Jaká jsou nebezpečí DoS a DDoS útoků? Útoky DoS a DDoS: význam a rozdíly Jak se překládá pojem dos útok.

Na počítačovém systému s cílem jeho selhání, tedy vytvoření podmínek, za kterých legální (legitimní) uživatelé systému nemají přístup ke zdrojům (serverům) poskytovaným systémem, nebo je tento přístup obtížný. Krokem k ovládnutí systému může být i selhání „nepřátelského“ systému (pokud software v nouzové situaci vyprodukuje nějakou kritickou informaci – např. verzi, část programového kódu apod.). Častěji se však jedná o míru ekonomického tlaku: odstávka služby generující příjmy, účty od poskytovatele a opatření k zamezení útoku výrazně zasáhly „cíl“ v kapse.

Pokud je útok prováděn současně z velkého počtu počítačů, mluvíme o DDoS útok(z angličtiny Distribuované odmítnutí služby, distribuovaný útok odmítnutí služby). V některých případech je skutečný útok DDoS způsoben neúmyslnou akcí, například umístěním odkazu na oblíbený internetový zdroj na stránku hostovanou na nepříliš produktivním serveru (efekt slashdot). Velký nápor uživatelů vede k překročení povoleného zatížení serveru a následně k odmítnutí služby některým z nich.

Typy DoS útoků

Existují různé důvody, proč se stav DoS může objevit:

  • Chyba v programovém kódu, což vede k přístupu k nevyužitému fragmentu adresního prostoru, vykonání neplatné instrukce nebo jiné neošetřené výjimce, když program serveru - program serveru - havaruje. Klasickým příkladem je obrácení o nulu. nula) adresa.
  • Nedostatečné ověření uživatelských dat, což vede k nekonečnému nebo dlouhému cyklu nebo zvýšené dlouhodobé spotřebě procesorových zdrojů (až do vyčerpání zdrojů procesoru) nebo přidělení velkého množství paměti RAM (až do vyčerpání dostupné paměti).
  • Zaplavit(Angličtina) zaplavit- "flood", "overflow") - útok spojený s velkým počtem obvykle nesmyslných nebo nesprávně formátovaných požadavků na počítačový systém nebo síťové zařízení určené k selhání systému v důsledku vyčerpání nebo vedoucí k němu systémové prostředky- procesor, paměť nebo komunikační kanály.
  • Útok druhého typu- útok, který se snaží vyvolat falešný poplach bezpečnostního systému a vést tak k nedostupnosti zdroje.

Pokud je útok (obvykle povodeň) proveden současně s velké množství IP adresy - z několika počítačů rozptýlených v síti - pak se v tomto případě volá distribuovánoútok odmítnutí služby ( DDoS).

Využití chyb

Využívat je program, část softwarového kódu nebo sekvence softwarových příkazů, které využívají zranitelnosti v softwaru a používají se k provedení útoku na kybernetický systém. Z exploitů, které vedou k DoS útoku, ale jsou nevhodné například pro převzetí kontroly nad „nepřátelským“ systémem, jsou nejznámější WinNuke a Ping of death.

Zaplavit

O záplavách jako porušení netikety viz záplavy.

Zaplavit volat obrovský proud nesmyslných požadavků z různých počítačů, aby zaměstnával „nepřátelský“ systém (procesor, RAM nebo komunikační kanál) prací a tím jej dočasně vyřadil z provozu. Pojem „útok DDoS“ je téměř ekvivalentní pojmu „záplava“ a v každodenním životě jsou oba často zaměnitelné („zaplavit server“ = „DDoS server“).

K vytvoření záplavy lze použít jak běžné síťové nástroje, jako je ping (známá je například internetová komunita „Upyachka“), tak speciální programy. Možnost DDoS je často „pevně zapojena“ do botnetů. Pokud se zjistí, že web s vysokou návštěvností má zranitelnost skriptování mezi weby nebo schopnost zahrnout obrázky z jiných zdrojů, lze tento web také použít k útoku DDoS.

Zahlcení komunikačního kanálu a TCP subsystému

Každý počítač, který má spojení s vnějším světem přes protokol TCP/IP, je náchylný k následujícím typům záplav:

  • SYN flood - při tomto typu záplavového útoku je do napadeného uzlu odesláno velké množství SYN paketů přes TCP protokol(požaduje navázání spojení). V tomto případě se po krátké době vyčerpá na napadeném počítači počet dostupných soketů (softwarových síťových soketů, portů) pro otevření a server přestane reagovat.
  • UDP záplava - tento typ záplavy neútočí na cílový počítač, ale na jeho komunikační kanál. Poskytovatelé důvodně předpokládají, že pakety UDP by měly být doručeny jako první a TCP může čekat. Velké množství UDP pakety různých velikostí ucpávají komunikační kanál a server s protokolem TCP přestane reagovat.
  • ICMP flood je to samé, ale pomocí ICMP paketů.

Záplava aplikační úrovně

Mnoho služeb je navrženo tak, že malý požadavek může způsobit velkou spotřebu výpočetního výkonu na serveru. V tomto případě není napaden komunikační kanál nebo subsystém TCP, ale služba samotná – záplava podobných „nemocných“ požadavků. Webové servery jsou například zranitelné vůči zahlcení HTTP; k deaktivaci webového serveru lze použít buď jednoduchý GET / nebo složitý databázový požadavek, jako je GET /index.php?search=.<случайная строка> .

Detekce DoS útoků

Existuje názor, že speciální prostředky nejsou vyžadovány k detekci DoS útoků, protože fakt DoS útoku nelze ignorovat. V mnoha případech je to pravda. Poměrně často však byly pozorovány úspěšné DoS útoky, kterých si oběti všimly až po 2-3 dnech. Stalo se, že negativní důsledky útoku ( zaplavit-útoky) vedly ke zbytečným nákladům na placení za nadměrný internetový provoz, což se ukázalo až po obdržení faktury od poskytovatele internetu. Mnohé metody detekce útoků jsou navíc neúčinné v blízkosti cíle útoku, ale jsou účinné na páteřních sítích. V takovém případě je vhodné tam instalovat detekční systémy, než čekat, až si toho sám všimne napadený uživatel a vyhledá pomoc. Pro efektivní čelit DoS útokům je navíc nutné znát typ, povahu a další charakteristiky DoS útoků a detekční systémy umožňují tyto informace rychle získat.

Metody detekce DoS útoků lze rozdělit do několika velkých skupin:

  • podpis - na základě kvalitativní analýzy provozu.
  • statistické - založené na kvantitativní analýze návštěvnosti.
  • hybridní (kombinovaný) - spojující výhody obou výše uvedených způsobů.

Ochrana proti DoS útokům

Opatření proti DoS útokům lze rozdělit na pasivní a aktivní a také na preventivní a reakční.

Níže je uveden krátký seznam hlavních metod.

  • Prevence. Prevence důvodů, které nutí určité jednotlivce organizovat a spouštět DoS útoky. (Velmi často jsou kybernetické útoky obecně výsledkem osobních křivd, politických, náboženských a jiných neshod, provokativního chování oběti atd.)
  • Filtrace a blackholing. Blokování provozu přicházejícího z útočících strojů. Účinnost těchto metod klesá, když se přibližujete k cíli útoku, a zvyšuje se, když se přibližujete k útočícímu stroji.
  • Reverzní DDOS- přesměrování provozu použitého k útoku na útočníka.
  • Odstranění zranitelností. Nefunguje proti zaplavit-útoky, jejichž „zranitelností“ je omezenost určitých systémových zdrojů.
  • Zvyšování zdrojů. Přirozeně neposkytuje absolutní ochranu, ale je dobrým zázemím pro použití jiných typů ochrany proti DoS útokům.
  • Rozptýlení. Budování distribuovaných a redundantních systémů, které nepřestanou sloužit uživatelům, i když se některé jejich prvky stanou nedostupnými kvůli DoS útoku.
  • Únik. Přesunutí bezprostředního cíle útoku (název domény nebo IP adresa) od jiných zdrojů, které jsou často také vystaveny spolu s bezprostředním cílem útoku.
  • Aktivní odezva. Dopad na zdroje, organizátora či řídící centrum útoku, a to jak technologické, tak organizačně-právní prostředky.
  • Použití vybavení k odražení útoků DoS. Například DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® a od dalších výrobců.
  • Nákup služby na ochranu před útoky DoS. Relevantní v případě nadměrné povodně šířku pásma síťový kanál.

viz také

Poznámky

Literatura

  • Chris Kaspersky Počítačové viry uvnitř a venku. - Petere. - Petrohrad. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analýza typických narušení bezpečnosti v sítích = Intrusion Signatures and Analysis. - New Riders Publishing (anglicky) St. Petersburg: Williams Publishing House (ruština), 2001. - S. 464. - ISBN 5-8459-0225-8 (ruština), 0-7357-1063-5 (anglicky)
  • Morris, R.T.= Slabina v 4.2BSD Unix TCP/IP softwaru. - Technická zpráva Computing Science č.117. - AT&T Bell Laboratories, únor 1985.
  • Bellovin, S.M.= Bezpečnostní problémy v sadě protokolů TCP/IP. - Computer Communication Review, sv. 19, č.2. - AT&T Bell Laboratories, duben 1989.
  • =daemon9/route/infinity "Demystified IP-spooling: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, červenec 1996.
  • =daemon9/route/infinity "Projekt Neptun". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, červenec 1996.

Odkazy

  • DoS útok v adresáři odkazů projektu Open Directory (

V poslední době jsme měli možnost vidět, že DDoS útoky jsou poměrně silnou zbraní v informačním prostoru. Pomocí vysoce výkonných DDoS útoků můžete nejen vypnout jednu nebo více stránek, ale také narušit provoz celého segmentu sítě nebo vypnout internet v malé zemi. V dnešní době k DDoS útokům dochází stále častěji a jejich síla se každým dnem zvyšuje.

Co je ale podstatou takového útoku? Co se děje na síti, když se to provádí, kde se vzal nápad to udělat a proč je to tak efektivní? Na všechny tyto otázky najdete odpovědi v našem dnešním článku.

DDoS neboli distribuované odmítnutí služby je útok na konkrétní počítač v síti, který způsobí, že přetížením nereaguje na požadavky ostatních uživatelů.

Abychom pochopili, co znamená útok ddos, představme si situaci: webový server poskytne uživatelům stránky webu, řekněme, že vytvoření stránky a úplné přenesení do počítače uživatele trvá půl sekundy, poté bude náš server schopen fungovat normálně s frekvencí dvou požadavků za sekundu. Pokud je takových požadavků více, budou zařazeny do fronty a zpracovány, jakmile bude webový server volný. Všechny nové požadavky jsou přidány na konec fronty. Nyní si představme, že existuje mnoho požadavků a většina z nich je odeslána pouze za účelem přetížení tohoto serveru.

Pokud rychlost, kterou přicházejí nové požadavky, překročí rychlost zpracování, bude časem fronta žádostí tak dlouhá, že ve skutečnosti nebudou zpracovány žádné nové požadavky. Toto je hlavní princip ddos ​​​​útoku. Dříve byly takové požadavky odesílány z jedné IP adresy a tomu se říkalo útok odmítnutí služby - Dead-of-Service, ve skutečnosti je to odpověď na otázku, co je dos. Proti takovým útokům lze ale účinně bojovat jednoduchým přidáním zdrojové IP adresy nebo několika adres do seznamu blokování; navíc kvůli omezení šířky pásma sítě nemůže několik zařízení fyzicky generovat dostatečný počet paketů k přetížení vážného serveru.

Proto jsou nyní útoky prováděny z milionů zařízení najednou. K názvu bylo přidáno slovo Distributed, ukázalo se - DDoS. Sama o sobě tato zařízení nic neznamenají a nemusí mít příliš vysokorychlostní připojení k internetu, ale když všechna začnou odesílat požadavky na jeden server současně, mohou dosáhnout celkové rychlosti až 10 Tb/s. A to už je docela vážný ukazatel.

Zbývá zjistit, odkud útočníci berou tolik zařízení k provádění svých útoků. Jde o běžné počítače nebo různá IoT zařízení, ke kterým se útočníci mohli dostat. Může to být cokoli, videokamery a routery s dlouho neaktualizovaným firmwarem, ovládací zařízení a běžné počítače uživatelů, kteří nějakým způsobem zachytili virus a nevědí o jeho existenci nebo s jeho odstraněním nespěchají.

Typy DDoS útoků

Existují dva hlavní typy DDoS útoků, některé jsou zaměřeny na přetížení konkrétní program a útoky zaměřené na přetížení samotného síťového kanálu k cílovému počítači.

Útoky na přetížení programu se také nazývají útoky 7 (v modelu sítě OSI je sedm úrovní a poslední jsou úrovně jednotlivých aplikací). Útočník útočí na program, který využívá velké množství serverových prostředků, odesíláním velkého počtu požadavků. Program nakonec nestihne zpracovat všechna spojení. Toto je typ, o kterém jsme hovořili výše.

DoS útoky na internetový kanál vyžadují mnohem více zdrojů, ale je mnohem obtížnější se s nimi vyrovnat. Pokud nakreslíme analogii s osi, pak se jedná o útoky na úrovni 3-4, konkrétně na kanál nebo protokol přenosu dat. Faktem je, že každé internetové připojení má svůj vlastní rychlostní limit, při kterém lze přes něj přenášet data. Pokud je dat hodně, pak je síťové zařízení, stejně jako program, zařadí do fronty pro přenos, a pokud množství dat a rychlost, kterou přicházejí, výrazně překročí rychlost kanálu, dojde k přetížení. Rychlost přenosu dat v takových případech lze vypočítat v gigabajtech za sekundu. Například v případě odpojení malé země Libérie od internetu byla rychlost přenosu dat až 5 TB/s. K přetížení většiny síťových infrastruktur však stačí 20-40 Gb/s.

Původ DDoS útoků

Výše jsme se podívali na to, co jsou DDoS útoky, a také na metody DDoS útoků, je čas přejít k jejich původu. Přemýšleli jste někdy, proč jsou tyto útoky tak účinné? Jsou založeny na vojenských strategiích, které byly vyvíjeny a testovány po mnoho desetiletí.

Obecně platí, že mnoho přístupů k informační bezpečnost na základě vojenských strategií minulosti. Existovat Trojské viry, které připomínají starověkou bitvu o Tróju, ransomwarové viry, které kradou vaše soubory za účelem výkupného, ​​a útoky DDoS, které omezují zdroje nepřítele. Omezením soupeřových možností získáte určitou kontrolu nad jeho následnými akcemi. Tato taktika funguje velmi dobře pro oba vojenské stratégy. a pro kyberzločince.

V případě vojenské strategie můžeme velmi zjednodušeně uvažovat o typech zdrojů, které lze omezit za účelem omezení schopností nepřítele. Omezení vody, jídla a stavebních materiálů by jednoduše zničilo nepřítele. U počítačů je všechno jiné, existují různé služby, například DNS, webový server, servery E-mailem. Všechny mají odlišnou infrastrukturu, ale je tu něco, co je spojuje. Toto je síť. Bez sítě nebudete mít přístup ke vzdálené službě.

Válečníci mohou otrávit vodu, spálit úrodu a nastavit kontrolní body. Kyberzločinci mohou službě odeslat nesprávná data, způsobit spotřebování veškeré paměti nebo zcela přetížit celý síťový kanál. Stejné kořeny mají také obranné strategie. Správce serveru bude muset sledovat příchozí provoz, aby našel škodlivý provoz a zablokoval jej dříve, než dosáhne cílového síťového kanálu nebo programu.

závěry

Útoky DDoS jsou stále běžnější a pokaždé silnější. To znamená, že služby, které používáme, budou stále častěji vystaveny útokům. Jedním ze způsobů, jak můžeme snížit počet útoků, je zajistit, aby naše zařízení nebyla infikována žádnými viry a dostávala aktualizace včas. Nyní víte, co je to DDoS útok a znáte základy ochrany, v některém z následujících článků se na poslední bod podíváme podrobněji.

Na závěr nabízím přednášku o DDoS útocích:

Cílem DDoS útoku může být buď zablokování projektu konkurence nebo oblíbeného zdroje, nebo získání úplné kontroly nad systémem. Při propagaci stránky vezměte v úvahu, že podmínky DoS vznikají z následujících důvodů:

  • kvůli chybám v programový kód, které vedou k provádění nelegálních instrukcí, přístupu k nevyužité části adresního prostoru apod.;
  • z důvodu nedostatečného ověřování uživatelských dat, což může vést k dlouhému (nebo nekonečnému) cyklu, zvýšené spotřebě zdrojů procesoru, vyčerpání paměti atd.;
  • v důsledku zaplavení - externího útoku prostřednictvím velkého počtu nesprávně vytvořených nebo nesmyslných požadavků na server. Dochází k záplavám TCP subsystému, komunikačních kanálů a aplikační úrovně
  • vlivem vnějšího vlivu, jehož účelem je vyvolat falešný poplach ochranného systému a v důsledku toho vést k nedostupnosti zdroje.

Ochrana

DDoS útoky jsou komplikované, protože pokud je server mimo provoz na dostatečně dlouhou dobu, stránky vypadnou z indexu. K detekci hrozeb se používají signaturní, statistické a hybridní metody. První jsou založeny na kvalitativní analýze, druhé na kvantitativní a třetí kombinují výhody předchozích metod. Protiopatření mohou být pasivní i aktivní, preventivní i reakční. Používají se především následující metody:

  • odstranění osobních a sociálních důvodů, které motivují lidi k organizování DDoS útoků,
  • blackholing a filtrování dopravy,
  • odstranění zranitelností kódu během optimalizace pro vyhledávače místo,
  • zvýšení serverových zdrojů, budování redundantních a distribuovaných systémů pro zálohování uživatelských služeb,
  • technický a organizačně-právní dopad na organizátora, zdroje nebo řídící centrum útoku,
  • instalace zařízení k odražení DDoS útoků (Arbor Peakflow®, DefensePro® atd.),
  • nákup dedikovaného serveru pro webhosting.

Téměř každý webový zdroj, ať už je to webová stránka nebo služba, je přístupný běžným uživatelům. Stačí otevřít prohlížeč a zadat požadovanou adresu. Tato dostupnost však přináší určité bezpečnostní obavy, zejména možnost útoků, jako je Denial of Service (DoS) a Distributed Denial of Service (DDoS).

Co je útok DoS (Denial of Service)?

Než odpovíte na otázku „co je útok DoS (Denial of Service)“, musíte se podívat na to, jak dochází k výměně dat na internetu a jaký výkon je poskytován webovým zdrojům. Pro snazší pochopení se podívejme na nejběžnější možnost.

Webové stránky a služby (dále jen web nebo web) jsou umístěny na samostatných počítačích, nazývaných také servery. Na těchto serverech je jim přidělena určitá část zdrojů pro fungování ( místo na disku, RAM, CPU čas). Pokaždé, když uživatel otevře webovou stránku v prohlížeči, znamená to pro web, že k vytvoření této stránky potřebuje zabrat určitou část těchto zdrojů. Proto může web po určitou dobu vygenerovat pouze omezený počet stránek. To znamená, že pokud web otevře více uživatelů, než je počet, pro který je web určen, pak někteří uživatelé obdrží v reakci buď chybu o nemožnosti otevřít web (např. web není dostupný), nebo upozornění na přetížení webu s požadavkem na čekání (např. web je dočasně nedostupný, zkuste jej otevřít za 5–10 minut).

Podstatou útoku Denial of Service (DoS) je to, co napovídá jeho název, totiž že útok má za následek nedostupnost webové stránky pro uživatele. Technicky je toho dosaženo tak, že se útočník neustále otevírá velké číslo webové stránky, které zabírají téměř všechny zdroje webu a nedovolují ostatním uživatelům přístup na web. Tento proces lze přirovnat k rybaření vedle člověka, který rozhazuje potravu pro ryby po hrstech. V v tomto případě, bez ohledu na to, jak moc hodíte udici do řeky, šance na ulovení ryby bude téměř nulová.

Dnes, tenhle typútoky jsou vzácné, protože je velmi snadné najít a identifikovat útočníka - to je ten, od kterého neustále přichází velké množství požadavků na otevření stránek. Proto poměrně často, když slyšíte slova „DoS útok“ nebo čtete text, kde je slovo „DoS“ použito, mluvíme o DDoS útoku.

Co je útok DDoS (Distributed Denial of Service)?

Útok DDoS (Distributed Denial of Service) využívá stejný nápad jako útok DoS, ale je technicky odlišný. Podstata útoku vyplývá i z jeho názvu – mnoho počítačů útočníků současně kontaktuje stránku s žádostí o příjem stránek, což v konečném důsledku vede ke stejným důsledkům jako u DoS útoku. Tento proces lze přirovnat ke stejnému rybaření, ale v parku, kde chodí davy lidí a střídají se v házení jídla do vody. Vzhledem k tomu, že takových lidí je mnoho, povede nahození udice ke stejným výsledkům jako v předchozím srovnání. Nicméně implementujte tento útok obtížnější, protože vyžaduje poměrně hodně počítačů. Z tohoto důvodu se k realizaci tohoto útoku nejčastěji uchylují k používání sítí botnetů.

Poznámka: Někdy dojde k DDoS útoku neúmyslně, když na web omylem vstoupí velké množství uživatelů. Například při oznámení malého webu na portálech s obrovskou návštěvností se může stát, že takový web jednoduše nezvládne nápor uživatelů a bude dočasně nedostupný.

Síť botnetu je logicky uspořádaná síť mnoha infikovaných uživatelských počítačů (takové počítače se také nazývají zombie), kterou ovládá jeden nebo více útočníků a která bude provádět akce požadované útočníky. V případě DDoS mluvíme o zasílání požadavků na otevření webových stránek všemi nebo částmi zombie počítačů sítě botnetů. Technicky k vytváření sítí botnetů dochází prostřednictvím infekce počítačů běžní uživatelé Trojské koně, červi a další škodlivé programy. Které po infekci odesílají informace o sobě na kontrolní odkazy, čímž se přidávají do sítě. Takový malware obvykle zřídka vykazuje jakoukoli viditelnou škodlivou aktivitu na počítačích uživatelů, aby se zabránilo zbytečným kontrolám systému antiviry a dalšími bezpečnostními nástroji. To jim umožňuje zůstat v síti botnetů po dlouhou dobu.

Poznámka: Pro většinu uživatelů takto infikovaných počítačů budou maximální efekt pouze periodické skoky v síťové aktivitě, které, pokud dříve bylo možné snadno zaznamenat (zejména v době modemů), dnes, pokud existují vysokorychlostní internet, takovou činnost je obtížné bez speciálních prostředků určit.

Dnes je tento typ útoku stále častější, protože kromě toho, že je obtížnější sledovat, je v případě velkých botnetových sítí jednoduše nemožné jej rychle zneškodnit.

Poznámka: Hlavním důvodem růstu počtu DDoS útoků je rychlý nárůst počtu počítačů, rozšíření software, vývoj rychlostí výměny dat a řada dalších faktorů.

Závěrečná slova o DoS a DDoS

Výpadek webu, byť jen na krátkou dobu, může ovlivnit nejen výkon, ale i počet uživatelů. Nedostatečný přístup k velkému projektu s mnohamilionovou návštěvností, byť jen na několik hodin, může například znamenat odliv uživatelů ke konkurenčním projektům (s ohledem na časové období to postihne především uživatele, kteří mají relativně nedávno začal používat zdroj).