Čo je to DDoS útok a jeho typy. DDoS útok: čo to je, ako funguje a je možné sa mu brániť DDoS útoky ako na to

Útoky DoS a DDoS sú agresívne vonkajšie vplyvy na výpočtové zdroje servera alebo pracovnej stanice, ktorých cieľom je priviesť ich k zlyhaniu. Zlyhaním nemáme na mysli fyzické zlyhanie stroja, ale neprístupnosť jeho zdrojov pre svedomitých používateľov – zlyhanie systému pri ich obsluhe ( D enial o f S ervice, čo je skratka DoS).

Ak je takýto útok vykonaný z jedného počítača, je klasifikovaný ako DoS (DoS), ak z viacerých - DDoS (DDoS alebo DDoS), čo znamená "D pridelené D enial o f S služba "- distribuované odmietnutie služby. Ďalej si povedzme, prečo útočníci vykonávajú takéto akcie, aké sú, aké škody spôsobujú napadnutým a ako môžu títo chrániť svoje zdroje.

Kto môže trpieť útokmi DoS a DDoS

Útoky sa zameriavajú na podnikové servery podnikov a webové stránky, oveľa menej často na osobné počítače jednotlivcov. Účel takýchto akcií je spravidla jeden - spôsobiť ekonomickú ujmu napadnutým a zostať v tieni. V niektorých prípadoch sú útoky DoS a DDoS jednou z fáz hackovania serverov a sú zamerané na krádež alebo zničenie informácií. V skutočnosti sa obeťou kyberzločincov môže stať firma alebo webová stránka, ktorú vlastní ktokoľvek.

Diagram ilustrujúci podstatu DDoS útoku:

DoS a DDoS útoky sú najčastejšie realizované na podnet nepoctivej konkurencie. Takže „zaplnením“ webovej stránky internetového obchodu, ktorý ponúka podobný produkt, sa môžete dočasne stať „monopolistom“ a vyzdvihnúť si jeho zákazníkov pre seba. „Odstavením“ firemného servera je možné narušiť prácu konkurenčnej spoločnosti a tým znížiť jej postavenie na trhu.

Rozsiahle útoky, ktoré môžu spôsobiť značné škody, zvyčajne vykonávajú profesionálni kyberzločinci za nemalé peniaze. Ale nie vždy. Homebrew amatérski hackeri môžu tiež zaútočiť na vaše zdroje - zo záujmu, a pomstiteľov z radov prepustených zamestnancov a jednoducho tých, ktorí nezdieľajú vaše názory na život.

Niekedy je zásah uskutočnený s cieľom vydierania, pričom útočník otvorene požaduje od majiteľa zdroja peniaze na zastavenie útoku.

Servery štátnych firiem a známych organizácií sú často napadnuté anonymnými skupinami vysokokvalifikovaných hackerov s cieľom ovplyvniť úradníkov alebo vyvolať verejné pobúrenie.

Ako sa vykonávajú útoky

Princípom fungovania DoS a DDoS útokov je posielanie veľkého prúdu informácií na server, ktorý maximálne (pokiaľ to možnosti hackera dovolia) zaťažuje výpočtové zdroje procesora, RAM, upcháva komunikačné kanály resp. zapĺňa miesto na disku. Napadnutý stroj nedokáže spracovať prichádzajúce dáta a prestane reagovať na požiadavky používateľov.

Takto vyzerá bežná prevádzka servera vizualizovaná v programe Logstalgia:

Účinnosť jednotlivých útokov DOS nie je príliš vysoká. Navyše, útok z osobného počítača vystavuje útočníka riziku, že bude identifikovaný a chytený. Oveľa väčší zisk poskytujú distribuované útoky (DDoS) z takzvaných zombie sietí alebo botnetov.

Takto stránka Norse-corp.com zobrazuje aktivitu botnetu:

Zombie sieť (botnet) je skupina počítačov, ktoré medzi sebou nemajú žiadne fyzické spojenie. Spája ich fakt, že sú všetci pod kontrolou útočníka. Kontrola prebieha pomocou trójskeho koňa, ktorý sa zatiaľ nemusí nijako prejavovať. Pri vykonávaní útoku hacker inštruuje infikované počítače, aby posielali požiadavky na webovú stránku alebo server obete. A on, neschopný odolať náporu, prestane reagovať.

Takto Logstalgia ukazuje DDoS útok:

K botnetu sa môže pripojiť ktorýkoľvek počítač. A dokonca aj smartfón. Stačí trójskeho koňa chytiť a neodhaliť ho včas. Mimochodom, najväčší botnet mal takmer 2 milióny strojov po celom svete a ich majitelia ani netušili, čo majú robiť.

Spôsoby útoku a obrany

Pred začatím útoku hacker zistí, ako ho vykonať s maximálnym efektom. Ak má napadnutý uzol viacero zraniteľností, dopad môže byť uskutočnený rôznymi smermi, čo výrazne skomplikuje reakciu. Preto je dôležité, aby každý administrátor servera preskúmal všetky jeho úzke miesta a ak je to možné, posilnil ich.

Povodeň

Povodeň, zjednodušene povedané, je informácia, ktorá nenesie sémantickú záťaž. V kontexte DoS / DDoS útokov je záplava lavína prázdnych, nezmyselných požiadaviek tej či onej úrovne, ktoré je prijímací uzol nútený spracovať.

Hlavným účelom použitia záplavy je úplne upchať komunikačné kanály, maximálne nasýtiť šírku pásma.

Typy povodní:

  • MAC flood - dopad na sieťové komunikátory (blokovanie portov s dátovými tokmi).
  • ICMP záplava - zaplavenie obete požiadavkami na odozvu služby pomocou siete zombie alebo odoslaním požiadaviek „v mene“ napadnutého hostiteľa, aby mu všetci členovia botnetu súčasne poslali echo odpoveď (Šmolkový útok). Špeciálnym prípadom zahltenia ICMP je zahltenie pingom (odosielanie požiadaviek ping na server).
  • SYN flood - Odoslanie viacerých požiadaviek SYN obeti, vyplnenie fronty TCP spojení vytvorením veľkého počtu polootvorených (čakajúcich na potvrdenie klienta) pripojení.
  • UDP flood - funguje podľa schémy Smurf útokov, kde sa namiesto ICMP paketov posielajú UDP datagramy.
  • HTTP flood - zaplavenie servera množstvom HTTP správ. Sofistikovanejšou možnosťou je HTTPS flood, kde sú prenášané dáta vopred zašifrované, a kým ich napadnutý hostiteľ spracuje, musí ich dešifrovať.


Ako sa chrániť pred povodňami

  • Nakonfigurujte overenie a filtrovanie MAC adries na sieťových prepínačoch.
  • Obmedzte alebo zamietnite spracovanie žiadostí o odozvu ICMP.
  • Blokujte pakety prichádzajúce z konkrétnej adresy alebo domény, čo vyvoláva podozrenie na nespoľahlivosť.
  • Nastavte limit na počet napoly otvorených spojení s jednou adresou, skrátite ich retenčný čas, predĺžte front TCP spojení.
  • Zakážte službám UDP príjem prenosu zvonka alebo obmedzte počet pripojení UDP.
  • Používajte CAPTCHA, oneskorenia a ďalšie techniky ochrany proti botom.
  • Zvýšte maximálny počet pripojení HTTP, nakonfigurujte ukladanie žiadostí do vyrovnávacej pamäte pomocou nginx.
  • Rozšírte šírku pásma sieťového kanála.
  • Ak je to možné, prideľte samostatný server na spracovanie kryptografie (ak je to možné).
  • Vytvorte záložný kanál pre administratívny prístup k serveru v núdzových situáciách.

Preťažovanie hardvérových zdrojov

Existujú typy záplav, ktoré neovplyvňujú komunikačný kanál, ale hardvérové ​​zdroje napadnutého počítača, pričom ich maximálne zaťažujú a spôsobujú ich zamrznutie alebo pád. Napríklad:

  • Vytvorenie skriptu, ktorý zverejní obrovské množstvo nezmyselných textových informácií na fóre alebo stránke, kde majú používatelia možnosť zanechávať komentáre, kým sa nezaplní celý disk.
  • To isté, disk zaplnia iba protokoly servera.
  • Načítavanie stránky, kde sa vykonáva nejaká transformácia zadaných údajov, kontinuálnym spracovaním týchto údajov (odosielanie tzv. „ťažkých“ paketov).
  • Zaťaženie procesora alebo pamäte spustením kódu cez rozhranie CGI (podpora CGI vám umožňuje spustiť akýkoľvek externý program na serveri).
  • Spustenie bezpečnostného systému, ktorý zneprístupní server zvonku atď.


Ako sa chrániť pred preťažením hardvérových zdrojov

  • Zvýšte výkon hardvéru a miesto na disku. Keď server pracuje v normálnom režime, najmenej 25-30% zdrojov musí zostať voľných.
  • Zapojte systémy na analýzu a filtrovanie prevádzky pred jej prenosom na server.
  • Obmedzte používanie hardvérových prostriedkov systémovými komponentmi (nastavte kvóty).
  • Uložte protokolové súbory servera na samostatnú jednotku.
  • Rozložte zdroje na niekoľko nezávislých serverov. Aby v prípade zlyhania jednej časti zostali ostatné funkčné.

Zraniteľnosť operačných systémov, softvéru, firmvéru zariadenia

Možností na uskutočnenie takýchto útokov je neporovnateľne viac ako pomocou záplav. Ich implementácia závisí od schopností a skúseností útočníka, jeho schopnosti nájsť chyby v kóde programu a využiť ich vo svoj prospech a na úkor vlastníka zdroja.

Po tom, čo hacker objaví zraniteľnosť (softvérovú chybu, ktorá môže byť použitá na narušenie systému), stačí vytvoriť a spustiť exploit – program, ktorý túto zraniteľnosť zneužije.

Účelom zneužitia zraniteľností nie je vždy len odmietnutie služby. Ak bude mať hacker šťastie, bude môcť získať kontrolu nad zdrojom a naložiť s týmto „darom osudu“ podľa vlastného uváženia. Môže byť napríklad použitý na šírenie malvéru, kradnutie a ničenie informácií atď.

Metódy boja proti zneužívaniu zraniteľností v softvéri

  • Včas nainštalujte aktualizácie na odstránenie zraniteľných miest v operačných systémoch a aplikáciách.
  • Izolujte všetky administratívne služby od prístupu tretích strán.
  • Využívajte prostriedky neustáleho monitorovania OS a programov servera (analýza správania a pod.).
  • Vzdajte sa potenciálne zraniteľných programov (bezplatných, samostatne napísaných, zriedkavo aktualizovaných) v prospech osvedčených a dobre chránených.
  • Využívajte hotové prostriedky ochrany systémov pred DoS a DDoS útokmi, ktoré existujú vo forme hardvérových aj softvérových systémov.

Ako zistiť, či bol zdroj napadnutý hackerom

Ak sa útočníkovi podarí dosiahnuť cieľ, nie je možné si útok nevšimnúť, ale v niektorých prípadoch správca nevie presne určiť, kedy začal. To znamená, že od začiatku záchvatu až po viditeľné príznaky niekedy trvá niekoľko hodín. Počas latentnej expozície (kým server "neľahne") však existujú aj určité znaky. Napríklad:

  • Neprirodzené správanie serverových aplikácií alebo operačného systému (zamŕzanie, ukončenie s chybami atď.).
  • Zaťaženie procesora, pamäte a úložného priestoru sa od základnej línie dramaticky zvyšuje.
  • Objem prevádzky na jednom alebo viacerých portoch sa výrazne zvyšuje.
  • Existuje viacero volaní klientov na rovnaké zdroje (otvorenie jednej stránky lokality, stiahnutie rovnakého súboru).
  • Analýza protokolov servera, firewallu a sieťových zariadení ukazuje veľký počet monotónnych požiadaviek z rôznych adries, často smerovaných na konkrétny port alebo službu. Najmä ak je stránka zameraná na úzke publikum (napríklad rusky hovoriace) a žiadosti prichádzajú z celého sveta. Kvalitatívna analýza návštevnosti zároveň ukazuje, že požiadavky nemajú pre zákazníkov praktický význam.

Všetko spomenuté nie je stopercentným znakom útoku, ale vždy je to dôvod venovať problému pozornosť a prijať vhodné ochranné opatrenia.

Nemusíte si objednávať DDoS útok. Zaplaťte hackerom a myslite na paniku vašich konkurentov. Najprv z riaditeľskej stoličky a potom z väzenskej postele.

Vysvetlíme, prečo je obrátiť sa na hackerov to posledné, čo by mal poctivý podnikateľ robiť a ako hrozí.

Ako urobiť DDoS útokvie aj školák

Nástroje na organizovanie DDoS útokov sú dnes dostupné každému. Prekážka vstupu pre začínajúcich hackerov je nízka. Preto je podiel krátkych, ale silných útokov na ruské stránky zvýšená . Vyzerá to tak, že hackerské skupiny si len precvičujú zručnosti.

Názorný prípad. V roku 2014 Vzdelávací portál Republiky Tatarstan prešiel útokmi DDoS. Na prvý pohľad nemá zmysel útočiť: nejde o komerčnú organizáciu a nie je čo od nej žiadať. Portál poskytuje známky, rozvrhy tried atď. Nikdy viac. Odborníci Kaspersky Lab našli skupinu Vkontakte, kde diskutovali študenti a školáci z Tatarstanu ako urobiť DDoS útok.

Spoločenstvo mladých bojovníkov so systémom Tatarskej republiky

Odvodené otázky z „ako urobiť DDoS útok na Tatarstan“ viedli odborníkov na kybernetickú bezpečnosť k zaujímavému oznámeniu. Účinkujúcich rýchlo našli a museli zaplatiť škodu.

Kedysi vytrhávali stránky v denníkoch, no teraz stránky hackujú

Kvôli jednoduchosti DDoS útokov ich berú začiatočníci bez morálnych zásad a pochopenia svojich možností. Môžu tiež predávať údaje o zákazníkoch. Omladzovanie DDoS útočníkov je celosvetovým trendom.

väzenie na jar 2017 dostal britský študent. Keď mal 16 rokov, tvoril program pre DDoS útoky Titanium Stresser. Brit z jeho predaja zarobil 400 tisíc libier šterlingov (29 miliónov rubľov). Pomocou tohto programu DDoS bolo vykonaných 2 milióny útokov na 650 tisíc používateľov po celom svete.

Tínedžeri sa ukázali ako členovia veľkých DDoS skupín Lizard Squad a PoodleCorp. Mladí Američania vymysleli svoje vlastné DDoS programy, ale použili ich na útok na herné servery s cieľom získať výhody v online hrách. Tak ich našli.

Či dôverovať povesti firmy včerajším školákom, sa rozhodne každý sám.

Trest zaDDoS programyv Rusku

Ako urobiť DDoS útokzáujem o podnikateľov, ktorí nechcú hrať podľa pravidiel súťaže. Ide o zamestnancov oddelenia „K“ Ministerstva vnútra Ruska. Chytajú účinkujúcich.

Ruské zákony stanovujú tresty za kybernetické zločiny. Na základe zavedenej praxe môžu účastníci DDoS útoku spadať pod nasledujúce články.

zákazníkov.Ich činy zvyčajne spadajú pod- nezákonný prístup k zákonom chráneným počítačovým informáciám.

trest:trest odňatia slobody až na sedem rokov alebo pokuta do 500 tisíc rubľov.

Príklad... Podľa tohto článku bol odsúdený pracovník oddelenia technickej ochrany informácií správy mesta Kurgan. Vyvinul multifunkčný program Meta. Útočník s jeho pomocou zhromaždil osobné údaje 1,3 milióna obyvateľov regiónu. Potom - predal bankám a inkasným agentúram. Hacker dostal dva roky väzenia.

Účinkujúci.Spravidla sú potrestaní očlánok 273 Trestného zákona Ruskej federácie - vytváranie, používanie a distribúcia škodlivých počítačových programov.

Trest.Odňatie slobody až na sedem rokov s pokutou do 200 tisíc rubľov.

Príklad.19-ročný študent z Togliatti dostal 2,5 roka podmienečne a pokutu 12 miliónov rubľov. Cez programy pre DDoS útoky, pokúsil sa stiahnuť informačné zdroje a webové stránky bánk. Po útoku študent vymáhal peniaze.

Neopatrní používatelia.Nedodržanie bezpečnostných pravidiel pri ukladaní údajov sa trestáČlánok 274 Trestného zákona Ruskej federácie - porušenie pravidiel pre ukladanie, spracovanie alebo prenos počítačových informácií a informačných a telekomunikačných sietí.

trest:trest odňatia slobody až na päť rokov alebo pokuta do 500 tisíc rubľov.

Príklad.Ak boli pri získavaní informácií akýmkoľvek spôsobom odcudzené peniaze, článok bude prekvalifikovaný na podvod v oblasti počítačových informácií (). Takže dva roky v trestaneckej kolónii dostali hackerov z Uralu, ktorí získali prístup k serverom bánk.

Útoky na médiá.Ak sú útoky DDoS zamerané na porušovanie novinárskych práv, činy spadajú pod - marenie zákonnej profesionálnej činnosti novinára.

trest:trest odňatia slobody až na šesť rokov alebo pokuta do 800 tisíc rubľov.

Príklad.Tento článok sa často preraďuje na ťažšie. Ako urobiť DDoS útok poznal tých, ktorí zaútočili na Novú Gazetu, Echo Moskvy a Bolšoj Gorod. Obeťami hackerov sa stávajú aj regionálne publikácie.

V Rusku prísny trest za použitie DDoS programy ... Anonymita z Office "K" vás nezachráni.

Programy pre DDoS útoky

Podľa odborníkov stačí 2000 robotov na napadnutie priemernej stránky. Náklady na DDoS útok začínajú na 20 dolároch (1 100 RUB). Počet útočiacich kanálov a prevádzkový čas sú diskutované individuálne. Dochádza aj k vydieraniu.

Slušný hacker pred útokom vykoná penetračný test. Armáda by túto metódu nazvala „reconnaissance in force“. Podstatou penetračného testu je malý kontrolovaný útok s cieľom zistiť zdroje ochrany stránky.

Zaujímavý fakt.Ako urobiť DDoS útokveľa ľudí vie, ale silu hackera určuje botnet. Zločinci si často navzájom kradnú prístupové kľúče k „armádam“ a potom ich ďalej predávajú. Známym trikom je „nasadiť“ wi-fi tak, aby sa násilne reštartovala a vrátila sa do základných nastavení. V tomto stave je heslo štandardné. Potom útočníci získajú prístup k celej prevádzke v organizácii.

Najnovším trendom hackerov je hackovanie inteligentných zariadení, aby na ne nainštalovali baníkov kryptomien. Tieto akcie možno kvalifikovať podľa článku o používaní škodlivých programov (článok 273 Trestného zákona Ruskej federácie). Takže dôstojníci FSB bol zadržaný systémový administrátor Mission Control Center. Dosadil baníkov na pracovné zariadenia a obohatil sa. Útočníka vypočítali elektrické prepätia.

Hackeri vykonajú DDoS útok na konkurenta. Potom môžu získať prístup k jeho výpočtovej sile a vyťažiť jeden alebo dva bitcoiny. Len tieto príjmy sa k zákazníkovi nedostanú.

Riziká objednania DDoS útoku

Poďme si to zhrnúť vážením výhod a nevýhod objednávania DDoS útokov na konkurentov.

Ak obchod otravujú konkurenti, hackeri nepomôžu. Budú to len zhoršovať. Agentúra "Digital Sharks" nežiaduce informácie legálnym spôsobom.

DDOS útok. Vysvetlenie a príklad.

Ahojte všetci. Tento blog Computer76 a teraz ďalší článok o základoch umenia hackovania. Dnes si povieme, čo je DDOS útok jednoduchými slovami a príkladmi. Pred uvedením špeciálnych pojmov bude úvod, ktorému každý rozumie.

Prečo sa používa DDOS útok?

Hackovanie WiFi sa používa na získanie hesla bezdrôtovej siete. Útoky vo forme "" vám umožnia počúvať internetový prenos. Analýza zraniteľností s následným načítaním konkrétnej umožňuje uniesť cieľový počítač. Čo robí DDOS útok? V konečnom dôsledku je jeho cieľom vybrať práva na vlastníctvo zdroja od právoplatného vlastníka. Nechcem tým povedať, že stránka alebo blog vám nebudú patriť. A to v tom zmysle, že v prípade úspešného útoku na vašu stránku vy stratíte schopnosť ovládať ho... Aspoň na chvíľu.

V modernej interpretácii DDOS sa však útok najčastejšie používa na narušenie bežnej prevádzky akejkoľvek služby. Hackerské skupiny, ktorých mená sú neustále počuť, uskutočňujú útoky na veľké vládne alebo štátne stránky s cieľom upozorniť na určité problémy. Ale takmer vždy za takýmito útokmi stojí čisto obchodný záujem: práca konkurentov alebo jednoduché žarty s úplne neslušne nechránenými stránkami. Hlavným konceptom DDOS je, že na stránku naraz pristupuje veľké množstvo používateľov, alebo skôr požiadaviek od počítačov-botov, čo spôsobuje, že zaťaženie servera je ohromujúce. Často počujeme výraz „stránka nie je dostupná“, no málokto sa zamyslí nad tým, čo sa za týmto výrazom vlastne skrýva. No, teraz už viete.

DDOS útok – možnosti

Možnosť 1.

hráči natlačení pri vchode

Predstavte si, že hráte online hru pre viacerých hráčov. Hrajú s vami tisíce hráčov. A väčšinu z nich poznáte. Preberiete podrobnosti a v hodine X vykonáte nasledujúce úkony. Všetci navštívite stránku v rovnakom čase a vytvoríte postavu s rovnakým súborom vlastností. Zoskupte sa na jednom mieste a zablokujte svojim počtom súčasne vytvorených postáv prístup k objektom v hre iným svedomitým používateľom, ktorí nemajú podozrenie z vašej tajnej dohody.

Možnosť 2.


Predstavte si, že by sa niekto rozhodol prerušiť autobusovú dopravu v meste po určitej trase, aby zabránil svedomitým cestujúcim využívať služby MHD. Tisíce vašich priateľov naraz chodia na zastávky na začiatku určenej trasy a bezcieľne sa vozia vo všetkých autách od konečnej až po konečnú, kým sa neminú peniaze. Cesta je zaplatená, ale nikto nevystúpi na žiadnej zastávke okrem konečných destinácií. A ďalší cestujúci stojaci na medzizastávkach smutne obzerajú odchádzajúce mikrobusy, nevediac sa natlačiť do upchatých autobusov. Všetko je v vyhorení: majitelia taxíkov aj potenciálni cestujúci.

V skutočnosti tieto možnosti nie je možné fyzicky implementovať. Vo virtuálnom svete však môžu vašich priateľov nahradiť počítače bezohľadných používateľov, ktorí sa neobťažujú nejako chrániť svoj počítač alebo notebook. A takých je drvivá väčšina. Existuje mnoho programov na vykonávanie DDOS útokov. Netreba dodávať, že takéto konanie je nezákonné. A absurdne pripravený DDOS útok, nech je akokoľvek úspešný, je odhalený a potrestaný.

Ako sa vykonáva DDOS útok?

Kliknutím na odkaz na stránku váš prehliadač odošle serveru požiadavku na zobrazenie požadovanej stránky. Táto požiadavka je vyjadrená ako dátový paket. A to dokonca nie jeden, ale celý balík balíčkov! V každom prípade je množstvo prenášaných dát na kanál vždy obmedzené na určitú šírku. A množstvo dát vrátených serverom je neporovnateľne väčšie ako to, čo obsahuje vaša požiadavka. To odčerpáva úsilie a zdroje servera. Čím je server výkonnejší, tým je drahší pre majiteľa a tým drahšie sú aj služby, ktoré poskytuje. Moderné servery si bez problémov poradia s dramaticky zvýšeným prílevom návštevníkov. Pre ktorýkoľvek zo serverov však stále existuje kritický počet používateľov, ktorí sa chcú oboznámiť s obsahom stránky. O to jasnejšia je situácia so serverom, ktorý poskytuje služby pre hosting stránok. Stačí málo a stránka obete je odpojená od služby, aby nedošlo k preťaženiu procesorov, ktoré obsluhujú tisíce iných stránok, ktoré sú na rovnakom hostingu. Stránka prestane fungovať, kým sa nezastaví samotný útok DDOS. Predstavte si, že začnete načítavať ktorúkoľvek zo stránok na webe tisíckrát za sekundu (DOS). A tisíce vašich priateľov robia to isté na svojich počítačoch (distribuovaných DOS alebo DDOS) ... Veľké servery sa naučili rozpoznať, že útok DDOS začal, a odolať mu. Svoje prístupy však zdokonaľujú aj hackeri. Takže v rámci tohto článku, aký je DDOS útok podrobnejšie, už neviem vysvetliť.

Čo je to DDOS útok, môžete zistiť a vyskúšať práve teraz.

POZOR. Ak sa rozhodnete vyskúšať, všetky neuložené údaje sa stratia, na vrátenie počítača do funkčného stavu potrebujete tlačidlo. RESETOVAŤ... Budete však môcť presne zistiť, ako sa napadnutý server „cíti“. Podrobný príklad je v odseku nižšie a teraz - jednoduché príkazy na preťaženie systému.

  • Pre Linux v termináli zadajte príkaz:
:(){ :|:& };:

Systém odmietne fungovať.

  • Pre Windows navrhujem vytvoriť bat súbor v programe Poznámkový blok s kódom:
: 1 Začnite na 1

Pomenujte typ DDOS.bat

Myslím, že nemá cenu vysvetľovať význam oboch príkazov. Všetko je viditeľné voľným okom. Obidva príkazy prinútia systém spustiť skript a okamžite ho zopakovať s odkazom na začiatok skriptu. Vzhľadom na rýchlosť vykonávania systém upadne do stuporov za pár sekúnd. Hra, ako vravia, cez.

DDOS útok pomocou programov.

Pre názornejší príklad použite softvér Low Orbit Ion Cannon. Alebo LOIC... Najsťahovanejšia distribučná súprava sa nachádza na (funguje v systéme Windows):

https://sourceforge.net/projects/loic/

POZOR ! Váš antivírus by mal reagovať na súbor ako škodlivý. To je v poriadku: už viete, čo sťahujete. V databáze podpisov je označený ako povodný generátor – v ruštine ide o konečný cieľ nekonečných volaní na konkrétnu sieťovú adresu. OSOBNE som si nevšimol žiadne vírusy ani trójske kone. Máte však právo váhať a sťahovanie odložiť.

Keďže nedbalí používatelia bombardujú zdroj správami o škodlivom súbore, Source Forge vás presmeruje na ďalšiu stránku s priamym odkazom na súbor:

Nakoniec sa mi podarilo stiahnuť utilitu iba cez.

Okno programu vyzerá takto:

Bod 1 Výber cieľa umožní útočníkovi zamerať sa na konkrétny cieľ (zadá sa IP adresa alebo url stránky), bod 3 Možnosti útoku umožňuje vybrať napadnutý port, protokol ( Metóda) z troch TCP, UDP a HTTP. Do poľa TCP / UDP message môžete zadať správu pre napadnutú osobu. Po dokončení sa útok spustí stlačením tlačidla. IMMA CHARGIN MAH LAZER(toto je fráza na pokraji faulu z populárneho kedysi komickémeme; Mimochodom, v programe je veľa amerických matiek). Všetko.

POZOR

Táto možnosť je určená len na testovanie localhost. Preto:

  • proti cudzim strankam je to protizakonne a za to uz naozaj sedia na zapade (to znamena, ze ich tu onedlho aj zavrú)
  • adresu, z ktorej ide povodne, vypocita rychlo, bude sa stazovat u providera, ktory vam vystavi upozornenie a pripomenie prvy bod
  • v sieťach s malou šírkou pásma (teda vo všetkých domácich) sa drobec nepodarí. So sieťou TOR je všetko rovnaké.
  • ak si to spravne nastavis, rychlo si upchas SVOJ komunikacny kanal, nez niekomu uskodis. Takže toto je presne tá možnosť, keď boxerské vrece zasiahne boxera a nie naopak. A možnosť s proxy sa bude riadiť rovnakým princípom: nikto nebude mať rád povodeň z vašej strany.

Prečítané: 9 326

Úvod

Hneď si vyhradím, že pri písaní tejto recenzie som sa orientoval predovšetkým na publikum, ktoré rozumie špecifikám práce telekomunikačných operátorov a ich sietí na prenos dát. Tento článok načrtáva základné princípy ochrany pred DDoS útokmi, históriu ich vývoja v poslednom desaťročí a súčasnú situáciu.

čo je DDoS?

Pravdepodobne dnes, ak nie každý „používateľ“, tak aspoň každý „IT špecialista“ vie, čo sú dnes DDoS útoky. Ale ešte treba povedať pár slov.

Útoky DDoS (Distributed Denial of Service) sú útoky na počítačové systémy (sieťové zdroje alebo komunikačné kanály), ktorých cieľom je zneprístupniť ich legitímnym používateľom. DDoS útoky spočívajú v súčasnom odosielaní veľkého počtu požiadaviek smerom k určitému zdroju z jedného alebo viacerých počítačov umiestnených na internete. Ak tisíce, desaťtisíce alebo milióny počítačov súčasne začnú odosielať požiadavky na konkrétny server (alebo sieťovú službu), potom server buď neprežije, alebo šírka pásma komunikačného kanála k tomuto serveru nebude dostatočná. V oboch prípadoch používatelia internetu nebudú môcť získať prístup k napadnutému serveru a dokonca ani ku všetkým serverom a iným zdrojom pripojeným cez blokovaný komunikačný kanál.

Niektoré funkcie DDoS útokov

Proti komu a za akým účelom sa DDoS útoky spúšťajú?

DDoS útoky môžu byť spustené proti akémukoľvek zdroju na internete. Najväčšie škody z DDoS útokov majú organizácie, ktorých podnikanie priamo súvisí s ich prítomnosťou na internete – banky (poskytujúce služby internetového bankovníctva), internetové obchody, obchodné platformy, aukcie, ako aj iné aktivity, ktorých činnosť a efektívnosť výrazne závisí od zastúpenia na internete (cestovné kancelárie, letecké spoločnosti, výrobcovia hardvéru a softvéru a pod.) DDoS útoky sú pravidelne spúšťané proti zdrojom takých gigantov globálneho IT priemyslu, akými sú IBM, Cisco Systems, Microsoft a iné. Došlo k masívnym DDoS útokom proti eBay.com, Amazon.com, mnohým známym bankám a organizáciám.

Veľmi často sa DDoS útoky spúšťajú proti webovým stránkam politických organizácií, inštitúcií alebo jednotlivých známych osobností. Mnohí vedia o masívnych a dlhotrvajúcich DDoS útokoch, ktoré boli spustené proti webovej stránke prezidenta Gruzínska počas gruzínsko-osetskej vojny v roku 2008 (webová stránka bola nedostupná niekoľko mesiacov, počnúc augustom 2008), proti serverom estónskej vlády. (na jar 2007, počas nepokojov spojených s presunom Bronzového vojaka), o periodických útokoch zo severokórejského segmentu internetu proti americkým stránkam.

Hlavnými cieľmi DDoS útokov je buď získavanie výhod (priamych alebo nepriamych) vydieraním a vydieraním, alebo presadzovanie politických záujmov, zhoršovanie situácie a pomsta.

Aké sú mechanizmy spúšťania DDoS útokov?

Najpopulárnejším a najnebezpečnejším spôsobom spúšťania DDoS útokov je používanie botnetov (BotNets). Botnet je súbor počítačov, na ktorých sú nainštalované špeciálne softvérové ​​záložky (boty); v preklade z angličtiny je botnet sieť robotov. Boty sú zvyčajne vyvinuté hackermi individuálne pre každý botnet a ich hlavným účelom je odosielanie požiadaviek na konkrétny zdroj na internete pomocou príkazu prijatého z riadiaceho servera botnetu - servera príkazov a riadenia botnetu. Server na kontrolu botnetu spravuje hacker alebo osoba, ktorá botnet od hackera kúpila a možnosť spustiť DDoS útok. Roboty sú na internete distribuované rôznymi spôsobmi, spravidla - útokom na počítače so zraniteľnými službami a inštaláciou softvérových záložiek na ne alebo klamaním používateľov a prinútením ich inštalovať roboty pod zámienkou poskytovania iných služieb alebo softvéru, ktorý funguje úplne neškodne. alebo dokonca užitočná funkcia. Existuje mnoho spôsobov, ako distribuovať roboty, pravidelne sa vymýšľajú nové spôsoby.

Ak je botnet dostatočne veľký - desiatky alebo stovky tisíc počítačov - potom súčasné odosielanie zo všetkých týchto počítačov aj celkom legitímnych požiadaviek na určitú sieťovú službu (napríklad webová služba na určitej stránke) povedie k vyčerpaniu zdrojov buď služby alebo samotného servera, alebo do vyčerpania možností komunikačného kanála. V každom prípade služba nebude dostupná používateľom a vlastník služby utrpí priame, nepriame straty a straty na reputácii. A ak každý z počítačov odošle nie jednu požiadavku, ale desiatky, stovky alebo tisíce požiadaviek za sekundu, potom sa útočná sila útoku mnohonásobne zvýši, čo umožňuje deaktivovať aj tie najproduktívnejšie zdroje alebo komunikačné kanály.

Niektoré útoky sú spustené „neškodnejšími“ spôsobmi. Napríklad flash mob používateľov určitých fór, ktorí na základe dohody v určitom čase spúšťajú zo svojich počítačov „pingy“ alebo iné požiadavky na konkrétny server. Ďalším príkladom je umiestnenie odkazu na webovú stránku na obľúbené internetové zdroje, čo spôsobuje prílev používateľov na cieľový server. Ak „falošný“ odkaz (ktorý vyzerá ako odkaz na jeden zdroj, ale v skutočnosti odkazuje na úplne iný server) odkazuje na webovú stránku malej organizácie, ktorá je však hosťovaná na populárnych serveroch alebo fórach, takýto útok môže spôsobiť prílev nechcených návštevníkov pre túto stránku... Útoky posledných dvoch typov zriedka vedú k ukončeniu dostupnosti serverov na riadne organizovaných hostingových stránkach, ale také príklady sa vyskytli a dokonca aj v Rusku v roku 2009.

Pomôžu tradičné technické prostriedky ochrany pred DDoS útokmi?

Znakom DDoS útokov je, že pozostávajú z mnohých simultánnych požiadaviek, z ktorých každá je jednotlivo celkom „legálna“, navyše tieto požiadavky posielajú počítače (infikované robotmi), ktoré môžu patriť najbežnejším skutočným alebo potenciálnym používateľom. napadnutej služby alebo zdroja. Preto je veľmi ťažké štandardnými prostriedkami správne identifikovať a filtrovať presne tie požiadavky, ktoré predstavujú DDoS útok. Štandardné systémy triedy IDS / IPS (Intrusion Detection / Prevention System) v týchto požiadavkách nenájdu „corpus delicti“, nepochopia, že sú súčasťou útoku, pokiaľ nevykonajú kvalitatívnu analýzu dopravných anomálií. A aj keď to nájdu, filtrovanie nepotrebných požiadaviek tiež nie je také jednoduché – štandardné firewally a routery filtrujú prevádzku na základe jasne definovaných prístupových zoznamov (kontrolných pravidiel) a nevedia sa „dynamicky“ prispôsobiť profilu konkrétneho útoku . Firewally môžu upravovať toky prevádzky na základe kritérií, ako sú zdrojové adresy, použité sieťové služby, porty a protokoly. Na DDoS útoku sa však podieľajú bežní internetoví používatelia, ktorí posielajú požiadavky najbežnejšími protokolmi – zakáže telekomunikačný operátor všetkým a všetko? Potom jednoducho prestane poskytovať komunikačné služby svojim predplatiteľom a prestane poskytovať prístup k sieťovým zdrojom, ktorým slúži, čo sa v skutočnosti snaží dosiahnuť iniciátor útoku.

Mnohí odborníci zrejme vedia o existencii špeciálnych riešení na ochranu pred DDoS útokmi, ktoré spočívajú v detekcii dopravných anomálií, zostavení profilu návštevnosti a profilu útoku a následnom procese dynamického viacstupňového filtrovania návštevnosti. A o týchto riešeniach budem hovoriť aj v tomto článku, ale o niečo neskôr. A najprv poviem o niektorých menej známych, no niekedy celkom účinných opatreniach, ktoré je možné prijať na potlačenie DDoS útokov pomocou existujúcich prostriedkov siete na prenos dát a jej správcov.

DDoS ochrana dostupnými prostriedkami

Existuje pomerne veľa mechanizmov a „trikov“, ktoré v niektorých špeciálnych prípadoch umožňujú potlačiť DDoS útoky. Niektoré je možné použiť len vtedy, ak je sieť na prenos dát postavená na zariadeniach konkrétneho výrobcu, iné sú viac-menej univerzálne.

Začnime s odporúčaniami spoločnosti Cisco Systems. Spoločnosť odporúča Network Foundation Protection, ktorá zahŕňa Control Plane, Management Plane a Data Plane.

Ochrana riadiacej roviny

Pojem „rovina správy“ zahŕňa všetok prenos, ktorý riadi alebo monitoruje smerovače a iné sieťové zariadenia. Táto prevádzka smeruje k smerovaču alebo pochádza zo smerovača. Príkladmi takejto prevádzky sú relácie Telnet, SSH a http (s), správy syslog, pasce SNMP. Bežné osvedčené postupy zahŕňajú:

Zaistenie maximálnej bezpečnosti riadiacich a monitorovacích protokolov pomocou šifrovania a autentifikácie:

  • SNMP v3 poskytuje bezpečnostné opatrenia, zatiaľ čo SNMP v1 prakticky neposkytuje a SNMP v2 poskytuje len čiastočne – predvolené hodnoty komunity je potrebné vždy zmeniť;
  • mali by sa používať rôzne hodnoty pre verejnú a súkromnú komunitu;
  • protokol telnet prenáša všetky údaje vrátane prihlasovacieho mena a hesla v čistom texte (ak je zachytená prevádzka, tieto informácie sa dajú ľahko získať a použiť), odporúča sa namiesto toho vždy použiť protokol ssh v2;
  • Podobne namiesto http použite na hardvérový prístup https; Silné kontroly hardvérového prístupu vrátane adekvátnej politiky hesiel, centralizovanej autentifikácie, autorizácie a účtovania (model AAA) a lokálnej autentifikácie pre redundanciu.

Implementácia modelu prístupu založeného na rolách;

Kontrola povolených pripojení k zdrojovej adrese pomocou zoznamov riadenia prístupu;

Zakázanie nepoužívaných služieb, z ktorých mnohé sú predvolene povolené (alebo sa zabudli vypnúť po diagnostike alebo konfigurácii systému);

Monitorovanie využitia zdrojov zariadení.

Oplatí sa venovať posledným dvom bodom podrobnejšie.
Niektoré služby, ktoré sú predvolene zapnuté alebo ktoré sa po konfigurácii alebo diagnostike hardvéru zabudli vypnúť, môžu počítačoví zločinci použiť na obídenie existujúcich bezpečnostných pravidiel. Zoznam týchto služieb je uvedený nižšie:

  • PAD (packet assembler / disassembler);

Prirodzene, pred zakázaním týchto služieb musíte starostlivo analyzovať absenciu ich potreby vo vašej sieti.

Je žiaduce monitorovať využitie prostriedkov zariadenia. To umožní po prvé včas spozorovať preťaženie jednotlivých sieťových prvkov a prijať opatrenia na predchádzanie nehode a po druhé odhaliť DDoS útoky a anomálie, ak ich detekcia nie je zabezpečená špeciálnymi prostriedkami. Minimálne sa odporúča sledovať:

  • zaťaženie procesora
  • Využitie pamäte
  • zaťaženie rozhraní smerovačov.

Monitorovanie je možné vykonávať „ručne“ (periodicky monitorovať stav zariadenia), ale je samozrejme lepšie to robiť pomocou špeciálnych systémov na monitorovanie siete alebo monitorovania informačnej bezpečnosti (medzi ktoré patrí Cisco MARS).

Ochrana riadiacej roviny

Rovina riadenia siete zahŕňa všetku prevádzku služieb, ktorá zabezpečuje fungovanie a konektivitu siete v súlade so špecifikovanou topológiou a parametrami. Príklady prevádzky riadiacej roviny sú všetka prevádzka generovaná alebo určená pre procesor trasy (RR), vrátane všetkých smerovacích protokolov, v niektorých prípadoch SSH a SNMP a ICMP. Akýkoľvek útok na fungovanie smerovacieho procesora a najmä útoky DDoS môžu viesť k značným problémom a prerušeniam fungovania siete. Najlepšie postupy na zabezpečenie riadiacej roviny sú popísané nižšie.

Kontrola lietadla Policing

Používa QoS (Quality of Service) mechanizmy na udelenie vyššej priority riadeniu leteckej dopravy ako užívateľskej premávke (ktorej súčasťou sú útoky). Tým sa zabezpečí chod servisných protokolov a smerovacieho procesora, teda zachovanie topológie a konektivity siete, ako aj samotné smerovanie a prepínanie paketov.

IP príjem ACL

Táto funkcionalita umožňuje filtrovanie a riadenie prevádzky služieb určenej pre smerovač a smerovací procesor.

  • sú aplikované priamo na smerovacie zariadenie predtým, ako sa prevádzka dostane k smerovaciemu procesoru, čím poskytujú ochranu „osobného“ zariadenia;
  • Aplikujú sa po tom, čo prevádzka prejde cez obvyklé ACL – sú poslednou vrstvou ochrany na ceste k smerovaciemu procesoru;
  • sa vzťahujú na všetku dopravu (internú aj vonkajšiu a tranzit vo vzťahu k sieti operátora).

Infrastructure ACL

Prístup k vlastným adresám smerovacieho zariadenia sa zvyčajne vyžaduje iba pre hostiteľov vlastnej siete operátora, existujú však výnimky (napríklad eBGP, GRE, IPv6 cez tunely IPv4 a ICMP). Zoznamy riadenia prístupu k infraštruktúre:

  • zvyčajne inštalované na hranici siete operátora („na vstupe do siete“);
  • sú určené na to, aby zabránili externým hostiteľom v prístupe k adresám infraštruktúry operátora;
  • zabezpečiť nerušený tranzit dopravy cez hranicu siete operátora;
  • poskytujú základné ochranné mechanizmy proti neoprávnenej sieťovej aktivite popísané v RFC 1918, RFC 3330, najmä ochranu proti spoofingu (spoofing, použitie falošných zdrojových IP adries na maskovanie pri spustení útoku).

Autentifikácia suseda

Hlavným účelom overovania susedných smerovačov je zabrániť útokom, ktoré posielajú falošné správy smerovacieho protokolu s cieľom zmeniť smerovanie v sieti. Takéto útoky môžu viesť k neoprávnenému prenikaniu do siete, neoprávnenému používaniu sieťových zdrojov a tiež k tomu, že útočník zachytí prevádzku, aby analyzoval a získal potrebné informácie.

Konfigurácia BGP

  • BGP filtre prefixov – slúžia na zabránenie šírenia informácií o trasách internej siete operátora do internetu (niekedy môžu byť tieto informácie pre útočníka veľmi užitočné);
  • obmedzenie počtu prefixov, ktoré je možné prijať z iného smerovača (obmedzenie prefixov) – slúži na ochranu pred DDoS útokmi, anomáliami a zlyhaniami v sieťach peeringových partnerov;
  • používanie parametrov komunity BGP a ich filtrovanie možno použiť aj na obmedzenie šírenia smerovacích informácií;
  • Monitorovanie BGP a porovnávanie údajov BGP s pozorovanou prevádzkou je jedným z mechanizmov včasnej detekcie DDoS útokov a anomálií;
  • filtrovanie podľa parametra TTL (Time-to-Live) – používa sa na kontrolu rovesníkov BGP.

Ak sa útok BGP nespustí zo siete peer-to-peer, ale zo vzdialenejšej siete, parameter TTL paketov BGP bude nižší ako 255. Hraničné smerovače operátora môžete nakonfigurovať tak, aby zahodili všetky pakety BGP s hodnotou TTL< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana dátovej roviny

Napriek dôležitosti ochrany úrovní správy a kontroly, väčšina prevádzky v sieti operátora sú dáta v tranzite alebo sú určené pre účastníkov tohto operátora.

Unicast Reverse Path Forwarding (uRPF)

Útoky sa často spúšťajú pomocou technológie spoofingu – IP adresy zdroja sú sfalšované, aby nebolo možné vystopovať zdroj útoku. Falošné adresy IP môžu byť:

  • zo skutočne používaného adresného priestoru, ale v inom segmente siete (v segmente, z ktorého bol útok spustený, tieto falošné adresy nie sú smerované);
  • z nevyužitého adresného priestoru v tejto sieti na prenos údajov;
  • z adresného priestoru, ktorý nie je smerovateľný na internete.

Implementácia mechanizmu uRPF na smerovačoch zabráni smerovaniu paketov so zdrojovými adresami, ktoré sú nekompatibilné alebo nepoužívané v segmente siete, z ktorého prišli do rozhrania smerovača. Táto technológia niekedy umožňuje efektívne odfiltrovať nechcenú návštevnosť čo najbližšie k jej zdroju, teda najefektívnejšie. Mnohé DDoS útoky (vrátane známych Smurf a Tribal Flood Network) využívajú spoofing a neustálu zmenu zdrojových adries s cieľom oklamať štandardnú ochranu a filtrovacie nástroje.

Využitie mechanizmu uRPF telekomunikačnými operátormi poskytujúcimi predplatiteľom prístup na internet účinne zabráni DDoS útokom pomocou spoofingovej technológie namierenej ich vlastnými predplatiteľmi proti internetovým zdrojom. DDoS útok je teda potlačený najbližšie k jeho zdroju, teda najúčinnejšie.

Diaľkovo spúšťané čierne diery (RTBH)

Riadené čierne diery (Remotely Triggered Blackholes) sa používajú na „vyprázdnenie“ (zničenie, odoslanie „nikam nikam“) prevádzky vstupujúcej do siete smerovaním tejto prevádzky na špeciálne rozhrania Null 0. Keď vstúpi do siete, napadnú prevádzku. Obmedzenie (a významné) tejto metódy je, že sa vzťahuje na všetku komunikáciu určenú pre konkrétneho hostiteľa alebo hostiteľov, ktorí sú cieľom útoku. Tento spôsob je teda možné použiť v prípadoch, keď je jeden alebo viac hostiteľov vystavených masívnemu útoku, ktorý spôsobuje problémy nielen napadnutým hostiteľom, ale aj ostatným účastníkom a sieti operátora ako celku.

Čierne diery je možné spravovať manuálne alebo prostredníctvom BGP.

Propagácia politiky QoS prostredníctvom BGP (QPPB)

QoS Control over BGP (QPPB) vám umožňuje riadiť prioritné politiky pre prevádzku určenú pre špecifický autonómny systém alebo blok IP adries. Tento mechanizmus môže byť veľmi užitočný pre telekomunikačných operátorov a veľké podniky, vrátane riadenia úrovne priority pre nechcenú prevádzku alebo prevádzku obsahujúcu útok DDoS.

Drezové otvory

V niektorých prípadoch je potrebné úplne neodstrániť prevádzku pomocou čiernych dier, ale odviesť ju preč od hlavných kanálov alebo zdrojov na následné monitorovanie a analýzu. Na to slúžia „odbočky“ alebo Sink Holes.

Drezové otvory sa najčastejšie používajú v nasledujúcich situáciách:

  • presmerovať a analyzovať prevádzku s cieľovými adresami, ktoré patria do adresného priestoru siete operátora, ale v skutočnosti sa nepoužívajú (neboli pridelené ani zariadeniam, ani používateľom); takáto prevádzka je a priori podozrivá, pretože často naznačuje pokusy o skenovanie alebo prienik do vašej siete útočníkom, ktorý nemá podrobné informácie o jej štruktúre;
  • presmerovať prevádzku z cieľa útoku, ktorý je skutočným zdrojom v sieti operátora, na jej monitorovanie a analýzu.

DDoS ochrana pomocou špeciálnych nástrojov

Cisco Clean Pipes Concept – Priekopník v tomto odvetví

Moderný koncept ochrany pred DDoS útokmi vyvinula (áno, nebudete sa čudovať! :)) Cisco Systems. Koncept vyvinutý spoločnosťou Cisco sa nazýva Cisco Clean Pipes. V detailne vypracovanom koncepte pred takmer 10 rokmi boli pomerne podrobne popísané základné princípy a technológie ochrany pred dopravnými anomáliami, z ktorých väčšina sa používa dodnes, a to aj u iných výrobcov.

Koncept Cisco Clean Pipes predpokladá nasledujúce princípy detekcie a zmiernenia DDoS útokov.

Vyberú sa body (úseky siete), v ktorých sa analyzuje prevádzka, aby sa identifikovali anomálie. V závislosti od toho, čo chránime, môžu byť takýmito bodmi peer-to-peer spojenia telekomunikačného operátora s upstream operátormi, body spojenia downstream operátorov alebo predplatiteľov, kanály na pripojenie dátových centier k sieti.

Špeciálne detektory analyzujú premávku v týchto bodoch, zostavujú (študujú) dopravný profil v normálnom stave, keď dôjde k DDoS útoku alebo anomálii, detegujú ho, študujú a dynamicky formujú jeho charakteristiky. Ďalej sú informácie analyzované operátorom systému a proces potlačenia útoku je spustený v poloautomatickom alebo automatickom režime. Potlačenie znamená, že prevádzka určená pre „obeť“ je dynamicky presmerovaná cez filtračné zariadenie, ktoré na túto prevádzku aplikuje filtre generované detektorom, odrážajúce individuálny charakter útoku. Vyčistená prevádzka je vložená do siete a odoslaná príjemcovi (preto vznikol názov Clean Pipes - predplatiteľ dostane „čistý kanál“, ktorý neobsahuje útok).

Celý cyklus ochrany DDoS teda zahŕňa tieto hlavné fázy:

  • Školenie charakteristík riadenia dopravy (profilovanie, základné učenie)
  • Detekcia útokov a anomálií (Detekcia)
  • Presmerovanie premávky, aby ste ju prešli cez odklon
  • Filtrovanie prevádzky na potlačenie útokov (zmiernenie)
  • Vloženie prevádzky späť do siete a jej odoslanie adresátovi (Injection).

Niekoľko funkcií.
Ako detektory možno použiť dva typy zariadení:

  • Detektory vyrábané spoločnosťou Cisco Systems sú moduly Cisco Traffic Anomaly Detector Services Modules určené na inštaláciu do šasi Cisco 6500/7600.
  • Detektory Arbor Networks sú zariadenia Arbor Peakflow SP CP.

Nižšie je uvedená tabuľka porovnávajúca detektory Cisco a Arbor.

Parameter

Cisco Detektor dopravných anomálií

Arbor Peakflow SP CP

Získavanie dopravných informácií na analýzu

Používa sa kópia prevádzky pridelená šasi Cisco 6500/7600

Používajú sa údaje o prevádzke Netflow prijaté zo smerovačov, vzorkovanie je možné upraviť (1: 1, 1: 1 000, 1: 10 000 atď.)

Použité princípy detekcie

Analýza podpisu (detekcia nesprávneho použitia) a detekcia anomálií (dynamickýprofilovanie)

Detekcia prevažne anomálií; používa sa analýza podpisov, ale podpisy sú všeobecné

Faktor tvaru

servisné moduly v šasi Cisco 6500/7600

samostatné zariadenia (servery)

Výkon

Analyzuje sa prevádzka do 2 Gbps

Prakticky neobmedzené (môžete znížiť vzorkovaciu frekvenciu)

Škálovateľnosť

Inštalácia až 4 modulovCiscoDetektorSMv jednom šasi (moduly však fungujú nezávisle na sebe)

Schopnosť používať niekoľko zariadení v rámci jedného analytického systému, z ktorých jedno má priradený status Leader

Monitorovanie prevádzky a smerovania v sieti

Takmer žiadna funkčnosť

Funkčnosť je veľmi pokročilá. Mnoho telekomunikačných operátorov kupuje Arbor Peakflow SP kvôli hlbokej a sofistikovanej funkcionalite na monitorovanie prevádzky a smerovania v sieti.

Poskytovanie portálu (individuálne rozhranie pre predplatiteľa, ktoré umožňuje sledovať iba časť siete, ktorá sa ho priamo týka)

Neboli poskytnuté

Za predpokladu. To je vážna výhoda tohto riešenia, keďže telekomunikačný operátor môže svojim predplatiteľom predávať jednotlivé služby na ochranu DDoS.

Kompatibilné čističe dopravy (zmierňovače útokov)

Cisco Modul strážnych služieb

 Arbor Peakflow SP TMS; Modul služieb Cisco Guard.
Ochrana dátových centier pri pripojení na internet Monitorovanie nadväzujúcich spojení účastníckych sietí do siete operátora Detekcia útokov naproti prúdu-prepojenia siete operátora do sietí poskytovateľov vyššej úrovne Monitorovanie chrbtice operátora
V poslednom riadku tabuľky sú uvedené scenáre detektorov Cisco a Arbor odporúčané spoločnosťou Cisco Systems. Tieto scenáre sú znázornené na obrázku nižšie.

Spoločnosť Cisco odporúča použiť servisný modul Cisco Guard, ktorý je nainštalovaný v šasi Cisco 6500/7600 a dynamicky presmeruje, zoškrabuje a spätne dodáva prevádzku do siete na základe príkazu prijatého z detektora Cisco alebo Arbor Peakflow SP CP. . Mechanizmy presmerovania sú buď aktualizácie BGP smerom k upstream smerovačom, alebo priame riadiace príkazy smerom k supervízorovi pomocou proprietárneho protokolu. Pri používaní aktualizácií BGP sa upstream routeru priradí nová hodnota nex-hop pre prevádzku obsahujúcu útok – takže táto prevádzka smeruje na server scavenger. Zároveň je potrebné dbať na to, aby tieto informácie neznamenali organizáciu slučky (aby sa downstream router pri zavádzaní vyčistenej prevádzky nesnažil túto prevádzku vrátiť späť na čistiace zariadenie). Na tento účel možno použiť mechanizmy na riadenie distribúcie aktualizácií BGP pomocou komunitného parametra alebo použitie GRE tunelov pri vstupe do vyčistenej prevádzky.

Tento stav pokračoval, kým spoločnosť Arbor Networks výrazne nerozšírila svoj produktový rad Peakflow SP na trh s úplne samostatným riešením ochrany DDoS.

Spustený Arbor Peakflow SP TMS

Spoločnosť Arbor Networks sa pred niekoľkými rokmi rozhodla svoj produktový rad DDoS ochrany rozvíjať nezávisle a bez ohľadu na tempo a politiku rozvoja tohto smeru v spoločnosti Cisco. Riešenia Peakflow SP CP mali oproti Cisco Detector zásadné výhody, pretože analyzovali informácie o toku s možnosťou nastavenia vzorkovacej frekvencie, a preto nemali žiadne obmedzenia na použitie v sieťach telekomunikačných operátorov a na chrbticových sieťach (na rozdiel od Cisco Detector, ktorý analyzuje kópiu premávka). Okrem toho, vážnou výhodou Peakflow SP bola príležitosť pre operátorov predávať predplatiteľom prispôsobenú službu na monitorovanie a ochranu ich sieťových segmentov.

V reakcii na tieto a ďalšie úvahy Arbor výrazne rozšíril produktový rad Peakflow SP. Objavilo sa množstvo nových zariadení:

Peakflow SP TMS (systém riadenia hrozieb)- Potláča DDoS útoky viacstupňovým filtrovaním na základe údajov získaných z Peakflow SP CP az laboratória ASERT, vlastneného Arbor Networks, ktoré monitoruje a analyzuje DDoS útoky na internete;

Peakflow SP BI (Business Intelligence)- zariadenia, ktoré zabezpečujú škálovanie systému, zvyšujúce počet logických objektov na monitorovanie a poskytujúce redundanciu pre zbierané a analyzované dáta;

Peakflow SP PI (rozhranie portálu)- zariadenia, ktoré poskytujú zvýšenie počtu účastníkov, ktorí majú k dispozícii individuálne rozhranie na správu vlastnej bezpečnosti;

Peakflow SP FS (Flow Censor)- zariadenia, ktoré monitorujú účastnícke smerovače, pripojenia k downstream sieťam a dátovým centrám.

Princípy fungovania systému Arbor Peakflow SP zostali v podstate rovnaké ako pri Cisco Clean Pipes, avšak Arbor svoje systémy pravidelne vyvíja a zdokonaľuje, takže v súčasnosti je funkčnosť produktov Arbor v mnohých ohľadoch lepšia ako u Cisco, vrátane softvérovej produktivity.

K dnešnému dňu je možné dosiahnuť maximálny výkon Cisco Guard vytvorením klastra 4 modulov Guard v jednom šasi Cisco 6500/7600, pričom plnohodnotné klastrovanie týchto zariadení nebolo implementované. Horné modely Arbor Peakflow SP TMS zároveň disponujú výkonom až 10 Gbps a môžu byť zase klastrované.

Po tom, ako sa Arbor začal stavať ako nezávislý hráč na trhu detekcie a potláčania DDoS útokov, Cisco začalo hľadať partnera, ktorý by jej poskytol toľko potrebné monitorovanie dát toku sieťovej prevádzky, ale nebol by jej priamym konkurentom. . Takouto spoločnosťou bola spoločnosť Narus, ktorá vyrába systémy na monitorovanie premávky založené na dátových tokoch (NarusInsight), a uzavrela partnerstvo so spoločnosťou Cisco Systems. Toto partnerstvo však nezaznamenalo vážny rozvoj a prítomnosť na trhu. Navyše, podľa niektorých správ Cisco neplánuje investovať do svojich riešení Cisco Detector a Cisco Guard, v skutočnosti ponecháva toto miesto na milosť a nemilosť Arbor Networks.

Niektoré funkcie riešení Cisco a Arbor

Za zmienku stoja niektoré funkcie riešení Cisco a Arbor.

  1. Cisco Guard je možné použiť v spojení s detektorom aj samostatne. V druhom prípade je nastavený na in-line režim a vykonáva funkcie detektora analyzovaním prevádzky a v prípade potreby zapína filtre a čistí premávku. Nevýhodou tohto režimu je, že po prvé sa pridá ďalší bod potenciálneho zlyhania a po druhé ďalšie dopravné oneskorenie (hoci je malé, kým sa nezapne filtračný mechanizmus). Odporúčaný režim pre Cisco Guard je čakanie na príkaz na presmerovanie prevádzky obsahujúcej útok, jej filtrovanie a vloženie späť do siete.
  2. Zariadenia Arbor Peakflow SP TMS môžu tiež pracovať v režime mimo rampy aj v režime in-line. V prvom prípade zariadenie pasívne čaká na príkaz na presmerovanie prevádzky obsahujúcej útok, aby ju vyčistilo a vrátilo späť do siete. V druhom prechádza cez seba všetku komunikáciu, na jej základe generuje dáta vo formáte Arborflow a prenáša ich do Peakflow SP CP na analýzu a detekciu útokov. Arborflow je formát podobný Netflow, ale upravený Arborom pre ich systémy Peakflow SP. Peakflow SP CP monitoruje prevádzku a deteguje útoky na základe údajov Arborflow prijatých z TMS. Keď je detekovaný útok, operátor Peakflow SP CP vydá príkaz na jeho potlačenie, po čom TMS zapne filtre a vyčistí prevádzku od útoku. Na rozdiel od Cisco, Peakflow SP TMS server nemôže fungovať samostatne, vyžaduje Peakflow SP CP server na vykonanie analýzy prevádzky.
  3. Dnes väčšina odborníkov súhlasí s tým, že úlohy ochrany miestnych častí siete (napríklad pripojenie dátových centier alebo pripojenie nadväzujúcich sietí) sú efektívne.

Distribuované útoky odmietnutia služby alebo skrátene DDoS sa stali rozšírenými a veľkým problémom pre vlastníkov internetových zdrojov na celom svete. Preto dnes ochrana pred DDoS útokmi na webstránku nie je doplnkovou možnosťou, ale nevyhnutným predpokladom pre tých, ktorí sa chcú vyhnúť výpadkom, obrovským stratám a poškodenej reputácii.

O aký neduh ide a ako sa pred ním chrániť, vám prezradíme podrobnejšie.

Čo je DDoS

Distribuované odmietnutie služby je útok na informačný systém s cieľom zabrániť mu v spracovaní požiadaviek používateľov. Jednoducho povedané, DDoS je potlačenie webového zdroja alebo servera s návštevnosťou z veľkého množstva zdrojov, čím sa stáva nedostupným. Často sa takýto útok vykonáva s cieľom vyvolať výpadky siete vo veľkej spoločnosti alebo vládnej organizácii.

DDoS útoky sú podobné inej bežnej webovej hrozbe – Denial of Service (DoS). Jediný rozdiel je v tom, že typický distribuovaný útok prichádza z jedného bodu, zatiaľ čo DDos útok je väčší a pochádza z rôznych zdrojov.

Hlavným cieľom DDoS útoku je zneprístupniť webovú stránku návštevníkom zablokovaním jej prevádzky. Sú však chvíle, keď sa takéto útoky vykonávajú s cieľom odvrátiť pozornosť od iných škodlivých vplyvov. DDoS útok môže byť napríklad vykonaný, keď je narušený bezpečnostný systém s cieľom prevziať databázu organizácie.

DDoS útoky zasiahli verejnosť v roku 1999 sériou útokov na webové stránky veľkých spoločností (Yahoo, eBay, Amazon, CNN). Odvtedy sa tento typ počítačovej kriminality vyvinul do globálnej hrozby. Podľa odborníkov sa v posledných rokoch ich frekvencia zvýšila 2,5-krát a maximálna kapacita začala presahovať 1 Tbit / s. Každá šiesta ruská spoločnosť sa aspoň raz stala obeťou DDoS útoku. Do roku 2020 ich celkový počet dosiahne 17 miliónov.

Hostiteľská platforma s nepretržitou ochranou proti najsofistikovanejším DDoS útokom.

Dôvody DDoS útokov

  1. Osobná nevraživosť.Často nabáda útočníkov, aby útočili na korporácie alebo vládne spoločnosti. Napríklad v roku 1999 boli webové stránky FBI napadnuté a na niekoľko týždňov deaktivované. Stalo sa tak vďaka tomu, že FBI spustila rozsiahlu raziu na hackerov.
  2. Politický protest. Typicky sú tieto útoky vykonávané hacktivistami - IT špecialistami s radikálnymi názormi na občiansky protest. Známym príkladom je séria kybernetických útokov na estónske vládne inštitúcie v roku 2007. Ich pravdepodobným dôvodom bola možnosť zbúrania Pamätníka vojaka osloboditeľa v Tallinne.
  3. Zábava. Dnes je stále viac ľudí závislých na DDoS a chcú si to vyskúšať. Nie je nezvyčajné, že nováčikovia robia útoky pre zábavu.
  4. Vydieranie a vydieranie. Pred spustením útoku hacker kontaktuje vlastníka zdroja a požaduje výkupné.
  5. konkurencia. DDoS útoky je možné objednať od bezohľadnej spoločnosti s cieľom ovplyvniť ich konkurentov.

Kto sú potenciálne obete

DDoS útoky môžu zničiť stránky všetkých veľkostí, od bežných blogov až po veľké korporácie, banky a iné finančné inštitúcie.

Podľa výskumu Kaspersky Lab by útok mohol stáť firmu až 1,6 milióna dolárov. Ide o vážnu škodu, pretože napadnutý webový zdroj nemôže byť nejaký čas obsluhovaný, a preto je nečinný.

Stránky a servery najčastejšie trpia útokmi DDoS:

  • veľké spoločnosti a vládne agentúry;
  • finančné inštitúcie (banky, správcovské spoločnosti);
  • kupónové služby;
  • lekárske inštitúcie;
  • platobné systémy;
  • Médiá a agregátory informácií;
  • on-line obchody a podniky elektronického obchodu;
  • Online hry a herné služby;
  • výmeny kryptomien.

Nie je to tak dávno, čo na smutný zoznam častých obetí DDoS útokov pribudlo zariadenie pripojené na internet, súhrnne známe ako Internet vecí (IoT). Najvyššiu dynamiku rastu v tejto oblasti vykazujú kybernetické útoky zamerané na narušenie prevádzky online pokladní vo veľkých obchodoch či obchodných centrách.

Mechanizmus práce

Všetky webové servery majú svoje limity na počet požiadaviek, ktoré môžu súčasne spracovať. Okrem toho existuje obmedzenie pre šírku pásma kanála spájajúceho sieť a server. Na obídenie týchto obmedzení útočníci vytvárajú počítačovú sieť so škodlivým softvérom, nazývanú botnet alebo sieť zombie.

Aby vytvorili botnet, počítačoví zločinci šíria trójskeho koňa prostredníctvom e-mailu, sociálnych sietí alebo webových stránok. Počítače zahrnuté v botnete nemajú medzi sebou žiadne fyzické spojenie. Spája ich len „slúžiace“ cieľom majstra-hackera.

Počas DDoS útoku hacker posiela príkazy „infikovaným“ zombie počítačom a tie začnú ofenzívu. Botnety generujú obrovské množstvo návštevnosti, ktorá môže preťažiť akýkoľvek systém. Hlavnými „objektmi“ pre DDoS sú zvyčajne šírka pásma servera, server DNS a samotné internetové pripojenie.

Známky útoku DDoS

Keď akcie útočníkov dosiahnu svoj cieľ, môžu to byť okamžite určené zlyhaniami v prevádzke servera alebo zdroja, ktorý je tam hosťovaný. Existuje však množstvo nepriamych znakov, pomocou ktorých sa môžete o DDoS útoku dozvedieť hneď na začiatku.

  • Serverový softvér a OS sa spúšťajú často a jednoznačne zlyhať- zamrznutie, nesprávne vypnutie a pod.
    • hardvérový výkon server, ktorý sa výrazne líši od priemerných denných ukazovateľov.
  • Rýchly nárast prichádzajúcepremávky v jednom alebo viacerých portoch.
  • Veľa krát duplicitné akcie rovnakého typu klientov na jednom zdroji (prechod na stránku, nahranie súboru).
  • Pri analýze protokolov (protokolov aktivity používateľov) servera, brány firewall alebo sieťových zariadení, veľa žiadostí rovnakého typu z rôznych zdrojov do jedného prístav alebo službu. Mali by ste byť obzvlášť opatrní, ak sa publikum žiadostí výrazne líši od cieľového publika pre stránku alebo službu.

Klasifikácia typov DDoS útokov

Urážlivý protokol (transportná vrstva)

Útok DDoS je zameraný na sieťovú vrstvu servera alebo webového zdroja, preto sa často označuje ako útok sieťovej vrstvy alebo transportnej vrstvy. Jeho účelom je preťaženie tabuľkového priestoru vo firewalle s vloženým bezpečnostným protokolom (firewall), v centrálnej sieti alebo v systéme na vyrovnávanie záťaže.

Najbežnejšou technikou DDoS na transportnej vrstve je záplava siete, čím vzniká obrovský prúd fiktívnych požiadaviek na rôznych úrovniach, s ktorými sa prijímací uzol fyzicky nedokáže vyrovnať.

Sieťová služba zvyčajne presadzuje pravidlo FIFO, že počítač nespracuje druhú požiadavku, kým nespracuje prvú. Ale počas útoku sa počet požiadaviek zvýši natoľko, že zariadenie nemá dostatok zdrojov na dokončenie práce s prvou požiadavkou. Výsledkom je, že záplava maximálne nasýti šírku pásma a úplne upchá všetky komunikačné kanály.

Bežné typy zahltenia siete

  • HTTP záplava- Na napadnutý server sa posiela množstvo bežných alebo šifrovaných HTTP správ, ktoré upchávajú komunikačné uzly.
  • ICMP povodeň- botnet útočníka preťaží hostiteľský stroj obete požiadavkami na služby, na ktoré je povinný dávať echo odpovede. Konkrétnym príkladom tohto typu útoku je Ping-povodeň alebo Smurf attack, keď sú komunikačné kanály zaplnené požiadavkami ping, ktoré sa používajú na kontrolu dostupnosti sieťového uzla. Práve kvôli hrozbe zaplavenia ICMP správcovia systému často úplne blokujú možnosť odosielať požiadavky ICMP pomocou brány firewall.
  • SYN záplava- Útok ovplyvňuje jeden zo základných mechanizmov protokolu TCP, známy ako princíp "triple handshake" (algoritmus požiadavka-odpoveď: SYN paket - SYN-ACK paket - ACK paket). Obeť je bombardovaná falošnými požiadavkami SYN bez odpovede. Kanál užívateľa je upchatý frontom TCP spojení z odchádzajúcich spojení čakajúcich na odpoveď ACK paket.
  • UDP záplava- náhodné porty hostiteľského počítača obete sú zaplavené paketmi UDP, ktorých odpovede preťažujú sieťové zdroje. Volá sa variácia zaplavenia UDP nasmerovaná na server DNS DNS záplava.
  • MAC záplava- cieľom sú sieťové zariadenia, ktorých porty sú upchaté prúdmi "prázdnych" paketov s rôznymi MAC adresami. Na ochranu pred týmto typom DdoS útokov sú sieťové prepínače nakonfigurované s kontrolou platnosti a filtrovaním MAC adries.

Útoky na aplikačnej vrstve (vrstva infraštruktúry)

Táto odroda sa používa, keď je potrebné zabaviť alebo deaktivovať hardvérové ​​prostriedky. Cieľom „nájazdníkov“ môže byť fyzická aj pamäť s náhodným prístupom alebo procesorový čas.

Nie je potrebné preťažovať šírku pásma. Stačí len preťažiť procesor obete alebo, inými slovami, zabrať celý čas spracovania.

Typy DDoS útokov aplikačnej vrstvy

  • Odoslanie „ŤažkýX"balíkov priamo k procesoru. Zariadenie nedokáže zvládnuť zložité výpočty a začne zlyhávať, čím znemožní návštevníkom prístup na stránku.
  • Skript sa používa na vyplnenie servera Nevyžiadaný obsah- protokolové súbory, „komentáre používateľov“ atď. Ak správca systému nenastavil limit na serveri, hacker môže vytvoriť obrovské balíky súborov, ktoré zaplnia celý pevný disk.
  • Problémy s kvótový systém... Niektoré servery používajú CGI (Common Gateway Interface) na komunikáciu s externými programami. Pri získaní prístupu k CGI môže útočník napísať svoj vlastný skript, ktorý použije niektoré zo zdrojov, napríklad čas procesora, v jeho záujme.
  • Neúplná kontrolaúdaje o návštevníkoch. To tiež vedie k predĺženému alebo dokonca nekonečnému využívaniu zdrojov procesora až k vyčerpaniu.
  • Útok typu II... Spôsobuje falošný poplach v ochrannom systéme, ktorý môže zdroj automaticky uzavrieť pred vonkajším svetom.

Útoky na aplikačnej vrstve

Útok DDoS na úrovni aplikácie využíva vynechané miesta v kóde, ktorý vystavuje softvér vonkajším hrozbám. Tento typ útoku možno pripísať takému bežnému útoku ako „Ping of death“ – masívne odosielanie ICMP paketov do počítača obete s väčšou dĺžkou, čo spôsobuje pretečenie vyrovnávacej pamäte.

Profesionálni hackeri sa však zriedka uchýlia k takej jednoduchej metóde, ako je preťaženie šírky pásma. Pri útokoch na komplexné systémy veľkých spoločností sa snažia úplne pochopiť systémovú štruktúru servera a napísať exploit - program, reťazec príkazov alebo časť programového kódu, ktorý zohľadňuje zraniteľnosť softvéru obete a používa sa na útok na počítač.

DNS útoky

  1. Prvá skupina má za cieľ zraniteľnosťa vON DNS servery. Patria sem také bežné typy počítačovej kriminality, ako je útok Zero – day a Fast Flux DNS.
    Jeden z najbežnejších typov útokov DNS sa nazýva DNS Spoofing. Počas nej útočníci nahradia IP adresu vo vyrovnávacej pamäti servera, čím používateľa presmerujú na falošnú stránku. Počas prechodu zločinec získa prístup k osobným údajom používateľa a môže ich využiť vo svoj prospech. Napríklad v roku 2009, kvôli sfalšovaniu DNS záznamu, používatelia nemohli ísť na Twitter na hodinu. Tento útok mal politický charakter. Útočníci nainštalovali na domovskú stránku sociálnej siete hackeri z Iránu varovania súvisiace s americkou agresiou
  2. Druhou skupinou sú DdoS útoky, ktoré vedú k Nefunkčnosť DNS-servery... V prípade ich zlyhania používateľ nebude môcť prejsť na požadovanú stránku, pretože prehliadač nenájde IP adresu obsiahnutú v konkrétnej lokalite.

Prevencia a ochrana pred DDoS útokmi

Podľa Corero Network Security je každý mesiac vystavená útokom odmietnutia prístupu viac ako ⅔ všetkých spoločností na svete. Navyše ich počet dosahuje 50.

Majitelia stránok, ktoré neposkytujú ochranu serverov pred DDoS útokmi, môžu nielen utrpieť obrovské straty, ale aj znížiť dôveru zákazníkov a konkurencieschopnosť na trhu.

Najúčinnejším spôsobom ochrany pred DDoS útokmi sú filtre inštalované poskytovateľom na širokopásmových internetových kanáloch. Vykonávajú konzistentnú analýzu celej prevádzky a identifikujú podozrivú sieťovú aktivitu alebo chyby. Filtre je možné inštalovať na úrovni smerovačov aj pomocou špeciálnych hardvérových zariadení.

Metódy ochrany

  1. Už vo fáze písania softvéru musíte myslieť na bezpečnosť stránky. Dôkladne skontrolujte softvér pre chyby a zraniteľnosti.
  2. Pravidelne aktualizovať softvér a tiež zvážiť možnosť prejsť na staršiu verziu, ak sa vyskytnú problémy.
  3. Nasledujte obmedzenie prístupu... Služby súvisiace so správou by mali byť úplne uzavreté pred prístupom tretích strán. Chráňte svoj účet správcu silnými heslami a často ich meňte. Včas odstráňte účty zamestnancov, ktorí skončili.
  4. Prístup k administrátorské rozhranie musí prebiehať výlučne z internej siete alebo cez VPN.
  5. Vyhľadajte systém prítomnosť zraniteľností... Najnebezpečnejšie varianty zraniteľností pravidelne zverejňuje autoritatívny rating OWASP Top 10.
  6. Použiť aplikačný firewall- WAF (Web Application Firewall). Sleduje prenášanú prevádzku a sleduje oprávnenosť požiadaviek.
  7. Použite CDN(Content Delivery Network). Je to sieť na doručovanie obsahu fungujúca cez distribuovanú sieť. Prevádzka je triedená na viacerých serveroch, čo znižuje latenciu návštevníkov.
  8. Ovládajte prichádzajúcu premávku pomocou zoznamy riadenia prístupu (ACL), kde bude uvedený zoznam osôb, ktoré majú prístup k objektu (programu, procesu alebo súboru), ako aj ich roly.
  9. Môcť blokovať premávku ktorý pochádza z útočiacich zariadení. To sa vykonáva dvoma spôsobmi: pomocou brán firewall alebo ACL. V prvom prípade je zablokovaný konkrétny tok, no zároveň obrazovky nedokážu oddeliť „pozitívnu“ návštevnosť od „negatívnej“. A v druhom sú filtrované vedľajšie protokoly. Preto bude zbytočné, ak hacker použije prvotriedne požiadavky.
  10. Ak sa chcete chrániť pred spoofingom DNS, musíte pravidelne vyprázdniť vyrovnávaciu pamäť DNS.
  11. Použite ochrana pred spamovacími robotmi- captcha (captcha), „ľudské“ časové rámce na vyplnenie formulárov, reCaptcha (zaškrtávacie políčko „Nie som robot“) atď.
  12. Obrátený útok... Všetka škodlivá prevádzka je presmerovaná na útočníka. Pomôže to nielen odraziť útok, ale aj zničiť server útočníka.
  13. Umiestnenie zdrojov na viacero nezávislých serverov... Ak jeden server zlyhá, zostávajúce servery budú funkčné.
  14. Použitie osvedčené hardvérová ochrana z DDoS útokov. Napríklad Impletec iCore alebo DefensePro.
  15. Vyberte si poskytovateľa hostingu, s ktorým spolupracuje spoľahlivý dodávateľ služby kybernetickej bezpečnosti. Medzi kritériami spoľahlivosti odborníci rozlišujú: dostupnosť záruk kvality, ochranu pred celým radom hrozieb, nepretržitú technickú podporu, transparentnosť (klientsky prístup k štatistikám a analytikám), ako aj absenciu taríf pre škodlivý prenos. .

Záver

V tomto článku sme sa pozreli na to, čo znamená DDoS útok a ako ochrániť svoju stránku pred útokmi. Je dôležité si zapamätať, že takáto škodlivá aktivita môže znefunkčniť aj tie najbezpečnejšie a najväčšie webové zdroje. To bude mať za následok vážne následky v podobe obrovských strát a straty zákazníkov. Preto je ochrana vášho zdroja pred DDoS útokmi naliehavou úlohou pre všetky komerčné štruktúry a vládne agentúry.

Ak chcete profesionálnu úroveň ochrany pred DDoS útokmi - vyberte si! Neustále monitorovanie a nepretržitá technická podpora.

PODOBNÉ ČLÁNKY