За последнее время мы смогли убедиться, что DDoS атаки - это довольно сильное оружие в информационном пространстве. С помощью DDoS атак с высокой мощностью можно не только отключить один или несколько сайтов, но и нарушить работу всего сегмента сети или же отключить интернет в маленькой стране. В наши дни DDoS атаки случаются все чаще и их мощность с каждым разом возрастает.

Но в чем суть такой атаки? Что происходит в сети когда она выполняется, откуда вообще возникла идея так делать и почему она такая эффективная? На все эти вопросы вы найдете ответы в нашей сегодняшней статье.

DDoS или distributed denial-of-service (разделенный отказ в обслуживании) - это атака на определенный компьютер в сети, которая заставляет его путем перегрузки не отвечать на запросы других пользователей.

Чтобы понять что значит ddos атака, давайте представим ситуацию: веб-сервер отдает пользователям страницы сайта, допустим на создание страницы и полную ее передачу компьютеру пользователя уходит полсекунды, тогда наш сервер сможет нормально работать при частоте два запроса в секунду. Если таких запросов будет больше, то они будут поставлены в очередь и обработаются как только веб-сервер освободиться. Все новые запросы добавляются в конец очереди. А теперь представим что запросов очень много, и большинство из них идут только для того, чтобы перегрузить этот сервер.

Если скорость поступления новых запросов превышает скорость обработки, то, со временем, очередь запросов будет настолько длинной, что фактически новые запросы уже не будут обрабатываться. Это и есть главный принцип ddos атаки. Раньше такие запросы отправлялись с одного IP адреса и это называлось атакой отказа в обслуживании - Dead-of-Service, по сути, это ответ на вопрос что такое dos. Но с такими атаками можно эффективно бороться, просто добавив ip адрес источника или нескольких в список блокировки, к тому же несколько устройство из-за ограничений пропускной способности сети не физически не может генерировать достаточное количество пакетов, чтобы перегрузить серьезный сервер.

Поэтому сейчас атаки выполняются сразу с миллионов устройств. К называнию было добавлено слово Distribed, распределенная, получилось - DDoS. По одному эти устройства ничего не значат, и возможно имеют подключение к интернету с не очень большой скоростью, но когда они начинают все одновременно отправлять запросы на один сервер, то могут достигнуть общей скорости до 10 Тб/с. А это уже достаточно серьезный показатель.

Осталось разобраться где злоумышленники берут столько устройств для выполнения своих атак. Это обычные компьютеры, или различные IoT устройства, к которым злоумышленники смогли получить доступ. Это может быть все что угодно, видеокамеры и роутеры с давно не обновляемой прошивкой, устройства контроля, ну и обычные компьютеры пользователей, которые каким-либо образом подхватили вирус и не знают о его существовании или не спешат его удалять.

Виды DDoS атак

Есть два основные типы DDoS атак, одни ориентированы на то, чтобы перегрузить определенную программу и атаки, направленные на перегрузку самого сетевого канала к целевому компьютеру.

Атаки на перегрузку какой-либо программы, еще называются атаки у 7 (в модели работы сети osi - семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Именно этот вид мы рассматривали выше.

DoS атаки на интернет канал требуют намного больше ресурсов, но зато с ними намного сложнее справиться. Если проводить аналогию с osi, то это атаки на 3-4 уровень, именно на канал или протокол передачи данных. Дело в том, что у любого интернет-соединения есть свой лимит скорости, с которой по нему могут передаваться данные. Если данных будет очень много, то сетевое оборудование точно так же, как и программа, будет ставить их в очередь на передачу, и если количество данных и скорость их поступления будет очень сильно превышать скорость канала, то он будет перегружен. Скорость передачи данных в таких случаях может исчисляться в гигабайтах в секунду. Например, в случае с отключения от интернета небольшой страны Либерии, скорость передачи данных составила до 5 Тб/сек. Тем не менее 20-40 Гб/сек достаточно, чтобы перегрузить большинство сетевых инфраструктур.

Происхождение DDoS атак

Выше мы рассмотрели что такое DDoS атаки, а также способы DDoS атаки, пора перейти к их происхождению. Вы когда-нибудь задумывались почему эти атаки настолько эффективны? Они основаны на военных стратегиях, которые разрабатывались и проверялись на протяжении многих десятилетий.

Вообще, многие из подходов к информационной безопасности основаны на военных стратегиях прошлого. Существуют троянские вирусы, которые напоминают древнее сражение за Трою, вирусы-вымогатели, которые крадут ваши файлы, чтобы получить выкуп и DDoS атаки ограничивающие ресурсы противника. Ограничивая возможности противника, вы получаете немного контроля над его последующими действиями. Эта тактика работает очень хорошо как для военных стратегов. так и для киберпреступников.

В случае с военной стратегией мы можем очень просто думать о типах ресурсов, которые можно ограничить, для ограничения возможностей противника. Ограничение воды, еды и строительных материалов просто уничтожили бы противника. С компьютерами все по-другому тут есть различные сервисы, например, DNS, веб-сервер, сервера электронной почты. У всех них различная инфраструктура, но есть то, что их объединяет. Это сеть. Без сети вы не сможете получить доступ к удаленной службе.

Полководцы могут отравлять воду, сжигать посевы и устраивать контрольные пункты. Киберпреступники могут отправлять службе неверные данные, заставить ее потребить всю память или вовсе перегрузить весь сетевой канал. Стратегии защиты тоже имеют те же самые корни. Администратору сервера придется отслеживать входящий трафик чтобы найти вредоносный и заблокировать его еще до того как он достигнет целевого сетевого канала или программы.

Основатель и администратор сайта сайт, увлекаюсь открытым программным обеспечением и операционной системой Linux. В качестве основной ОС сейчас использую Ubuntu. Кроме Linux интересуюсь всем, что связано с информационными технологиями и современной наукой.

DoS-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») . В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

* Ошибка в программном коде , приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера - серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу. Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).

* Флуд (англ. flood - «наводнение», «переполнение») - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.

* Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса. Если атака (обычно флуд) производится одновременно с большого количества IP-адресов - с нескольких рассредоточенных в сети компьютеров - то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Виды флуда

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:

* SYN-флуд - при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (програмных сетевых гнезд, портов) и сервер перестаёт отвечать.

* UDP-флуд - этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP-пакеты надо доставить первыми, а TCP- могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.

* ICMP-флуд - то же самое, но с помощью ICMP-пакетов.

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) - флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, - для выведения веб-сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка>.

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток.

Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

* сигнатурные - основанные на качественном анализе трафика,

* статистические - основанные на количественном анализе трафика,

* гибридные (комбинированные) - сочетающие в себе достоинства обоих вышеназванных методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.

* Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)

* Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.

* Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.

* Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.

* Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.

* Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.

* Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.

* Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.

* Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Уровень угрозы напрямую зависит силы и продолжительности атаки

Dos (Denial of Service) атаки

Логикой атаки является создание условий, при которых обычные или легитимные пользователи системы не могут получить доступ к предоставляемым сайтом ресурсам, либо этот доступ к ним затруднён.

В большинстве случаев DoS атака - это мера коммерческое давления сайты. Простой сайта, приносящего доход, счета от провайдера, меры по уходу от атаки ощутимо бьют собственника ресурса по карману.
Целью DoS атаки могут также стать политические, религиозные или иные мотивы, когда атакующие не согласны с контентом и политикой сайта.

DoS атака на сайт может быть и прелюдией к взлому сайта, если при сбое ПО сервера или код сайта выдаёт какую-либо критическую информацию - например, версию ПО, часть программного кода, серверные пути и т. п.).

В случае, когда атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service).

DDos (Distributed Denial of Service) атаки

Технологии проведения DoS и DDoS атак разнообразны, от простого навала на ресурс, до техники "умного" DoSa, атакующего конкретные слабые, или долго выполняющиеся скрипты сайта.

Часто злоумышленники пользуются уязвимостями в серверном программном обеспечении. Старые версии серверного ПО подвержены множественным уязвимостям, включая неустойчивостью к DoS и DDoS атакам. Применяются эксплойты использующие эти уязвимости, для организации DoS и DDoS атак.

Техникой "умного" DDoSa так же является атака, приводящая к отказу в обслуживании путем превышения лимитов установленных хостинг - провайдерами.

Практически у всех хостингов существуют недокументированные ограничения в обслуживание, такие как количество единовременных обращений к файловой системе сервера, ограничение по нагрузке на процессор и.т.п. Обладая этой информацией злоумышленник направляет атаку на сайт или сервер целью которой является превышение этих лимитов.

Классификация DoS и DDoS атак:

  • НАСЫЩЕНИЕ ПОЛОСЫ ПРОПУСКАНИЯ - атака, связанная с большим количеством бессмысленных запросов к сайту, с целью его отказа из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • HTTP - флуд и PING - флуд - примитивная DoS атака, целью которой является насыщение полосы пропускания и отказ сайта в обслуживание. Успех атаки напрямую зависит от разницы размеров ширины канала атакуемого сайта и атакующего сервера.
  • SMURF - атака (ICMP - флуд) - одна из самых опасных DDoS атак, когда атакующий использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. В ней по широковещательному адресу атакующий отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный атакующим через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз.
  • FRAGGLE - атака (UDP - флуд) - атака, аналогичная SMURF - атаке, где вместо ICMP пакетов используются пакеты UDP. Принцип действия этой атаки простой: на атакуемый сервер отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы
  • АТАКА ПАКЕТАМИ SYN (SYN-флуд) - суть атаки заключается в следующем: два сервера устанавливают TCP соединение, установку которого выделяется небольшое количество ресурсов. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения. Делается это подменой истинного IP на несуществующий IP адрес атакующего сервера, при отправке SYN пакетов. Сервер - жертва будет создавать очередь из необработанных соединений, которая исчерпает его ресурсы.
    Определить источник такой атаки крайне сложно, т.к. истинные адреса атакующих серверов подменяются на несуществующие.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном ресурсе ссылки на сайт, размещённый на не очень быстром и производительном сервере (слэшдот-эффект).

Большой наплыв пользователей так же приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании.

Защита от DoS и DDoS атак

Универсальной защиты от DoS и DDoS атак не существует.
Гарантированной защиты от мощной DDoS атаки не существует.

Стратегия защиты DoS или DDoS напрямую зависит от типа, логики и мощности самой атаки

Аудит безопасности сайта

Гарантированная защита сайта от взлома и атак

Одна из частых ошибок, которая встречается среди кибержурналистов-дилетантов, - это путаница в терминах, обозначающих виды атак на Интернет-ресурсы. Например, DoS и DDoS - это не одно и то же. Хотя аббревиатуры различаются всего лишь на одну букву, за ней скрывается огромная фактическая разница.

Сегодня довольно редко пишут о том, что такое атака DoS (Denial of Service) , т.к. эти атаки практически не используются в связи со своей низкой эффективностью. Однако именно схема DoS - основа современных кибератак на отказ в обслуживании.

DoS-атака представляет собой генерацию "мусорного" трафика с одного устройства (IP-адреса) на ресурс-"жертву" (например, сайт). Цель - исчерпать вычислительные и иные мощности "жертвы", чтобы заблокировать работу последней.

Т.к. Интернет, компьютерная техника и сетевое оборудование развиваются стремительно, набирая мощность, то объем одной DoS-атаки очень скоро стал слишком мал, чтобы заблокировать сколько-нибудь значимый ресурс. Поэтому хакеры нашли самый очевидный способ усиления DoS-атаки: проводить ее с нескольких устройств (IP-адресов) одновременно. Так и появилась распределенная (или массивная) кибератака на отказ в обслуживании - DDoS (Distributed Denial of Service) . Ее гораздо сложнее отфильтровать, а мощность может достигать 1 Tbps.

Кроме того, DoS-атаку легко отразить, когда она уже началась: вычислить IP, с которого идут зловредные пакеты трафика, и занести его в . А когда атака идет со множества IP-адресов, то задача усложняется. Например, для защиты ресурса можно заблокировать все запросы, идущие из одной страны, к которой "привязаны" юридически атакующие айпишники, но тогда и легитимные пользователи оттуда будут лишены доступа к сайту.

В некоторым смысле, если говорить про определение DDoS - это подвид DoS-атаки произошедший от нее путем изменения схемы, но других форм подобных атак нет и первая вытеснила вторую из арсенала хакера. Поэтому в подавляющем количестве случаев корректнее будет использовать термина DDoS-атака либо русскоязычный перевод - распределенная атака на отказ в обслуживании.

Схема такой атаки состоит из трех ключевых элементов: управляющая машина, с которой подаются управляющие сигналы на консоли, через которые сигналы распределяются по миллионам устройств пользователей (взломанных либо зараженных вредоносным кодом). Именно эти устройства и называются ботами. Если раньше это были в основном ПК, то сегодня ботнет атака может осуществляться при помощи роутеров, видеорегистраторов, смартфонов и пр. - любых устройств, имеющих интерфейс для подключения к Интернету. Пользователь бота чаще всего даже не догадывается, что его используют для незаконных деяний.

Сегодня в Интернете в свободном доступе можно найти множество предложений организовать DDoS-тестирование любого сайта за смешную оплату 15-20 $. У таких "хакеров" обычно нет мощного сервера или ботнета (сети из взломанных устройств) для организации массивной кибератаки, и за такие деньги максимум будет проведена DoS, с которой может справиться любой грамотный сисадмин.

Однако значение DoS не стоит недооценивать - именно на них тренируются начинающие злоумышленники, и поскольку такие случаи крайне редко расследуются, то многие остаются безнаказанными.

Если вы работаете в области компьютерных технологий или в области сетевой безопасности, я уверен, что вам знаком термин «отказ в обслуживании», который в просторечье именуется как «DoS атака». В настоящее время это один из наиболее распространенных типов сетевых атак, проводимых в Интернете. Для тех кто не в теме, я проведу «ликбез» и попытаюсь объяснить, что такое DoS атака, в самой доступной и понятной форме.
А началось все с того что один из рабочих сайтов лежал вчера около двух часов. Хостится сайт на NIC.RU, не из самых дешевых, и вроде бы не новички, но, как говорится «и на старуху бывает проруха».

DDoS — отказ в обслуживании

Что такое DOS атака?
Отказ в обслуживании или «DoS атаки» являются одним из видов сетевых атак, предназначены для того, чтобы «затопить» целевые сети или машины большим количеством бесполезного трафика, так чтобы перегрузить атакуемую машину и в конечном итоге поставить ее «на колени». Основная суть DoS атаки, сделать службы, работающие на целевой машине (например, веб-сайт, DNS сервер и пр.) временно недоступными для предполагаемых пользователей. DDoS атаки, как правило, осуществляются на веб-сервера, на которых находятся жизненно важные услуги, такие как банковские сервисы, электронная коммерции, обработка персональных данных, кредитных карт.
Распространенный вариант DOS атаки, известной как DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) атака, стал весьма популярным в последние годы, поскольку это очень мощная и трудно обнаружимая атака. Атака DoS имеет одно место происхождения, а атака DDoS происходит от нескольких IP-адресов, распределенных по нескольким сетям. Как работает DDoS показано на следующей диаграмме:

В отличие от атаки DoS, когда злоумышленник использует для атаки один единственный компьютер или сеть, чтобы атаковать цель, DDoS атака исходит от многочисленных компьютеров и серверов, предварительно зараженных, принадлежащих как правило различным сетям. Так как злоумышленник использует компьютеры и серверы из различных сетей, и даже разных стран, то входящий трафик, по началу, не вызывает подозрений у служб безопасности, так как, его трудно обнаружить.

Можно ли бороться с DoS/DDoS атаками?
Атакующие с помощью DoS-атак могут быть легко добавлены в черный список брандмауэра, с помощью всяческих скриптов и фильтров (по IP-адресам или диапазонам адресов), от которых происходит слишком много запросов, или соединений. DDoS атаки определить слишком сложно, так как входящие запросы выглядеть более или менее естественно, ведь бывает скажем, наплыв клиентов и др.. В этом случае трудно найти разницу между подлинным и вредоносным трафиком. Чрезмерное усиление мер безопасности на брандмауэре может привести к ложным срабатываниям и поэтому настоящие клиенты могут быть отвергнут системой, что согласитесь не есть очень хорошо.

Когда наплыв ложных «клиентов» начинает увеличивается в геометрической прогрессии, делать уже что либо становится поздно, если конечно у вас не сидит целый штат сисадминов и программистов отвечающих как раз за защиту от атак такого рода, ваши сервера становятся не поворотливыми и медлительными, и в конце концов, перестают реагировать на «внешние раздражители», ожидая, когда же на конец закончится этот поток спама.
А в это время злобные хакеры воплощают в жизнь свои темные планы.