DDoS-атака или атака типа «отказ в обслуживании» направлена на вычислительную систему с целью создать такие условия, при которых пользователи системы не могут получить данные к определенным ресурсам или сервисам.
Одновременная атака с большого числа компьютеров свидетельствует о DDoS-атаке – распределенной атаке типа «отказ в обслуживании». Такие атаки применяются, если необходимо вызвать отказ в обслуживании хорошо защищенной компании или правительственной организации. Такие атаки выполняются с помощью зараженных специальными троянскими программами компьютеров, которые часто называют «компьютерами-зомби».
Рисунок 1 - Схема DDoS-атаки
Причины возникновения DDoS-атак
-
Конкуренция. На данный момент достаточно популярной является услуга проведения DDoS-атак на заказ. То есть, при возникновении конкуренции какая-нибудь фирма, которой не угоден конкурент, просто обращается к хакеру с задачей парализовать систему, с которой работают конкуренты, или парализовать работу внешних и внутренних ресурсов конкурирующей фирмы. В результате чего организовывается DDoS-атака на определенный срок и с определенной силой.
-
Мошенничество. Очень часто хакеры самостоятельно организовывают DDoS-атаки с целью получения доступа к компьютеру и блокировки системы. Если у пользователя не установлена защита от DDoS-атак, то хакер может полностью парализовать работу системы, а затем требовать некоторую сумму денег за разблокировку. Зачастую обычные пользователи соглашаются на условия хакеров, объясняя это тем, что простои в работе приводят к получению убытков, которые явно больше, чем сумма, указанная хакером.
-
Развлечение или забава. В связи с тем, что в последнее время все больше человек интересуются DDoS-атаками, многие начинающие злоумышленники осуществляют такие атаки ради развлечения или просто, чтобы попробовать свои силы.
Классификация DDoS-атак
-
Насыщение полосы пропускания. В связи с тем, что практически каждый компьютер подключен к сети интернет или к локальной сети, возможен такой тип атаки, как сетевой флуд – атака, которая заключается в отправке большого количества бессмысленных или неправильно сформированных запросов к компьютерной системе или сетевому оборудованию с целью отказа оборудования из-за исчерпания системных ресурсов (процессора, памяти или каналов связи).
-
Атака на исчерпание системных ресурсов. Атакующие прибегают к данному виду атаки для захвата таких ресурсов как оперативная и физическая память, процессорное время и т.д.
-
Недостаточная проверка данных пользователя. Недостаточная проверка данных пользователя может приводить к бесконечному или длительному циклу, что приводит к повышенному и продолжительному потреблению процессорных ресурсов либо выделению больших объемов памяти, вплоть до ее исчерпания.
-
Атаки второго рода. Это атаки, которые приводят к ложным срабатываниям систем защиты, тем самым приводят к недоступности определенных ресурсов.
-
HTTP-флуд. Атакующий отсылает небольшие http-пакеты, которые заставляют в свою очередь отвечать сервер пакетами, размеры которых значительно больше. Тем самым злоумышленник имеет большой шанс насытить полосу пропускания жертвы и вызвать отказ в работе сервисов. Для того, чтобы ответные пакеты не вызывали отказ в обслуживании у атакующего, он подменяет свой сетевой адрес на адреса узлов в сети.
-
ICMP-флуд (Smurf-атака). Данный тип атаки является одним из самых опасных. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP-пакет, в котором адрес атакующего меняется на адрес жертвы. Все узлы присылают ответ на данный ping-запрос. Для такого вида атаки обычно используют большую сеть, чтобы у компьютера-жертвы не было никаких шансов. Таким образом, запрос, отправленный через сеть в 1000 компьютеров будет усилен в 1000 раз.
-
UDP флуд (атака Fraggle). Данный тип атаки является аналогом ICMP флуда, но вместо ICMP пакетов используются UDP пакеты. На седьмой порт жертвы отправляются ECHO-команды по широковещательному запросу. После чего подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая получает множество ответных сообщений, что приводит к насыщению полосы пропускания и отказу в обслуживании жертвы.
-
SYN-флуд. Данный вид атаки основан на попытке запуска большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать в ответ ACK-пакет на недоступный адрес большинство операционных систем ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Поскольку поток ACK-пакетов очень большой, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение.
-
Отправка «тяжелых пакетов». Атакующий отсылает пакеты серверу, которые не насыщают полосу пропускания, а тратят все его процессорное время. Соответственно, в системе может пройти сбой и легальные пользователи не смогут получить доступ к необходимым ресурсам.
-
Переполнение сервера лог-файлами. При неправильной системе ротации лог-файлов и неправильно установленной системе квотирования злоумышленник может отправлять большие по объему пакеты, которые вскоре займут все свободное место на жестком диске сервера.
-
Ошибки программного кода. Опытные реализаторы DDoS-атак, полностью разобравшись в структуре жертвы, пишут программы-эксплоиты, которые позволяют атаковать сложные системы коммерческих предприятий и организаций. В основном это ошибки в программном коде, которые позволяют выполниться недопустимой инструкции или исключительной ситуации, которая может привести к аварийному завершению службы.
-
Недостатки в программном коде. Злоумышленники ищут ошибки в программном коде каких-либо программ либо операционных систем и заставляют их обрабатывать исключительные ситуации, которые они обрабатывать не умеют, что приводит к падению ядра или краху всей системы в целом.
Защита от DDoS-атак
Методы противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
1. ПредотвращениеНеобходимо проводить профилактики причин, которые приводят к необходимости тем или иным лицам предпринимать DDoS-атаки. Личная неприязнь, конкуренция, религиозные или иные разногласия, а также многие другие факторы могут стать причиной такой атаки. Если вовремя устранить причины таких атак и сделать соответствующие выводы, то в дальнейшем удастся избежать повторения ситуации. Данный метод нацелен на защиту от практически любых DDoS-атак, так как является управленческим, а не техническим решением.
2. Ответные мерыНеобходимо проводить активные меры по воздействию на источники или организатора атак, используя как технические, так и организационно-правовые методы. Некоторые фирмы предоставляют сервис поиска организатора атак, который позволяет вычислить не только человека, проводящего атаку, но и заказчика данной атаки.
3. Специализированное программное и аппаратное обеспечениеСейчас многие производители программного и аппаратного обеспечения предлагают готовые решения для защиты от DDoS-атак. Такое программное и аппаратное обеспечение может выглядеть как небольшой сервер, который позволяет защититься от слабых и средних DDoS-атак, нацеленных на малый и средний бизнес, так и целый комплекс, позволяющий защитить от серьезных атак крупные предприятия и госучреждения.
4. ФильтрацияФильтрация и блокировка трафика, исходящего от атакующих машин позволяет снизить или вовсе загасить атаку. При использовании этого метода входящий трафик фильтруется в соответствии с теми или иными правилами, заданными при установке фильтров.
Можно выделить два способа фильтрации: маршрутизация по спискам ACL и использование межсетевых экранов.
Использование списков ACL позволяет фильтровать второстепенные протоколы, не затрагивая при этом протоколы TCP и не замедляя скорость работы пользователей с ресурсом. Однако, при использовании злоумышленниками первостепенных запросов или ботнета, данный способ фильтрации окажется неэффективным.
Межсетевые экраны являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей.
5. Обратный DDoSПеренаправление трафика на атакующего при достаточных серверных мощностях позволяет не только успешно преодолеть атаку, но и вывести из строя оборудование атакующего. Данный тип защиты невозможно применить при ошибках в программном коде операционных систем, системных служб или веб-приложений.
6. Устранение уязвимостейДанный тип защиты нацелен на устранение ошибок в тех или иных системах или службах (исправление эксплоитов, установка обновлений на операционную систему и т.п ). Соответственно, такой метод защиты не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсовНе дает абсолютной защиты, но позволяет использовать другие виды защиты от DDoS атак. Имея современное программное и аппаратное обеспечение, вы можете удачно справиться с DDoS-атакой, направленной на конечность системных ресурсов.
8. Построение распределенных системПостроение распределенных и дублирующих систем позволяет обслуживать пользователей, даже если некоторые узлы становятся недоступны из-за DDoS-атак. Рекомендуется строить распределенные системы, используя не только различное сетевое или серверное оборудование, но и физически разносить сервисы по разным дата-центрам. Также возможна установка дублирующей системы (критических узлов, резервных копий) на территории других государств, что позволит сохранить важную информацию даже при пожаре в датацентре или стихийном бедствии. Распределенные системы позволяют справиться практически с любым типом атак при правильном архитектурном проектировании.
9. УклонениеВывод непосредственной цели атаки (ip-адрес или доменное имя) от других ресурсов, которые также могут подвергаться атаки вместе с целью. Иначе говоря, необходимо разделить атакуемые ресурсы и другие рабочие ресурсы, которые расположены на одной площадке. Оптимальным является решение по разделению на внешние и внутренние ресурсы и вывод внешних ресурсов на другое сетевое оборудование, другой датацентр или даже территорию другого государства. Это позволит сохранить внутреннюю ИТ-структуру даже при самой интенсивной DDoS-атаке на внешние ресурсы.
10. МониторингУстановка системы мониторинга и оповещения, которая позволит вычислить DDoS-атаку по определенным критериям. Мониторинг напрямую не может защитить атакуемую систему, но позволяет вовремя среагировать и принять соответствующие меры.
11. Приобретение сервиса по защите от DDoS-aтакСейчас многие крупные компании предлагают предоставление как постоянного, так и временного сервиса по защите от DDoS-атак. Данный метод позволяет защититься от многих типов DDoS-атак, используя целый комплекс механизмов фильтрации нежелательного трафика к атакующим серверам.
На текущий момент, в целях обеспечения информационной безопасности бизнеса клиентов, одним из первых этапов мы предлагаем провести аудит информационной безопасности.
EFSOL
Рисунок 2 - SYN-флуд