcați un program pentru atacurile DDoS și apoi, după cum se spune, este o chestiune de tehnică.
Tipuri de atacuri DDoSAcum câteva cuvinte despre clasificarea atacurilor de acest tip. Principalul lucru pentru toată lumea este să dezactiveze serverul sau site-ul web. Primul tip include erori asociate cu trimiterea de instrucțiuni incorecte către server pentru execuție, în urma cărora funcționarea acestuia se blochează. A doua opțiune este trimiterea în masă a datelor utilizatorului, ceea ce duce la o verificare (ciclică) nesfârșită cu o încărcare crescândă a resurselor sistemului.
Al treilea tip este inundația. De regulă, aceasta este o sarcină de trimitere a cererilor formate incorect (fără sens) către server sau echipamente de rețea pentru a crește sarcina. Al patrulea tip este așa-numita înfundare a canalelor de comunicare cu adrese false. De asemenea, poate fi folosit un atac care duce la modificări în configurația sistemului informatic în sine, ceea ce duce la inoperabilitatea completă a acestuia. În general, lista poate dura mult timp.
Atacul DDoS pe siteDe regulă, un astfel de atac este asociat cu o găzduire specifică și vizează exclusiv o resursă web predefinită (în exemplul din fotografia de mai jos este desemnat în mod convențional drept example.com).
Dacă sunt prea multe apeluri către site, întreruperea comunicării apare din cauza blocării comunicării nu de către site în sine, ci de partea de server a serviciului furnizorului sau, mai degrabă, nici măcar de către server în sine sau sistemul de securitate, ci de către serviciu de suport. Cu alte cuvinte, astfel de atacuri au ca scop asigurarea faptului că proprietarul găzduirii primește un refuz de serviciu de la furnizor dacă o anumită limită contractuală de trafic este depășită.
Atacul DDoS pe serverÎn ceea ce privește atacurile pe server, aici acestea nu sunt direcționate către nicio găzduire anume, ci în special către furnizorul care le furnizează. Și nu contează că proprietarii de site-uri ar putea avea de suferit din cauza asta. Principala victimă este furnizorul.
Aplicație pentru organizarea atacurilor DDoSAcum am ajuns la o înțelegere a modului de a face acest lucru folosind utilități specializate, acum ne vom da seama. Să observăm imediat că aplicațiile de acest tip nu sunt deosebit de clasificate. Ele sunt disponibile pentru descărcare gratuită de pe Internet. De exemplu, cel mai simplu și mai faimos program de atac DDoS numit LOIC este disponibil gratuit pe World Wide Web pentru descărcare. Cu ajutorul acestuia, puteți ataca numai site-uri și terminale cu adrese URL și IP cunoscute anterior.
Din motive etice, nu vom lua în considerare acum cum să obținem adresa IP a victimei. Presupunem că avem datele inițiale.
Pentru lansarea aplicației se folosește fișierul executabil Loic.exe, după care se introduc adresele sursă în primele două rânduri din partea stângă, apoi se apasă cele două butoane „Blocare pornit” - ușor spre dreapta opus fiecărei linii . După aceasta, adresa victimei noastre va apărea în fereastră.
În partea de jos există glisoare pentru ajustarea vitezei de transmitere a solicitărilor pentru TCP/UDF și HTTP. În mod implicit, valoarea este setată la „10”. Măriți-l până la limită, apoi apăsați butonul mare „IMMA CHARGIN MAH LAZER” pentru a începe atacul. O puteți opri apăsând din nou același buton.
Desigur, un astfel de program, care este adesea numit „pistol laser”, nu va putea cauza probleme unor resurse sau furnizori serioși, deoarece protecția împotriva atacurilor DDoS este destul de puternică. Dar dacă un grup de oameni folosește o duzină sau mai multe dintre aceste arme în același timp, se poate obține ceva.
Protecție împotriva atacurilor DDoSPe de altă parte, oricine încearcă să încerce un atac DDoS ar trebui să înțeleagă că nu există proști nici de „cealaltă” parte. Ei își pot da seama cu ușurință de adresele de la care se efectuează un astfel de atac, iar acest lucru este plin de consecințe cele mai grave.
În ceea ce privește proprietarii obișnuiți de găzduire, furnizorul oferă de obicei imediat un pachet de servicii cu protecție adecvată. Pot exista o mulțime de mijloace pentru a preveni astfel de acțiuni. Aceasta înseamnă, să zicem, redirecționarea unui atac către atacator, redistribuirea solicitărilor primite către mai multe servere, filtrarea traficului, duplicarea sistemelor de protecție pentru a preveni falsele pozitive, creșterea resurselor etc. În general, utilizatorul obișnuit nu are de ce să-și facă griji.
În loc de o postfațăCred că din acest articol reiese clar că să faci singur un atac DDoS dacă ai software special și câteva date inițiale nu va fi dificil. Un alt lucru este dacă merită să faci asta, mai ales pentru un utilizator neexperimentat care a decis să se răsfețe, de dragul sportului? Toată lumea trebuie să înțeleagă că acțiunile lor vor provoca în orice caz măsuri de represalii din partea părții atacate și, de regulă, nu în favoarea utilizatorului care a lansat atacul. Dar, conform Codurilor penale ale majorității țărilor, pentru astfel de acțiuni puteți ajunge, după cum se spune, în locuri nu atât de îndepărtate timp de câțiva ani. Cine vrea asta?
În acest articol aș dori să iau în considerare atacurile DDOS din punctul de vedere al unui webmaster obișnuit sau al proprietarului de site-uri web. Pentru prima dată, un astfel de incident te poate surprinde și te poate face nervos. Dar, în realitate, problema este destul de comună și aproape fiecare proprietar de site-uri web se confruntă cu ea mai devreme sau mai târziu.
De ce site-ul a fost atacat? Cât poate dura atacul?
Înainte de a lua măsuri, trebuie să analizați situația și să înțelegeți posibilele motive pentru atacul asupra site-ului. Atacul este întâmplător sau poate fi considerat natural?
Dacă resursa dvs. este comercială, atacul poate fi opera concurenților.
Dacă resursa este necomercială, dar populară, ai putea deveni o victimă a extorsionatorilor de pe Internet (deseori școlari), care îți vor trimite în curând o scrisoare prin care te cer să plătești o anumită sumă pentru a opri atacul. Nu intrați în astfel de negocieri sub nicio formă! Atacurile ușoare și medii pot fi respinse fără costuri semnificative, dar costul atacurilor mari va costa totuși clientul mai mult decât costul protecției pentru tine. În plus, atacurile grave durează rareori mai mult de o zi din cauza costului ridicat al organizării lor.
Separat, ar trebui să luăm în considerare proiectele care sunt a priori susceptibile la atacuri DDOS: site-uri de jocuri online (Lineage 2), proiecte de investiții și așa mai departe. Dacă proiectul tău se află inițial într-o zonă cu risc ridicat, atunci trebuie să te gândești la protecția împotriva atacurilor în avans, chiar înainte de lansare.
Ce fel de atac te confrunți?
Dacă site-ul este situat pe o găzduire web obișnuită, atunci veți afla despre faptul unui atac DDOS direct de la furnizorul dvs. de găzduire. Această veste neplăcută va fi, cel mai probabil, însoțită de un blocaj de găzduire și de o cerință de a trece la un server dedicat sau, cel puțin, de a elimina resursa problematică din găzduire.
În timpul unui atac, hosterul este la fel de ostatic al situației ca și tine, dacă nu într-o măsură mai mare - până la urmă, zeci sau sute de alți utilizatori de server suferă. Blocarea unui cont pe un server cu resurse partajate este o soluție rapidă disponibilă furnizorului, cu excepția cazului în care, desigur, condițiile de găzduire oferă protecție împotriva atacurilor.
Doar hosterul poate oferi informații fiabile despre atac. Dacă hosterul se limitează la scuze și nu contribuie în niciun fel la rezolvarea problemei, atunci ar trebui să te gândești la mutare (din păcate, astăzi această situație nu este neobișnuită).
De obicei, hosterul împarte atacurile în două niveluri: flood - un atac de nivel inițial sau mediu care poate fi respins fără mijloace externe de protecție prin plasarea site-ului pe resurse dedicate și configurarea serverului în consecință și atacul propriu-zis DDOS la nivel înalt, care poate fi respins numai cu ajutorul software-ului extern și protecției hardware.
Dacă site-ul este găzduit pe un VPS, puteți determina singur nivelul de atac dezactivând temporar serverul web și analizând jurnalele acestuia sau contactând specialiștii în administrarea serverului pentru ajutor. Puteți găsi astfel de specialiști, de exemplu, pe schimburile de liber profesioniști în secțiunea „Administrare sistem” sau pe forumurile pentru webmasteri în secțiunile de găzduire. Auditul serverului va fi fie gratuit, fie nu foarte costisitor. Desigur, ar trebui să încredeți auditul doar specialiștilor cu o reputație.
Cunoscând detaliile atacului, vă va fi mai ușor să decideți ce măsuri ar trebui luate pentru a rezolva problema.
În cele mai multe cazuri, proprietarii de site-uri web se confruntă cu inundarea http - un atac în care serverul web este supraîncărcat cu multe solicitări simultane de la un număr relativ mic de adrese IP (de obicei în câteva mii).
Hosterul oferă în mod standard trecerea la un VPS sau un server dedicat, unde puteți configura filtrarea solicitărilor problematice la nivelul serverului web Nginx, sau puteți bloca adresele IP ale mașinilor bot cu un firewall (iptables, APF, ipfw). Scripturile pentru analiza jurnalelor de server web pot fi rulate în mod regulat prin cron, ceea ce vă permite să oferiți protecție automată împotriva atacurilor de dimensiuni medii.
Dacă hosterul oferă să treacă la un VPS sau un server dedicat, atunci înainte de a fi de acord cu oferta, verificați dacă este pregătit să configureze protecția adecvată împotriva atacurilor asupra serverului și în ce condiții. Un hoster care se respectă este adesea gata să ajute în lupta împotriva inundațiilor atunci când trece la un server, fie gratuit, fie pentru bani relativ puțini - până la 30-50 USD o dată.
Dacă hosterul nu este pregătit să ajute cu protecția împotriva unui atac sau nu poate oferi nicio garanție că va face față nivelului actual de atac, atunci nu vă grăbiți să treceți la server. Luați în considerare măsurile externe de protecție disponibile. De exemplu, serviciul http://www.cloudflare.com, unde chiar și un plan tarifar gratuit poate ajuta la respingerea inundațiilor și a atacurilor de nivel mediu. Configurarea se reduce doar la înregistrarea pe CloudFlare și schimbarea DNS-ului pentru domeniul site-ului dvs. Servicii similare pot fi obținute de la Highloadlab.
Dacă vă confruntați cu un atac de nivel înalt care nu poate fi respins fără mijloace externe de protecție, trebuie să luați o decizie comparând costul respingerii atacului și daunele din timpul de nefuncționare. Uneori este mai ușor să așteptați un atac pentru o zi sau două, lăsând pe site un ciot cu un mesaj despre indisponibilitatea temporară a proiectului și un cod 503 pentru roboții motoarelor de căutare, mai degrabă decât respingând atacul imediat. Trebuie să rețineți că costul atacurilor cu adevărat grave este mai mare decât costurile de apărare, ceea ce înseamnă că atacul se poate termina mai devreme decât credeți.
