Какая атака замедляет или приводит к сбою оборудования и программ

Содержание

Аннотация: Эта лекция преследует несколько целей: определить три цели информационной безопасности, определить виды атак на безопасность информации, которые угрожают секретности, определить службы безопасности и как они связаны с тремя задачами безопасности, определить механизмы безопасности, которые обеспечивают службы секретности, познакомить с двумя методами шифрования для реализации механизма безопасности — криптографией и стеганографией.

DDoS–атаки. Причины возникновения, классификация и защита от DDoS-атак

DDoS-атака или атака типа «отказ в обслуживании» направлена на вычислительную систему с целью создать такие условия, при которых пользователи системы не могут получить данные к определенным ресурсам или сервисам. Одновременная атака с большого числа компьютеров свидетельствует о DDoS-атаке – распределенной атаке типа «отказ в обслуживании». Такие атаки применяются, если необходимо вызвать отказ в обслуживании хорошо защищенной компании или правительственной организации. Такие атаки выполняются с помощью зараженных специальными троянскими программами компьютеров, которые часто называют «компьютерами-зомби».

Как Хакеры атакуют системы и компании

Рисунок 1 — Схема DDoS-атаки

Причины возникновения DDoS-атак

Конкуренция. На данный момент достаточно популярной является услуга проведения DDoS-атак на заказ. То есть, при возникновении конкуренции какая-нибудь фирма, которой не угоден конкурент, просто обращается к хакеру с задачей парализовать систему, с которой работают конкуренты, или парализовать работу внешних и внутренних ресурсов конкурирующей фирмы. В результате чего организовывается DDoS-атака на определенный срок и с определенной силой.
Мошенничество. Очень часто хакеры самостоятельно организовывают DDoS-атаки с целью получения доступа к компьютеру и блокировки системы. Если у пользователя не установлена защита от DDoS-атак, то хакер может полностью парализовать работу системы, а затем требовать некоторую сумму денег за разблокировку. Зачастую обычные пользователи соглашаются на условия хакеров, объясняя это тем, что простои в работе приводят к получению убытков, которые явно больше, чем сумма, указанная хакером.
Развлечение или забава. В связи с тем, что в последнее время все больше человек интересуются DDoS-атаками, многие начинающие злоумышленники осуществляют такие атаки ради развлечения или просто, чтобы попробовать свои силы.

Классификация DDoS-атак

Насыщение полосы пропускания. В связи с тем, что практически каждый компьютер подключен к сети интернет или к локальной сети, возможен такой тип атаки, как сетевой флуд – атака, которая заключается в отправке большого количества бессмысленных или неправильно сформированных запросов к компьютерной системе или сетевому оборудованию с целью отказа оборудования из-за исчерпания системных ресурсов (процессора, памяти или каналов связи).
Атака на исчерпание системных ресурсов. Атакующие прибегают к данному виду атаки для захвата таких ресурсов как оперативная и физическая память, процессорное время и т.д.
Недостаточная проверка данных пользователя. Недостаточная проверка данных пользователя может приводить к бесконечному или длительному циклу, что приводит к повышенному и продолжительному потреблению процессорных ресурсов либо выделению больших объемов памяти, вплоть до ее исчерпания.
Атаки второго рода. Это атаки, которые приводят к ложным срабатываниям систем защиты, тем самым приводят к недоступности определенных ресурсов.
HTTP-флуд. Атакующий отсылает небольшие http-пакеты, которые заставляют в свою очередь отвечать сервер пакетами, размеры которых значительно больше. Тем самым злоумышленник имеет большой шанс насытить полосу пропускания жертвы и вызвать отказ в работе сервисов. Для того, чтобы ответные пакеты не вызывали отказ в обслуживании у атакующего, он подменяет свой сетевой адрес на адреса узлов в сети.
ICMP-флуд (Smurf-атака). Данный тип атаки является одним из самых опасных. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP-пакет, в котором адрес атакующего меняется на адрес жертвы. Все узлы присылают ответ на данный ping-запрос. Для такого вида атаки обычно используют большую сеть, чтобы у компьютера-жертвы не было никаких шансов. Таким образом, запрос, отправленный через сеть в 1000 компьютеров будет усилен в 1000 раз.
UDP флуд (атака Fraggle). Данный тип атаки является аналогом ICMP флуда, но вместо ICMP пакетов используются UDP пакеты. На седьмой порт жертвы отправляются ECHO-команды по широковещательному запросу. После чего подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая получает множество ответных сообщений, что приводит к насыщению полосы пропускания и отказу в обслуживании жертвы.
SYN-флуд. Данный вид атаки основан на попытке запуска большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать в ответ ACK-пакет на недоступный адрес большинство операционных систем ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Поскольку поток ACK-пакетов очень большой, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение.

Защита от DDoS-атак

Методы противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. 1. Предотвращение Необходимо проводить профилактики причин, которые приводят к необходимости тем или иным лицам предпринимать DDoS-атаки.

Личная неприязнь, конкуренция, религиозные или иные разногласия, а также многие другие факторы могут стать причиной такой атаки. Если вовремя устранить причины таких атак и сделать соответствующие выводы, то в дальнейшем удастся избежать повторения ситуации. Данный метод нацелен на защиту от практически любых DDoS-атак, так как является управленческим, а не техническим решением.

2. Ответные меры Необходимо проводить активные меры по воздействию на источники или организатора атак, используя как технические, так и организационно-правовые методы. Некоторые фирмы предоставляют сервис поиска организатора атак, который позволяет вычислить не только человека, проводящего атаку, но и заказчика данной атаки. 3.

Специализированное программное и аппаратное обеспечение Сейчас многие производители программного и аппаратного обеспечения предлагают готовые решения для защиты от DDoS-атак. Такое программное и аппаратное обеспечение может выглядеть как небольшой сервер, который позволяет защититься от слабых и средних DDoS-атак, нацеленных на малый и средний бизнес, так и целый комплекс, позволяющий защитить от серьезных атак крупные предприятия и госучреждения.

4. Фильтрация Фильтрация и блокировка трафика, исходящего от атакующих машин позволяет снизить или вовсе загасить атаку. При использовании этого метода входящий трафик фильтруется в соответствии с теми или иными правилами, заданными при установке фильтров. Можно выделить два способа фильтрации: маршрутизация по спискам ACL и использование межсетевых экранов.

Использование списков ACL позволяет фильтровать второстепенные протоколы, не затрагивая при этом протоколы TCP и не замедляя скорость работы пользователей с ресурсом. Однако, при использовании злоумышленниками первостепенных запросов или ботнета, данный способ фильтрации окажется неэффективным.

Межсетевые экраны являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей. 5. Обратный DDoS Перенаправление трафика на атакующего при достаточных серверных мощностях позволяет не только успешно преодолеть атаку, но и вывести из строя оборудование атакующего.

Данный тип защиты невозможно применить при ошибках в программном коде операционных систем, системных служб или веб-приложений. 6.

Устранение уязвимостей Данный тип защиты нацелен на устранение ошибок в тех или иных системах или службах (исправление эксплоитов, установка обновлений на операционную систему и т.п ). Соответственно, такой метод защиты не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Наращивание ресурсов Не дает абсолютной защиты, но позволяет использовать другие виды защиты от DDoS атак.

Имея современное программное и аппаратное обеспечение, вы можете удачно справиться с DDoS-атакой, направленной на конечность системных ресурсов. 8. Построение распределенных систем Построение распределенных и дублирующих систем позволяет обслуживать пользователей, даже если некоторые узлы становятся недоступны из-за DDoS-атак.

Рекомендуется строить распределенные системы, используя не только различное сетевое или серверное оборудование, но и физически разносить сервисы по разным дата-центрам. Также возможна установка дублирующей системы (критических узлов, резервных копий) на территории других государств, что позволит сохранить важную информацию даже при пожаре в датацентре или стихийном бедствии.

Распределенные системы позволяют справиться практически с любым типом атак при правильном архитектурном проектировании. 9. Уклонение Вывод непосредственной цели атаки (ip-адрес или доменное имя) от других ресурсов, которые также могут подвергаться атаки вместе с целью.

Иначе говоря, необходимо разделить атакуемые ресурсы и другие рабочие ресурсы, которые расположены на одной площадке. Оптимальным является решение по разделению на внешние и внутренние ресурсы и вывод внешних ресурсов на другое сетевое оборудование, другой датацентр или даже территорию другого государства.

Это позволит сохранить внутреннюю ИТ-структуру даже при самой интенсивной DDoS-атаке на внешние ресурсы. 10. Мониторинг Установка системы мониторинга и оповещения, которая позволит вычислить DDoS-атаку по определенным критериям. Мониторинг напрямую не может защитить атакуемую систему, но позволяет вовремя среагировать и принять соответствующие меры. 11.

Приобретение сервиса по защите от DDoS-aтак Сейчас многие крупные компании предлагают предоставление как постоянного, так и временного сервиса по защите от DDoS-атак. Данный метод позволяет защититься от многих типов DDoS-атак, используя целый комплекс механизмов фильтрации нежелательного трафика к атакующим серверам. На текущий момент, в целях обеспечения информационной безопасности бизнеса клиентов, одним из первых этапов мы предлагаем провести аудит информационной безопасности.

Лекция. Глава 1 — Современные сетевые технологии. Современные сетевые технологии

Единственный в мире Музей Смайликов

Самая яркая достопримечательность Крыма

Скачать 4.14 Mb.

1.8.2 Решения обеспечения безопасности

Ни одно отдельное решение не может полностью обезопасить сеть от многочисленных современных угроз. Именно поэтому меры по обеспечению сетевой безопасности необходимо внедрять сразу на нескольких уровнях, задействовав одновременно несколько решений. Если какой-либо один компонент системы безопасности не может определить угрозы и защитить сеть, то ему на помощью придут другие компоненты.

Реализовать политики безопасности в домашней сети, как правило, достаточно просто. Такие политики обычно внедряются на подключающихся оконечных устройствах, а также в точке подключения к Интернету, и даже могут быть реализованы как сервисы, предоставляемые по договору Интернет-провайдером.

Антивирусное и антишпионское ПО позволяет предотвратить заражение оконечных устройств вредоносными программами.
Фильтрация брандмауэра — Фильтрация брандмауэра блокирует несанкционированный доступ в сеть и выход из нее. Сюда может входить система реализованных на узле межсетевых экранов, которая используется для предотвращения несанкционированного доступа к оконечному устройству, или базовый сервис фильтрации на домашнем маршрутизаторе для предотвращения несанкционированного доступа в сеть извне.

Выделенные межсетевые экраны — более широкие возможности межсетевого экрана, который может фильтровать большой объем трафика с повышенной детализацией.
Списки контроля доступа (ACL) — они дополнительно фильтруют доступ и пересылку трафика на основе IP-адресов и приложений.
Системы предотвращения вторжений (Intrusion prevention system, IPS) — определение быстро распространяющихся угроз, таких как атаки нулевого дня или нулевого часа.
Виртуальные частные сети (VPN) — используются для обеспечения защищенного доступа удаленных сотрудников.

Изучение угроз сетевой безопасности и методов их отражения начинается с четкого понимания инфраструктуры коммутации и маршрутизации, используемой для организации сетевых сервисов.