DOS angrepp

DoS ( förkortning engelska  Denial of Service "denial of service") - en hackerattack mot ett datorsystem för att få det att misslyckas, det vill säga skapa sådana förhållanden under vilka samvetsgranna användare av systemet inte kommer att kunna få tillgång till de tillhandahållna systemresurserna (servrarna) annars blir denna åtkomst svår. Felet i det "fiende" systemet kan också vara ett steg mot att bemästra systemet (om i en nödsituation programvaran ger ut någon kritisk information - till exempel version, del av programkoden, etc.). Men oftare är det ett mått på ekonomisk press: förlusten av en enkel tjänst som genererar intäkter, räkningar från leverantören och åtgärder för att undvika attacken drabbade målets ficka avsevärt. [1] För närvarande är DoS- och DDoS-attacker de mest populära, eftersom de kan få nästan alla dåligt skrivna system att misslyckas utan att lämna juridiskt betydande bevis.

Distribuerad DoS-attack

Om en attack utförs samtidigt från ett stort antal datorer talar man om en DDoS-attack [2] (från engelskan.  Distributed Denial of Service , en distribuerad denial of service-attack ). En sådan attack utförs om det krävs för att orsaka ett överbelastningsskydd till ett väl skyddat stort företag eller statlig organisation.

Först och främst skannar angriparen ett stort nätverk med hjälp av speciellt förberedda skript som identifierar potentiellt svaga noder. De utvalda värdarna attackeras och angriparen får administrativa rättigheter på dem. Trojaner installeras på infångade värdar och körs i bakgrunden . [3] Nu kallas dessa datorer för zombiedatorer , deras användare misstänker inte ens att de är potentiella deltagare i en DDoS-attack. Därefter skickar angriparen vissa kommandon till de fångade datorerna, och de utför i sin tur en kollektiv DoS-attack på måldatorn.

Det finns även program för frivilligt deltagande i DDoS-attacker.

I vissa fall leder en oavsiktlig åtgärd till en faktisk DDoS-attack, till exempel genom att placera en länk på en populär internetresurs till en webbplats som är värd på en inte särskilt produktiv server ( slash dot effect ). En stor tillströmning av användare leder till att den tillåtna belastningen på servern överskrids och följaktligen en överbelastning för vissa av dem.

Försvar

För att skydda mot nätverksattacker används ett antal filter, kopplade till internetkanalen med stor bandbredd. Filtren fungerar på ett sådant sätt att de sekventiellt analyserar den passerande trafiken och avslöjar icke-standardiserad nätverksaktivitet och fel. De analyserade mönstren för icke-standardtrafik inkluderar alla för närvarande kända attackmetoder, inklusive de som implementeras med hjälp av distribuerade botnät. Filter kan implementeras både på nivån för routrar , hanterade switchar och specialiserad hårdvara.

Anledningar till att använda DDoS-attacker

Informationssäkerhetsexperter identifierar flera anledningar till att använda DDoS-attacker. [fyra]

Personlig fiendskap

Detta skäl fungerar ofta som förevändning för attacker mot stora kommersiella och statliga organisationer och företag. Så 1999 attackerades FBI:s webbplatser, som sedan var otillgängliga i flera veckor. Motivet var en nyligen genomförd FBI-razzia mot hackare. [5]

Underhållning

Numera är fler och fler intresserade av DoS-attacker, och alla vill prova sig fram med denna verksamhet. Därför utför många nybörjare angripare DoS-attacker för skojs skull. Efter en lyckad attack tittar de på omfattningen av deras förstörelse. [6]

Politisk protest

De mest kända DDoS-attackerna som syftade till politiska protester var åtgärder till stöd för Monument to the Liberator Soldier i Estland (2007) [7] , Sydossetien (2008), Wikileaks (2011), Megaupload (2012) och EX.UA (2012 ) ), och även mot Rysslands invasion av Ukraina [8] .

Orättvis konkurrens

DDoS-attacker kan utföras på order av en skrupelfri konkurrent .

Utpressning eller utpressning

DDoS-attacker kan utföras i syfte att utpressa eller utpressa , i vilket fall angriparen först kontaktar webbplatsägaren.

Klassificering av DoS-attacker

Det är mycket lättare för hackare att utföra en DoS-attack på ett system än att få full tillgång till det. Det finns olika anledningar till att ett DoS-tillstånd kan uppstå, det vill säga en situation där användare inte kan komma åt resurserna som servern tillhandahåller, eller åtkomst till dem är avsevärt svår: [9]

Bandbreddsmättnad

För närvarande är nästan alla datorer anslutna till Internet eller till ett lokalt nätverk. Detta är ett utmärkt tillfälle att utföra en DoS-attack genom att svämma över bandbredden. Typiskt använder angripare en översvämning ( eng.  flood  - "flood", "overflow") – en attack som är förknippad med ett stort antal vanligtvis meningslösa eller felaktigt formaterade förfrågningar till ett datorsystem eller nätverksutrustning, som har som mål eller lett till ett fel i systemet från - för uttömning av systemresurser - processor, minne eller kommunikationskanaler. Det finns flera varianter av översvämningar. [tio]

HTTP-flod och ping-flod

Detta är den mest primitiva typen av DoS-attack. Bandbreddsmättnad kan bara göras med vanliga pingar om angriparens kanal är mycket bredare än offrets dators kanal. Men en sådan attack är värdelös mot servern, eftersom den senare i sin tur har en ganska bred bandbredd. En HTTP-flod används vanligtvis för att attackera en server. Angriparen skickar ett litet HTTP-paket, men så att servern svarar på det med ett paket som är hundratals gånger större. Även om serverns kanal är tio gånger bredare än angriparens, finns det fortfarande en god chans att mätta offrets bandbredd. Och för att förhindra svars-HTTP-paket från att orsaka en denial of service från en angripare, ersätter han varje gång sin ip-adress med ip-adresserna för noder i nätverket. [elva]

Smurfattack (ICMP-flod)

Smurfattacken eller ICMP-floden  är en av de farligaste typerna av DoS-attacker, eftersom offerdatorn kommer att uppleva ett överbelastningsskydd efter en sådan attack med nästan 100 % garanti. En angripare använder en sändning för att söka efter livevärdar på systemet genom att skicka en ping-förfrågan . Uppenbarligen kommer angriparen ensam inte att kunna inaktivera offrets dator, så ytterligare en deltagare krävs - det här är ett förstärkande nätverk. I den skickar angriparen ett falskt ICMP-paket till sändningsadressen . Då ändras angriparens adress till offrets adress. Alla noder kommer att skicka ett svar till henne på ping-förfrågan. Därför kommer ett ICMP-paket som skickas av en angripare genom ett förstärkande nätverk som innehåller 200 noder att förstärkas med en faktor 200. För en sådan attack väljs vanligtvis ett stort nätverk så att offrets dator inte har någon chans. [12]

Fraggle attack (UDP-flod)

Fraggle-attacken (fragmenteringsgranaten) (från engelskan.  Fraggle attack ) är en komplett analog till Smurf-attacken, där UDP- paket används istället för ICMP-paket , så det kallas även UDP flood. Funktionsprincipen för denna attack är enkel: ekokommandon skickas till offrets sjunde port på en sändningsförfrågan. Då ersätts angriparens IP-adress med offrets IP-adress, som snart får en hel del svarsmeddelanden. Deras antal beror på antalet noder i nätverket. Denna attack resulterar i bandbreddsmättnad och ett fullständigt överbelastningsskydd för offret. I det här fallet, om ekotjänsten är inaktiverad, kommer ICMP-meddelanden att genereras, vilket också kommer att leda till bandbreddsmättnad. [12]

SYN packet flood attack (SYN flood)

Före tillkomsten av Smurf-attacken var en SYN-översvämningsattack, även känd som en SYN-flod , utbredd . [13] För att beskriva dess funktion kan vi uppehålla oss vid övervägandet av två system A och B, som vill upprätta en TCP-förbindelse sinsemellan , varefter de kan utbyta data med varandra. En viss mängd resurser allokeras för att upprätta en anslutning, och DoS-attacker använder detta. Genom att skicka flera falska förfrågningar kan du använda alla systemresurser som tilldelats för att upprätta en anslutning. [14] Låt oss ta en närmare titt på hur detta händer. En hacker från system A skickar ett SYN-paket till system B, men efter att ha ändrat sin IP-adress till en obefintlig. Sedan, omedvetet, sänder dator B ett SYN/ACK-svar till en icke-existerande IP-adress och går in i SYN-MOTTAGET tillstånd. Eftersom SYN/ACK-meddelandet inte når system A, kommer dator B aldrig att ta emot ett paket med ACK-flaggan. [15] [16] Denna potentiella anslutning kommer att stå i kö. Den lämnar kön först efter 75 sekunder. [17] Angripare använder detta för att skicka flera SYN-paket till offrets dator på en gång med ett intervall på 10 sekunder för att helt tömma systemresurserna. Att fastställa källan till en attack är mycket svårt, eftersom angriparen hela tiden ändrar källans IP-adress. [arton]

Brist på resurser

Angripare använder den här typen av DoS-attack för att fånga systemresurser, såsom RAM och fysiskt minne, processortid och annat. Vanligtvis utförs sådana attacker med hänsyn till det faktum att hackaren redan har en viss mängd systemresurser. Syftet med attacken är att fånga ytterligare resurser. För att göra detta är det inte nödvändigt att mätta bandbredden, utan helt enkelt överbelasta offrets processor, det vill säga ta all tillåten processortid. [19]

Skickar "tunga" förfrågningar

Angriparen skickar paket till servern som inte mättar bandbredden (kanalen är vanligtvis ganska bred), men slösar bort all sin CPU-tid. Serverprocessorn, när den bearbetar dem, kanske inte klarar av komplexa beräkningar. På grund av detta kommer ett fel att inträffa och användare kommer inte att kunna komma åt de nödvändiga resurserna.

Server full av loggfiler

Serverloggfiler är filer som registrerar nätverks- eller programanvändares handlingar. En okvalificerad administratör kan felkonfigurera systemet på sin server utan att sätta en viss gräns. Hackaren kommer att dra fördel av detta fel och skicka stora paket som snart tar upp allt ledigt utrymme på serverns hårddisk. Men denna attack kommer bara att fungera i fallet med en oerfaren administratör, kvalificerade sådana lagrar loggfiler på en separat systemenhet. [elva]

Dåligt kvotsystem

Vissa servrar har ett så kallat CGI-program som länkar ett externt program till webbservern. Om en hacker får tillgång till CGI kan han skriva ett skript ( eng.  scripting language ), som använder mycket serverresurser, såsom RAM och processortid. Ett CGI-skript kan till exempel innebära att man slingrar sig genom skapandet av stora arrayer eller beräkningar av komplexa matematiska formler. I detta fall kan den centrala processorn komma åt ett sådant skript flera tusen gånger. Därav slutsatsen: om kvotsystemet är felaktigt konfigurerat, kommer ett sådant skript att ta bort alla systemresurser från servern på kort tid. Naturligtvis är vägen ut ur denna situation uppenbar - att sätta en viss gräns för minnesåtkomst, men i det här fallet kommer skriptprocessen, efter att ha nått denna gräns, att vänta tills den laddar bort alla gamla data från minnet. Därför kommer användare att uppleva en brist på systemresurser. [tjugo]

Otillräcklig validering av användardata

Otillräcklig validering av användardata leder också till en oändlig eller lång cykel eller ökad långsiktig förbrukning av processorresurser (upp till uttömning av processorresurser) eller allokering av en stor mängd RAM (upp till uttömning av tillgängligt minne). [fjorton]

Attack av det andra slaget

Detta är en attack som försöker att felaktigt utlösa ett säkerhetssystem och därmed göra en resurs otillgänglig.

Programmeringsfel

Professionella DoS-angripare använder inte en så primitiv attackmetod som bandbreddsmättnad. Efter att ha förstått strukturen i offrets system till fullo, skriver de program ( exploater ) som hjälper till att attackera de komplexa systemen hos kommersiella företag eller organisationer. Oftast är dessa fel i programkoden , vilket leder till åtkomst till ett oanvänt fragment av adressutrymmet, exekvering av en ogiltig instruktion eller annat obehandlat undantag när serverprogrammet kraschar - serverprogrammet. Ett klassiskt exempel är att adressera nolladressen ( eng.  null ). [21]

Svagheter i programkoden

Undantagshantering har alltid varit en huvudvärk för utvecklare av operativsystem. Angripare letar efter fel i programkoden för ett program eller operativsystem, vilket tvingar det att hantera undantag som det inte kan hantera. Detta resulterar i fel. Ett enkelt exempel är den frekventa överföringen av paket, som inte respekterar specifikationerna och standarderna för RFC-dokument . [22] Angripare tittar för att se om nätverksstacken kan hantera undantag. Om inte, kommer överföringen av sådana paket att leda till en kärnpanik ( kärnpanik ) eller till och med att hela systemet kollapsar. [23]

Denna klass inkluderar Ping of death error , vanligt på 1990-talet. RFC 791 IPv4 IPv4 -paketlängden får inte överstiga 65 535 byte; ett större ICMP- paket skickas till offrets dator , tidigare uppdelat i delar; offret har ett buffertspill från ett sådant paket . En annan bugg vid den tiden är WinNuke ( Windows 95 hanterade inte den sällsynta biten av URG TCP-paketet korrekt).

Buffertspill

Ett buffertspill uppstår när ett program skriver data utanför bufferten på grund av ett programmeringsfel. Låt oss säga att en programmerare har skrivit en applikation för att utbyta data över ett nätverk som fungerar på något protokoll. Detta protokoll anger strikt att ett visst fält i ett paket kan innehålla maximalt 65536 byte med data. Men efter att ha testat applikationen visade det sig att det i sin klientdel inte finns något behov av att lägga in data i detta fält som är större än 255 byte. Därför accepterar serverdelen inte mer än 255 byte. Därefter ändrar angriparen applikationskoden så att klientdelen nu skickar alla 65536 byte som tillåts av protokollet, men servern är inte redo att ta emot dem. Detta orsakar ett buffertspill och hindrar användare från att komma åt programmet. [elva]

Routing och DNS-attacker

Alla attacker på DNS-servrar kan delas in i två typer: [24]

DoS-attacker på sårbarheter i programvara i DNS-servrar

De kallas också cache-attacker. Under denna attack ersätter angriparen IP-adressen för DNS-servern på offrets domän. Efter det, när den begär en HTML-sida, hamnar den attackerade personen antingen i ett "svart hål" (om IP-adressen ersatts med en obefintlig), eller går direkt till angriparens server. Det andra fallet är mer beklagligt, eftersom en angripare lätt kan få tillgång till personliga uppgifter om ett intet ont anande offer. Låt oss titta på ett exempel på hur detta händer. Låt oss säga att en kund vill gå till webbplatsen Microsoft.com. Men med hjälp av en sårbarhet i företagets DNS-server ändrade angriparen IP-adressen för microsoft.com-värden till sin egen. Nu omdirigeras offret automatiskt till noden till angriparen.

DDoS-attacker på DNS-servrar

Vidare kommer vi att prata om DDoS-attacker, eftersom deltagandet av DNS-servrar alltid innebär närvaron av ett stort antal datorer. Attacker på DNS-servrar är de vanligaste attackerna, vilket leder till ett överbelastningsskydd för en DNS-server, både genom att mätta bandbredd och genom att gripa systemresurser. Men en sådan attack kräver ett stort antal zombiedatorer . Efter framgångsrik implementering kan användare inte komma till den sida de behöver på Internet, eftersom DNS-servern inte kan lösa domännamnet till webbplatsens IP-adress. Men för närvarande är attacker på DNS-servrar som använder ett stort antal zombiedatorer (ett sådant system kallas ett " botnät ") mindre relevanta, eftersom internetleverantörer lätt märker en stor mängd utgående trafik och blockerar den. Skadningsmän klarar sig nu med små botnät, eller använder dem inte alls. Huvudtanken är att hackare använder DNS-servrar [26] baserade på DNSSEC -teknik . [27] Attackkraften ökar på grund av ökningen av DNS-frågereflektioner. Helst bör en viss leverantörs DNS-servrar endast behandla förfrågningar som kommer till dem från användare av denna leverantör, men detta är långt ifrån verkligheten. Det finns många felkonfigurerade servrar runt om i världen som kan acceptera en begäran från alla användare på Internet. CloudFlare- anställda hävdar att det för närvarande finns mer än 68 tusen felaktigt konfigurerade DNS-servrar på Internet, mer än 800 av dem finns i Ryssland. [28] Dessa DNS-servrar används för DDoS-attacker. Grundtanken är att nästan alla DNS-förfrågningar skickas över UDP, där det är relativt enkelt att ändra returadressen till offrets adress. Därför, genom felaktigt konfigurerade DNS-servrar, skickar angriparen en sådan begäran så att svaret på den är så stor som möjligt i volym (det kan till exempel vara en lista över alla poster i DNS-tabellen), där den omvända IP-adressen adress ersätts med offrets IP-adress. I regel har leverantörernas servrar en ganska stor bandbredd, så det är inte svårt att skapa en attack på flera tiotals Gb/s. [29]

Lista över autonoma system med det högsta antalet felkonfigurerade DNS-servrar den 11/10/2013. [28]

Antal DNS-servrar Autonomt systemnamn Plats
2108 BELPAK-AS Republican Unitary Telecommunication Enterprise Be Belarus
1668 HINET Data Communication Business Group
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Korea
965 Telefonica Argentina Argentina
894 ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information C Taiwan
827 KDDI KDDI CORPORATION
770 Compa Dominicana de Telefonos, C. por A. — CODETEL
723 CHINANET-BACKBONE No.31, Jin-rong Street Kina
647 LGDACOM LG DACOM Corporation
606 UUNET - MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonesien Indonesien
601 COLOMBIA TELECOMUNICACIONES SA ESP Colombia

Detektering av DoS/DDoS-attacker

Det finns en åsikt att speciella verktyg för att upptäcka DoS-attacker inte krävs, eftersom faktumet av en DoS-attack inte kan förbises. I många fall är detta sant. Men framgångsrika DoS-attacker observerades ganska ofta, som märktes av offren först efter 2-3 dagar. Det hände att de negativa konsekvenserna av en attack ( översvämningsattack ) resulterade i alltför höga kostnader för att betala för överskott av internettrafik, vilket blev tydligt först när man fick en faktura från en internetleverantör. Dessutom är många intrångsdetekteringsmetoder ineffektiva nära attackmålet, men de är effektiva på nätverkets stamnät. I det här fallet är det tillrådligt att installera detektionssystem exakt där, och inte vänta tills användaren som har blivit attackerad märker det själv och söker hjälp. Dessutom, för att effektivt motverka DoS-attacker, är det nödvändigt att känna till typen, arten och andra egenskaper hos DoS-attacker, och det är säkerhetstjänster som gör att du snabbt kan få tag på denna information. De hjälper till att göra vissa systeminställningar. Men för att avgöra om den här attacken gjordes av en angripare, eller om denial of service var resultatet av en onormal händelse, kan de inte. I enlighet med reglerna i säkerhetspolicyn, om en DoS- eller DDoS-attack upptäcks, kommer den att behöva registreras för ytterligare granskning. När en attack har upptäckts kan säkerhetstjänster behöva göra vissa justeringar av systemet och återställa det till dess tidigare driftnivå. Dessutom kan tjänster som inte är relaterade till säkerhet användas för att upptäcka en DDoS-attack, till exempel omdirigera trafik genom andra kommunikationskanaler, aktivera backupservrar för att kopiera information. Medlen för att upptäcka och förhindra DDoS-attacker kan således variera mycket beroende på vilken typ av system som skyddas. [trettio]

DoS-attackdetekteringsmetoder kan delas in i flera stora grupper:

  • signatur - baserat på en kvalitativ analys av trafiken.
  • statistisk - baserat på en kvantitativ analys av trafiken.
  • hybrid (kombinerad) - kombinerar fördelarna med båda ovanstående metoder.

Notoriska DDoS-attacker

Till exempel under 2012 förekom flera storskaliga DDoS-attacker på DNS-servrar. Den första av dem var planerad till den 31 mars, men ägde aldrig rum. Målet för angriparna från Anonymous- gruppen [32] var att få hela det globala internetnätverket att misslyckas. De ville göra detta med en DDoS-attack på 13 rot-DNS-servrar [33] . Angriparna släppte ett speciellt Ramp- verktyg , som var avsett att kombinera mindre DNS-servrar och internetleverantörer . Med hjälp av dem var det planerat att inaktivera det globala nätverket.

Exakt samma attack utfördes i november 2002. Det anses fortfarande vara den mest globala DDoS-attacken på DNS-servrar, eftersom angripare som ett resultat kunde inaktivera 7 rotservrar. Nästa attack ägde rum i augusti mot AT&T , det största amerikanska telekommunikationsföretaget. Som ett resultat, efter attacken, som varade i 8 timmar, misslyckades företagets DNS-servrar. Under en tid kunde användarna inte bara komma åt AT&T-webbplatsen utan även kommersiella webbplatser på dess nätverk.

En annan attack ägde rum den 10 november 2012 mot Go Daddy , som är världens största värdleverantör. Konsekvenserna av attacken var förödande: inte bara själva domänen www.godaddy.com påverkades, utan också mer än 33 miljoner internetdomäner som registrerades av företaget. [34]

Mycket tidigare, den 22 augusti 2003, använde cyberkriminella Mydoom -viruset för att inaktivera webbplatsen för SCO , ett systemprogramvaruföretag. Under 3 hela dagar kunde användare inte komma till företagets hemsida. [35]

Den 15 september 2012 drabbade en massiv 65 Gbps DDoS-attack CloudFlare , ett innehållsleveransnätverk dedikerat till delad hosting. Detta företags servrar finns över hela världen. [29] Detta hjälper användaren att ladda en sida på Internet från närmaste (geografiskt sett) CloudFlare-server mycket snabbare. Tidigare stod detta företag emot DDoS-attacker med en kapacitet på flera tiotals Gb/s, men kunde inte klara av en attack på 65 Gb/s. Denna topp inträffade lördagen den 15 september klockan 13:00. De anställda som arbetade på CloudFlare vid den tiden var före detta hackare som var intresserade av att ta reda på exakt vilken metod denna DDoS-attack utfördes, och hur angriparna kunde utföra den med sådan kraft. Det visade sig att en sådan attack skulle kräva 65 000 bots som skapar trafik på 1 Mbps vardera. Men detta är inte möjligt, eftersom internetleverantörer enkelt kan upptäcka och blockera en så stor mängd trafik. Samtidigt är det väldigt dyrt att hyra ett stort botnät. Därför visade det sig att för en sådan attack användes metoden att multiplicera DNS-frågor genom öppna DNS-servrar.

Ungefär ett halvår senare, den 18 mars, började den största DDoS-attacken i historien, enligt The New York Times , vars offer var Spamhaus , ett företag som var inblandat i att svartlista spamkällor . [36] Anledningen till attacken var det faktum att Spamhaus svartlistade den holländska värdleverantören CyberBunker för att ha skickat skräppost . Den andra uttryckte sitt missnöje med hjälp av en DDoS-attack med en toppeffekt på 300 Gb/s genom öppna DNS-servrar. Den 19 mars nådde effekten 90 Gb/s, vilket ändrade dess värde från 30 Gb/s. [37] Därefter blev det ett lugn, men det varade inte länge och attacken återupptogs med förnyad kraft och den 22 mars nådde dess kapacitet 120 Gb/s. För att avvärja attacken distribuerade CloudFlare trafik mellan sina datacenter , varefter Cyberbunker insåg att de inte kunde "lägga ner" CloudFlare och började en ny våg av attacker mot sina uppströmskollegor . En del av paketen filtrerades på Tier2-nivån, resten av trafiken kom till Tier1-nivån, där effekten nådde sitt maximum på 300 Gb/s. I det ögonblicket kände miljontals internetanvändare den fulla kraften i denna attack, vissa webbplatser bromsades av dem. Till slut stod leverantörerna emot denna attack, men i Europa skedde en liten ökning av ping när de gick in på olika webbplatser. Till exempel, i Londons LINX trafikväxlingscenter den 23 mars, på grund av en attack, sjönk dataväxelkursen med mer än hälften. Medelhastigheten på 1,2 Tbps sjönk till 0,40 Tbps. [38]

DDoS-skydd

Citat

Endast amatörattacker riktar sig mot bilar. Professionella attacker riktar sig mot människor.

B. Schneier [39]

Det är för närvarande omöjligt att helt skydda sig från DDoS-attacker, eftersom absolut pålitliga system inte existerar. Den mänskliga faktorn spelar också en stor roll här, eftersom varje misstag av en systemadministratör som felaktigt konfigurerat routern kan leda till mycket katastrofala konsekvenser. Men trots allt detta finns det för tillfället många skyddsverktyg för både hårdvara och mjukvara och organisatoriska metoder för konfrontation.

Åtgärder för att motverka DDoS-attacker kan delas in i passiva och aktiva, samt förebyggande och reaktiva. Nedan följer en kort lista över de viktigaste metoderna.

  • Förebyggande. Förebyggande av orsaker som uppmuntrar vissa individer att organisera och genomföra DDoS-attacker. (Mycket ofta är cyberattacker i allmänhet resultatet av personliga klagomål, politiska, religiösa och andra meningsskiljaktigheter, offrets provocerande beteende, etc.). Det är nödvändigt att eliminera orsakerna till DDoS-attacker i tid och sedan dra slutsatser för att undvika sådana attacker i framtiden.
  • reaktionsåtgärder. Genom att tillämpa tekniska och juridiska åtgärder är det nödvändigt att påverka källan och arrangören av DDoS-attacken så aktivt som möjligt. För närvarande finns det till och med speciella företag som hjälper till att hitta inte bara personen som utförde attacken, utan även arrangören själv.
  • Programvara. På marknaden för modern mjukvara och hårdvara finns det en som kan skydda små och medelstora företag från svaga DDoS-attacker. Dessa verktyg är vanligtvis en liten server.
  • Filtrering och svarthålning. Blockera trafik från attackerande maskiner. Effektiviteten av dessa metoder minskar när du kommer närmare föremålet för attacken och ökar när du kommer närmare den attackerande maskinen. I det här fallet kan filtrering vara av två typer: användning av brandväggar och ACL :er . Användningen av brandväggar blockerar ett specifikt trafikflöde, men tillåter dig inte att skilja "bra" trafik från "dålig" trafik. ACL:er filtrerar bort mindre protokoll och påverkar inte TCP-protokoll. Detta saktar inte ner servern, men är värdelöst om angriparen använder prioritetsförfrågningar. [40]
  • Omvänd DDOS  - omdirigerar trafiken som används för attacken till angriparen. Med tillräcklig kraft på den attackerade servern tillåter den inte bara att framgångsrikt avvärja attacken, utan också att inaktivera den attackerande servern.
  • Eliminering av sårbarheter. Fungerar inte mot översvämningsattacker , för vilka " sårbarheten " är ändligheten hos vissa systemresurser. Denna åtgärd syftar till att eliminera fel i system och tjänster.
  • Ökar resurser. Naturligtvis ger det inget absolut skydd, men det är en bra bakgrund för att tillämpa andra typer av skydd mot DDoS-attacker.
  • Spridning. Bygga distribuerade och duplicera system som inte kommer att sluta betjäna användare, även om vissa av deras element blir otillgängliga på grund av en DoS-attack.
  • Undvikande. Flytta det omedelbara målet för attacken ( domännamn eller IP-adress ) bort från andra resurser som ofta också påverkas tillsammans med det omedelbara målet för attacken.
  • Aktivt svar. Inverkan på källorna, arrangören eller kontrollcentret för attacken, både genom konstgjorda och organisatoriska och juridiska medel.
  • Använda utrustning för att avvärja DDoS-attacker. Till exempel DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore och andra tillverkare. Enheter distribueras framför servrar och routrar och filtrerar inkommande trafik.
  • Förvärv av en DDoS-skyddstjänst. Faktiskt om nätverkskanalens bandbredd överskrids av översvämningen.

Google är också redo att tillhandahålla sina resurser för att visa innehållet på din webbplats om webbplatsen är utsatt för en DDoS-attack. För tillfället är Project Shield-tjänsten på teststadiet, men vissa platser kan accepteras där [41] . Syftet med projektet är att skydda yttrandefriheten.

Statistik

Kaspersky Labs experter genomförde en studie och fann att var sjätte ryskt företag 2015 utsattes för en DDoS-attack. Enligt experter har det under året skett cirka 120 000 attacker som riktades mot 68 000 resurser runt om i världen. I Ryssland valde cyberbrottslingar oftast stora företag som sina mål - 20 % av fallen, medelstora och små företag - 17 %. DDoS-attacker syftade till att skapa problem i arbetet med huvudsidan på företagets webbplats (55% av attackerna), inaktivera kommunikationstjänster och e-post (34%), funktioner som låter användaren logga in på systemet (23%) . Experterna fann också att 18 % av DDoS-attackerna registrerades på filservrar och 12 % på finansiella transaktionstjänster. Ryssland ligger på femte plats i världen när det gäller antalet DDoS-attacker på sina webbplatser. De flesta cyberbrott begås i Kina, USA, Korea och Kanada. Attacker utförs dock oftast av kinesiska och ryska hackare [42] .

Se även

Anteckningar

  1. Internet Denial of Service, 2004 .
  2. Denial of Service Attacker, 2004 .
  3. Datavirus inifrån och ut, 2006 .
  4. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 2.
  5. Praktisk kryptografi, 2005 .
  6. The philosophy of Anonymous, 2013 .
  7. Lenta.ru: Media: Hackare attackerar estniska myndigheters webbplatser . Hämtad 28 februari 2014. Arkiverad från originalet 3 maj 2007.
  8. Systemet för frivilligt cyberförsvar i Ukraina skapade ett program för att hjälpa till i kampen mot informationskriget ... . Hämtad 11 mars 2022. Arkiverad från originalet 1 mars 2022.
  9. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 3.
  10. Illustrerad handledning om Internetsäkerhet, 2004 , sid. fyra.
  11. 1 2 3 Hacker, 2003 .
  12. 1 2 Illustrerad handledning om Internetsäkerhet, 2004 , sid. åtta.
  13. RFC 4987, 2007 .
  14. 12 Säkerhetsproblem i TCP/IP-protokollsviten, 1989 .
  15. "Projekt Neptunus", 07.1996 .
  16. En svaghet i 4.2BSD Unix TCP/IP-programvaran, 1985 .
  17. IP-spooling Demystified, 1996 .
  18. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 9.
  19. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 5.
  20. Hacker, 2005 .
  21. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 6.
  22. RFC-dokument, 2004 .
  23. Analys av typiska säkerhetsöverträdelser i nätverk, 2001 .
  24. Illustrerad handledning om Internetsäkerhet, 2004 , sid. 7.
  25. CloudFlare, 2012-10-30 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hacker, 2012-10-31 .
  29. 1 2 Hacker, 2012-09-18 .
  30. Informationssäkerhet för öppna system, 2012 , sid. 39.
  31. Hacker, 2013-04-28 .
  32. Anonym IRC-server, 2011 .
  33. Rotnamnserver, 2013 .
  34. GoDaddy DNS-servrar kraschar, 2012-11-09 .
  35. MyDoom är decenniets dyraste skadliga programvara, 2011-01-26 .
  36. Hur cyberattacken mot Spamhaus utvecklades, 2013 .
  37. DDoS som nästan bröt internet, 2013 .
  38. 300 Gbps DDoS-attack, 2013-03-27 .
  39. Semantiska attacker: Den tredje vågen av nätverksattacker . Hämtad 6 december 2013. Arkiverad från originalet 30 oktober 2013.
  40. DDoS-reducering via regionala städcentra, 2011 .
  41. DDoS-skydd med Project Shield . Tillträdesdatum: 28 juni 2015. Arkiverad från originalet 1 juli 2015.
  42. TASS: Ekonomi och affärer - Kaspersky Lab: vart sjätte företag i Ryska federationen under 2015 utsattes för en DDoS-attack . Datum för åtkomst: 27 januari 2016. Arkiverad från originalet 28 januari 2016.

Litteratur

Länkar