Massiiviset ddos-hyökkäykset. DDoS-hyökkäys - mikä se on? DDoS-hyökkäysohjelma. Ohjelmiston haavoittuvuuksien hyväksikäytön torjuntamenetelmät

FSB tutkii rikosasiaa, joka koskee IoT:tä (Internet of Things) käyttävää massiivista hakkerihyökkäystä finanssialan laitoksiin syksyllä 2016, jonka kohteena olivat Sberbank, Rosbank, Alfa-Bank, Bank of Moscow, Moskovan pörssi ja muut .

Kuten Kommersant kirjoittaa, FSB:n apulaisjohtaja Dmitri Shalkov puhui tästä puhuessaan duumassa Venäjän federaation kriittisen tietoinfrastruktuurin (CII) turvallisuutta koskevan hallituksen lakiehdotuksen esittelyssä.

Vuonna 2016 Venäjän virallisiin tietoresursseihin tallennettiin noin 70 miljoonaa DDoS-hyökkäystä, mikä on kolme kertaa enemmän kuin vuotta aiemmin. Marraskuun hakkerihyökkäykset ovat kuitenkin erilaisia ​​kuin useimmat, Shalkov huomautti.

Hänen mukaansa 8.11.-14.11. välisenä aikana tehtiin keskitehoisia DDoS-hyökkäyksiä kahdeksaan organisaatioon. Niissä käytettiin niin sanottuja botnet-verkkoja (hakkereiden hakkeroituja ja ottamaan haltuun Internet-yhteyttä käyttäviä tietokoneita), jotka käyttivät verkkoon kytkettyjä IoT-laitteita ja erityisesti verkkokameroita. FSB:n apulaisjohtaja pani merkille Venäjän rakenteisiin kohdistuvan koordinoidun hyökkäyksen samankaltaisuuden kuin Yhdysvalloissa lokakuun kuuden tunnin hyökkäys, joka oli suunnattu Internet-palveluntarjoajan Dynin palveluita vastaan, minkä seurauksena monet suuret amerikkalaiset resurssit ( Twitter, CNN, Spotify, The New York Times ja Reddit) tuhoutuivat pitkään, eivät olleet käytettävissä.

Hyökkäyksiin ei kuitenkaan liittynyt varojen varastamista, eivätkä hyökkäyksen kohteeksi joutuneet pankit havainneet palveluissaan häiriöitä. Marraskuun iskujen jälkeen tällaiset tapaukset eivät toistuneet, Venäjän keskuspankki raportoi.

Kommersant huomauttaa, että DDoS-hyökkäykset eivät itsessään ole tarkoitettu rahan varastamiseen, vaan niitä käytetään pääsääntöisesti verkkosivustojen ja verkkopankkipalvelujen estämiseen. Gleb Cherbov, Digital Securityn tietoturva-auditointiosaston apulaisjohtaja, selitti, että "hyökkääjien hallitsemat laitteet ja palvelimet on yhdistetty botneteihin, jotka ovat valmiita luomaan verkkoliikennettä, joka saa kohtalokkaat mittasuhteet hyökkäyksen kohteena olevalle järjestelmälle." Massiiviset DDoS-hyökkäykset voivat kuitenkin aiheuttaa vakavia tappioita pankeille. Esimerkiksi palvelujen epäkäytettävyys voi aiheuttaa paniikkia tallettajien keskuudessa, jotka alkavat nostaa talletuksia massalla. Lisäksi massiivisia DDoS-hyökkäyksiä käytetään usein muun toiminnan peittämiseen. Erityisesti samalla kun tietoturvaasiantuntijat korjaavat haavoittuvuutta, hyökkääjät voivat tunkeutua pankkiinfrastruktuuriin.

Julkaisun mukaan FSB:n marraskuussa 2016 aloittama rikosasia hakkerihyökkäyksistä tarkoittaa, että epäillyt on jo tunnistettu tutkinnassa. Tutkinta käsittelee tällaisia ​​tapauksia vähintään kuuden kuukauden ajan, mutta todellisuudessa ajanjakso kestää kahdesta kolmeen vuotta, julkaisun lähde huomauttaa.

Ketä vastaan ​​hyökätään?

Keskuspankin mukaan vuonna 2016 venäläisten rahoituslaitosten määrä lähes kaksinkertaistui. Marraskuussa DDoS-hyökkäykset kohdistuivat viiteen suureen venäläiseen pankkiin. Viime vuoden lopussa keskuspankki raportoi DDoS-hyökkäyksistä rahoitusorganisaatioita, mukaan lukien keskuspankkia, vastaan. – Hyökkäysten tarkoituksena oli häiritä palveluita ja sen seurauksena heikentää luottamusta näihin organisaatioihin. Nämä hyökkäykset olivat merkittäviä, koska se oli ensimmäinen laajamittainen esineiden internetin käyttö Venäjällä. Hyökkäys koski pääasiassa Internet-videokameroita ja kotitalouksien reitittimiä, suurten pankkien turvallisuuspalvelut totesivat.

Samaan aikaan DDoS-hyökkäykset eivät aiheuttaneet merkittäviä vahinkoja pankeille - ne ovat hyvin suojattuja, joten tällaiset hyökkäykset, vaikka ne aiheuttivat ongelmia, eivät olleet kriittisiä eivätkä häirinneet yhtä palvelua. Voidaan kuitenkin todeta, että hakkereiden pankkien vastainen toiminta on lisääntynyt merkittävästi.

Helmikuussa 2017 Venäjän terveysministeriön tekniset palvelut torjuivat viime vuosien suurimman DDoS-hyökkäyksen, joka oli huipussaan 4 miljoonaa pyyntöä minuutissa. Hallituksen rekistereihin on myös tehty DDoS-hyökkäyksiä, mutta ne eivät myöskään ole onnistuneet eivätkä johtaneet mihinkään muutoksiin tiedoissa.

Kuitenkin monet organisaatiot ja yritykset, joilla ei ole niin tehokkaita "puolustuksia", joutuvat DDoS-hyökkäysten uhreiksi. Vuonna 2017 kyberuhkien – kiristysohjelmat, DDoS ja esineiden internet-laitteisiin kohdistuvat hyökkäykset – aiheuttamien vahinkojen odotetaan lisääntyvän.


IoT-laitteet ovat yhä suositumpia työkaluina DDoS-hyökkäysten suorittamiseen. Merkittävä tapahtuma oli syyskuussa 2016 käynnistetty DDoS-hyökkäys Mirai-haittakoodilla. Siinä sadat tuhannet kamerat ja muut videovalvontajärjestelmien laitteet toimivat hyökkäyskeinoina.

Se toteutettiin ranskalaista hosting-palvelujen tarjoajaa OVH:ta vastaan. Se oli voimakas DDoS-hyökkäys - melkein 1 Tbit/s. Hakkerit käyttivät botnet-verkkoa hyödyntääkseen 150 tuhatta IoT-laitetta, enimmäkseen CCTV-kameroita. Mirai-botnet-hyökkäykset ovat synnyttäneet monia IoT-laitteiden bottiverkkoja. Asiantuntijoiden mukaan vuonna 2017 IoT-botnetit ovat edelleen yksi kyberavaruuden suurimmista uhista.


Vuoden 2016 Verizonin tietomurtotapahtumaraportin (DBIR) mukaan DDoS-hyökkäysten määrä kasvoi merkittävästi viime vuonna. Maailmassa viihdeteollisuus, ammattijärjestöt, koulutus, IT ja vähittäiskauppa kärsivät eniten.

Merkittävä trendi DDoS-hyökkäyksissä on "uhriluettelon" laajentuminen. Siihen kuuluu nyt edustajia lähes kaikilta toimialoilta. Lisäksi hyökkäysmenetelmiä parannetaan.
Nexusguardin mukaan vuoden 2016 lopussa useaa haavoittuvuutta käyttävien sekatyyppisten DDoS-hyökkäysten määrä kasvoi huomattavasti. Useimmiten rahoitus- ja valtionjärjestöt joutuivat niiden kohteeksi. Kyberrikollisten päämotiivina (70 % tapauksista) on tietojen varastaminen tai sen tuhoamisen uhkaus lunnaita vastaan. Harvemmin poliittisia tai sosiaalisia tavoitteita. Tästä syystä puolustusstrategia on tärkeä. Se voi valmistautua hyökkäykseen ja minimoida sen seuraukset vähentäen taloudellisia ja maineeseen liittyviä riskejä.

Hyökkäysten seuraukset

Mitkä ovat DDoS-hyökkäyksen seuraukset? Hyökkäyksen aikana uhri menettää asiakkaita hitaan toiminnan tai sivuston täydellisen epäkäytettävyyden vuoksi, ja yrityksen maine kärsii. Palveluntarjoaja voi estää uhrin IP-osoitteen minimoikseen muille asiakkaille aiheutuvat vahingot. Kaiken palauttaminen vie aikaa ja mahdollisesti rahaa.
Yhtiön tutkimuksen mukaan puolet organisaatioista pitää DDoS-hyökkäykset yhtenä vakavimmista kyberuhkista. DDoS:n vaara on jopa suurempi kuin luvattoman käytön, virusten, petosten ja tietojenkalastelun vaara, muista uhista puhumattakaan.

DDoS-hyökkäysten aiheuttamat keskimääräiset tappiot ovat maailmanlaajuisesti arviolta 50 000 dollaria pienille organisaatioille ja lähes 500 000 dollaria suurille yrityksille. DDoS-hyökkäyksen seurausten poistaminen vaatii henkilöstön lisäaikaa, resurssien ohjaamista muista projekteista turvallisuuden varmistamiseksi, ohjelmistopäivityssuunnitelman laatimista, laitteiden modernisointia jne.


Hyökkäyksen kohteena olevan organisaation maine voi kärsiä paitsi verkkosivuston huonon suorituskyvyn vuoksi myös henkilötietojen tai taloudellisten tietojen varkauksista.
Yritystutkimuksen mukaan DDoS-hyökkäysten määrä kasvaa vuosittain 200 % maailmassa. Viikon mittaisen DDoS-hyökkäyksen järjestäminen maksaa vain noin 150 dollaria, ja uhrin tappiot ylittävät keskimäärin 40 000 dollaria tunnissa.

DDoS-hyökkäystyypit

DDoS-hyökkäysten päätyypit ovat massiiviset hyökkäykset, protokollatason hyökkäykset ja sovellustason hyökkäykset. Joka tapauksessa tavoitteena on poistaa sivusto käytöstä tai varastaa tietoja. Toinen kyberrikollisuuden tyyppi on DDoS-hyökkäyksen uhka lunnaiden saamiseksi. Sellaiset hakkeriryhmät kuten Armada Collective, Lizard Squad, RedDoor ja ezBTC ovat kuuluisia tästä.

DDoS-hyökkäysten järjestäminen on yksinkertaistunut huomattavasti: nyt on laajalti saatavilla automatisoituja työkaluja, jotka eivät käytännössä vaadi kyberrikollisilta erityisosaamista. On myös maksullisia DDoS-palveluita anonyymisti kohteen hyökkäämisestä. Esimerkiksi vDOS-palvelu tarjoaa palvelujaan tarkistamatta, onko asiakas sivuston omistaja, joka haluaa testata sitä "kuormitettuna" vai tehdäänkö tämä hyökkäystarkoituksessa.


DDoS-hyökkäykset ovat usean lähteen hyökkäyksiä, jotka estävät laillisia käyttäjiä pääsemästä kohdesivustolle. Tätä varten hyökkäyksen kohteena olevalle järjestelmälle lähetetään valtava määrä pyyntöjä, joita se ei pysty käsittelemään. Tyypillisesti tähän tarkoitukseen käytetään vaarantuneita järjestelmiä.

DDoS-hyökkäysten määrän vuosikasvuksi arvioidaan (tietojen mukaan) 50 %, mutta eri lähteistä peräisin olevat tiedot vaihtelevat, eivätkä kaikki tapaukset tule tiedoksi. Layer 3/4 DDoS-hyökkäysten keskimääräinen teho on kasvanut viime vuosina 20:stä useisiin satoihin Gt/s. Vaikka massiiviset DDoS- ja protokollatason hyökkäykset ovat sinänsä tarpeeksi huonoja, kyberrikolliset yhdistävät niitä yhä useammin Layer 7 DDoS-hyökkäyksiin, eli sovellustasolla, joiden tarkoituksena on tietojen muuttaminen tai varastaminen. Tällaiset "monivektorihyökkäykset" voivat olla erittäin tehokkaita.


Monivektorihyökkäykset muodostavat noin 27 % DDoS-hyökkäysten kokonaismäärästä.

DDoS-massahyökkäyksen (volyymiperusteisen) tapauksessa käytetään suurta määrää pyyntöjä, jotka lähetetään usein laillisista IP-osoitteista, jolloin sivusto "tukkeutuu" liikenteeseen. Tällaisten hyökkäysten tavoitteena on "tukkia" kaikki käytettävissä oleva kaistanleveys ja estää laillinen liikenne.

Protokollatason hyökkäyksen (kuten UDP tai ICMP) tapauksessa tavoitteena on käyttää järjestelmäresursseja loppuun. Tätä varten lähetetään avoimia pyyntöjä, esimerkiksi TCP/IP-pyyntöjä väärennetyillä IP-osoitteilla, ja verkkoresurssien loppumisen seurauksena laillisten pyyntöjen käsittely tulee mahdottomaksi. Tyypillisiä edustajia ovat DDoS-hyökkäykset, jotka tunnetaan ahtaissa piireissä nimellä Smurf DDos, Ping of Death ja SYN-tulva. Toinen protokollatason DDoS-hyökkäystyyppi sisältää suuren määrän pirstoutuneita paketteja, joita järjestelmä ei pysty käsittelemään.

Layer 7 DDoS-hyökkäykset sisältävät näennäisesti vaarattomien pyyntöjen lähettämisen, jotka näyttävät olevan seurausta normaaleista käyttäjän toimista. Tyypillisesti ne suoritetaan robottiverkkojen ja automaattisten työkalujen avulla. Tunnettuja esimerkkejä ovat Slowloris, Apache Killer, Cross-site scripting, SQL-injektio, Remote file-injektio.

Vuosina 2012–2014 suurin osa massiivisista DDoS-hyökkäyksistä oli valtiottomia hyökkäyksiä (ilman tilojen muistamista tai seurantaistuntoja) - niissä käytettiin UDP-protokollaa. Statelessin tapauksessa monta pakettia kiertää yhdessä istunnossa (esimerkiksi sivun avaaminen). Tilattomat laitteet eivät yleensä tiedä, kuka aloitti istunnon (pyydettiin sivua).

UDP-protokolla on alttiina huijaukselle - osoitteen vaihtamiselle. Jos esimerkiksi haluat hyökätä DNS-palvelimeen osoitteessa 56.26.56.26 käyttämällä DNS-vahvistushyökkäystä, voit luoda joukon paketteja lähdeosoitteella 56.26.56.26 ja lähettää ne DNS-palvelimille ympäri maailmaa. Nämä palvelimet lähettävät vastauksen numeroon 56.26.56.26.

Sama menetelmä toimii NTP-palvelimille, SSDP-yhteensopiville laitteille. NTP-protokolla on ehkä suosituin menetelmä: vuoden 2016 jälkipuoliskolla sitä käytettiin 97,5 prosentissa DDoS-hyökkäyksistä.
Parhaan nykykäytännön (BCP) sääntö 38 suosittelee, että Internet-palveluntarjoajat määrittävät yhdyskäytävät estämään huijauksen – lähettäjän osoite ja lähtöverkko ovat hallinnassa. Mutta kaikki maat eivät noudata tätä käytäntöä. Lisäksi hyökkääjät ohittavat BCP 38 -ohjaukset käyttämällä tilallisia hyökkäyksiä TCP-tasolla. F5 Security Operations Centerin (SOC) mukaan tällaiset hyökkäykset ovat vallinneet viimeisen viiden vuoden aikana. Vuonna 2016 TCP-hyökkäyksiä oli kaksi kertaa enemmän kuin UDP-hyökkäyksiä.

Layer 7 -hyökkäyksiä käyttävät pääasiassa ammattihakkerit. Periaate on seuraava: "raskas" URL otetaan (PDF-tiedoston tai suuren tietokannan pyynnön kanssa) ja toistetaan kymmeniä tai satoja kertoja sekunnissa. Layer 7 hyökkäyksillä on vakavia seurauksia ja niitä on vaikea havaita. Ne muodostavat nyt noin 10 % DDoS-hyökkäyksistä.


Erityyppisten DDoS-hyökkäysten suhde Verizon Data Breach Investigations Reportin (DBIR) (2016) mukaan.

DDoS-hyökkäykset ajoitetaan usein liikenteen ruuhka-aikaan, esimerkiksi verkkomyyntipäiviin. Tällä hetkellä suuret henkilö- ja taloustietovirrat houkuttelevat hakkereita.

DDoS-hyökkäykset DNS:ää vastaan

DNS-järjestelmällä (Domain Name System) on olennainen rooli verkkosivuston toimivuudessa ja saatavuudessa. Viime kädessä - yrityksesi menestyksessä. Valitettavasti DNS-infrastruktuuri on usein DDoS-hyökkäysten kohteena. Tukahduttamalla DNS-infrastruktuurisi hyökkääjät voivat vahingoittaa verkkosivustoasi, yrityksesi mainetta ja vaikuttaa taloudelliseen suorituskykyyn. Tämän päivän uhkien torjumiseksi DNS-infrastruktuurin on oltava erittäin joustava ja skaalautuva.
DNS on pohjimmiltaan hajautettu tietokanta, joka muun muassa kartoittaa ihmisen luettavissa olevat sivustojen nimet IP-osoitteiksi, jolloin käyttäjä pääsee halutulle sivustolle URL-osoitteen syöttämisen jälkeen. Käyttäjän ensimmäinen vuorovaikutus verkkosivuston kanssa alkaa DNS-kyselyillä, jotka lähetetään DNS-palvelimelle verkkosivustosi Internet-verkkotunnuksen osoitteella. Niiden käsittely voi olla jopa 50 % verkkosivun latausajasta. Siten heikentynyt DNS-suorituskyky voi johtaa käyttäjien poistumiseen sivustolta ja liiketoiminnan menetyksiin. Jos DNS-palvelimesi lakkaa vastaamasta DDoS-hyökkäyksen seurauksena, kukaan ei voi käyttää sivustoasi.

DDoS-hyökkäyksiä on vaikea havaita, varsinkin alussa, kun liikenne näyttää normaalilta. DNS-infrastruktuuriin voi kohdistua erilaisia ​​DDoS-hyökkäyksiä. Joskus tämä on suora hyökkäys DNS-palvelimia vastaan. Muissa tapauksissa hyväksikäyttöä käytetään DNS-järjestelmien avulla hyökkäämään IT-infrastruktuurin tai -palvelujen muihin osiin.


DNS Reflection -hyökkäyksissä kohde altistuu massiivisesti väärennetyille DNS-vastauksille. Tähän tarkoitukseen käytetään bottiverkkoja, jotka saastuttavat satoja ja tuhansia tietokoneita. Jokainen botti tällaisessa verkossa luo useita DNS-pyyntöjä, mutta käyttää samaa IP-kohdeosoitetta kuin lähde-IP-osoite (huijaus). DNS-palvelu vastaa tähän IP-osoitteeseen.

Tällä saavutetaan kaksinkertainen vaikutus. Kohdejärjestelmää pommitetaan tuhansilla ja miljoonilla DNS-vastauksilla, ja DNS-palvelin voi kaatua, koska se ei kestä kuormaa. Itse DNS-pyyntö on yleensä alle 50 tavua, mutta vastaus on kymmenen kertaa pidempi. Lisäksi DNS-viestit voivat sisältää paljon muuta tietoa.

Oletetaan, että hyökkääjä lähetti 100 000 lyhyttä 50 tavun DNS-pyyntöä (yhteensä 5 megatavua). Jos jokainen vastaus sisältää 1 kt, kokonaismäärä on jo 100 Mt. Siitä nimi – Vahvistus. DNS Reflection- ja Amplification -hyökkäysten yhdistelmällä voi olla erittäin vakavia seurauksia.


Pyynnöt näyttävät normaalilta liikenteeltä ja vastaukset ovat monia suuria viestejä, jotka on suunnattu kohdejärjestelmään.

Kuinka suojautua DDoS-hyökkäyksiltä?

Kuinka suojautua DDoS-hyökkäyksiltä, ​​mitä toimenpiteitä tehdä? Ensinnäkin, älä lykkää sitä "myöhemmäksi". Tietyt toimenpiteet tulee ottaa huomioon määritettäessä verkkoa, käytettäessä palvelimia ja otettaessa käyttöön ohjelmistoja. Ja jokaisen myöhemmän muutoksen ei pitäisi lisätä haavoittuvuutta DDoS-hyökkäyksille.
  • Ohjelmistokoodin suojaus. Ohjelmistoa kirjoitettaessa on otettava huomioon turvallisuusnäkökohdat. On suositeltavaa noudattaa "turvallisen koodauksen" standardeja ja testata ohjelmistosi perusteellisesti välttääksesi yleiset virheet ja haavoittuvuudet, kuten sivustojen välinen komentosarja ja SQL-injektio.

  • Kehitä ohjelmistopäivityssuunnitelma. Aina pitäisi olla palautusvaihtoehto, jos jokin menee pieleen.

  • Päivitä ohjelmistosi viipymättä. Jos pystyit lataamaan päivitykset, mutta ongelmia ilmeni, katso kohta 2.

  • Älä unohda pääsyrajoituksia. järjestelmänvalvojat ja/tai tilit tulee suojata vahvoilla ja säännöllisesti vaihdetuilla salasanoilla. On myös tarpeen säännöllisesti tarkastaa käyttöoikeudet ja poistaa ajoissa irtisanoutuneiden työntekijöiden tilit.

  • Järjestelmänvalvojan käyttöliittymän tulee olla käytettävissä vain sisäisestä verkosta tai VPN:n kautta. Sulje VPN-käyttö välittömästi irtisanoutuville ja erityisesti irtisanotuille työntekijöille.

  • Sisällytä DDoS-hyökkäysten lieventäminen. Suunnitelman tulee sisältää tapoja havaita tällaisen hyökkäyksen tosiasia, yhteystiedot Internetin tai isännöintipalveluntarjoajan kanssa kommunikointia varten sekä "ongelman eskalaatio" -puu jokaiselle osastolle.

  • Haavoittuvuustarkistus auttaa tunnistamaan infrastruktuurisi ja ohjelmistosi ongelmat ja vähentämään riskejä. Yksinkertainen OWASP Top 10 -haavoittuvuustesti paljastaa kriittisimmät ongelmat. Penetraatiotestit ovat myös hyödyllisiä - ne auttavat löytämään heikkoja kohtia.

  • Laitteistosuojaus DDoS-hyökkäyksiä vastaan ​​voi olla kallista. Jos budjettisi ei salli tätä, on hyvä vaihtoehto – on-demand DDoS-suojaus. Tällainen palvelu voidaan ottaa käyttöön yksinkertaisesti muuttamalla liikenteen reititysmallia hätätilanteessa tai se on pysyvästi suojattu.

  • Käytä CDN-kumppania. Sisällönjakeluverkostojen avulla voit toimittaa verkkosivuston sisältöä hajautetun verkon kautta. Liikenne on hajautettu useille palvelimille, mikä vähentää viivettä käyttäjien, myös maantieteellisesti etäisten, pääsyssä. Joten vaikka CDN:n tärkein etu on nopeus, se toimii myös esteenä pääpalvelimen ja käyttäjien välillä.

  • Käytä Web Application Firewallia - palomuuria verkkosovelluksille. Se valvoo liikennettä sivuston tai sovelluksen ja selaimen välillä ja tarkistaa pyyntöjen laillisuuden. Sovellustasolla toimiva WAF voi havaita hyökkäykset tallennettujen mallien perusteella ja havaita epätavallisen toiminnan. Sovellustason hyökkäykset ovat yleisiä sähköisessä kaupankäynnissä. Kuten CDN:ssä, voit käyttää WAF-palveluita pilvessä. Sääntöjen määrittäminen vaatii kuitenkin kokemusta. Ihannetapauksessa kaikki ydinsovellukset tulisi suojata WAF:lla.

    • DNS-suojaus

    Kuinka suojata DNS-infrastruktuurisi DDoS-hyökkäyksiltä? Perinteiset palomuurit ja IPS eivät auta tässä, ne ovat voimattomia DNS-verkkoon kohdistuvaa monimutkaista DDoS-hyökkäystä vastaan. Itse asiassa palomuurit ja tunkeutumisenestojärjestelmät ovat itsessään alttiita DDoS-hyökkäyksille.
    Pilviliikenteen siivouspalvelut voivat tulla apuun: se lähetetään tiettyyn keskukseen, jossa se tarkistetaan ja ohjataan takaisin määränpäähänsä. Nämä palvelut ovat hyödyllisiä TCP-liikenteelle. Ne, jotka hallitsevat omaa DNS-infrastruktuuriaan, voivat ryhtyä seuraaviin toimiin lieventääkseen DDoS-hyökkäysten vaikutuksia.
  • DNS-palvelimien tarkkailu epäilyttävän toiminnan varalta on ensimmäinen askel DNS-infrastruktuurin suojaamisessa. Kaupalliset DNS-ratkaisut ja avoimen lähdekoodin tuotteet, kuten BIND, tarjoavat reaaliaikaisia ​​tilastoja, joita voidaan käyttää DDoS-hyökkäysten havaitsemiseen. DDoS-hyökkäysten valvonta voi olla resursseja vaativa tehtävä. On parasta luoda infrastruktuurin perusprofiili normaaleissa käyttöolosuhteissa ja päivittää sitä ajoittain infrastruktuurin kehittyessä ja liikennemuotojen muuttuessa.

  • DNS-palvelinresurssit voivat auttaa torjumaan pienimuotoisia hyökkäyksiä tarjoamalla redundanssia DNS-infrastruktuurille. Palvelin- ja verkkoresurssien pitäisi riittää käsittelemään suurempia pyyntöjä. Tietenkin irtisanominen maksaa rahaa. Maksat palvelin- ja verkkoresursseista, joita ei normaalisti käytetä normaaleissa olosuhteissa. Ja merkittävällä "voimavaralla" tämä lähestymistapa ei todennäköisesti ole tehokas.

  • DNS Response Rate Limiting (RRL) -rajoituksen ottaminen käyttöön vähentää todennäköisyyttä, että palvelin joutuu DDoS Reflection -hyökkäykseen vähentämällä nopeutta, jolla se vastaa toistuviin pyyntöihin. RRL:itä tukevat monet DNS-toteutukset.

  • Käytä korkean käytettävyyden määrityksiä. Voit suojautua DDoS-hyökkäyksiltä ottamalla DNS-palvelun korkean käytettävyyden (HA) palvelimelle. Jos yksi fyysinen palvelin kaatuu hyökkäyksen seurauksena, DNS-palvelu voidaan palauttaa varapalvelimelle.

    • Paras tapa suojata DNS DDoS-hyökkäyksiltä on käyttää maantieteellisesti hajautettua Anycast-verkkoa. Hajautetut DNS-verkot voidaan toteuttaa käyttämällä kahta eri lähestymistapaa: Unicast- tai Anycast-osoitteita. Ensimmäinen lähestymistapa on paljon helpompi toteuttaa, mutta toinen on paljon kestävämpi DDoS-hyökkäyksiä vastaan.

    Unicastin avulla jokainen yrityksesi DNS-palvelin saa yksilöllisen IP-osoitteen. DNS ylläpitää taulukkoa verkkotunnuksesi DNS-palvelimista ja niitä vastaavista IP-osoitteista. Kun käyttäjä syöttää URL-osoitteen, yksi IP-osoitteista valitaan satunnaisesti pyynnön suorittamiseksi.

    Anycast-osoitemallissa eri DNS-palvelimilla on yhteinen IP-osoite. Kun käyttäjä syöttää URL-osoitteen, DNS-palvelinten yhteinen osoite palautetaan. IP-verkko reitittää pyynnön lähimmälle palvelimelle.

    Anycast tarjoaa perustavanlaatuisia turvallisuusetuja Unicastiin verrattuna. Unicast tarjoaa yksittäisiä palvelinten IP-osoitteita, jotta hyökkääjät voivat käynnistää kohdennettuja hyökkäyksiä tiettyjä fyysisiä palvelimia ja virtuaalikoneita vastaan, ja kun järjestelmän resurssit loppuvat, palvelu epäonnistuu. Anycast voi auttaa lieventämään DDoS-hyökkäyksiä jakamalla pyynnöt palvelinryhmän kesken. Anycast on hyödyllinen myös hyökkäyksen vaikutusten eristämiseen.

    Palveluntarjoajan tarjoama DDoS-suojaus

    Globaalin Anycast-verkon suunnittelu, käyttöönotto ja käyttö vaatii aikaa, rahaa ja osaamista. Useimmilla IT-organisaatioilla ei ole kykyjä tai rahoitusta tähän. Voit luottaa DNS-infrastruktuurisi hallitun palveluntarjoajan tehtäväksi, joka on erikoistunut DNS:ään. Heillä on tarvittavat tiedot suojata DNS DDoS-hyökkäyksiltä.

    Hallitut DNS-palveluntarjoajat käyttävät laajamittaisia ​​Anycast-verkkoja ja niillä on toimipisteitä ympäri maailmaa. Verkkoturvallisuuden asiantuntijat valvovat verkkoa 24/7/365 ja käyttävät erikoistyökaluja DDoS-hyökkäysten vaikutusten lieventämiseen.


    Jotkut isännöintipalveluntarjoajat tarjoavat myös palveluita: verkkoliikenteen analysointi suoritetaan 24/7, joten sivustosi on suhteellisen turvallinen. Tällainen suojaus kestää voimakkaita hyökkäyksiä - jopa 1500 Gbit/s. Liikenne on maksettu.

    Toinen vaihtoehto on IP-osoitteen suojaus. Palveluntarjoaja sijoittaa asiakkaan suojatuksi valitseman IP-osoitteen erityiseen verkkoanalysaattoriin. Hyökkäyksen aikana asiakkaalle suuntautuva liikenne sovitetaan tunnettuihin hyökkäysmalleihin. Tämän seurauksena asiakas saa vain puhdasta, suodatettua liikennettä. Siten sivuston käyttäjät eivät välttämättä edes tiedä, että heihin on hyökätty. Tämän järjestämiseksi luodaan hajautettu suodatussolmuverkko, jotta jokaiselle hyökkäykselle voidaan valita lähin solmu ja liikenteen siirron viive minimoida.

    DDoS-hyökkäyssuojauspalveluiden käytön tuloksena on DDoS-hyökkäysten oikea-aikainen havaitseminen ja estäminen, sivuston toiminnan jatkuvuus ja jatkuva käytettävyys käyttäjille sekä sivuston tai portaalin seisokkien aiheuttamien taloudellisten ja mainetappioiden minimointi.

    Tänään yritetään selventää tilannetta Ddos-hyökkäysten ympärillä palvelimelle. Kaikesta huolimatta tämä ongelma todella leikkaa isännöinnin aiheen sellaisenaan.

    Asia on melko epämiellyttävä. Kuvittele, asensin eilen täysin uuden laajennuksen WordPressiin ja yhtäkkiä jonkin ajan kuluttua, bam! - selaimen blogi lakkaa avautumasta. Lisäksi muut sivustot surffailevat täydellisesti samaan aikaan. Ajatukset hiipivät sisään - sekoitin jotain liitännällä. Napsautan ladataksesi sivun uudelleen monta kertaa, eikä mitään tapahdu! Sitten se todella alkoi toimia, mutta minun piti käydä läpi muutaman epämiellyttävän minuutin.

    Ja tänään postissa näen kirjeen TimeWebin tekniseltä tuelta. En piilota sitä, otan isännöinnin siellä. Ja mitä piilottaa, kirjoita vain sivuston osoite Whoisiin.
    Kirje on:

    "Hyvät käyttäjät.
    Tänään, 2. joulukuuta 2011 klo 16.32 Moskovan aikaa, TIMEWEB-teknologiaalustalle alkoi massiivinen DDOS-hyökkäys, joka häiritsi joidenkin sivustojen ja palvelimien toimintaa.
    TIMEWEBin insinöörit ottivat tilanteen hallintaansa ja klo 18.45 mennessä työmaan vakaa toiminta palautui täysin..."

    Päätin selvittää, mistä ne tulevat Ddos-hyökkäykset palvelimelle ja mikä se muuten on? Ja tämän kaivoin esiin.

    Ddos-hyökkäykset palvelimeen - mitä se on?

    Katsotaanpa ensin Wikistä, missä olisimme ilman sitä:

    DOS ATTACK (englanniksi. Palvelunestohyökkäys, Palvelunestohyökkäys) - hyökkäys tietokonejärjestelmää vastaan, jonka tarkoituksena on saattaa se epäonnistumaan, eli sellaiseen tilaan, että järjestelmän lailliset (oikeutetut) käyttäjät eivät pääse käsiksi järjestelmän tarjoamiin resursseihin (palvelimet, palvelut) tai tähän pääsyyn. on vaikea. "Vihollisen" järjestelmän vikaantuminen voi olla joko itsetarkoitus (esimerkiksi suositun verkkosivuston poistaminen käytöstä) tai yksi askel järjestelmän hallintaan (jos hätätilanteessa ohjelmisto tuottaa kriittistä tietoa - esim. esimerkiksi versio, ohjelmakoodin osa jne. .d.).

    Jos hyökkäys suoritetaan samanaikaisesti suuresta määrästä tietokoneita, ne puhuvat DDOS ATTACK -hyökkäyksestä (englanniksi. Hajautettu palvelunesto, hajautettu palvelunestohyökkäys). Joissakin tapauksissa todellinen DDoS-hyökkäys johtuu laillisesta toiminnasta, esimerkiksi linkin lähettämisestä suosittuun Internet-resurssiin sivustolle, jota isännöi ei kovin tuottava palvelin. Suuri käyttäjien virta johtaa palvelimen sallitun kuormituksen ylittymiseen ja sen seurauksena palvelun epäämiseen joiltakin heistä.

    Joten toisaalta on olemassa hyökkäyskohde - tietty palvelin tai verkkosivusto, ja toisaalta joukko hyökkääjiä, jotka järjestävät DDoS-hyökkäyksen hyökkäyskohdetta vastaan.

    Mitä tavoitteita Ddos-hyökkäyksen järjestäjät tavoittelevat?

    Yksi vaarattomimmista syistä on banaali verkkokiusaaminen. Asiaa pahentaa se, että useimmat hyökkäysten organisointiohjelmat ovat vapaasti saatavilla Internetissä.

    Epäreilu kilpailu synnyttää vakavampia DDoS-hyökkäyksiä. Tavoitteet ovat tässä erilaiset - kaataa kilpailijan palvelin, mikä häiritsee vastustajan työtä, ja tämän lisäksi luoda negatiivinen mielikuva kilpailijasta markkinoilla. Palvelin on myös mahdollista hakkeroida, koska massiivisen hyökkäyksen aikana ohjelmakoodien muodossa olevia tietoja voi lipsata julkisuuteen.

    Myös Ddos-hyökkäysmenetelmää käyttämällä eri Ddos-ryhmät voivat ilmoittaa olemassaolostaan ​​tai esittää vaatimuksia ja uhkavaatimuksia palvelinten omistajille.

    Tässä muutamia esimerkkejä Ddos-hyökkäykset palvelimelle jonka löysin Lurkomoryesta:

    • OOFR (Organization of United Phages of Russia), joka sisältää seuraavat meemiryhmät: Taikauskoinen spitaalisten siirtokuntien, Fallen Osa LiveJournalista ja jota johtaa tietysti Upyachka.

    OPFR:n suurimmat uhrit olivat:

    1. www.mail.ru (projektille BEETLES),
    2. www.gay.com (olet homo),
    3. www.4chan.org (Onotole-jumalan loukkaamisesta),
    4. www.wikipedia.org (artikkeliin UPCHK:sta, joka sisälsi loukkauksen kissoja kohtaan (Kote), jota moderaattori ei poistanut kuukauden sisällä)

    Monet DDoS-hyökkäyksiä vastaan ​​suojautumisen parissa työskentelevät organisaatiot, alan saavutuksista huolimatta, tiedostavat edelleen uhan kasvavan vaaran, mikä johtuu pääasiassa hyökkäysten organisoinnin helppoudesta.

    YHTEENVETOON VÄHÄ TULOS:

    Meitä, tavallisia Internetin käyttäjiä, pitäisi eniten kiinnostaa se, kuinka suojan kyberhyökkäyksiä vastaan ​​tarjoavat ne isännöitsijät, joilta vuokraamme isännöinnin aivolapsellemme - verkkosivustoille. Kuten tässä nimenomaisessa tapauksessa näemme, TimeWeb käsitteli ongelman melko nopeasti. Annan hänelle toisen plussan siitä, että hän ilmoitti minulle tästä postitse.

    Muuten, annoin äskettäin TimeWebille toisen yksinkertaisen testin.

    Siinä kaikki Ddos-hyökkäyksistä tänään.

    Kerromme pian, mitä ne ovat ja kuinka suojautuminen kyberhyökkäyksiä vastaan ​​on järjestetty.

    Brian Krebs työskenteli kerran The Washington Postissa ja suoritti heille Internet-tietoturvatutkimuksia. Toimittaja lopetti myöhemmin oman bloginsa avaamisen. Entinen toimittaja ei vaihtanut erikoisalaansa, josta hän maksoi hinnan syyskuussa, kun hän paljasti kahden israelilaisen teini-ikäisen huijauksen.

    Niinpä Brian Krebs teki tavanomaisia ​​asioitaan, tutki Internet-rikoksia. Tähän mennessä hänen ratkaistujen tapausten luettelossaan oli tapaus Stuxnet-viruksesta, joka keräsi tietoja kotitietokoneista ja teollisuusyrityksistä. Krebs oli ensimmäinen, joka puhui julkisesti viruksesta vuonna 2010. Kolme vuotta myöhemmin Brian paljasti miehen, joka myi korttitietoja Target-kaupan ostajille. Internetrikollisten kosto oli erityinen, poliisi kutsuttiin hänen kotiinsa.

    Joten luulen, että Brian ymmärsi, mihin hakkerit pystyvät, vaikka hän tuskin olisi voinut kuvitella mahdollista mittakaavaa, kun hän julkaisi syyskuussa postauksen israelilaisista teinistä, jotka suorittavat DDoS-hyökkäyksiä. Hakkerit pidätettiin samana päivänä, mutta vapautettiin myöhemmin takuita vastaan. Sattuma tai ei, mutta siitä lähtien Brianin sivusto joutui torjumaan vakavan DDoS-hyökkäyksen yhdeltä johtavista Internet-tietoturvayhtiöistä. Akamai tarjosi Krebsin blogille ilmaisen suojan DDoS-hyökkäyksiä vastaan ​​neljän vuoden ajan. Internet-tietoturvaasiantuntija puhui julkaisussaan vDOS-palvelusta, joka virallisen version mukaan testasi sivustojen kuormitusta, mutta itse asiassa häiritsi niiden työtä. Karkean arvion mukaan palvelun luojat onnistuivat kavaltaa noin 600 tuhatta dollaria.

    Krebsin avustajat onnistuivat lataamaan tietokantoja, joiden avulla määritettiin Bulgariassa olevien palvelimien todelliset osoitteet, joista DDoS-hyökkäykset suoritettiin. Kuten voit kuvitella, hakkerit ovat kiinnostuneita piilottamaan todelliset IP-osoitteensa. Datan analysoinnin jälkeen Brian pystyi tunnistamaan Israelin asukkaiden nimet ja jopa puhelinnumerot, jotka saattoivat olla palvelun omistajia.

    Myöhemmin tuli tiedoksi, että viestin julkaisupäivänä kaksi teini-ikäistä pidätettiin, mutta heidät vapautettiin pian. Ja jo syyskuun 10. päivänä Brian Krebsin verkkosivustolla alkoi olla ongelmia. Hyökkäysteho oli maksimissaan 140 gigabittiä sekunnissa. Loukkaantuneet hakkerit eivät jättäneet Krebsille viestejä "godiefaggot". Jonkin aikaa blogi jopa lakkasi toimimasta, mutta Akamai-asiantuntijat onnistuivat palauttamaan sen. Mutta hyökkäykset eivät jääneet tähän. Ja 20. syyskuuta sen teho oli jo 665 gigabittiä sekunnissa. Akamai joutui lopettamaan Krebsin blogin ylläpitämisen varmistaakseen maksavien tilaajien turvallisuuden. Hyökkäys, jolle sivusto joutui, oli kaksi kertaa suurempi kuin Akamain asiantuntijat olivat tähän mennessä nähneet. Jotkut toimittajat olivat jopa yhtä mieltä siitä, että tämä oli suurin hyökkäys koko Internetin historiassa. Esimerkiksi alkuvuodesta 2016 BBC:n verkkosivustoa vastaan ​​hyökättiin nopeudella 602 gigabittiä sekunnissa. Muutamaa kuukautta myöhemmin ennätys rikottiin.

    Ilmeisesti Krebsin viesti hermostutti hyökkääjiä. Hyökkäys toteutettiin IP-kameroilla, reitittimillä ja muilla ”Internet-asioilla”, joille käyttäjät asettivat vakiosalasanat. Hakkerit eivät edes yrittäneet peittää jälkiään ja paljastivat useimpien laitteiden osoitteet, joita voitaisiin edelleen käyttää muihin taloudellisiin hyökkäyksiin. Jälleen, emme vaivautuneet sanamuotoihin. Yhden vDOC:n luojan, AppleJ4ckin, lempinimi voitiin lukea joissakin hyökkäyksen POST-pyynnöissä, jotka sisälsivät merkkijonon "freeapplej4ck". Vain Googlen väliintulo mahdollisti Krebsin tutkimusten kohteena olevan sivuston palauttamisen. Internetjättiläisen Project Shield suojaa riippumattomien toimittajien ja median verkkosivuja kyberhyökkäyksiltä.

    Ja ensimmäisessä julkaisussa sivuston palauttamisen jälkeen Brian Krebs puhui sensuurista Internetissä. Ei vain valtiolla, vaan myös rikollisilla on tehokkaita työkaluja. DDoS-hyökkäykset voivat olla vakava este riippumattomille tutkimuksille nykypäivän markkinataloudessa. Kaikilla tiedotusvälineillä ei ole 200 000 dollarin budjettia kyberpuolustukseen.

    Virhe tekstissä? Valitse se hiirellä! Ja paina: Ctrl + Enter

    Andrey Golovachev muistutti Facebook-sivullaan, että kaikkien Ukrainan presidenttien poliittiset urat päättyivät katastrofiin. Politiikan asiantuntijan mukaan Leonid Kutsma sai alle

    Noin kuusi kuukautta sitten yleisö sai tietää, että kuuluisalla venäläisnäyttelijällä Anastasia Zavorotnyukilla diagnosoitiin pahanlaatuinen aivokasvain. Tänään ei

    Keskusteltuaan presidentti Volodymyr Zelenskin huolenaiheista hänen Vatikaanin-vierailunsa aikana, jotkut tarkkailijat huomauttivat, että tämä oli ensimmäinen tällainen tapaus historiassa, kun viranomaiset vierailivat Pietarinkirkossa

    Lisää tästä aiheesta:

    Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
    Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
    Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä