Что такое ддос атака на сервер: Что такое DDoS-атака? Распределенная атака типа «отказ в обслуживании»

Содержание

Какие бывают DDoS-атаки и почему защищаться сложнее из

По данным системы активного анализа уровня угроз NETSCOUT Threat Intelligence во время пандемии произошло самое большое количество атак, которое когда-либо наблюдали наши партнеры — 4,83 миллиона DDoS-атак в первой половине 2020 года (на 15% больше, чем в 2019 году). А частота DDoS-атак увеличилась на 25% в период с марта по июнь.

Однако стоит заметить, что количество одновекторных атак за первую половину 2020 года снизилось на 43% по сравнению с тем же периодом предыдущего года. А количество сложных многовекторных (15+ векторов) атак увеличилось на 126% за последний год и на 2851% с 2017 года.

Подробная статистика и выводы о DDoS-атаках за первое полугодие 2020 года собрана в нашей pdf-брошюре.

Скачать брошюру

Таким образом, отражать DDoS-атаки становится сложнее. Подавляющее большинство DDoS-атак длится один час или меньше, а почти четверть из них длится менее пяти минут. Это означает, что компаниям необходима защита, которая может мгновенно обнаруживать и смягчать атаки до того, как будет нанесен ущерб.

Какие категории DDoS-атак бывают и в чем их опасность, разберем в этой статье.

Категории DDoS-атак и их опасность

От того, какую часть сети злоумышленники планируют атаковать, зависит сложность и тип DDoS-атаки. Сетевые подключения состоят из различных уровней (согласно сетевой модели OSI), DDoS-атака может быть направлена на любой из них:

L7 (уровень приложения) обеспечивает взаимодействие пользовательских приложений с сетью. Например, просмотр страниц с помощью протокола HTTP.

L6 (уровень представления) обеспечивает преобразование протоколов и кодирование/декодирование данных. Этот уровень работает на основе протоколов сжатия и кодирования данных (ASCII, EBCDIC).

L5 (сеансовый уровень) обеспечивает поддержку сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Основные протоколы этого уровня — SMPP и PAP.

L4 (транспортный уровень) обеспечивает надежную передачу данных от отправителя к получателю. Основные протоколы этого уровня — UDP и TCP.

L3 (сетевой уровень) отвечает за трансляцию логических адресов и имён, коммутацию и маршрутизацию. Работает по протоколу IP (Internet Protocol).

L2 (канальный уровень) обеспечивает взаимодействие сетей на физическом уровне. Работает через коммутаторы и концентраторы.

L1 (физический уровень) определяет метод передачи данных, представленных в двоичном виде, от одного устройства к другому. Работает благодаря протоколам Ethernet, Bluetooth, Wi-Fi, IRDA.

Киберпреступники могут атаковать любой из семи уровней, но наиболее часто подвергаются атакам L3 и L4 (низкоуровневые атаки), а также L5 и L7 (высокоуровневые атаки).

DDoS-атаки могут иметь смешанный характер, однако можно выделить три категории:

атаки на уровне приложений;

атаки на уровне протокола;
объемные атаки.

Разберем каждую категорию с примерами атак.

Атаки на уровне приложений

Атаки на уровне приложений особенно разрушительны и трудны для выявления, так как могут имитировать легитимный трафик. Они предназначены для перегрузки элементов инфраструктуры сервера приложений и выведении их из строя. На этом уровне киберпреступники используют ресурсозатратные вызовы и взаимосвязи приложений, провоцируя систему атаковать себя же.

Взлом BGP (Border Gateway Protocol) нацелен на протокол шлюза, используемый для стандартизации данных маршрутизации и обмена информацией, связан с изменением IP-маршрутов. Эта атака направлена на маршрутизацию интернет-трафика в непредусмотренный пункт назначения.

Атака Slowloris (сессионная атака) нацелена на запросы HTTP-соединения, чтобы поддерживать как можно больше одновременных соединений. Киберпреступники открывают множество соединений и держат каждое из них открытым как можно дольше — до момента таймаута. В результате замедляется работа серверов и игнорируются запросы реальных пользователей.

Медленная POST-атака основана на отправке правильно заданных заголовков HTTP POST на сервер, но тело заголовка передается с очень низкой скоростью, обрывая связь на одном из моментов и начиная новое соединение. Поскольку заголовок сообщения правильный, сервер отвечает на запрос. В результате сервер открывает множество таких соединений, расходуя ресурсы.

Атака медленного чтения по принципу напоминает медленную POST-атаку, но в обратном направлении. Разница в том, что в случае POST-атаки медленно отправляется тело сообщения, а в случае атаки медленного чтения — HTTP-запросы намеренно принимаются и читаются с очень низкой скоростью. Сервер должен держать такие запросы открытыми — это увеличивает нагрузку.

Low and slow атака основана на небольшом потоке очень медленного трафика. Этим методом киберпреступники постепенно перегружают серверы, в результате чего запросы реальных пользователей на подключение отклоняются. Для таких атак необходима небольшая полоса пропускания и их трудно предотвратить, так как генерируется трафик аналогичный трафику реальных пользователей.

POST-атака с большой полезной нагрузкой основана на использовании расширяемого языка разметки XML. Сервер получает измененные киберпреступниками данные в кодировке XML. Фактический размер таких данных в разы больше, поэтому когда они попадают на сервер, его память значительно заполняется.

Имитация просмотра страниц. Этот тип DDoS-атак имитирует паттерны поведения реальных пользователей на страницах приложения, что приводит к резкому увеличению количества посетителей и усложняет возможность отсеивать легитимный трафик от трафика ботнета.

Атаки на уровне протокола

Атаки на уровне протокола расходуют ресурсы сервера или оборудования. В этом случае задача киберпреступников — исключить возможность обрабатывать пакеты реальных пользователей, отправляя на сервер вредоносные пакеты.

SYN flood использует уязвимости в системе установления связи TCP, а именно: SYN-запросы, SYN-ACK и пакеты ACK. На сервер отправляется SYN-запрос, на который сервер отвечает сообщением SYN-ACK. Сервер в ответ ожидает пакет ACK от пользователя, но оборудование киберпреступника настроено таким образом, чтобы пакет ACK никогда не приходил. Большое количество таких запросов может вызвать сбой на сервере.

Атака фрагментированными пакетами (TearDrop) нацелена на максимально возможную пропускную способность протокола TCP/IP. Киберпреступники отправляют множество фрагментированных пакетов на сервер жертвы, но во время передачи происходит смещение пакетов, а при сборке пакетов — перекрытие. Такое перекрытие приводит к ошибке на сервере и аварийному завершению системы.

Smurf DDoS-атака

основана на отправке запросов большому количеству устройств сети, используя IP-адрес жертвы. Киберпреступники, используя широковещательные сетевые рассылки, отправляют поддельный запрос с адресом жертвы на разные устройства. Получив такой запрос, эти устройства отвечают, создавая усиленный трафик в адрес устройства жертвы.

Объемные атаки

Объемные атаки направлены на превышение пропускной способности канала. Мощность объемных DDoS-атак измеряется в количестве бит за единицу времени. Наиболее эффективная защита от таких атак — очистка трафика на уровне, например, операторов связи. Наш сервис, Internet Umbrella, обеспечивает защиту от DDoS-атак мощностью до 5 Тб/с при грубой очистке и до 300 Гб/с при тонкой очистке.

HTTP flood перегружает сервер огромным количеством HTTP-запросов, например, для получения тяжёлых элементов сайта. Запросы подбираются таким образом, чтобы ответ был максимальным по объему. В результате обратный канал от сервера к клиентам перегружается трафиком HTTP-ответов.

ICMP flood основан на отправке большого количества вредоносных ICMP пакетов с разных IP-адресов, перегружая сервер поддельными запросами. Каждый раз, когда сервер получает такой запрос, он должен диагностировать состояние своей сети. В результате сам поток ICMP запросов перегружает входящий канал.

UDP flood использует большое количество запросов UDP с различных адресов, в результате чего сервер оказывается переполненным вредоносными UDP пакетами, загружая ими всю линию соединения.

Атака с усилением (DNS amplification) основана на отправке множества запросов с поддельными IP-адресами от имени жертвы на DNS-сервер. Такие запросы требуют объемных ответов, которые и направляются на сайт жертвы.

Защищаться становится сложнее

В первом полугодии средняя продолжительность атак снизилась на 51% по сравнению с первым полугодием 2019 года. Более короткие атаки требуют меньше ресурсов киберпреступников и осложняют реагирование на такие инциденты со стороны специалистов по кибербезопасности.

Одновременно с этим количество многовекторных (15+ векторов) атак увеличилось на 2851% по сравнению с 2017 годом. Еще три года назад такие атаки считались статистическими выбросами в общем количестве инцидентов.

DDoS-атаки стали более короткими и сложными. В результате у специалистов по ИБ остается меньше времени и ресурсов на их отражение. Это доказывает необходимость уже сейчас начать применять передовые и автоматизированные технологии защиты от DDoS-атак.

Например, NETSCOUT — наш партнер и поставщик решений для защиты от DDoS-атак Arbor Networks, предоставляет обновляемую аналитику угроз о DDoS-атаках со всего мира. Благодаря автоматической доставке обновлений и подстройке защиты нашим центром SOC мы можем оперативно отражать новые угрозы со стороны ботнетов и вредоносных программ.

Источники:
https://www.netscout.com/blog
https://orangecyberdefense.com

Justinas Mazura, What is a DDoS attack?, https://cybernews.com/

Виды DDoS-атак и способы защиты от них — Джино • Журнал

При DDoS-атаке хакеры направляют массовые запросы к серверу, из-за чего он становится недоступным для пользователей. Эта аббревиатура расшифровывается так — Distributed Denial of Service, то есть «распределённый отказ в обслуживании». Это серьёзная проблема не только для пользователей, но и для самого владельца проекта, который может потерять прибыль. Простой приводит к падению репутации компании, резкому снижению трафика, ухудшению позиций в поисковиках. Поэтому не стоит ждать, пока DDoS-атака сама закончится через пару дней, — нужно постараться её отразить.

DDoS-атакам обычно подвергаются сайты государственных учреждений, банков, СМИ, медицинских центров, а также онлайн-кассы и игровые сервисы. Мотивы хакеров могут быть разными — выразить протест действиям правительства, затормозить конкурента, устроить шантаж с целью выкупа ресурса, да и просто ради забавы. Злоумышленники организуют специальную сеть с вредоносным ПО и ставят на компьютеры троян, чтобы генерировать избыточный трафик. Они атакуют DNS сервер, пропускной канал и интернет-соединение.

Атаки уровня инфраструктуры

Хакеры перекрывают доступ к серверу без перегрузки пропускного канала. Они атакуют оперативную память, процессорное время и подсистему хранения данных на сервере.

Виды атак уровня инфраструктуры:

Неполная проверка данных пользователя. При этом ресурсы сервера используются бесконечно долго и могут истощиться.
Запросы на «тяжёлые» вычисления. Они отправляются в больших количествах, и сервер с ними не справляется.
Заполнение диска. Хакеры используют скрипты, отправляя данные о запросах и сессиях, которые формируются на стороне сервера. Диск забивается, и веб-сервисы не могут работать с файловой системой.
Атака второго рода. Злоумышленники отправляют на сервер ложный сигнал, в результате чего срабатывает система защиты, и сервер становится недоступным.
Обход системы квотирования. Хакер добирается до CGI-интерфейса сервера и пишет свой скрипт, чтобы управлять использованием ресурсов.

Этот метод помогает злоумышленникам вызывать сбои в работе аппаратных ресурсов.

Атаки транспортного уровня

При этом страдает брандмауэр, центральная сеть или система, которая распределяет нагрузку. Обычно ПК сначала обрабатывает первый запрос, а потом второй — этим хакеры и пользуются в своих целях. Они отправляют множество запросов, чтобы компьютер не мог завершить работу с первым. Канал перегружается, и сервер не может работать.

Виды атак:

HTTP-флуд. Узлы связи забиваются, так как сервер получает очень большое количество HTTP-запросов.
SYN-флуд. В этом случае хакеры отправляют много SYN-запросов на TCP-подключение. Запросы ожидают ответных ACK пакетов, которые не поступают, потому что уходят на несуществующие адреса. В результате открытые соединения выстраиваются в длинную очередь, забивая канал пользователя.
ICMP-флуд. Сервер получает множество служебных команд, на которые должны поступать эхо-ответы. При этом злоумышленники постоянно отправляют ICMP-пакеты и вызывают перегрузку.
MAC-флуд. Порты сервера получают нескончаемые пакеты с различными MAC-адресами, под каждый из которых автоматически выделяются ресурсы. В итоге ответы на запросы просто перестают поступать. При этом страдает сетевое оборудование.
UDP-флуд. Полоса пропускания сервера заполняется UDP-запросами. Серверу нужно обработать каждый из них и отправить ICMP-ответ, на что затрачивается множество ресурсов. Очередь запросов постоянно переполнена.

Атаки уровня приложений

Метод используется для того, чтобы вызвать перегрузку элементов инфраструктуры сервера приложений. Выявить такую атаку сложно, так как трудно отличить её от легитимного трафика. Пример — имитация просмотра страниц. Злоумышленники повторяют принцип поведения реальных пользователей, отчего резко возрастает количество посетителей страниц.

DNS-атаки

Их можно разделить на две группы. Первая использует уязвимости в ПО DNS-серверов. Пример атаки — DNS-спуфинг, когда хакеры меняют IP-адрес в кэше сервера. В результате пользователь попадает на подставную страницу, и его персональные данные оказываются в руках преступника.

Вторая группа атак — это те, которые выводят из строя DNS-серверы. Браузер не может найти нужный IP-адрес, и у пользователя не получается зайти на страницу.

Как узнать о DDOS-атаке

При атаке растёт число запросов на порты, начинается зависание системы и сбои в серверном ПО. Можно заметить, что нагрузка на оперативную память и прочие компоненты сервера стала выше обычной. Владелец сайта может проанализировать брандмауэр и заметить множество однотипных запросов. Особенно хорошо заметно действие атаки в том случае, если запросы поступают не от целевой аудитории сайта.

Имитацию поведения пользователей также можно выявить, так как она часто вызывает подозрение. Обычно это выражается в многократном повторении одних и тех же действий, например, скачивания файлов с сайта.

Как защититься от DDoS-атак

Выбирайте хостинг-провайдера, который предоставляет надёжную защиту от угроз, даёт гарантии качества и доступ к статистике, а также 24/7 принимает обращения клиентов. Нужно проверить и ПО, которое вы уже используете или будете использовать. В нём не должно быть ошибок и уязвимостей — следует выбирать те варианты, в которых вы можете быть уверены. Вовремя делайте резервные копии и проводите обновления, но оставляйте возможность возврата к старой версии, если возникнут проблемы.

Защита сервера

Используйте несколько серверов с резервными копиями. Если будет атака на один из них, остальные продолжат работать. Постоянно следите за тем, чтобы доступ для третьих лиц был закрыт. Для аккаунта администратора нужно придумывать сложные пароли, при увольнении сотрудников их аккаунты сразу стоит удалить. Если у вас появилось подозрение, что кто-то получил несанкционированный доступ к сайту, сразу проведите сброс паролей и учётных записей. Доступ к админке должен быть из только из внутренней сети или через VPN.

Наблюдайте за трафиком — используйте брандмауэр для приложений. Входящий трафик можно контролировать, используя списки контроля доступа (ACL). Там указывается список лиц, которые имеют доступ к объекту. Есть возможность блокировки трафика, поступающего с атакующего ПК. Можно использовать межсетевые экраны либо списки ACL. А сеть CDN поможет вам в распределении трафика.

Чтобы злоумышленники не могли поменять ваш IP-адрес в кэше сервера, время от времени очищайте кэш DNS. Часто хакеры используют формы обратной связи для атаки, отправляя через них однотипные данные в больших объёмах. Нужно установить защиту от ботов — например, при помощи капчи.

Есть и специальное оборудование для защиты от DDoS — Impletec iCore, Riorey, DefensePro. Устройства устанавливают перед серверами и маршрутизаторами для фильтрации входящего трафика. И наконец, для защиты сервера можно использовать метод обратной атаки, то есть перенаправить атаку на сеть хакера.

Защита DNS

При выходе из строя DNS-сервера компании отключится весь её интернет-трафик. В брандмауэрах и других системах тоже есть уязвимости, поэтому стоит дополнительно позаботиться о защите DNS. Постоянно отслеживайте сетевой трафик и запросы к серверу. Для этого есть ПО с открытым исходным кодом.

Не стоит пренебрегать и параметром защиты DNS Response Rate Limiting (RRL). При атаке хакеры направляют множество запросов на серверы DNS якобы с IP-адреса определённого ПК. Серверы не могут определить, какие из запросов вредоносны, но зато они могут снизить скорость обработки повторных запросов. В результате вероятность перегрузки снижается.

Можно построить географически распределённую сеть Unicast, чтобы закрепить за каждым DNS-сервером уникальный IP-адрес. Служба будет поддерживать таблицу серверов и соответствующих им веб-адресов. При обработке запросов для равномерного трафика и нагрузок IP-адрес выбирается рандомно.

Второй тип географически распределённой сети — Anycast, где у всех DNS серверов один IP-адрес. В этом случае входящие запросы поступают на ближайший сервер, и нагрузки распределяются более равномерно. Инфраструктура будет более устойчивой, так как взломщики не смогут создать цепочку направленных атак на DNS-серверы и вывести их из строя один за другим.

Можно установить и дополнительное оборудование DNS. Есть возможность также использовать специальный сервер для восстановления работы сайта на резервной машине.

Запомнить

При DDOS-атаке сервер выходит из строя из-за большого количества запросов.

Есть разные виды атак — атаки уровня инфраструктуры, транспортного уровня, уровня приложений, DNS-атаки.

Узнать о DDOS-атаке можно по высокой нагрузке на оперативную память, росту однотипных запросов.

Для защиты от DDoS-атак нужно выбрать надёжного хостинг-провайдера, предпринять меры по защите сервера и DNS.

Что такое DoS и DDoS атаки: классификация и защита

DoS-атака (от англ. Denial of Service – «отказ в обслуживании») – атака, которая используется для выведения из строя и взлома вычислительной техники и создания технических и экономических трудностей у цели. Осуществляется посредством создания большого количества запросов и серьезной нагрузки на технику, чаще всего на крупные сервера.

Схема DoS-атаки.

Почему используются DoS-атаки

Популярность ДоС-атак обусловлена тем, что определить исполнителя крайне сложно – он создает большую нагрузку через множество компьютеров в сети. Чаще всего такие атаки используются тогда, когда взломать систему или сервер не получается. Даже если с помощью DoS-атаки не удается получить доступ, техника выходит из строя или теряет производительность.

DoS-Атака на компанию Spamhaus.

Жертвами таких атак чаще всего становятся правительственные сайты, крупные порталы, онлайн-СМИ, серверы онлайн-игр, интернет-магазины, корпоративные сайты финансового сектора. Мотивация атакующего также зависит от сферы. Чаще всего атака происходит по причинам политических протестов, недобросовестной конкуренции, вымогательств и шантажа, личной неприязни, а также с целью развлечения.

Частота DoS-атак по сферам.

Классификация DoS-атак

Насыщение интернет-канала бесполезным трафиком (флудом) создает большое количество запросов к системе или серверу, за счет этого происходит быстрое исчерпание его ресурсов, что приводит к отключению или некорректной работе. Флуд бывает разных типов:
- HTTP-флуд и ping-флуд — одни из самых простых и доступных видов атак: с помощью ping-запросов на компьютер «жертвы» с меньшим каналом интернета. HTTP-флуд применяется для серверов, отправляется HTTP-пакет, на который сервер шлет ответные пакеты, превышающие размеры, за счет чего пропускные способности сервера снижаются.
- ICMP-флуд – атака с помощью ICMP-пакета, который через усиливающую сеть способен вывести из строя любой компьютер, сервер, если размер сети насчитывает большое количество компьютеров.
- UDP-флуд – аналог ICMP-атаки, только в этом случае используется UDP-пакет и создаются echo-запросы на седьмой порт жертвы. За счет атаки возникает насыщение полосы пропускания.
Проблемы системы квотирования – если на сервере плохо настроено квотирование, то можно получить доступ к CGI и задействовать скрипт, который будет использовать большое количество ресурсов компьютерной системы.
Ошибки программирования – если в программном коде есть ошибки, профессионалы в сфере DoS-атак используют именно их для того, чтобы заставить систему выполнить команду с ошибкой, что приведет к аварийному выключению.
Атаки на DNS-сервера – вид атаки, который использует множество компьютеров-зомби и путем захвата системных ресурсов или насыщения полосы выводит из строя обработчик доменного имени на IP адрес. Это делает страницу в интернете недоступной для пользователей.

Защита от DoS-атак

Наличие DoS-атаки невозможно не заметить по нагрузке на сервер и сопутствующим проблемам и сбоям. Но нужно знать хотя бы основные приемы по защите от подобных атак:

Для защиты от HTTP-флуда увеличивается количество одновременных подключений. Делается это с помощью установки производительного веб-сервера Nginx, кеширующего запросы.
ICMP-флуд можно предотвратить, отключив на компьютерной системе ответы на запросы ICMP ECHO.
Если ограничить количество соединений к DNS-серверу и отключить от внешнего выхода UDP-сервисы, можно избежать атаки с UDP-флудом.
Если отключить очередь «полуоткрытых» портов TCP-соединений, можно защитить систему от SYN-флуда.

Существуют также универсальные способы защиты от разного рода DoS-атак.

Включать и настраивать брандмауэр для сетевых сервисов;
Использовать сервисы защиты от данных атак;
Увеличивать ресурсы системы, сервера.

Перспективные DDoS-атаки: о чём нужно знать и как готовиться?

По мере своего роста проекты и организации приобретают новые ресурсы, но и оказываются перед лицом новых угроз. Иногда даже незначительные по масштабу компании становятся жертвами киберпреступников.

Причины атак на цифровые ресурсы могут быть различными — от охоты за ценными сведениями и доступами до намеренного причинения репутационного и финансового ущерба. В любом случае безопасность должна стоять на первом месте.

Облачная инфраструктура, особенно публичные облака, приобрели большую популярность за прошедшие несколько лет. Тысячи компаний по всему миру, от малого бизнеса до настоящих гигантов, полагаются на облачные сервисы. Киберугрозы могут поставить под удар любой онлайн-бизнес, если не предпринимать меры для защиты.

Классификация DDoS-атак

Одной из самых распространнённых киберугроз являются DDoS-атаки, Distributed Denial of Service. Их целью является дословно «Отказ в обслуживании» — то есть такие атаки нарушают работу серверов, сайтов, сервисов посредством избыточного потока запросов. Не рассчитанные на высокие нагрузки ресурсы просто перестают работать, в результате чего доступа к ним лишаются все пользователи. Также в рамках DDoS-атак используются уязвимости на уровне сетевых протоколов и непосредственно приложений.

Термин «distributed», или «распределённые», применительно к данному виду атак предполагает, что в качестве их источника злоумышленниками скрытно используются целые сети заражённых устройств — ботнеты. Владельцы зачастую не подозревают, что с их устройств и IP-адресов осуществляются атаки. Особенно удачно для таких целей подходят IoT-девайсы, количество которых непрерывно растёт, а защищённость остаётся на низком уровне.

Несмотря на то, что почти половина всех DDoS-атак имеют смешанный характер, выделяют три основные категории.

Volumetric attacks

Объёмные атаки или флуд. Самый распространённый тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети. Его объём может доходить до нескольких терабит в секунду. В результате, неподготовленная инфраструктура не выдерживает атаки и перестаёт отвечать на запросы.

К типу volumetric attacks относятся такие категории, как, например:

DNS amplification (усиление) — к публичному DNS-серверу от имени жертвы (в запросах прописывается IP атакуемого сервера) идут многочисленные запросы, требующие объёмных ответов. Последние, в свою очередь, перенаправляются на сервер жертвы.
DNS flood — отправка запросов DNS-серверу с многочисленных IP-адресов. Среди полученных сервером пакетов весьма тяжело обнаружить вредоносные.
ICMP flood — ICMP пакеты не требуют подтверждения о получении, поэтому их крайне трудно отделить от вредоносного трафика.
SYN flood — отправка избыточного количества запросов на открытие новых сессий с целью исчерпать память таблицы соединений.

Protocol attacks

Существует разновидность атак, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объёмом трафика, сколько точечными действиями, использующими несовершенства сети. В частности, к атакам данного типа относится:

POD (ping of death) — пинг сервера с помощью ICMP пакетов, в которых содержимое искажено или объём которых превышает максимально допустимый.

Application layer attacks

Атаки на прикладном уровне, 7 уровень OSI, направлены на веб-сервера и приложения — например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM. Цель может быть достигнута с помощью внешнего HTTP-запроса, в ответ на который система начинает исполнение такого числа внутренних запросов, на которое просто не рассчитана. К атакам на уровне приложений среди прочих относятся:

HTTP flood — избыточное количество GET и POST запросов к серверу — например, для получения самых тяжёлых элементов сайта.
Slowloris — бот открывает множество сессий на сервере, при этом, не отвечая на них и провоцируя таймаут. В результате, такие поддельные сессии забирают на себя ресурсы сервера и ведут к его недоступности.

Самые перспективные типы DDoS-атак

К некоторым методам злоумышленники проявляют особый интерес ввиду их высокой эффективности. Самые серьёзные инциденты как в настоящем, так и в ближайшей перспективе, связаны с несколькими типами DDoS-атак.

DNS reflected Amplification

Подвид volumetric атак, суть которых — в комбинации двух вредоносных факторов. Во-первых, имитируя запрос с сервера жертвы путём подстановки его IP в запрос, атакующий использует публичный DNS-сервер как рефлектор, то есть, «отражатель». Тот, получив запрос якобы от атакуемого сервера, возвращает ответ ему же, «отражая» запрос.

Более того, запросить можно не только IP-адрес домена, а намного больше данных, в связи с чем ответ DNS-сервера станет гораздо более объёмным. Наконец, трафик можно довести до предела, осуществляя запросы через ботнет. Таким образом, с высокой вероятностью достигается перегрузка пропускной полосы сервера жертвы.

Самый известный случай применения DNS reflected amplification — атака на github в феврале 2018 — самая крупная из известных DDoS-атак. Поток трафика достигал 1,35 Тб/с, а коэффициент усиления (амплификация) — 51 000.

Generated UDP Flood

Generated UDP Flood сочетает генерацию избыточного объёма трафика и элементы атаки уровня протоколов.

Атака с помощью UDP-пакетов, отправляемых с подставных IP-адресов, направлена на IP-адрес и порт сервера. Правильно подобрав параметры пакетов и интенсивности их отправки, можно сымитировать легитимный трафик. Выявить «мусорные» запросы становится крайне трудно.

Такой атаке подвергся сервер MMORPG Albion Online. В качестве решения для устранения угрозы был выбран программный комплекс G-Core Labs, сочетающий такие методы, как:

Rate-limiting — ограничение трафика;
Regexp-filtering — фильтрация пакетов, совпадающих с regexp в payload;
Whitelisting — добавление IP игрока в белый список при прохождении авторизации;
Blacklisting — добавление в чёрный список адресов, не прошедших валидацию;
IP Geolocation Filter — блокировка IP-адресов по геолокации;

а также ряд методов, не имеющих аналогов. Например, G‑Core Labs’ Challenge Response (CR) — протокол, интегрируемый на стороне клиента и позволяющий валидировать его IP-адрес.

HTTP GET/POST Flood

Атака уровня приложений. В данном случае на сервер отправляется непрерывный поток GET и POST запросов, легитимных на первый взгляд. Проблема в том, что атакующий не дожидается ответов, а направляет запросы постоянно, вследствие чего ресурсы сервера исчерпываются в процессе их обработки.

Согласно открытым источникам, от подобной атаки в ноябре 2016 пострадали сайты ряда крупных российских банков. HTTP flood использовали в самом начале, чтобы точно определить частоту запросов и объём трафика, необходимый для отказа в обслуживании. Метод выступил как вспомогательный, после чего в ход пошли другие инструменты.

Burst attack (Hit-and-run)

Один из подвидов Volumetric атак, hit and run работает особым образом, непохожим на большинство других атак. Это непродолжительные всплески трафика, объёмом сотни гигабит в секунду, длительностью 20-60 минут, а в ряде случаев — менее минуты. Они многократно повторяются в течение длительных периодов времени — дней и даже недель — с интервалами, в среднем, 1-2 суток.

Подобные атаки стали популярными ввиду своей дешевизны. Они эффективны против защитных решений, активируемых вручную. Опасность hit and run заключается в том, что последовательная защита требует непрерывного мониторинга и готовности систем реагирования.

Основными жертвами атак hit-and-run становятся сервера онлайн-игр и сервис-провайдеры. С ними сталкиваются 42% организаций.

SYN Flood

Очередной пример класса Volumetric атак. Стандартное соединение с сервером по протоколу TCP производится методом трёх рукопожатий. На первом этапе клиент отправляет пакет с флагом SYN для синхронизации. Сервер отвечает пакетом SYN-ACK, уведомляя клиента о получении первого пакета и предлагая отправить завершающий, третий, для подтверждения соединения. Клиент же не отвечает пакетом ACK, продолжая флуд, и, тем самым, перегружая ресурсы сервера.

SYN flood атакам, а также их близким аналогам подвергались крупнейшие компании, такие как Amazon, SoftLayer (IBM), Eurobet Italia SRL, Korea Telecom. Одним из серьёзных инцидентов стало выведение из строя сайта спортивных ставок Eurobet в октябре 2019. Позднее в том же месяце жертвами TCP SYN-ACK reflection стали ряд финансовых и телекоммуникационных компаний в Италии, Южной Корее и Турции.

Slowloris

Представитель DDoS-атак уровня приложений. Session attack или Slowloris нацелена на «изматывание» сервера жертвы. Злоумышленник открывает множество соединений и держит каждое из них открытым как можно дольше до момента таймаута.

Подобные атаки нелегко обнаружить, так как соединение TCP уже установлено, HTTP запросы выглядят легитимными. Через некоторое время такая тактика позволяет занять все соединения, исключив доступ реальных пользователей к серверу.

Slowloris приобрела широкую известность в ходе президентских выборов в Иране, когда атакующие предприняли попытку отключить сайты, принадлежащие правительству страны.

Как защититься от DDoS атак: 3 составляющих безопасности системы

Очевидно, что кибербезопасность — узкая компетенция и её едва ли удастся закрыть так же легко, как HR или бухгалтерию, какой бы продвинутой ни была компания. Важно заботиться о том, чтобы ваши сервис-провайдеры и поставщики инфраструктуры были глубоко погружены в вопросы кибербезопасности и зарекомендовали себя как настоящие профессионалы.

Надёжная защита обеспечивается соблюдением 3 условий:

Использование проверенного решения для непрерывной защиты от DDoS-атак;
Разработка плана действий на случай угрозы — DDoS Response Plan;
Проведение регулярного healthcheck системы и устранение уязвимостей приложений.

Проверенное решение для защиты от DDoS

Если рассматривать облачную инфраструктуру, то в данной сфере защита требует особого внимания.

Сервер — одна из основ любого веб-сервиса, приложения, сайта. Если на него совершена атака, которая привела к потере доступа пользователей к ресурсам, последствия могут быть плачевными. Это финансовые и репутационные риски, компрометация конфиденциальной информации, уничтожение ценных ресурсов, судебные риски.

Чтобы сохранить активы в безопасности, важно использовать проверенные средства онлайн-защиты. Они должны включать такие элементы, как:

Средства непрерывного мониторинга трафика и выявления подозрительной активности;
Black- и whitelisting IP-адресов;
Систему оповещения об угрозах;
Систему нейтрализации атак.

Особенно важно в процессе ликвидации угрозы не заблокировать пользовательский трафик вместе с вредоносным.

Показательным примером эффективной точной настройки служит сервис защиты от DDoS-атак компании G-Core Labs. Этот сервис полезен любому онлайн-бизнесу: медиа-ресурсам, разработчикам и издателям игр, телеком-компаниям, страховому бизнесу и банкам, а особенно — интернет-магазинам.

Интеллектуальная фильтрация трафика на основе анализа статистических, сигнатурных, технических и поведенческих факторов даёт возможность блокировать даже единичные вредоносные запросы, не затрагивая рядовых пользователей.

DDoS Response Plan

План реагирования призван ограничить ущерб, причиняемый DDoS-атакой. Это должна быть чёткая последовательность действий и мер, незамедлительно принимаемых при возникновении угрозы.

Подробный план должен включать, как минимум, такие меры, как:

Установление полного перечня ресурсов, подвергшихся атаке;
Локализация угрозы и предотвращение её распространения;
Оповещение ответственных и заинтересованных лиц об инциденте;
Идентификация характера угрозы, обнаружение цифровых следов;
Определение методов и средств, лежащих в основе атаки;
Полное сканирование IT-инфраструктуры, оценка ущерба;
Контроль исходящего трафика и предотвращение утечек информации;
Устранение угрозы;
Подготовка к противодействию аналогичным атакам в будущем.

Регулярный Healthcheck системы и устранение уязвимостей приложения

Чтобы DDoS-атака не застала врасплох и нанесла минимальный урон, следует постоянно совершенствовать защитные механизмы. Правило касается не только инструментов, предназначенных для отражения атак, но и защищаемой инфраструктуры и приложения.

Уязвимости на этапе аутентификации;
Вредоносные вставки кода;
Cross-site scripting;
Уязвимости шифрования;
Логические ошибки, несовершенная структура данных;

Всё это перечень потенциальных угроз. Сканирование систем на предмет уязвимостей и постоянное обновление кода приложений поможет поддерживать устойчивость ресурсов компании к большинству известных киберугроз.

ТОП способов защиты от DDoS-атак

Распределенная DoS-атака, выполняемая одновременно с большого числа устройств, над которыми злоумышленники смогли получить контроль и по команде генерировать потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

Принцип действия

Цель DDoS-атаки — добиться отказа в обслуживании подключенных к Интернету устройств: сетевого оборудования и инфраструктуры, различных интернет-сервисов, веб-сайтов и веб-приложений, инфраструктуры Интернета вещей.

Подавляющее большинство атак развиваются в следующей последовательности:

1) сбор данных о жертве и их анализ с целью выявления явных и потенциальных уязвимостей, выбор метода атаки;
2) подготовка к атаке путем развертывания вредоносного кода на компьютерах и подключенных к Интернету устройствах, управление которыми удалось перехватить;
3) генерация потока вредоносных запросов с множества устройств, находящихся под управлением злоумышленника;
4) анализ результативности атаки: если целей атаки добиться не удалось, злоумышленник может провести более тщательный анализ данных и выполнить повторный поиск методов атаки (переход к п.1).

В случае успешной атаки ресурс, оказавшийся под ударом, продемонстрирует существенное снижение производительности либо вообще не сможет обрабатывать легитимные запросы от пользователей и других сервисов. В зависимости от того, что конкретно представляет собой ресурс-жертва, последствиями успешной DDoS-атаки могут быть резкое падение производительности или недоступность сети, сервера, интернет-сервиса, сайта, приложения. Как следствие, интернет-ресурс «зависает», легальные пользователи не могут получить доступ к нему в нужный момент, сеть или сервер на время становятся «отрезанными» от Интернета, интернет-ресурс перестает работать корректно и т. п.

Мотивация злоумышленников может быть различной. Наиболее часто встречаются недобросовестная конкуренция, попытки шантажа, конфликты интересов или убеждений, социальный или политический протест. Также нередко случаются атаки на почве мести, из желания «потренироваться» в хакерском криминальном ремесле, а также из тщеславия. Впрочем, в последние годы на первое место выходит желание исполнителей DDoS-атак подзаработать. И если заказ на атаку щедро проплачен, она может быть весьма интенсивной, длиться по много часов, снова и снова модифицироваться и повторяться.

Ущерб от успешной DDoS-атаки в первую очередь заключается в финансовых и репутационных издержках: недополученной прибыли, разрыве контрактов и оттоке пользователей, многочисленных жалобах и рекламациях клиентов, волне негатива в СМИ и социальных сетях и, как следствие, падении популярности интернет-ресурса и его владельца. Нередко DDoS-нападение используется в качестве прикрытия для основного вредоносного воздействия в ходе целенаправленных атак: в то время как специалисты по информационной безопасности концентрируются на отражении DDoS и восстановлении работоспособности систем, злоумышленники усиливают главный вектор атаки — например, взламывают сервис, похищают конфиденциальные данные или устанавливают вредоносные коды.

Против кого осуществляются DDoS-атаки

Чаще всего объектами DDoS-атак оказываются правительственные, финансовые учреждения, игровые сервисы, компании электронной коммерции. С началом пандемии резко усилились атаки на образовательные ресурсы, сервисы видеоконференций, онлайн-кинотеатры, медийные и развлекательные сайты.

Одной из самых интенсивных и длительных стала произошедшая в 2007 году серия DDoS-атак против правительственных, финансовых, медийных и прочих ресурсов в Эстонии, по всей вероятности, ставшая выражением протеста против сноса памятников советским воинам, освобождавшим республику.

Еще одну крупнейшую атаку провели в 2013 году против международной некоммерческой организации Spamhaus, ставящей целью борьбу со спамом. Можно предположить, что заинтересованные в распространении спама злоумышленники были явно недовольны ее успешной деятельностью.

В 2014 году была проведена одна из мощнейших DDoS-атак в истории — на сей раз против набиравшего силу в Гонконге движения Occupy Central, выступавшего за изменение действовавшей в стране системы голосования.

В 2015 и 2018 годах состоялись еще две вошедшие в историю DDoS-атаки — против крупнейшего в мире интернет-ресурса для совместной разработки и хостинга ИТ-проектов GitHub.

Не забывают злоумышленники и о российских ресурсах. Так, регулярно подвергаются нападениям сайты Центральной избирательной комиссии РФ, Сбербанка и других финансовых учреждений России, различных коммерческих компаний. В частности, Сбербанк сообщил, что 2 января 2020 года была зафиксирована самая мощная DDoS-атака за всю его историю, она была выполнена с помощью автономных устройств Интернета вещей.

Классификация DDoS-атак

Наиболее часто применяемый способ классификации атак — по уровню OSI, на котором они осуществлялись. Перечислим наиболее распространенные виды атак:

Сетевой уровень (L3): DDoS-атаки этого уровня «работают» по протоколам IP, DVMRP, ICMP, IGMP, PIM-SM, IPsec, IPX, RIP, DDP, OSPF, OSPF. Целями атак являются в первую очередь сетевые устройства — коммутаторы (свичи) и маршрутизаторы (роутеры).
Транспортный уровень (L4): воздействие производится по протоколам TCP и UDP, а также по подпротоколам DCCP, RUDP, SCTP, UDP Lite. Целями атак этого уровня обычно становятся серверы и некоторые интернет-сервисы, например игровые.
Уровень приложений (L7): атака осуществляется на уровне протоколов приложений. Чаще всего злоумышленники используют HTTP, HTTPS и DNS. Атаки этого уровня нацелены как на популярные сетевые сервисы, так и на различные веб-сайты и веб-приложения.

Еще один распространенный способ классификации — по способу воздействия:

использование уязвимостей протоколов: они позволяют добиваться отказа в обслуживании путем воздействия на атакуемый ресурс некорректными запросами, в результате чего жертва «уходит в ступор», пытаясь их обработать;
переполнение трафика мощным потоком запросов, который жертва не в состоянии «переварить»;
воздействие на слабые места в архитектуре и логике работы приложений, способное сильно нарушить работоспособность подключенного к Интернету программного комплекса, особенно если он имеет слабый уровень защищенности.

Способы защиты от DDoS-атак

Прежде чем браться за использование сервисов защиты от DDoS-атак, следует позаботиться о повышении степени защищенности интернет-сервиса — его способности эффективно отражать атаки с минимальными затратами ресурсов. В противном случае, чтобы обезопасить интернет-сервис от воздействий, придется потратить очень много сил и средств. Если предельно коротко, то для повышения защищенности нужно:

1) предоставить как можно меньше информации атакующему;
2) предоставить как можно больше информации DDoS-защитнику;
3) обеспечить понятные возможности фильтрации атаки;
4) обеспечить надежность сервиса под атакой.

Возможности защиты от DDoS-атак можно и нужно предусматривать в интернет-ресурсе еще на стадии проектирования его архитектуры: хорошее проектирование позволит повысить доступность ресурса и снизить расходы на его защиту от атак. Подробнее о защите и о том, что на нее влияет, можно узнать здесь:

Что касается средств защиты, то их можно разделить на локальные (on-premise), облачные и гибридные. Решения on-premise и средства anti-DDoS бывают как программные, так и аппаратные (специализированные сетевые устройства), и их могут устанавливать как сами клиенты, так и их провайдеры. Основные пользователи локальных решений anti-DDoS — крупные операторы связи (облачные и интернет-провайдеры) и дата-центры, которые могут себе позволить иметь собственную службу реагирования, способны справиться с мощными (в сотни гигабит) атаками и предлагают услугу anti-DDoS своим клиентам.

Облачные решения реализуют практически тот же функционал защиты, что и решения on-premise. Помимо пакетной защиты, провайдеры облачных сервисов anti-DDoS нередко предлагают услуги защиты сайтов от атак, производимых ботами (злоумышленники используют в них протокол HTTP), а также техническую поддержку и сопровождение во время DDoS-атаки. Облачные решения представляются оптимальным вариантом для большинства компаний.

Гибридное решение — это комплект из решения on-premise и подписки на облачный сервис anti-DDoS, который подключается автоматически при начале атаки. Гибридный подход позволяет устранить ограничения решений on-premise по объемам атак и воспользоваться преимуществами и облачных решений, и средств on-premise. Гибридные решения можно рекомендовать крупным предприятиям, уделяющим особое внимание взаимодействию с клиентами посредством онлайн-каналов, а также небольшим сервис-провайдерам.

В зависимости от того, какие именно интернет-ресурсы требуется защищать, выбирают средства и сервисы anti-DDoS, имеющие тот или иной спектр функций защиты:

защита от пакетного флуда на основе фильтрации пакетов транспортного и сетевого уровня (L3 и L4) — этого достаточно для защиты сетевых устройств;
защита и от пакетного флуда, и от флуда на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, поскольку большинство атак на них осуществляется именно на уровне L7;
защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с использованием «умных» ботов, атакующих те части веб-приложений, которые обладают наибольшей ресурсоемкостью при обработке поступающих запросов, с применением функций Web Application Firewall (WAF) — это необходимо для защиты критически важных интернет-ресурсов.

По формату подключения различают симметричную и асимметричную DDoS-защиту. Первый вариант подразумевает установку фильтра в симметричном режиме: через фильтр всегда проходит и входящий, и исходящий трафик защищаемого сервера (либо служебная информация об этом трафике). Асимметричные алгоритмы анализируют только входящий трафик. Как правило, симметричные средства защиты более эффективны, но стоимость владения ими выше, к тому же задержка сигнала больше. Асимметричные средства зачастую сложнее, но, поскольку они не анализируют исходящий трафик, полная фильтрация некоторых атак в асимметричном режиме не обеспечивается.

Кроме того, следует особо позаботиться о правильном подключении DDoS-защиты: необходимо свести к нулю количество уязвимостей, которыми мог бы воспользоваться злоумышленник.

И конечно, нужно уделить пристальное внимание выбору провайдера защиты, поскольку реальное качество его услуг, равно как и уровень его компетентности в вопросах anti-DDoS, может простираться в широком диапазоне.

Что такое DDoS-атака. Защита от Ddos атаки. Профессиональный хостинг Hostland

Если Ваш сайт подвергся DDos атаке, то Вам нужен хостинг, который сможет Вам обеспечить защиту от DDos атаки. Свяжитесь с нами, мы сможем Вам помочь

Что такое DDoS-атака.

DDoS-атака (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — атака на систему с целью вывести ее из строя, другими словами, создание условий, при которых пользователи не могут получить доступ к сервисам, которые им необходимы. Ярким примером этого является вывод из строя сайта, который еще вчера радовал Вас своей стабильностью и быстродействием.

Резкий прирост трафика.

Некоторые пользователи иногда путают DDos атаку с резким приростом трафика на сайт (увеличение посещаемости), вызванный будь то продвижением сайта в поисковых системах, или указание ссылки на сайт на каком либо очень высоко посещаемом ресурсе.

Прирост трафика (увеличение посещаемости) означает то, что Ваш сайт посещают «настоящие» пользователи, которые заходят на Ваш сайт целеноправленно, которые заинтересованы в Ваших товарах или услугах (или в информации представленной на сайте). В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера остается неизменным, обычно это соотношение 1/4, т.е. на один мегабайт входящего на сервер трафика, есть четыре мегабайта исходящего трафика с сервера.

Если при приросте посещаемости Ваш сайт начинает работать медленно Вам нужно обратить внимание на несколько вещей:

а) скорость работы Вашего программного обеспечения, т.е. Ваш технический специалист должен найти узкое место в ПО Вашего сайта, и устранить его.

б) скорость работы сервера, на котором размещен Ваш сайт, иногда некоторые т.н. «хостинг провайдеры» размещают сайты не на высоко производительных серверах, а на машинах уровня «desk top», что рано или поздно приведет к проблеме доступности сайта, при более или менее значительном увеличении посещаемости сайта.

DDoS атака.

DDos атака в своем настоящем проявлении — это непрерывные обращения к сайту со многих компьютеров, расположенных в разных частях мира. В основном это так называемые «зазомбированные» компьютеры обыкновенных пользователей (которые даже не подозревают об этом). Эти компьютеры заражены вирусами, которые управляются злоумышленником централизованно. Именно эти компьютеры и рассылают спам, участвуют в DDos атаках, именно с этих компьютеров злоумышленники воруют персональную информацию. В интернет существует целая индустрия («подпольная» индустрия), над этим работают целые команды программистов, которые ищут уязвимости в операционных системах, что бы использовать их в своих целях.

В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера резко меняется: размер входящего трафика на канале резко увеличивается и, порой, достигает максимального значения пропускной способности канала, при этом исходящий трафик с сервера становится мизерным, потому как входящие соединения буквально «забивают» канал своими запросами.

В наших суровых реалиях, данный способ выведения сайта из строя, стал очень распространен, в связи с острой конкуренцией между сайтами в так называемом «ТОПе» поисковых систем Yandex, Google, Rambler. Ведь если вывести из строя сайт, то он будет исключен поисковой системой из выдачи, и его место станет вакантным. Так же эти методы используют люди, которые готовы заплатить деньги, за то, что бы какой либо сайт перестал функционировать (личная неприязнь у злоумышленника к администратору сайта и т.д.)

Для эффективной борьбы с DDos атакой необходимо произвести ряд превентивных мер, произвести специальную настройку программного и сетевого аппаратного обеспечения, установленного на высокопроизводительном сервере. И конечно пользователю необходимо изложить всю необходимую информацию хостинг-провайдеру, когда началась DDos атака, были ли случаи шантажа, есть ли прецеденты по DDos атаке других сайтов смежной тематики и т.д. Только в этом случае возможно быстро и эффективно «отбить» DDos атаку.

DDoS-атаки (Distributed Denial of Service)

DDoS-атака (Distributed Denial of Service) — хакерская атака на веб-сайт, главная задача которой — привести к отказу в обслуживании, при котором взаимодействие пользователей с сервисами и сайтами будет затруднено или невозможно. Ее отличие от DoS-атаки — в том, что она проводится сразу со множества устройств и адресов. Для DDoS-атак хакеры собирают ботнеты из зараженных вредоносными программами компьютеров-зомби.

Цель проведения DDoS-атаки — вымогательство денег за ее прекращение и за восстановление доступа к веб-сайту. Чаще всего злоумышленники подвергают таким нападениям сетевые ресурсы электронной коммерции, онлайн-банки, системы бронирования, букмекерские конторы, информационные сервисы, СМИ и другие организации, ведущие свой бизнес в Сети.

Существуют специальные вредоносные программы (боты), которые позволяют формировать ботнеты. Например, интернет-червь Mirai заразил более 500 000 устройств, подключенных к интернету, из которых был сформирован одноименный ботнет для рекордно мощных на тот момент DDoS-атак.

DDoS-атаки обрели первую популярность в 1999 году, когда злоумышленники атаковали веб-сайты крупнейших компаний (Yahoo, eBay, Amazon, E-Trade, CNN и многих других). Спустя год после атак на крупные корпорации была осознана необходимость принять срочные меры для борьбы с появившейся проблемой.

Классификация DDoS-атак

Основные способы DDoS-атак:

HTTP-флуд. Самый распространенный способ, чья основная идея — отправка серверу такого пакета, ответом на который будет пакет гораздо большего размера. В специально сформированном запросе к серверу злоумышленник заменяет свой IP-адрес на сетевой идентификатор машины внутри сети-жертвы.
ICMP-флуд. При этом типе DDoS-атаки хакер отправляет ICMP-пакет (часто — с помощью утилиты ping) усиливающей сети. IP-адрес злоумышленника в этом случае также заменяется целевым, и на сервер-жертву приходит ответ на команду, увеличенный во столько раз, сколько машин содержит усиливающая сеть. Также подобная атака может происходить с помощью UDP-пакетов.
SYN-флуд. Для обмена данными компьютерным системам требуется установка соединения, и при этом на само соединение тоже выделяются компьютерные ресурсы — на которые и нацелен данный вид атак. Отправляя ложные запросы, можно использовать все ресурсы компьютерной системы, которые зарезервированы на установку соединений.
«Тяжелые пакеты». Для реализации этого метода атаки злоумышленник с помощью ботнета отправляет серверу трудные для обработки пакеты данных, которые не переполняют канал связи, но отнимают ресурсы процессора, что может привести к его перегреву или перегрузке.

Объект воздействия

Цель DDoS-атаки — вывод из строя или недоступность веб-сайта. Однако бывает так, что целью DDoS оказывается DNS-сервер (например, в 2012 году группа Anonymous планировала вывести таким образом из строя 13 корневых DNS-серверов мира, что лишило бы интернета все население Земли). Также целью может стать уязвимое веб-приложение. Отдельные DDoS-атаки организовываются ради развлечения или в знак политического протеста (скажем, акция 2007 года в честь памятника Воину-освободителю в Эстонии). Часто DDoS проводят для шантажа или вымогательства. От этого ежегодно страдает огромное количество компаний и частных лиц, ведь из-за атак их сайты становятся недоступными клиентам и не приносят дохода. Сетевые ресурсы государственных учреждений, сайты СМИ, интернет-магазины и онлайн-банки, порталы коммерческих и некоммерческих организаций — все они являются потенциальными целями DDoS-атак.

В середине 2010-х годов имело место некоторое затишье, но согласно отчету компании Qrator Labs, в 2016 году DDoS-атаки начали снова тревожить корпоративных пользователей. Несмотря на то, что многим провайдерам легко нейтрализовать атаки мощностью до 300 Гбит/с, проблемы все-таки остались. В частности, злоумышленники начали использовать зараженные серверы видеозаписи, веб-камеры, устройства интернета вещей, в которых имеются уязвимости. Из-за распространенности таких устройств атаки стали еще более масштабными.

По мнению Qrator Labs, техническим специалистам необходимо снова обращать внимание на защиту от DDoS-атак. Если прежде наблюдалось линейное увеличение мощности последних, то в 2016 году ситуация резко изменилась. Сегодня атаки могут достигать таких масштабов, что им под силу накрывать целые регионы земного шара, а это напрямую угрожает функционированию работы крупных провайдеров.

Наибольшее «внимание» киберпреступники уделили следующим отраслям:

купонные сервисы,
платежные системы,
информационные агрегаторы,
электронная коммерция,
игры и игровые площадки.

Источник DDoS-атак

Источников нападений, направленных на отказ в обслуживании, множество: конкуренты, недоброжелатели, хактивисты и т.д. По данным «Лаборатории Касперского», в 2015 году DDoS-атаке подверглась каждая шестая российская компания. За 2015 год было проведено около 120 000 атак на 68 000 различных ресурсов по всему миру. Мощность потока при этом достигала 450 Гбит/с. Чаще всего DDoS-атакам подвергается крупный бизнес (20%).

Анализ риска

Противостояние DDoS-атакам — сложная задача, запросы к сайту поступают со многих направлений. От слабых DDoS-атак можно защититься: например, от HTTP-флуда поможет установка лимита подключений, от ICMP-флуда — отключение ответов на все запросы ECHO или правильно настроенный WAF, от UDP-флуда — отключение от интернета UDP-сервисов и установка лимита обращений к DNS-серверу. Однако против большинства атак, организованных профессиональными киберпреступниками и нацеленных на максимально возможный объем трафика, настройка веб-сервера ничего не даст, так как будет «забит» сам канал связи. В этом случае смогут помочь только специальные сервисы защиты.

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка сделать онлайн-сервис недоступным, перегружая его трафиком из нескольких источников. Они нацелены на широкий спектр важных ресурсов, от банков до новостных веб-сайтов, и представляют серьезную проблему для обеспечения того, чтобы люди могли публиковать важную информацию и получать к ней доступ.

Более 2000 Arbor Networks ежедневно отслеживает DDoS-атаки во всем мире. Отчет об угрозах ATLAS

Создание потенциала

Злоумышленники создают сети из зараженных компьютеров, известные как «ботнеты», путем распространения вредоносного ПО через электронную почту, веб-сайты и социальные сети.После заражения этими машинами можно управлять удаленно, без ведома их владельцев, и использовать их как армию для атаки на любую цель. Некоторые ботнеты состоят из миллионов машин.

Запуск атак

Ботнеты могут генерировать огромные потоки трафика, чтобы сокрушить цель. Эти наводнения могут быть сгенерированы несколькими способами, такими как отправка большего количества запросов на соединение, чем сервер может обработать, или отправка компьютерами жертве огромных объемов случайных данных для использования полосы пропускания цели.Некоторые атаки настолько велики, что могут исчерпать международную кабельную емкость страны.

Продажа тишины

Существуют специализированные онлайн-площадки для покупки и продажи ботнетов или индивидуальных DDoS-атак. Используя эти подпольные рынки, любой может заплатить символическую плату, чтобы заставить замолчать веб-сайты, с которыми он не согласен, или нарушить работу организации в Интернете. Недельная DDoS-атака, способная вывести небольшую организацию из строя, может стоить всего 150 долларов.

Изучение данных

Карта цифровых атак отображает глобальную активность DDoS в любой день.Атаки отображаются в виде пунктирных линий, масштабируются по размеру и размещаются в соответствии с исходной и целевой странами атакующего трафика, если они известны. Некоторые функции включают:

Используйте гистограмму внизу карты для просмотра исторических данных.
Выберите страну для просмотра активности DDoS в этой стране или из нее.
Используйте параметр цвета для просмотра атак по классам, продолжительности или портам источника / назначения.
Используйте раздел новостей, чтобы найти в Интернете отчеты об атаках за указанное время.
Просмотрите галерею, чтобы изучить некоторые примеры дней с заметными DDoS-атаками.

Типы атак

DDoS-атак бывают разных форм, от Smurfs до Teardrops и Ping of Death. Ниже приведены подробности о типах атак и методах усиления, найденных на карте:

Класс атаки : четыре общие категории атак Атаки TCP-соединения — Занимающие соединения

Они пытаются использовать все доступные подключения к устройствам инфраструктуры, таким как балансировщики нагрузки, межсетевые экраны и серверы приложений.Эти атаки могут вывести из строя даже устройства, способные поддерживать состояние миллионов подключений. Учить больше…

Объемные атаки — Использование полосы пропускания

Они пытаются использовать полосу пропускания либо в целевой сети / службе, либо между целевой сетью / службой и остальной частью Интернета. Эти атаки просто вызывают скопление. Учить больше…

Фрагментационные атаки — Кусочки пакетов

Они отправляют поток фрагментов TCP или UDP жертве, подавляя способность жертвы повторно собирать потоки и серьезно снижая производительность.Учить больше…

Атаки на приложения — Нацеленные на приложения

Они пытаются подавить определенный аспект приложения или службы и могут быть эффективными даже при очень небольшом количестве атакующих машин, генерирующих низкую скорость трафика (что затрудняет их обнаружение и смягчение). Учить больше…

Усиление : Атаки двумя способами могут увеличить трафик, который они могут отправить. Отражение DNS — Маленький запрос, большой ответ.

Подделав IP-адрес жертвы, злоумышленник может отправить небольшие запросы на DNS-сервер и попросить его отправить жертве большой ответ. Это позволяет злоумышленнику усиливать каждый запрос от его ботнета в 70 раз, что значительно упрощает поражение цели. Учить больше…

Chargen Reflection — Устойчивые потоки текста

Большинство компьютеров и принтеров, подключенных к Интернету, поддерживают устаревшую службу тестирования под названием Chargen, которая позволяет кому-либо попросить устройство ответить потоком случайных символов.Chargen можно использовать как средство для усиления атак, аналогичных DNS-атакам, описанным выше. Узнать больше …

Что такое DDoS-атака? Объяснение распределенных атак типа «отказ в обслуживании»

Что такое DDoS-атака?
При распределенной атаке типа «отказ в обслуживании» (DDoS) несколько скомпрометированных компьютерных систем атакуют цель и вызывают отказ в обслуживании для пользователей целевого ресурса. Целью может быть сервер, веб-сайт или другой сетевой ресурс. Поток входящих сообщений, запросов на соединение или искаженных пакетов в целевую систему заставляет ее замедляться или даже аварийно завершать работу, тем самым отказывая в обслуживании законным пользователям или системам.
Многие типы злоумышленников, от отдельных преступных хакеров до организованных преступных группировок и государственных учреждений, проводят DDoS-атаки. В определенных ситуациях — часто связанных с плохим кодированием, отсутствующими исправлениями или нестабильными системами — даже законные, несогласованные запросы к целевым системам могут выглядеть как DDoS-атака, когда это просто случайные потери производительности системы.
Как работают DDoS-атаки?
В типичной DDoS-атаке злоумышленник использует уязвимость в одной компьютерной системе, делая ее мастером DDoS.Мастер-система атаки выявляет другие уязвимые системы и получает контроль над ними, заражая их вредоносным ПО или обходя средства аутентификации с помощью таких методов, как угадывание пароля по умолчанию в широко используемой системе или устройстве.
Компьютер или сетевое устройство, находящееся под контролем злоумышленника, называется зомби или ботом . Злоумышленник создает так называемый командно-управляющий сервер для управления сетью ботов, также называемый ботнетом .Лицо, контролирующее ботнет, называется ботмастером . Этот термин также использовался для обозначения первой системы, задействованной в ботнете, поскольку он используется для контроля распространения и активности других систем в ботнете.
Ботнеты могут состоять практически из любого количества ботов; ботнеты с десятками или сотнями тысяч узлов становятся все более распространенными. Их размер может не иметь верхнего предела. После сборки ботнета злоумышленник может использовать трафик, генерируемый скомпрометированными устройствами, для наводнения целевого домена и отключения его.
Целью DDoS-атаки не всегда является единственная жертва, поскольку DDoS-атаки затрагивают многие устройства. Устройства, используемые для маршрутизации вредоносного трафика к цели, также могут страдать от снижения качества обслуживания, даже если они не являются основной целью.
Ботнеты являются ключевым инструментом в DDoS-атаках на основе Интернета вещей, но они также могут использоваться для других злонамеренных действий.
Типы DDoS-атак
Существует три основных типа DDoS-атак:
Сетецентрические или объемные атаки. Они перегружают целевой ресурс, используя доступную полосу пропускания с помощью лавинной рассылки пакетов. Примером этого типа атаки является атака с усилением системы доменных имен, которая делает запросы к DNS-серверу, используя адрес Интернет-протокола (IP) цели. Затем сервер заваливает цель ответами.
Протокол атаки. Эти целевые протоколы сетевого или транспортного уровня используют недостатки в протоколах для перегрузки целевых ресурсов. Например, атака SYN-лавинной рассылки отправляет на целевые IP-адреса большой объем пакетов «запроса начального соединения» с использованием поддельных исходных IP-адресов.Это затягивает рукопожатие протокола управления передачей, которое никогда не может завершиться из-за постоянного притока запросов.
Уровень приложения . Здесь службы приложений или базы данных перегружаются из-за большого количества вызовов приложений. Избыток пакетов вызывает отказ в обслуживании. Одним из примеров этого является флуд-атака по протоколу передачи гипертекста (HTTP), которая эквивалентна многократному одновременному обновлению множества веб-страниц.

Интернет вещей и DDoS-атаки
Устройства, составляющие Интернет вещей (IoT), могут быть полезны законным пользователям, но в некоторых случаях они даже более полезны для атакующих DDoS. К устройствам, подключенным к IoT, относятся любые устройства со встроенными вычислительными и сетевыми возможностями, и слишком часто эти устройства не разрабатываются с учетом требований безопасности.
Устройства, подключенные к Интернету вещей, открывают большие поверхности для атак и часто уделяют минимальное внимание передовым методам обеспечения безопасности.Например, устройства часто поставляются с жестко запрограммированными учетными данными для аутентификации для системного администрирования, что упрощает злоумышленникам вход на устройства. В некоторых случаях учетные данные для аутентификации не могут быть изменены. Устройства также часто поставляются без возможности обновления или исправления программного обеспечения, что еще больше подвергает их атакам с использованием хорошо известных уязвимостей.
Ботнеты Интернета вещей все чаще используются для проведения массовых DDoS-атак. В 2016 году ботнет Mirai был использован для атаки на поставщика услуг доменных имен Dyn; объем атак составил более 600 гигабит в секунду.Еще одна атака в конце 2016 года на OVH, французскую хостинговую компанию, достигла пика со скоростью более 1 терабит в секунду. Многие ботнеты Интернета вещей, начиная с Mirai, используют элементы своего кода. Ботнет dark_nexus IoT — один из примеров.
Выявление DDoS-атак
трафик DDoS-атак по существу вызывает проблему с доступностью. Проблемы с доступностью и обслуживанием — нормальное явление в сети. Важно уметь различать эти стандартные операционные проблемы и DDoS-атаки.
Иногда DDoS-атака может показаться обыденной, поэтому важно знать, на что обращать внимание.Подробный анализ трафика необходим, чтобы сначала определить, имеет ли место атака, а затем определить метод атаки.
Примеры поведения сети и сервера, которые могут указывать на DDoS-атаку, перечислены ниже. Одно из этих поведений или их сочетание должно вызывать беспокойство:
Один или несколько определенных IP-адресов отправляют много последовательных запросов в течение короткого периода.
Всплеск трафика исходит от пользователей со схожими поведенческими характеристиками.Например, если большой трафик исходит от пользователей схожих устройств, одного географического местоположения или одного и того же браузера.
Время ожидания сервера при попытке протестировать его с помощью службы проверки связи.
Сервер отвечает сообщением об ошибке 503 HTTP, что означает, что сервер либо перегружен, либо отключен для обслуживания.
Журналы показывают сильный и постоянный скачок пропускной способности. Пропускная способность должна оставаться даже для нормально работающего сервера.
Журналы показывают скачки трафика в необычное время или в обычной последовательности.
Журналы показывают необычно большие всплески трафика на одну конечную точку или веб-страницу.
Эти поведения также могут помочь определить тип атаки. Если они находятся на уровне протокола или сети — например, ошибка 503 — это, скорее всего, атака на основе протокола или сетевая атака. Если поведение проявляется как трафик к приложению или веб-странице, это может быть более признаком атаки на уровне приложения.
В большинстве случаев человек не может отследить все переменные, необходимые для определения типа атаки, поэтому необходимо использовать инструменты анализа сети и приложений для автоматизации процесса.
Признаки распределенной атаки отказа в обслуживании аналогичны признакам атаки отказа в обслуживании.
Защита и предотвращение DDoS-атак
DDoS-атаки могут создавать серьезные бизнес-риски с долгосрочными последствиями. Поэтому важно понимать угрозы, уязвимости и риски, связанные с DDoS-атаками.
Когда они начнутся, остановить эти атаки практически невозможно. Однако влияние этих атак на бизнес можно свести к минимуму с помощью некоторых основных методов защиты информации.Сюда входит выполнение текущих оценок безопасности для поиска и устранения уязвимостей, связанных с DoS, и использование средств контроля сетевой безопасности, включая услуги от поставщиков облачных услуг, специализирующихся на реагировании на DDoS-атаки.
Кроме того, надежные методы управления исправлениями, тестирование на фишинг электронной почты и осведомленность пользователей, а также упреждающий сетевой мониторинг и оповещение могут помочь минимизировать вклад организации в DDoS-атаки через Интернет.
Примеры DDoS-атак
Помимо DDoS-атак на основе Интернета вещей, упомянутых ранее, к другим недавним DDoS-атакам относятся следующие:
Хотя DDoS-атаки относительно дешевы и просты в реализации, они сильно различаются по сложности и могут серьезно повлиять на предприятия или организации, на которые они направлены.Узнайте, как предприятия могут предотвратить эти атаки , купив услугу у интернет-провайдера, используя сеть доставки контента и развернув внутреннюю систему предотвращения вторжений.
Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?
Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка вывести из строя веб-сервер или онлайн-систему, перегружая ее данными. DDoS-атаки могут быть простыми озорством, местью или хактивизмом и могут варьироваться от незначительного раздражения до длительного простоя, приводящего к потере бизнеса.
хакеров поразили GitHub DDoS-атакой со скоростью 1,35 терабайта данных в секунду в феврале 2018 года. Это масштабная атака, и вряд ли она станет последней в своем роде.
Получите бесплатное тестирование на проникновение в средах Active Directory EBook
«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защита».
В отличие от программ-вымогателей или атак со стороны APT-групп, которые имеют финансовую мотивацию, DDoS-атаки более разрушительны и раздражают.Насколько плохо это может быть? Тысячи заядлых игроков не смогли попасть в Classic WoW из-за DDoS-атаки! Дело в том, что злоумышленники не зарабатывают на DDoS-атаках — они просто делают это, чтобы причинить боль.
Как работает DDoS-атака?
DDoS-атаки чаще всего работают с помощью ботнетов — большой группы распределенных компьютеров, которые действуют согласованно друг с другом, одновременно рассылая спам веб-сайта или поставщика услуг с запросами данных.
Злоумышленники используют вредоносное ПО или незащищенные уязвимости для установки программного обеспечения Command and Control (C2) в системы пользователя для создания ботнета.DDoS-атаки полагаются на большое количество компьютеров в ботнете для достижения желаемого эффекта, и самый простой и дешевый способ получить контроль над этим количеством машин — использовать эксплойты.
Атака DYNDNS использовала камеры WIFI с паролями по умолчанию для создания огромного ботнета. После того, как ботнет готов, злоумышленники отправляют команду запуска на все свои узлы ботнета, а затем ботнеты отправляют свои запрограммированные запросы на целевой сервер. Если атака преодолевает внешнюю защиту, она быстро разрушает большинство систем, вызывает сбои в обслуживании, а в некоторых случаях приводит к сбою сервера.Конечным результатом DDoS-атаки является в первую очередь потеря производительности или прерывание обслуживания — клиенты не видят веб-сайт.
Хотя это может показаться безобидным, стоимость DDoS-атаки в 2017 году составила в среднем 2,5 миллиона долларов. Kaspersky сообщает, что DDoS-атаки обходятся малым предприятиям в 120 000 долларов, а предприятиям — в 2 000 000 долларов. Хакеры используют DDoS-атаки для чего угодно — от детских розыгрышей до мести бизнесу и выражения политической активности.
DDoS-атаки являются незаконными в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях.Запуск DDoS-атаки на сеть без разрешения обойдется вам до 10 лет тюрьмы и до 500000 долларов штрафа.
В чем разница между DoS-атакой и DDoS-атакой?
Атака отказа в обслуживании (DoS) включает в себя множество видов атак, каждая из которых предназначена для нарушения работы служб. В дополнение к DDoS у вас может быть DoS на уровне приложений, расширенный постоянный DoS и DoS как услуга. Компании будут использовать DoS как услугу для стресс-тестирования своих сетей.
Короче говоря, DDoS — это один из типов DoS-атаки, однако DoS также может означать, что злоумышленник использовал один узел для инициирования атаки вместо использования ботнета.Оба определения верны.
Что означает DDoS-атака для моей безопасности?
Вам необходимо подготовиться и спланировать управление DDoS-атакой на ваши системы. Вам необходимо отслеживать, генерировать оповещения и быстро диагностировать текущую DDoS-атаку. Следующим шагом будет быстрое прекращение атаки, не затрагивая ваших пользователей. Вы можете заблокировать IP-адреса с помощью межсетевого экрана нового поколения или закрыть входящий трафик целевой системы и переключиться на резервную копию. Есть и другие планы реагирования, которые вы можете реализовать, убедитесь, что они у вас есть.
Распространенные типы DDoS-атак
Существует несколько различных способов, с помощью которых злоумышленники могут продолжить DDoS-атаку. Вот некоторые из наиболее узнаваемых:
Атаки на уровне приложений
DDoS-атаки на уровне приложений направлены на исчерпание ресурсов цели и нарушение доступа к веб-сайту или службе цели. Злоумышленники загружают ботов сложным запросом, который облагает налогом целевой сервер, когда он пытается ответить. Запрос может потребовать доступа к базе данных или больших загрузок.Если цель получит несколько миллионов таких запросов за короткое время, она может очень быстро перегрузиться и либо замедлиться до обхода, либо полностью заблокироваться.
Атака HTTP Flood, например, представляет собой атаку уровня приложения, которая нацелена на веб-сервер на цели и использует множество быстрых HTTP-запросов для остановки сервера. Думайте об этом как о нажатии кнопки обновления в режиме быстрой стрельбы на игровом контроллере. Такой трафик сразу со многих тысяч компьютеров быстро затопит веб-сервер.
Протокол атак
DDoS-атаки по протоколу
нацелены на сетевой уровень целевых систем. Их цель — перегрузить табличные пространства основных сетевых служб, брандмауэра или балансировщика нагрузки, который перенаправляет запросы к цели.
Как правило, сетевые службы работают с очередью «первым пришел — первым вышел» (FIFO). Приходит первый запрос, компьютер обрабатывает запрос, а затем он идет и получает следующий запрос в очереди и так далее. Теперь в этой очереди есть ограниченное количество мест, и при DDoS-атаке очередь может стать настолько большой, что у компьютера не будет ресурсов для обработки первого запроса.
Атака SYN flood — это атака определенного протокола. В стандартной сетевой транзакции TCP / IP есть трехстороннее рукопожатие. Это SYN, ACK и SYN-ACK. SYN — это первая часть, которая представляет собой какой-то запрос, ACK — это ответ от цели, а SYN-ACK — это исходный запросчик, говорящий «спасибо, я получил запрошенную информацию». При атаке SYN-флуда злоумышленники создают SYN-пакеты с поддельными IP-адресами. Затем цель отправляет ACK на фиктивный адрес, который никогда не отвечает, а затем сидит там и ждет, пока все эти ответы истекут, что, в свою очередь, истощает ресурсы для обработки всех этих поддельных транзакций.
Объемные атаки
Цель объемной атаки — использовать ботнет для генерации большого количества трафика и блокирования работ на цели. Думайте об атаке HTTP Flood, но с добавленным компонентом экспоненциального ответа. Например, если вы и 20 ваших друзей позвонили в одну и ту же пиццерию и одновременно заказали 50 пирогов, эта пиццерия не сможет выполнить эти запросы. Объемные атаки работают по тому же принципу. Они запрашивают у цели что-то, что значительно увеличивает размер ответа, а объем трафика резко возрастает и забивает сервер.
DNS Amplification — это разновидность объемной атаки. В этом случае они атакуют DNS-сервер напрямую и запрашивают обратно большой объем данных с DNS-сервера, что может вывести DNS-сервер из строя и нанести вред любому, кто использует этот DNS-сервер для служб разрешения имен.
Как предотвратить DDoS-атаки?
Как GitHub пережил эту массовую DDoS-атаку? Конечно же, планирование и подготовка. После 10 минут периодических отключений серверы GitHub активировали свою службу защиты от DDoS-атак.Служба смягчения последствий перенаправила входящий трафик и очистила вредоносные пакеты, и примерно через 10 минут злоумышленники сдались.
Помимо оплаты услуг по предотвращению DDoS-атак от таких компаний, как Cloudflare и Akamai, вы можете использовать стандартные меры безопасности конечных точек. Исправьте свои серверы, отключите серверы Memcached от открытого Интернета и обучите пользователей распознавать фишинговые атаки.
Вы можете включить Black Hole Routing во время DDoS-атаки, чтобы отправить весь трафик в пропасть.Вы можете установить ограничение скорости, чтобы ограничить количество запросов, которые сервер получает за короткий промежуток времени. Правильно настроенный брандмауэр также может защитить ваши серверы.
Varonis контролирует ваши DNS, VPN, прокси-серверы и данные, чтобы помочь обнаружить признаки надвигающейся DDoS-атаки на вашу корпоративную сеть. Varonis отслеживает модели поведения и генерирует предупреждения, когда текущее поведение соответствует модели угрозы или отклоняется от стандартного поведения. Это может включать атаки вредоносных ботнетов или значительное увеличение сетевого трафика, указывающее на DDoS-атаку.
DDoS-атак сегодня
Как и все остальное в вычислительной технике, DDoS-атаки развиваются и становятся все более разрушительными для бизнеса. Размеры атак увеличиваются: со 150 запросов в секунду в 1990-х годах — что привело бы к упадку серверов той эпохи — до недавних атак DYNDNS и GitHub с объемом 1,2 ТБ и 1,35 ТБ соответственно. Целью обеих этих атак было подорвать два основных источника производительности по всему миру.
В этих атаках использовались новые методы для достижения огромной пропускной способности.Атака Dyn использовала эксплойт, обнаруженный в устройствах Интернета вещей (IoT), для создания ботнета, который называется атакой Mirai Botnet. Mirai использовала открытые порты Telnet и пароли по умолчанию, чтобы захватить камеры с поддержкой WiFi для выполнения атаки. Эта атака была детской шуткой, но представляла собой серьезную уязвимость, которая связана с распространением устройств IoT.
Атака GitHub использовала многие тысячи серверов, на которых запущена Memcached в открытом Интернете, система кэширования памяти с открытым исходным кодом.Memcached с радостью отвечает огромными объемами данных на простые запросы, поэтому оставлять эти серверы в открытом Интернете категорически запрещено.
Обе эти атаки показывают значительный риск будущих эксплойтов, особенно по мере того, как вселенная Интернета вещей продолжает расти. Насколько весело было бы, если бы ваш холодильник стал частью ботнета? С другой стороны, атака даже не остановила GitHub.
Более того, выполнение DDoS-атак никогда не было таким простым. Имея несколько доступных вариантов DDoS-as-a-Service, злоумышленники могут заплатить символическую плату за «аренду» ботнета зараженных компьютеров для выполнения DDoS-атаки против выбранной ими цели.
В сентябре 2019 года злоумышленники поразили как Википедию, так и классический World of Warcraft с помощью DDoS-атак. В настоящее время нет никаких признаков того, что эти атаки являются новой технологией, но следите за обновлениями.
Часто задаваемые вопросы о DDoS-атаках
Краткий обзор ответов на часто задаваемые вопросы о DDoS-атаках.
Q: Что происходит во время DDoS-атаки?
A: Во время DDoS-атаки распределенные компьютеры — ботнет — спамят цель с максимально возможным количеством запросов данных.
Q: Являются ли DDoS-атаки незаконными?
A: Да, незаконно использовать методы DDoS для нарушения работы цели без разрешения. Рекомендуется организовать тренировку по DDoS-атакам, чтобы вы могли практиковать свой план реагирования на инциденты для DDoS-атак, которые являются законным использованием DDoS.
Q: Какой канал связи обычно используется при DDoS-атаке?
A: Запросы HTTP, DNS и TCP / IP — распространенные протоколы, используемые для DDoS-атак.
DDoS-атаки
могут быть разрушительными, поэтому используйте упреждающий подход и создайте план реагирования на инциденты, чтобы быстро реагировать.Уникальное сочетание возможностей мониторинга и обнаружения угроз Varonis дает вам преимущество в реализации стратегии DDoS.
Посетите веб-семинар Live Cyber Attack Demo, чтобы увидеть Varonis в действии.
Глоссарий по DDoS-атакам: общие типы DDoS-атак, о которых следует знать
Что такое DDoS-атака
Атака типа «отказ в обслуживании» (DoS) или распределенного отказа в обслуживании (DDoS) происходит, когда одна или несколько скомпрометированных (т. обслуживания или вызвать полное отключение службы.
Отказ в обслуживании (DoS) и распределенный отказ в обслуживании (DDoS) десятилетиями преследовали коммерческие и корпоративные сети. С точки зрения ущерба сетевой инфраструктуре, непрерывности обслуживания и бизнесу репутации, DoS / DDoS-атаки стали одними из самых успешных на сегодняшний день кибератак. В Справочнике по DDoS-атакам Allot описаны наиболее распространенные атаки и их последствия для сетевых активов CSP и бизнеса. Для Каждая атака, реальные истории успеха клиентов демонстрируют, как решение Allot DDoS Protection на базе Allot DDoS Secure помогает операторам связи и предприятиям создать высокоэффективную первую линию защиты от киберпространства. угрозы.
Чтобы узнать больше о типах DDoS-атак, см. Наше Руководство по DDoS-атакам — Щелкните здесь, чтобы загрузить копию.
Просмотр в алфавитном порядке:
ACK Flood (или ACK-PUSH Flood)
При ACK или ACK-PUSH Flood злоумышленники отправляют поддельные пакеты ACK (или ACK-PUSH) с очень высокой скоростью передачи пакетов. Другими словами, они подтверждают запросы сеанса, которые никогда не отправлялись и не существуют. Пакеты, которые не принадлежат ни одному существующему сеансу на брандмауэре жертвы или какому-либо устройству безопасности на пути, генерируют ненужный поиск в таблицах состояний.Эта дополнительная нагрузка истощает системные ресурсы.
Прочтите, как Allot помогает интернет-провайдеру в Северной Америке остановить наводнение ACK.
Расширенный DNS-флуд
Расширенный DNS-флуд — это DNS-атака на стероиды! Он использует преимущества инфраструктуры открытого рекурсивного DNS-сервера, чтобы перегружать поддельную целевую жертву большими объемами трафика. Злоумышленник отправляет небольшие DNS-запросы с поддельным IP-адресом, чтобы открыть DNS-преобразователи в Интернете. Преобразователи DNS отвечают на поддельный IP-адрес с ответами, которые намного превышают размер запроса.Все отраженные / усиленные ответы возвращаются, чтобы затопить DNS-сервер (-ы) жертвы, и большинство DDoS-атак обычно их убирает.
Прочтите, как Allot помогает VOO предотвращать наводнения Amplified DNS.
CHARGEN Reflective Flood
Зарядное устройство Reflective Flood
CHARGEN Атаки отражения используют протокол генерации символов, изначально разработанный для устранения неполадок, который позволяет отправлять случайное количество символов. Злоумышленник отправляет десятки тысяч запросов CHARGEN, используя бот-сети, в одну или несколько общедоступных систем, предлагающих услугу CHARGEN.
Прочтите, как Allot помог остановить атаки CHARGEN Reflective Flood.
Атака отражения CLDAP
Атака отражения CLDAP использует облегченный протокол доступа к каталогам без установления соединения (CLDAP), который является эффективной альтернативой запросам LDAP через UDP. Злоумышленник отправляет запрос CLDAP на сервер LDAP с поддельным IP-адресом отправителя (IP-адресом цели). Сервер отвечает громоздким ответом на IP-адрес цели, вызывая атаку отражения. Машина жертвы не может одновременно обрабатывать огромное количество данных CLDAP.
Прочтите, как Allot помог MSSP в Австралии остановить атаки CLSAP Reflection.
DNS флуд
DNS Flood отправляет поддельные DNS-запросы с высокой скоростью передачи пакетов и из широкого диапазона исходных IP-адресов в целевую сеть. Поскольку запросы кажутся действительными, DNS-серверы жертвы отвечают на все поддельные запросы, и их пропускная способность может быть перегружена из-за большого количества запросов.
Узнайте, как Allot помогает национальному оператору широкополосной связи в Африке остановить наводнения DNS.
HTTP / S Flood
HTTP (и его зашифрованная форма HTTPS) — это транспортный протокол для интернет-запросов через браузер, обычно используемый для загрузки веб-страниц или для отправки содержимого форм через Интернет. При атаке HTTP / S-флуда злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки веб-службы или приложения. В этих атаках часто используются многие бот-сети, например, зараженные устройства Интернета вещей.
Прочтите, как Allot помог остановить атаки HTTP / S Flood.
Атака ботнета Интернета вещей
Ботнеты
IoT создаются, когда хакеры заражают многочисленные устройства, подключенные к Интернету (IoT), и вербуют их для запуска крупномасштабных DDoS-атак, скорость которых измеряется терабитами в секунду! Эти атаки трудно обнаружить и смягчить, потому что они используют тактику «ударил и убегал», которая исходит из множества векторов Интернета вещей, распределенных во многих местах — часто по всему миру.
Прочтите, как Allot остановил DDoS-атаки Интернета вещей, основанные на Mirai.
Атака с усилением LDAP
Атаки с усилением LDAP используют протокол облегченного доступа к каталогам (LDAP), который используется Microsoft Active Directory и миллионами организаций для проверки информации об имени пользователя и пароле и разрешения доступа к приложениям. Злоумышленник отправляет небольшие запросы общедоступному уязвимому серверу LDAP с открытым TCP-портом 389, чтобы произвести большие (усиленные) ответы, отраженные на целевом сервере.
Узнайте, как Allot помогает MSSP в Австралии предотвращать атаки LDAP Amplification.
Усиление NTP
В расширении NTP (Network Time Protocol) злоумышленник использует поддельный IP-адрес инфраструктуры NTP жертвы и отправляет небольшие запросы NTP на серверы в Интернете, что приводит к очень большому количеству ответов NTP. Поскольку злоумышленники подделывают инфраструктуру NTP жертвы, все отраженные / усиленные ответы перетекают на сервер NTP жертвы.
Прочтите, как Allot помогает VOO бороться с атаками NTP Amplification.
Пинг Флуд
При эхо-потоке злоумышленник с высокой скоростью отправляет поддельные пакеты эхо-запроса ICMP (эхо-запросы) из случайных диапазонов исходных IP-адресов или с использованием IP-адреса жертвы. Большинство устройств в сети по умолчанию отвечают на эхо-запрос, отправляя ответ на исходный IP-адрес.
Узнайте, как Allot помогает BVU бороться с UDP-наводнениями.
RST / FIN Наводнение
В TCP пакет FIN говорит: «Мы закончили разговор, пожалуйста, подтвердите» и ожидает ответа ACK.В пакете RST говорится: «Сеанс завершен», и соединение сбрасывается без подтверждения. При RST / FIN Flood злоумышленники отправляют большое количество поддельных пакетов RST или FIN, пытаясь использовать ресурсы цели.
Прочтите, как Allot помогает оператору Tier-1 в LATAM бороться с атаками RST / FIN Flood.
Атака отраженного усиления SNMP
Атаки с отраженным усилением SNMP используют простой протокол управления сетью (SNMP), используемый для настройки и сбора информации с сетевых устройств, таких как серверы, коммутаторы, маршрутизаторы и принтеры.Подобно другим атакам с отражением, злоумышленник использует SNMP для запуска потока ответов на цель. Злоумышленник отправляет большое количество запросов SNMP с поддельным IP-адресом (адресом цели) многочисленным подключенным устройствам, которые, в свою очередь, отвечают на этот поддельный адрес.
Прочтите, как Allot помог остановить атаку SNMP Reflected Amplification.
SSDP Атака отраженного усиления
Simple Service Discovery Protocol (SSDP) — это сетевой протокол, который позволяет устройствам Universal Plug and Play (UPnP) отправлять и получать информацию с использованием UDP на порт 1900.Уязвимые устройства, такие как домашние маршрутизаторы, межсетевые экраны, принтеры, точки доступа и т.п., отвечают пакетами UPnP «ответа», отправленными на поддельный IP-адрес сети жертвы, подавляя ее.
Прочтите, как Allot помогает MSSP в Австралии предотвращать атаки SSDP.
SYN Flood
SYN Flood, часто генерируемый ботнетами, предназначен для потребления ресурсов сервера-жертвы, таких как межсетевые экраны или другие элементы защиты периметра, в попытке преодолеть их ограничения мощности и вывести их из строя.Цель получает SYN-пакеты с очень высокой скоростью, которые быстро заполняют ее таблицу состояний соединения, что приводит к отключениям, отбрасыванию допустимых пакетов трафика или, что еще хуже, к перезагрузке элемента.
Прочтите, как Allot помогает поставщику услуг уровня 1 в Северной Америке бороться с атаками SYN Flood.
TOS Flood
В потоке TOS (тип обслуживания) злоумышленники подделывают поле «TOS» в заголовке IP-пакета, которое используется для флагов явного уведомления о перегрузке (ECN) и дифференцированных услуг (DiffServ).Есть два известных типа сценариев атаки TOS. В первом случае злоумышленник подделывает флаг ECN, что снижает пропускную способность отдельных подключений, тем самым обеспечивая защиту от DDoS-атак Allot, в результате чего сервер перестает работать или не отвечает. Во втором случае злоумышленник использует флаги класса DiffServ в поле TOS, чтобы повысить приоритет атакующего трафика над легитимным, чтобы усилить влияние DDoS-атаки.
Прочтите, как Allot помогает оператору уровня 1 в LATAM бороться с атаками TOS Flood.
Цунами SYN Flood
Атака SYN-лавинной рассылкой — это лавинная рассылка нескольких сообщений TCP SYN с запросом на установление соединения между исходной системой и целевой системой, заполнение ее таблицы состояний и исчерпание ее ресурсов. Атака цунами SYN flood представляет собой лавину SYN-пакетов, содержащих около 1000 байт в пакете, в отличие от небольшого объема данных, который обычно содержится в обычном SYN-пакете.
Прочтите, как Allot помог остановить атаки цунами SYN Floods.
UDP Наводнение
При UDP Flood злоумышленники отправляют небольшие поддельные UDP-пакеты с высокой скоростью на случайные порты в системе жертвы, используя большой диапазон исходных IP-адресов.Это потребляет важные ресурсы сетевых элементов в сети жертвы, которые перегружены большим количеством входящих пакетов UDP.
Узнайте, как Allot помогает BVU бороться с UDP-наводнениями.
UDP Фрагментация
UDP Фрагментационные атаки отправляют большие UDP-пакеты (1500+ байтов), которые потребляют больше пропускной способности сети. Поскольку фрагментированные пакеты обычно не могут быть повторно собраны, они потребляют значительные ресурсы на устройствах с отслеживанием состояния, таких как межсетевые экраны на пути трафика.
Прочтите, как Allot помогает VOO бороться с атаками фрагментации UDP.
Узнайте больше о решениях для защиты и предотвращения DDoS-атак для CSP и предприятий.
Что такое DDoS-атака: типы, предотвращение и устранение
Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда группа систем наводняет сервер мошенническим трафиком. В конце концов, сервер перегружен, что приводит к тому, что он либо выключается, либо перестает отвечать даже на легитимные запросы.
С начала 2020 года по 2021 год количество DDoS-атак выросло на 341%. Это главным образом связано с тем, что пандемия вынудила многие компании перейти на цифровые технологии, что, естественно, сделало их более уязвимыми для кибератак.
DDoS-атаки — одна из самых страшных кибератак, и не зря. Хорошо проведенную DDoS-атаку практически невозможно предотвратить, но очень сложно остановить. Они могут запуститься в любой момент и вывести из строя серверы даже самых продвинутых ИТ-компаний.В 2018 году GitHub подвергся крупнейшей на тот момент DDoS-атаке, в результате которой на их серверы ежесекундно поступало более 120 миллионов пакетов данных.
Независимо от масштаба атаки основная тема всегда одна и та же. Бомбардируйте сервер большим количеством запросов, чем он может обработать. Продолжайте делать это, пока он не выйдет из строя или не перестанет отвечать. На устранение сбоев в обслуживании могут уйти часы, что приводит к огромным финансовым потерям.
Анатомия DDoS-атаки
Вместо того чтобы углубляться в технические детали, давайте рассмотрим аналогию.Предположим, у вас есть закусочная с гамбургерами на вынос. Клиенты размещают заказы по телефону и забирают их, когда они будут готовы. Однажды шутник делает несколько звонков к вам и заказывает в общей сложности 100 гамбургеров.
Этого достаточно, чтобы занять всех ваших поваров, и вы перестанете принимать новые заказы. Однако шутник никогда не берет гамбургеры. Мало того, что все ваши ресурсы были потрачены впустую на оформление поддельных заказов, вы также не могли обслуживать реальных клиентов.
Это может раздражать, но это легко предотвратить, поскольку все ложные приказы размещает всего один человек.Можно просто заблокировать их количество, и проблема решена. Такая же ситуация может произойти на сервере. Один злонамеренный клиент может отправлять на сервер тонны фальшивых запросов, ограничивая его способность отвечать реальным пользователям.
Но, как и в нашем примере, обнаружить одного фальшивого клиента несложно; сервер может просто блокировать все входящие от него запросы. Этот тип атаки известен как атака отказа в обслуживании (DoS), предшественник современных DDoS-атак.
А теперь предположим, что вас зовут несколько шутников.Ваш стационарный телефон никогда не перестает звонить, и отличить настоящего клиента от поддельного практически невозможно. Вы также не можете просто заблокировать номера, так как некоторые из них могут принадлежать реальным клиентам. Вся ваша операция парализована. Это именно то, что происходит, когда сервер подвергается DDoS-атаке. Хакеры заставляют фальшивый трафик, поступающий с нескольких машин, выглядеть как настоящий, и сервер / сеть / веб-сайт неизбежно ломаются.
Почему случаются DDoS-атаки?
Некоторые из основных причин DDoS-атак: — Выкуп: Злоумышленники обычно требуют выкуп после проведения DDoS-атак.Однако иногда записка о выкупе с угрозой нападения также может быть отправлена заранее. — Хактивизм: DDoS-атаки также используются для выражения мнения. Хактивисты могут провести DDoS-атаку, чтобы продемонстрировать свою поддержку или несогласие с регулирующим органом, лицом или компанией. — Конкуренция: Опрос 2017 года показал, что более 40% компаний, пострадавших от DDoS-атаки, обвиняют в этом своих конкурентов. Это кажется еще более правдоподобным, учитывая, что теперь вы можете купить недельную DDoS-атаку всего за 150 долларов.
Типы DDoS-атак
Несмотря на то, что конечной целью DDoS-атаки всегда является подавление системы, способы ее достижения могут различаться. Ниже представлены три основных типа DDoS-атак.
1. Атаки на уровне приложений
На прикладном уровне сервер генерирует ответ на входящий клиентский запрос. Например, если пользователь вводит http://www.xyz.com/learning/ в своем браузере, на сервер отправляется HTTP-запрос, запрашивающий страницу обучения .Сервер получит всю информацию, относящуюся к странице, упакует ее в ответ и отправит обратно в браузер.
Получение и упаковка этой информации происходит на уровне приложения. Атака на уровне приложений происходит, когда хакер использует разных ботов / машин для многократного запроса одного и того же ресурса с сервера, в конечном итоге подавляя его.
Наиболее распространенным типом атак на уровне приложений являются атаки HTTP-флуда, при которых злоумышленники просто продолжают отправлять различные HTTP-запросы на сервер, используя разные IP-адреса.Одним из примеров этого является запрос к серверу на создание PDF-документов снова и снова. Поскольку IP-адрес и другие идентификаторы меняются при каждом запросе, сервер не может обнаружить, что он подвергается атаке.
2. Протокол атаки
Атаки по протоколу
направлены на исчерпание ресурсов сервера или его сетевых систем, таких как межсетевые экраны, механизмы маршрутизации или балансировщики нагрузки. Примером атаки протокола является атака SYN flood.
Прежде чем два компьютера смогут инициировать безопасный канал связи, они должны выполнить квитирование TCP.Рукопожатие TCP — это средство обмена предварительной информацией между двумя сторонами. Пакет SYN обычно является первым шагом установления связи TCP, указывающим серверу, что клиент хочет запустить новый канал.
При атаке SYN-флуда злоумышленник наводняет сервер многочисленными SYN-пакетами, каждый из которых содержит поддельные IP-адреса. Сервер отвечает на каждый пакет (через SYN-ACK), запрашивая у клиента завершение рукопожатия. Однако клиент (ы) никогда не отвечает, и сервер продолжает ждать.В конце концов, он вылетает после слишком долгого ожидания слишком большого количества ответов.
3. Объемные атаки
Объемные атаки проводятся путем бомбардировки сервера таким объемом трафика, что его пропускная способность полностью исчерпывается. Наиболее распространенный пример объемной атаки — это атака с усилением DNS.
В такой атаке злоумышленник отправляет запросы на DNS-сервер, используя поддельный IP-адрес цели. Затем DNS-сервер отправляет свой ответ целевому серверу.Когда это делается в большом масштабе, поток ответов DNS может нанести серьезный ущерб целевому серверу.
Остановка продолжающейся DDoS-атаки
Чтобы остановить DDoS-атаку, необходимо знать наиболее распространенные симптомы.
Обычные симптомы DDoS
Большой объем трафика от клиентов с одинаковыми или похожими характеристиками. Например. тип устройства, тип / версия браузера, IP-адрес или диапазон IP-адресов, местоположение и т. д.
Экспоненциальный неожиданный рост трафика на одной конечной точке / сервере.
Сервер постоянно запускает сбои без причины.
Ваш веб-сайт слишком долго отвечает на запросы.
Реагирование на DDoS-атаку
После того, как вы определили DDoS-атаку, важно действовать быстро, поскольку это дает вам возможность предотвратить серьезные простои. Если вы будете ждать слишком долго, ваш сервер может начать давать сбой, а полное восстановление может занять несколько часов.
Самая сложная часть предотвращения DDoS-атаки состоит в том, что часто практически невозможно сделать это, не повлияв на легитимный трафик.Это связано с тем, что злоумышленники идут на все, чтобы выдать поддельный трафик за настоящий. С учетом сказанного, вот несколько способов ответить:
Фильтрация черной дыры: Просмотрите входящий трафик и определите критерий ограничения. Используйте этот критерий, чтобы направить вредоносный трафик в черную дыру, по существу отбрасывая его.
Трансляция: Распределите трафик между несколькими серверами, увеличивая вашу емкость и уменьшая вероятность того, что отдельные серверы будут перегружены.
Блокировка IP-адресов: Если вы замечаете неожиданно высокий трафик из того же диапазона IP-адресов, заблокируйте их.
Подлежит ли уведомление о нарушении?
Согласно GDPR, вы должны уведомить Управление комиссара по информации (ICO), если ваше нарушение представляет риск для прав и свобод людей. Если вы считаете риск маловероятным, вы не обязаны сообщать о нем. Однако, если вы решите не сообщать о нарушении, вам следует задокументировать свое решение, так как позже вас могут попросить его обосновать.
Предотвращение DDoS-атаки
Остановить активную DDoS-атаку может быть сложно и может повлиять на ваших законных пользователей. Вот почему так важно использовать упреждающий подход. В дополнение к превентивным мерам, упомянутым ниже, вам также следует создать план реагирования на аварийные DDoS-инциденты, поскольку даже самые лучшие средства защиты иногда могут поддаться изощренным атакам.
Анализ пакетов в реальном времени: Анализируйте пакеты на основе различных правил, когда они входят в вашу систему, отбрасывая потенциально вредоносные.
Система защиты от DDoS-атак (DDS): DDS может обнаруживать легитимно выглядящий контент со злым умыслом. Он защищает как от протокольных, так и от объемных атак, не требуя вмешательства человека.
Брандмауэр веб-приложений: Брандмауэры веб-приложений (WAF) — отличный инструмент для смягчения DDoS-атак на уровне приложений. Они дают вам возможность фильтровать входящие запросы на основе различных правил, которые также могут быть добавлены на лету в ответ на атаку.
Ограничение скорости: Ограничение количества запросов, которые сервер может обрабатывать в течение определенного периода времени.
DDoS-атаки: что это такое?
Вы постоянно видите, что они упоминаются в новостях. Количество DoS- и DDoS-атак растет, и с каждым годом они становятся все более изощренными и интенсивными. Правительство США обвинило Иран в проведении продолжительной серии DDoS-атак против веб-сайтов Bank of America и других финансовых учреждений, предположительно в качестве возмездия за экономические санкции, введенные против Ирана за его ядерную программу.Недавно вымогатели совершили DDoS-атаки на банки в Греции и Швеции. Итак, что такое DoS- и DDoS-атаки?
DoS означает «отказ в обслуживании» и относится к атаке, которая перегружает систему данными — чаще всего поток одновременных запросов, отправляемых на веб-сайт для просмотра его страниц, что приводит к сбою веб-сервера или его просто неработоспособности. поскольку он изо всех сил пытается ответить на большее количество запросов, чем может обработать. В результате законные пользователи, которые пытаются получить доступ к веб-сайту, контролируемому сервером, не могут этого сделать.Существуют и другие типы DoS-атак, которые используют другую тактику, но все они имеют одинаковый эффект: предотвращение доступа законных пользователей к системе или сайту.
Простые DoS-атаки, выполняемые с одной машины, в наши дни — редкость. Вместо этого они были вытеснены DDoS-атаками, распределенными атаками типа «отказ в обслуживании», которые исходят со многих компьютеров, распределенных через Интернет, иногда сотен или тысяч систем одновременно. Атакующие машины обычно не инициируют атаку самостоятельно, а являются скомпрометированными машинами, которые являются частью ботнета, контролируемого хакерами, которые используют машины как армию для нацеливания на веб-сайт или систему.Поскольку эти атаки исходят от тысяч компьютеров одновременно, с ними может быть сложно бороться, просто блокируя трафик с машин, особенно когда злоумышленники подделывают IP-адрес атакующих компьютеров, что затрудняет фильтрацию трафика защитникам на основе IP-адресов.
Злоумышленники запускают DDoS-атаки по разным причинам. Хактивисты использовали их, чтобы выразить недовольство целями — например, когда члены Anonymous начали атаки на сайты PayPal, Visa и MasterCard в 2011 году после того, как поставщики платежных услуг отказались обрабатывать финансовые пожертвования, предназначенные для WikiLeaks.
В 2013 году спамеры, по-видимому, предприняли серьезную атаку на сайт борьбы со спамом Spamhaus, после того как этот сайт добавил голландскую хостинговую компанию Cyberbunker в свой черный список спама. Spamhaus предоставляет провайдерам электронной почты черные списки, чтобы помочь им отфильтровать спам, рассылаемый известными спамерами. Кибербункер попал в список, потому что его обвинили в предоставлении услуг хостинга спамерам. Сообщается, что на пике атаки на серверы Spamhaus было затоплено 75 гигабит трафика в секунду.
Индустрия онлайн-игр также несколько лет страдает от DDoS-атак, в которых виноваты недовольные игроки и даже конкуренты.Например, ряд сервисов DDoS-for-найма откроют веб-сайт конкурента для любой компании, которая хочет их нанять.
Некоторые DDoS-атаки проводятся в политических целях. Самыми известными из них были DDoS-атаки, нацеленные на Эстонию и Грузию. В 2007 году из-за дорожного движения правительственные сайты и средства массовой информации в Эстонии были отключены от сети, а позже это было связано с российскими националистами, которые были недовольны решением Эстонии перенести советский военный памятник в Таллинне из центра города на военное кладбище.
В 2008 году веб-сайты в Грузии подверглись DDoS-атакам за несколько недель до вторжения российских войск в Южную Осетию, что побудило Грузию и другие страны обвинить Россию в цифровых атаках.
В последнее время DDoS-атаки использовались как преступный метод вымогательства. Несколько провайдеров зашифрованной электронной почты, таких как ProtonMail и Hushmail, а также банки в Швеции и Греции, подверглись DDoS-атакам после того, как отказались заплатить «выкуп», который требовали злоумышленники, чтобы не атаковать их веб-сайты.
DDoS | Что такое DDoS-атака?
Значение DDoS: что такое DDos?
DDoS означает распределенный отказ в обслуживании. Этот тип атаки включает отправку большого количества трафика из нескольких источников на службу или веб-сайт с намерением перегрузить его. Огромный приток трафика сразу может заблокировать все ресурсы сайта и тем самым лишить доступа законных пользователей.
Это DDoS или распределенный отказ в обслуживании, злонамеренная сетевая атака, при которой хакеры вынуждают множество подключенных к Интернету устройств отправлять запросы сетевой связи одной конкретной службе или веб-сайту с намерением подавить их ложным трафиком или запросами.Это приводит к связыванию всех доступных ресурсов для обработки этих запросов и сбоям веб-сервера или его отвлечению настолько, что обычные пользователи не могут создать соединение между своими системами и сервером.
Веб-сайты
иногда «падают» из-за входящего потока законного трафика, например, когда выпускается долгожданный продукт, и миллионы людей сразу же заходят на сайт, пытаясь его купить. DDoS-атаки пытаются сделать то же самое.
DoS против DDoS
DoS означает отказ в обслуживании.Разница между DoS- и DDoS-атаками заключается в том, используется ли в атаке один компьютер или атака отправляется из нескольких источников. Источники могут включать традиционные компьютеры, а также устройства, подключенные к Интернету, которые были задействованы как часть ботнета.
Как работают DDoS-атаки
Поскольку для DDoS-атак требуется, чтобы трафик шел из многих источников, они часто проводятся с использованием ботнетов. Это похоже на армию компьютеров-зомби, которые выполняют приказы злоумышленников. Злоумышленники используют то, что мы называем DDoSTool, для порабощения компьютеров и создания своей армии.Эта зомби-сеть ботов (ботнет) взаимодействует с сервером управления и контроля (C&C), ожидая команд от злоумышленника, который запускает ботнет. В случае DDoS-атаки десятки тысяч или даже миллионы ботов могут работать одновременно, отправляя большие объемы сетевого трафика в направлении целевого сервера. Обычно, но не всегда, исходный заражающий DDoSTool не пытается украсть данные или иным образом нанести вред хосту. Вместо этого он бездействует, пока не будет вызван для участия в DDoS-атаке.
Инструменты DDoS
Чтобы создать ботнет, злоумышленникам необходимо внедрить DDoSTool в вашу систему. С этой целью киберпреступники используют целый набор уловок, чтобы поработить ваш ПК, Mac, Android, iPhone или конечную точку компании в своем ботнете. Вот несколько распространенных способов, которыми они это делают:
Вложение электронной почты. В момент принятия неверного решения вы нажимаете либо вложение, либо ссылку на веб-сайт, который контролируется злоумышленником и на котором размещено вредоносное ПО, которое он отправляет вам.
Ваша социальная сеть или приложение для обмена сообщениями.Как и электронные письма, они могут содержать ссылки, по которым злоумышленники хотят, чтобы вы нажали снова, чтобы инициировать загрузку DDoSTool.
Попутные загрузки или мошенничество с кликами. Если вы просматриваете законный, хотя и зараженный, веб-сайт, вам даже не нужно ничего нажимать, чтобы вредоносная реклама загрузила вредоносное ПО ботнета. Или вы становитесь жертвой всплывающего окна, в котором отображается «срочное» сообщение, предлагающее загрузить некоторую якобы необходимую антивирусную защиту (это вредоносное ПО).
После того, как заражение DDoSTool пустит корни, ваш компьютер, по-видимому, не изменится, хотя есть некоторые характерные признаки.Ваш компьютер мог заметно замедлиться. Вы получаете случайные сообщения об ошибках или ваш вентилятор загадочно увеличивает обороты, даже когда вы находитесь в режиме ожидания. Независимо от того, проявляются ли на нем эти признаки или нет, зараженное устройство периодически проверяется на сервере управления ботнетом (C&C) до тех пор, пока киберпреступник, запускающий ботнет, не выдаст команду вашему устройству (вместе со всеми другими ботами) на подъем и атаковать конкретную цель.
Почему злоумышленники проводят DDoS-атаки?
Мотивы атак на веб-сайт или сервис различаются.Хактивисты будут использовать DDoS, чтобы сделать политическое заявление против организации или правительства. Есть преступники, которые делают это, чтобы удерживать коммерческий веб-сайт в заложниках, пока не получат выкуп. Недобросовестные конкуренты использовали DDoS для грязной игры против компаний-конкурентов. Иногда DDoS также является стратегией, чтобы отвлечь администраторов веб-сайтов, позволяя злоумышленнику внедрять другие вредоносные программы, такие как рекламное ПО, шпионское ПО, программы-вымогатели или даже устаревшие вирусы.
Как предотвратить участие в ботнете?
Чтобы не стать невольным и невольным участником DDoS-атак, подпитываемых ботнетами, соблюдайте те же правила компьютерной гигиены для предотвращения всех заражений вредоносными программами: обновляйте свою операционную систему и приложения и не переходите по неизвестным ссылкам и неожиданным вложениям.
И, конечно же, постоянная кибербезопасность в режиме реального времени является неотъемлемой частью защиты от загрузок DDoSTool и всех других связанных вредоносных программ. Независимо от того, какое устройство и платформу вы используете, от Windows, Mac и Chromebook до Android, iPhone и бизнес-сред, программы кибербезопасности Malwarebytes защищают пользователей от объектов, обнаруженных как DDoSTool.
Могут ли происходить DDoS-атаки на Android?
Поскольку смартфоны в основном представляют собой портативные карманные компьютеры, в сочетании с тем фактом, что их используется около двух миллиардов, они обеспечивают обширный вектор атаки DDoS на ходу.Они обладают вычислительной мощностью, памятью и емкостью, что делает их привлекательной целью для хакеров, особенно потому, что пользователи телефонов редко защищают свои устройства защитой от вредоносных программ. Как и пользователи ПК, пользователи смартфонов так же подвержены фишингу по электронной почте и SMS.
Что касается векторов заражения, характерных для смартфонов, предположительно законные приложения, найденные на рынке загрузок, часто становятся местом охоты для злоумышленников, которые тайно загрузили приложения с помощью вредоносного DDoSTool.Фактически, именно так в августе 2018 года была обнаружена массовая DDoS-атака на Android-устройства, когда ботнет, получивший название WireX, поразил цели в различных отраслях, включая гостиничный бизнес, азартные игры и регистраторов доменных имен. Оказалось, что до 300 вредоносных приложений для Android проникли в Google Play (который компания удалила после того, как узнала об угрозе), кооптировав устройства в ботнет более чем в 100 странах.
История DDoS
Согласно Википедии, первая демонстрация DDoS-атаки была сделана хакером Khan C.Смит в 1997 году во время мероприятия DEF CON, нарушив доступ к Интернету на Лас-Вегас-Стрип более чем на час. Выпуск образца кода во время мероприятия привел к онлайн-атаке Sprint, EarthLink, E-Trade и других крупных корпораций в следующем году.
В начале 2000 года канадский хакер-подросток Майкл Кальс повысил ставки DDoS и произвел большое впечатление на бизнес-сообщество, остановив Yahoo! с помощью DDoS-атак — подвиг, который он повторил на неделе, за которым последовало нарушение работы других крупных сайтов, таких как Amazon, CNN и eBay.
Общий порог усилий, который требуется хакеру для организации DDoS-атаки, только снизился с учетом сообщений о том, что кибергруппы сдают в аренду ботнеты всего за 10 долларов в час.
Наконец, когда мы вступили в эру Интернета вещей (IoT), почти любое подключенное к Интернету устройство, такое как смартфоны, камеры видеонаблюдения, маршрутизаторы и принтеры, можно подключить к ботнету для еще большего воздействия DDoS.
Новости DDoS
Как DDoS-атаки влияют на бизнес?
Очевидно, что компания или розничный коммерческий веб-сайт должны серьезно относиться к угрозам DDoS.А в 2018 году было несколько огромных.
Как пишет эксперт Malwarebytes Питер Арнц: «В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно, от небольшой неприятности до чего-то, что может нарушить ваш поток доходов и нанести ему постоянный ущерб. DDoS-атака может нанести ущерб некоторым онлайн-предприятиям на период времени, достаточный для того, чтобы значительно их отбросить, или даже полностью вывести их из бизнеса на время атаки и некоторое время после нее. В зависимости от типа атаки могут иметь место — намеренные или непреднамеренные — побочные эффекты, которые могут еще больше навредить вашему бизнесу.”
Побочные эффекты DDoS-атаки включают:
Разочарованные пользователи, которые могут никогда не вернуться
Потеря данных
Упущенная выгода
Возмещение убытков
Потерянное рабочее время / производительность
Ущерб репутации бизнеса
«В зависимости от типа и размера вашей организации, DDoS-атака может быть чем угодно, от небольшой неприятности до чего-то, что может нарушить ваш поток доходов и нанести ему непоправимый ущерб.»
Питер Арнц
Исследователь вредоносного ПО
Как остановить DDoS-атаки?
Для предприятий лучшее решение — заранее спланировать DDoS-атаки, используя либо постоянный тип защиты, либо четкие протоколы, которым ваша организация будет следовать при атаке.
Например, вместо того, чтобы отключать клиентов, онлайн-бизнес может продолжать разрешать пользователям использовать сайт как можно чаще, даже во время атаки. Ваш бизнес также может переключиться на альтернативную систему для работы.
Компании, которые уязвимы для угроз, связанных с мобильными телефонами, должны убедиться, что частные устройства, подключенные к корпоративной сети, имеют утвержденное решение мобильной безопасности для защиты от инфекций (а также средства предотвращения установки неавторизованных приложений). И ИТ-отдел должен проявлять бдительность в обнаружении и перехвате любых злонамеренных сообщений, отправляемых на серверы и серверы DDoS.
Что касается внутренней безопасности, есть несколько рекомендаций, которым вы должны следовать:
Не храните пароли, написанные на стикерах на столе или мониторе
Смена паролей на IoT-устройствах
Заблокируйте компьютер при выходе
Выход в конце дня
Никому не сообщайте свои учетные данные
В последнем случае, если абсолютно необходимо поделиться информацией для входа в систему, убедитесь, что она отправляется по зашифрованным каналам.

Какие бывают DDoS-атаки и почему защищаться сложнее из

Категории DDoS-атак и их опасность

Атаки на уровне приложений

Атаки на уровне протокола

Объемные атаки

Защищаться становится сложнее

Виды DDoS-атак и способы защиты от них — Джино • Журнал

Атаки уровня инфраструктуры

Атаки транспортного уровня

Атаки уровня приложений

DNS-атаки

Как узнать о DDOS-атаке

Как защититься от DDoS-атак

Защита сервера

Защита DNS

Запомнить

Что такое DoS и DDoS атаки: классификация и защита

Классификация DoS-атак

Защита от DoS-атак

Перспективные DDoS-атаки: о чём нужно знать и как готовиться?

Классификация DDoS-атак

Volumetric attacks

Protocol attacks

Application layer attacks

Самые перспективные типы DDoS-атак

DNS reflected Amplification

Generated UDP Flood

HTTP GET/POST Flood

Burst attack (Hit-and-run)

SYN Flood

Slowloris

Как защититься от DDoS атак: 3 составляющих безопасности системы

Проверенное решение для защиты от DDoS

DDoS Response Plan

Регулярный Healthcheck системы и устранение уязвимостей приложения

ТОП способов защиты от DDoS-атак

Оглавление:

Принцип действия

Против кого осуществляются DDoS-атаки

Классификация DDoS-атак

Способы защиты от DDoS-атак

Что такое DDoS-атака. Защита от Ddos атаки. Профессиональный хостинг Hostland

Что такое DDoS-атака.

Резкий прирост трафика.

DDoS атака.

DDoS-атаки (Distributed Denial of Service)

Классификация DDoS-атак

Объект воздействия

Источник DDoS-атак

Анализ риска

Что такое DDoS-атака?

Создание потенциала

Запуск атак

Продажа тишины

Изучение данных

Типы атак

Что такое DDoS-атака? Объяснение распределенных атак типа «отказ в обслуживании»

Что такое распределенная атака типа «отказ в обслуживании» (DDoS)?

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

Как работает DDoS-атака?

В чем разница между DoS-атакой и DDoS-атакой?

Что означает DDoS-атака для моей безопасности?

Распространенные типы DDoS-атак

Атаки на уровне приложений

Протокол атак

Объемные атаки

Как предотвратить DDoS-атаки?

DDoS-атак сегодня

Часто задаваемые вопросы о DDoS-атаках

Q: Что происходит во время DDoS-атаки?

Q: Являются ли DDoS-атаки незаконными?

Q: Какой канал связи обычно используется при DDoS-атаке?

Глоссарий по DDoS-атакам: общие типы DDoS-атак, о которых следует знать

Что такое DDoS-атака

ACK Flood (или ACK-PUSH Flood)

Расширенный DNS-флуд

CHARGEN Reflective Flood

Атака отражения CLDAP

DNS флуд