Чем опасны DoS и DDoS атаки? DoS и DDoS-атаки: значение и различия Как переводится понятие dos атаки.

На вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

  • Ошибка в программном коде , приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера - серверной программы. Классическим примером является обращение по нулевому (англ. null ) адресу.
  • Недостаточная проверка данных пользователя , приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).
  • Флуд (англ. flood - «наводнение», «переполнение») - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.
  • Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов - с нескольких рассредоточенных в сети компьютеров - то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS ).

Эксплуатация ошибок

Эксплойтом называют программу, фрагмент программного кода или последовательность программных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).

Флуд

О флуде как нарушении сетевого этикета см. Флуд .

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка »), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты . Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг » или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP , подвержен таким типам флуда:

  • SYN-флуд - при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (программных сетевых гнезд, портов) и сервер перестаёт отвечать.
  • UDP-флуд - этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP -пакеты надо доставить первыми, а TCP - могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP , перестаёт отвечать.
  • ICMP-флуд - то же самое, но с помощью ICMP -пакетов.

Флуд прикладного уровня

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) - флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, - для выведения веб-сервера из строя может применяться как простейшее GET / , так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка> .

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд -атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

  • сигнатурные - основанные на качественном анализе трафика.
  • статистические - основанные на количественном анализе трафика.
  • гибридные (комбинированные) - сочетающие в себе достоинства обоих вышеназванных методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.

Ниже приведён краткий перечень основных методов.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
  • Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
  • Обратный DDOS - перенаправление трафика, используемого для атаки, на атакующего.
  • Устранение уязвимостей. Не работает против флуд -атак, для которых «уязвимостью » является конечность тех или иных системных ресурсов.
  • Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
  • Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
  • Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
  • Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

См. также

Примечания

Литература

  • Крис Касперски Компьютерные вирусы изнутри и снаружи. - Питер. - СПб. : Питер, 2006. - С. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Анализ типовых нарушений безопасности в сетях = Intrusion Signatures and Analysis. - New Riders Publishing (англ.) СПб.: Издательский дом «Вильямс» (русск.), 2001. - С. 464. - ISBN 5-8459-0225-8 (русск.), 0-7357-1063-5 (англ.)
  • Morris, R.T = A Weakness in the 4.2BSD Unix TCP/IP Software. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, Feb 1985.
  • Bellovin, S. M. = Security Problems in the TCP/IP protocol Suite. - Computer Communication Review, Vol. 19, No.2. - AT&T Bell Laborotories, April 1989.
  • = daemon9 / route / infinity «IP-spooling Demystified: Trust Realationship Exploitation». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.
  • = daemon9 / route / infinity «Project Neptune». - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.

Ссылки

  • DoS-атака в каталоге ссылок Open Directory Project (

За последнее время мы смогли убедиться, что DDoS атаки - это довольно сильное оружие в информационном пространстве. С помощью DDoS атак с высокой мощностью можно не только отключить один или несколько сайтов, но и нарушить работу всего сегмента сети или же отключить интернет в маленькой стране. В наши дни DDoS атаки случаются все чаще и их мощность с каждым разом возрастает.

Но в чем суть такой атаки? Что происходит в сети когда она выполняется, откуда вообще возникла идея так делать и почему она такая эффективная? На все эти вопросы вы найдете ответы в нашей сегодняшней статье.

DDoS или distributed denial-of-service (разделенный отказ в обслуживании) - это атака на определенный компьютер в сети, которая заставляет его путем перегрузки не отвечать на запросы других пользователей.

Чтобы понять что значит ddos атака, давайте представим ситуацию: веб-сервер отдает пользователям страницы сайта, допустим на создание страницы и полную ее передачу компьютеру пользователя уходит полсекунды, тогда наш сервер сможет нормально работать при частоте два запроса в секунду. Если таких запросов будет больше, то они будут поставлены в очередь и обработаются как только веб-сервер освободиться. Все новые запросы добавляются в конец очереди. А теперь представим что запросов очень много, и большинство из них идут только для того, чтобы перегрузить этот сервер.

Если скорость поступления новых запросов превышает скорость обработки, то, со временем, очередь запросов будет настолько длинной, что фактически новые запросы уже не будут обрабатываться. Это и есть главный принцип ddos атаки. Раньше такие запросы отправлялись с одного IP адреса и это называлось атакой отказа в обслуживании - Dead-of-Service, по сути, это ответ на вопрос что такое dos. Но с такими атаками можно эффективно бороться, просто добавив ip адрес источника или нескольких в список блокировки, к тому же несколько устройство из-за ограничений пропускной способности сети не физически не может генерировать достаточное количество пакетов, чтобы перегрузить серьезный сервер.

Поэтому сейчас атаки выполняются сразу с миллионов устройств. К называнию было добавлено слово Distribed, распределенная, получилось - DDoS. По одному эти устройства ничего не значат, и возможно имеют подключение к интернету с не очень большой скоростью, но когда они начинают все одновременно отправлять запросы на один сервер, то могут достигнуть общей скорости до 10 Тб/с. А это уже достаточно серьезный показатель.

Осталось разобраться где злоумышленники берут столько устройств для выполнения своих атак. Это обычные компьютеры, или различные IoT устройства, к которым злоумышленники смогли получить доступ. Это может быть все что угодно, видеокамеры и роутеры с давно не обновляемой прошивкой, устройства контроля, ну и обычные компьютеры пользователей, которые каким-либо образом подхватили вирус и не знают о его существовании или не спешат его удалять.

Виды DDoS атак

Есть два основные типы DDoS атак, одни ориентированы на то, чтобы перегрузить определенную программу и атаки, направленные на перегрузку самого сетевого канала к целевому компьютеру.

Атаки на перегрузку какой-либо программы, еще называются атаки у 7 (в модели работы сети osi - семь уровней и последний - это уровней отдельных приложений). Злоумышленник атакует программу, которая использует много ресурсов сервера путем отправки большого количества запросов. В конце-концов, программа не успевает обрабатывать все соединения. Именно этот вид мы рассматривали выше.

DoS атаки на интернет канал требуют намного больше ресурсов, но зато с ними намного сложнее справиться. Если проводить аналогию с osi, то это атаки на 3-4 уровень, именно на канал или протокол передачи данных. Дело в том, что у любого интернет-соединения есть свой лимит скорости, с которой по нему могут передаваться данные. Если данных будет очень много, то сетевое оборудование точно так же, как и программа, будет ставить их в очередь на передачу, и если количество данных и скорость их поступления будет очень сильно превышать скорость канала, то он будет перегружен. Скорость передачи данных в таких случаях может исчисляться в гигабайтах в секунду. Например, в случае с отключения от интернета небольшой страны Либерии, скорость передачи данных составила до 5 Тб/сек. Тем не менее 20-40 Гб/сек достаточно, чтобы перегрузить большинство сетевых инфраструктур.

Происхождение DDoS атак

Выше мы рассмотрели что такое DDoS атаки, а также способы DDoS атаки, пора перейти к их происхождению. Вы когда-нибудь задумывались почему эти атаки настолько эффективны? Они основаны на военных стратегиях, которые разрабатывались и проверялись на протяжении многих десятилетий.

Вообще, многие из подходов к информационной безопасности основаны на военных стратегиях прошлого. Существуют троянские вирусы, которые напоминают древнее сражение за Трою, вирусы-вымогатели, которые крадут ваши файлы, чтобы получить выкуп и DDoS атаки ограничивающие ресурсы противника. Ограничивая возможности противника, вы получаете немного контроля над его последующими действиями. Эта тактика работает очень хорошо как для военных стратегов. так и для киберпреступников.

В случае с военной стратегией мы можем очень просто думать о типах ресурсов, которые можно ограничить, для ограничения возможностей противника. Ограничение воды, еды и строительных материалов просто уничтожили бы противника. С компьютерами все по-другому тут есть различные сервисы, например, DNS, веб-сервер, сервера электронной почты. У всех них различная инфраструктура, но есть то, что их объединяет. Это сеть. Без сети вы не сможете получить доступ к удаленной службе.

Полководцы могут отравлять воду, сжигать посевы и устраивать контрольные пункты. Киберпреступники могут отправлять службе неверные данные, заставить ее потребить всю память или вовсе перегрузить весь сетевой канал. Стратегии защиты тоже имеют те же самые корни. Администратору сервера придется отслеживать входящий трафик чтобы найти вредоносный и заблокировать его еще до того как он достигнет целевого сетевого канала или программы.

Выводы

DDoS атаки становятся все более распространенными и с каждым разом все мощнее. Это значит, что службы, которые мы используем будут все чаще подвергаться атакам. Один из способов, с помощью которого мы можем уменьшить количество атак - это следить за тем, чтобы наши устройства не были заражены никакими вирусами и вовремя получали обновления. Теперь вы знаете что такое DDoS атака и знаете основы защиты, в одной из следующих статей мы рассмотрим последний момент подробнее.

На завершение предлагаю лекцию о DDoS атаках:

Целью DDoS-атаки может быть как блокирование проекта конкурента или популярного ресурса, так и получение полного контроля над системой. При раскрутке сайта учитывают, что DoS-условия возникают по следующим причинам:

  • из-за ошибок в программном коде, которые приводят к выполнению недопустимых инструкций, обращению к неиспользуемой части адресного пространства и т.д.;
  • из-за недостаточной проверки данных пользователей, что может привести к длительному (или бесконечному) циклу, увеличенному потреблению ресурсов процессора, исчерпанию памяти и др.;
  • из-за флуда — внешней атаки посредством большого числа неправильно сформированных или бессмысленных запросов к серверу. Различают флуд TCP-подсистемы, каналов связи и прикладного уровня
  • из-за внешнего воздействия, цель которого - вызвать ложное срабатывание защитной системы и, как следствие, привести к недоступности ресурса.

Защита

DDoS-атаки осложняют , так как при достаточно продолжительной неработоспособности сервера страницы выпадают из индекса. Для обнаружения угрозы используют сигнатурные, статистические и гибридные методы. Первые базируются на качественном анализе , вторые - на количественном, третьи сочетают достоинства предыдущих способов. Меры противодействия бывают пассивными и активными, превентивными и реакционными. В основном применяются следующие способы:

  • устранение личных и социальных причин, побуждающих людей организовывать DDoS-атаки,
  • блэкхолинг и фильтрация трафика,
  • ликвидация уязвимостей кода в ходе поисковой оптимизации сайта,
  • наращивание ресурсов сервера, построение продублированных и распределенных систем для резервного обслуживания пользователей,
  • техническое и организационно-правовое воздействие на организатора, источники или центр управления атакой,
  • установка оборудования по отражению DDoS-атак (Arbor Peakflow®, DefensePro® и др.),
  • покупка выделенного сервера для хостинга сайта.

Практически любой веб-ресурс, будь то сайт или сервис, открыт для доступа обычным пользователям. Достаточно открыть браузер и набрать нужный адрес. Однако, такая доступность сопряжена с некоторыми проблемами безопасности, в частности с возможностью проведения таких атак, как Denial of Service (DoS) - "Отказ в обслуживании" и Distributed Denial of Service (DDoS) - "Распределенный отказ в обслуживании".

Что такое атака Отказ в обслуживании (DoS)?

Прежде, чем отвечать на вопрос "что такое атака Отказ в обслуживании (DoS)", необходимо посмотреть на то, каким образом происходит обмен данными в интернете и какие мощности предоставляются веб-ресурсам. Для более легкого понимания, рассмотрим наиболее распространенный вариант.

Веб-сайты и сервисы (далее веб-сайт или сайт) располагаются на отдельных компьютерах, так же именуемых серверами. На этих серверах им выделяется определенная часть ресурсов для функционирования (дисковое пространство, оперативная память, процессорное время). Каждое открытие пользователем веб-страницы в браузере означает для веб-сайта то, что ему нужно занять определенную часть этих ресурсов для формирования этой страницы. Поэтому, за определенный период времени, сайт может сформировать только ограниченное число страниц. Это означает, что если сайт открыло больше пользователей, чем то количество, на которое веб-сайт рассчитан, то часть пользователей в ответ получат либо ошибку о невозможности открыть сайт (например, сайт не доступен), либо предупреждение о перегрузке сайта с просьбой подождать (например, сайт временно недоступен, попробуйте открыть его минут через 5-10).

Суть атаки Отказ в обслуживании (DoS) заключается в ее названии, а именно в том, что атака приводит к недоступности сайта для пользователей. Технически, это достигается за счет того, что злоумышленник постоянно открывает большое число веб-страниц, чем занимает практически все ресурсы у сайта и не дает возможность другим пользователям получить доступ к сайту. Этот процесс можно сравнить с ловлей рыбы рядом с человеком, который горстями разбрасывает еду для рыб. В данном случае, сколько бы вы не закидывали удочку в реку, шансы поймать рыбу будут практически нулевыми.

Сегодня, данный вид атаки редко встречается, так как найти и определить злоумышленника очень просто - это тот, от кого постоянно идет большое число запросов на открытие страниц. Поэтому, достаточно часто, когда вы слышите слова "Дос атака" или читаете текст, где употребляется слово "DoS", речь идет о DDoS атаке.

Что такое атака Распределенный отказ в обслуживании (DDoS)?

Атака Распределенный отказ в обслуживании (DDoS) использует ту же идею, что и DoS атака, но технически отличается. Суть атаки так же следует из ее названия - на сайт одновременно обращается множество компьютеров злоумышленника с запросом на получение страниц, что в итоге приводит к тем же последствиям, что и при DoS атаке. Этот процесс можно сравнить с той же ловлей рыбы, но в парке, где ходят толпы людей и по очереди бросают еду в воду. За счет того, что таких людей много, забрасывание удочки будет приводить к тем же результатам, что и в предыдущем сравнении. Однако, реализовать данную атаку сложнее, так как для ее проведения требуется достаточно много компьютеров. По этой причине, для реализации данной атаки, чаще всего, прибегают к использованию ботнет сетей.

Примечание : Иногда DDoS атака происходит непредумышленно, когда огромное число пользователей по какой-либо случайности заходит на сайт. К примеру, при анонсировании небольшого сайта на порталах с огромной посещаемостью, такой сайт может попросту не справиться с наплывом пользователей и временно быть не доступен.

Ботнет сеть представляет собой логически организованную сеть из множества зараженных компьютеров пользователей (такие компьютеры еще называют зомби), которая управляется одним или несколькими злоумышленниками и которая будет выполнять нужные злоумышленникам действия. В случае с DDoS, речь идет об отправке запросов на открытие страниц сайта всеми или частью зомбированных компьютеров ботнет сети. Технически, создание ботнет сетей происходит за счет инфицирования компьютеров обычных пользователей троянами, червями и прочими вредоносными программами. Которые после заражения отсылают информацию о себе на управляющие звенья, тем самым добавляясь к сети. Обычно, такие вредоносные программы редко проявляют какую-либо видимую вредоносную активность на компьютерах пользователей, дабы избежать лишних проверок системы антивирусами и прочими средствами безопасности. Это позволяет им оставаться в ботнет сети продолжительное время.

Примечание : Для большинства пользователей таких зараженных компьютеров максимальным эффектом будут лишь периодические скачки в сетевой активности, которую если раньше можно было легко заметить (особенно, во времена модемов), то сегодня, при наличии высокоскоростного интернета, такую активность сложно определить без специальных средств.

Сегодня, данный вид атаки встречается все чаще, ведь кроме того, что ее сложнее отследить, в случае больших ботнет сетей, ее попросту невозможно быстро обезвредить.

Примечание : Основной для роста числа DDoS атак является стремительное увеличение числа компьютеров, расширение области программного обеспечения, развитие скоростей обмена данными и ряд других факторов.

Заключительные слова о DoS и DDoS

Вывод из строя сайта даже на небольшой промежуток времени может сказываться не только на показателях, но и на количестве пользователей. К примеру, отсутствие доступа на крупном проекте с многомиллионной посещаемостью даже на несколько часов вполне может означать отток пользователей на конкурирующие проекты (с учетом, промежутка времени, в основном это коснется пользователей, относительно недавно начавших использовать ресурс).