Как положить сайт ddos атакой: Что такое DDoS-атаки, и как защитить от них свой сайт?

Что такое DDoS-атаки, и как защитить от них свой сайт?

Уменьшение зон, доступных для атаки

Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.

План масштабирования

Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.

Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.

Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.

Сведения о типичном и нетипичном трафике

Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.

Развертывание брандмауэров для отражения сложных атак уровня приложений

Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.

Атаки на сайты

Атаки на сайты — совершение противоправных действий, направленных на получение конкурентных преимуществ путем взлома, заражения вредоносным кодом, блокирования доступа (с дальнейшем требованием выкупа), кражи конфиденциальных данных, вывода из строя программного обеспечения, в отношении сетевых ресурсов (веб-сайтов).

Веб-сайт — это информационный актив и вид собственности. Он может подвергаться атакам злоумышленников с самыми разными целями. Сайт всегда на виду, всегда должен быть доступен, и это делает его крайне уязвимым.

Способы атак на сайты

На первом этапе киберпреступник изучает ресурс на предмет уязвимостей. Они, в свою очередь, бывают нескольких типов.

Уязвимости кода сайта появляются ввиду ошибок или недостаточной проработки вопросов безопасности со стороны программистов, создающих ядро и расширения сайта. При наличии подобных изъянов злоумышленник может внедрить свой код в исполняемые сценарии, запросы к базе данных (SQL-инъекции) или почтовому серверу сайта (email-инъекции), либо в страницу, которую пользователь открывает в своем браузере, с целью кражи его личных данных, включая пароли (межсайтовый скриптинг).

Ошибки в настройке прав пользователей проявляются по-разному.Распространенной ошибкой можно назвать слабые пароли. Они по-прежнему встречаются сплошь и рядом, хотя о правилах составления надежных паролей написаны тысячи статей. Злоумышленнику достаточно подобрать брутфорсом хотя бы одно из кодовых слов.

Бекдоры в сторонних модулях и расширениях также позволяют проводить атаки на сайты. Очень редко весь код сайта пишется с нуля, гораздо чаще используются одна из существующих CMS (систем управления контентом), а также различные модули и расширения, добавляющие нужную функциональность. Часть из них распространяется бесплатно, за другие просят деньги. Взломав такое платное расширение, злоумышленник добавляет в него шелл-код, открывающий доступ к сайту или веб-серверу, и предлагает для скачивания уже бесплатно.

Наконец, уязвимым может быть и хостинг-провайдер. Часто десятки и сотни сайтов размещаются на одном сервере, и если он настроен неправильно, то киберпреступник сможет получить доступ ко всем этим многочисленным ресурсам.

Наличие любого типа уязвимости веб-сайта приводит к атакам, целью которых в большинстве случаев становится полный несанкционированный доступ к содержимому сайта. Получение доступа зависит от характера уязвимости — например, при SQL-инъекции путем различных запросов к базе данных извлекают логины и пароли всех пользователей, включая администратора.

Имея же права администратора, с зараженным сайтом можно делать что угодно. Иногда злоумышленники не вмешиваются в нормальную работу, ограничиваясь кражей клиентской базы и данных пользователей, а в других случаях они уничтожают или подменяют содержимое либо дополняют функциональность согласно собственным нуждам — размещают рекламные баннеры, ссылки на распространяющие запрещенную информацию ресурсы или фишинговые сайты, сценарии для межсайтовой подделки запроса, когда от лица пользователя, зашедшего на страницу и имеющего аккаунт на другом ресурсе (к примеру, в электронной платежной системе), делается запрос на перевод денег преступнику.

Отчасти особняком стоят получившие широкую известность и распространенность DDoS-атаки. Их цель — не внедриться в систему, подменить контент или украсть чужие данные, а сделать сайт недоступным на некоторое время. После этого владельцев сайта, как правило, шантажируют, вымогая у них деньги за остановку атаки. Осуществляется DDoS-атака одновременной посылкой запросов с множества компьютеров ботнета. Перегружая сервер потоком бессмысленных сообщений, атакующий делает его недоступным для обычных посетителей.

Какие сайты атакуют?

Интернет-сайты на популярных CMS взламывают массово с целью заражения через типовые уязвимости.

Что же касается DDoS-атак, то их делают по заказу, и здесь есть конкретные группы риска. Например, очень часто атакуют бизнес, который зависит от интернета, так что любой инцидент простоя приводит к убыткам. Злоумышленники начинают атаку и предлагают владельцу откупиться.  

По статистике, чаще всего подвергаются нападениям:

• купонные сервисы,
• платежные системы,
• информационные агрегаторы,
• электронная коммерция,
• игры и игровые площадки.

Веб-страницы банков и электронных платежных систем взламывают с целью кражи денег; сайты коммерческих компаний атакуют ради клиентской базы и создания проблем конкуренту, либо ради шантажа, требуя деньги за возобновление нормальной работы; сайты правительственных органов и общественных организаций атакуются идеологическими противниками.

Анализ угроз для сайтов 

Основным источником угрозы для сайта является его собственный код, написанный небрежно, с ошибками, без учета строгих правил безопасности, вкупе с использованием устаревших либо скачанных с пиратских сайтов модулей, расширений и плагинов.

Другая серьезная проблема — неправильное администрирование. Предоставляя пользователям излишне широкие права, позволяя им загружать на сайт файлы без должной проверки, администратор фактически открывает ворота для всевозможных троянов, бэкдоров и прочих экземпляров вредоносного кода.

Третий источник опасности — плохие пароли.

Наконец, еще одна, не связанная напрямую с созданием и работой сайта угроза — содержимое как таковое. Например, движущей силой многих DDoS-атак является месть. От таких нападений не спасает самый идеальный код и надежное администрирование — атака целиком и полностью идет извне.

Сделать сайт стопроцентно устойчивым к любым атакам нереально. Можно лишь усложнить преступникам достижение их целей. В конце концов, атака на сайт требует времени и денег, и если предполагаемая выгода или ущерб противника окажется меньше затрат на попытку взлома, то злоумышленник переключится на более привлекательную цель.

Как не допустить атаку на сайт?

Следует использовать при создании сайта лишь надежные, проверенные ядра, а если заказывается свой «движок», то нужно поручать его написание команде опытных профессионалов. При использовании готовых систем управления контентом необходимо регулярно их обновлять — большинство обновлений предназначено как раз для устранения очередной выявленной уязвимости. Нельзя использовать старые и уж тем более необновляемые CMS — изъяны в их безопасности никем не закрываются и хорошо известны хакерам, которые не замедлят ими воспользоваться.

То же самое касается любых приложений и расширений. Бесплатные — скачивать только с официальных сайтов разработчиков и своевременно обновлять, платные — либо честно покупать, либо отказаться от их использования. За условно-бесплатное скачивание с пиратского сайта в конечном счете придется заплатить намного больше, когда понадобится восстанавливать как содержимое, так и репутацию в глазах поисковых систем, которые игнорируют сайты, содержащие нерелевантные ссылки и распространяющие зараженные файлы.

Необходимо четко разграничить права разных категорий пользователей. Никто не должен иметь больше возможностей, чем необходимо.

Пароли для администраторов и привилегированных групп пользователей должны быть сложными.

Желательно использовать различные программы и утилиты, повышающие безопасность. Неплохо также проверить сайт специальными программами поиска уязвимостей, либо, если надежность важна и финансы позволяют, поручить задачу профессионалам.

Защита от DDoS-атак (по крайней мере, низкой и средней мощности) осуществляется размещением сайта на серверах с высокой пропускной способностью. Также используются анализ и фильтрование трафика с блокировкой IP-адресов атакующих машин. В случае же мощных атак зачастую остается лишь переждать, пока они прекратятся. Заказчики DDoS-атак редко располагают собственными ресурсами для их проведения и вынуждены платить хакерам — владельцам ботнетов (сетей зараженных компьютеров, с которых и ведется атака). Соответственно, мощная атака стоит немалых денег и редко длится дольше нескольких дней. Другим вариантом является приобретение специальных средств для защиты от отказа в обслуживании. Чтобы снизить вероятность DDoS-атак, не стоит размещать контент, оскорбительный для больших групп людей или влиятельных структур, способных отомстить.

Наконец, полезно регулярно выполнять резервное копирование сайта, чтобы в случае серьезных проблем быстро его восстановить.

 

что это такое, их виды. Способы остановить и предотвратить DDoS-атаку

Что такое DDoS-атака

Атаки типа «отказ в обслуживании» DoS (Denial of Service) – это перегрузка сети паразитным трафиком (т.н. флуд), когда на атакуемый ресурс отправляется большое количество злонамеренных запросов, из-за чего полностью «забиваются» все каналы сервера или вся полоса пропускания входного маршрутизатора. При этом передать легитимный трафик на сервер становится невозможно. Запросов может быть так много, что сервер не успевает их обрабатывать и переходит в режим «отказа в обслуживании». На жаргоне специалистов это называется «положить сервер».

Если такая атака ведется не от одного компьютера, а от многих, то такая атака называется распределенной атакой DDoS (Distributed DoS).

Схема DDoS-атаки

Виды DDoS-атак

Атаки 3-4 уровня OSI

Это атаки на сетевом и транспортном уровнях. Злоумышленники «забивают» каналы передачи большим количеством передаваемых пакетов. Канал не может справиться с нагрузкой и выдает ошибку «отказ в доступе». DDoS-атаки могут использовать недостатки сетевых протоколов, перегружая сервер, в результате чего сервер перестает отвечать на запросы.

Атаки 7 уровня OSI

Атаки на уровне приложений потребляют не только сетевые ресурсы, но и ресурсы сервера. Сервер не выдерживает нагрузку, что приводит к его недоступности. Атака при этом направлена непосредственно на операционную систему или приложение с целью вынудить их превысить лимит вычислительной мощности сервера. При этом атакам подвергаются конкретные приложения, сервисы и службы. Атаки могут продолжаться длительное время (несколько часов или дней).

Типы DDoS-атак

• HTTP-флуд: самый простой вид запросов, например, при помощи HTTP-заголовка пакета, который указывает запрашиваемый ресурс сервера. Злоумышленник может использовать сколько угодно заголовков, придавая им нужные свойства. При DDoS-атаке HTTP-заголовки могут изменяться, делая их труднораспознаваемыми для выявления атаки. Кроме того, HTTP-запросы атаки могут передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. При этом «защищенность» идет атакующему только на пользу: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. То есть расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву, что приводит к исчерпанию его вычислительной мощности.
• SYN-флуд (TCP/SYN): устанавливает полуоткрытые соединения с узлом. Когда сервер-жертва принимает SYN-пакет синхронизации через открытый порт, он должен послать в ответ на сервер-источник запроса пакет подтверждения SYN-ACK и открыть соединение. После этого запроса сервер-источник должен послать на сервер пакет подтверждения ACK, однако злоумышленник не посылает это подтверждение. Соединения остаются полуоткрытыми до истечения тайм-аута. Очередь на подключение на атакуемом сервере переполняется и новые клиенты не могут установить соединение с сервером.
• MAC-флуд: злоумышленник посылает поток пустых фреймов Ethernet с разными MAC-адресами в каждом. Коммутаторы сети рассматривают каждый MAC-адрес в отдельности и резервируют ресурсы под каждый из них. Когда вся память коммутатора использована, он либо перестает отвечать, либо останавливает работу. Иногда атака MAC-флудом может удалять таблицы маршрутизации на узлах сети, таким образом нарушая работу всей сети, а не только одного сервера.
• Ping of Death: мастер-бот Ping of Death посылает злонамеренные пинг-запросы через различные IP-протоколы на атакуемый сервер, что приводит к его перегрузке. В настоящее время такие атаки редки. Пропускная способность сетей значительно повысилась, а для таких атак нужно много ресурсов – зараженных ботов.
• Smurf Attack: разновидность Ping of Death. Этот вид атаки использует протокол Интернет (IP) и протокол управляющих сообщений ICMP (Internet Control Message Protocol), на которых работает зловредная программа Smurf. Она подменяет IP-адрес атакующего и пингует IP-адреса в корпоративной сети, оставляя на них полуоткрытые соединения.
• Fraggle Attack: использует большие объемы трафика UDP на вещательной сети маршрутизатора. Эта атака работает аналогично Smurf-атаке, но вместо протокола ICMP использует вещательный протокол UDP.
• Slowloris. Атака Slowloris направлена на веб-сервер. Атакующий сервер подключается к целевому серверу и оставляет это подключение полуоткрытым настолько долго, насколько это возможно, а затем размножает эти полуоткрытые соединения. Закрытие таких соединений атакуемым сервером по таймауту происходит медленнее, чем установка новых соединений. Противодействовать этой атаке довольно сложно, поскольку сложно отследить источник атаки.
• NTP-усиление. Атака использует серверы протокола сетевого времени NTP (Network Time Protocol), который используется для синхронизации компьютерных часов в сети. Цель атаки – перегрузка трафиком UDP. При этой атаке атакуемый сервер отвечает, посылая UDP-трафик на подмененный злоумышленником IP-адрес. «Усиление» означает, что объем ответного UDP-трафика много больше запроса. Поэтому сеть быстро перегружается бесполезным трафиком, а ее узлы останавливают работу.
• Pulse Wave. Главная опасность пульсирующих атак Pulse wave заключается в методике периодических всплесков трафика. Обычная DDoS-атака выглядит как постепенно нарастающий поток вредоносного трафика. Pulse wave представляет собой серию коротких, но мощных импульсов, происходящих с определенной периодичностью.

Пульсирующий трафик атаки Pulse wave (источник: ddos-guard.net)

• APDoS. Усовершенствованная повторяющаяся DoS-атака APDoS (Advanced Persistent DoS) нацелена на нанесение максимального вреда атакуемому серверу. Он использует механизмы HTTP-флуда, SYN-флуда и других видов атак. При этом посылаются миллионы запросов в секунду. Такая атака может длиться неделями, поскольку злоумышленник все время меняет тактику атаки, типы атаки, чтобы обмануть средства противодействия атакуемой стороны.

Как остановить DDoS-атаку

Для противодействия случившейся DDoS-атаке необходимо принять следующие меры:

1. Как можно раньше идентифицировать DDoS-атаку. Чем скорее распознан факт атаки, а также ее источник, тем раньше ее можно остановить и минимизировать ущерб. Для этого полезно иметь профиль входящего трафика – какой объем и какого трафика откуда идет. При этом, если происходят отклонение от это этого профиля, это событие может быть автоматически распознано и могут быть приняты превентивные меры. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, поэтому полезно иметь возможность распознать, вызваны ли эти всплески внезапной активностью легитимных пользователей, либо это начало DDoS-атаки.

Например, 6 сентября 2019 года около 21:00 по московскому времени у многих пользователей в Европе и мире перестали открываться сайты Википедии и Викимедии, а средства контроля доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго. Около полуночи того же дня германский сайт Викимедиа сообщил в Твиттере о масштабной DDoS-атаке на свои серверы, которая с перерывами продолжалась до 5:40 утра следующего дня. Источником атаки была ранее неизвестная хакерская группа UkDrillas, которая проводила «натурные испытания» своих методик и средств, а сайт Википедии был выбран ими в качестве «подопытного кролика».

График сетевого трафика при DDoS-атаке на кластер серверов Викимедиа в г. Ашберн (шт. Вирджиния, США), достигавшего почти 3 Гбит/с (источник: ru.wikinews.org)

2. Однократное выделение серверу полосы пропускания «с запасом». Чем шире полоса у веб-сервера, тем обычно лучше. Таким образом сервер может выдерживать резкие и неожиданные всплески трафика, которые могут быть, например, результатом рекламной кампании. Но даже если заложить запас в 100 %, или 500 %, это вряд ли спасет от DDoS-атаки. Однако это может дать некоторое время на распознавание источника и типа атаки и принятие мер до того, как сервер «ляжет» полностью.
3. Защита периметра сети. Есть несколько технических мер, которые можно предпринять для частичного ограничения эффекта атаки. Многие из них довольно просты и требуют лишь регулировки сетевых настроек. Например:

• Ограничить скорости маршрутизатора, чтобы предотвратить остановку сервера.
• Установить фильтры на маршрутизаторе для сброса пакетов от распознанного источника атаки.
• Установить таймаут на полуоткрытые соединения (от которых в течение времени таймаута не получен подтверждающий ответ источника запроса).
• Сбрасывать пакеты с подмененными IP-адресами и вообще пакеты необычной структуры.
• Установить более низкие пороги сброса для SYN-, ICMP-, и UDP-флуда.

Однако все эти меры хорошо известны и хакерам, и они изобретают все новые способы атак и увеличивают их интенсивность. Но все же эти меры помогут выиграть время на распознавание атаки и принятие мер до наступления фатальной ситуации.

Шансы на предотвращение DDoS-атаки значительно увеличиваются, если веб-сервер расположен в дата-центре, а не в корпоративной сети предприятия. В дата-центрах обычно и входная полоса шире, и имеются мощные маршрутизаторы, которые не всякая организация может себе позволить, а также и персонал имеет больше опыта в предотвращении атак. По крайней мере, другие серверы организации (email, VoIP и пр.) не подвергнутся воздействию атаки.

4. Обратиться к специалисту по DDoS-атакам. Есть специальные компании, которые специализируются на оказании экстренной помощи организациям, ставшим объектом DDoS-атаки. У таких компаний есть разнообразные технологии и средства, чтобы обеспечить работоспособность сервера под DDoS-атакой.

Работа услуги предотвращения DDoS-атак, предоставляемая хостинг-провайдером (источник: ИКС медиа)

5. Создать инструкцию по действиям в случае DDoS—атаки. В такой инструкции могут быть в доступной форме расписаны действия персонала по предотвращению случившейся DDoS-атаки.

Как предотвратить DDoS-атаку

1. Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
2. Резервировать ИТ-инфраструктуру. Чтобы максимально усложнить хакерам задачу DDoS-атаки на сервер, лучше распределить виртуальную серверную инфраструктуру по нескольким дата-центрам с использованием хорошей системы балансировки, которая распределяет трафик между ними. При возможности эти дата-центры должны быть в разных областях и округах страны (или даже в разных странах). Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точке. Таким образом, хакеру, в лучшем случае, удастся атаковать лишь часть серверной инфраструктуры, а остальные части инфраструктуры смогут взять на себя дополнительный трафик или его долю.
3. Конфигурировать сетевое оборудования так, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
4. Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
5. Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
6. Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.

Заключение

Можно сказать, что не существует какой-то «волшебной таблетки», универсального средства, которые дадут возможность забыть о DDoS-атаках. Хакеры-злоумышленники – народ злобно-изощренный, и они не только изобретают все новые виды, методы и средства DDoS-атак, но также и тщательно изучают доступные на рынке средства противодействия им. Здесь весьма уместна присказка про «болт с резьбой», весьма популярная в среде хакеров.

Какие бы и сколько бы средств какой угодно мощности вы ни установите на свою сеть, это не даст гарантии того, что вы не станете жертвой DDoS-атаки. Поэтому защите от DDoS-атак необходимо постоянно уделять самое пристальное внимание. Не следует ограничиваться только установкой программно-аппаратных средств защиты. Необходимо также проводить образовательную работу среди инженерного персонала.

DDoS Guard: защита хостинга от DDoS-атак | hosting anti ddos

DDoS-атака — это распределенная атака на центральный сервер многочисленным количеством одновременных запросов данных. Такие атаки способны парализовать работу интернет-ресурса и, как следствие, работу компании. Под ударом любой, у кого есть представительство в сети: СМИ, банки, медицинские и государственные учреждения, интернет-магазины и другие отрасли бизнеса. Самостоятельно отразить DDoS-атаку невозможно. Поэтому лучше воспользоваться сервисом DDoS-GUARD, чтобы защитить свой сервис от злоумышленников.

Заказать защищённый хостинг

Какие решения предоставляет провайдер защиты DDoS-GUARD

DDoS-GUARD предоставляет комплексные решения для защиты и ускорения сайтов. Для защиты сервисов компания использует фильтры, которые анализируют проходящий трафик и выявляют аномальную активность. Например, количество входящих запросов. Так как обычный пользователь в большинстве случаев совершает от 1 до 100 запросов в минуту, его легко отличить от злоумышленника.

Как происходит защита сети

Компания DDoS-GUARD использует технологию обратного прокси. Это позволяет перенаправить атаку на защищенный IP-адрес. После чего весь входящий трафик сканируется и очищается от всех аномальных запросов. Такая организация защиты сети способна выдержать атаку более 1.5 Tbps, что обеспечит бесперебойную работу ваших ресурсов 24/7. DDoS-GUARD постоянно модифицирует алгоритмы фильтрации, увеличивает емкость каналов и добавляет вычислительные ресурсы в кластеры обработки трафика. Если хотите, обеспечить своим сайтам максимальную стабильность, то мы советуем обратить внимание на услуги провайдера защиты DDoS-GUARD.

Преимущества DDoS-GUARD перед другими поставщиками защиты

• Геораспределенная сеть с узлами фильтрации с пропускной способностью более 1.5 Tbps в Нидерландах, Китае, США, России и Казахстане
• Успешное отражение таких классов атак, как: IP malformed, ICMP flood, TCP SYN flood, TCP-malformed, ICMP smurf и других
• Интеллектуальная фильтрация
• Низкие задержки при обработке пакетов
• Круглосуточный мониторинг доступности сервисов

Какие типы атак можно отразить

DDoS-GUARD постоянно улучшает свои решения, чтобы защищать сайты клиентов от новых атак. Сейчас услуга защиты сайтов позволяет отражать 51 тип атак: FIN Flood, SYN-ACK Flood, атаки фрагментированными HTTP-пакетами, UDP Flood, RST, ICMP flood, IP malformed и другие.

Как заказать услугу

Компании из списка Fortune 500 каждый год тратят миллиарды долларов для собственной киберзащиты. DDoS-GUARD предлагает надежную защиту даже тем проектам, которые не имеют таких бюджетов. При заказе услуг в REG.RU вы получаете ее бесплатно: защита DDoS-GUARD подключается к услугам хостинга (Shared Hosting), виртуальных серверов (VPS) и выделенных физических серверов (Dedicated) автоматически для всех пользователей.

Как работает DDoS | Блог SSL.com.ua

DDoS-атаки проводят, когда хотят, чтобы сайт временно перестал работать или стал сильно тормозить. Это популярный способ парализовать работу онлайн-бизнеса: пока сайт недоступен, посетители уходят покупать к конкурентам или ждут, чтобы зайти к себе в аккаунт. В результате бизнес теряет деньги и репутацию. Разбираемся, как устроены DDoS-атаки и как от них защититься.

Что такое DDoS-атака

DDoS это частный случай DoS. Кратко введём в курс дела, если вы не знаете, что это.

DoS означает Denial of Service, по-русски — отказ в обслуживании. Это сетевая атака, в ходе которой злоумышленник пытается так сильно нагрузить сайт, чтобы он начал сильно тормозить или стал недоступен для обычных клиентов. Другими словами — атака, во время которой сайт должен «отказать в обслуживании».

А DDoS — это когда сайт атакуют не с одного устройства, а сразу с тысячи. Чем больше устройств, тем больше нагрузка на сервер и выше вероятность сделать сайт недоступным.

Участвовать в атаке могут быть любые устройства, которые подключаются к интернету и умеют отправлять запросы: смартфоны, смарт-часы, бытовая техника, хостинговые серверы.

Но найти и организовать тысячу желающих провести атаку трудно. Гораздо проще превратить компьютеры обычных людей в зомби и управлять ими издалека. Обычно это делают с помощью вирусов.

Такие вирусы не требуют ничего от пользователя и не выдают себя, поэтому владелец устройства может даже не подозревать, что участвует в атаке. Их могут встроить в программу для активации Windows, пиратскую копию игры или программы с торрентов, неофициальную прошивку для смартфона.

Как устроены атаки

Разновидностей DDoS-атак много, но условно они делятся на два типа: атаки на сетевую и программную часть сервера.

Во время атаки на сетевую часть злоумышленник пытается перегрузить канал связи сервера. Канал связи отвечает за объём данных, который сервер способен принять. Когда данных слишком много, сервер не успевает их обрабатывать и для части посетителей сайт перестаёт открываться.

Предположим, канал сервера может принять 1 Гб трафика или 10 000 пользователей одновременно. Задача злоумышленника — преодолеть этот барьер и делать это как можно дольше, чтобы реальные пользователи не могли прорваться на сайт.

Во время атаки на программную часть злоумышленник пытается исчерпать какой-то из ресурсов сервера: мощность процессора, оперативную память, допустимое количество процессов или подключений к базе данных. Когда какой-то из ресурсов заканчивается, сервер начинает тормозить или зависает.

Сервер использует какой-то из ресурсов каждый раз, когда посетитель совершает на сайте какое-то действие. Например, когда посетитель вводит детали входа в аккаунт, сервер проверяет их и отправляет в ответ следующую страницу или показывает ошибку.

Для ответа на разные запросы нужно разное количество ресурсов. Задача злоумышленника — найти запрос, на который сервер тратит максимум ресурсов, а потом закидать его им, пока тот не отключится.

Как устроить DDoS

Теоретически можно попытаться атаковать сайт в одиночку, но заставить сайт отказать в обслуживании будет сложно.

Шансы на успех будут только в случае атаки на программную часть сервера. Но для этого атакующий должен понимать, как устроен хостинг и приложения изнутри. Без этих знаний не получится найти запросы, которые требуют много ресурсов.

Атаку на сетевую часть сервера провести проще, но делать это в одиночку бессмысленно. Каналы связи большинства хостинг-провайдеров выдерживают намного больше трафика, чем способен сгенерировать один компьютер. Плюс грамотный системный администратор легко обнаружит мусорный трафик и отфильтрует его.

Более популярный вариант — заказать атаку в интернете. По запросу «заказать DDoS» Гугл показывает целую кучу сайтов, которые предлагают любые типы атак. Но стоить атака будет дорого. При этом непонятно, будет ли атака эффективной, гарантий никто не даёт.

Стоимость услуг на одном из сайтов

Зачем атакуют сайты

Недоступность сайта приносит онлайн-бизнесу убытки. Большинство людей не станет разбираться, почему сайт не открывается или загружается бесконечно. Проще закрыть его и поискать в другом интернет-магазине. Особенно в дни крупных акций вроде Чёрной пятницы, когда из-за нерасторопности можно остаться без скидки.

Атака может отразиться не только на выручке, но и на SEO. Если в момент недоступности сайта на какую-то из его страниц придёт поисковый бот, он исключит эту страницу из поисковой выдачи. Потому что поисковикам нет смысла показывать страницы, которые не работают.

Это не значит, что страница исчезнет из результатов поиска навсегда. Со временем бот вернётся на неё и проиндексирует снова, если в этот раз она будет доступна. Можно даже найти такие страницы и отправить на переиндексацию вручную, просто на это придётся потратить время. Особенно если на сайте сотни страниц.

Кроме конкурентов атаковать сайт могут вымогатели. Они связываются с владельца и требуют заплатить за прекращение атаки. Лучше, конечно, не платить, а связаться с хостинг-провайдеров и вместе с ними найти способ справиться с атакой.

Иногда случаются ситуации, когда сайт начинает тормозить или становится недоступен, хотя его не атакуют. Такое бывает, если сайт хранится на виртуальном хостинге. У пользователей такого хостинга есть общие ресурсы, поэтому если во время атаки какой-то из них полностью израсходуется, это затронет все сайты.

В таких ситуациях хостинг-провайдер может временно отключить сайт, который атакуют, чтобы не нарушать работу сайтов других клиентов.

Как защититься от DDoS-атаки

На сервере без защиты отразить грамотно спланированный DDoS будет сложно. На поиск решения нужно время, но если атака окажется достаточно мощной, сервер будет тормозить, а может и вообще зависнуть. Поэтому позаботиться о защите лучше заранее.

Защиту предоставляют специальные компании. Принцип её работы напоминает фильтр: сайт подключают к серверам провайдера защиты, после чего весь трафик сначала проходит через них, подозрительные запросы отсеиваются, а на сайт попадают только безопасные.

Базовая защита стоит $20 в месяц. Её можно купить у CloudFlare и DDoS-Guard. Она защитит только от самых распространённых видов атак. Такой вариант подойдёт небольшим сайтам, которых ещё не атаковали или атаки были слабыми.

Минус в том, что при атаке даже средней мощности такой защиты может не хватить и работа сайта всё равно нарушится.

Средняя защита стоит около $200 долларов в месяц. На неё можно перейти, если базовый тариф не подошёл. Такая защита спасёт от большинства видов атак и у вас будет больше возможностей настройки фильтров на стороне провайдера.

Даже если атака окажется мощной, защита возьмёт на себя большую часть нагрузки. Из-за этого сайт может оставаться работоспособным, хотя без защиты давно перестал бы открываться. Это даст системным администраторам возможность принять меры на своей стороне.

Полноценная защита от DDoS-атак любого типа и мощности стоит от $1000 в месяц. Её предоставляют крупные компании вроде DataDome или Sucuri. Стоимость может быть и выше, потому что её часто рассчитывают индивидуально, исходя из размера сайта.

Такая защита подойдёт, если сайт работает на нескольких выделенных серверах и в прошлом его уже доводили до отказа. Главное — оценить убытки от простоя. При регулярной недоступности они могут оказаться больше, чем стоимость защиты.

А какую защиту используете вы? Расскажите о своём опыте борьбы с DDoS-атаками в комментариях.

DDoS-атаки: типы атак и уровни модели OSI

Основополагающими концепциями кибер-безопасности являются доступность, целостность и конфиденциальность. Атаки «отказ в обслуживании» (DoS) влияют на доступность информационных ресурсов. Отказ в обслуживании считается успешным, если он привел к недоступности информационного ресурса. Успешность атаки и влияние на целевые ресурсы отличаются тем, что влияние наносит жертве урон. Например, если атакуется интернет-магазин, то длительный отказ в обслуживании может причинить финансовые убытки компании. В каждом конкретном случае DoS-активность может либо непосредственно причинить вред, либо создать угрозу и потенциальный риск нанесения убытков.

Первая D в DDoS означает distributed: распределённая атака типа «отказ в обслуживании». В этом случае речь идёт об огромной массе злонамеренных запросов, поступающих на сервер жертвы из множества разных мест. Обычно такие атаки организуются посредством бот-сетей.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.

Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

• HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
• HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

• HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
• HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.

DDoS-атаки возможны на каждом из семи уровней. Рассмотрим их подробнее.

7-й уровень OSI: Прикладной

Тип данных	Данные
Описание уровня	Начало создания пакетов данных. Присоединение и доступ к данным. Пользовательские протоколы, такие как FTP, SMTP, Telnet, RAS
Протоколы	FTP, HTTP, POP3, SMTP и шлюзы, которые их используют
Примеры технологий DoS	PDF GET запросы, HTTP GET, HTTP POST (формы веб-сайтов: логин, загрузка фото/видео, подтверждение обратной связи)
Последствия DDoS-атаки	Нехватка ресурсов. Чрезмерное потребление системных ресурсов службами на атакуемом сервере.

Что делать: Мониторинг приложений — систематический мониторинг ПО, использующий определенный набор алгоритмов, технологий и подходов (в зависимости от платформы, на котором это ПО используется) для выявления 0day-уязвимостей приложений (атаки 7 уровня). Идентифицировав такие атаки, их можно раз и навсегда остановить и отследить их источник. На данном слое это осуществляется наиболее просто.

 

6-й уровень OSI: Представительский

Тип данных	Данные
Описание уровня	Трансляция данных от источника получателю
Протоколы	Протоколы сжатия и кодирования данных (ASCII, EBCDIC)
Примеры технологий DoS	Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы
Последствия DDoS-атаки	Атакуемые системы могут перестать принимать SSL соединения или автоматически перегружаться

Что делать: Для уменьшения вреда обратите внимание на такие средства, как распределение шифрующей SSL инфраструктуры (т.е. размещение SSL на отличном сервере, если это возможно) и проверка трафика приложений на предмет атак или нарушение политик на платформе приложений. Хорошая платформа гарантирует, что трафик шифруется и отправляется обратно начальной инфраструктуре с расшифрованным контентом, находившимся в защищенной памяти безопасного узла-бастиона.

 

5-й уровень OSI: Сеансовый

Тип данных	Данные
Описание уровня	Управление установкой и завершением соединения, синхронизацией сеансов связи в рамках операционной системы через сеть (например, когда вы выполняете вход/выход)
Протоколы	Протоколы входа/выхода (RPC, PAP)
Примеры технологий DoS	Атака на протокол Telnet использует слабые места программного обеспечения Telnet-сервера на свитче, делая сервер недоступным
Последствия DDoS-атаки	Делает невозможным для администратора управление свитчем

Что делать: Поддерживать прошивки аппаратного обеспечения в актуальном состоянии для уменьшения риска появления угрозы.

 

4-й уровень OSI: Транспортный

Тип данных	Сегменты
Описание уровня	Обеспечение безошибочной передачи информации между узлами, управление передачей сообщений с 1 по 3 уровень
Протоколы	Протоколы TCP, UDP
Примеры технологий DoS	SYN-флуд, Smurf-атака (атака ICMP-запросами с измененными адресами)
Последствия DDoS-атаки	Достижение пределов по ширине канала или по количеству допустимых подключений, нарушение работы сетевого оборудования

Что делать: Фильтрация DDoS-трафика, известная как blackholing — метод, часто используемый провайдерами для защиты клиентов (мы и сами используем этот метод). Однако этот подход делает сайт клиента недоступным как для трафика злоумышленника, так и для легального трафика пользователей. Тем не менее, блокировка доступа используется провайдерами в борьбе с DDoS-атаками для защиты клиентов от таких угроз, как замедление работы сетевого оборудования и отказ работы сервисов.

 

3-й уровень OSI: Сетевой

Тип данных	Пакеты
Описание уровня	Маршрутизация и передача информации между различными сетями
Протоколы	Протоколы IP, ICMP, ARP, RIP и роутеры, которые их используют
Примеры технологий DoS	ICMP-флуд — DDos-атаки на третьем уровне модели OSI, которые используют ICMP-сообщения для перегрузки пропускной способности целевой сети
Последствия DDoS-атаки	Снижение пропускной способности атакуемой сети и возможная перегруженность брандмауэра

Что делать: Ограничить количество обрабатываемых запросов по протоколу ICMP и сократить возможное влияние этого трафика на скорость работы Firewall и пропускную способность интернет-полосы.

 

2-й уровень OSI: Канальный

Тип данных	Кадры
Описание уровня	Установка и сопровождение передачи сообщений на физическом уровне
Протоколы	Протоколы 802.3, 802.5, а также контроллеры, точки доступа и мосты, которые их используют
Примеры технологий DoS	MAC-флуд — переполнение пакетами данных сетевых коммутаторов
Последствия DDoS-атаки	Потоки данных от отправителя получателю блокируют работу всех портов

Что делать: Многие современные свитчи могут быть настроены таким образом, что количество MAC адресов ограничивается надежными, которые проходят проверку аутентификации, авторизации и учета на сервере (протокол ААА) и в последствии фильтруются.

 

1-й уровень OSI: Физический

Тип данных	Биты
Описание уровня	Передача двоичных данных
Протоколы	Протоколы 100BaseT, 1000 Base-X, а также концентраторы, розетки и патч-панели, которые их используют
Примеры технологий DoS	Физическое разрушение, физическое препятствие работе или управлению физическими сетевыми активами
Последствия DDoS-атаки	Сетевое оборудование приходит в негодность и требует ремонта для возобновления работы

Что делать: использовать систематический подход к мониторингу работы физического сетевого оборудования.

 

Устранение крупномасштабных DoS/DDoS-атак

Хотя атака возможна на любом из уровней, особой популярностью пользуются атаки на 3-4 и 7 уровнях модели OSI.

• DDoS-атаки на 3-м и 4-м уровне — инфраструктурные атаки — типы атак, основанные на использовании большого объема, мощного потока данных (флуд) на уровне инфраструктуры сети и транспортном уровне с целью замедлить работу веб-сервера, «заполнить» канал, и в конечном счете помешать доступу других пользователей к ресурсу. Эти типы атак как правило включают ICMP-, SYN- и UDP-флуд.
• DDoS атака на 7-м уровне — атака, заключающаяся в перегрузке некоторых специфических элементов инфраструктуры сервера приложений. Атаки 7-го уровня особенно сложны, скрыты и трудны для выявления в силу их сходства с полезным веб-трафиком. Даже самые простенькие атаки 7-го уровня, например, попытка входа в систему под произвольным именем пользователя и паролем или повторяющийся произвольный поиск на динамических веб-страницах, могут критически загрузить CPU и базы данных. Также DDoS злоумышленники могут неоднократно изменять сигнатуры атак 7-го уровня, делая их еще более сложными для распознавания и устранения.

Устройство	Уровень	Оптимизирована для	DDoS-защита
Брандмауэр	4-7	Проверка потока, глубокая проверка	Экраны, ограничения сеанса, SYN cookie
Роутер	3-4	Пакетная проверка, фреймовая проверка	Линейные списки контроля доступа, ограничение скорости

Некоторые действия и оборудование для устранения атак:

• Брандмауэры с динамической проверкой пакетов
• Динамические механизмы SYN прокси
• Ограничение количества SYN-ов за секунду для каждого IP-адреса
• Ограничение количества SYN-ов за секунду для каждого удаленного IP-адреса
• Установка экранов ICMP флуда на брандмауэре
• Установка экранов UDP флуда на брандмауэре
• Ограничение скорости роутеров, примыкающих к брандмауэрам и сети

 

Как происходят DDoS атаки? | Лаборатория Касперского

Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все … и вызвать отказ в обслуживании.

Стандартные цели DDoS-атак:

• Сайты интернет-магазинов
• Онлайн-казино
• Компания или организация, работа которой связана с предоставлением онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:

• Существенное замедление время ответа на запросы.
• Отказ в обслуживании всех запросов пользователей или части из них.

Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.

Использование сети зомби-компьютеров для проведения DDoS-атак

Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.

Природа современных DDoS-угроз

В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:

• Полицейские расследования, которые привели к аресту преступников по всему миру
• Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам

Другие статьи и ссылки по теме «Распределенные сетевые атаки»

Распределенные сетевые атаки / DDoS

Kaspersky

DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.

Как делать DDoS-атаки, как этичный хакер

Вы только что приехали домой после долгого рабочего дня, настолько длинного, что уже наступила ночь. Вы немного бродите по темноте, включаете свет, берете два ломтика хлеба и кладете их в старую, скрипящий тостер. Ничего особенного, просто быстрый и грязный перекус, пока вы не разденетесь, не расслабитесь и не приготовите хорошее блюдо.

В тот момент, когда вы нажимаете кнопку поджаривания хлеба, вы слышите громкий хлопок, и все огни внезапно гаснут.

«Черт, взорвался предохранитель».

Поскольку тостер был неисправен, он затопил электрическую установку чрезмерным током, для работы с которым он не предназначен. При этом взорвался предохранитель, и установка остановилась.

Практически идентичный процесс имеет место при DDoS-атаках. Замените «электрический ток» на «информацию», а «установку» на термин «информационный процессор», и вы уже поняли основной принцип.

Что означает DDoS?

Атака DDoS — это сокращение от «Распределенный отказ в обслуживании» и является старшим братом более простых атак типа «отказ в обслуживании».

Целью этих упражнений является отключение веб-сайта или службы, обычно путем заливки большего количества информации, чем может обработать веб-сайт жертвы.

DoS-атаки обычно отправляют информацию только из одного источника (например, ПК или другие устройства, подключенные к Интернету), но DDoS-атака использует тысячи или сотни тысяч источников для наводнения своей цели. Это делает его на несколько порядков мощнее, чем его младший брат.

Измерение силы DDoS

Согласно исследованию , 82% атак длятся менее 4 часов.Что касается объема полосы пропускания, частота 34% составляет от 100 МБ до 1 ГБ, и только 5,3% превышают отметку в 10 ГБ / с.

Атака отказа в обслуживании со скоростью 1 ГБ / с достаточно сильна, чтобы уничтожить большинство веб-сайтов, поскольку их хостинг данных просто не предлагает достаточной пропускной способности, чтобы сайт оставался в сети.

Одной из самых масштабных из когда-либо зарегистрированных была атака ботнета Mirai осенью 2016 года со скоростью более 1 терабайта в секунду. Он перегрузил провайдера Dyn DNS, а затем эффект распространился каскадом, временно отключив основные веб-сайты, такие как Reddit или Twitter.

В настоящее время даже начинающие хакеры, которые даже не умеют кодировать, чтобы спасти свою жизнь (называемые скриптовыми детишками), имеют доступ к большим и мощным ботнетам по найму, которые могут наводнить цель со скоростью 100 ГБ / с. Угроза этого типа никуда не денется, даже наоборот. Напротив, он станет только более мощным и широко доступным, чем раньше.

Зачем это делать?

По сравнению с другими видами кибератак, DDoS-атаки беспорядочные, чрезмерно разрушительные и их очень сложно осуществить.Из-за этого они не имеют особого смысла с финансовой точки зрения.

Таким образом, киберпреступники могут использовать их как тупое оружие против некоторых из своих конкурентов. Например, они могут захотеть отключить сайт, на котором размещен инструмент кибербезопасности, или закрыть небольшой интернет-магазин, работающий в той же нише.

Heimdal ™ Threat Prevention Home гарантирует безопасность связи!

Ваши родители и друзья перейдут по любой подозрительной ссылке, поэтому убедитесь, что они защищены.

Heimdal ™ Threat Prevention Home предоставляет: Автоматические и бесшумные обновления программного обеспечения Умная защита от вредоносных программ Совместимость с любым традиционным антивирусом.

В других случаях злонамеренные хакеры используют их как форму вымогательства, когда жертва должна заплатить комиссию, чтобы отказ в обслуживании прекратился.

Кроме того, DDoS-атака может действовать как дымовая завеса, скрывая реальный финал, такой как заражение цели вредоносным ПО или извлечение конфиденциальных данных.

И в том, что представляет собой частый сценарий, у злоумышленника может даже не быть мотива. Вместо этого он просто «хихикает», пытаясь проверить свои способности или просто устроить хаос.

Как устроить DDoS-атаку в киберпреступном стиле

Существует несколько способов проведения атаки типа «отказ в обслуживании». Некоторые методы выполнить проще, чем другие, но они не так эффективны. В других случаях злоумышленник может захотеть сделать все возможное, чтобы действительно быть уверенным, что жертва получит сообщение, поэтому он может нанять специальный ботнет для проведения атаки.

Ботнеты

Ботнет — это набор компьютеров или других подключенных к Интернету устройств, которые были заражены вредоносным ПО и теперь реагируют на приказы и команды центрального компьютера, называемого центром управления и контроля.

У крупных ботнетов есть сеть из миллионов устройств, и большинство владельцев не подозревают, что их устройства взломаны.

Обычно ботнеты используются для самых разных незаконных действий, таких как рассылка спама, фишинг или добыча криптовалюты.

Некоторые из них, однако, можно арендовать по самой высокой цене, которая может использовать их так, как сочтет нужным. Часто это означает DDoS-атаку.

DDoS-программы и инструменты

Мелкие хакеры, не имеющие доступа к ботнетам, вынуждены полагаться на свои собственные компьютеры.Это означает использование специализированных инструментов, которые могут направлять интернет-трафик на определенную цель.

Конечно, объем трафика, который может отправить отдельный компьютер, невелик, но краудсорсинг нескольких сотен или тысяч пользователей, и масштабы этого внезапно увеличиваются.

Эта особая тактика была успешно использована Anonymous. Короче говоря, они обращаются к своим последователям с просьбой загрузить определенный инструмент и быть активными на досках сообщений, таких как IRC, в определенное время.Затем они одновременно атакуют целевой веб-сайт или службу, останавливая их.

Вот примерный список инструментов, которые злоумышленники используют для проведения атак типа «отказ в обслуживании»:

• Низкоорбитальная ионная пушка, сокращенно LOIC.
• XOIC.
• HULK (Король невыносимой нагрузки HTTP).
• DDOSIM — Симулятор DDoS-атак 7-го уровня
• R-U-Dead-Все же.
• Tor’s Hammer.

Как выполнить DDoS-атаку на IP с помощью cmd

Один из самых простых и элементарных методов отказа в обслуживании называется «пинг смерти» и использует командную строку для заполнения IP-адреса пакетами данных.

Из-за своего небольшого масштаба и основного характера, пинг смертельных атак обычно лучше всего работает против небольших целей. Например, злоумышленник может выбрать цель:

а) Один компьютер. Однако для того, чтобы это было успешным, злоумышленник должен сначала узнать IP-адрес устройства.

б) Беспроводной маршрутизатор. Заполнение маршрутизатора пакетами данных не позволит ему отправлять интернет-трафик на все другие подключенные к нему устройства. Фактически это отключает доступ в Интернет любого устройства, которое использовало маршрутизатор.

Чтобы запустить атаку типа «отказ в обслуживании», злоумышленник сначала должен узнать IP-адрес компьютера или устройства жертвы. Это относительно простая задача , однако .

Пинг смерти мал по масштабу и довольно прост, поэтому он наиболее эффективен против определенных устройств. Однако, если несколько компьютеров объединяются, небольшая часть из них может вывести из строя небольшой веб-сайт без надлежащей инфраструктуры для борьбы с этой угрозой.

Использование Google Spreadsheet для отправки бесчисленных запросов

Злоумышленник может использовать таблицы Google, чтобы постоянно запрашивать у веб-сайта жертвы изображение или PDF-файл, хранящийся в кеше. Используя сценарий, он создаст бесконечный цикл, в котором таблица Google постоянно просит веб-сайт получить изображение.

Это огромное количество запросов перегружает сайт и блокирует отправку исходящего трафика посетителям.

В отличие от других тактик отказа в обслуживании, эта не отправляет большие информационные пакеты для наводнения веб-сайта, а вместо этого выполняет запросы данных, которые намного, намного меньше.

Другими словами, злоумышленнику не нужно полагаться на крупный ботнет или тысячи других пользователей для достижения аналогичного эффекта.

Каплевидные атаки

В большинстве случаев информация, передаваемая между клиентским устройством и сервером, слишком велика для того, чтобы ее можно было отправить целиком. Из-за этого данные разбиваются на более мелкие пакеты, а затем снова собираются, когда они достигают сервера.

Сервер знает порядок сборки через параметр, называемый «смещение».Думайте об этом как об инструкциях по сборке игрушки LEGO.

Атака «слезинка» отправляет на сервер пакеты данных, которые не имеют смысла и имеют перекрывающиеся или неработающие параметры смещения. Сервер пытается, но терпит неудачу, упорядочить данные в соответствии с параметрами злонамеренного смещения. Это быстро потребляет доступные ресурсы, пока не остановится, а вместе с ним и веб-сайт.

Усиление DDoS-атаки

Чтобы максимизировать каждый байт данных, злоумышленники иногда усиливают поток, используя атаку отражения DNS.

Это многоэтапный процесс:

1. Злоумышленник принимает личность жертвы, подделывая ее IP-адрес.
2. Используя поддельную личность, он затем отправит бесчисленное количество DNS-запросов в открытый DNS-преобразователь.
3. DNS-преобразователь обрабатывает каждый запрос, а затем отправляет информацию обратно на устройство жертвы, у которого была украдена его личность. Однако пакеты информации, которые отправляет распознаватель DNS, намного больше, чем запросы, которые он получает.

Что происходит во время усиления, так это то, что каждый 1 байт информации становится 30 или 40 байтами, иногда даже больше.Увеличьте это еще больше, используя ботнет с несколькими тысячами компьютеров, и вы можете в конечном итоге отправить 100 гигабайт трафика на сайт.

Виды DDoS-атак

Атаки типа «отказ в обслуживании» делятся на две большие категории, в зависимости от их основного вектора атаки:

• Уровень приложения.
• Сетевой уровень.

Атаки на сетевом уровне

Атака на сетевом уровне работает путем переполнения инфраструктуры, используемой для размещения веб-сайта, огромными объемами данных.

Многие провайдеры в настоящее время заявляют, что они предлагают «неограниченную» полосу пропускания, что означает, что теоретически вам никогда не следует беспокоиться о чрезмерном объеме трафика, который приведет к остановке вашего сайта. Однако эта «неизмеряемая» полоса пропускания требует привязки.

Для сравнения: веб-сайту с примерно 15 000 просмотров страниц в месяц и сотнями страниц для оптимальной работы требуется около 50 гигабайт ежемесячной пропускной способности. Имейте в виду, что этот трафик широко рассредоточен в течение целого месяца.У такого сайта нет шансов остаться в сети, если DDoS-атака забьет его 30 или 40 гигабайтами трафика за час.

В качестве меры самозащиты хостинг-провайдер просто отключит вас от хостинга, пока трафик нормализуется. Хотя это может показаться холодным, это предотвращает побочные эффекты, которые могут повлиять на других клиентов хостинг-провайдера.

Сами атаки на сетевом уровне бывают разных форм и размеров. Вот несколько наиболее частых:

• SYN-атаки.SYN — это сокращение от «синхронизировать», и это сообщение, которое клиент (например, ПК) отправляет на сервер, чтобы они синхронизировались.
• DNS отражающий.
• Атаки с усилением UDP .

Положительная сторона этого вида атаки, если ее можно так назвать, заключается в том, что огромный объем трафика помогает жертвам определить, с каким типом отказа в обслуживании они сталкиваются.

Атака на уровне приложений

Атаки на уровне приложений носят гораздо более хирургический характер по сравнению с сетевыми.Они работают, ориентируясь на определенные программы или программное обеспечение, которые веб-сайт использует в своей повседневной работе.

Например, атака на уровне приложения будет нацелена на установку WordPress на сайте, сценарии PHP или обмен данными с базой данных.

Этот тип программного обеспечения не может справиться с нагрузкой на более широкую сетевую инфраструктуру, поэтому даже сравнительно небольшой DDoS в несколько мегабайт в секунду может его снять.

Типичным DDoS на уровне приложений является HTTP-флуд. Это работает путем злоупотребления одной из двух команд: POST или GET.Команда GET — это простая команда, которая восстанавливает статический контент, такой как сама веб-страница или изображение на ней.

Команда POST требует больших ресурсов, поскольку запускает сложные фоновые процессы, которые сильнее влияют на производительность сервера.

HTTP-флуд генерирует огромное количество запросов к внутреннему серверу, которые приложение не может обработать, поэтому оно затем отключается и уничтожает весь сайт вместе с ним.

Как вы обнаруживаете DDoS-атаку?

Проанализируйте трафик: всплеск использования или атака?

Пики трафика — частое явление, и на самом деле они могут быть достаточно большими, чтобы закрыть плохо подготовленные веб-сайты.Сайт, рассчитанный в среднем на 30-40 одновременных пользователей, будет испытывать нагрузку, если в результате всплеска их количество достигнет 600-700 пользователей одновременно.

Первым признаком DDoS-атаки является резкое снижение производительности сервера или полный сбой. 503 «Служба недоступна» должна начаться примерно в это время. Даже если сервер не дает сбоев и цепляется за жизнь, критические процессы, на выполнение которых раньше уходили секунды, теперь занимают минуты.

Источник

Wireshark — отличный инструмент, который поможет вам определить, является ли то, через что вы проходите, DDoS-атакой.Помимо множества функций, он отслеживает, какие IP-адреса подключаются к вашему ПК или серверу, а также сколько пакетов он отправляет.

Конечно, если злоумышленник использует VPN или ботнет, вы увидите целую группу IP-адресов вместо одного. Вот более подробное изложение о том, как использовать Wireshark, чтобы выяснить, ошиблись ли вы при отказе в обслуживании.

Microsoft Windows также поставляется с собственным инструментом Netstat, который показывает, какие устройства подключаются к вашему серверу, и другую подобную статистику.

Чтобы открыть инструмент, введите cmd в строке поиска меню «Пуск», а затем введите netstat –an . Это приведет вас к экрану, показывающему ваш собственный внутренний IP-адрес в левом столбце, а в правом столбце содержатся все внешние IP-адреса, подключенные к вашему устройству.

На скриншоте выше показано нормальное соединение. В нем вы можете увидеть несколько других IP-адресов, которые нормально обмениваются данными с устройством.

А вот как будет выглядеть DDoS-атака:

Источник

С правой стороны вы можете видеть, что один внешний IP-адрес неоднократно пытается подключиться к вашему собственному устройству.Хотя это не всегда свидетельствует о DDoS-атаке, это признак того, что происходит что-то подозрительное, и требует дальнейшего расследования.

Заключение

DDoS-атаки будут становиться все более частыми по мере того, как пройдет время, и «детишки-скрипты» получат доступ ко все более изощренным и дешевым методам атак. К счастью, атаки типа «отказ в обслуживании» длится недолго и, как правило, имеют кратковременный эффект. Конечно, это не всегда так, поэтому лучше быть готовым к худшему сценарию.

Простой способ защитить себя от вредоносных программ

Вот вам 1 месяц Heimdal ™ Threat Prevention Home, в доме!

Используйте его, чтобы: Блокируйте вредоносные веб-сайты и серверы от заражения вашего ПК Автоматически обновляйте программное обеспечение и закрывайте бреши в безопасности Храните свои финансовые и другие конфиденциальные данные в безопасности

Что такое DDOS-атака и как защитить ваш сайт от нее

Уменьшить площадь атаки

Одним из первых методов смягчения DDoS-атак является минимизация площади поверхности, которая может быть атакована, тем самым ограничивая возможности злоумышленников и позволяя создавать защиту в одном месте.Мы хотим убедиться, что мы не открываем наше приложение или ресурсы для портов, протоколов или приложений, откуда они не ожидают никакой связи. Таким образом, сводя к минимуму возможные точки атаки и позволяя нам сконцентрировать наши усилия по смягчению последствий. В некоторых случаях это можно сделать, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик определенными частями вашей инфраструктуры, например серверами баз данных. В других случаях вы можете использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик достигает ваших приложений.

Масштаб

Двумя ключевыми факторами предотвращения крупномасштабных объемных DDoS-атак являются пропускная способность (или транзит) и емкость сервера для поглощения и смягчения атак.

Пропускная способность. При разработке архитектуры приложений убедитесь, что ваш хостинг-провайдер предоставляет достаточные резервные возможности подключения к Интернету, которые позволяют обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак — повлиять на доступность ваших ресурсов / приложений, вы должны размещать их не только рядом с вашими конечными пользователями, но и на крупных интернет-биржах, которые предоставят вашим пользователям легкий доступ к вашему приложению даже при больших объемах. трафика.Кроме того, веб-приложения могут пойти еще дальше, используя сети распространения контента (CDN) и интеллектуальные службы разрешения DNS, которые обеспечивают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые часто находятся ближе к вашим конечным пользователям.

Вместимость сервера. Большинство DDoS-атак являются объемными атаками, которые используют много ресурсов; поэтому важно, чтобы вы могли быстро увеличивать или уменьшать свои вычислительные ресурсы.Вы можете сделать это, запустив вычислительные ресурсы большего размера или ресурсы с такими функциями, как расширенные сетевые интерфейсы или улучшенная сеть, поддерживающая большие объемы. Кроме того, также часто используются балансировщики нагрузки для постоянного мониторинга и переключения нагрузок между ресурсами, чтобы предотвратить перегрузку какого-либо одного ресурса.

Знайте, что такое нормальный и ненормальный трафик

Всякий раз, когда мы обнаруживаем повышенные уровни трафика, попадающего на хост, основная цель — иметь возможность принимать только столько трафика, сколько наш хост может обработать, не влияя на доступность.Эта концепция называется ограничением скорости. Более продвинутые методы защиты могут пойти еще дальше и разумно принимать только законный трафик, анализируя сами отдельные пакеты. Для этого вам необходимо понимать характеристики хорошего трафика, который обычно получает цель, и уметь сравнивать каждый пакет с этим базовым показателем.

Развертывание межсетевых экранов для атак сложных приложений

Хорошей практикой является использование брандмауэра веб-приложений (WAF) против атак, таких как внедрение SQL или подделка межсайтовых запросов, которые пытаются использовать уязвимость в самом приложении.Кроме того, из-за уникального характера этих атак вы должны иметь возможность легко создавать индивидуальные меры защиты от незаконных запросов, которые могут иметь такие характеристики, как маскировка под хороший трафик или исходящие с плохих IP-адресов, неожиданного географического расположения и т. Д. Иногда это также может быть полезно в предотвращении атак, поскольку они получают поддержку со стороны опытных специалистов для изучения моделей трафика и создания индивидуальных средств защиты.

Типы DDoS-атак и методы смягчения

Определение распределенной атаки типа «отказ в обслуживании» (DDoS)

Распределенная атака типа «отказ в обслуживании» (DDoS) — это злонамеренная попытка сделать онлайн-сервис недоступным для пользователей, обычно путем временного прерывания или приостановки обслуживания его хост-сервера.

DDoS-атака запускается с множества взломанных устройств, которые часто распространяются по всему миру в так называемых ботнетах. Он отличается от других атак типа «отказ в обслуживании» (DoS) тем, что использует одно подключенное к Интернету устройство (одно сетевое соединение) для наводнения цели вредоносным трафиком. Этот нюанс — основная причина существования этих двух, несколько разных определений.

«И на этом наша вечеринка DDoS завершается: Escapist Magazine, Eve Online, Minecraft, League of Legends + 8 телефонных запросов. Твитнул LulzSec — 14 июня 2011 г., 23:07

В общих чертах, DoS- и DDoS-атаки можно разделить на три типа:

Атаки на основе объема
Включает лавинную рассылку UDP, лавинную рассылку ICMP и другие лавинные потоки поддельных пакетов. Цель атаки — заполнить полосу пропускания атакуемого сайта, и ее величина измеряется в битах в секунду (бит / с).

Протокол атак
Включает SYN-флуд, атаки с использованием фрагментированных пакетов, Ping of Death, Smurf DDoS и многое другое.Этот тип атаки потребляет фактические ресурсы сервера или промежуточного коммуникационного оборудования, такого как межсетевые экраны и балансировщики нагрузки, и измеряется в пакетах в секунду (Pps).

Атаки на уровне приложений
Включает низко-медленные атаки, наводнения GET / POST, атаки, нацеленные на уязвимости Apache, Windows или OpenBSD, и многое другое. Целью этих атак, состоящих из кажущихся законными и невинных запросов, является сбой веб-сервера, а величина измеряется в запросах в секунду (Rps).

Распространенные типы DDoS-атак

Некоторые из наиболее часто используемых типов DDoS-атак включают:

UDP Флуд

UDP-флуд, по определению, — это любая DDoS-атака, которая наводняет цель пакетами протокола пользовательских дейтаграмм (UDP). Цель атаки — заполнить случайные порты на удаленном хосте. Это заставляет хост неоднократно проверять, прослушивает ли этот порт приложение, и (если приложение не найдено) отвечает пакетом ICMP «Destination Unreachable».Этот процесс истощает ресурсы хоста, что в конечном итоге может привести к недоступности.

ICMP (Ping) Флуд

В принципе, аналогично атаке UDP-лавинной рассылки, ICMP-лавинная переполняет целевой ресурс пакетами эхо-запроса ICMP (ping), обычно отправляя пакеты как можно быстрее, не дожидаясь ответов. Этот тип атаки может потреблять как исходящую, так и входящую полосу пропускания, поскольку серверы жертвы часто пытаются ответить пакетами эхо-ответа ICMP, что приводит к значительному общему замедлению работы системы.

SYN Flood

Атака SYN flood DDoS использует известную слабость в последовательности TCP-соединения («трехстороннее рукопожатие»), при которой на SYN-запрос для инициирования TCP-соединения с хостом должен быть дан ответ SYN-ACK от этого хоста, а затем подтверждается ответом ACK от запрашивающей стороны. В сценарии SYN-лавинной рассылки запрашивающая сторона отправляет несколько SYN-запросов, но либо не отвечает на ответ SYN-ACK хоста, либо отправляет SYN-запросы с поддельного IP-адреса.В любом случае хост-система продолжает ждать подтверждения для каждого запроса, привязывая ресурсы до тех пор, пока новые соединения не перестанут быть установлены, что в конечном итоге приведет к отказу в обслуживании.

Пинг смерти

Атака POD (POD) включает в себя отправку злоумышленником нескольких неверно сформированных или вредоносных запросов на компьютер. Максимальная длина IP-пакета (включая заголовок) составляет 65 535 байт. Однако уровень канала передачи данных обычно устанавливает ограничения на максимальный размер кадра — например, 1500 байтов по сети Ethernet.В этом случае большой IP-пакет разделяется на несколько IP-пакетов (известных как фрагменты), и хост-получатель повторно собирает IP-фрагменты в полный пакет. В сценарии Ping of Death после злонамеренного манипулирования содержимым фрагмента получатель получает IP-пакет, размер которого при повторной сборке превышает 65 535 байт. Это может привести к переполнению буферов памяти, выделенных для пакета, что приведет к отказу в обслуживании законных пакетов.

Slowloris

Slowloris — это целенаправленная атака, позволяющая одному веб-серверу отключать другой сервер, не затрагивая другие службы или порты в целевой сети.Slowloris делает это, удерживая как можно больше открытых подключений к целевому веб-серверу. Это достигается путем создания соединений с целевым сервером, но отправкой только частичного запроса. Slowloris постоянно отправляет новые заголовки HTTP, но никогда не выполняет запрос. Целевой сервер сохраняет открытыми каждое из этих ложных подключений. Это в конечном итоге приводит к переполнению максимального пула одновременных подключений и приводит к отказу от дополнительных подключений от законных клиентов.

Усиление NTP

В атаках с усилением NTP злоумышленник использует общедоступные серверы Network Time Protocol (NTP), чтобы перегружать целевой сервер трафиком UDP.Атака определяется как атака с усилением, потому что соотношение запросов и ответов в таких сценариях составляет от 1:20 до 1: 200 или более. Это означает, что любой злоумышленник, который получает список открытых серверов NTP (например, с помощью такого инструмента, как Metasploit, или данных из Open NTP Project), может легко создать разрушительную DDoS-атаку большого объема с высокой пропускной способностью.

HTTP-флуд

При атаке DDoS HTTP-потоком злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки на веб-сервер или приложение.HTTP-потоки не используют искаженные пакеты, методы спуфинга или отражения и требуют меньшей полосы пропускания, чем другие атаки, чтобы вывести из строя целевой сайт или сервер. Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимально возможные ресурсы в ответ на каждый отдельный запрос.

Imperva смягчает масштабный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.

DDoS-атаки нулевого дня

Определение «нулевого дня» охватывает все неизвестные или новые атаки, использующие уязвимости, для которых еще не выпущено исправление.Этот термин хорошо известен среди членов хакерского сообщества, где практика торговли уязвимостями нулевого дня стала популярным занятием.

×

Мотивация DDoS-атак

DDoS-атаки быстро становятся наиболее распространенным типом киберугроз. Согласно последним исследованиям рынка, за последний год они быстро выросли как по количеству, так и по объему.Тенденция заключается в более короткой продолжительности атаки, но большем объеме атаки пакетов в секунду.

Основными мотивами злоумышленников являются:

• Идеология — Так называемые «хактивисты» используют DDoS-атаки как средство нацеливания на веб-сайты, с которыми они не согласны идеологически.
• Деловые споры — Компании могут использовать DDoS-атаки для стратегического уничтожения веб-сайтов конкурентов, например, чтобы удержать их от участия в значительном мероприятии, таком как Киберпонедельник.
• Скука — Кибервандалы, также известные как «скрипт-кидди», используют заранее написанные сценарии для запуска DDoS-атак. Виновным в этих атаках обычно бывает скучно, потенциальные хакеры ищут прилив адреналина.
• Вымогательство — Злоумышленники используют DDoS-атаки или угрозу DDoS-атак как средство вымогательства денег у своих целей.
• Кибервойна — санкционированные правительством DDoS-атаки могут использоваться как для нанесения вреда оппозиционным веб-сайтам, так и для инфраструктуры вражеской страны.LOIC (Low Orbit Ion Cannon): инструмент DoS-атаки «начального уровня», используемый для кибервандализма.

Узнайте, как Imperva DDoS Protection может помочь вам с DDoS-атаками.

Решения Imperva уменьшают урон от DDoS-атак

Imperva беспроблемно и комплексно защищает веб-сайты от всех трех типов DDoS-атак, противодействуя каждому с помощью уникального набора инструментов и стратегии защиты:

Объемные атаки
Imperva противостоит этим атакам, поглощая их с помощью глобальной сети центров очистки, которые масштабируются по запросу для противодействия многогигабайтным DDoS-атакам.

Протокол атак
Imperva смягчает этот тип атак, блокируя «плохой» трафик еще до того, как он достигнет сайта, используя технологию идентификации посетителей, которая различает законных посетителей веб-сайта (люди, поисковые системы и т. Д.) И автоматических или злонамеренных клиентов.

Атаки на уровне приложений
Imperva смягчает атаки на уровне приложений, отслеживая поведение посетителей, блокируя известных вредоносных ботов и проверяя подозрительные или нераспознанные объекты с помощью теста JS, запроса cookie и даже CAPTCHA.

Imperva предотвращает DDoS-атаку 250 Гбит / с — одну из крупнейших в Интернете.

Во всех этих сценариях Imperva применяет свои решения для защиты от DDoS-атак за пределами вашей сети, что означает, что только отфильтрованный трафик достигает ваших хостов. Кроме того, Imperva поддерживает обширную базу знаний об угрозах DDoS, которая включает в себя новые и появляющиеся методы атак. Эта постоянно обновляемая информация собирается по всей нашей сети, выявляя новые угрозы по мере их появления, выявляя известных злоумышленников и применяя средства защиты в режиме реального времени на всех веб-сайтах, защищенных Imperva.

Причины, последствия и способы защиты вашего сайта

DDoS-атака на удивление проста в исполнении и ежегодно затрагивает миллионы веб-сайтов по всему миру, причем количество атак растет.

Пострадавшие от DDoS-атак могут показаться неизбежным побочным эффектом пребывания в сети; Чем успешнее ваш сайт, тем больше вероятность того, что вы в какой-то момент станете целью атаки. Но вы можете снизить вероятность DDoS-атаки на ваш сайт.

Вам может быть интересно: что такое DDoS-атака? И как я могу защитить свой сайт от них?

В этом посте мы объясним, что такое DDoS-атаки, выясним, что может сделать ваш сайт уязвимым, и наметим способы снижения их вероятности и воздействия.

Что такое DDoS-атака?

Давайте начнем с того, что точно рассмотрим, что такое DDoS-атака и, что важно, чем она не является.

DDoS означает распределенный отказ в обслуживании, но его часто называют простым отказом в обслуживании.DDoS-атака заключается в том, что веб-сайт заполняется запросами в течение короткого периода времени с целью перегрузить сайт и вызвать его сбой. Элемент «распределенный» означает, что эти атаки происходят из нескольких мест одновременно, по сравнению с DoS, который исходит только из одного места.

Если ваш сайт подвергнется DDoS-атаке, вы получите тысячи запросов из разных источников в течение нескольких минут, а иногда и часов. Эти запросы не являются результатом внезапного всплеска трафика на веб-сайте: они автоматизированы и будут поступать из ограниченного числа источников в зависимости от масштаба атаки.

На скриншоте ниже вы можете увидеть внезапный всплеск запросов, полученных сайтом во время DDoS-атаки.

Трафик DDoS-атак

DDoS-атака — это не то же самое, что взлом, хотя они могут быть связаны между собой; злоумышленники не пытаются получить доступ к файлам или администратору вашего веб-сайта, но вместо этого они вызывают сбой или становятся уязвимыми из-за большого количества запросов. В некоторых случаях после этого будут попытки взломать сайт, когда он уязвим, но в большинстве случаев цель состоит в том, чтобы просто остановить работу сайта.

Может показаться, что нет никакого способа избежать DDoS-атаки: в конце концов, если кто-то решит завалить ваш сайт запросами, вы мало что можете сделать, чтобы их остановить.

Но хотя вы мало что можете сделать, чтобы остановить кого-то, пытающегося нанести вред вашему сайту с помощью DDoS-атаки, есть шаги, которые вы можете предпринять, чтобы гарантировать, что если вы подвергнетесь атаке, ваш сайт не перестанет работать и выиграет » t быть уязвимыми для взлома.

Мы рассмотрим эти шаги позже в этом посте, но сначала давайте разберемся, почему кто-то может захотеть организовать DDoS-атаку на ваш сайт.

Почему кто-то атакует ваш сайт?

Так зачем кому-то проводить DDoS-атаку на ваш сайт WordPress? Что они могут от этого выиграть?

Существует множество причин, по которым злоумышленник может захотеть вывести ваш сайт из строя с помощью DDoS-атаки. К ним относятся атаки конкурентов и атаки из-за вашего контента.

DDoS-атаки со стороны конкурентов

В идеальном мире ваши конкуренты будут пытаться превзойти вас в Интернете за счет улучшения своего контента, SEO и коэффициента конверсии, что является законным способом использования вашего веб-сайта для получения конкурентного преимущества.

Но в некоторых случаях конкуренты могут пойти на более крайние меры. Конкурент может нанять кого-то для организации DDoS-атаки на ваш сайт, зная, что это повлияет не только на ваш сайт, но и на ваш бизнес.

За то время, которое вам понадобится, чтобы ваш сайт снова заработал, они будут отбирать у вас бизнес, особенно если они размещают рекламу, используя название вашей компании в качестве ключевого слова. Если ваш сайт не заработает быстро, вы потеряете поисковый рейтинг и можете обнаружить, что ваши конкуренты теперь занимают более высокое место в Google.

Конечно, очень сложно доказать, кто проводил DDoS-атаку. Атака не будет происходить с IP-адреса вашего конкурента! Если у вас нет очень глубоких карманов, попытка подать в суд на конкурента, которого вы подозреваете в этом, вряд ли увенчается успехом.

Намного лучше вообще защитить себя от последствий атаки. И не поддавайтесь соблазну организовать еще одну DDoS-атаку против вашего конкурента в ответ. Это незаконно, и гораздо лучше убедить себя в том, что конкурент, достаточно отчаявшийся, чтобы использовать подобные меры, вероятно, не будет иметь столько же долговечности и репутации, как ваш бизнес.

DDoS-атаки на ваш контент

Некоторые сайты подвержены DDoS-атакам из-за характера их содержания.

Например, сайт, сообщающий о нарушениях, может подвергнуться атаке. Сайт, посвященный спорному вопросу (например, доступу к абортам или борьбе с расизмом), может подвергнуться нападкам со стороны людей, которые не согласны с его сообщением и хотят вывести его из строя. Или ваш контент может быть коммерческим, но все же конфиденциальным, и есть люди, которые не хотят, чтобы он был доступен в Интернете.

Если ваш сайт будет успешно атакован, ваш контент будет выведен из обращения, что может вызвать проблемы у ваших пользователей, если им понадобится доступ к информации или руководству.

Вы также будете тратить время на решение проблемы, теряя любой доход, который вы можете получать от сайта (в виде продаж или пожертвований, если вы некоммерческая организация), и ваш рейтинг может упасть, если ваш сайт выдает ошибку 502 в течение нескольких часов. или дней.

Политически мотивированные DDoS-атаки

Политически мотивированные DDoS-атаки становятся все более распространенными, поскольку киберугрозы все чаще используются для срыва политического процесса.

Если ваш веб-сайт предназначен для политической партии, кандидата или организации или продвигает конкретное политическое дело, он может быть уязвим для атак со стороны людей, которые не согласны с вашей политикой.

Это не обязательно будет исходить от ваших политических оппонентов. Скорее всего, он исходит из внешних источников, которые стремятся сорвать политические дебаты, блокировать определенные типы контента и использовать хаос, чтобы сбить с толку и лишить гражданских прав людей.

Атака может быть попыткой лишить людей доступа к вашему контенту (см. Выше), или это может быть более личная атака на отдельного кандидата или организацию, стоящую за сайтом.

Это отличается от перегруженности сайта из-за всплесков посещений из-за новостного цикла. Однажды я работал над веб-сайтом политической партии, который был ошеломлен, когда партийный манифест был выпущен для всеобщих выборов. Это были первые выборы в Великобритании, на которых электронная кампания имела большое значение, и мы просто не были готовы к большому объему трафика.

Напротив, DDoS-атака будет гораздо более резкой и резкой, иногда с очень внезапным всплеском запросов на несколько минут.Это будет сильно отличаться от естественного скачка трафика, который, хотя он может быть внезапным, обычно принимает форму кривой, а не обрыва.

Если вы проводите кампанию (которая могла сделать вас более уязвимыми из-за дополнительной огласки), то будет особенно важно обеспечить работоспособность вашего сайта и не тратить время на борьбу с атакой, когда вы могли бы сосредоточиться на проведении кампании. деятельность. Вот почему крайне важно предпринять следующие шаги, чтобы защитить свой сайт от политически мотивированной DDoS-атаки.

Последствия DDoS-атаки

DDoS-атака может иметь различные эффекты в зависимости от характера атаки и того, насколько вы к ней подготовлены.

1. Время простоя веб-сайта

Самый быстрый и очевидный эффект — это то, что ваш сайт перегружен и становится недоступным.

Это означает, что любой бизнес, который вы получаете через свой веб-сайт, не будет вам доступен, пока вы снова не заработаете на нем. Это также влияет на вашу репутацию владельца веб-сайта.И если вы не исправите сайт быстро, это может повлиять на вашу SEO-оптимизацию, так как если Google просканирует ваш сайт и обнаружит, что он не работает, вы потеряете рейтинг.

Если ваш сайт недоступен из-за перегрузки, он вернет ошибку 502 неверный шлюз, что отрицательно повлияет на ваш рейтинг в поиске, если вы позволите ему оставаться таким слишком долго.

Я также видел атаки, когда сайт был недоступен в течение нескольких дней (потому что владелец не знал, как это исправить и не сохранил резервную копию, большая часть которой вскоре), и когда сайт действительно вернулся в Интернет, все внутренние ссылки в списке Google этого сайта были потеряны.

2. Проблемы с сервером и хостингом

Если ваш сайт регулярно подвергается атакам, которые вы не предпринимаете для предотвращения, это может привести к проблемам с вашим хостинг-провайдером.

Хороший хостинг-провайдер предоставит вам инструменты для защиты вашего сайта от DDoS-атак, но если у вас их нет и вы используете общий хостинг, атаки могут затронуть другие сайты на том же сервере.

3. Уязвимость веб-сайта

DDoS-атака может сделать ваш сайт более уязвимым для взлома, поскольку все ваши системы ориентированы на то, чтобы вернуть сайт в сеть, а системы безопасности могли быть выведены из строя в результате атаки.

Хакерам может быть проще проникнуть на ваш сайт через черный ход, если DDoS-атака успешно парализует ваш сайт.

Последующие атаки, подобные этой, не всегда будут исходить из того же источника, что и запросы, сформировавшие DDoS-атаку: умный хакер будет знать, как скрыть свои следы и использовать несколько IP-адресов для атаки на ваш сайт, а также как скрыть свое настоящее местонахождение.

Итак, если вы стали жертвой DDoS-атаки, одной из ваших первоочередных задач должно быть обеспечение безопасности вашего сайта WordPress.Это, возможно, более важно, чем запуск и запуск вашего общедоступного сайта, поскольку другая атака только вернет вас на исходную позицию (или того хуже).

4. Потерянное время и деньги

Восстановление веб-сайта, подвергшегося DDoS-атаке, требует времени. Также могут потребоваться деньги.

Подпишитесь на информационный бюллетень

Хотите узнать, как мы увеличили наш трафик более чем на 1000%?

Присоединяйтесь к 20 000+ другим пользователям, которые получают нашу еженедельную новостную рассылку с инсайдерскими советами по WordPress!

Подпишитесь сейчас

Если вы не знаете, что случилось с вашим сайтом, и не подготовились к возможности атаки, вам может потребоваться перестроить свой сайт с нуля (я видел сайты, где это происходило).Если вы не делали резервную копию своего сайта, с чего вы собираетесь ее восстанавливать? И если не исправить это быстро, атака может оказать долгосрочное влияние на SEO вашего сайта и эффективность бизнеса.

Пока сайт не работает, вы можете терять прибыль, особенно если ваш сайт является интернет-магазином. И вам, возможно, придется заплатить деньги, чтобы нанять эксперта по безопасности или веб-разработчика, чтобы восстановить ваш сайт и убедиться, что он защищен от будущих атак.

Все это подчеркивает важность защиты вашего сайта от DDoS-атак.У меня был один клиент, который подвергался частым попыткам атак из-за характера их бизнеса; Поскольку мы установили меры безопасности, они никогда не влияли на сайт. Если вы готовы, то DDoS-атака не должна затронуть и ваш сайт.

Что может сделать ваш сайт уязвимым для DDoS-атак?

Некоторые сайты более уязвимы для DDoS-атак, чем другие. Это либо сделает вас более уязвимым для атаки в первую очередь, либо для ее последствий.

Дешевый хостинг

Первый виновник уязвимости к DDoS-атакам, как и ко всем видам кибератак, — дешевый хостинг.

Дешевый хостинг имеет два основных недостатка: отсутствие поддержки и объем клиентов.

Чтобы сделать возможным предлагать хостинг так дешево, у хостинг-провайдера будет большое количество клиентов, использующих один и тот же сервер, а это означает, что если один из других сайтов на этом сервере подвергнется атаке, это может повлиять на вас.

Дешевые хостинг-провайдеры не будут обеспечивать меры безопасности от DDoS-атак, они не будут предупреждать вас, когда происходит атака, и не помогут вам восстановить ваш сайт, когда он перестанет работать.Они не будут регулярно создавать резервные копии вашего сайта, и даже если они это сделают, они вряд ли помогут вам восстановить ваш сайт: вам придется решить, как это сделать самостоятельно.

Это не потому, что дешевые хостинг-провайдеры пытаются вас обмануть, или потому, что они не предоставляют обещанные услуги: это просто потому, что для того, чтобы сделать свой хостинг дешевым, они должны экономить на поддержке. В противном случае они не получили бы прибыли.

Если ваш веб-сайт поддерживает бизнес или какое-либо предприятие, где важны ваша репутация и безопасность вашего веб-сайта, то стоит инвестировать в качественный хостинг.Дополнительные затраты окупятся, если вам не придется тратить время на исправление своего сайта в случае атаки, и, безусловно, окупятся, если это означает, что ваш сайт останется в сети после попытки DDoS-атаки и не будет взломан.

Отсутствие подготовки

Неспособность подготовиться к возможности DDoS-атаки не обязательно предотвратит ее, но это будет означать, что вы не так сильно пострадаете, если подвергнетесь атаке.

Во-первых, принятие мер безопасности против потенциальных атак повысит шансы вашего сайта оставаться в сети, несмотря на попытку атаки.

Но понимание того, как остановить DDoS-атаку на ее пути, тоже поможет. Если ваш сайт подвергся атаке и выйдет из строя, если вы подготовились, вы сможете запустить его снова гораздо быстрее, чем если бы вы не были подготовлены.

Установка программного обеспечения безопасности или использование предупреждений безопасности, предлагаемых вашим хостинг-провайдером, означает, что вы будете предупреждены, если ваш сайт действительно подвергнется атаке, и вы или ваш хостинг-провайдер можете принять меры для защиты вашего сайта.

Регулярное резервное копирование вашего сайта означает, что вы можете быстро восстановить его, если на нем возникнут проблемы.

А поддержание вашего сайта в актуальном состоянии означает, что он по своей сути более безопасен и с меньшей вероятностью столкнется с проблемами, если вам все же придется его перестроить.

Небезопасный или устаревший код

Обновление вашей версии WordPress, а также темы и плагинов не защитит вас от DDoS-атаки.

Но если на вас нападут и последующая слабость вашего сайта будет использована хакерами как возможность получить нежелательный доступ, у них будет гораздо меньше шансов на успех, если ваш сайт будет хорошо управляем.

Меры предосторожности включают поддержание вашего сайта в актуальном состоянии, а также установку плагинов и тем только из авторитетных источников. Каталоги тем и плагинов WordPress — безусловно, лучшее место для поиска бесплатных тем и плагинов, и уважаемые разработчики сделают их доступными там. Будьте осторожны, не устанавливайте код, который может вызвать несовместимость с вашим хостингом, и никогда не устанавливайте обнуленные темы или плагины.

Как защитить свой сайт от DDoS-атак

Итак, теперь перейдем к вопросу, на который вам не терпится узнать ответ: как защитить свой сайт от DDoS-атак?

Вы можете принять ряд мер предосторожности, и выбор будет зависеть от ваших настроек, бюджета и ваших предпочтений.

Давайте посмотрим на варианты.

Защита от вашего хостинг-провайдера

Хостинг

Kinsta имеет ряд функций, которые снизят вероятность того, что вы подвергнетесь DDoS-атакам.

Все сайты, размещенные в Kinsta, защищены нашей интеграцией Cloudflare, которая имеет безопасный брандмауэр со встроенной защитой от DDoS. Мы также используем строгие программные ограничения, чтобы еще больше обезопасить ваш сайт. Все это значительно затрудняет проведение DDoS-атаки.

Еще одна функция Kinsta, которая может помочь защитить вас после начала DDoS-атаки, — это блокировка геолокации IP. Kinsta обнаружит любую DDoS-атаку и предупредит вас об этом. Затем вы можете использовать функцию блокировки Geo IP, чтобы заблокировать географическую область, из которой исходит DDoS-атака.

Это означает, что вы можете безопасно заблокировать географический регион, откуда исходит атака, и IP-адреса из этого региона больше не смогут отправлять запросы на ваш сайт.

Кроме того, вы можете заблокировать отдельные IP-адреса в MyKinsta на странице IP Deny .

Функция запрета IP-адресов Kinsta

Но вот и суровая правда: каким бы хорошим ни был ваш хостинг-провайдер, он не может обеспечить полную защиту от DDoS-атак. Хороший хостинг-провайдер предоставит хороший брандмауэр, который снизит вероятность атаки, но не избавит от нее полностью. У них также будут инструменты, которые вы или они можете использовать, чтобы остановить DDoS-атаку после ее начала, например, блокировку IP.

Вот почему любой хостинг-провайдер, который заявляет, что предоставляет вам полную защиту от DDoS-атак, не совсем честен .Они могут снизить вероятность атаки и ограничить ее воздействие, но не могут полностью остановить DDoS-атаки.

Вместо этого для более тщательной защиты от DDoS-атак вам необходимо использовать обширную сеть, которая может использовать свою базу данных с информацией об атаках на другие сайты по всему миру, чтобы предвидеть атаки и блокировать IP-адреса, с которых они, вероятно, будут исходить. Давайте посмотрим на пару таких сервисов.

Cloudflare

Cloudflare — один из самых популярных интернет-провайдеров сетей доставки контента, который также предлагает защиту от атак и взломов.Из-за своего огромного размера он имеет доступ к информации о том, откуда исходят DDoS-атаки, а затем может блокировать эти IP-адреса для всех сайтов в своей сети.

Защита от DDoS-атак Cloudflare

Облачная сеть

Cloudflare всегда включена и постоянно обучается, что означает, что она может выявлять потенциальные атаки и предотвращать попадание нежелательного трафика на ваш сайт круглосуточно и без выходных. Он также предоставляет вам панель инструментов, которую вы можете использовать для отслеживания и отражения DDoS-атак, чтобы вы могли определить, в чем могут заключаться ваши уязвимости.

Если ваш сайт размещен на Kinsta, вам не нужно настраивать собственную учетную запись Cloudflare. Все сайты в нашей инфраструктуре защищены нашей бесплатной интеграцией с Cloudflare.

Сукури

Sucuri — компания, наиболее известная своими услугами по очистке сайтов после взломов и предотвращению их повторения. Но он также предлагает защиту от DDoS

Sucuri DDoS защита

Сервис

Sucuri работает, потому что он такой большой, с сетью из более чем 400 000 клиентов, что означает, что он может вести базу данных об атаках так же, как Cloudflare.Затем эти IP-адреса могут быть заблокированы на вашем сайте.

Сеть

Sucuri не такая большая, как у Cloudflare, но эту компанию стоит рассмотреть, если вам также нужны расширенные функции безопасности и мониторинга, в чем их особенность. Sucuri будет контролировать ваш сайт на предмет простоев, атак или взломов, а также исправит все происходящие взломы.

Итак, если вы подверглись DDoS-атаке и ваш сайт WordPress был взломан, когда он уязвим, использование Sucuri означает, что вы можете как можно быстрее запустить его снова.

DDoS-атаки распространяются как огонь, но зачем кому-то атаковать ваш сайт? Что ж, есть много причин … (и способов защитить ваш сайт) 👨‍🚒🛡️Нажмите, чтобы твитнуть

Сводка

DDoS-атаки становятся все более распространенными, и они могут нанести ущерб в миллиарды долларов.

Невозможно полностью защитить себя от DDoS-атак, так как вы не можете полностью контролировать трафик, поступающий на ваш сайт. Но если вы воспользуетесь одной из вышеперечисленных услуг, откажетесь от дешевого хостинга и подготовитесь к DDoS-атаке, если она все-таки произойдет, у вас будет гораздо меньше шансов пострадать.

---

Экономьте время, деньги и повышайте производительность сайта с помощью:

• Мгновенная помощь от экспертов по хостингу WordPress, 24/7.
• Интеграция Cloudflare Enterprise.
• Глобальный охват аудитории с 28 центрами обработки данных по всему миру.
• Оптимизация с помощью нашего встроенного мониторинга производительности приложений.

Все это и многое другое в одном плане без долгосрочных контрактов, поддержки миграции и 30-дневной гарантии возврата денег.Ознакомьтесь с нашими планами или поговорите с отделом продаж, чтобы найти план, который подходит именно вам.

DDoS-атак: что это такое и как DDoS-атаки

Обновлено 06.10.2020

Атака DDoS (распределенный отказ в обслуживании) очень похожа на атаку DoS (отказ в обслуживании) , с той лишь разницей, что одна и та же атака выполняется разными людьми (или ботнеты) в одно и то же время. Следовательно, DDoS — это вопрос масштаба.

После выбора целевой службы выполните следующие пять шагов, чтобы выполнить DoS-атаку:

1. Запустите средство DoS, например LOIC.

2. Укажите IP-адрес атакуемого сервера.

3. Выберите порт, который, как вы знаете, открыт и принимает входящие соединения.

4. Выберите TCP.

5. Нажмите на кнопку, чтобы начать атаку.

Для проведения DDoS-атаки выполните те же действия, что и для DoS-атаки, за исключением инструмента HOIC.Это как DDoS:

1. Найдите и выберите услугу.

2. Выберите открытый порт.

3. Запустить HOIC.

4. Увеличьте количество нитей.

5. Укажите целевой URL.

6. Увеличьте мощность до максимума.

7. Выберите усилитель.

8. Смонтировать атаку.

Давайте сначала рассмотрим атаку DoS , чтобы лучше понять атаку DDoS .

Что такое атака типа «отказ в обслуживании» (DoS)?

DoS — это кибератака, предназначенная для подавления работы онлайн-сервиса, сбоя их системы, что приводит к отказу в обслуживании клиентов, сотрудников и т. Д. Чтобы осуществить DoS-атаку, все, что вам нужно сделать, это:

1. Найдите и выберите услугу для таргетинга.

2. Выберите открытый порт.

3. Превосходный сервис.

По сути, DoS-атака довольно проста и проста в исполнении.Настоящий вопрос здесь в том, достаточно ли у вас масштаба, чтобы перегрузить вашу целевую систему.

Вот разбивка каждого шага.

Найдите и выберите службу для нацеливания

Первый шаг к установке DoS — поиск службы, на которую можно нацеливаться. Это должно быть что-то с открытыми портами и уязвимостями, которое будет принимать входящие соединения.

Вот некоторые из услуг, которые могут соответствовать этим критериям:

• Веб-серверы

• DNS-серверы

• Почтовые серверы

• FTP-серверы

• Telnet-серверы

Что делает эти службы настолько легкими для нацеливания, так это то, что они принимают неаутентифицированные соединения.

Выберите открытый порт

Просмотрите список открытых портов в Windows, открыв командную строку DOS, введя netstat и нажав Enter. Чтобы просмотреть порты, с которыми компьютер обменивается данными, введите netstat -an | find / i «installed».

Настройки порта различаются от программы к программе, но общая идея одинакова для всех. Когда вы пытаетесь получить доступ к порту, вы узнаете, что он недоступен, если сообщение «Подключение…» зависает, а затем окно закрывается. Если он доступен, вы получите пустое окно или увидите текст, похожий на «220 ESMTP, говорят здесь.”

Если хотите, вот три инструмента, которые вы можете использовать для поиска открытых портов:

1. Telnet

2. CurrPorts

3. TCPEye

Превосходный сервис

В идеале вы должны выбрать службу, у которой нет максимального ограничения на количество разрешенных подключений. Лучший способ узнать, нет ли у сервиса верхней границы, — это отправить ему несколько сотен тысяч подключений, а затем понаблюдать за тем, что происходит.

Для достижения оптимального эффекта вы должны отправлять конкретные запросы и информацию. Например, если вы нацеливаетесь на веб-сервер с помощью поисковой системы, не просто запрашивайте веб-страницу или нажимайте F5 несколько раз. Запросите сложный поисковый запрос, для решения которого потребуется значительное количество лошадиных сил. Если выполнение этого только один раз окажет заметное влияние на серверную часть, то выполнение этого действия сотни раз в секунду, вероятно, приведет к остановке сервера.

То же самое можно сделать и с DNS-сервером.Вы можете заставить его разрешать сложные DNS-запросы, которые не кэшируются. Делайте это достаточно часто, и сервер выйдет из строя.

Для службы электронной почты вы можете отправлять множество больших вложений электронной почты, если вы можете получить законную учетную запись на ее сервере. Если вы не можете, это довольно легко подделать.

Если вы не можете настроить таргетинг на какую-либо конкретную службу, вы можете просто заполнить хост трафиком, за исключением того, что атака может быть не такой элегантной и, безусловно, потребует немного больше трафика.

Как только вы перегружаете систему, окружающая среда готовится к атаке.

Как организовать DoS-атаку

После того, как вы выполнили процессы отслеживания, сканирования и перечисления сети, вы должны иметь хорошее представление о том, что происходит в сети, на которую вы нацеливаетесь. Вот пример одной конкретной системы, которую вы хотите атаковать. Это 192.168.1.16 (контроллер домена Windows 2008 и веб-сервер).

Чтобы атаковать его, выполните следующие 5 шагов:

1. Запустите ваш любимый инструмент для атаки на системы. Мне нравится низкоорбитальная ионная пушка (LOIC).Это самый простой для понимания инструмент, потому что совершенно очевидно, что он делает.

Другие инструменты DoS, которые можно использовать для атак, включают XOIC, HULK, DDOSIM, R.U.D.Y. и Tor’s Hammer.

2. Укажите IP-адрес атакуемого сервера, в данном случае 192.168.1.16. Держись за это.

3. Выберите порт, который, как вы знаете, открыт и принимает входящие соединения. Например, выберите порт 80 для проведения веб-атаки.

4. Выберите TCP, чтобы указать, какие ресурсы нужно связать.

5. Нажмите на кнопку, чтобы начать атаку.

Вы увидите, что количество запрашиваемых данных быстро увеличивается.

Увеличение объема данных может в конечном итоге начать немного замедляться, частично из-за того, что вы потребляете ресурсы на клиенте, а также из-за того, что самому серверу либо не хватит ресурсов, либо он начнет защищаться от вашей атаки.

Что делать, когда хост начинает защищаться

Некоторые хосты можно настроить для поиска шаблонов, выявления атак и начала защиты.Чтобы противостоять их защите, вы можете:

1. Остановите атаку на мгновение (щелкнув ту же кнопку, которую вы нажали, чтобы начать атаку).

2. Измените порт, который вы атакуете.

3. Немного замедлить атаку, что добавляет путаницы.

В нашем примере вы измените порт с 80 на порт 88 (если вы посмотрите снимок экрана в Advanced Port Scanner, вы увидите, что порт 88 также открыт).После того, как вы закончите изменять настройки, вы можете возобновить атаку, снова нажав кнопку атаки.

Теперь вы атакуете другой порт (который представляет собой другую службу) немного другим способом и с другой скоростью. Скорость важна только в том случае, если вы атакуете с одного клиента.

Вот как будет выглядеть атака, если вы сделаете такого рода DoS только с одной машины.

Что такое DDoS-атака? Одновременная атака на нескольких клиентов

Распределенная атака типа «отказ в обслуживании» (DDoS) выполняется с целью отключения веб-сайта или службы путем наводнения или обработки большего количества информации, чем веб-сайт может обработать.Это практически то же самое, что и DoS-атака, с той лишь разницей, что она выполняется множеством разных машин одновременно.

В зависимости от ситуации, один клиент, атакующий таким образом, может или не может сразу повлиять на производительность сервера, но DDoS-атака не должна останавливаться только с одним клиентом. Как правило, вы проводите эту атаку против разных портов в разное время и пытаетесь определить, влияют ли ваши действия на службы. Еще лучше, он отключит сервер.

Если атака дает желаемый эффект, вы можете масштабировать ее, запустив LOIC одновременно на дюжине (или даже сотнях) машин. Многие из этих действий можно запрограммировать, то есть вы можете захватывать трафик и воспроизводить его в командной строке для разных целей. Или вы можете играть в него как часть сценария от разных злоумышленников, которые могут быть вашими сверстниками, вашими зомби или обоими. Часто для запуска атак используется вредоносное ПО (ботнеты, рассмотренные ниже), потому что вредоносное ПО может запускаться точно в один и тот же момент.

Это когда скорость становится менее важной, потому что у вас одновременно атакуют сотни разных клиентов. Вы можете замедлить работу каждого отдельного клиента и при этом провести довольно эффективную атаку.

Экран будет выглядеть одинаково на каждой отдельной машине, если вы проведете атаку с сотен или тысяч машин, как если бы вы выполняли ее на одной машине.

Что такое ботнет?

По данным Internet Society:

«Ботнет — это совокупность подключенных к Интернету пользовательских компьютеров (ботов), зараженных вредоносным программным обеспечением (вредоносным ПО), которое позволяет удаленно управлять компьютерами оператором (бот-пастухом) через сервер управления и контроля (C&C), чтобы выполнять автоматические задачи на устройствах, подключенных ко многим компьютерам, например кражу информации или запуск атак на другие компьютеры.Вредоносное ПО для ботнетов позволяет операторам контролировать сразу несколько компьютеров пользователей. Это позволяет операторам бот-сетей использовать вычислительные ресурсы и ресурсы полосы пропускания во многих различных сетях для злонамеренных действий ».

Хотя ботнеты и являются большим подспорьем для хакеров, они в большей степени являются бедствием для большей части онлайн-общества. Ботнеты:

• Может распространяться на большие расстояния, даже работая в разных странах.

• Ограничьте открытость, инновации и глобальный охват Интернета.

• Нарушать основные права пользователей, блокируя свободу выражения мнений и мнений, а также нарушая конфиденциальность.

Как провести DDoS-атаку

Для проведения более 256 одновременных DDoS-атак, которые приведут к отказу системы, команда из нескольких пользователей может использовать высокоорбитальную ионную пушку (HOIC) одновременно, а вы можете использовать дополнительный скрипт «Booster».

Чтобы выполнить DDoS-атаку, найдите и выберите службу, выберите открытый порт и перегрузите службу, выполнив следующие действия:

1. Запустить HOIC.

2. Увеличьте количество нитей.

3. Укажите целевой URL.

4. Увеличьте мощность до максимума.

5. Выберите усилитель.

6. Смонтировать атаку.

Почему нелегальные хакеры проводят DoS- и DDoS-атаки?

DoS-атаки

и DDoS-атаки являются чрезмерно разрушительными и могут потребовать некоторой работы для запуска, но они используются киберпреступниками как оружие против конкурента, как форма вымогательства или как дымовая завеса, чтобы скрыть извлечение конфиденциальных данных.

Кроме того, иногда атаки проводятся по одной или нескольким из следующих причин:

• Интернет-войны за территорию.

• Выражение гнева или наказание.

• Попрактикуйтесь или просто посмотрите, можно ли это сделать.

• Для «развлечения» причинения хаоса.

Ущерб от DDoS-атак чрезвычайно велик. Cisco сообщила несколько сенсационных фактов и оценок:

• Количество глобальных DDoS-атак увеличится вдвое с 7.С 9 миллионов в 2018 году до 15,4 миллионов к 2023 году.

• Средний размер DDoS-атаки составляет 1 Гбит / с, что может полностью отключить организацию.

Исследование ITIC 2019 года показало, что «один час простоя в настоящее время обходится 98% фирм как минимум в 100 000 долларов. И 86% предприятий говорят, что стоимость одного часа простоя составляет 300 000 долларов и выше ». Тридцать четыре процента говорят, что один час простоя стоит от 1 до 5 миллионов долларов.

Недавним примером DDoS-атаки является атака Amazon Web Services в феврале 2020 года.Гигант облачных вычислений стал мишенью и отправил поразительные 2,3 терабайта данных в секунду в течение трех дней подряд.

Если вы хотите просматривать всемирные атаки, происходящие в режиме реального времени (или близко к нему), ознакомьтесь с картой угроз кибератак.

Как защитить свой бизнес от DoS- и DDoS-атак

Чтобы защитить ваш бизнес от DoS- и DDoS-атак, вот несколько рекомендаций:

1. Установите программное обеспечение безопасности и обновляйте его с помощью последних исправлений.

2. Защитите все пароли.

3. Используйте службы защиты от DDoS-атак, чтобы распознавать допустимые всплески сетевого трафика, а не атаковать.

4. Используйте резервного интернет-провайдера, чтобы он мог перенаправлять ваш трафик.

5. Используйте службы, которые распределяют трафик массовых атак по сети серверов.

6. Обновите и настройте брандмауэры и маршрутизаторы, чтобы отклонять мошеннический трафик.

7. Интегрируйте оборудование внешнего интерфейса приложения для проверки и классификации пакетов.

8. Используйте самообучающуюся систему искусственного интеллекта, которая маршрутизирует и анализирует трафик до того, как он достигнет компьютеров компании.

9. Нанять этичного хакера для поиска незащищенных мест в вашей системе.

Защитить свой бизнес от DoS- и DDoS-атак — сложная задача, но определение ваших уязвимостей, наличие плана защиты и разработка тактики смягчения являются важными элементами сетевой безопасности.

Узнайте больше об этическом взломе

Этичный взлом — важный и ценный инструмент, используемый профессионалами в области ИТ-безопасности в их борьбе с дорогостоящими и потенциально разрушительными кибер-нарушениями.Он использует методы взлома для получения информации об эффективности программного обеспечения и политик безопасности, чтобы обеспечить лучшую защиту сетей.

Основные руководящие принципы, которым следует следовать при легальном взломе:

• Никогда не используйте свои знания в личных целях.

• Делайте это только тогда, когда вам дали право.

• Не используйте пиратское программное обеспечение в своих атаках.

• Всегда будьте порядочны и заслуживаете доверия.

Теперь, когда вы знаете, что такое DDoS-атака (и как DDoS-атака), если вы хотите узнать больше о том, как этично взломать компьютерные сетевые системы, Pluralsight имеет все необходимые ресурсы. Прочтите «Этичный взлом: профессиональные аппаратные и программные средства» или пройдите один из наших многочисленных курсов по этическому взлому!

DDoS-атак: перегрузка веб-сайтов запросами

Щелкните здесь, чтобы получить краткое содержание статьи. Резюме: что такое DDoS-атака.

DDoS-атаки запускаются с помощью ботнета.Этой сети спящих ячеек может быть предложено одновременно посетить определенный веб-сайт. Это может привести к серьезному замедлению работы веб-сайта или даже к полному закрытию.

Хакеры проводят эти атаки из мести, ради денег или просто ради развлечения. Из-за масштабов этих атак веб-сайты практически не могут защитить себя от них. Однако в играх некоторые DDoS-атаки запускаются на отдельные IP-адреса. Вы можете защитить себя от атак такого типа с помощью VPN.

Хотите узнать больше о DDoS-атаках? Как они работают и как от них защититься? Узнайте в статье ниже.

DDoS означает «распределенный отказ в обслуживании» и все чаще используется в кибератаках. С помощью DDoS-атаки хакеры могут временно заблокировать любой веб-сайт. Иногда это означает, что веб-сайт становится очень медленным, но также бывает, что веб-сайт вообще недоступен для пользователей. В этой статье вы узнаете, как защитить себя от этих атак.

Что такое DDoS-атака?

DDoS-атаки могут привести к временной недоступности веб-сайтов крупных компаний и организаций. Чтобы полностью понять, что такое DDoS-атака, вам сначала нужно знать, что такое ботнет .

Для организации DDoS-атаки необходим ботнет. Это большая сеть зараженных устройств, которой может управлять так называемый «бот-пастор» , человек, который контролирует роботов. Владельцы этих устройств часто не знают, что они являются частью ботнета.

Хакеры могут использовать ботнет для проведения DDoS-атаки. Иногда они создают бот-сети, чтобы продавать их другим. Вы можете найти этих продавцов ботнетов в темной сети, в том месте в Интернете, куда не ходит широкая публика.

Как происходит DDos-атака?

Существуют разные типы DDoS-атак. Однако при наиболее распространенном типе атак это произойдет:

1. Хакер создает или покупает ботнет
2. Ботнет получает указание посетить веб-сайт; тысячи устройств одновременно запрашивают доступ к веб-сайту
3. Серверы веб-сайта не могут обработать количество запросов
4. Веб-сайт (временно) недоступен для реальных пользователей

Хостинговые компании пытаются сделать очень сложным для успешных DDoS-атак но они не могут предотвратить их полностью.

Возможные последствия DDoS-атаки

Хотя это может показаться не очень плохим, DDoS-атака может иметь серьезные последствия. Нельзя недооценивать ущерб, причиненный компании, когда ее веб-сайт недоступен. В то время, когда все происходит в Интернете, а потребители привыкли к роскоши быстрой загрузки веб-сайтов, вы не можете позволить себе оставаться в автономном режиме. Посетитель уйдет в мгновение ока, если ваш сайт не работает должным образом. Более того, эти посетители могли быть потенциальными покупателями.Для веб-сайта DDoS-атака может иметь следующие последствия:

• Потеря посетителей
• Упущенный доход
• Временно нет доступа к собственным системам
• Высокие затраты на ремонт

Защита от DDoS-атак

Защита от DDoS-атак существует в двух категориях. Во-первых, это защита веб-сайта, которую часто предоставляет хостинговая компания. Во-вторых, в некоторых случаях может быть разумным защитить ваши личные устройства от DDoS-атак.Мы объясним оба ниже.

Защита от DDoS-атак для веб-сайтов

Большинство хостинговых услуг предлагают базовую защиту от DDoS-атак. Однако полностью защитить сайт от DDoS-атак невозможно. Если у вас есть веб-сайт, вы можете узнать у своего хостинг-провайдера, какие меры он принимает против DDoS-атак. Не все хостинг-провайдеры предлагают одинаковую защиту от подобных атак.

Поскольку атаки выполняются большим ботнетом, который существует с разных IP-адресов, они не могут просто заблокировать IP-адрес, потому что их слишком много.Более того, они не могут быть уверены, что такое настоящие IP-адреса, а какие — IP-адреса ботов.

Устройства, являющиеся частью ботнета, могут выглядеть как обычные запросы к веб-сайту, поэтому они не будут их блокировать. Однако сумма всех этих запросов слишком велика для серверов. Более того, ботнеты становятся все больше, что делает невозможным защиту веб-сайтов от них.

Тем не менее, всегда полезно проконсультироваться с вашим хостинг-провайдером, чтобы узнать, какие меры они принимают против DDoS-атак.

Защита персональных устройств от DDoS

Вы можете защитить себя от персональных DDoS-атак. Этого можно добиться, скрыв свой настоящий IP-адрес. VPN или виртуальная частная сеть шифрует весь ваш интернет-трафик и скрывает ваш IP-адрес. С помощью VPN вы подключаетесь к Интернету через серверы VPN и получаете IP-адреса этих серверов. Чтобы запустить DDoS-атаку на вас, им нужно знать ваш реальный IP-адрес. Таким образом, с помощью VPN никто не сможет атаковать ваше личное устройство.

Причины DDoS-атак

DDoS-атаки запускаются по целому ряду различных причин, и иногда бывает трудно выяснить, почему определенная компания или организация стала целью, поскольку злоумышленники могут оставаться анонимными. Ниже приведены некоторые из причин, по которым запускаются DDoS-атаки.

Вымогательство

Одной из целей DDoS-атаки может быть вымогательство. Хакеры атакуют крупное учреждение, например банк. После атаки они угрожают им еще большей атакой, если они не заплатят выкуп в биткойнах.Мотивация здесь — деньги.

Revenge

Также известны случаи DDoS-атак, когда желание мести было основным мотивом. Злоумышленник может злиться на компанию по любой причине и атаковать ее с помощью ботнета.

Power Play

Еще одна причина DDoS-атак — демонстрация силы. Хакеры хотят показать, на что они способны, и демонстрируют это, удаляя веб-сайты и сервисы крупных компаний. Более того, это можно использовать как утверждение, чтобы показать, что те, кто находится у власти в реальном мире, не имеют возможности контролировать Интернет.

Fun

Это может показаться странным, но некоторые DDoS-атаки также выполняются для развлечения. Некоторые хакеры просто проверяют свою власть над обществом. Недавнее нападение на несколько крупных банков в Нидерландах было совершено 18-летним мальчиком, который позже отметил, что сделал это просто ради этого. Это шокирует, потому что показывает, насколько легко атаковать крупные организации в Интернете.

DDoS-атаки во время онлайн-игр

DDoS-атаки также могут быть запущены с одного IP-адреса.Единственное, что нужно злоумышленнику, — это ваш IP-адрес. Этот тип DDoS-атаки наиболее распространен в конкурентных онлайн-играх. Хакеры начнут атаку на своего оппонента, чтобы дисквалифицировать его за плохое соединение. Это может показаться крайним, но случается довольно часто.

В большинство игр вы играете через официальные серверы, и ваш IP автоматически скрывается. Однако в некоторых играх для ПК, поддерживающих сторонние серверы, это не так. Эти сторонние серверы не обеспечивают такой же защиты личности, как официальные игровые серверы.

При отправке большого количества запросов на свой IP-адрес у вас возникнут трудности с доступом к игровому серверу, в результате чего вы будете дисквалифицированы или просто не сможете получить доступ к игре.

Чтобы предотвратить DDoS-атаку на вас, например, в онлайн-игре, вы можете использовать VPN, чтобы скрыть свой IP-адрес. Вы можете прочитать об этом ниже.

Число новых DDoS-атак растет

В последнее время появились новые типы DDoS-атак. Эти новые формы DDoS-атак злоупотребляют сетевыми протоколами, которые ранее не использовались.В атаках злоумышленники используют встроенные сетевые протоколы, которые часто используют сами компании. Это затрудняет различение вредоносного трафика от обычного трафика. Эти атаки также более масштабны.

В этих атаках используются следующие протоколы: протокол ограниченного приложения (CoAP), динамическое обнаружение веб-служб (WS-DD), Apple Remote Management Service (ARMS) и программное обеспечение для автоматизации Jenkins на основе веб-технологий. Эти протоколы необходимы для устройств, которые используют компании (устройства Интернета вещей, смартфоны или Mac).Поэтому их нельзя быстро отключить для предотвращения DDoS-атак.

Ожидается, что в будущем эти протоколы будут чаще использоваться для DDoS-атак.

Что такое DDoS-атака? Часто задаваемые вопросы

Возникли вопросы о DDoS-атаках? Ниже вы найдете несколько часто задаваемых вопросов по этой теме. Нет вашего вопроса? Не стесняйтесь комментировать, и мы свяжемся с вами!

DDoS означает «распределенный отказ в обслуживании». Во время DDoS-атаки веб-сайт наводнен поддельными посетителями, что делает его недоступным для реальных посетителей.

Во время DDoS-атаки хакер перегружает сайт запросами, делая его недоступным для обычных посетителей. Для этого хакер использует ботнет. Ботнет — это большая сеть зараженных устройств, которыми может управлять хакер. Когда ботнет атакует веб-сайт, этот веб-сайт получает количество запросов, которые он не может обработать. Это замедлит работу веб-сайта или полностью отключится.

Да! DDoS-атаки являются незаконными в большинстве стран мира. Более того, большинство интернет-провайдеров также запрещают DDoS-атаки.Запрещается запускать DDoS-атаку и нанимать хакера, который сделает это за вас.

Объяснение DDoS: как развиваются распределенные атаки типа «отказ в обслуживании»

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление услуги. Этого можно достичь, заблокировав доступ практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже конкретным транзакциям внутри приложений.При DoS-атаке вредоносные данные или запросы отправляет одна система; DDoS-атака исходит из нескольких систем.

Как правило, эти атаки работают, забивая систему запросами данных. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он аварийно завершает работу по требованию, или это может быть база данных, пораженная большим объемом запросов. В результате доступная пропускная способность интернета, ресурсы ЦП и ОЗУ становятся перегруженными.

Воздействие может варьироваться от незначительного раздражения, связанного с перебоями в обслуживании, до того, что целые веб-сайты, приложения или даже весь бизнес отключены.

Видео по теме: Ранние предупреждающие признаки DDoS-атаки

3 типа DDoS-атак

Существует три основных класса DDoS-атак:

1. Объемные атаки используют огромные объемы фиктивного трафика для перегрузки такого ресурса, как веб-сайт или сервер. К ним относятся атаки ICMP, UDP и флуд-атаки с поддельными пакетами. Размер атаки на основе объема измеряется в битах в секунду (бит / с).
2. Протокол или DDoS-атаки на сетевом уровне отправляют большое количество пакетов в целевую сетевую инфраструктуру и инструменты управления инфраструктурой.Эти атаки протокола включают, среди прочего, SYN-флуд и Smurf DDoS, и их размер измеряется в пакетах в секунду (PPS).
3. Атаки на уровне приложений проводятся путем переполнения приложений вредоносными запросами. Размер атак на уровне приложений измеряется запросами в секунду (RPS).

Для каждого типа атаки цель всегда одна: сделать онлайн-ресурсы вялыми или полностью зависшими.

Симптомы DDoS-атаки

DDoS-атаки могут выглядеть как многие из не вредоносных вещей, которые могут вызвать проблемы с доступностью, например, отказавший сервер или система, слишком много законных запросов от законных пользователей или даже перерезанный кабель.Часто требуется анализ трафика, чтобы точно определить, что именно происходит.

График DDoS-атаки

Эта атака навсегда изменила взгляд на атаки типа «отказ в обслуживании». В начале 2000 года канадский ученик средней школы Майкл Кальс, также известный как MafiaBoy, взломал Yahoo! с помощью распределенной атаки типа «отказ в обслуживании» (DDoS), в результате которой удалось остановить один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицелился и успешно взломал другие такие сайты, как Amazon, CNN и eBay.

Конечно, это не первая DDoS-атака, но эта широко известная и успешная серия атак навсегда превратили атаки типа «отказ в обслуживании» из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах руководителей по информационным технологиям и ИТ-директорам.

С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, как средство онлайн-активности и даже для ведения кибервойны.

Они тоже стали больше с годами.В середине 1990-х атака могла состоять из 150 запросов в секунду — и этого было бы достаточно, чтобы вывести из строя многие системы. Сегодня они могут превышать 1000 Гбит / с. Это во многом было вызвано огромным размером современных ботнетов.

В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял под волной DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры.На пике популярности Mirai достигла 400 000 ботов. Сервисы, включая Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, были остановлены.

В начале 2018 года начал появляться новый метод DDoS. 28 февраля служба хостинга контроля версий GitHub подверглась массированной атаке отказа в обслуживании, при которой на популярный сайт приходилось 1,35 ТБ трафика в секунду. Хотя GitHub отключался от сети лишь периодически и ему удалось полностью отбить атаку менее чем через 20 минут, сам масштаб атаки вызывал беспокойство, так как она опередила атаку Dyn, пик которой достиг 1.2 ТБ в секунду.

Анализ технологии, использованной для атаки, показал, что в некоторых отношениях она была проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч устройств IoT, атака GitHub использовала серверы с системой кэширования памяти Memcached, которая может возвращать очень большие блоки данных в ответ на простые запросы.

Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, не имеет достаточной защиты, чтобы предотвратить подмену IP-адресов злоумышленниками и отправку огромных объемов данных ничего не подозревающим жертвам.К сожалению, тысячи серверов Memcached находятся в открытом Интернете, и наблюдается огромный рост их использования в DDoS-атаках. Сказать, что серверы «взломаны», едва ли справедливо, поскольку они с радостью отправят пакеты, куда бы им ни сказали, не задавая вопросов.

Спустя всего несколько дней после атаки GitHub, еще одна DDoS-атака на основе Memecached обрушилась на американского поставщика услуг с объемом данных 1,7 ТБ в секунду.

Видео по теме: DDoS-атака Dyn через год

Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он задействовал уязвимые устройства Интернета вещей, а не ПК и серверы. Это особенно страшно, если учесть, что к 2020 году, по данным BI Intelligence, будет 34 миллиарда подключенных к Интернету устройств, а большинство (24 миллиарда) будут устройствами Интернета вещей.

К сожалению, Mirai не будет последним ботнетом на базе Интернета вещей. В ходе расследования, проведенного группами безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru, был обнаружен ботнет аналогичного размера, получивший название WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. К расследованию послужила серия крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.

21 июня 2020 года Akamai сообщила, что смягчила DDoS-атаку на крупный европейский банк, максимальная скорость которой достигла 809 миллионов пакетов в секунду (Mpps), что является самым большим объемом пакетов за всю историю.Эта атака была разработана, чтобы подавить сетевое оборудование и приложения в центре обработки данных цели, отправив миллиарды небольших (29 байт, включая заголовок IPv4) пакетов.

Исследователи Akamai заявили, что эта атака была уникальной из-за большого количества используемых исходных IP-адресов. «Количество исходных IP-адресов, которые регистрировали трафик к месту назначения клиента, значительно увеличилось во время атаки, что указывает на его высокую степень распределенности по своей природе. Мы увидели, что количество исходных IP-адресов в минуту увеличилось в 600 раз по сравнению с тем, что мы обычно наблюдаем для этого клиента. пункт назначения «, — отметили исследователи.

DDoS-атаки сегодня

Хотя объем DDoS-атак со временем снизился, они по-прежнему представляют собой серьезную угрозу. Лаборатория Касперского сообщает, что количество DDoS-атак во втором квартале 2019 года увеличилось на 32% по сравнению с третьим кварталом 2018 года, в первую очередь из-за всплеска атак в сентябре. В 2020 году Cloudflare сообщает, что объем DDoS-атак увеличивался каждый квартал, кроме Q4,

По словам Касперского, недавно обнаруженные ботнеты, такие как Torii и DemonBot, способные запускать DDoS-атаки, вызывают беспокойство.Torii способен захватить ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности.

Еще одна тревожная тенденция — появление новых платформ запуска DDoS, таких как 0x-booter. Этот DDos-as-a-service использует около 16 000 устройств Интернета вещей, зараженных вредоносным ПО Bushido, разновидностью Mirai.

Отчет о DDoS-атаках от Imperva показал, что большинство DDoS-атак в 2019 году были относительно небольшими.Например, атаки на сетевом уровне обычно не превышали 50 миллионов пакетов в секунду. Авторы отчета связывают это с услугами DDoS-наемника, которые предлагают неограниченные, но небольшие атаки. Imperva действительно наблюдала несколько очень крупных атак в 2019 году, включая атаку сетевого уровня, которая достигла 580 миллионов запросов в секунду, и атаку уровня приложений, которая достигла пика в 292000 запросов в секунду и длилась 13 дней.

Эта тенденция изменилась в четвертом квартале 2020 года, когда Cloudflare сообщила о «массовом росте» числа атак со скоростью более 500 Мбит / с и 50 000 пакетов в секунду.Эти атаки также стали более постоянными: в период с октября по декабрь наблюдалось почти 9% атак, которые длились более 24 часов.

Cloudflare также наблюдала то, что она назвала «разрушительной тенденцией» в увеличении количества атак RDDoS в 2020 году, когда организации получают угрозу DDoS-атаки, которая нарушит их работу, если не будет выплачен выкуп. Злоумышленники, как правило, нацелены на жертв, которые менее способны отреагировать и оправиться от такой атаки.

Инструменты DDoS-атаки

Как правило, DDoS-атакующие используют ботнеты — совокупности сети зараженных вредоносным ПО систем, которые контролируются централизованно.Этими зараженными конечными точками обычно являются компьютеры и серверы, но все чаще это Интернет вещей и мобильные устройства. Злоумышленники будут использовать эти системы, идентифицируя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники арендуют эти бот-сети у тех, кто их построил.

Как развиваются DDoS-атаки

Как вкратце упоминалось выше, все чаще такие атаки проводятся с помощью арендованных ботнетов.Ожидайте, что эта тенденция сохранится.

Еще одна тенденция — использование нескольких векторов атаки в рамках атаки, также известной как Advanced Persistent Denial-of-Service APDoS. Например, атака APDoS может включать в себя уровень приложений, например атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого« наводнения », — говорит Чак Макки, управляющий директор по успеху партнеров в Binary Defense.

Кроме того, объясняет Макки, злоумышленники часто атакуют не только своих жертв, но и организации, от которых они зависят, например интернет-провайдеров и поставщиков облачных услуг.«Это широкомасштабные, высокоэффективные и хорошо скоординированные атаки», — говорит он.

Это также меняет влияние DDoS-атак на организации и увеличивает их риск. «Бизнесы больше не озабочены DDoS-атаками на себя, а атаками на огромное количество деловых партнеров, поставщиков и поставщиков, на которых они полагаются», — говорит Майк Оверли, юрист по кибербезопасности в Foley & Lardner LLP. «Одна из старейших пословиц в сфере безопасности заключается в том, что безопасность бизнеса зависит от его самого слабого звена.В сегодняшних условиях (о чем свидетельствуют недавние взломы) этим самым слабым звеном может быть и часто оказывается одна из третьих сторон », — говорит он.

Конечно, по мере того, как преступники совершенствуют свои DDoS-атаки, технологии и тактика не будут стоять на месте. Как объясняет Род Сото, директор по исследованиям безопасности в JASK, добавление новых устройств Интернета вещей, развитие машинного обучения и искусственного интеллекта сыграют свою роль в изменении этих атак. «Злоумышленники в конечном итоге интегрируют эти технологии и в атаки, что затрудняет защиту защитников от DDoS-атак, особенно тех, которые не могут быть остановлены простыми ACL-списками или сигнатурами.