Нажмите "Enter", чтобы перейти к содержанию

Как сделать ddos атаку: Как сделать Ддос атаку: самые эффективные способы и программы

Содержание

Как сделать Ддос атаку: самые эффективные способы и программы

Для тех, кто ищет, как сделать Ддос-атаку, хочется напомнить, что подобные действия наказываются законодательством многих стран и очень часто — реальными тюремными сроками. Поэтому, перед тем как затевать такие вещи, нужно тщательно все взвесить, стоит ли оно того.

Данная статья не является руководством для осуществления Ddos-атак, а написана исключительно для ознакомления, так как вся предоставленная ниже информация может быть найдена в открытых источниках.

 

Что такое Ддос-атака?

Под Ddos-атакой понимают специальные действия определенных людей, направленные на блокировку какого-либо веб-ресурса. Под такими действиями понимают массовую отсылку запросов на сервер или веб-сайт, который нужно «положить». Количество подобных запросов должно превышать все возможные лимиты, чтобы защитные инструменты провайдера заблокировали атакуемый веб-ресурс.

Реальная Ddos-атака практически невозможна без помощи других пользователей или специальных программ. Один человек с одного компьютера не способен «руками» отослать нужное количество запросов, чтобы веб-ресурс «лег». Поэтому многих и интересует, как можно сделать Ддос-атаку при помощи сторонних программ. Но об этом чуть ниже.

 

Почему Ddos-атаки имеют успех?

Ddos-атака — это реальный способ «насолить» конкуренту, и некоторые веб-предприниматели не гнушаются пользоваться этим «черным инструментом» конкурентной борьбы. Обычно Ддос-атака бывает эффективной из-за проблем провайдеров:

  • ненадежные межсетевые экраны;

  • бреши в системе безопасности;

  • проблемы в операционной системе серверов;

  • нехватка системной мощности для обработки запросов;

  • и др.

Именно эти проблемы и дают возможность осуществить эффективную Ddos-атаку. Поэтому проблема безопасности у IT-компаний всегда стоит на первом месте. Но современная защита стоит дорого, а потому условно считается, что чем больше денег компания-провайдер тратит на защиту своих ресурсов, тем надежнее защита. Но не все провайдеры у нас такие, как Microsoft или Yahoo (хотя и эти компании подвергались Ddos-атакам!), есть и менее финансово обеспеченные, которые более всего подвержены Ддосу.

 

Виды Ддос-атак

Даже у Ддос-атак есть собственная классификация. Вот как она выглядит:

  1. Массовое направление на сервер некорректных инструкций, выполнение которых приводит к аварийному завершению работы.

  2. Массовое направление пользовательских данных на сервер, что приводит к их бесконечной обработке и повышению нагрузки на сам сервер.

  3. Массовое направление неправильных инструкций к серверу, что также увеличивает его нагрузку.

  4. Массовая атака ложными адресами, что приводит к «забиванию» каналов связи.

Обобщив, можно сказать, что Ddos-атака — это «массовость» каких-либо действий, которые могут сделать так, что сервер перестанет работать. 

 

Ddos-атака: как сделать

Перед тем как сделать Ддос-атаку, нужно знать, для чего и на кого она рассчитана. Как правило, такие атаки плотно связаны с конкретным сайтом и конкретным хостингом. У каждого хостинга могут быть свои слабые места, поэтому «точки атак» могут быть разные. Из этого следует, что и инструменты, и подходы для совершения Ддос-атаки нужно подбирать конкретно под ресурс и хостинг, потому что один и тот же инструмент на разных ресурсах может сработать, а может и нет.

 

Программа для Ddos-атак по IP и URL

Самой распространенной подобной программой является LOIC. Это не какая-то сверхсекретная утилита из darknet — это приложение есть в открытом доступе, и, в принципе, любой желающий может его скачать и использовать.

Эта программа рассчитана для Ddos-атак, когда вам заранее известен IP и URL атакуемого ресурса. Чтобы воспользоваться данной программой, нужно:

  1. Найти и скачать ее из интернета, она там есть в открытом доступе.

  2. Активировать это приложение при помощи файла «loic.exe».

  3. Ввести в открывшихся полях IP и URL атакуемого ресурса.

  4. Отрегулировать уровень передачи запросов.

  5. Нажать для старта кнопку «imma chargin mah lazer».

Конечно, запуском одной такой программы с одного компьютера вы, скорее всего, не сможете навредить ресурсу, потому что у него сработает его система безопасности. Но если будет 10 запущенных программ на один ресурс? А 100? 

 

Еще инструменты, как сделать Ддос-атаку

Как уже говорили, уровень безопасности у разных ресурсов будет разный, поэтому, если не помогла программа LOIC, хотя при «массовости» она может помочь, можно попробовать что-то из следующего списка простых и не очень инструментов, нацеленных «положить» сервер различными запросами:

  1. Fg Power Ddoser

  2. Silent Ddoser

  3. Dnet Ddoser

  4. Darth Ddoser

  5. Hypo Crite

  6. Host Booter 

  7. Good Bye v3/0-v5.0

  8. Black Peace Group Ddoser

Можно также использовать Ddos-атаку из «зараженной» программы, для этого подойдут следующие инструменты:

  1. PHPDos

  2. TWBooter

  3. Dark Shell

  4. War Bot

  5. Infinity Bot

  6. Darkness

  7. Russkill

  8. Armageddon

Если после применения инструментов, которые описаны выше, вы так и не нашли подходящий, то можете воспользоваться услугами Ddos-сервисов:

  1. Wild Ddos

  2. Death Ddos Serice

  3. Ddos SerVis

  4. Beer Ddos

  5. No Name

  6. Oxia Ddos Service

  7. Wotter Ddos Service

  8. Ice Ddos

 

Заключение

Список программ и инструментов «как можно сделать Ддос-атаку», на самом деле, очень большой. А это означает, что данное незаконное действие является весьма популярным среди пользователей.

Убедительная просьба, перед тем как планировать или организовывать Ddos-атаку, подумайте, нужно ли вам это? Хотим еще раз напомнить, что Ddos-атаки уголовно наказуемы!

Как организовать DDoS в благих целях? / Хабр

Перед релизом нового сервиса неплохо бы убедиться в том, что он работает в соответствии с нашими ожиданиями и доступен вне зависимости от того, сколько клиентов одновременно им пользуются.

А как этот сервис отреагирует, если против него будет организована распределенная DoS-атака? Защищен ли ресурс от потенциальных действий злоумышленников?

Для того чтобы оценить возможные риски и повысить защищенность, имеет смысл самостоятельно провести действия, имитирующие DDoS-атаку, пока ресурс еще не запущен для массового использования.

В этой статье мы расскажем про опыт организации нагрузочного тестирования для DNS- и HTTP-сервисов.


Для того чтобы спровоцировать генерацию огромного количества сетевого трафика на проверяемом ресурсе, нужно задействовать много виртуальных машин, каждая из которых будет посылать максимальное число запросов к сервису. Если вы не располагаете мощным вычислительным центром, то есть смысл временно арендовать виртуальные машины в каком-либо облаке. Эта затея имеет одну особенность: нужно убедиться в том, что облако не сфолзит, приняв вашу активность за действия злоумышленника.

Сравнив политику различных облачных сервисов (кто-то безжалостно банит учетную запись, с которой, предположительно, были выполнены действия, приводящие к отказу ресурса) в отношении проведения нагрузочного тестирования с использованием их функционала, мы решили остановиться на Amazon Web Services (AWS). В их документах указано, что AWS допускает проведение нагрузочного тестирования, но просит согласовать его, отправив письмо на определенный адрес.


Отправляем сообщение, где коротко рассказываем о своих намерениях, и получаем форму, которую должны заполнить:

Customer ID:
   Customer Name:
   Email Address:
   AWS Account ID load test will be performed from:
   Does the customer have an NDA?

Target Data

   EC2 Resources:
   Cloudfront Distribution:
   API Gateway / Lambda ID:
   ELB Names:
   Non-AWS Target:
   Region (please list all regions in scope for testing):

Source Data:

   IP Addresses:
   Source Account ID:
   Regions involved:

Testing Parameters:

   How much traffic do you plan to generate by region during testing?
   What is your expected peak load from source by region? (i.e. xx Gbps)
   What is your expected peak load at destination? (i.e. xx Gbps)
   Are you testing traffic outbound from EC2, inbound into EC2, or both?
   Are you testing traffic outbound (egress) from EC2, inbound (ingress) into EC2, or both:
   Egress. What is your expected peak load from source by region? (i.e. xx Gbps)
   Ingress. What is your expected peak load from source by region? (i.e. xx Gbps)

   Start Date:
   End Date:
   Finite testing details including timeline of testing:
   Summary of Test:
   Testing Timelines by phase including rps, pps, and Gbps:
   Peak bandwidth for each source IP:
   Tools Used for each phase of test:
   Types of testing to be performed for each phase of the request:
   What criteria/metrics will you monitor to ensure the success of this test?
   Who is performing the Load Test? (Please provide contact details):
   Does the tester have an NDA?

Testing Security

   Do you have a way to monitor the data traffic for the duration of the test to verify 
bandwidth limits do not exceed approved rates?
   Do you have a way to immediately stop the traffic if we/you discover any issue?
   2 Emergency contact names and phone numbers:

Есть несколько нюансов:


  1. У нас спрашивают, кого будем «дубасить». Имеем ли мы на это право? Говорим, что это наш ресурс (по всей видимости, никто не проверяет, так ли это) и что тестирование полностью согласовано.


  2. Нам нужно обозначить, сколько трафика создадим в каждом из регионов. В ходе переписки выясняем, что каждый регион имеет свой лимит на количество сетевого трафика. В общей сложности разрешают запросить 645 Гб/c. Считаем, сколько нужно для атаки, и набираем регионы таким образом, чтобы получилось необходимое значение.


  3. Требуется описать, в какое время будет проводиться атака, как долго будет длиться и как будет расти ее мощность. В свободной форме, но достаточно подробно рассказываем о своих планах. Атака проводится с постепенным увеличением мощности, поэтому расписываем, какие этапы будут у тестирования и какая максимальная мощность предполагается на каждом из них. Дату атаки можно не указывать с точностью до дня, вполне можно обозначить диапазон в две-три недели.


  4. И в обязательном порядке всеми силами стараемся заверить, что будем вести себя хорошо, внимательно наблюдать за ходом тестирования и остановим его по первому требованию в случае необходимости.


Скорее всего, в ответ на заполненную форму попросят какие-то разъяснения, поэтому переписываемся и отвечаем на вопросы до тех пор, пока не получим разрешение на тестирование.

На все согласование уходит примерно три рабочих дня, если отвечать оперативно.


После согласований сталкиваемся с необходимостью подготовить инфраструктуру для тестирования. Дело в том, что во время проверки нам нужно будет оперативно:

• включать инстанс;

• запускать тестовую атаку;

• собирать статистику о ходе проведения;

• останавливать тестовую атаку;

• менять IP-адрес;

• выключать инстанс.


Создание образа инстанса


Выбор типа инстанса

Сначала соберем AWS-образ, который будет содержать необходимые инструменты и скрипты для управления. Первым делом надо выбрать, какой инстанс арендовать. Изучаем характеристики разных типов инстансов: смотрим на цену, объем максимального трафика, мощность CPU (последнее важно, потому что трафик создается мощностями процессора как-никак), затем тестируем реальную производительность и максимальное число запросов. По нашим оценкам, наиболее удобными для тестирования являются инстансы t3.small, но тут каждый выбирает на свой вкус.

Характеристики инстансов можно посмотреть вот тут. Также выбирать и сравнивать инстансы можно здесь.


Запрос на увеличение лимита

Нужно заранее подумать о том, сколько инстансов будет участвовать в тестировании. Дело в том, что Amazon предоставляет для каждого региона свои ограничения на число инстансов. Если у вас есть ощущение, что понадобится больше инстансов, чем доступно по умолчанию, то стоит как можно раньше запросить увеличение лимита. Для этого переходим в раздел Support, создаем обращение типа Service limit increase. Время обработки обращения может быть разным: кто-то отвечает уже на следующий день, предоставляя столько сущностей, сколько было запрошено, кто-то говорит, что не даст запустить больше, чем N инстансов. Были и такие регионы, которые отвечали на запрос около месяца.


Тюнинг производительности

Далее нужно создать образ инстанса, который будет запускаться во время тестирования. Для этого включаем инстанс выбранного типа, производим на нем все настройки, затем сохраняем то, что получилось, в качестве образа (в том же меню Actions, где есть возможность включения инстанса, а также функциональность по созданию образа Image Create Image).

Нам нужно получить максимальный исходящий трафик с каждого инстанса, поэтому для начала оптимизируем настройки сети и памяти под нашу задачу на инстансе.

Для этого внесем настройки в файл /etc/sysctl.conf:

• Повысим диапазон локальных портов и уменьшим время нахождения сокетов в состоянии FIN_WAIT:

net.ipv4.ip_local_port_range = 1024-65535 (по умолчанию: 32768-61000)
net.ipv4.tcp_fin_timeout = 10 (по умолчанию: 60)

Диапазон локальных портов определяет максимальное количество исходящих сокетов, которое хост может создать из определенного IP.

С настройкой по умолчанию (61 000–32 768) получается 28 233 сокета. С новыми настройками – 64 500.

Fin_timeout определяет минимальное время, в течение которого исходящие сокеты могут находиться в состоянии FIN_WAIT.

Если указаны значения по умолчанию, система может обеспечить не более (61 000–32 768) / 60 = 470 сокетов в секунду.

Увеличивая port_range и уменьшая fin_timeout, мы можем повлиять на способность системы генерировать большее число исходящих соединений.

• Разрешим повторно использовать сокеты в состоянии TIME_WAIT, когда заканчиваются свободные:

net.ipv4.tcp_tw_reuse = 1 

Установка вышеуказанной опции (которая по умолчанию отключена) помогает минимизировать потери на «простаивание» уже отработавших соединений.

Очень подробно о TIME_WAIT рассказано в этой статье.

• Включим опцию tcp_timestamps для работы вышеуказанной опции tcp_tw_reuse:

net.ipv4.tcp_timestamps = 1 – включить опцию `tcp_timestamps` для работы вышеуказанной опции tcp_tw_reuse 

• Остальные опции:

net.ipv4.tcp_max_tw_buckets = 720000 – увеличить возможное количество сокетов в состоянии TIME_WAIT
net.ipv4.tcp_keepalive_time = 600 – уменьшить тайм-аут keepalive-соединений
net.ipv4.tcp_keepalive_probes = 3 – уменьшить количество keepalive-проб
net.ipv4.tcp_keepalive_intvl = 10 – уменьшить временной интервал между keepalive-пробами
net.ipv4.tcp_window_scaling = 1 – разрешить масштабирование TCP-окна
net.ipv4.tcp_mem = 8192 131072 196304 – увеличить размер буферов для TCP-пакетов 
net.ipv4.udp_mem = 8192 131072 196304 – увеличить размер буферов для udp-пакетов
net.ipv4.tcp_slow_start_after_idle=0 – отключить Slow-Start Restart
net.core.wmem_default = 31457280 – установить размер буфера по умолчанию для отправки данных 
net.core.wmem_max = 33554432 – установить максимальный размер буфера для отправки данных  
net.core.somaxconn = 65535 – увеличить размер очереди сокетов в ожидании обработки
net.core.netdev_max_backlog = 65535 – увеличить размер очереди пакетов между сетевой картой и ядром
vm.swappiness = 30 – понизить порог своппинга
vm.dirty_ratio = 50 – очищать буферы по достижении 50 % ОЗУ
vm.pagecache = 90 – ограничить размер файлового кеша

Сценарии тестовых атак

1. Атака на DNS

Одна из основных задач тестирования – оценка производительности DNS-серверов. Именно DNS-серверы могут стать узким местом отказоустойчивости сайта, так как при возникновении проблем с DNS даже самый устойчивый сервис окажется недоступным. Для создания нагрузки на DNS-серверы будем генерировать много разнообразных DNS-запросов. Запросы должны быть валидными и требовать от DNS-сервера как можно большего и длительного ответа.

Для генерации подобного трафика подходит утилита DNSPerf.

DNSPerf – это простой, гибкий и бесплатный инструмент тестирования производительности DNS-серверов. В первую очередь он рассчитан на authoritative DNS-сервера, но может также использоваться для измерения производительности кеширующих серверов.

В нашем случае нагружаются authoritative DNS-сервера, обслуживающие одну зону – example.com.

Для DNSPerf предварительно подготовим файл с запросами dns_queries.txt (преимущественно ANY для увеличения времени и размера ответа от DNS-сервера):

#dns_queries.txt

example.com ANY
www.example.com ANY
test.example.com ANY
static.example.com ANY
example.com АААА
www.example.com АААА
test.example.com MX

Пример запуска утилиты:

dnsperf -s TARGET_IP -d dns_queries.txt -c 100 -n 100 
-s = целевой IP-адрес
-d = путь к файлу данных с запросами. По умолчанию – stdin 
-c = количество имитируемых клиентов. Для каждого клиента используется уникальный исходящий номер порта 
-n = количество «прогонки» файла с запросами.

2. Атака на ICMP

Следующим этапом тестирования является оценка устойчивости к большому количеству ICMP-трафика. Так как по техническим причинам у серверов часто должна оставаться возможность отвечать на ping-request, существует вероятность DDoS-атаки с использованием ping-запросов. Помимо указания настроек, исключающих возможность ping-to-death, нужно убедиться в устойчивости серверов к пиковым нагрузкам на ICMP. Для создания таких нагрузок лучше использовать известную утилиту hping3, которая позволяет регулировать количество запросов, интервал между отправками, а также размер пакетов.

Пример запуска утилиты:

hping3 -i u1000 -d 1500 -c 100000 -1 TARGET_IP

-i u100 = интервал между отправляемыми пакетами (uX for X microseconds)
-d 1500 = размер каждого пакета
-c 1000000 = количество пакетов для отправки
-1 = режим ICMP

3. Атака на HTTP

Теперь проверяем на стрессоустойчивость основной функционал сервиса – обработку HTTP(S)-трафика. Одним из самых гибких и простых инструментов для генерации HTTP-трафика является siege. Siege – это многопоточная утилита с открытым исходным кодом, предназначенная для тестирования производительности веб-ресурса.

Как и DNSPerf, siege позволяет нагрузить сервер запросами от заданного числа виртуальных пользователей (эмуляция пользователя реализуется c помощью отдельного порта), а также использовать подготовленный заранее набор запросов. Это очень удобно, так как можно включить в тест наиболее ресурсоемкие запросы.

Пример запуска утилиты:

siege -b -c 100 -f test_urls.txt 

-b = без задержек (режим benchmark)
-c = количество имитируемых клиентов. Для каждого клиента используется уникальный исходящий номер порта 
-f = файл с запросами

Формат содержимого test_urls.txt:

http://example.com/site/login POST login=username&password=test
http://example.com/site/client POST useragent=Mozilla&version=123&date=24May
http://example.com/site/order POST user=username&company=ooo&phone=812345678

Как видите, тесты проводились с использованием преимущественно POST-запросов, требующих обработки на стороне сервера и занимающих наибольшее количество ресурсов по сравнению с другими типами запросов.

Ни в одном из вариантов не используется подмена IP, так как Amazon не позволяет это реализовать. Какой бы src_IP ни был указан в пакете, на выходе с инстанса он будет изменен на правильный.

Все создаваемые запросы должны быть легитимными – никакой волны исходящего трафика без ответа, – так как политика Amazon в отношении DDoS довольно строгая. Даже согласованный стресс-тест отнимает минимум несколько дней на общение с техподдержкой, а при первых «вредоносных» действиях получаем бан порта, с которого выходил трафик, и требование немедленно объясниться.


Скрипты для запуска атак

Для удаленного управления тестами подготовим bash-скрипты (dns.sh, ping.sh, http.sh), запускающие нужный вид атаки, и файлы с пейлоадами (test_urls.txt, valid_dns_queries.txt).

Когда мы загрузим все это на AWS-образ (из которого и будут создаваться все инстансы), каждый тест можно будет запускать удаленно командой следующего формата:

ssh instance-amazon 'sudo <stress-script>.sh start <params> &>>stress.log &'

В качестве stress-script.sh указывается скрипт нужного типа, а params — соответствующие параметры. В файле stress.log мы будем отслеживать вывод запущенной утилиты. Для удобства будем использовать разные логи для разных утилит: dns.log, ping.log, http.log.

Пример скрипта dns.(start|stop|status)$ ]]; then echo "nothing to do: need argument for stop,start or status" exit 1 fi if [[ "$1" = "start" ]]; then shift dnsperf [email protected] fi if [[ "$1" = "stop" ]]; then kill $(pidof dnsperf) fi if [[ "$1" = "status" ]]; then if [[ ! "$(pidof dnsperf)" = "" ]]; then echo "dnperf is running with PID $(pidof dnsperf)" ps aux | grep dnsperf else echo "dnsperf is not running" fi fi

Как видно из кода, скрипт можно будет запускать и останавливать, а также проверять статус (запущен/не запущен).

Аналогичным образом построены скрипты для ICMP- и HTTP-тестов, запускающие соответственно hping3 и siege с переданной через аргумент строкой параметров.

Примеры команд:

ssh instance-amazon 'sudo dns.sh start -s TARGET_IP -d valid_dns_queries.txt -c 1 -n 100 &>>dns.log &'
ssh instance-amazon 'sudo ping.sh start -i u1000 -d 1500 -c 100000 -1 TARGET_IP &>>ping.log &'
ssh instance-amazon 'sudo http.sh start -b -c 100 -f test_urls.txt &>> http.log &'

Скрипты мониторинга

Для оценки исходящего трафика и состояния инфраструктуры тестирования нам понадобится средство мониторинга. Из соображений простоты и экономии ресурсов используем iptables. Для этого напишем скрипт, подсчитывающий количество отправленных Мб, и положим его на AWS-образ:

#iptables.sh

sudo iptables -N TRAFFIC_OUT
sudo iptables -A TRAFFIC_OUT -p tcp
sudo iptables -A TRAFFIC_OUT -p udp
sudo iptables -A TRAFFIC_OUT -p icmp
sudo iptables -A OUTPUT -j TRAFFIC_OUT
sudo iptables-save

Скрипт создает новую цепочку TRAFFIC_OUT и добавляет в нее фильтры для нужных протоколов: tcp, udp, icmp.

В цепочку OUTPUT добавляется перенаправление пакетов в TRAFFIC_OUT.

Количество переданных данных можно узнать командой:

# iptables -L TRAFFIC_OUT -v -n -x | tail -n 3 | awk '{print $2/1024/1024,"Mb\t\t\t",$3}’ : 
 2.2 Mb       tcp
 4.4 Mb      udp
 3.2 Mb      icmp

Установим скрипт в качестве сервиса. Для этого создадим файл monitoring.service и переместим его в директорию /etc/systemd/system нашего образа:

# /etc/systemd/system/monitoring.service

[Unit]
After=network.target
[Service]
ExecStart=/usr/local/bin/monitoring.sh
[Install]
WantedBy=default.target

Теперь можно добавить сервис в автозагрузку:

systemctl enable monitoring.service
systemctl start monitoring.service

Управление инстансами

Теперь разберемся с удаленным (максимально автоматизированным) управлением инстансами.

Для этих целей можно использовать механизм AWS CLI – управление с помощью консоли.

Создаем Secret Key (Access keys (access key ID and secret access key)) и настраиваем консоль.

Теперь у нас есть доступ ко всем возможностям учетной записи.

Особенность работы с AWS состоит в том, что все действия выполняются для конкретного региона и их приходится повторять, если привлечено несколько регионов.

Для создания нового инстанса из образа, который мы выше смастерили (подразумеваем, что есть публичный ami-ID, который используем в скрипте), выполним следующие действия:


  • создаем SSH-ключ и добавляем его в AWS:
yes n |ssh-keygen -q -t rsa -f $KEYNAME -m pem -N "" > /dev/null
chmod 400 $KEYNAME
aws ec2 import-key-pair --region $REGION --key-name $KEYNAME --public-key-material file:///$(pwd)/$KEYNAME.pub

  • создаем security-group, который разрешает доступ к машине по SSH. В противном случае входящие SSH-соединения будут запрещаться:
SECURITY="ssh-group"
aws ec2 create-security-group --region $REGION --group-name $SECURITY --description "Just ssh. Nothing more"
IP_RANGE="0.0.0.0/24"
aws ec2 authorize-security-group-ingress --region $REGION  --group-name $SECURITY --protocol tcp --port 22 --cidr $IP_RANGE

  • создаем инстанс с созданными ранее ключом и security-group и указываем ID образа. Число инстансов, создаваемых единовременно, может быть произвольным:
IMG='ami-0d0eaed20348a3389'
NUM=1
aws ec2 run-instances --region $REGION --image-id $IMG --count $NUM --instance-type t2.micro --key-name $KEYNAME --security-groups default $SECURITY > instances.json

  • ждем, пока машина проинициализируется. Это занимает какое-то время: сначала мы получаем ответ об успехе (instances.json), но в это время машина только создана, но еще не запущена (например, ей еще не присвоен IP-адрес). Необходимо дождаться завершения запуска (обычно для этого достаточно минуты).

Затем можно подключиться по SSH, если нам известен IP-адрес. Просто запрашиваем список машин, которые сейчас запущены. Среди их параметров находим PublicDnsName или PublicIpAddress.

aws ec2 describe-instances --region

Далее выполняем SSH-команды, указав SSH-ключ, созданный выше:

ssh -I $KEYNAME -oStrictHostKeyChecking=no ubuntu’'+ins_dns echo‘'O’'

SSH-команды позволяют управлять атакой и получать всю информацию о состоянии атаки, так как мы снабдили инстансы всеми необходимыми скриптами и инструментами.

Нужно понимать, что большинство средств защиты от атак, направленных на отказ в обслуживании, блокируют IP-адрес, с которого поступает аномально много запросов. Поэтому IP-адреса виртуальных машин должны постоянно меняться для поддержания мощности атаки.

AWS присваивает новый IP-адрес каждый раз, когда машина запускается. Поэтому для смены IP потребуется выключить и включить машину заново (не нужно ее удалять!).

Разница между выключением и удалением заключается в том, что мы посылаем разные сигналы. Stop – чтобы выключить, terminate – чтобы выключить и сразу же удалить.

В целях мониторинга входящего трафика инстанса используем следующую команду с указанием ID инстанса: когда начинается замер трафика, когда заканчивается, за какой период значения суммируются:

aws cloudwatch get-metric-statistics --region REGION --namespace AWS/EC2 \
        --statistics Sum --metric-name NetworkIn 
        --start-time $STARTTIME --end-time $FINISHTIME
        --period $PERIOD --dimensions Name=InstanceId,Value=$INCTANCEID

Дополнительно для проведения атаки потребуется наблюдать, жив ли тот сервис, который мы тестируем.

Создаем и запускаем простейший «пинг»-скрипт, который отслеживает доступность целевых портов (53 и 80 в нашем случае).

Пример кода на Python, который позволяет автоматизировать проверку доступности:

def http(url):
    cmd = ['curl', '-w', '"%{time_total}"', '-o', '/dev/null', '-s', url]
    result = check_output(cmd).decode('utf-8')
    result = float(json.loads(result))
    return result * 1000000

def dns(ip, domain):
    cmd = ['dig', 'any', '@'+ip, domain ]
    result = check_output(cmd).decode('utf-8')
    result = int(result.split('Query time:')[1].split('msec')[0])
    return result

Полученную информацию сохраняем в лог-файле, на основе которого по итогам атаки можно будет построить график доступности ресурса.

В ходе проведения тестирования необходимо постоянно проверять «пинг»-лог, чтобы не убить ресурс окончательно и бесповоротно. Как только появляется существенная деградация и ответ на запрос занимает слишком много времени, атаку нужно прекращать.

Если замедление работы несущественное, а мощность атаки достигла установленного максимума, то есть смысл подождать минуту или две, и если сервис продолжает работать без перебоев, то проверка считается успешной.


Стоит обсудить еще один вопрос, связанный с организацией тестирования, — стоимость всего этого мероприятия.

Amazon предоставляет подробную информацию о тарифах, но нужно понимать, что приходится платить практически за все. Тем не менее многими расчетами можно пренебречь. В первую очередь стоит посчитать стоимость трафика (зависит от региона и от того, какой итоговый объем информации будет передан) и стоимость аренды инстансов (оплата поминутная). Эти пункты образуют примерно 99 % от стоимости всей атаки.

Поэтому стоимость атаки рассчитывается в каждом случае отдельно в зависимости от [масштаба боевых действий] максимальной мощности атаки и числа планируемых запусков.

С точки зрения упрощения расчетов лучше использовать учетную запись Amazon, которая зарегистрирована не больше года назад. Тогда часть операций будет бесплатна. Подробнее про лимиты бесплатного использования можно почитать здесь.

Для того чтобы проиллюстрировать подсчет стоимости проведения нагрузочного тестирования, допустим, что хотим проверить устойчивость DNS-сервера к нагрузке в 10 Гб/c.

Нам известно, что используемые инструменты и возможности инстанса t3.small, запущенного в Мумбаи, позволяют выдать 500 Мб/c с одного запущенного инстанса. Цена за аренду сущности – 0,0224 $ в час, за трафик – 0,01093 $ за 1 Гб. То есть пик атаки означает одновременную работу 20 сущностей.

Мы будем увеличивать мощность атаки постепенно, для этого сначала запустим одну сущность, затем добавим еще по одной каждые 60 с.

Формула расчета стоимости принимает вид:

60 с * (стоимость аренды в секунду) + 60 с * 0,5 Гб/c * (стоимость Гб трафика) = стоимость атаки с одной сущности за 60 с.

1 * (стоимость атаки с одной сущности) + 2 * (стоимость атаки с одной сущности) + ... + 20 * (стоимость атаки с одной сущности) = стоимость всей атаки

Получается, что стоимость одной атаки мощностью в 10 Гб/c на DNS-сервер – примерно 70 $. Отметим, что это приблизительная оценка, так как объем трафика нельзя абсолютно точно спрогнозировать. Подробнее про цены можно почитать здесь. Более того, правильный подход – выполнить проверку несколько раз, чтобы откалибровать настройки тестируемого сервера.

На этом все про организацию нагрузочного тестирования. Желаем не убить ваши серверы в процессе проб и ошибок.

Автогол. Как я сделал DDoS атаку на наш сервер

T-Rex

Тираннозавр Рекс

Тема DDoS-атак, их типов и способов защиты уже неоднократно поднималась нашими авторами в прошлом. Мы внимательно следим за пожеланиями наших читателей и поэтому сегодня продемонстрируем услугу по защите от DDoS на живом примере. В этой статье мы разберем подобную задачу: сделаем тестовое веб-приложение, организуем стресс-тест, симулирующий DDoS-атаку, и сравним статистику загрузки сети с защитой и без неё.

О типах DDoS-атак и способах защиты от них мы уже писали в нашем предыдущем материале. Помимо базовых решений по контролю и фильтрации сетевого трафика, Selectel предоставляет услугу по расширенной защите от DDoS-атак. Подобный уровень защиты добавляет в комплекс очистки трафика дополнительную ступень в виде специального прокси-сервера, настроенного под конкретные приложения.

В этой статье мы рассмотрим случай атаки, нацеленной на перегрузку полосы пропускания, а конкретно используем метод DrDOS (Distributed Reflection Denial of Service), использующий технику отражения запросов. Подобный метод интересен тем, что позволяет многократно усиливать объем атаки по сравнению с пропускной способностью зараженной машины, и был выбран нами поскольку наглядно показывает масштаб возможной атаки.

План действий

Демонстрацию услуги по защите от DDoS-атак мы проведем с помощью эксперимента, целью которого будет сравнение работоспособности веб-сервера, находящегося под DDoS-атакой, с подключенной услугой и без неё. Для этого мы организуем два стресс-теста с одинаковыми параметрами атаки на заранее подготовленный веб-сервер в VPC через защищенный и прямой IP-адрес. Степень влияния услуги по защите от DDoS-атак на фильтрацию нежелательного трафика мы оценим с помощью метрик загрузки процессора и сетевого устройства. Кроме того, используем инструмент мониторинга сервисов для определения доступности веб-сервера в разных локациях.

Веб-сервер:

  • Простой сайт на WordPress, развернутый с помощью стандартного LAMP-стека;
  • Виртуальный сервер в VPC с 1 vCPU и 1 GB оперативной памяти на Ubuntu.

Инструменты мониторинга:

  • Утилита Netdata для просмотра сведений о системе в реальном времени;
  • Мониторинг доступности сервисов, в котором мы используем простой GET-запрос для проведения теста.

Инструмент для стресс-теста:

  • IP Stresser, предоставляющий возможность создания теста с объемом атаки до 3 Гбит/c.

В результате проведения испытаний ожидается, что при подключенной услуге по защите от DDoS-атак работоспособность сервиса нарушена не будет. В следующей части мы рассмотрим создание и настройку приложения в VPC и процесс подключения услуги. Затем проведем стресс-тесты и сравним показания метрик.

Настройка приложения и подключение услуги по защите от DDoS

В качестве среды для размещения веб-сервера мы выбрали виртуальное приватное облако за возможность быстрого создания виртуальной машины и подключения публичной подсети:

В состав выделенных ресурсов мы также включили публичную подсеть — для работы с услугой по защите от DDoS плавающий IP-адрес не подходит:

Далее создадим сервер внутри проекта, используя в качестве источника для установки системы готовый образ Ubuntu 16.04. В разделе настройки сети необходимо выбрать подключение через зарезервированную ранее публичную подсеть, а также выбрать и записать публичный IP-адрес: он понадобится нам позже.

После установки сервера настроим WordPress, используя стандартный LAMP-стек:

Убедившись в работоспособности приложения, перейдем к заказу услуги по защите от DDoS.

Подключение услуги Базовая защита от DDoS

Заказ услуги осуществляется в разделе Сети и услуги в личном кабинете Selectel:

Выберем пункт Базовая защита от DDoS 10 Мбит/с и произведем оплату услуги:

После подключения услуги будет создан тикет в техническую поддержку для настройки защиты под ваше приложение. Сотруднику техподдержки необходимо сообщить IP-адрес и тип приложения. После получения всей необходимой информации будет произведена настройка защиты. Дополнительные сведения о подключенной защите и сервисах будут в ответном сообщении службы поддержки:

Нам был выделен защищенный IP-адрес, который мы настроим далее, а также указаны данные для доступа к сервису статистики атак. Кроме того, как видно из сообщения, необходимо настроить приложение для работы с новым выделенным защищенным IP-адресом, поскольку трафик, поступающий на первоначальный IP-адрес не будет фильтроваться.

Настройка алиасов немного различается в различных системах, в нашем примере мы используем Ubuntu, где это осуществляется следующей командой:

$ sudo ifconfig eth0:0 95.213.255.18 up

Для многих компаний техподдержка не является главным приоритетом и поэтому время ответа на запросы может стремиться к бесконечности, а качество предлагаемых решений оставляет желать лучшего. Однако, в Selectel круглосуточная поддержка, которая отвечает даже в вечер воскресенья (у автора статьи возникла проблема с доступом к сервису статистики):

На данном этапе остается протестировать работу и доступность сервиса через защищенный IP-адрес:

Стресс-тест на незащищенный IP-адрес

Перейдем к стресс-тесту системы на незащищенный IP-адрес со следующими настройками атаки:

В качестве целевого хоста указан адрес, который при реальном использовании услуги необходимо будет скрывать — трафик, идущий на него не будет фильтроваться и приведет к отказу работоспособности системы.

Начнём первый стресс-тест:

Видно, что почти мгновенно происходит перегрузка процессора и объем принимаемого трафика стремится к 3Гбит/с:

Теперь оценим доступность и время отклика сервиса в разных географических точках:

Большая часть точек проверок показала недоступность указанного сервиса и большое время отклика, что говорит об успешном проведении стресс-теста и уязвимости текущей конфигурации перед DDoS-атаками транспортного уровня.

Резюмируя полученные результаты, очевидно, что веб-сервер полностью принял на себя весь объем тестовой атаки, а в случае увеличения нагрузки произошел бы отказ работоспособности приложения. Далее мы протестируем доступность веб-сервера с подключенной <a href=»https://selectel.ru/services/additional/ddos-protection/» услугой по защите от DDoS атак, однако в реальных системах крайне желательно провести дополнительные мероприятия по обеспечению безопасности приложения на программном уровне.

Стресс-тест на защищенный IP-адрес

Используя полностью аналогичные параметры для атаки кроме IP-адреса, запустим стресс-тест:

Видно, что регистрируемый объем входящего трафика составляет около 120 Мбит/с, а нагрузка на процессор составляет около 20%:

Теперь перейдем к тестированию доступности и времени отклика веб-сервера через инструмент мониторинга:

Уже сейчас можно сказать, что использование подобной услуги по защите от DDoS-атак обеспечивает определенный уровень безопасности веб-сервера.

Мониторинг атак и статистика

Как только начинается атака на защищенный адрес, служба Servicepipe уведомляет клиента об этом по email:

Для просмотра информации об атаках в реальном времени доступен веб-интерфейс:

В нем содержится более подробная информация о поступающем трафике:

А также можно увидеть источники трафика по странам:

Вывод

Проведенный опыт показал сохранение работоспособности веб-сервера под тестовой DDoS-атакой при подключенной услуге по защите от DDoS. Кроме того, использование сервиса Servicepipe позволяет отслеживать в реальном времени поступающие DDoS-атак без дополнительных настроек рабочих систем и оперативно реагировать на них.

В пространство дальнейших исследований можно включить создание более сложных стресс-тестов и использование не только базовой защиты, но и расширенной с более совершенными инструментами фильтрации трафика.

Ознакомиться с типами защит и успешным опытом наших клиентов можно на странице услуги.

DDoS атаки и защита от них

Сегодня мы часто слышим о ddos атаках на сайт, при которых используются автономные ddos программы. Например, в сентябре 2018 года хакеры направляли около одного терабайта трафика в секунду на серверы французского хоста, тем самым нарушая запись данных в реальном времени. Аналогичная история произошла в начале 2019 года, когда на одну из американских хостовых компаний было направлено боле пяти терабайт трафика.

Существует несколько разновидностей атак-ддос, и все эти типы атак крайне опасны для вашего бизнеса. Поэтому необходимо принять элементарные меры предосторожности для смягчения и выявления таких атак – в сети можно найти несколько десятков инструментов и множество рекомендаций, доступных для мониторинга и смягчения перегрузок на ваш ресурс.

Ниже мы постараемся разобраться — что же такое ddos атаки, как они проводятся и каким образом от них защититься. Также мы коснемся целей этих атак и основных технических принципов их проведения.

Что такое DDoS-атака?

Когда ваша машина подвергается атаке по типу DDoS, она получает сверхбольшой поток данных, что отрицательно влияет на производительность ее процессоров или даже приводит к сбою системы.

В основном это происходит так — злонамеренные пользователи, которые намереваются нанести вред вашему серверу, вызывают ботов для анонимных систем по всему миру. Этими ботами можно управлять дистанционно, и они предназначены для выполнения определенных задач.

Если пользователь хочет провести атаку DDos, он просто должен активировать ботов. Эти боты, количество которых может достигать миллионов, начинают заполнять сервер мусорными данными. Сервер, в свою очередь, перестает нормально функционировать – он не может выдержать нагрузку, не может выделить ресурсы для реальных пользователей или просто отключается.

Этот метод атаки, при котором делается попытка сделать целевую систему и ее интернет-службы непригодными или пригодными только в очень ограниченной степени для пользователя из-за перегрузки по количеству единовременно обрабатываемых операций. В отличие от обычной атаки, которая может происходить с одного хоста, DDoS-атака обычно состоит из множества отдельных запросов от очень большого количества ботов.

С помощью DDoS-атаки хакеры стараются вызвать недоступность протоколов интернет-служб посредством целевой перегрузки. Целью атаки могут быть как серверы в целом, так и другие сетевые компоненты.

Строго говоря, DDoS-атаки различаются по ключевой характеристике – а именно, на какой уровень модели взаимодействия открытых сетевых систем (OSI) они влияют. Чаще всего перегрузки проводятся на сетевом (Lvl.3), транспортном (Lvl. 4), презентационном (Lvl. 6) и прикладном (приложений) (Lvl. 7) уровнях протоколов.

Как устроены атаки?

Структура перегрузки серверов давно определена и имеет вполне типовый рисунок. Ниже мы коснемся двух наиболее распространенных типов.

Атаки на уровне инфраструктуры

Перегрузка на Lvl.3 и Lvl.4 обычно определяется как атака на уровне инфраструктуры. Собственно, это наиболее распространенная разновидность атаки DDoS. В ней обычно используются векторы, такие как синхронизированные (SYN) потоки и другие атаки «зеркала», такие как пользовательские связки дейтаграммных пакетов (UDP).

Эти атаки обычно очень длительны и часто бывают большими по объему, они значительно перегружают емкость сети или серверов приложений. К счастью, эти атаки также имеют тип с четкими подписями и их легче обнаружить.

Атаки на уровне приложений

Атаки Lvl.6 и Lvl.7 часто классифицируются как атаки уровня приложения. Хотя эти атаки менее распространены, они, как правило, более сложные и от них тяжелей защитится.

Эти атаки обычно бывают небольшими по объему по сравнению с атаками на уровне инфраструктуры, но, как правило, фокусируются на особо дорогих частях приложения, чтобы сделать их недоступными для реальных пользователей. Пример: поток HTTP-запросов на странице входа в систему, дорогой API поиска или даже потоки WordPress XML-RPC (также известные как атаки пингбэка WordPress).

Некоторые начинающие хакеры хотят знать — как сделать ддос атаку? Но хоть прицип и прост, подготовка к ней достаточно трудоемкий процесс, требующий значительных усилий.

В то время как раньше было сложно торпедировать цель большими объемами данных, сетевые устройства в Интернете вещей, кажется, предлагают хакерам совершенно новые возможности для атак DDoS. Будь то видеокамера, система управления отоплением или ресивер: в каждом сетевом устройстве, подключенном к Интернету, также есть небольшой компьютер.

Отдельные устройства не являются особенно мощными, но их можно легко соединить, чтобы сформировать ботнет, который, в конечном итоге, распределяет десятки тысяч запросов в секунду на серверы. Чтобы осуществить такую ​​атаку, злоумышленникам даже не нужны глубокие ИТ-знания: инструменты для DDoS-атак можно купить в Интернете.

Примером может служить смешанная атака на уровне приложений (SYN + TCP Connect + HTTP-flood+ UDP flood). Особенностью этого метода является большое разнообразие векторов со сравнительно низкой производительностью (3 Гбит / с) — то есть атака идет с разных направлений

Зачем атакуют сайты?

Последствия DDoS-атаки могут быть разрушительными как для инфраструктуры, так и для бизнеса: интернет-магазин находится в автономном режиме, почтовый сервер больше не получает и не отправляет электронные письма, а сотрудники недоступны

Падение продаж и потеря репутации могут нанести серьезный ущерб компании и подорвать доверие клиентов. Нередко после DDoS-атаки следуют попытки вымогательства с угрозой парализации систем.

Успешная DDoS-атака может нанести значительный материальный ущерб компании-владельцу ресурса или организации, арендующей сервер. Сюда также относится потеря имиджа или появление недовольных пользователей и клиентов.

Как защититься от DDoS-атаки?

В 2019 году одна из немецких компаний провела аналитическое исследование на предмет подверженности DDoS-атакам. Оказалось, более половины из 250 лиц, принимающих решения в области ИТ, и консультантов, опрошенных для исследования Link11 и TeleTrusT, уже стали жертвами DDoS-атаки.

Но что они могли сделать, чтобы защитить системы? Многие ИТ-отделы беспомощны против такой атаки, поскольку даже специальные брандмауэры перегружаются и падают. Естественно, самый простой способ предотвратить атаку на серверы — закрыть порты и отрезать любой внешний веб-трафик, но это также приведет и вашей собственной изоляции.

Фильтрация трафика в магистрали

Вы можете оценить трафик данных в магистрали сети и предотвратить его в случае заметно большего увеличения количества данных по направлению к вашему IP-адресу.

Например, в так называемом черном списке (Blacklist) эксперты удаляют весь трафик, который идет на IP-адрес, не используемый клиентом, и таким образом освобождают соединение. Списки фильтров также имеют соответствующий эффект. Компания определяет отправителей, которым разрешено устанавливать соединение, а все остальные запросы отклоняются.

Другой метод — это своего рода виртуальная машина, которая отмечает и отбрасывает вредоносные IP-пакеты в трафике данных клиента, так что только чистый трафик попадает в соединение клиента, и компания может работать без проблем.

Контроль соединения и реагирование на атаки

Если компания замечает DDoS-атаку, ей следует как можно скорее связаться с провайдером, чтобы можно было немедленно предпринять контрмеры, и чтобы негативный эффект оказался минимальным. Эксперты по кибербезопасности следят за соединением на время атаки, которая может длиться несколько недель.

Итог

В небольшой статье нельзя привести полную аналитику будущих прогнозов. Но, учитывая увеличение пропускной способности сетей, мы на протяжении 2020-2025 годов, скорее всего, всего будем наблюдать всплеск ддос-атак.

Так как технически они не требуют особой подготовки, а их эффект достаточно разрушителен, такие атаки все чаше будут использоваться как метод кибертерроризма и влияния на корпорации и экономические интернет-структуры.


Заказывайте хостинг и выбирайте домен в компании «Хостинг Украина». 

У нас качественный и надежный сервис, удобное система управления через админ-панель, интеллектуальные системы защиты и техническая поддержка, которая поможет решить все возникающие вопросы в любое время суток.

Наши цены: SSD хостинг, VPS на SSD, Cloud (облачный) хостинг, облачный VPS.

Присоединяйтесь к «Хостинг Украина» и мы позаботимся о технической стороне вашего бизнеса.


Как выполнить DDoS-атаку на веб-сайт с помощью CMD

Сегодня хакеру очень легко взломать незащищенный веб-сайт. Даже одна уязвимость на веб-сайте или в приложении позволяет хакеру взломать его разными методами. И DDoS-атака — один из широко используемых методов. С помощью DDoS-атаки любой небольшой веб-сайт можно очень легко взломать. Итак, давайте разберемся в этом глубже.

Как выполнить DDoS-атаку на веб-сайт с помощью CMD

Прежде чем узнать, как реализовать DDoS-атаку, вы должны понять, что такое DDoS-атака.

Что такое DDoS-атака?

DDoS означает «Отказ дистрибьютора в обслуживании. DDoS-атака — это кибератака, при которой злоумышленник пытается сделать веб-сайт, сеть или устройство недоступными для предполагаемых пользователей, временно отключив службы хоста, подключенного к Интернету. Эти атаки обычно осуществляются путем одновременного попадания множества запросов в целевой ресурс, такой как веб-серверы, сети, электронные письма и т. Д. В результате сервер не может ответить на все запросы одновременно и вызывает сбой или замедление.

Как работает распределенный отказ в обслуживании (DDoS)?

Каждый сервер имеет предопределенную способность обрабатывать запросы за раз и может обрабатывать только определенное количество запросов за раз. Для проведения DDoS-атаки на сервер на сервер одновременно отправляется большое количество запросов. В результате соединение данных между сервером и пользователем разрывается. В результате веб-сайт дает сбой или временный сбой, поскольку он теряет выделенную ему полосу пропускания.

Как предотвратить DDoS-атаку?

DDoS-атаку можно предотвратить:

  • Установите защитные накладки.
  • Используйте системы обнаружения вторжений для выявления и даже пресечения любого вида незаконной деятельности.
  • Используйте брандмауэр, чтобы заблокировать весь трафик, исходящий от злоумышленника, указав его IP-адрес.
  • Или с помощью маршрутизатора, настроенного через список управления доступом (ACL), чтобы ограничить доступ к сети и отбросить подозреваемый незаконный трафик.

Инструменты для проведения DDoS-атаки

Ниже приведены инструменты, которые обычно используются для выполнения DDoS-атаки.

1. Немеси

Он используется для генерации случайных пакетов. Работает на окнах. Из-за особенностей программы, если у вас есть антивирус, он, скорее всего, будет обнаружен как вирус.

2. Земля и ЛаТьерра

Этот инструмент используется для подделки IP-адреса и открытия TCP-соединений.

3. Пантера

Этот инструмент можно использовать для наводнения сети жертвы несколькими пакетами UDP.

Если вам интересно узнать, как выполнить DDoS-атаку и вывести из строя любой веб-сайт, продолжайте читать эту статью, поскольку в этой статье дается пошаговый метод выполнения DDoS-атаки с использованием командной строки (CMD).

Как выполнить DDoS-атаку на веб-сайт с помощью CMD

Чтобы выполнить DDoS-атаку на веб-сайт с помощью командной строки (CMD), выполните следующие действия:

Примечание. Для проведения этой атаки у вас должно быть хорошее интернет-соединение с неограниченной пропускной способностью.

1. Выберите Веб-сайт на который вы хотите провести DDoS-атаку.

2. Найдите айпи адрес для этого сайта, выполнив следующие действия.

а. Открытым Командная строка.

Б. Введите команду ниже и нажмите клавишу ввода.

пропинговать www.google.com –t

Примечание. Замените www.google.com веб-сайтом, на который вы хотите выполнить DDoS-атаку.

c. ты увидишь айпи адрес для сайта, указанного в результате.

Примечание. IP-адрес будет выглядеть так: xxx.xxx.xxx.xxx

3. После получения IP-адреса введите следующую команду в командной строке.

ping [IP-адрес указанного места] — t –l 65500

С помощью указанной выше команды компьютер жертвы получит 65500 XNUMX неограниченных пакетов данных.

В приведенной выше команде:

  • Команда ping отправляет пакеты данных на сайт жертвы.
  • IP-адрес данного веб-сайта — это IP-адрес веб-сайта жертвы.
  • -t означает, что для остановки программы необходимо отправить пакеты данных.
  • -l указывает загрузку данных, которая будет отправлена ​​на сайт жертвы.
  • Значение 65500 — это количество пакетов данных, отправленных на сайт жертвы.

4. Нажмите кнопку. Вход Чтобы запустить команду и убедиться, что она работает часами.

Примечание. Чтобы сделать атаку более эффективной, вы должны атаковать веб-сайт жертвы, используя инструменты проверки связи с более чем одного компьютера. Для этого просто запустите ту же команду выше на нескольких компьютерах одновременно.

5. Теперь посетите сайт через 3 или XNUMX часа. Вы заметите, что веб-сайт временно не работает или сервер показывает сообщение, недоступное на нем.

Таким образом, внимательно следуя каждому шагу, вы сможете выполнить успешную DDoS-атаку на веб-сайт, используя только командную строку, чтобы удалить ее или временно вывести ее из строя.

Вы также можете увидеть влияние DDoS-атаки на целевой веб-сайт с помощью диспетчера задач и просмотреть сетевую активность.

Выяснить Влияние DDoS-атаки На целевом веб-сайте выполните следующие действия.

1. Открыть Диспетчер задач на компьютере.

2. Щелкните правой кнопкой мыши и выберите «Запустить диспетчер задач».

3. Вы увидите шесть вкладок под строкой меню. Щелкните Сеть

4. Вы увидите результаты, аналогичные показанным на рисунке ниже.

Вывод заключается в том, что если DDoS-атака на целевой веб-сайт будет успешной, вы сможете увидеть возросшую сетевую активность, которую вы можете легко проверить на вкладке «Сети» диспетчера задач.

В Яндексе заявили об отражении рекордной DDoS-атаки на компанию

https://ria.ru/20210909/ddos-ataka-1749321536.html

В Яндексе заявили об отражении рекордной DDoS-атаки на компанию

В Яндексе заявили об отражении рекордной DDoS-атаки на компанию — РИА Новости, 09.09.2021

В Яндексе заявили об отражении рекордной DDoS-атаки на компанию

Специалисты «Яндекса» отразили самую крупную в истории интернета DDoS-атаку — более чем в 20 миллионов RPS (request per second, запросов в секунду). РИА Новости, 09.09.2021

2021-09-09T12:13

2021-09-09T12:13

2021-09-09T16:54

яндекс

технологии

россия

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn21.img.ria.ru/images/07e5/03/1f/1603593506_0:88:841:561_1920x0_80_0_0_1d927651e6f378a4916960073950c9a2.jpg

МОСКВА, 9 сен — РИА Новости. Специалисты «Яндекса» отразили самую крупную в истории интернета DDoS-атаку — более чем в 20 миллионов RPS (request per second, запросов в секунду).Как отмечается в блоге компании на портале «Хабр», атаки на «Яндекс» и другие организации продолжаются уже несколько недель в очень больших масштабах. Их источник — новый ботнет, то есть компьютерная сеть, зараженная вредоносными программами. Она позволяет злоумышленнику выполнять некие действия с использованием ресурсов зараженных компьютеров.О новом ботнете Meris пока мало что известно: его ассоциируют с крупными DDoS-атаками в Новой Зеландии, США и России. С наибольшей вероятностью он «состоит из девайсов, подключенных через Ethernet-соединение, — в основном сетевых устройств». Предположительно, они объединены одним командным центром и относятся к производителю Mikrotik.Накануне «Яндекс» связался с Mikrotik и предоставил им собранные данные.»Кроме того, мы направили всю собранную информацию в профильные организации. Надеемся, что совместные усилия позволят интернету вскоре избавиться от пандемии этой «чумы» (Meris по-латышски. — Прим. ред.)», — рассказали в интернет-компании.Отмечается, что Meris может перегрузить практически любую сетевую инфраструктуру, «включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку».Главный признак ботнета — «чудовищный» показатель RPS. По данным «Яндекса», этот «ботнет продолжает расти».Как ранее сообщали РИА Новости в «Яндексе», в прошлые выходные DDoS-атаку отразили сетевая инфраструктура и система фильтрации нежелательных запросов. Это не повлияло на работу сервисов, данные пользователей не пострадали.Distributed Denial of Service (DDoS) — это атака на вычислительные ресурсы. Ее цель — сделать их недоступными для пользователей. Нападение проводится с использованием одного или нескольких компьютеров, которые направляют большое количество запросов на атакуемый сайт.

https://ria.ru/20210716/sayt-1741514760.html

https://ria.ru/20210205/rosgvardiya-1596119384.html

https://ria.ru/20210908/yandeks-1749096730.html

россия

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2021

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

https://cdnn21.img.ria.ru/images/07e5/03/1f/1603593506_0:9:841:640_1920x0_80_0_0_15846a8bab5bca336590dd52ff329ec3.jpg

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

яндекс, технологии, россия

12:13 09.09.2021 (обновлено: 16:54 09.09.2021)

В Яндексе заявили об отражении рекордной DDoS-атаки на компанию

МОСКВА, 9 сен — РИА Новости. Специалисты «Яндекса» отразили самую крупную в истории интернета DDoS-атаку — более чем в 20 миллионов RPS (request per second, запросов в секунду).

Как отмечается в блоге компании на портале «Хабр», атаки на «Яндекс» и другие организации продолжаются уже несколько недель в очень больших масштабах. Их источник — новый ботнет, то есть компьютерная сеть, зараженная вредоносными программами. Она позволяет злоумышленнику выполнять некие действия с использованием ресурсов зараженных компьютеров.

16 июля 2021, 12:28

Сайт Минобороны подвергся DDoS-атакеО новом ботнете Meris пока мало что известно: его ассоциируют с крупными DDoS-атаками в Новой Зеландии, США и России. С наибольшей вероятностью он «состоит из девайсов, подключенных через Ethernet-соединение, — в основном сетевых устройств». Предположительно, они объединены одним командным центром и относятся к производителю Mikrotik.

Накануне «Яндекс» связался с Mikrotik и предоставил им собранные данные.

«Кроме того, мы направили всю собранную информацию в профильные организации. Надеемся, что совместные усилия позволят интернету вскоре избавиться от пандемии этой «чумы» (Meris по-латышски. — Прим. ред.)», — рассказали в интернет-компании.

Отмечается, что Meris может перегрузить практически любую сетевую инфраструктуру, «включая некоторые сети высокой надежности, специально созданные, чтобы выдерживать подобную нагрузку».

5 февраля 2021, 09:58

Сайт Росгвардии подвергся массированной DDoS-атаке

Главный признак ботнета — «чудовищный» показатель RPS. По данным «Яндекса», этот «ботнет продолжает расти».

Как ранее сообщали РИА Новости в «Яндексе», в прошлые выходные DDoS-атаку отразили сетевая инфраструктура и система фильтрации нежелательных запросов. Это не повлияло на работу сервисов, данные пользователей не пострадали.

Distributed Denial of Service (DDoS) — это атака на вычислительные ресурсы. Ее цель — сделать их недоступными для пользователей. Нападение проводится с использованием одного или нескольких компьютеров, которые направляют большое количество запросов на атакуемый сайт.

8 сентября 2021, 01:47

СМИ: «Яндекс» подвергся крупнейшей в истории рунета кибератаке

Как победить DDoS-атаку на коленке или технические подробности одной битвы НаПоправку за честные отзывы

Не было печали, но были негативные отзывы

{«id»:233759,»type»:1,»typeStr»:»content»,»showTitle»:false,»initialState»:{«isActive»:false},»gtm»:»»}

{«id»:233759,»gtm»:null}

Подразумевается, что читатель знаком с понятием DDoS-атаки.

Началось всё с того, что 25 ноября нам пришло сообщение от адвоката Бенхина А.Я. Адвокат представлял интересы пластического хирурга из Москвы — Михайлова А.А. и предлагал деньги за удаление негативных отзывов пользователей нашего сервиса. Мы его проигнорировали.

На следующий день с другого номера телефона мы получили новое сообщение, уже с угрозой блокировки нашего сайта:

Мы его тоже проигнорировали.

26 ноября

Шел обычный рабочий день. Первыми вестниками проблемы стали жалобы от наших пользователей, что сайт тормозит. Начали сыпаться алерты от системы мониторинга про высокий RPS, нагрузку на сервер, и высокое время ответа.

В этот момент наш сервер находился на пиковом уровне нагрузки. Бекенд у нас на PHP. Хотя ресурсов сейчас с запасом, но к такой нагрузке мы не были готовы.

Сейчас у нас нет сис. админов. Поэтому мы собрались за компом у одного из наших старших разработчиков, и стали думать над проблемой и что с ней делать. Поскольку DDoS-атаки случаются не каждый день и это вообще была наша первая подобная атака, было не сразу понятно, что это именно DDoS.

Стоит сказать, что у нас был подключен сетевой фильтр для защиты от DDoS-атак, который предоставляет Selectel “базовая защита от DDoS”. Поэтому на счет атаки мы не спешили делать выводы, раз есть фильтр. Но толи он не счел это атакой, толи он на какие-то другие атаки рассчитан, толи он реально что-то фильтровал — но нашу проблему он не решал, сайт не работал.

Фильтр заметил что-то неладное Сетевой фильтр для защиты от DDoS-атак от Selectel

Трафик на сайт в обычное время и в период атаки Сетевой фильтр для защиты от DDoS-атак от Selectel

Идеи приходили в голову медленнее, чем наш сайт переставал работать окончательно. Тем временем, мы двинулись по стандартному пути и начали вычислять хацкеров по айпи и блокировать их руками. Разумеется, это нам не помогло.

Мы используем DNS-хостинг от CloudFlare. Поэтому решили попробовать воспользоваться их услугой защиты от DDoS-атак. По описанию, она включается в пару кликов. Запросы начинают проксироваться через их сервера и выводить подозрительным пользователям и роботам js-капчу вместо целевого сайта. Это даже заработало. Но внешний вид капчи — страшный, как атомная война. Очень не хотелось видеть это у себя на сайте. Кроме этого, у CF нету точек присутствия в РФ, а это значит что трафик будет ходить через полмира, что ухудшает скорость работы сайта. Ранее мы уже это исследовали и отказались функции проксирования, которая обещала много других полезных опций. Однако, это тоже не решило проблему в один момент, и сайт продолжал лежать. Отключили их услугу и продолжили думать.

Внешний вид js-капчи от CloudFlare, пример из интернета так себе)

Так как по логам было видно, что запросы идут со всего мира, один из разработчиков предложил закрыть доступ к сайту для иностранных ip-адресов. Ключевые наши пользователи находятся в РФ. Поэтому вариант выглядел перспективно. Для этого пришлось повозиться с модулем ngx_http_geoip_module для Nginx, который у нас ранее не использовался. Где-то через пару часов сайт снова заработал. Далее до конца дня уже было тихо. Однако, включенное ограничение по РФ может помешать поисковым роботам индексировать сайт, поэтому мы отключили его в конце дня.

Позже, анализируя логи, мы обнаружили, что атака в этот день велась на две страницы: выборку врачей по услуге “нитевой лифтинг”. 4 млн запросов было сделано за несколько часов. На главную страницу на этом фоне была совсем небольшая атака, где-то 0.3 млн.

Распределение запросов 26 ноября 2020 с 12 до 18 часов Kibana

Это наводит на мысль, что если атака идет на одну страницу, то можно вырубить именно одну эту страницу на уровне веб-сервера. Вручную не очень сподручно этим заниматься. И у нас с задержкой доезжали логи до кибаны, поэтому в момент атаки такой вывод сделать не удалось, хотя и был вопрос на какие страницы идет атака.

27 ноября

Под конец дня, а это была пятница, снова началась атака. Но мы быстро включили ограничение по РФ и на этом проблема была решена. В этот раз ограничение оставили включенным на выходные.

28 ноября

В субботу я проснулся в 10 утра от звонка генерального директора — сайт не работал. А в эту ночь нашим основателям безостановочно сыпались спамные смс и емейл сообщения. По ньюрелику было видно, что все запросы идут на главную страницу. Ограничение по РФ не спасло, тк трафик шел в пределах РФ.

Рост запросов на главную страницу Newrelic

Еще было видно, что сервер балансировщик нагрузки просто не справляется с таким количеством запросов — кончился CPU, там было всего 8 ядер. Так что запросы до бекенда даже не доходили. Это повлияло на все наши сервисы. Поэтому нам пришлось пойти на экстренные меры.

Вид главной страницы сайта napopravku.ru в период атаки

Мы решили вывести вместо главной страницы скрины с перепиской с мошенниками. Под рукой был только старенький домашний ноутбук, пришлось верстать их на коленке и заливать напрямую на сервер. Плюс перенастроить nginx, чтобы за главной страницей ходил в другой document_root. Само по себе, это не помогло решить проблемы, процессор по прежнему был перегружен и сайт лежал. Однако, меньше чем через полчаса атака остановилась, а мошенники прислали новое сообщение, в котором были недовольны нашей новой главной страницей.

Реакция хацкеров на временную главную страницу совпадение))

Далее с ними была какая-то переписка, которая ни к чему не привела. Но до вечера уже все было тихо. На главной странице сайта при этом продолжали висеть скрины с перепиской.

Ночь 27-28 ноября

Пока был еще день субботы и было спокойно, мы думали что делать дальше. Подключились наши инвесторы, посоветовали компанию, а та посоветовала сервис по защите от DDoS — Qrator. Поначалу я скептически к этому отнесся, тк у нас уже был один фильтр, а сайт лежал.

Ночью я занялся его подключением и настройкой. В целом, там все просто и быстро подключается, не буду углубляться. Пока настраивал, успела случиться небольшая атака, которую мы успешно пережили. Выглядело это так, что начали сыпаться алерты о проблемах, а следом, что проблем больше нет. Буквально в течение нескольких минут.

На графике видно, что сначала прошел весь трафик, а потом фильтр начал отсеивать мусор.

Первая отраженная атака DDoS фильтр от Qrator

С этого момента у нас больше не было проблем с работой сайта. Система успешно все фильтровала.

Распределение запросов 30 ноября 2020 с 12:40 до 12:50 Kibana

Однако, после подключения системы фильтрации трафика, мы заметили, что скорость сайта просела, особенно фронтенд. Главным образом из-за того, что статика начала прокачиваться через фильтр, а ранее раздавалась через CDN.

Время загрузки страницы после подключения куратора GTmetrix

Поэтому через неделю мы отключили систему фильтрации. И все было тихо вплоть до конца декабря.

26 декабря

Днем в субботу начали сыпаться алерты, стали писать коллеги, позвонил генеральный директор — сайту было плохо. Пришлось приехать в офис и решать проблему. Сначала нужно было убедиться, что это DDoS, а не локальные проблемы у нас. По характерному росту RPS на главную — быстро стало понятно, что это атака. Далее план был понятный — подключить фильтр.

Еще нужно было вывести скрины с перепиской на главной странице сайта — мы решили, что так будет при каждой атаке.

Вот так выглядела нагрузка на CPU на балансировщике во время атаки.

Нагрузка на сервер балансировщик в начале атаки Netdata

Пока я занимался подключением фильтра, наблюдал за характером атаки. Заметил, что запросы идут на наши технические поддомены, которые не были подключены к фильтру. То есть хацкеры догадались подсмотреть их в DNS. Из чего следует, что заводить технические поддомены нужно не на продуктовом домене, а на техническом.

Подключение фильтра сводится к перенаправлению трафика на другой прокси-сервер, то есть нужно настроить DNS записи. Однако, остается возможность делать запросы напрямую на оригинальный сервер. Поэтому на оригинальном сервере нужно настроить фаервол (например, iptables), чтобы принимать запросы только от доверенного прокси-сервера. В ноябре атака была “глупая” и не использовала эту лазейку, а в этот раз догадались. Поэтому пришлось закрыть прямой доступ. После этого у хацкеров не осталось шансов как-то навредить своей DDoS-атакой, тк она просто отсекалась фильтром.

Нагрузка на балансировщике прекратилась после включения фаервола.

Нагрузка на сервер балансировщик в конце атаки Netdata

Еще несколько интересных графиков с мощностью атаки

Сравнение мощности атаки в ноябре и декабре

Сравнение мощности атаки в ноябре и декабре DDoS фильтр от Qrator

Атака 26 декабря крупным планом — в пике до 7 Гб/с

Атака 26 декабря крупным планом — в пике до 7 Гб/с DDoS фильтр от Qrator

Чтобы статика не тормозила — вернули CDN, но за оригинальным контентом запрос идет через прокси-сервер. Получилось оптимально по скорости и защищенности.

Фильтр оставили включенным на новогодние выходные, и по сей день.

Выводы

Даже подобная атака не способна удалить с нашего сайта настоящие отзывы, которые прошли тщательную модерацию. DDoS атаку реально оперативно устранить и пережить.

Есть несколько вариантов, что можно сделать при атаке:

  1. вручную заблокировать атакующего по Ip
  2. заблокировать какие-то регионы из которых идет атака или наоборот
  3. разрешить доступ только из определенных регионов
  4. отключить конкретную страницу на сайте
  5. подключить систему фильтрации трафика

Инструменты, которые мы использовали и польза от них:

Здесь перечень инструментов, которые мы использовали в рамках борьбы с DDoS-атакой. Мы поделились своим опытом работы с ними. Как-либо рекламировать их у нас нет цели, но скрывать названия инструментов кажется странным.

  1. система фильтрации Qrator — реально помогла решить проблему
  2. фаервол iptables — железно блокирует трафик, полезен в паре с фильтром от DDoS
  3. базовая защита от DDoS от Selectel — не помогла, или мы этого не заметили
  4. защитой от DDoS от Cloudflare — вроде работает, но не подошла нам. Полезный эффект не оценить.
  5. модуль ngx_http_geoip_module — полезен при удачной локации атакующих

Что именно следует предпринять — зависит от силы и продолжительности атаки. Если ресурсов хватает и на стабильности работы сайта атака не влияет — можно ее проигнорировать. Если долгое время сайт лежит — стоит подключать систему фильтрации.

Полезные ссылки

Использованные инструменты

Другие статьи об этой истории

Что делать, если вы подверглись DDoS-атаке

Распределенная атака типа «отказ в обслуживании» (DDoS) — это не шутки; они наводняют вашу сеть вредоносным трафиком, останавливая ваши приложения и предотвращая доступ законных пользователей к вашему сервису. DDoS-атаки часто приводят к потере продаж, брошенным корзинам, ущербу для репутации и недовольству пользователей.

В первой части этой серии блогов обсуждались некоторые шаги, которые необходимо предпринять для подготовки к атаке распределенного отказа в обслуживании (DDoS) до того, как она произойдет.В этом посте будет обсуждаться, что делать теперь, когда вы под атакой.

Несмотря на то, что вы не можете контролировать, когда вы можете подвергнуться атаке, выполнение описанных ниже шагов может помочь вам свести к минимуму воздействие атаки, помочь вам восстановиться и предотвратить ее повторение.

Предупреждение ключевых заинтересованных сторон

Часто говорят, что первый шаг в устранении проблемы признавая, что он у вас есть. С этой целью вам необходимо предупредить ключевые заинтересованные стороны внутри организации, объясняя, что вы подверглись нападению, и какие шаги принимаются для его смягчения.

Примеры ключевых заинтересованных сторон включают директора по информационной безопасности организации, центр управления безопасностью (SOC), сетевой ИТ-директор, операционные менеджеры, бизнес-менеджеры затронутых служб и т. д.

[Вам также может понравиться: 5 шагов по подготовке к DDoS-атаке]

Так как вы, вероятно, будете заняты борьбой нападения, вероятно, лучше держать это предупреждение кратким и по существу.

Ключевая информация – насколько она у вас есть – должна включать:

  • Что происходит
  • Когда началась атака
  • Какие активы (приложения, сервисы, серверы и т.) затронуты
  • Влияние на пользователей и клиентов
  • Какие шаги предпринимаются для смягчения последствий атаки

Информируйте заинтересованные стороны по мере развития событий и/или появления новой информации. Постоянное информирование ключевых заинтересованных сторон поможет предотвратить путаницу, неопределенность и панику, а также поможет координировать усилия по остановке атаки.

[Вам также может понравиться: Защита от DDoS требует двустороннего взгляда]

Сообщите своему поставщику услуг безопасности

В тандеме с уведомлением заинтересованных сторон в вашей организации вы также захотите предупредить своего поставщика услуг безопасности и инициировать любые шаги с их стороны, чтобы помочь вам справиться с атакой.

Ваш провайдер безопасности может быть вашим интернет-провайдером (ISP), провайдер веб-хостинга или специализированная служба безопасности.

Каждый тип поставщика имеет разные возможности и объем услуг. Ваш интернет-провайдер может помочь свести к минимуму объем вредоносного сетевого трафика, достигающего вашей сети, тогда как ваш провайдер веб-хостинга может помочь вам свести к минимуму влияние приложений и масштабировать ваши услуги. Точно так же службы безопасности обычно имеют специальные инструменты для борьбы с DDoS-атаками.

[Вам также может понравиться: Нормализация DDoS-атак]

Даже если у вас еще нет предварительно определенного соглашения об обслуживании или вы не подписаны на их предложение по защите от DDoS-атак, вы все равно должны обратиться к ним, чтобы узнать, как они могут помочь.

Активировать меры противодействия

Если у вас есть какие-либо контрмеры, сейчас самое время их активировать.

Одним из подходов является внедрение списков управления доступом (ACL) на основе IP для блокировки всего трафика, исходящего от источников атаки.Это делается на уровне сетевого маршрутизатора и обычно может выполняться либо вашей сетевой командой, либо вашим интернет-провайдером. Это полезный подход, если атака исходит из одного источника или небольшого количества источников атаки. Однако, если атака идет с большого пула IP-адресов, этот подход может не помочь.

Если целью атаки является приложение или веб-служба, вы также можете попытаться ограничить количество одновременных подключений приложений. Этот подход известен как ограничение скорости, и его часто предпочитают провайдеры веб-хостинга и CDN.Обратите внимание, однако, что этот подход подвержен высокой степени ложных срабатываний, поскольку он не может отличить вредоносный и законный пользовательский трафик.

[Вам также может понравиться: Размер имеет значение? Соображения по емкости при выборе службы защиты от DDoS]

Специализированные средства защиты от DDoS-атак обеспечат вам самый широкий охват от DDoS-атак. Меры защиты от DDoS-атак могут быть развернуты либо в виде устройства в вашем центре обработки данных, либо в виде облачной службы очистки, либо в виде гибридного решения, объединяющего аппаратное устройство и облачную службу.

В идеале, эти контрмеры должны срабатывать сразу после обнаружения атаки. Однако в некоторых случаях такие инструменты, как аппаратные устройства вне пути или активируемые вручную службы смягчения последствий по запросу, могут потребовать, чтобы клиент активно инициировал их.

Как упоминалось выше, даже если у вас нет специального решения для обеспечения безопасности, большинство служб безопасности допускают экстренную регистрацию во время атаки. Такая регистрация часто влечет за собой большую плату или обязательство подписаться на услугу позже.Однако это может быть необходимо, если у вас нет другого выхода.

[Вам также может понравиться: Законно ли оценивать службу защиты от DDoS-атак?]

Отслеживание хода атаки

Во время атаки вы должны следить за ее развитием, чтобы увидеть, как она развивается с течением времени.

Некоторые из ключевых вопросов, которые нужно попробовать и оценить в ходе этого время:

  • Какой тип DDoS-атаки? Это флуд на сетевом уровне или атака на уровне приложений?
  • Каковы характеристики атаки? Насколько велика атака (как по битам в секунду, так и по количеству пакетов в секунду)?
  • Атака исходит из одного IP-источника или из нескольких источников? Можете ли вы их идентифицировать?
  • Как выглядит схема атаки? Это единичный устойчивый потоп или взрывная атака? Задействует ли он один протокол или несколько векторов атаки?
  • Цели атаки остаются прежними или злоумышленники со временем меняют свои цели?

Отслеживание хода атаки также поможет вам настроить защиту.

[Вам также может понравиться: 8 вопросов о защите от DDoS-атак]

Оценка эффективности защиты

Наконец, по мере развития атаки и вашего развертываются контрмеры, вам необходимо измерить их продолжающиеся эффективность.

Вопрос здесь простой: работает ли защита или трафик атаки проходит?

Ваш поставщик систем безопасности должен предоставить вам уровень обслуживания Соглашение (SLA) документ, который фиксирует их сервисные обязательства.Два из наиболее важными показателями в этом документе являются Time-to-Mitigate (TTM) и Согласованность смягчения последствий.

[Вам также может понравиться: Появление групп отказа в обслуживании]

  • Время до смягчения измеряет как быстро ваш поставщик обязуется остановить атаку.
  • Метрика Consistency-of-Mitigation , вкл. с другой стороны, измеряет насколько хорошо он останавливает атаку.Этот показатель обычно определяется как отношение вредоносного трафика к разрешенному через вашу сеть.

Если вы обнаружите, что ваша система безопасности не соответствует их обязательствам по соглашению об уровне обслуживания или, что еще хуже, вообще не может остановить атаку, сейчас самое время оценить, нужно ли вам вносить изменения.

Загрузите «Альманах хакеров» Radware, чтобы узнать больше.

Загрузить сейчас

Распределенный отказ в обслуживании: как работают DDoS-атаки

Распределенный отказ в обслуживании (DDoS) — это попытка грубой силы замедлить или полностью вывести сервер из строя. Несмотря на то, что это по-прежнему представляет серьезную угрозу для бизнеса, повышение осведомленности корпораций в сочетании с усовершенствованием программного обеспечения для обеспечения безопасности в Интернете помогло сократить количество атак. Тем не менее, любой отказ в обслуживании представляет собой серьезный риск — но как именно работают эти атаки и какой ущерб они могут нанести?

Финансовый ущерб для предприятий может быть серьезным. Недавнее исследование «Лаборатории Касперского» показало, что DDoS-атака может стоить компании более 1,6 миллиона долларов — ошеломляющая сумма для любой компании.DDoS-атаку можно рассматривать как «дымовую завесу», отвлекающую внимание вашего персонала, пока происходит другая атака, например, кража данных. Это усиливает важность защиты от DDoS-атак любой ценой и принятия необходимых мер безопасности, чтобы избежать катастрофических финансовых потерь.

Анатомия DDoS

Целью DDoS-атаки является отключение пользователей от сервера или сетевого ресурса путем перегрузки его запросами на обслуживание. В то время как простой отказ в обслуживании включает в себя один «атакующий» компьютер и одну жертву, распределенный отказ в обслуживании опирается на армии зараженных компьютеров или компьютеров-роботов, способных выполнять задачи одновременно.

Этот «ботнет» создан хакером, который использует уязвимую систему, превращая ее в ботмастера. Ботмастер ищет другие уязвимые системы и заражает их вредоносным ПО — чаще всего троянским вирусом. Когда заражено достаточное количество устройств, хакер приказывает им атаковать; каждая система начинает отправлять поток запросов на целевой сервер или сеть, перегружая их, что приводит к замедлению работы или полному сбою.

Существует несколько распространенных типов DDoS-атак, таких как тома, протокол и прикладной уровень.Атаки на основе тома включают в себя UDP, ICMP и любые другие флуд-пакеты с подделкой, которые пытаются использовать полосу пропускания; чем выше скорость передачи данных в битах в секунду (бит/с) при таком типе атаки, тем она эффективнее. Атаки по протоколу направлены непосредственно на ресурсы сервера и включают Smurf DDoS, Ping of Death и SYN-флуд. Если будет достигнута достаточно большая скорость передачи пакетов в секунду, сервер выйдет из строя.

Наконец, атаки на уровне приложений, такие как DDoS нулевого дня или Slowloris, нацелены на приложения, отправляя запросы, которые кажутся законными, но в очень большом объеме.Если за достаточно короткий промежуток времени поступает достаточно запросов, веб-сервер жертвы отключается.

Влияние DDoS-атак

В случае DDoS-атаки могут быть потеряны деньги, время, клиенты и даже репутация. В зависимости от серьезности атаки ресурсы могут быть недоступны в течение 24 часов, нескольких дней или даже недели. На самом деле, исследование «Лаборатории Касперского» показало, что каждая пятая DDoS-атака может длиться несколько дней или даже недель, что свидетельствует об их сложности и серьезной угрозе для всех предприятий.

Во время атаки сотрудники не могут получить доступ к сетевым ресурсам, а в случае веб-серверов, на которых запущены сайты электронной коммерции, ни один потребитель не сможет покупать продукты или получать помощь. Сумма в долларах варьируется, но компании могут потерять 20 000 долларов в час в случае успешной атаки.

Также важно учитывать влияние компьютеров-роботов, используемых в атаке. Хотя их часто считают добровольными виновниками, на самом деле они являются сторонними наблюдателями, попавшими под перекрестный огонь из-за уязвимостей в своих системах.В некоторых случаях врожденные проблемы безопасности могут позволить троянскому вирусу проникнуть в сеть компании и заразить компьютеры, в то время как в других случаях причиной открытия неизвестных вложений электронной почты или загрузки непроверенных файлов являются сотрудники. Во время события DDoS эти вторичные устройства-жертвы также работают медленно и могут выйти из строя, если утечка их собственных ресурсов станет слишком большой. Даже если они останутся в рабочем состоянии, системы не будут хорошо реагировать на законные запросы на обслуживание.

Защита от DDoS-атак

Существует несколько способов защиты от DDoS-атак.По данным Института разработки программного обеспечения Карнеги-Меллона, одним из наиболее распространенных является ограничение количества попыток входа в систему, которые может сделать любой пользователь, прежде чем его учетная запись будет «заблокирована». Однако в случае DDoS-атаки этот метод может быть использован против компании, эффективно блокируя доступ пользователей к своим компьютерам в течение длительного периода времени. На этот случай в систему всегда должна быть встроена точка аварийного доступа.

Всегда должны быть дополнительные надежные решения для защиты от DDoS-атак.Чтобы сделать работу этого решения еще более эффективной, компании могут сделать следующее:

  • разрешить конфигурацию веб-сервера для защиты от DDoS-атак
  • изменить брандмауэр интернет-провайдера, чтобы разрешить только трафик, дополняющий услуги на стороне компании
  • настроить брандмауэр для защиты от SYN-флуд-атак
  • перенести общедоступные ресурсы на другой IP-адрес
  • переместить все важные бизнес-приложения в облако или в отдельную общедоступную подсеть

Кроме того, компаниям следует отключить любые ненужные или незнакомые сетевые службы, которые могут использоваться в качестве точки проникновения DDoS.Квоты данных и функции разделения диска также помогают ограничить воздействие атаки.

Также очень важно установить базовый уровень производительности сети и трафика сервера. Чрезвычайно высокие темпы потребления без видимой причины часто указывают на то, что злоумышленник пытается оценить силу защиты компании.

Наряду с такого рода мониторингом компаниям следует инвестировать в специальный анти-DDoS-сервис, который включает автоматическое сканирование для обнаружения наиболее распространенных типов DDoS-атак.Это программное обеспечение следует регулярно обновлять, чтобы обеспечить максимальную защиту.

DDoS: защитите себя

Распределенные атаки типа «отказ в обслуживании» могут вызвать перебои в работе серверов и денежные потери, а также создать чрезмерную нагрузку на ИТ-специалистов, пытающихся вернуть ресурсы в оперативный режим. Правильные методы обнаружения и предотвращения могут помочь остановить событие DDoS до того, как оно наберет достаточно импульса, чтобы обрушить сети компании.

Другая полезная литература и ссылки, связанные с компьютерными вирусами

Распределенный отказ в обслуживании: структура и влияние DDoS-атак

Kaspersky

Атака распределенного отказа в обслуживании (DDoS) — это попытка грубой силы замедлить или полностью вывести из строя сервер .Любой отказ в обслуживании представляет собой серьезный риск

DDoS-атаки: определение, примеры и методы

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» (DDoS) — это когда злоумышленник или злоумышленники пытаются сделать невозможным предоставление услуги. Этого можно достичь, препятствуя доступу практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже определенным транзакциям внутри приложений.В случае DoS-атаки одна система отправляет вредоносные данные или запросы; DDoS-атака исходит из нескольких систем.

Как правило, эти атаки работают, заглушая систему запросами данных. Это может быть связано с тем, что веб-сервер отправляет так много запросов на обслуживание страницы, что он падает из-за запроса, или это может быть связано с большим объемом запросов к базе данных. В результате доступная пропускная способность Интернета, емкость ЦП и ОЗУ становятся перегруженными.

Последствия могут варьироваться от незначительного раздражения от перебоев в обслуживании до отключения целых веб-сайтов, приложений или даже всего бизнеса.

Как работают DDoS-атаки?

DDoS-ботнеты являются ядром любой DDoS-атаки. Ботнет состоит из сотен или тысяч машин, называемых зомби или ботов , над которыми злоумышленник получил контроль. Злоумышленники будут собирать эти системы, выявляя уязвимые системы, которые они могут заразить вредоносным ПО с помощью фишинговых атак, вредоносных атак и других методов массового заражения. Зараженные машины могут варьироваться от обычных домашних или офисных ПК до устройств DDoS — ботнет Mirai, как известно, собрал целую армию взломанных камер видеонаблюдения — и их владельцы почти наверняка не знают, что они были скомпрометированы, поскольку они продолжают нормально функционировать в большинстве случаев. уважает.

Зараженные машины ожидают удаленной команды от так называемого командно-контрольного сервера, который служит центром управления атакой и часто сам является взломанной машиной. После запуска все боты пытаются получить доступ к какому-либо ресурсу или сервису, который жертва делает доступным в сети. По отдельности запросы и сетевой трафик, направляемые каждым ботом к жертве, были бы безвредными и нормальными. Но из-за того, что их так много, запросы часто превосходят возможности целевой системы, а поскольку боты, как правило, представляют собой обычные компьютеры, широко распространенные в Интернете, может быть трудно или невозможно заблокировать их трафик, не отключая законных пользователей в точке доступа. в то же время.

Существует три основных класса DDoS-атак, отличающихся главным образом типом трафика, который они направляют на системы жертв:

  1. Атаки на основе объема используют огромные объемы фиктивного трафика для перегрузки ресурса, такого как веб-сайт или сервер. . К ним относятся ICMP, UDP и флуд-атаки с поддельными пакетами. Размер атаки на основе объема измеряется в битах в секунду (bps).
  2. Протокольные или сетевые DDoS-атаки отправляют большое количество пакетов в целевые сетевые инфраструктуры и средства управления инфраструктурой.Эти атаки на протоколы включают, среди прочего, SYN-флуд и Smurf DDoS, а их размер измеряется в пакетах в секунду (PPS).
  3. Атаки на уровне приложений проводятся путем переполнения приложений вредоносными запросами. Размер атак на уровне приложений измеряется количеством запросов в секунду (RPS).

Важные методы, используемые во всех типах DDoS-атак, включают:

  • Спуфинг: Мы говорим, что злоумышленник подделывает IP-пакет, когда он изменяет или запутывает информацию в его заголовке, которая должна сообщить вам, откуда он пришел.Поскольку жертва не может видеть настоящий источник пакета, она не может блокировать атаки, исходящие из этого источника.
  • Отражение: Злоумышленник может создать поддельный IP-адрес, чтобы он выглядел так, как будто он действительно исходит от предполагаемой жертвы, а затем отправить этот пакет в стороннюю систему, которая «отвечает» обратно жертве. Из-за этого цели еще труднее понять, откуда на самом деле идет атака.
  • Расширение: Некоторые онлайн-сервисы могут быть обмануты, чтобы они отвечали на пакеты очень большими пакетами или несколькими пакетами.

Все три метода могут быть объединены в так называемую DDoS-атаку с отражением/усилением, которая становится все более распространенной.

Как идентифицировать DDoS-атаки

DDoS-атаки бывает трудно диагностировать. Ведь атаки внешне напоминают поток трафика из законных запросов от законных пользователей. Но есть способы отличить искусственный трафик от DDoS-атаки от более «естественного» трафика, который вы ожидаете получить от реальных пользователей.Вот четыре симптома DDoS-атаки, на которые следует обратить внимание:

  • Несмотря на методы спуфинга или распространения, многие DDoS-атаки будут исходить из ограниченного диапазона IP-адресов или из одной страны или региона — возможно, региона, который вы обычно не видите. трафик из.
  • Точно так же вы можете заметить, что весь трафик исходит от одного и того же клиента, с одной и той же операционной системой и веб-браузером, отображаемыми в его HTTP-запросах, вместо того, чтобы показывать разнообразие, которое вы ожидаете от реальных посетителей.
  • Трафик может направляться на один сервер, сетевой порт или веб-страницу, а не распределяться равномерно по всему сайту.
  • Трафик может поступать регулярно синхронизированными волнами или шаблонами.

Как остановить DDoS-атаку

Смягчить последствия DDoS-атаки сложно, поскольку, как отмечалось ранее, атака принимает форму веб-трафика того же типа, который используют ваши законные клиенты. Было бы легко «остановить» DDoS-атаку на ваш веб-сайт, просто заблокировав все HTTP-запросы, и это действительно может быть необходимо для предотвращения сбоя вашего сервера.Но это также блокирует посещение вашего сайта кем-либо еще, а это означает, что ваши злоумышленники достигли своих целей.

Если вы можете отличить DDoS-трафик от законного трафика, как описано в предыдущем разделе, это может помочь смягчить атаку, сохраняя при этом ваши службы хотя бы частично онлайн: например, если вы знаете, что атакующий трафик исходит из восточноевропейских источников, вы может блокировать IP-адреса из этого географического региона. Хорошим профилактическим методом является закрытие любых общедоступных служб, которые вы не используете.Службы, которые могут быть уязвимы для атак на уровне приложений, можно отключить, не влияя на вашу способность обслуживать веб-страницы.

В целом, лучший способ защититься от DDoS-атак — просто иметь возможность выдерживать большие объемы входящего трафика. В зависимости от вашей ситуации это может означать усиление вашей собственной сети или использование сети доставки контента (CDN), службы, предназначенной для обработки огромных объемов трафика. У вашего поставщика сетевых услуг могут быть свои собственные службы смягчения последствий, которыми вы можете воспользоваться.

Причины DDoS-атак

DDoS-атака — это тупой инструмент атаки. В отличие от успешного проникновения, он не дает вам никаких личных данных и не дает вам контроля над инфраструктурой вашей цели. Это просто отключает их киберинфраструктуру. Тем не менее, в мире, где присутствие в Интернете является обязательным для любого бизнеса, DDoS-атака может стать разрушительным оружием, нацеленным на врага. Люди могут запускать DDoS-атаки, чтобы отключить бизнес или политических конкурентов — ботнет Mirai был разработан как оружие в войне между поставщиками серверов Minecraft, и есть свидетельства того, что российские службы безопасности в какой-то момент готовили аналогичную атаку.И хотя DDoS-атака — это не то же самое, что атака программ-вымогателей, DDoS-атаки иногда связываются со своими жертвами и обещают отключить поток пакетов в обмен на биткойны.

DDoS-инструменты: загрузчики и стрессоры

А иногда DDoS-атаки делают это только ради денег — не денег от вас, а от кого-то, кто хочет вывести ваш сайт из строя. Инструменты под названием booters и stressers доступны в более неприличных частях Интернета, которые, по сути, предоставляют заинтересованным клиентам DDoS-услуги, предлагая доступ к готовым ботнетам одним нажатием кнопки за определенную плату.

Является ли DDoS незаконным?

Вы можете увидеть аргумент, который звучит примерно так: отправка веб-трафика или запросов через Интернет на сервер не является незаконной, поэтому DDoS-атаки, которые просто агрегируют огромное количество веб-трафика, не могут считаться преступление. Однако это фундаментальное непонимание закона. Если оставить в стороне тот момент, что взлом компьютера с целью сделать его частью ботнета является незаконным, большинство законов о борьбе с киберпреступностью в США.S., Великобритания и другие страны имеют довольно широкое определение и криминализируют любое действие, нарушающее работу компьютера или онлайн-сервиса, а не конкретизируют конкретные методы. Однако имитация DDoS-атаки с согласия целевой организации в целях стресс-тестирования их сети является законной.

DDoS-атаки сегодня

Как кратко упоминалось выше, эти атаки все чаще проводятся арендованными ботнетами. Ожидайте, что эта тенденция сохранится.

Еще одной тенденцией является использование нескольких векторов атаки в рамках атаки, также известной как Advanced Persistent Denial-of-Service APDoS. Например, атака APDoS может включать прикладной уровень, например, атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого «флудинга», — говорит Чак Макки, управляющий директор по партнерскому успеху в Binary Defense.

Кроме того, объясняет Макки, злоумышленники часто нацеливаются не только непосредственно на своих жертв, но и на организации, от которых они зависят, такие как интернет-провайдеры и облачные провайдеры.«Это широкомасштабные, хорошо скоординированные атаки с высокой отдачей», — говорит он.

Это также меняет воздействие DDoS-атак на организации и повышает их риск. «Компании больше не беспокоятся только о DDoS-атаках на себя, но и об атаках на огромное количество деловых партнеров, продавцов и поставщиков, на которых полагаются эти компании», — говорит Майк Оверли, юрист по кибербезопасности в Foley & Lardner LLP. «Одна из старейших пословиц в области безопасности гласит, что безопасность бизнеса зависит от его самого слабого звена.В сегодняшних условиях (о чем свидетельствуют недавние взломы) самым слабым звеном может быть и часто является одна из третьих сторон», — говорит он.

Copyright © 2022 IDG Communications, Inc.

6 советов по борьбе с DDoS-атаками

Знание того, как быстро остановить DDoS-атаку, может стать залогом процветания вашей организации или банкротства. Это связано с тем, что последствия успешной DDoS-атаки могут быть разрушительными, из-за чего ваша организация исчезнет из Интернета и не сможет взаимодействовать с клиентами.

Если вы стали жертвой DDoS-атаки, вы не одиноки. В число известных жертв DDoS-атак в 2018 году входят такие разные организации, как Google, Amazon, PlayStation, Pinterest и GitHub, которые подверглись самой массовой DDoS-атаке из когда-либо наблюдавшихся.

Обычная атака типа «отказ в обслуживании» (DoS) включает бомбардировку IP-адреса большим объемом трафика. Если IP-адрес указывает на веб-сервер, то он (или вышележащие маршрутизаторы) может быть перегружен.Легитимный трафик, направленный на веб-сервер, не сможет связаться с ним, и сайт станет недоступен. В обслуживании отказано.

Посмотрите нашу подборку лучших поставщиков DDoS

Распределенная атака типа «отказ в обслуживании» (DDoS) — это особый тип атаки типа «отказ в обслуживании». Принцип тот же, но вредоносный трафик генерируется из нескольких источников, хотя и управляется из одной центральной точки. Тот факт, что источники трафика распределены — часто по всему миру — делает DDoS-атаку намного сложнее заблокировать, чем атаку, исходящую с одного IP-адреса.

Узнайте о различных типах DDoS-атак

DDoS-атаки участились

DDoS-атаки становятся все более распространенными, согласно исследованию, опубликованному Corero Network Security в конце 2017 года. В его отчете о тенденциях и анализе DDoS-атак указано, что количество атак увеличилось на 35% между Q2 2017 и Q3 2017.

Одной из причин их растущей распространенности является растущее число небезопасных устройств Интернета вещей (IoT), которые заражаются и вербуются в ботнеты, такие как Reaper.

Объем данных, запускаемых жертвами DDoS-атак, также значительно вырос, в основном благодаря атакам с усилением, таким как метод атаки с усилением memcached. Ранее в этом году киберпреступники запустили около 15 000 атак memcached, в том числе атака на GitHub, максимальная скорость которой составила 1,35 Тбит/с.

Предотвратить DDoS-атаку, когда злоумышленники могут запускать более 1 Тбит/с на ваших серверах, практически невозможно, и это означает, что как никогда важно понимать, как остановить DDoS-атаку после того, как она начала влиять на ваши операции.Вот шесть советов, как остановить DDoS-атаку.

Как остановить DDoS-атаку

1. Раннее выявление DDoS-атаки

Если у вас есть собственные серверы, вы должны иметь возможность определять, когда вы подвергаетесь атаке. Это связано с тем, что чем раньше вы сможете установить, что проблемы с вашим сайтом вызваны DDoS-атакой, тем быстрее вы сможете остановить DDoS-атаку.

Чтобы быть в состоянии сделать это, рекомендуется ознакомиться с типичным профилем входящего трафика; чем больше вы знаете о том, как выглядит ваш обычный трафик, тем легче будет определить, когда его профиль изменится.Большинство DDoS-атак начинаются с резких всплесков трафика, и полезно уметь отличать внезапный всплеск законных посетителей от начала DDoS-атаки.

Также рекомендуется назначить лидера DDoS в вашей компании, который будет отвечать за действия в случае атаки на вас.

2. Избыточная пропускная способность

Обычно имеет смысл иметь большую пропускную способность, доступную для вашего веб-сервера, чем вы когда-либо думали, что вам может понадобиться. Таким образом, вы сможете компенсировать внезапные и неожиданные всплески трафика, которые могут быть вызваны рекламной кампанией, специальным предложением или даже упоминанием вашей компании в СМИ.

Даже если вы предусмотрите 100- или 500-процентную избыточность ресурсов, это, скорее всего, не остановит DDoS-атаку. Но это может дать вам несколько дополнительных минут, прежде чем ваши ресурсы будут полностью перегружены.

3. Защита по периметру сети (если у вас есть собственный веб-сервер)

Существует несколько технических мер, которые можно предпринять для частичного смягчения последствий атаки, особенно в первые минуты, и некоторые из них довольно просты. Например, вы можете:

  • ограничьте скорость вашего маршрутизатора, чтобы предотвратить перегрузку вашего веб-сервера
  • добавьте фильтры, чтобы ваш маршрутизатор отбрасывал пакеты от очевидных источников атаки
  • тайм-аут полуоткрытых соединений более агрессивно
  • перетаскивание поддельных или искаженных пакетов
  • установить более низкие пороги отбрасывания пакетов SYN, ICMP и UDP

Но правда в том, что хотя эти меры были эффективны в прошлом, DDoS-атаки в настоящее время обычно слишком велики, чтобы эти меры могли полностью остановить DDoS-атаку.Опять же, максимум, на что вы можете надеяться, это то, что они выиграют вам немного времени, пока DDoS-атака набирает обороты.

4. Позвоните своему интернет-провайдеру или хостинг-провайдеру

.

Следующим шагом будет обращение к вашему интернет-провайдеру (или хостинг-провайдеру, если вы не размещаете собственный веб-сервер), сообщите им, что вас атакуют, и попросите о помощи. Держите под рукой экстренные контакты вашего интернет-провайдера или хостинг-провайдера, чтобы вы могли сделать это быстро. В зависимости от силы атаки интернет-провайдер или хостер могут уже обнаружить ее — или они сами могут начать подавляться атакой.

У вас больше шансов противостоять DDoS-атаке, если ваш веб-сервер расположен в хостинг-центре, чем если вы запускаете его самостоятельно. Это связано с тем, что его центр обработки данных, скорее всего, будет иметь каналы с гораздо более высокой пропускной способностью и маршрутизаторы с более высокой пропускной способностью, чем у вашей компании, а его сотрудники, вероятно, будут иметь больше опыта в борьбе с атаками. Размещение вашего веб-сервера у хостера также будет удерживать DDoS-трафик, направленный на ваш веб-сервер, вне вашей корпоративной локальной сети, поэтому, по крайней мере, эта часть вашего бизнеса, включая электронную почту и, возможно, услуги передачи голоса по IP (VoIP), должна нормально работать во время атаки.

Если DDoS-атака достаточно крупная, первое, что может сделать хостинговая компания или интернет-провайдер, — «обнулить» ваш трафик, что приведет к тому, что пакеты, предназначенные для вашего веб-сервера, будут отброшены до того, как они поступят.

«Для хостинговой компании может быть очень дорого допустить DDoS в свою сеть, потому что это потребляет большую часть полосы пропускания и может повлиять на других клиентов, поэтому первое, что мы можем сделать, — это заблокировать вас на некоторое время», — сказал Лиам Энтикнап. , инженер по эксплуатации сети хостинга PEER 1.

Тим Пэт ​​Даффици, управляющий директор интернет-провайдера и хостинговой компании ServerSpace, согласился. «Первое, что мы делаем, когда видим, что клиент подвергается атаке, — это подключаемся к нашим маршрутизаторам и останавливаем трафик, попадающий в нашу сеть», — говорит он. «Это занимает около двух минут для глобального распространения с использованием BGP (протокола пограничного шлюза), а затем трафик падает».

Если бы на этом история закончилась, DDoS-атака все равно была бы успешной. Чтобы вернуть веб-сайт обратно в сеть, ваш интернет-провайдер или хостинговая компания могут перенаправить трафик на «скруббер», где вредоносные пакеты могут быть удалены до того, как законные будут отправлены на ваш веб-сервер.

«Мы используем наш опыт и различные инструменты, чтобы понять, как трафик на ваш сайт изменился по сравнению с тем, что он получал раньше, и идентифицировать вредоносные пакеты», — сказал Энтикнап. Он говорит, что PEER 1 может принимать, очищать и отправлять очень большие объемы трафика, но с уровнями трафика, сравнимыми с теми, которые испытывает Github, даже эта очистка, вероятно, будет перегружена.

5. Позвоните специалисту по предотвращению DDoS-атак

В случае очень крупных атак, скорее всего, ваш лучший шанс оставаться в сети — обратиться в специализированную компанию по предотвращению DDoS-атак.Эти организации имеют крупномасштабную инфраструктуру и используют различные технологии, включая очистку данных, чтобы поддерживать ваш веб-сайт в сети. Возможно, вам придется напрямую связаться с компанией по предотвращению DDoS-атак, или у вашей хостинговой компании или поставщика услуг может быть партнерское соглашение с одной из них для борьбы с крупными атаками.

«Если клиенту требуется защита от DDoS-атак, мы перенаправляем его трафик в Black Lotus (компанию по защите от DDoS-атак), — сказал Даффици. «Мы делаем это с помощью BGP, поэтому это занимает всего несколько минут.

Центр очистки

Black Lotus может обрабатывать очень высокие уровни трафика и направляет очищенный трафик по назначению. Это приводит к более высокой задержке для пользователей веб-сайта, но альтернативой является то, что они вообще не смогут получить доступ к сайту.

Услуги по смягчению последствий DDoS-атак

не бесплатны, поэтому вам решать, хотите ли вы платить за то, чтобы оставаться в сети, или принять удар и подождать, пока DDoS-атака утихнет, прежде чем продолжать вести бизнес. Подписка на службу защиты от DDoS-атак на постоянной основе может стоить несколько сотен долларов в месяц.Однако, если вы ждете, пока он вам не понадобится, ожидайте, что вы заплатите гораздо больше за услугу и подождите дольше, прежде чем она начнет работать.

Подробнее о решениях DDoS

6. Создайте сборник сценариев DDoS

Лучший способ обеспечить максимально быстрое и эффективное реагирование вашей организации на остановку DDoS-атаки — создать сценарий, в котором подробно документируется каждый шаг заранее запланированного реагирования при обнаружении атаки.

Это должно включать действия, описанные выше, с контактными именами и телефонными номерами всех тех, кого может потребоваться привлечь к действию в рамках плана игры.Компании по предотвращению DDoS-атак могут помочь в этом, запустив смоделированную DDoS-атаку, что позволит вам разработать и усовершенствовать быструю корпоративную процедуру реагирования на реальную атаку.

Важной частью вашего запланированного ответа на DDoS-атаку, которую нельзя упускать из виду, является то, как вы сообщаете о проблеме клиентам. DDoS-атаки могут длиться до 24 часов, а хорошая коммуникация может гарантировать минимальные затраты для вашего бизнеса, пока вы остаетесь под атакой.

Ваша организация должна приложить значительные усилия для предотвращения влияния DDoS-атак на вашу инфраструктуру, и это тема следующей статьи из этой серии, Как предотвратить DDoS-атаки .

Лучшие рекомендации по программному обеспечению для кибербезопасности

Пол Рубенс занимается информационной безопасностью более 20 лет. За это время он писал для ведущих британских и международных изданий, включая The Economist, The Times, Financial Times, BBC, Computing и ServerWatch.

 

Эта статья была первоначально опубликована 30 апреля 2013 г. и обновлена ​​25 января 2016 г. и 26 июня 2018 г.

Что такое DDoS-атака

Распределенные сетевые атаки часто называют атаками распределенного отказа в обслуживании (DDoS).Этот тип атаки использует определенные ограничения пропускной способности, которые применяются к любым сетевым ресурсам, таким как инфраструктура, обеспечивающая работу веб-сайта компании. DDoS-атака будет отправлять несколько запросов к атакуемому веб-ресурсу — с целью превысить возможности сайта по обработке нескольких запросов… и помешать правильному функционированию сайта.

К типичным целям DDoS-атак относятся:

  • Интернет-магазины
  • Онлайн-казино
  • Любой бизнес или организация, которая зависит от предоставления онлайн-услуг

Как работает DDoS-атака

Сетевые ресурсы, такие как веб-серверы, имеют ограниченное количество запросов, которые они могут обслуживать одновременно.Помимо ограничения пропускной способности сервера, канал, соединяющий сервер с Интернетом, также будет иметь конечную пропускную способность/емкость. Всякий раз, когда количество запросов превышает пределы пропускной способности любого компонента инфраструктуры, уровень обслуживания, вероятно, пострадает одним из следующих способов:

  • Ответ на запросы будет намного медленнее, чем обычно.
  • Некоторые или все запросы пользователей могут быть полностью проигнорированы.

Обычно конечной целью злоумышленника является тотальное воспрепятствование нормальному функционированию веб-ресурса – тотальный «отказ в обслуживании».Злоумышленник также может потребовать оплату за прекращение атаки. В некоторых случаях DDoS-атака может быть даже попыткой дискредитировать или нанести ущерб бизнесу конкурента.

Использование «зомби-сети» ботнета для проведения DDoS-атаки

Чтобы отправить чрезвычайно большое количество запросов к ресурсу-жертве, киберпреступник часто создает «зомби-сеть» из зараженных преступником компьютеров. Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, сам масштаб атаки может быть непосильным для веб-ресурсов жертвы.

Природа современных DDoS-угроз

В начале-середине 2000-х годов этот вид преступной деятельности был достаточно распространенным явлением. Однако количество успешных DDoS-атак снижается. Это снижение числа DDoS-атак, вероятно, было вызвано следующим:

  • Полицейские расследования, приведшие к аресту преступников по всему миру
  • Технические меры противодействия DDoS-атакам, оказавшиеся успешными

Другие статьи и ссылки, связанные с распределенными сетевыми атаками/DDoS

Что такое DDoS-атака? — Значение DDoS

Распределенные сетевые атаки Kaspersky

часто называют распределенными атаками типа «отказ в обслуживании» (DDoS).Этот тип атаки использует определенные ограничения емкости, которые применяются к любым сетевым ресурсам, таким как инфраструктура, которая позволяет веб-сайту компании…

Как предотвратить DDoS-атаки: 7 проверенных методов

DDoS-атака позволяет хакеру залить сеть или сервер поддельным трафиком. Слишком большой трафик перегружает ресурсы и нарушает связь, мешая системе обрабатывать подлинные запросы пользователей. Услуги становятся недоступными, а целевая компания страдает от длительных простоев, упущенной выгоды и недовольных клиентов.

В этой статье объясняется, как бизнес может предотвратить DDoS-атаки и оставаться на шаг впереди потенциальных хакеров. Практики, которые мы показываем ниже, помогают свести к минимуму влияние DDoS и обеспечить быстрое восстановление после попытки атаки.

Что такое DDoS-атака?

DDoS ( Распределенный отказ в обслуживании ) — это кибератака, направленная на сбой сети, службы или сервера путем заполнения системы фальшивым трафиком. Внезапный всплеск сообщений, запросов на подключение или пакетов перегружает целевую инфраструктуру и приводит к замедлению или сбою системы.

Хотя некоторые хакеры используют DDoS-атаки, чтобы шантажировать бизнес, заставляя его платить выкуп (по аналогии с программами-вымогателями), более распространенными мотивами DDoS являются:

  • Нарушение работы служб или связи.
  • Нанести клеймо.
  • Получите преимущество в бизнесе, пока сайт конкурента не работает.
  • Отвлечь группу реагирования на инциденты.

DDoS-атаки представляют опасность для предприятий любого размера, от компаний из списка Fortune 500 до небольших интернет-магазинов.По статистике DDoS-хакеры чаще всего атакуют:

  • Интернет-магазины.
  • поставщиков ИТ-услуг.
  • Финансовые и финтех-компании.
  • Государственные учреждения.
  • Онлайн-игры и игорные компании.

Злоумышленники обычно используют ботнет , чтобы вызвать DDoS. Ботнет — это связанная сеть зараженных вредоносным ПО компьютеров, мобильных устройств и IoT-гаджетов, находящихся под контролем злоумышленника. Хакеры используют эти «зомби-устройства» для отправки чрезмерного количества запросов на целевой веб-сайт или IP-адрес сервера.

Как только ботнет отправляет достаточно запросов, онлайн-сервисы (электронная почта, веб-сайты, веб-приложения и т. д.) замедляются или перестают работать. Согласно отчету Radware, это средняя продолжительность DDoS-атаки:

  • 33% держат сервисы недоступными в течение часа.
  • 60% длятся менее полного дня.
  • 15% хватает на месяц.

Хотя DDoS обычно не приводит напрямую к утечке или утечке данных, жертва тратит время и деньги на восстановление доступа к услугам.Потеря бизнеса, брошенные корзины, разочарованные пользователи и ущерб репутации — обычные последствия неспособности предотвратить DDoS-атаки.

DDoS часто отвлекает от других, более катастрофических угроз. Прочтите о наиболее опасных типах кибератак и узнайте, как защитить свой бизнес.

Типы DDoS-атак

Хотя все DDoS-атаки направлены на то, чтобы перегрузить систему чрезмерной активностью, у хакеров есть разные стратегии, на которые они полагаются, чтобы вызвать распределенный отказ в обслуживании.

три основных типа атаки:

  • Атаки на прикладном уровне.
  • Атаки на протокол.
  • Объемные атаки.

Эти три подхода основаны на разных методах, но опытный хакер может использовать все три стратегии для подавления одной цели.

Все серверы pNAP поставляются с защитой от DDoS без дополнительной платы. Оставайтесь на связи 24/7 благодаря нашей автоматизированной фильтрации трафика и молниеносной инфраструктуре защиты от DDoS-атак.

Атаки прикладного уровня

Атака на уровне приложения нацелена на конкретное приложение, а не на всю сеть, и нарушает его работу. Хакер генерирует большое количество HTTP-запросов, которые исчерпывают способность целевого сервера отвечать.

Специалисты по кибербезопасности измеряют атаки на уровне приложений в запросах в секунду ( RPS ). Общие цели этих атак включают в себя:

  • Веб-приложения.
  • приложений, подключенных к Интернету.
  • Облачные сервисы.

Попытка предотвратить DDoS-атаки этого типа является сложной задачей, поскольку службы безопасности часто пытаются отличить законные HTTP-запросы от вредоносных.Эти атаки используют меньше ресурсов, чем другие стратегии DDoS, и некоторые хакеры могут даже использовать только одно устройство для организации атаки на уровне приложений.

Другое распространенное название DDoS-атак на уровне приложений — атака уровня 7 .

Протокольные атаки

DDoS-атаки протокола

(или атаки сетевого уровня ) используют слабые места в протоколах или процедурах, управляющих интернет-коммуникациями. В то время как DDoS на уровне приложения нацелен на конкретное приложение, целью атаки на протокол является замедление всей сети.

Два наиболее распространенных типа DDoS-атак на основе протоколов:

  • SYN-флуд: Эта атака использует процедуру квитирования TCP. Злоумышленник отправляет TCP-запросы с поддельными IP-адресами цели. Целевая система отвечает и ждет, пока отправитель подтвердит рукопожатие. Поскольку злоумышленник никогда не отправляет ответ для завершения рукопожатия, незавершенные процессы накапливаются и в конечном итоге приводят к сбою сервера.
  • Smurf DDoS: Хакер использует вредоносное ПО для создания сетевого пакета, прикрепленного к ложному IP-адресу ( подделка ).Пакет содержит сообщение проверки связи ICMP, которое просит сеть отправить ответ. Хакер снова отправляет ответы ( echos ) обратно на сетевой IP-адрес, создавая бесконечный цикл, который в конечном итоге приводит к сбою системы.

Эксперты по кибербезопасности измеряют атаки протоколов в пакетах в секунду ( PPS ) или битах в секунду ( BPS ). Основная причина, по которой протокол DDoS так широко распространен, заключается в том, что эти атаки могут легко обходить плохо настроенные брандмауэры.

Объемные атаки

DDoS-атака на основе объема потребляет доступную полосу пропускания цели с ложными запросами данных и создает перегрузку сети. Трафик злоумышленника блокирует доступ законных пользователей к службам, предотвращая входящий и исходящий трафик.

Наиболее распространенные типы объемных DDoS-атак:

  • UDP-флуд: Эти атаки позволяют хакеру перегружать порты на целевом хосте IP-пакетами, содержащими протокол UDP без сохранения состояния.
  • Усиление DNS (или отражение DNS): Эта атака перенаправляет большое количество запросов DNS на IP-адрес цели.
  • ICMP Flood: Эта стратегия использует запросы ложных ошибок ICMP для перегрузки пропускной способности сети.

Все объемные атаки основаны на ботнетах. Хакеры используют армии зараженных вредоносным ПО устройств, чтобы вызывать всплески трафика и использовать всю доступную полосу пропускания. Объемные атаки являются наиболее распространенным типом DDoS.

Bare Metal Cloud, облачный выделенный сервер pNAP, обеспечивает надежную защиту от DDoS-атак.Каждый сервер поставляется с бесплатной защитой от DDoS-атак со скоростью 20 Гбит/с, которая обеспечивает доступность даже в случае объемной атаки с большим объемом трафика.

7 передовых методов предотвращения DDoS-атак

Хотя невозможно предотвратить попытку хакера вызвать DDoS, надлежащее планирование и упреждающие меры снижают риск и потенциальное воздействие атаки.

Создать план реагирования на DDoS-атаки

Ваша группа безопасности должна разработать план реагирования на инциденты, который обеспечит быстрое и эффективное реагирование сотрудников в случае DDoS.Этот план должен охватывать:

  • Четкие пошаговые инструкции о том, как реагировать на DDoS-атаку.
  • Как поддерживать деловые операции.
  • Приглашенные сотрудники и ключевые заинтересованные стороны.
  • Протоколы эскалации.
  • Командные обязанности.
  • Контрольный список всех необходимых инструментов.
  • Список критически важных систем.

Способность реагировать на непредвиденные события жизненно важна для непрерывности бизнеса. В нашей статье об аварийном восстановлении вы узнаете все, что вам нужно знать для создания эффективного плана послеаварийного восстановления.

Обеспечение высокого уровня сетевой безопасности

Безопасность сети необходима для предотвращения любой попытки DDoS-атаки. Поскольку атака имеет значение только в том случае, если у хакера достаточно времени для накопления запросов, способность идентифицировать DDoS на ранней стадии имеет жизненно важное значение для контроля радиуса поражения.

Вы можете положиться на следующие типы сетевой безопасности для защиты вашего бизнеса от попыток DDoS:

  • Брандмауэры и системы обнаружения вторжений, действующие как барьеры для сканирования трафика между сетями.
  • Антивирусное и противовредоносное программное обеспечение, которое обнаруживает и удаляет вирусы и вредоносное ПО.
  • Защита конечных точек, которая гарантирует, что конечные точки сети (настольные компьютеры, ноутбуки, мобильные устройства и т. д.) не станут точкой входа для вредоносных действий.
  • Средства веб-безопасности, удаляющие веб-угрозы, блокирующие аномальный трафик и выполняющие поиск известных сигнатур атак.
  • Инструменты, которые предотвращают спуфинг, проверяя, имеет ли трафик исходный адрес, соответствующий исходным адресам.
  • Сегментация сети, которая разделяет системы на подсети с уникальными средствами контроля безопасности и протоколами.

Защита от DDoS-атак также требует высокого уровня безопасности сетевой инфраструктуры. Защита сетевых устройств позволяет подготовить оборудование (маршрутизаторы, балансировщики нагрузки, системы доменных имен (DNS) и т. д.) к скачкам трафика.

Наличие резервного сервера

Использование нескольких распределенных серверов затрудняет атаку хакером всех серверов одновременно.Если злоумышленник запускает успешный DDoS на одном хост-устройстве, другие серверы остаются незатронутыми и получают дополнительный трафик до тех пор, пока целевая система не вернется в сеть.

Вы должны размещать серверы в центрах обработки данных и объектах колокации в разных регионах, чтобы гарантировать отсутствие узких мест в сети или единых точек отказа. Вы также можете использовать сеть доставки контента (CDN) . Поскольку DDoS-атаки работают, перегружая сервер, CDN может равномерно распределить нагрузку между несколькими распределенными серверами.

Услуги колокейшн

PhoenixNAP позволяют настроить оптимальную среду хостинга, обеспечив высокий уровень безопасности, высокий уровень резервирования и разнообразные управляемые услуги.

Следите за предупреждающими знаками

Если ваша служба безопасности сможет быстро определить признаки DDoS-атаки, вы сможете принять своевременные меры и уменьшить ущерб.

Общие признаки DDoS :

  • Плохая связь.
  • Низкая производительность.
  • Высокий спрос на одну страницу или конечную точку.
  • Сбои.
  • Необычный трафик с одного или небольшой группы IP-адресов.
  • Всплеск трафика от пользователей с общим профилем (модель системы, геолокация, версия веб-браузера и т. д.).

Помните, что не все DDoS-атаки сопровождаются большим трафиком . Маломасштабная атака с небольшой продолжительностью часто остается незамеченной как случайное событие. Однако эти атаки могут быть проверкой или отвлечением для более опасного нарушения (например, программы-вымогателя).Таким образом, обнаружение маломасштабной атаки так же важно, как и определение полномасштабной DDoS.

Рассмотрите возможность организации программы обучения по вопросам безопасности, которая знакомит весь персонал с признаками DDoS-атаки. Таким образом, вам не нужно ждать, пока сотрудник службы безопасности заметит предупреждающие знаки.

Непрерывный мониторинг сетевого трафика

Использование непрерывного мониторинга (CM) для анализа трафика в режиме реального времени — отличный метод обнаружения следов DDoS-активности.Преимущества СМ:

  • Мониторинг в режиме реального времени гарантирует, что вы обнаружите попытку DDoS до того, как атака примет полный размах.
  • Группа может установить четкое представление о типичной сетевой активности и схемах трафика. Как только вы узнаете, как выглядят повседневные операции, команде будет легче идентифицировать нестандартные действия.
  • Круглосуточный мониторинг обеспечивает обнаружение признаков атаки, происходящей в нерабочее время и в выходные дни.

В зависимости от настройки инструмент CM либо связывается с администраторами в случае возникновения проблемы, либо следует инструкциям по ответу из предварительно определенного сценария.

Заинтригован непрерывным мониторингом? Наш учебник по Nagios исследует этот популярный инструмент CM и предлагает идеальную отправную точку для новичков в Nagios.

Ограничение сетевого вещания

Хакер, стоящий за DDoS-атакой, скорее всего, отправит запросы на каждое устройство в вашей сети, чтобы усилить воздействие. Ваша служба безопасности может противостоять этой тактике, ограничивая сетевое вещание между устройствами.

Ограничение (или, по возможности, отключение) переадресации широковещательной рассылки — эффективный способ пресечь массовую попытку DDoS.Там, где это возможно, вы также можете проинструктировать сотрудников об отключении служб echo и chargen .

Использование облака для предотвращения DDoS-атак

В то время как использование локального оборудования и программного обеспечения для противодействия угрозе DDoS имеет жизненно важное значение, облачное смягчение не имеет таких же ограничений по мощности. Облачная защита может легко масштабироваться и справляться даже с крупной объемной DDoS-атакой.

У вас есть возможность поручить предотвращение DDoS облачному провайдеру.Некоторые из ключевых преимуществ работы со сторонним поставщиком:

  • Поставщики облачных услуг предлагают всестороннюю кибербезопасность с лучшими брандмауэрами и программным обеспечением для мониторинга угроз.
  • Общедоступное облако имеет большую пропускную способность, чем любая частная сеть.
  • Центры обработки данных обеспечивают высокую избыточность сети за счет копий данных, систем и оборудования.

У компании обычно есть два варианта настройки облачной защиты от DDoS:

  • Предотвращение DDoS-атак в облаке по запросу: Эти службы активируются после того, как внутренняя команда или поставщик обнаружат угрозу.Если вы страдаете от DDoS, провайдер перенаправляет весь трафик на облачные ресурсы, чтобы поддерживать работу сервисов.
  • Постоянная облачная защита от DDoS: Эти службы направляют весь трафик через облачный центр очистки (за счет незначительной задержки). Этот вариант лучше всего подходит для критически важных приложений, которые не могут позволить себе простои.

Если у вашей внутренней команды есть необходимые ноу-хау, вам может не понадобиться полагаться исключительно на облачного провайдера для облачной защиты от DDoS. Вы можете настроить гибридную или многооблачную среду и организовать свой трафик, чтобы получить те же эффекты, что и при защите от DDoS-атак по требованию или при постоянной работе.

Не забывайте об угрозе DDoS

DDoS-угрозы не только становятся все более опасными, но и увеличивается количество атак. Эксперты прогнозируют, что к 2023 году среднее число ежегодных попыток DDoS-атак вырастет до 15,4 миллиона . Это число указывает на то, что почти каждый бизнес в какой-то момент столкнется с DDoS, поэтому подготовка к этому типу атаки должна быть в верхней части вашего списка дел по обеспечению безопасности.

Что такое DDoS-атака? | DDoS Значение

DDoS означает распределенный отказ в обслуживании.DDoS-атака предназначена для нарушения работы веб-сайта или сети путем бомбардировки их трафиком. Хакеры и другие лица используют эти атаки по разным причинам, включая месть, вымогательство, финансовую и политическую выгоду. Мало того, что они наносят ущерб отдельным операторам, они иногда могут сделать огромные куски Интернета непригодными для использования в течение определенного периода времени. DDoS-атака может вызвать массовые сбои в обслуживании, в результате чего предприятия потеряют миллионы долларов. Злоумышленники делают это, заражая сотни или тысячи ПК, создавая «зомби» или ботнеты, которые могут создавать сбои или распространять вредоносное ПО.

Как работает DDoS-атака?

Первым шагом в большинстве современных DDoS-атак является использование вредоносного ПО для создания ботнета, представляющего собой «зомби-армию» компьютеров, которые можно использовать в сети для атаки на веб-сайт или онлайн-сервис. Это относительно легко, так как многие люди просматривают небезопасные сайты, загружают вложения от неизвестных лиц и не принимают даже элементарных мер кибербезопасности, таких как установка эффективного антивирусного программного обеспечения. Во многих случаях владелец компьютера-зомби может не знать о заражении вредоносным ПО, которое может оставаться бездействующим, пока хакеры не активируют его.

Первым шагом в большинстве современных DDoS-атак является использование вредоносного ПО для создания ботнета, представляющего собой «зомби-армию» компьютеров, которые можно использовать в сети для атаки на веб-сайт или онлайн-сервис. (Это относительно легко, так как многие люди не принимают даже основных мер кибербезопасности, таких как установка эффективного антивирусного программного обеспечения и установка надежных паролей с помощью менеджера паролей.) Во многих случаях владелец зомби-ПК может не знать о заражении вредоносным ПО, который может бездействовать, пока хакеры не активируют его.

«Хакеры могут захватить компьютеры с помощью фишингового электронного письма, которое выглядит законным. Но когда вы нажимаете на нее, вы попадаете на плохой веб-сайт, загружаете что-то на свой компьютер и невольно становитесь частью ботнета», — говорит Рик Холланд, эксперт по разведке киберугроз в Digital Shadows.

Первым шагом в большинстве современных DDoS-атак является использование вредоносного ПО для создания ботнета, представляющего собой «зомби-армию» компьютеров, которые можно использовать в сети для атаки на веб-сайт или онлайн-сервис.

Атаки типа «отказ в обслуживании» могут закрыть веб-сайты и онлайн-службы, завалив их запросами, которые их перегружают. Хотя целью может быть отключение веб-сайта или службы, в некоторых случаях «DDoS-атаки ботнетов являются просто дымовой завесой для других, более разрушительных атак», таких как спам, криптомайнинг, мошенничество с рекламным ПО или другие вредоносные действия. Израильская охранная фирма Cynet.

Холланд говорит, что киберпреступники часто угрожают DDoS-атакой, в то же время используя программы-вымогатели и кражу данных, чтобы расширить свои возможности для вымогательства.Например, «генеральный директор компании получает электронное письмо со словами: «Привет, у нас есть ваши данные; заплатите нам, или мы все утекем», — говорит он. «Если они проигнорируют это, ситуация обострится, и они скажут: «Мы собираемся отключить ваш сайт электронной коммерции». И они шифруют все устройства, так что это двойное или тройное вымогательство».

Атаки типа «отказ в обслуживании», как и другие цифровые атаки и кампании с использованием вредоносного ПО, можно покупать, заключать контракты и продавать в даркнете, что позволяет злоумышленникам легко войти в игру, используя DDoS по найму или DDoS-as-as -сервис.

Как определить DDoS-атаку

DDoS-трафик часто приходит без предупреждения, и его трудно обнаружить, пока сеть не будет настолько перегружена трафиком, что перестанет функционировать. Чтобы обнаружить эти атаки до того, как они разовьются, сетевые администраторы иногда ищут подозрительные объемы трафика с одного IP-адреса или диапазона или другие необычные шаблоны трафика, которые могут быть направлены на одну конечную точку или страницу.

Если DDoS-атака не предотвращена, важно быстро обнаружить ее, чтобы избежать дорогостоящего отключения.Таким образом, важно заранее контролировать и готовиться к стратегии защиты. Многие службы безопасности, в том числе калифорнийская Sucuri, могут дать советы по мониторингу. По данным Logix Consulting, пользователи ПК, чьи компьютеры захвачены ботнетами, также могут не знать о своей роли в этих атаках, что подчеркивает необходимость следить за признаками заражения.

Типы DDoS-атак

Атаки типа «отказ в обслуживании» возможны из-за открытой природы Интернета.Злоумышленники «эксплуатируют обычное поведение и преимущества того, как протоколы были разработаны для работы в первую очередь», согласно CompTIA, технологической отраслевой группе. «Точно так же, как социальный инженер манипулирует стандартной работой человеческого общения, DDoS-атака манипулирует нормальной работой сетевых служб, на которые мы все полагаемся и которым доверяем».

Эти атаки бывают разных форм и размеров, с использованием различных инструментов DDoS. По данным компании по компьютерной безопасности Cloudflare, DDoS-атака уровня приложения , также известная как атака уровня 7, поражает сторону сети, обращенную к потребителю.Эти атаки нацелены на ту часть Интернета, где веб-страницы генерируются и доставляются в ответ на HTTP-запрос (то, что вы вводите, когда пытаетесь подключиться к веб-сайту).

В некоторых случаях атаки прикладного уровня превращаются в атаки HTTP-флуда . Злоумышленник использует их, чтобы насытить веб-сайт и сделать невозможным подключение к нему других пользователей.

Атаки типа «отказ в обслуживании» возможны из-за открытой природы Интернета.

Другие DDoS-атаки включают протокольные атаки или SYN-флуд , которые включают отправку так называемых запросов «рукопожатия» — именно так два компьютера и сети проверяют и соединяются друг с другом — без их завершения.Это может привести к перегрузке целевой сети.

Объемная атака , , как это звучит, доставляет огромные объемы запросов, часто от ботнета, которые могут быть слишком большими для цели.

Атака с усилением DNS доставляет мошеннические запросы поиска в систему доменных имен (DNS), «адресную книгу» Интернета, которая устанавливает, что веб-сайт является тем, чем он является, а не подделкой. В этом типе атаки одна машина может подделать свой адрес и отправить множество запросов о цели на DNS-сервер, что может привести к его перегрузке.Как и другие DDoS-атаки, атака с усилением DNS может вывести сеть из строя. Агентство кибербезопасности и безопасности инфраструктуры, входящее в состав Министерства внутренней безопасности, говорит, что это распространенный тип атаки, который «может создать огромный объем трафика без особых усилий».

Другие хакеры могут использовать атаку IP-фрагментации , которая использует необходимость фрагментации данных на небольшие пакеты при передаче перед их повторной сборкой, по данным охранной фирмы Imperva.

Как предотвратить использование ваших устройств в DDoS-атаке

Несмотря на то, что отдельные лица редко становятся жертвами DDoS-атак, чьи-либо устройства могут стать частью зомби-ботнетов, используемых киберпреступниками без ведома их владельцев. Это подчеркивает необходимость применения передовых методов кибербезопасности.

Защитите свой маршрутизатор

Ваш маршрутизатор — гаджет, который соединяет вас и ваши устройства с Интернетом — является ключевой точкой входа для киберпреступников и нуждается в хорошей защите.Убедитесь, что у вас есть надежное шифрование и надежный пароль, а не тот, который вы получаете, когда он выходит из коробки. «Одним из путей проникновения местных злоумышленников является незащищенная точка беспроводного доступа, вещающая по всему району, — говорит Джон Диксон, вице-президент охранной фирмы Coalfire. «Вы не хотите, чтобы плохой парень делал такие вещи, как инициирование спама или атаки на других с устройства, которое, как кажется, исходит из вашего дома».

Несмотря на то, что физические лица редко становятся жертвами DDoS-атак, любые устройства могут стать частью зомби-ботнетов, используемых киберпреступниками без ведома их владельцев.

Используйте надежные пароли на устройствах, подключенных к Интернету

Даже если ваш маршрутизатор защищен, злоумышленник может найти уязвимости в устройствах умного дома, подключенных к Интернету. Это могут быть домашние системы безопасности, домашние камеры безопасности и устройства, подключенные к Интернету, такие как холодильники, стиральные машины и сушилки; и умные колонки. Некоторые из них поставляются со слабыми паролями или вообще без них. «Плохие парни видят это, а затем втягивают их в свою бот-сеть, чтобы у них были миллионы IoT-устройств, с помощью которых они могли указывать, кого хотят», — говорит Холланд.Самый простой и лучший способ постоянно придумывать надежные пароли для всех ваших устройств, подключенных к Интернету, — это использовать менеджер паролей.

Используйте антивирусное программное обеспечение

Хорошее антивирусное программное обеспечение на вашем телефоне, ноутбуке или планшете, которое также может защитить от программ-шпионов, рекламного ПО и других угроз, является ключевым элементом домашней кибербезопасности. Также важно постоянно обновлять эти программы, что все наши лучшие антивирусные компании автоматически делают для подписчиков.

Ваш комментарий будет первым

Добавить комментарий

Ваш адрес email не будет опубликован.