Ddos - віртуальний тероризм

DDoS - віртуальний тероризм. Що таке DDoS-атака?

Тероризм - це, мабуть, найбільша проблема людства на сьогоднішній день. І віртуальне співтовариство тут мало чим відрізняється від реального світу. Пішли ті романтичні часи, коли збірним образом хакера був хитрий тип, який зламав захист банку і перекачати на свій рахунок кругленьку суму. Жорсткі часи - жорсткі звичаї. Тепер хакери за допомогою атаки на сервер блокують його роботу, а потім виставляють господарям свої вимоги. Віртуальний терор в чистому вигляді. Рідкісний місяць обходиться без сенсаційних повідомлень в пресі про те, що той чи інший сервер піддався DDoS-атаці. В даному огляді спробуємо розібратися в тому, що таке DDoS-атака і що можна зробити, щоб знизити її небезпека.

Схематично DDoS-атака виглядає приблизно так: на обраний в якості жертви сервер обрушується величезна кількість помилкових запитів з безлічі комп'ютерів з різних кінців світу. В результаті сервер витрачає всі свої ресурси на обслуговування цих запитів і стає практично недоступним для звичайних користувачів. Цинічність ситуації полягає в тому, що користувачі комп'ютерів, з яких направляються помилкові запити, можуть навіть не підозрювати про те, що їх машина використовується хакерами. Програми, встановлені зловмисниками на цих комп'ютерах, прийнято називати "зомбі". Відомо безліч шляхів "зомбування" комп'ютерів - від проникнення в незахищені мережі, до використання програм-троянців. Мабуть, цей підготовчий етап є для зловмисника найбільш трудомістким.

Найчастіше зловмисники при проведенні DDoS-атак використовують трирівневу архітектуру, яку називають "кластер DDoS". Така ієрархічна структура містить:

Інша небезпека DDoS полягає в тому, що зловмисникам не потрібно володіти якимись спеціальними знаннями і ресурсами. Програми для проведення атак вільно поширюються в Мережі.

Справа в тому, що спочатку програмне забезпечення DDoS створювалося в "мирних" цілях і використовувалося для експериментів з вивчення пропускної здатності мереж і їх стійкості до зовнішніх навантажень. Найбільш ефективним в цьому випадку є використання так званих ICMP-пакетів (Internet control messaging protocol), тобто пакетів, що мають помилкову структуру. На обробку такого пакета потрібно більше ресурсів, після рішення про помилковість пакет відправляється посилаєш, отже досягається основна мета - "забивається" трафік мережі.

Однією з останніх програм для організації DDoS-атак є Stacheldracht (колючий дріт), яка дозволяє організовувати найрізноманітніші типи атак і лавини широкомовних пінг-запитів з шифруванням обміну даними між контролерами і агентами.

Звичайно ж, в цьому огляді вказані тільки найбільш відомі програми і методики DDoS. Насправді спектр програм набагато ширше і постійно доповнюється. З цієї ж причини досить наївним було б опис універсальних надійних методів захисту від DDoS-атак. Універсальних методів не існує, але до загальних рекомендацій для зниження небезпеки і зменшення шкоди від атак можна віднести такі заходи, як грамотна конфігурація функцій анти-спуфинга і анти-DoS на маршрутизаторах і міжмережевих екранах. Ці функції обмежують число напіввідкритих каналів, не дозволяючи перевантажувати систему.

Вельми важливою справою в цьому напрямку є профілактика - програмне забезпечення повинно бути "отпатчено" від всіляких "дірок".

Як уже зазначалося, виявити віртуальних терористів, які організували DDoS-атаку, завдання дуже складна. Тому для боротьби з даним видом загроз необхідна тісна співпраця адміністраторів серверів і з інтернет-провайдерами, а також провайдерів з операторами магістральних мереж. Тому що, як і в реальному житті, боротися з тероризмом можливо тільки об'єднанням законослухняних громадян.

DDOS-атаки і методи боротьби з ними

Визначення: ddos атака - скорочення від «distributed denial of service attack»

За допомогою цих атак тимчасово падали найбільші і найвідоміші компанії, такі як yahoo. ebay, buy.com, amazon.com, cnn.com і цілий ряд інших.

В основному то що ми бачимо в мережі це поверхневі опису вдалих атак, або крики постраждалих від них.

1) Мета і принцип ddos

Мета ddos вивести об'єкт атаки з робочого стану що може спричинити за собою великі фінансові втрати під час дауна або витрати на обладнання для захисту від нього і з / п фахівців. Будь вебмастер розуміє, що даун його сайтів на 2-3 години завдасть серйозної шкоди бізнесу, а якщо на тиждень, то ресурс швидше за все доведеться піднімати з нуля знову. Я взагалі не говорю про власників платних сайтів і серйозних Е-комерс ресурсів, чиї збитки можуть становити десятки тисяч доларів в день.

Технологія ddos атак має на увазі метод грубої сили - ви тим чи іншим способом намагаєтеся "забити" канал, відкриваючи максимально можливу кількість з'єднань на той чи інший сервіс або відправки великого кол-ва інформації яка сервер не в змозі обробити. все це веде до втрати швидкості або повної зупинки (зависання) атакується ресурсу.

2) ddos - це distributed атака, тобто поширена, коли вас атакує не один сервер від якого можна легко закритися фаірвола, а відразу тисячі або десятки тисяч. Іноді можуть бути сотні тисяч і мільйони атакуючих ботів (багато хто називає їх зомбі)

Зомбі - це заражений програмою (або зламаний) комп'ютер або сервер, який буде виконувати команди керуючого сервера.

Як комп'ютер стає зомбі?

Зомбі створюються як правило використовуючи експлоїти для ОС. Заражаючи машини через веб браузер при відвідуванні сайтів, при отриманні пошти, або через установку програмного забезпечення з встановленими в нього троянами.

Як багато може бути зомбі?

Існують діри які до сих пір не закриті і іноді відсоток заражуваність трафіку може досягати 80% всього трафіку на сайті, спам може розсилатися величезними тиражами і як результат ми маємо десятки тисяч зомбі.

Залежно від досконалості коду на самому зомбі вони можуть виконувати різні типи запитів на сервера, іноді роблячи себе зовсім не видимими для фаірвола або складно відзначаються окремо від реального серфера, що зрозуміло ускладнює боротьбу з ними.

Типи атак я описувати не стану вони дуже сильно варіюються від старовинних типу пінг і syn флуда до нових розроблених персонально для нової атаки.

Всі вони ведуть до того що сервер лягає як правило і спроби його повернути до життя закінчуються тим, що він знову лежить.

Загалом досить сумна історія з ddos атаками. Багато хостери просто вимикають сервера в разі виявлення атаки. Це демонструє те, що вони не можуть реально нічого з ними вдіяти.

Це самий напевно цікавий шматочок, а так же самий складний.

Найскладніше в тому що боротьба з ddos в 98% випадків лягає на плечі вебмастера, так як провайдери в більшості своїй просто б'ють болт і стандартна схема у них, це поставити на нуль роутинг ваші ip і таким чином для них проблема ddos вирішена. Вебмастера таке рішення не дуже радує, так як його сайти при цьому лягають взагалі.

Звичайно, є просунуті провайдери, які можуть посодейтвовать в боротьбі, але це рідкість і знову ж Наджі буде їм платити п'ятизначні цифри що б мати якийсь вплив на них. Так що залишається вирішувати проблеми самому, про те як їх вирішувати я і розповім вам.

2) На рівні сервісів сервера. Секюріті аудит - must be, то-есть, по-російськи, повинен бути зроблений, всі сервіси машини повинні бути отпатчени від всіх відомих і не відомих дірок. Про тюнінгу веб сервера під ddos атаками можна писати цілу книгу, тому я не буду позбавляти себе шматка хліба. )

7) Комбіноване використання всіх систем.

На закінчення хочу сказати що все, що тут написано не покриває і 80% всіх методів боротьби з ddos і на цю тему працюють дуже багато людей у всьому світі. Так що я в цій невеликій статті не зможу описати все, навіть якщо дуже захочу. Але, сподіваюся, вона вам трохи допоможе для поняття азів того, як необхідно боротися з ddos атаками.

Все про DDoS-атаках на простій мові, доступному для користувача

Я думаю що Ви хоч рас в житті так чули або Новомосковсклі що сайт знаходиться під ДДОС або DDoS-атакою, але що це таке Ви зрозуміти не могли. Так ось, в цій статті я розповім все про DDoS. Взагалі фраза DDoS-атака бере свій початок від англійського "Distributed Denial of Service", розподілена атака типу «відмова в обслуговуванні». Тобто сервер перевантажують запитами або перевантажують канал інтернету сервера з метою повністю вирубати сайт або утруднити вхід користувачам на сайт. Зазвичай таким атакам піддаються дуже популярні сайти або сайти адміністратор який насолив яким небудь "хакерів" або т.п. "Другові". Суть атаки полягає в тому що безліч комп'ютерів одночасно підключаються до атакується сервера і сервер не встигає обробляти всі запити. Якщо сервер дуже потужний, а атака немає, то сайт в таких випадках просто гальмує, якщо атака сильна - то сайт не працює зовсім.

До речі кажучи, якщо наприклад Ви розташуйте посилання на свій сайт на дуже популярному сайті (наприклад на Яндексі), то до Вас на сайт можуть піти за цим посиланням тисячі користувачів, і можу посперечатися що звичайний сервер не витримає така напливу, це до речі і буде вважатися DDoS-атакою, хоча по суті до Вас на сайт намагатимуться зайти звичайні користувачі.

Самі по собі ці атаки не можуть виникнути з нізвідки, є причини їх виникнення:

1. Недостатня перевірка даних користувача. яка веде до нескінченного або тривалого циклу або підвищеному тривалого споживання процесорних ресурсів (вичерпання процесорних ресурсів) або виділення великого обсягу оперативної пам'яті (вичерпання пам'яті).

2. Помилка в програмному коді. Це називають дірками і їх часто використовують для атаки, таким чином можна змусити сервер аварійно завершити серверний додаток.

3. Атака флудом. Ця атака найпоширеніша на поточний момент в інтернеті, суть атаки полягає в наступному. Атакуючі комп'ютери відправляють на сервер неправильно сформовані (безглузді) пакети даних. Суть атаки - вичавити з сервера всі ресурси і вирубати тим самим атакується сайт. Якщо така атака проводиться з безлічі IP - то це називається розподіленою атакою.

3. Атака другого роду. цей вид атаки прагне викликати помилкове спрацьовування системи захисту і таким чином привести до недоступності ресурсу.

Хто і як робить ці атаки? Атаки виробляють власники спеціальних "бот-мереж", комп'ютери цих мереж по команді готові кинутися в атаку на сайт. Суть проблеми зростає разом з прогресом. Наприклад обучно сервери підключають до інтернету по каналу 100 мегабіт - це досить багато. Але ось прикиньте, в Москві є оператор Карбин який пропонує за 1300 рублів швидкість інтернету 26 мегабіт. Тобто виходить, якщо чотири підключених з такою швидкістю комп'ютера почнуть бомбити флудом сервер - то вони перенавантажуватимуть канал ... а це всього 4 комп'ютери. Раніше швидкість була дуже маленькою і організувати атаку було досить складно. Але є одне але, якщо адміністратори сервера грамотно підготовлені, то вони зможуть запросто обчислити ці самий комп'ютери і заблокувати їх IP. Тоді дані передаються на сервер розглядатись не будуть, це найпростіша захист від найпростішої дос атаки. Але що робити якщо атаки йде з сотень тисяч комп'ютерів. Зазвичай нічого, але є виходи. У Вас напевно виникло питання, а звідки беруться ці сотні тисяч атакуючих комп'ютерів. А відповідь проста: це комп'ютери заражені троянськими програмами якими перенасичений інтернет, тобто Ви підхоплюєте в інтернеті трояна і можете, самі того не знаючи, стати учасником атаки. Тому я благаю всіх ставити собі надійне антивірусне програмне забезпечення, цим самим Ви знижуєте потужність передбачуваної атаки на 1 комп'ютер, а якщо будуть захищати свій комп не один, а всі - то шансів на масові атаки буде куди менше. Один з моїх сайтів дуже часто піддається атакам, тому що він вийшов в топи в пошукових запитах і цим заважає іншим сайтам, так вони і борються з конкурентами.