DDoS-hyökkäys: miten se tehdään? Ohjelmat DDoS-hyökkäyksiin. Ddos-hyökkäys - yksityiskohtainen opas. Mitä ovat ddos-hyökkäykset, miten ne suoritetaan ja suojautumiskeinot niiltä

Hyvää iltapäivää rakkaat sivuston käyttäjät. Jokainen blogin omistaja yrittää suojella resurssiaan kaikin voimin käyttämällä laajennuksia, monimutkaistaa salasanoja, vaikeuttaa ohjauspaneeliin kirjautumista, poistaa rivejä sivun lähdekoodista jne.

Mutta mitä tehdä, jos sivustoasi hyökätään? Tällaisissa tilanteissa blogosfäärin käyttäjät alkavat yleensä panikoida. No, tietysti, kukapa ei murehtisi asiasta, johon hän on omistanut yli vuoden ja panostanut paljon aikaansa ja hermojaan tähän asiaan.

Yksi näistä ongelmista voi olla ddos-hyökkäys!

Tässä artikkelissa haluan kertoa sinulle seuraavista asioista:

Mikä on DDoS-hyökkäys?

DDoS-hyökkäys on lyhenne sanoista Distributed Denial Of Service Attack. On myös DoS-hyökkäyksiä, jotka eroavat ensimmäisestä tyypistä siten, että hyökkäys ei tapahdu eri IP-osoitteista. Mutta nyt ensin asiat ensin.

DDos-hyökkäykset eivät ole yksinkertaisia ​​yrityksiä hakkeroida blogisi ja istuttaa siihen virus. Hakkereiden päätavoite on halvaannuttaa sivustosi tai mikä tahansa muu verkkosivusto. Tällaiset hakkerointiyritykset ovat olleet tiedossa jo pitkään, vuonna 1999 useiden suurten yritysten Internet-resurssit poistettiin käytöstä. Tämä toistui vuonna 2000, eivätkä järjestelmänvalvojat voineet tehdä mitään.

Ja miksi kaikki? Koska tuolloin kukaan ei osannut käsitellä tällaisia ​​hyökkäyksiä.

Tarkastellaanpa siis tarkemmin, kuinka hakkerit vaaransivat hyvin suojatut web-sivustot?

Kaikki näyttää riittävän yksinkertaiselta, mutta se ei silti ole niin helppoa.

DDoS-hyökkäysjärjestelmä on rakennettu näin. Hakkerit ovat valinneet yhden palvelimen, jota he nyt hyökkäävät. Ja heti he pommittavat häntä joukolla vääriä pyyntöjä, ja he tekevät tämän kaikkialta maailmasta ja siksi eri IP-osoitteista. Lopulta resurssi kuluttaa kaiken energiansa käsittelyyn.

Tällaiset hyökkäykset johtavat siihen, että tavalliset käyttäjät eivät pääse sivustolle. Haluaisin huomauttaa, että vääriä pyyntöjä tehdään sellaisten ihmisten tietokoneilta ja kannettavilta, jotka eivät edes tarkoita sitä.

Tiedätkö, hyökkääjät ensin hakkeroivat satojen käyttäjien tietokoneisiin ja järjestävät sitten massiivisen hyökkäyksen. Myöskään jonkun tietokoneeseen murtautuminen ei ole aina helppoa. Jotkut käyttävät troijalaisia, toiset tunkeutuvat suojaamattomiin verkkoihin ja zombievat sitten laitteen ja IP-osoite on täysin alisteinen niille.

Dos hyökkäys.

Nyt vähän Dosin hyökkäyksistä. Tämä on hieman erilainen kuin ddos, mutta sinulle tarjotaan myös resurssin palvelun kieltäminen.

Sen ydin on siinä, että hakkeri käyttää tietokoneessa olevaa haavoittuvuutta, mikä edistää virheen ilmaantumista. Se puolestaan ​​keskeyttää verkkoresurssin toiminnan.

Jos haavoittuvuutta ei voitu asentaa tietokoneeseen, hyökkääjä käyttää toista vaihtoehtoa, joka on vähän samanlainen kuin ddos-hyökkäys.

Yleensä eri osoitteista lähetetään suuri määrä tietoa. Järjestelmä käsittelee yhden tiedoston ja niin vähitellen kaikki muut. Jos keräät kasaan massasta tietoa, tietokone ylikuormittuu ja mahdollisesti jäätyy, minkä hakkerit haluavat saavuttaa.

DDoS-hyökkäystyypit ja kuinka suojautua niiltä?

On mahdotonta suojata verkkosivustoasi täysin DDoS-hyökkäyksiltä. Yleensä kaikki ne, jotka haluavat suojella resurssejaan, eivät koskaan löydä sataprosenttista tietoa. Siksi suojaus perustuu pääasiassa asiantuntevaan ennaltaehkäisyyn ja konfigurointiin.

Tässä on mitä sinun tulee tehdä, tai pikemminkin toiminnot, jotka sinun on suoritettava:

Ennaltaehkäisy.

Ensinnäkin on erittäin tärkeää olla aloittamatta ddos-hyökkäyksiä itseäsi vastaan, koska niitä tekevät ihmiset, jotka tarvitsevat sinulta jotain. Useimmiten tämä kaikki tapahtuu uskonnon, politiikan tai muun erimielisyyden vuoksi. Voin varmuudella sanoa, että ne tapaukset ovat harvinaisia, kun tällaisia ​​hyökkäyksiä tapahtuu uteliaisuuden ja leikin vuoksi.

Suodatus.

Jos huomaat hyökkäävien koneiden liikennettä, voit vapaasti estää sen millään tavalla. Käytä esimerkiksi WordFence Security -laajennusta, jonka avulla voit estää pääsyn jopa kokonaisten maiden IP-osoitteisiin. Mutta sekaisin tämän kanssa on erittäin vaarallista, ja voit pilata itsesi. Lyhyesti sanottuna toimi vain, kun olet varma, että olet oikeassa. Sellaista ilmaisua ei ole: "Riski on jalo asia" tai "Joka ei ota riskejä, ei juo samppanjaa".

Käänteinen DDOS.

On mahdollista ohjata liikennettä hyökkääjälle. En tiedä miten tämä tehdään, joten en myöskään opeta sinua, mutta on asiantuntijoita, jotka ymmärtävät tällaiset asiat.

Haavoittuvuuksien poistaminen.

Haavoittuvuus voidaan poistaa Viruksentorjuntaohjelmalla. Henkilökohtaisesti käytän Kasperskyä, voit lukea sen eduista ja ominaisuuksista artikkelista

Hajaantuminen.

Tärkeä tosiasia on järjestelmän päällekkäisyys, eli jos hakkerit hyökkäsivät sinuun ja hyökkäys onnistui, työskentelet vain toisen järjestelmän kautta, joka tukee sivustoasi. Tämä on erittäin kätevää, mutta samalla se ei ole helppo tehdä.

Tämä ehkäisymenetelmä sopii erinomaisesti yritysten, suurten yritysten, yritysten jne.

Hajautettujen ja redundanttien järjestelmien rakentaminen, jotka eivät lopeta käyttäjien palvelemista, vaikka jotkin niiden elementit eivät olisi käytettävissä DoS-hyökkäyksen vuoksi.

Välttely.

Tarkkaile jatkuvasti, milloin muihin resursseihin kohdistuu hyökkäyksiä, ja yritä olla tallentamatta verkkotunnuksesi tietoja tällaisille sivustoille.

Aktiivinen vastaus.

Uskon, että yksinkertainen bloggaaja ei yksinkertaisesti pysty vaikuttamaan hakkereihin, jotka suorittavat DDoS-hyökkäyksiä. Tätä tehtävää varten tarvitsemme vahvempia verkkovastaavia tai ainakin sellaisia, jotka tietävät paljon työstään. Jos taistelet vastaan, he eivät halua tuhlata aikaansa taistelemiseen.

Tutustuimme ehkäiseviin toimiin. Nyt esittelen sinulle DDoS-hyökkäystyypit.

DDoS-hyökkäystyypit.

Ensinnäkin käsittelen aihetta tulva-iskuista. Niiden tarkoituksena on kuluttaa järjestelmän resurssit, ja tämä on muistin, viestintäkanavan tai saman prosessorin määrä.

muistiHTTP-tulva.

HTTP-tiedostot ladataan jonkun verkkoresurssiin, johon palvelin vastaa lisäämällä tietoja. Jos tämä toimenpide suoritetaan suurella virtauksella, uhrien kaistanleveys täydentyy ja järjestelmä täydentyy. Seurauksena työn epäonnistuminen. Ei saatavilla kenellekään. Mutta miten hakkeri pääsee sinne? Se muuttaa verkko-osoitteensa kanavan sisällä olevien verkkosolmujen osoitteeksi.

ICMP-tulva (Smurffihyökkäys).

Tämä on vaarallisin DDoS-hyökkäystyyppi. Kaikki tapahtuu näin: järjestelmään lähetetään väärennetty tietopaketti datalla. Hakkeri muuttaa osoitteensa hyökkäyksen kohteena olevan kohteen osoitteeksi. Tehokkaampaan hyökkäykseen käytetään "zombitietokoneita". Artikkelin alussa puhuin tästä. Oletetaan, että he valitsivat 1000 IP-osoitetta ja lähettivät tietopaketin, mutta eivät vain niin, vaan vahvistivat 1:n tietokoneelle 1-kertaisesti. Tämä tarkoittaa, että he lähettivät resurssille 1000 pyyntöä samalla, kun ne kasvoivat tuhat kertaa.

Kerran elämässäni oli sellainen tapaus, kun palvelimeen kohdistuvan hyökkäyksen teho saavutti 300 Gbit/s. Järjestelmä kuitenkin kesti hyökkäyksen. Suojauksen pääelementti olivat käänteiset hyökkäykset ja liikenteen uudelleenohjaus niiden lisätietokeskuksiin.

Voitko kuvitella mikä tämä on? Luultavasti ei. Yleensä miljoonat PC- ja muut vempaimen käyttäjät ovat tunteneet tämän voiman. Loppujen lopuksi monet sivustot ja blogit alkoivat epäonnistua, kaikki johtuen jonkinlaisesta DDoS-hyökkäyksestä.

Nyt olen kertonut teille kahdesta tulvasta. En koske muihin, koska niiden olemus on sama. Kaikki haluavat suorittaa banaalin ylikuormituksen ja siten pakottaa järjestelmän hidastamaan.

Kuinka ymmärtää, että sivustolla on DDoS-hyökkäys?

Tätä varten ei yleensä tarvita ohjelmia, koska kaikki näkyy paljaalla silmällä. Näin ei kuitenkaan aina ole. Joskus menet sisään ja koko sivusto kieltäytyy toimimasta.

Tämän välttämiseksi sinun on huolehdittava etukäteen DDoS-hyökkäysten havaitsemisesta blogiisi.

Ensinnäkin sinun tulee seurata resurssi liikennettä. Voit suorittaa analyysin ohjauspaneelista. En koskaan kyllästy ymmärtämään, että palvelu on todella ainutlaatuinen, muita vastaavia ei ole.

Voit tarkkailla, mistä ihmiset vierailevat sivustollasi ja mistä maista. Mutta täällä kaikki voi tietysti näyttää uskottavalta, mutta nämä IP-osoitteet voivat jo olla hyökkääjien käsissä. Joten käytetään Scrutinizea. Sen avulla voit analysoida verkkoliikennettä.

Toivon, että voit suojata blogisi DDoS-hyökkäyksiltä. Käytä kaikkia artikkelissa kuvailemiani ohjausmenetelmiä ja voit sitten suojata verkkoresurssi.

Hyvästi, rakkaat lukijat!

Ystävällisin terveisin, Zhuk Yuri.

Ongelma kolmannen osapuolen puuttumisesta eSports-otteluiden käyttäytymiseen on ollut olemassa jo useita päiviä. Mutta sisään Viime aikoina se ilmeni erityisen terävästi Dota 2:ssa ja CS:GO:ssa. Monet pelit joutuvat lykkäämään tunnin tai jopa perumaan, ajoittamaan uudelleen ja pelaamaan uudelleen. Kerromme sinulle, kuinka helppoa on suorittaa DDoS-hyökkäys ja kuinka tehokkaasti puolustautua sitä vastaan.


Mikä on DDoS?
DDoS on tietokoneen tai palvelimen käynnistämä hyökkäys, jolle on annettu kohde ja käsky aloittaa. Käynnistyksen jälkeen tartunnan saaneiden koneiden verkko alkaa lähettää kuolleita paketteja (turhaa tietoa) kohdereitittimeen ja estää siten yhteyden. Kuvittele venettä yhdellä airolla, joka yrittää päästä ulos saastuneesta joesta.

Hyökkäys
Hyökkäyksen suorittamiseen tarvitset vain kaksi asiaa: DDoS-palveluntarjoajan ja kohteen. Ddoser-palvelut riippuvat ajasta, jonka ne haluavat katkaista Internet-yhteytesi, ja reitittimeen lähetettyjen roskien määrästä. Hyökkäyssuunta määräytyy IP-osoitteen perusteella. Se on yksinkertaista - jos hyökkääjillä on se, sinun ei ole vaikea ärsyttää sinua. Siksi on erittäin tärkeää välttää sen joutuminen vääriin käsiin.
Valitettavasti oikean IP:n saaminen on nyt erittäin helppoa. Löydät Valve-palvelimen osoitteen Dota 2:n kautta, ja vaikka se olisi piilotettu konsolin kautta, Packet Sniffer vastaanottaa sen ilman ongelmia.




Mitä tulee yksittäisten pelaajien IP-osoitteisiin, ne jättävät jälkiä moniin ohjelmiin. IP-osoitteen saamiseksi Skypen kautta tarvitset vain lempinimesi ohjelmassa, ja tämä on vain yksi monista tavoista. Kuvittele, että alla olevan videon tilanne tapahtuu sinulle (18+):

Sinun ei tarvitse edes maksaa DDoS: sta. Löysin ilmaisen palvelun, jonka avulla voit lähettää 10-200 Mbps testiä. Tämä riittää useimpien standardiverkkojen purkamiseen:


Kuinka suojella itseäsi?
On monia tapoja suojautua hyökkäyksiltä. Kerron vain muutaman:

  • Vuokraa VPN. Se piilottaa IP-osoitteesi vahvan ja suojatun palvelimen taakse. Jos käytät viestintäohjelmia, varmista, että teet sen VPN:n kautta. Tämän palvelun tarjoajien määrä on erittäin suuri.
  • Rajoita viestintää Skypen, Teamspeakin jne. Tämä on yksi helpoimmista tavoista saada osoitteesi ja pilata yhteys.
  • Useimmat ihmiset uskovat, että heidän tietokoneessaan ei ole viruksia. Valitettavasti 90 % ajasta näin ei ole, ja sinun tulee puhdistaa se useammin välttääksesi äkillisen verkon sammumisen.
  • Ole varovainen vieraillessasi verkkosivustoilla ja foorumeilla. Järjestelmänvalvojat näkevät IP-osoitteesi.
  • Palomuurit. Joissakin reitittimissä on sisäänrakennettu reititin, aivan kuten Windows itse, mutta heillä ei ole aikaa suodattaa saapuvaa "roskaa" ennen kuin se estää Internetin.
    • Mitä minun pitäisi tehdä, jos IP-osoitteeni on jo joutunut vääriin käsiin?
    Sitten sinun on turvauduttava erittäin vaikeisiin manipulaatioihin reitittimen kanssa. Internet-palveluntarjoaja ei auta sinua millään tavalla, koska heidän ei tarvitse käsitellä tällaisia ​​ongelmia työssään. Tarvitset vaihda WAN MAC reititin vastaanottamaan automaattisesti uuden osoitteen. Jos tämä epäonnistuu, sinun on irrotettava reititin verkosta ja odotettava pitkään, pitkään.
    Johtopäätös.
    Kuten on monta kertaa sanottu, tämä ei ole kaikkea muuta kuin täydellistä tietoa DDoSa-suojauksesta, ja pelaajien on käsiteltävä paljon kehittyneempiä tekniikoita. Joten toivomme, ettet joutuisi tällaisten hyökkäysten kohteeksi ja suojele itseäsi niin paljon kuin mahdollista.

    Puhumme paljon sivustoon kohdistuvista hyökkäyksistä, hakkeroinnista, mutta emme maininneet DDOS-aihetta. Tänään korjaamme tämän tilanteen ja tarjoamme sinulle täydellisen yleiskatsauksen DDOS-hyökkäysten organisointitekniikoista ja tunnetuista työkaluista hakkerihyökkäysten suorittamiseen.



    Voit tarkastella KALIssa käytettävissä olevien työkalujen luetteloa DDOS-hyökkäyksiä varten suorittamalla komennon:

    kali > /usr/share/exploitdb/platforms/windows/dos

    Tämä komento näyttää tietokannan Windows-järjestelmien hyökkäämisestä.

    Näet käytettävissä olevat Linuxin DDOS-hyökkäystyökalut kirjoittamalla komennon:

    /usr/share/exploitdb/platforms/Linux/dos.
    2.LOIC

    Low Orbit Ion Cannon (LOIC) Matalakiertoinen ionitykki. Ehkä suosituin DDOS-ohjelma. Se voi lähettää joukkopyyntöjä ICMP- ja UDP-protokollien kautta tukkien siten kanavan uhrin palvelimelle. Tunnetuimman LOIC-hyökkäyksen teki Anonymous vuonna 2009, ja se kohdistui PayPalia, Visaa ja MasterCardia vastaan ​​kostoksi Wikileaksin poissulkemisesta lahjoitustenkeräysjärjestelmästä.

    LOIC:n avulla järjestettyjä hyökkäyksiä voidaan hyödyntää estämällä UDP- ja ICMP-paketit Internet-palveluntarjoajien verkkolaitteissa. Voit ladata itse LOIC-ohjelman ilmaiseksi verkkosivustolta. Tämä työkalu on Windows-pohjainen ja sen kanssa työskentely on hyvin yksinkertaista, määrität uhrin sivustot ja painat vain yhtä painiketta.

    2.HOIC

    Sama tiimi, joka loi LOICin, kehitti HOIC:n Praetoxin Operation Paybackin aikana. Keskeinen ero on, että HOIC käyttää HTTP-protokollaa ja lähettää sen avulla satunnaistettuja HTTP GET- ja POST-pyyntöjä. Se pystyy hyökkäämään samanaikaisesti 256 verkkotunnusta vastaan. Voit ladata sen osoitteesta.


    3. XOIC

    XOIC on toinen hyvin yksinkertainen DDOS-työkalu. Käyttäjän tarvitsee vain asettaa uhrin IP-osoite, valita protokolla (HTTP, UDP, ICMP tai TCP) ja painaa liipaisinta! Voit ladata sen osoitteesta

    5. HULK

    6. UDP Flooder

    UDP Flooder on nimensä mukainen - työkalu on suunniteltu lähettämään useita UDP-paketteja kohteeseen. UDP Flooderia käytetään usein DDOS-hyökkäyksissä pelipalvelimia vastaan ​​katkaisemaan pelaajat palvelimesta. Ohjelma on ladattavissa osoitteessa.

    7. RUDY

    8. ToR:n vasara

    ToR's Hammer luotiin toimimaan verkon yli, jotta hyökkääjä olisi hyvin anonyymi. Tämän työkalun ongelmana on, että TOR-verkko on melko hidas ja vähentää siten DDOS-hyökkäyksen tehokkuutta. Voit ladata tämän DDOS-ohjelman Packet Stormista tai .

    9. Pyloris

    Pyloris on toinen DDoS-työkalu, joka käyttää uutta lähestymistapaa. Sen avulla hyökkääjä voi luoda oman ainutlaatuisen HTTP-pyyntönsä. Ohjelma yrittää sitten pitää TCP-yhteyden auki käyttämällä tällaisia ​​pyyntöjä, mikä vähentää käytettävissä olevien yhteyksien määrää palvelimella. Kun palvelimen yhteysraja saavuttaa rajansa, palvelin ei voi enää palvella yhteyksiä ja sivusto ei ole käytettävissä. Tämä työkalu on ladattavissa ilmaiseksi verkkosivustolta.

    10. OWASP Switchblade

    Open Web Application Security Project (OWASP) ja ProactiveRISK ovat kehittäneet Switchblade DoS -työkalun WEB-sovellusten kestävyyden testaamiseen DDoS-hyökkäysten varalta. Siinä on kolme toimintatilaa: 1. SSL Half-Open, 2. HTTP Post ja 3. Slowloris. Voit ladata sen tarkistettavaksi OWASP-verkkosivustolta.

    11. DAVOSET

    12. GoldenEye HTTP DoS -työkalu

    13. THC-SSL-DOS

    Tämä DDOS-ohjelma (sisältyy Kaliin) eroaa useimmista DDOS-työkaluista siinä, että se ei käytä Internetin kaistanleveyttä ja sitä voidaan käyttää yhdestä tietokoneesta. THC-SSL-DOS hyödyntää SSL-protokollan haavoittuvuutta ja pystyy kaatamaan kohdepalvelimen. Ellei siinä tietenkään ole tätä haavoittuvuutta. Voit ladata ohjelman THC:n verkkosivuilta tai käyttää KALI Linuxia, jossa tämä työkalu on jo asennettu.

    14. DDOSIM - Layer 7 DDoS-emulaattori

    Tähän arvostelumme päättyy, mutta palaamme jatkossa blogimme sivuilla aiheeseen DDOS-hyökkäyksistä.

    Viimeksi päivitetty 27. tammikuuta 2017.

    Epäilemättä DDOS-hyökkäys on huono, DDOS-hyökkäys on odottamaton, DDOS-hyökkäys on kannattamaton. Mutta älä panikoi. Hajautetut hyökkäykset ovat nykyaikaisen Internetin todellisuutta. Eikä koskaan pidä tehdä hätäisiä päätöksiä. Sinun ei pitäisi ostaa uusia palomuureja ja kaikkea muuta. Ole vain kärsivällinen ja lue esimerkiksi erikoistuneita sivustoja. Ja ratkaisut löydät joka tapauksessa. Jos ei, kysy neuvoa, ymmärrämme tästä jotain ja autamme sinua varmasti. Ja niille, jotka etsivät, lue artikkeli.

    Johdanto

    Kuvittele, että nyt 100 tuhatta ihmistä Internetistä muodostaa samanaikaisesti yhteyden WEB-palvelimeesi ja yrittää ladata sen pääsivun. Onko Internetissä tarpeeksi kaistanleveyttä? Kuinka suojautua viestintäkanavien haitallisilta ylikuormitukselta?

    Määritelmät

    Internetissä on suuri määrä tartunnan saaneita tietokoneita, jotka suorittavat komentoja etänä, mukaan lukien komennon saatuaan ne voivat muodostaa yhteyden ja ladata mitä tahansa sivuja miltä tahansa WEB-palvelimelta. Tällaista ohjattua tietokonetta kutsutaan botiksi. Joukkoa tällaisia ​​ohjattuja tietokoneita kutsutaan bot-verkoiksi. Jokainen tällainen tietokone tässä verkossa on zombie, joka on aina valmis suorittamaan isäntänsä komennon. Tällainen bot-verkko voi koostua jopa useista sadaista tuhansista tietokoneista samanaikaisesti.

    Mistä botit tulevat?

    Todelliset tietokoneen omistajat eivät useimmiten epäile, että joku voi ohjata heidän tietokonettaan etänä. Nykyään troijalaiset ohjelmat toimivat huomaamatta ja me annamme sitä huomaamatta tuntemattomien käyttää tietokoneidemme resursseja omiin tarkoituksiinsa. Ihmiset, jotka ylläpitävät tällaista suurta bottiverkostoa, voivat kiristää suuria yrityksiä, verkkokauppojen omistajia, online-kasinoita, uutissivustoja, maksujärjestelmiä ja muita suosittuja resursseja tarjoten lunnaita siitä, että he eivät hyökkää heidän bottiverkostonsa avulla.

    Varmasti tällaiset laskentaresurssit ovat selkeästi käytännön kiinnostavia. Et voi vain suorittaa DDoS-hyökkäyksiä, vaan myös lähettää roskapostia tai suorittaa hajautettuja laskelmia, kuten salasanan arvailua. Siksi bot-verkkoa yritetään usein varastaa. Jotta zombie-tietokone voi hyväksyä komennon omistajalta, sinun on todistettava, että olet omistaja esimerkiksi salasanalla. Jos arvaat tämän salasanan, sinulla on mahdollisuus tulla pienen tietokoneparven mestariksi. Tämä on mahdollista esimerkiksi verkossa, joka perustuu BlackEnergy-botteihin, jotka on suojattu vain salasanalla.

    Esimerkki 1. Suurimmat bot-verkot

    Uusi bot-verkko nimeltä Kraken on löydetty, sisältäen noin 400 tuhatta tietokonetta. Bottiverkon koko ylittää maailmankuulun Storm-bottiverkon, jonka koko on noin 100 tuhatta tietokonetta. Lähde: Damballa RSA-konferenssissa 7.4.2008

    Kysy itseltäsi: mitä takeita minulla on siitä, että tietokoneeni ei ole osa bot-verkkoa? Tarjoaako asennettu virustentorjunta tällaisia ​​takuita? Ei näytä siltä. Tilastojen mukaan 40 prosentissa bot-verkkoon kuuluvista tietokoneista on virustorjunta, joka ei havaitse tietokoneen saastumista. Antaako asennettu virustorjunta- tai hyökkäystentorjuntajärjestelmä takuut? Ehkä, mutta monet ihmiset eivät edes tiedä, mitä se on. Ja tarkoituksella he eivät koskaan sammuta tietokonetta töistä lähtiessään. Kukaan ei ole suojassa osallisuudesta DDOS-hyökkäysten järjestämiseen.

    Jotta tietokoneesi voisi osallistua DDoS-hyökkäykseen, siinä ei välttämättä tarvitse olla haavoittuvuutta tai haitallista koodia asennettuna. Naapurillasi voi olla hyökkäyksen koodi verkossa tai suositulla Internet-sivustolla. Joten Trojan-Downloader.JS.Agent lisää haitallisen javascriptin kaikkiin viereisiin tietokoneisiin hyökkäyksen avulla, kun ne lataavat sivuja selaimessaan Internetistä. Tämä voi olla mikä tahansa koodi, mukaan lukien koodi DDoS-hyökkäyksen suorittamiseen. Tämä selaimesi koodi muodostaa 10 000 yhteyttä mille tahansa sivustolle:

    attack_host="www.(hyökkäyssivusto).com" attack_port=80 path="index.html" for(i=1;i

    attack_host = "www.(hyökkäyssivusto).com"

    hyökkäysportti = 80

    polku = "index.html"

    for (i = 1 ; i

    Jos luet sivua WEB-selaimen kautta, esimerkiksi sivua, jolla on tämä artikkeli, ja tämä javascript-koodi on upotettu siihen, sinusta tulee DDoS-hyökkäyksen rikoskumppani ja hyökkäät käsikirjoituksen kirjoittajan valitsemaa sivustoa vastaan ​​10 000 ajat. Ja jos 10 000 ihmistä lukee tämän artikkelin, sivustolle tehdään jo 100 000 000 (100 miljoonaa) yhteyttä. Toinen vaihtoehto on, jos joku käyttäjistä lisää tämän javascriptin sivustolle, jossa käyttäjät itse täyttävät sivuston sisällön (foorumit, blogit, sosiaaliset verkostot), niin kuka tahansa sivustolla vieraileva auttaa hyökkäyksen suorittamisessa. Esimerkiksi, jos se on odnoklassniki.ru, jossa on jo 20 miljoonaa käyttäjää, niin teoriassa on mahdollista hyökätä sivustoon käyttämällä 200000000000 (200 miljardia) yhteyttä. ja tämä ei ole raja, joten voit jo kuvitella uhan laajuuden. Meidän on puolustettava itseämme. Sekä verkkoresurssien omistajat hyökkäyksistä että käyttäjät joutumasta rikoskumppaneita.

    Esimerkki 2: DoS-hyökkäys WEB-palvelimeen käyttämällä kahta ruuvimeisseliä ja selainta.

    Käynnistä Internet Explorer, kirjoita haluamasi sivuston osoite, käytä toista ruuvimeisseliä Ctrl-painikkeen kiinnittämiseen ja toisella F5. Internet Explorerin lähettämien pyyntöjen määrä sekunnissa voi haitata sivuston toimintaa ja jopa estää muita ihmisiä käymästä samassa resurssissa.

    Sinun on valmistauduttava DDoS-hyökkäykseen

    Internet on melko aggressiivinen ympäristö yrityksen perustamiselle ilman, että huolehdit suojastasi. Mutta monet yritykset asuvat siinä sanonnan mukaan: ennen kuin ukkonen iskee, ihminen ei ristiä itseään. DoS- ja DDoS-hyökkäykset eroavat toisistaan ​​siinä, että niitä ei voida käsitellä ilman ennakkovalmisteluja. Ja kaiken lisäksi, ja tämä on vielä pahempaa, niitä on edelleen vaikea taistella, vaikka olisit valmistautunut etukäteen. Jos DNS- ja WEB-sivustot kärsivät tällä hetkellä, niin yhä suositumpiin palveluihin, kuten VoIP ja IPTV, on tulossa uhka.

    Esimerkki 3: DDoS-hyökkäys Viron hallituksen verkkosivuille

    Hyökkäykset Viron hallituksen verkkosivuja vastaan ​​alkoivat sen jälkeen, kun viranomaiset siirsivät pronssisotilaspatsaan Tallinnan keskustasta esikaupunkiin. Tämän seurauksena monet Viron hallituksen verkkosivut lakkasivat toimimasta, ja paikallinen tietokonevastausryhmä joutui estämään pääsyn sivustoille ulkomailta. Hyökkäysten huippu oli 8. ja 9. toukokuuta 2007. Viron pääministerin mukaan hyökkäykset muodostivat pyyntöjen lumivyöryn, joskus jopa 5 miljoonaa sekunnissa, kun tavanomainen liikenne on 1-1,5 tuhatta päivässä. Venäjää syytettiin tästä hyökkäyksestä, varsinkin kun jotkut venäläiset hakkerit ottivat vastuun näistä teoista. Lue artikkelin lopusta, oliko Venäjä todella hyökkäyksen lähde.

    Valitettavasti monet palvelimet ovat näkyvissä Internetissä jopa ilman palomuurisuojausta, puhumattakaan monimutkaisemmista suojajärjestelmistä, kuten hyökkäysten estojärjestelmistä. Tämän seurauksena hyökkäyksen alkamishetkellä käy ilmi, ettei ole mitään puolustettavaa ja yritysten on pakko käyttää arvokasta aikaa (hyökkäyksen aikaan) yksinkertaisiin asioihin, kuten palomuurin asentamiseen palvelimelle. , hyökkäyksenestojärjestelmän asentaminen tai toisen palveluntarjoajan vaihtaminen. Mutta koska DDoS-hyökkäyksiä on vaikea pysäyttää jopa asennettujen suojausjärjestelmien kanssa, ja hyökkäyksen aikana sinulla ei ole aikaa valita oikeaa suojausmenetelmää, voit luottaa vain palveluntarjoajasi suojaustyökaluihin. Ja yleensä DDoS-hyökkäyksen epäonnistuminen johtuu palveluntarjoajasta. Tämä artikkeli käsittelee oikean palveluntarjoajan valitsemista. Katsotaanpa ensin tarkemmin, mitä palvelunestohyökkäykset ovat.

    DoS-hyökkäystyypit

    On olemassa useita tapoja ryhmitellä DoS-hyökkäykset tyypin mukaan. Yksi DoS-hyökkäysten loogisista luokitteluista on täällä http://www.niser.org.my/resources/dos_attack.pdf

    DoS-hyökkäyksiä on useita.

    • Tuhoisa
    • Hyökkäykset, jotka johtavat siihen, että verkossa oleva laite muuttuu täysin käyttökelvottomaksi: se jäätyy, käyttöjärjestelmä tai kokoonpano tuhoutuu. Tällaiset hyökkäykset perustuvat hyökkäyksen kohteena olevien järjestelmien ohjelmistohaavoittuvuuksiin.
    • Hyökkäykset järjestelmäresursseihin
    • Hyökkäykset, jotka heikentävät merkittävästi laitteiden tai sovellusten suorituskykyä. Tämä luokka sisältää esimerkiksi hyökkäyksen
    • Kanavan kapasiteetin täyttö

    Tämä luokka sisältää hyökkäykset, joiden tarkoituksena on ylittää kanavakapasiteetti. Tyypillisesti minkä tahansa tyyppisiä TCP-, ICMP- tai UDP-paketteja, joiden väärät lähdeosoitteet muuttuvat satunnaisesti mahdollisten arvojen alueella, käytetään kanavan täyttämiseen myös paketin kohdeosoitteet valitaan satunnaisesti verkon alueelta sijaitsee hyökätyllä kanavalla. Nyt tällaisia ​​hyökkäyksiä on kuitenkin alettu toteuttaa tartunnan saaneiden tietokoneiden verkkojen avulla, joissa hyökkäyslähteiden osoitteet ovat todellisia ja siten käytännössä mahdottomia erottaa todellisten käyttäjien tietokoneista.

    Toinen tämän tyyppinen DDoS-hyökkäystyyppi on DRDoS-hyökkäykset (Distributed Reflection DoS), jotka voivat käyttää mitä tahansa Internetin palvelinta hyökkäyksensä lähteenä. DRDoS:n idea: mikä tahansa palvelin vastaa ehdottomasti TCP-pakettiin SYN-lipulla TCP-paketilla, jossa on SYN+ACK-liput. Jos asetat ensimmäisen paketin lähdeosoitteeksi uhrin osoitteen, palvelin lähettää useita SYN+ACK-lipuilla varustettuja TCP-paketteja uhrin osoitteeseen, kunnes se tajuaa, että uhri ei halua yhteyttä ja yhteyttä ei synny. Jos käytät monia näistä tehokkaista palvelimista hyökkäyksessä ja vastaat vääriin paketteihin väärässä osoitteessa, uhri tulvii pakettien tulvan.

    Esimerkki 4: DDoS Kommersantissa

    Kommersant-kustantajan pääjohtaja Demyan Kudrjavtsev sanoi Interfax-toimiston haastattelussa 14. maaliskuuta 2008, että yhtiön taloudelliset tappiot, jotka liittyvät www.kommersant.ru-sivuston estämiseen DDoS-hyökkäysten seurauksena, ovat kymmeniä tai jopa satoja tuhansia dollareita.

    Kudrjavtsev korosti, että DDoS-hyökkäykset Kommersant-verkkosivustolle ovat Venäjälle ennennäkemättömiä: " Jos tunnetut hyökkäykset Viron suurlähetystön ja "Echo of Moscow" -radioaseman verkkosivuja vastaan ​​olivat 200-300 megatavua roskaliikennettä sekunnissa, niin eilen verkkosivuillamme sen taso nousi 2 gigatavuun sekunnissa."", hän huomautti.

    Lähde: securitylab.ru

    Tyyppien 1 ja 2 hyökkäykset ovat melko yleisiä, ja järjestelmänvalvojat ovat pitkään käyttäneet tehokkaasti sekä verkko- että isäntäpohjaisia ​​hyökkäysten ehkäisyjärjestelmiä (IPS). Tässä artikkelissa puhumme suojauksesta tyypin 3 hyökkäyksiä vastaan, koska venäjänkielisessä Internetissä ei ole vielä tietoa näistä suojausmenetelmistä. Kolmannen tyypin hyökkäys voidaan havaita hyökkäyksen havaitsemis- tai estojärjestelmällä, mutta valitettavasti mikään puolustusjärjestelmä ei pysty estämään tällaista hyökkäystä itse kanavaan. Kanava on täynnä hyökkäyksen aikana ja ylävirran tarjoajan on osallistuttava hyökkäyksiltä suojaamiseen. IPS:ää ei yleensä käytetä suojaamaan tällaisilta hyökkäyksiltä, ​​vaikka SYN-Flood- ja UDP-Flood-suojausallekirjoitukset auttavat vähentämään näiden hyökkäysten vaikutusta vapauttamalla hyökkäyksen kohteena olevia palvelimia.

    Useimmiten tämäntyyppiset hyökkäykset käyttävät bot-verkkoja, jotka muodostavat täysin laillisia yhteyksiä ja toimivat verkkosi kanssa. Mutta ongelmana on, että niitä on liikaa, ja on lähes mahdotonta erottaa zombie-tietokonetta oikeasta käyttäjästä. Kolmannen tyypin hyökkäykset ovat tuttuja kaikille kesäasukkaille, jotka yrittävät lähteä Moskovasta perjantaina ja palata Moskovaan sunnuntaina: Moskovan kehätie ja kaikki alueen moottoritiet ovat tukossa, eikä niistä pääse eroon. Kaikki, jotka yrittävät murtautua liikenneruuhkan läpi, kiroavat, vaikka itse asiassa he itse ovat osa tätä liikenneruuhkaa. Emme voi muuta kuin odottaa, että tämä loppuu itsestään.

    DDoS-suojaus yritysverkolle

    Jos palveluntarjoajasi ei tarjoa palvelua DDoS-hyökkäysten estämiseksi, sinulla on mahdollisuus pyytää jotakuta toista tekemään se, mutta palveluntarjoajaa vaihtamatta. Analysoimme tätä palvelua Antiddos-yrityksen () esimerkillä. Vaikka olet parhaillaan hyökkäyksen kohteena, voit nopeasti estää sen käyttämällä Antiddos-palvelua jollakin seuraavista vaihtoehdoista.

    DNS-uudelleenohjaus ja välityspalvelimen käyttö

    Voit rekisteröidä yrityksen verkon IP-osoitteet DNS:ään. Oletetaan, että WEB-palvelimesi on Antiddosin IP-osoitteissa. Tämän seurauksena hyökkäys ohjataan heidän verkkoonsa, DDoS-liikenne katkaistaan ​​ja tarvittava liikenne WEB-sivustoltasi toimitetaan kaikille asiakkaille käänteisen välityspalvelimen avulla. Tämä vaihtoehto sopii erittäin hyvin verkkopankeille, verkkokaupoille, online-kasinoille tai sähköisille aikakauslehdille. Lisäksi välityspalvelimen avulla voit tallentaa tietoja välimuistiin.

    BGP-reitit ja GRE-tunnelit

    Voit ehkä kertoa BGP-reititysprotokollan avulla koko Internetille, että verkkosi sijaitsee verkkosivustolla ja kaikki liikenne ohjataan heille, missä se puhdistetaan haitallisesta sisällöstä. Puhdas liikenne ohjataan sinulle GRE-protokollalla, joka siirtää tiedot verkkoosi ikään kuin DDoS-hyökkäystä ei olisi. Ja verkostasi vastaat sinulle tulleisiin paketteihin tavalliseen tapaan, koska kanavasi ei enää ole ylikuormitettu.

    Suora yhteys sivustoon

    Voit muodostaa yhteyden suoraan verkkoosi ja olla aina heidän alla, mutta ilmeisistä syistä tämä ei ole aina mahdollista... Ja DDoS-hyökkäyksen suorittaminen sinua vastaan ​​tulee olemaan vaikeaa.

    Yrityksemme suojaa DDoS-hyökkäyksiä vastaan ​​ainutlaatuisilla tekniikoillaan. Emme käytä aktiivista puolustusta. Koko infrastruktuurimme on rakennettu oman suunnittelemamme ohjelmisto- ja laitteistokompleksille, jonka avulla voimme joustavasti räätälöidä suojausjärjestelmän asiakkaan tarpeiden mukaan ja myös torjua voimakkaita hyökkäyksiä.

    Palvelu Akamailta

    Suuret yritykset, kuten IBM, Microsoft, Apple, Sony, AMD, BMW, Toyota, FedEx, NASA, NBA, MTV suojaavat WEB-sivustojaan DDoS-hyökkäyksiltä Akamai-palvelun (www.akamai.com) avulla. DDoS-suojaus on kuitenkin vain yksi Akamai-palvelun ominaisuuksista. Tämän palvelun avulla yritykset voivat peilata sivustojaan tuhansissa eri paikoissa ympäri maailmaa, mikä takaa 100 %:n käytettävyyden kaikkina aikoina. Tyypillisesti peilit sisältävät multimediadataa, kuten videota, ääntä ja grafiikkaa. Akamai käyttää matemaattisia algoritmeja WEB-palvelimien maailmanlaajuisen ylikuormituksen ongelmien ratkaisemiseen. Nämä algoritmit kehitettiin Massachusetts Institute of Technologyssa (MIT). Ja juuri heidän ansiostaan ​​Akamai varmistaa nopean ja luotettavan sisällön toimituksen Internetin käyttäjille. Yrityksen kohtalossa on myös surullinen tosiasia: yksi Akamain perustajista, Daniel Levin, kuoli yrittäessään pysäyttää terroristeja yhdessä Yhdysvalloissa 11. syyskuuta 2001 kaapatussa lentokoneessa.

    Esimerkki 6.

    Mutta jopa Akamai oli kerran poissa toiminnasta tunnin vuonna 2004. He sanovat, että se oli hyökkäys DNS:ää vastaan, mutta tämä on myös yksi synkistä tarinoista. Lue lisää täältä www.washingtonpost.com/wp-dyn/articles/A44688-2004Jun15.html

    Suojaus DDoS-hyökkäyksiä vastaan ​​palveluntarjoajille

    Normaalitilanteessa on mahdotonta erottaa bot-liikennettä todellisesta käyttäjäliikenteestä: nämä ovat ilmeisesti täsmälleen samoja pyyntöjä eri lähdeosoitteista. 99 % näistä lähdeosoitteista voi olla botteja, ja vain 1 % voi olla oikeita ihmisiä, jotka haluavat käyttää sivustoasi. Ja tässä syntyy täysin odotettu ratkaisu: sinulla on vain oltava luettelo näistä zombeista ja estettävä ne. Mutta kuinka kerätä tällainen globaali luettelo, koska se vaikuttaa koko maailmaan? Ja kuten käy ilmi, tämä on meille alkeellista.

    On kaupallisia yrityksiä, jotka keräävät jatkuvasti osoitteita, joissa on tartunnan saaneita tietokoneita. Jäljelle jää vain kuljettaa liikenne suodattimen läpi, joka katkaisee tarpeettomat pyynnöt ja jättää tarvittavat. Tässä suodatin voi olla joko palomuuri, johon on asennettu uusi suodatuskäytäntö tai reititin, jolle on lähetetty uusi pääsylista, mutta tehokkain on erityisten estotoimintojen käyttö. On aika nimetä tällaisten valmistajien nimet (aakkosjärjestyksessä):

    Arbor (www.arbornetworks.com/en/threat-management-system.html)
    Cisco (www.cisco.com/en/US/products/ps5888/index.html)
    CloudShield (www.cloudshield.com/Products/cs2000.asp)
    Narus (www.narus.com/products/index.html)

    Arbor kerää luetteloita botnet-osoitteista (http://atlas.arbor.net/summary/botnets), joita käytetään Arborin ja sen kumppaneiden tuotteissa. Tällaisia ​​osoiteluetteloita päivitetään jatkuvasti 15 minuutin välein ja niitä käytetään esimerkiksi tunnistamaan suojattujen työasemien yhteys bot-verkkoihin IBM Proventia Anomaly Detection System -tuotteessa. Ensimmäisessä tapauksessa palveluntarjoajat käyttävät Peakflow SP -tekniikkaa, toisessa yritysverkot käyttävät Peakflow X -tekniikkaa. Suojausjärjestelmien valmistajien laitteet eroavat toisistaan ​​ensisijaisesti niiden toimintanopeuksien ja samanaikaisesti suojattujen asiakkaiden lukumäärän suhteen. Jos tiedonsiirtokanavasi käyttävät tai suunnittelet useampaa kuin yhtä 10 Gbit yhteyttä, sinun tulee miettiä, minkä valmistajan valitset. Lisäksi valmistajat eroavat erilaisista lisäominaisuuksista, hyökkäyksen havaitsemiseen ja suojauksen käyttöönottoon vaadittavasta ajasta, suorituskyvystä ja muista parametreista.

    Automaatio vs. älykkyys

    Siinä tapauksessa, että hyökkäys ei kohdistu palvelimeen, vaan kanavan ylivuotoon, botit korvaavat minkä tahansa osoitteen lähdeosoitteena ja liikenne näyttää jonkinlaisen datan virtaukselta kaikista Internet-osoitteista kaikkiin hyökkäyksen kohteena olevan verkon osoitteisiin. . Tämä on vaikein hyökkäystyyppi.

    Esimerkki 7: ISP:n hyökkäys

    30.-31. toukokuuta 2007 Pietarin toimittaja Infobox joutui massiivisen DDoS-hyökkäyksen kohteeksi - jopa 2 Gt sekunnissa. Hyökkäys tehtiin kymmenistä tuhansista osoitteista eri puolilla maailmaa, mukaan lukien Venäjältä, Koreasta, Arabiemiirikunnista ja Kiinasta. DNS-palvelimia vastaan ​​hyökättiin. Tämän seurauksena useimmat kanavat olivat ylikuormitettuja. Verkkosivusto, palveluntarjoajan isännöimät palvelimet ja postilaatikot olivat kokonaan tai osittain poissa käytöstä. Tekninen tuki sanoi: " Yritämme minimoida hyökkäyksen aiheuttamat vahingot, mutta tämä on melko ongelmallista ja voi aiheuttaa haittoja joillekin asiakkaille (estää pääsyn suurten palveluntarjoajien verkoista)". Infoboxin toimitusjohtajan Aleksei Bakhtiarovin mukaan hyökkäys tehtiin kymmenistä tuhansista osoitteista ympäri maailmaa.

    Monet suositut resurssit ovat alttiina DDoS-hyökkäyksille tarkoitukseen tai toiseen.

    Jos omistat suosittuja tai nopeasti kasvavia resursseja, sinun tulee ajatella aivolapsesi turvallisuutta.

    Tänään kerromme sinulle, mitä DoS- ja DDoS-hyökkäykset ovat, miten jälkimmäiset suoritetaan ja mikä tehokas suoja niitä vastaan ​​on.

    Sisällys:

    Konsepti

    Kaikki koululaiset tuntevat DDoS-hyökkäysten olemuksen, he eivät halua kuunnella opettajan säännöllisiä raivoamista aiheesta ja alkavat pommittaa häntä kysymyksillä.

    Tämän seurauksena opettaja luovutti aloittamatta uutta aihetta. DoS ei eroa paljon tästä perusjärjestelmästä.

    DDoS on hakkerihyökkäys palvelimiin, joka käsittelee käyttäjien pyyntöjä (verkkosivuston vierailijoita) luodakseen olosuhteet, joissa se ei enää kestä kuormitusta.

    Toisin sanoen hyökkääjien toimenpiteiden tarkoituksena on tehdä palvelimen resursseista riittämätön käsittelemään käyttäjien pyyntöjä tai vaikeuttaa sitä.

    Useimmiten tällä tehdään taloudellista vahinkoa: seisokit aiheuttavat kustannuksia, järjestelmän palauttaminen ja suojaaminen vaatii myös taloudellisia ja muita resursseja.

    Kuinka järjestää

    DDoS eroaa DoS:stä siinä, että ei-toivottua resurssia vastaan ​​hyökkäävät monet tietokoneet, sekä tästä kiinnostuneet vapaaehtoiset että virustartunnan saaneet.

    Toisessa tapauksessa PC-omistajat eivät aina arvaa, mitä heidän koneensa tekee tällä hetkellä.

    Valmisteluvaiheessa pahantahtoiset etsivät haavoittuvuuksia, ja tunnistettuaan heikkoja kohtia ja saaneet tiettyjä etuja he jakavat ohjelman taustalla toimivan.

    Se odottaa vuoroaan ja lähetettyään tietyn komennon se yhdistää käyttäjän tietokoneen laajamittaiseen hyökkäykseen. Tätä PC:tä kutsutaan zombiksi.

    Jos sinulla on riittävästi resursseja, voit "poistaa" lähes minkä tahansa suojaamattoman sivuston tällä tavalla jättämättä jälkeensä paljon todisteita, mikä vähentää rangaistuksen todennäköisyyden käytännössä nollaan.

    Kukaan ei missään voi suojata DDoS:lta 100%, koska jokaisella on omat puutteensa ja ne voidaan hakkeroida.

    Ja inhimillinen tekijä on tässä tapauksessa kaukana toissijaisesta roolista: laitteiden ja ohjelmistojen oikea konfigurointi on avain onnistuneeseen työhön.

    Kuten sairauksia, on parempi ehkäistä niitä kuin taistella niitä itse ja päästä eroon seurauksista. Tämä tehdään ohjelmiston, laitteiston ja organisaation tavoilla, joita harkitsemme, mutta ensin tutustumme yleisimpiin DDoS-sitoutumisen syihin ja niiden lajikkeisiin.

    Toinen ja vähemmän yleinen algoritmi on kutsua vapaaehtoisia osallistumaan massiiviseen pyyntöjen lähettämiseen tietylle palvelimelle erityisohjelmiston kautta.

    Kolmas tyyppi tällaisesta kyberrikollisesta toiminnasta on linkkien sijoittaminen kohderesurssiin suuriin portaaleihin (uutiset). Käyttäjien nopean tulvan vuoksi palvelin ei kestä kuormitusta ja kaatuu.

    Lisäksi sivuston omistaja voi itse provosoida ongelman mainostamalla sitä aktiivisesti vierailluissa portaaleissa.

    Syitä

    Tietoturvaasiantuntijat tunnistavat useita DDoS:n provosoivia tekijöitä:

    • Itsekoulutus, viihde - aloittelevat hakkerit voivat yrittää vahingoittaa pientä resurssia harjoitellakseen DDoS:n järjestämistä tai testatakseen vahvuuttaan käytännössä.
    • Henkilökohtaiset motiivit - voivat olla kosto jollekin tai jollekin organisaatiolle, esimerkiksi hakkeriryhmiin tehtyjen ratsioiden jälkeen, amerikkalaisen tiedustelupalvelun FBI:n ja joidenkin ministeriöiden verkkosivustot eivät toimineet useisiin viikkoihin.

    Suuren ukrainalaisen tiedostojen isännöintipalvelun ex.ua estämisen seuraukset olivat samanlaiset.

    • Poliittinen toiminta, protesti esimerkiksi merirosvoresurssien sulkemista vastaan.
    • Epäreilu kilpailu – kun sivusto ei toimi, on mahdollista, että osa sen vierailijoista siirtyy kilpailijalle.

    Esimerkiksi Venäjän pankkeihin ja valtion virastoihin kohdistuneiden hyökkäysten määrä on lisääntynyt viimeisen kahden vuoden aikana luottamuksen heikentämiseksi niitä kohtaan.Helmikuussa 2017 massiivinen hyökkäys terveysministeriön ajoneuvoihin ja.

    • Taloudellinen hyöty – hyökkääjä vaatii verkkoresurssin omistajalta tiettyä etua, yleensä taloudellista. EzBTC- ja RedDoor-ryhmät tunnetaan tällaisista toimista.
    Lajikkeet

    Järjestelmän saattaminen toimimattomaksi tietyksi ajaksi on paljon helpompaa, nopeampaa ja halvempaa kuin hakkerointi. On olemassa useita tapoja vaikeuttaa käyttäjien pääsyä verkkosivustolle.

    Internet-kanavan ylivuoto tai tulva.

    Yleisin algoritmi on varata koko leveys, jotta käyttäjien pyynnöt eivät pääse palvelimelle tai ainakaan se käsittelee niitä. Tätä tarkoitusta varten kirjoitetaan erityisiä sovelluksia. Ne avaavat suuren määrän vääriä yhteyksiä, joiden määrä saavuttaa palvelimen tukeman enimmäismäärän, tai lähettävät valtavia määriä vääriä pyyntöjä.

    SYN-tulva – järjestelmän laskentaominaisuuksien ylikuormittaminen väärillä pyynnöillä. Kun yhteys on muodostettu, järjestelmä varaa jokaiselle pyynnölle tietyn määrän fyysisiä palvelinresursseja.

    Hyökkääjä lähettää paketin uhrille odottamatta vastausta ja lähettää sitten datapaketin uudelleen. Niiden käsittely kestää kauemmin kuin IP-osoitteen vaihtaminen ja uuden lähettäminen. Tämä kuluttaa loppuun palvelimen fyysiset resurssit.

    Laitteistoresurssien sieppaus on samanlaista kuin edellisessä tilassa, sen tavoitteena on ladata uhrin keskusprosessori 100%.

    HTTP:tä ja ping-tulvaa käytetään hyökkäämään palvelimiin, joilla on suhteellisen pieni kaistanleveys, kun hakkerin Internet-nopeus on vain suuruusluokkaa pienempi kuin uhrin tai jopa enemmän.

    Kaava on seuraava: hyökkääjä lähettää pienen paketin, jonka sisältö on useita suuruusluokkaa suurempi. IP-osoitteen vaihtamisen jälkeen prosessi jatkuu, kunnes se epäonnistuu.

    Smurffin hyökkäys. Vakavin algoritmi, joka johtuu suuresta todennäköisyydestä, että palvelu hyökkäyksen kohteena olevalle koneelle estetään.

    Vihollinen käyttää lähetystä. Väärennetyn paketin lähettämisen jälkeen kyberrikollinen muuttaa IP-osoitteensa hyökätyn järjestelmän osoitteeksi, minkä vuoksi se lähettää vastauspaketteja itselleen. Kun hyökkääjien määrä kasvaa, palvelin ei yksinkertaisesti pysty käsittelemään itselleen lähetettyjä pyyntöjä.

    UDP-tulva – Kaikukomennot lähetetään uhrille, hyökkääjän IP-osoite muutetaan hyökkääjän osoitteeksi, joka pakotetaan hyväksymään suuri määrä omia pyyntöjään ja niin edelleen, kunnes koko kaistanleveys on täynnä vääriä vastauksia.

    Ylikuormitetaan laskentatehoa - lähetetään pyyntöjä, jotka vaativat paljon käsittelyä. Kun suorittimen kuormitus on 100 %, käyttäjät eivät voi käyttää sivustoa.

    HDD täynnä lokitiedostoja. Puhuimme järjestelmänvalvojan pätevyyden vaikutuksesta mahdollisuuteen suorittaa hyökkäys hänen palvelimiinsa palvelimiin. Jos kokematon henkilö ei aseta tiettyjä rajoituksia lokitiedoston koolle tai siinä olevien merkintöjen määrälle, se vie kaiken levytilan ja kaataa palvelimen.

    Koodivirheitä. Ammattilaiset eivät taipu pyyntöjen lähettämisen tasolle, he tutkivat huolellisesti uhrin järjestelmää ja kirjoittavat hyväksikäyttöä - pieniä ohjelmia, jotka mahdollistavat järjestelmän aukkojen käytön juuri näiden sovellusten kehittäjien tarkoituksiin. Useimmissa tapauksissa tällainen koodi provosoi kutsun olemattomaan tilaan tai virheelliseen funktioon.

    Välimuistihyökkäykset – DNS-palvelimen IP-osoitteen huijaus uhrin osoitteeseen. Pyyntö ei johda hyökkäyksen kohteena olevan resurssin sivulle, vaan hyökkääjän verkkosivustolle. Jos zombie-tietokoneita on valtava määrä, ne ovat täynnä pyyntöjä, minkä vuoksi se ei pysty muuttamaan IP-osoitteita verkkotunnuksiksi.

    Oikealla kokoonpanollaDNS onnistuneen hyökkäyksen todennäköisyys putoaa nollaan.

    Taso 7 - palvelimen on lähetettävä pyyntöön raskas paketti, esimerkiksi arkisto tai .

    Tietoverkkorikosten, kuten vDOS:n, toteuttamiseen on maksullisia resursseja.

    Se tarjoaa palveluita kaikille kysymättä käyttäjätunnusta ja palvelun käyttötarkoitusta.

    Kuten näet, hyökkäyksen suorittamiseen on monia tapoja, mutta jos sinulla on asianmukaiset suodattimet, jotka erottavat väärät pyynnöt todellisista, ja pätevä henkilökunta, tämä todennäköisyys pienenee huomattavasti.

    Selvitetään, miten tämä tehdään.

    DDos:n määrittäminen

    Useimmissa tilanteissa on erittäin vaikeaa havaita hyökkäystä, vaikka se olisi mahdollista, varsinkin sen ensimmäisinä tunteina.

    Monet uhrit huomasivat väärien pyyntöjen tunkeutumisen palvelimilleen muutama päivä onnistuneen hyökkäyksen jälkeen tai pari viikkoa sen päättymisen jälkeen, kun uhri sai tilastot tai laskun kanavan merkittävästä laajennuksesta.

    Rikoksen havaitsemiseksi ajoissa on tiedettävä tarkasti hyökkäyksen tyyppi ja algoritmi, minkä jälkeen tutkimme niitä, vaikkakin hyvin lyhyesti.

    Tavallinen käyttäjä ei todennäköisesti pysty tekemään mitään ilman pätevän tietoturvaasiantuntijan apua.

    Tällaiset ihmiset auttavat sinua suorittamaan muutaman manipuloinnin asetuksissa hyökkäyksen torjumiseksi. Niiden tunnistamiskeinot jakautuvat useisiin luokkiin:

    • tilastot – tutkimus resurssien käyttäjien toiminnasta;
    • allekirjoitukset – saapuvan ja lähtevän liikenteen laadullinen analyysi;
    • ensimmäisen ja toisen yhdistelmä.
    Suojaus: yleiset käsitteet

    Hyökkäysten estäminen ja rikollisten torjunta suoritetaan laitteiden ja ohjelmistojen oikein konfiguroimalla, mutta ne säästävät sinut vain heikoilta hyökkäyksiltä.

    Ja silloinkin ne vain vähentävät hyökkäyksen tehokkuutta. Ohjelmistokoodin aukkojen sulkeminen on tehokkaampi keino taistelussa zombietietokoneita ja botnet-verkkoja vastaan.

    Älä missään tapauksessa jätä sitä myöhemmäksi.

    Selvitetään, mihin toimenpiteisiin tulisi ryhtyä palvelimen käynnistämisen, verkon luomisen ja ohjelmistojen konfiguroinnin yhteydessä, jotta vältytään uhrin roolilta.

    Ansaitsemme aikaa

    Rikoksen tyypistä riippuen on olemassa erilaisia ​​algoritmeja palvelun keskeytysten estämiseen.

    • HTTP-tulvan estämiseksi lisäämme samanaikaisten yhteyksien määrää tietokantaan, ja jos hyökkäys kehittyy, nollaamme nämä yhteydet.
    • ICMP tulva – poista vastaukset ICMP ECHO -pyyntöihin käytöstä.
    • UDP-tulva – poistamme myös tämäntyyppiset pyynnöt käytöstä tai rajoitamme niiden sallittua määrää.
    • SYN-tulva – jos sen läsnäolo havaitaan, pienennämme puoliavoin TCP-yhteyksien jonoa 1-3:een.

    Jos sinulla on tarvittavat taidot, nämä toimet heikentävät vain väliaikaisesti hyökkääjien ponnisteluja, joita tarvitaan yhteydenottoon Internet-palveluntarjoajaan.

    • Ohjelmiston oikea-aikainen päivitys palvelimelle ja sivustomoottorille.
    • On olemassa suunnitelma reagoida hätätilanteeseen.
    • DDoS:n todennäköisyyden huomioiminen ohjelmakoodin kirjoitus/tilausvaiheessa ja sen perusteellinen testaus.
    • Hallintarajapinnan puuttuminen ulkoisesta verkosta.
    • Penetraatiotestien toiminta ja kriittiset ongelmat OWASP Top 10 -haavoittuvuus.
    • Jos laitteistosuojausta ei ole saatavilla, tarjoa tilausohjelmiston suojauspalvelu tekemällä muutoksia reititysmalliin.
    • CDN-sisällönjakeluverkkojen toiminta. Niiden avulla voit jakaa liikennettä useiden palvelimien välillä ajoituksen vähentämiseksi ja pääsynopeuden lisäämiseksi.
    • Web-sovellusten palomuurin asentaminen verkkosovelluksiin, joka valvoo sivustolle tulevaa liikennettä ja varmistaa sen aitouden, mikä todennäköisesti poistaa väärät pyynnöt.
    • Emme käytä Apachea. Kun käytät Apachea, asenna nginx-välimuistipalvelin, mutta se ei pelasta sinua Slowlorisista, vaarallisimmasta DDoS-menetelmästä. On parempi pysyä suojatussa HTTPS-palvelimessa.
    • Vaikutus ongelman lähteeseen. Jos tunnet rikoksentekijän, pakota hänet lopettamaan laittomat toimet lainsäädännön tai muiden painostuskeinojen avulla. Tätä varten on jopa erikoisyrityksiä.
    DNS-suojaus

    Sen toiminta perustuu siihen, että useimmissa boteissa ei ole uudelleenohjaustoimintoa eivätkä ne käytä evästeitä.

    Vaikka ne ovat viime aikoina kehittyneet, ja siksi tällaisten ohjelmien torjunnasta on tulossa vaikeampaa.

    Moduuli valvoo roskapyyntöjä, koska botin rungossa ei melkein koskaan (mutta tapaukset yleistyvät) ei ole JavaScript-moottoria. Siitä tulee suodatin Layer 7 -hyökkäyksen sattuessa.

    Moduuli tarkistaa:

    • Onko botti todella se selain, jonka se väittää olevansa:
    • tukeeko se todella JS:ää;
    • Tietääkö hän miten ohjata?

    Varmistusmenetelmiä on useita ja ne kaikki käyttävät evästeitä, jotka uusimmassa versiossa myös tarvittaessa salataan AES-128:lla. Se voidaan asentaa myös kautta, jota botit eivät tue.

    Jälkimmäinen ominaisuus estää myös monet kävijät, jotka eivät käytä Flashia, mutta hyökkäyksen ajaksi pieni asiakkaiden menetys ei ole niin iso hinta maksettavaksi.

    Työkalu on ilmainen, ja sen mukana tulee konfiguraatiotiedostoja eri käyttötapauksiin.

    Testcookien haitat ovat:

    • estää kaikki robotit, mukaan lukien Googlebot (ainakin nykyisessä muodossaan), mikä tekee sen jatkuvan käytön mahdottomaksi;
    • tuottaa haittaa käyttäjille, joilla on harvinaisia ​​Internet-selaimia, kuten linkkejä;
    • ei suojaa edistyneiltä roboteilta, joilla on .
    Ominaisuudet tilapäisesti käytöstä

    Hakkerit keskittyvät pääasiassa sivuston vaikeimpiin osiin (suuria resursseja varten), kuten sisäänrakennettu haku. Jos käytät tätä vahinkomenetelmää, sammuta haku hetkeksi.

    Vaikka asiakkaat kokevatkin jonkin verran hankaluuksia, suurin osa heistä palaa varmasti takaisin, kun ongelma on ratkaistu. Lisäksi heille voidaan ilmoittaa ongelmasta.

    Maantieteellinen sijainti

    Nykyaikaisten verkkosivustojen avulla voit suodattaa käyttäjät maantieteellisten ominaisuuksien perusteella.

    Jos monet kiinalaiset ovat vierailleet verkkokaupassasi tai kaupungin uutisportaalissasi viime päivinä tai tunteina, voit yrittää estää heidän pääsynsä. Nämä ovat todennäköisesti botteja.

    Geotunnisteiden, käyttäjäkiellojen ja muiden puutteiden määrittämisen tarkkuus on tilapäinen maksu sivuston toimivuudesta tulevaisuudessa.

    Virheen korjaaja

    Xdebug-profilerin avulla voit nähdä raskaat kyselyt.

    Integroitu debuggeri tunnistaa tästä vastuussa olevan koodin, ja taitavat kädet ja selkeä pää helpottavat monimutkaisia ​​tietokantakyselyitä, jos tämä on ongelma.

    Epäilyttävän liikenteen estäminen

    Käytämme palomuuria tai ACL-luetteloita epäilyttävän liikenteen estämiseen.

    Tällainen ohjelmisto pystyy estämään pääsyn sivustolle tiettyjen pyyntöluokkien osalta, mutta se ei pysty erottamaan todellista liikennettä "huonosta" liikenteestä.

    Käänteinen DDoS-hyökkäys

    Jos tehoa ja kaistanleveyttä on riittävästi, voidaan suorittaa prosessi ohjata saapuva liikenne hyökkäyksen kohteena olevalta palvelimelta takaisin hyökkääjälle.

    Usein tämän prosessin avulla voit pysäyttää hyökkäykset ja jopa ladata hyökkääjän palvelimen ennen kuin se kaatuu.

    Lisää tästä aiheesta:

    Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
    Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
    Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä