Программа ddos атака что это

DDoS-атака: что это такое и как мы боролись с хакерами

21 октября наш сервис подвергся DDoS-атаке. Это была самая крупная атака за последние несколько лет. Из-за нее некоторые сайты были недоступны, но благодаря вашей поддержке и непрекращающейся работе нашей команды, мы смогли отбиться от атаки. В этой статье наш технический директор Егор Курьянович рассказал, что такое DDoS-атака и как мы с ней боролись.

Что такое DDoS-атака

Представьте, что кто-то захотел нарушить работу автобусов. Тысячи человек садятся в начале маршрута и бесцельно катаются по городу от конечной до конечной, не выходя на остановках. Транспорт продолжает ездить, но фактически движение парализовано. Жители стоят на промежуточных остановках и грустно смотрят вслед переполненным автобусам, не сумев протолкнуться.

Люди не могут добраться домой, автобусная компания терпит убытки из-за низкого пассажиропотока. Зато злоумышленники потирают ручки, а владельцы такси считают прибыль. В реальном мире такую ситуацию практически невозможно претворить в жизнь. В интернете похожим образом хакеры парализуют работу сайтов с помощью DDoS-атак.

СКОЛЬКО СТОИТ DDOS-АТАКА?

Аббревиатура DDoS расшифровывается как Distributed Denial of Service, что в дословном переводе означает «Распределенный отказ от обслуживания». Это означает, что на сервер поступает слишком много запросов с разных компьютеров. Он не выдерживает такого наплыва посетителей и отключается. Сайт, на который направлена атака, недоступен.

Любой сайт — это набор файлов, которые лежат на специальном сервере. В упрощенном виде сервер — это очень мощный компьютер. Он соединен с другими компьютерами в сеть. Это значит, что один компьютер может отправить другому сообщение, а тот может ответить. Например, вы хотите зайти на сайт vigbo.com.

Когда вы набрали адрес в поисковой строке и кликнули на ссылку, ваш компьютер отправил нашему серверу запрос «Покажи мне главную страницу vigbo.com». Сервер его получил, обработал и отправил вам в ответ информацию о странице. Современные серверы могут одновременно обрабатывать сотни таких запросов.

На каждый из них уходит примерно полсекунды, поэтому обычно вы даже не замечаете, как открывается сайт. Но у любого компьютера есть ограничения в мощности. Если одновременно приходит больше запросов, чем он может обработать, они ставятся в очередь. Тогда сайт откроется с задержкой. Постепенно очередь из запросов станет слишком длинной, и у сервера не хватит мощности.

Значит, перестанут открываться все сайты, которые на нем лежат.

В чем особенности DDoS-атаки

Если кто-то будет со своего компьютера перезагружать любую страницу сайта тысячу раз в секунду — это тоже хакерская атака. Она называется DoS — Denial of Service, «отказ в обслуживании». Но с ней можно эффективно бороться. Достаточно заблокировать злодея. Поэтому сейчас атаки совершают сразу с миллионов устройств. Так найти ее источник очень сложно.

К названию добавилось слово распределенная — Distributed, DDoS.

Программа для DOS и DDOS атаки | Что такое DDOS и DOS атака?

Схема распределенной DDoS-атаки на сайт

Осталось разобраться, где злоумышленники берут столько устройств. Вы удивитесь, но чаще всего это компьютеры обычных людей. Хакер создает вирус, который попадает на компьютер из интернета при загрузке файлов, просмотре роликов и страниц. Такой вирус незаметно живет и ждет команды. Например, в определенное время подключиться к какому-то сайту.

Тогда все зараженные компьютеры начнут одновременно отправлять запросы на сайт-жертву. При этом их владельцы ничего не заметят: так кто угодно может оказаться невольным соучастником.

Почему хакеры атакуют сайты

Заказ конкурентов. Например, если атака началась во время активной рекламной кампании. Конкуренты заказывают DDoS, реклама идет, а прибыли нет из-за перебоев в работе сайта. Еще атака может использоваться, чтобы нанести урон репутации. Допустим, идут напряженные переговоры, и в день презентации партнеры заходят на сайт, а там — 503 ошибка, отказ в обслуживании.

DDoS-атака приводит к тому, что сайт работает очень медленно или «лежит» совсем. Пользователи не могут зайти на сайт и уходят к конкурентам, у которых все хорошо. В результате владелец сайта теряет клиентов. Поэтому чаще всего атаки связаны с бизнесом. Вероятно, атака, которой подвергся наш сервис, совершена по этой причине — кто-то из конкурентов «заказал» сайт архитектурного бюро.

Личная неприязнь. Владелец сайта может кому-то насолить, и в ответ хакер стремится доставить ему неприятности. Сюда можно отнести и случаи, когда поводом для атаки становятся политические разногласия. Развлечение. Иногда хакеры устраивают атаки, чтобы попробовать свои силы, просто развлечься или продемонстрировать сообществу свои возможности.

Хороший пример — хакерская атака в сентябре 2019 года на Википедию, онлайн-игру World of Warcraft Classic и сервис для онлайн-стримов Twitch.

Как мы отразили атаку

Началось все с того, что утром 21 октября на сайте одного нашего клиента мы заметили необычайно высокую активность. Тысячи поисковых роботов стали заходить на сайт студии дизайна интерьеров. Из-за этого все сайты, которые лежали на одном сервере с атакуемым, стали медленно открываться. Стало понятно, что под поисковых роботов маскируются злоумышленники — мы подверглись DDoS-атаке.

Заблокировать роботов дело нехитрое, но помогло это примерно на час. Противники поняли, что что-то не так, и сменили тактику. Мы стали получать запросы, которые маскировались под пользователей: в них была информация о браузерах и их нельзя блокировать. Поэтому мы пытались блокировать сразу IP-адреса — уникальные адреса компьютеров, с которых посылались подозрительные запросы. Но наши оппоненты быстро их меняли и направляли еще больше запросов со всего мира.

Запросы сыпались со всего мира. Чем темнее окрашена страна на карте, тем больше запросов оттуда мы получали

Особенно много запросов было из Таиланда, Индонезии и Голландии

Так война продолжалась до вечера. Несмотря на мощь «вражеской артиллерии», совсем «положить» сервер хакерам так и не удалось. Но нагрузка на него была колоссальной, поэтому сайты очень долго открывались. К восьми часам вечера количество заблокированных адресов перевалило за тысячу. Наших собственных ресурсов стало не хватать.

Поэтому мы решили для фильтрации запросов подключить сторонний сервис CloudFlare. Сервис действует как сито: весь трафик проходит через их центры и фильтруется — боты и подозрительные аккаунты блокируются, а простые пользователи спокойно доходят до сервера, на котором хранится сайт. Так атакуемый сайт будет меньше влиять на работу остальных сайтов на сервере.

CloudFlare пропускает весь трафик через свой сервер и блокирует вредоносные запросы

К счастью, клиент, на сайт которого шла атака, покупал домен у нас и делегировал права на управление им нашей платформе. Поэтому мы смогли оперативно внести изменения в настройки и создать аккаунт в CloudFlare. Мы увидели, что до нашего сервера доходит все меньше и меньше запросов. Сайты стали оживать, а основной бой был уже на стороне CloudFlare.

Опыт DDoS-атаки показал, что если клиент покупает доменное имя в Vigbo, у наших специалистов есть больше возможностей для защиты сайта.

Источник: blog.vigbo.com

ДДоС-атака — что это? Программа для ДДоС-атаки

Атака, во время которой пользователи не могут получить доступ к тем или иным ресурсам, называют DDoS-атакой, или проблемой типа «Отказ в обслуживании». Основная особенность таких хакерских атак – это одновременные запросы с большого числа компьютеров по всему миру, а направлены они главным образом на сервера хорошо защищённых компаний или правительственных организаций, реже — на единичные некоммерческие ресурсы.

Компьютер, заразившийся троянской программой, становиться подобием «зомби», а хакеры, используя несколько сотен, а то и десятки тысяч таких «зомби», вызывают сбой в работе ресурсов (отказ в обслуживании).

Причин для проведения DDoS-атак может быть много. Попробуем обозначить самые популярные, а вместе с тем ответим на вопросы: «ДДоС-атака — что это, как защититься, каковы её последствия и какими средствами она проводится?»

Конкуренция

Сеть Интернет уже давно стала источником бизнес-идей, реализации крупных проектов и прочих способов заработать весьма немаленькие деньги, поэтому ДДоС-атака может быть проведена на заказ. Т. е. если организация при возникновении конкурента захочет его убрать, то она просто обратиться к хакеру (или к группе таковых) с простой задачей – парализовать работу неугодной фирмы посредством интернет-ресурсов (ДДоС-атака на сервер или сайт).

В зависимости от конкретных целей и задач, такая атака устанавливается на определённый срок и с применением соответствующей силы.

Мошенничество

Довольно часто ДДоС-атака на сайт организовывается по инициативе хакеров с целью блокировать систему и получить доступ к персональным или другим важным данным. После того как злоумышленники парализуют работу системы, они могут потребовать некоторую сумму денег для восстановления работоспособности атакованных ресурсов.

Многие интернет-предприниматели соглашаются на выдвинутые условия, оправдывая свои действия простоями в работе и получением колоссальных убытков – легче заплатить небольшую сумму мошеннику, чем терять значительную прибыль за каждый день простоя.

Развлечение

Очень многие пользователи всемирной паутины просто ради любопытства или забавы интересуются: «ДДоС-атака — что это и как её сделать?» Поэтому нередки случаи, когда начинающие злоумышленники ради потехи и пробы сил организовывают такие атаки на случайные ресурсы.

Вместе с причинами, ДДоС-атаки имеют свои классификационные признаки.

1. Полосы пропускания. Сегодня практически каждое компьютерное место оборудовано либо локальной сетью, либо просто подключено к интернету. Поэтому нередки случаи сетевого флуда – большого количества запросов с неправильно сформированной и бессмысленной системой к конкретным ресурсам или оборудованию с целью его последующего отказа или сбоя (каналы связи, жёсткие диски, память и др.).
2. Исчерпание системы. Такая ДДоС-атака на сервер Samp проводится для захвата физической памяти, процессорного времени и других системных ресурсов, из-за отсутствия которых атакуемому объекту просто нет возможности полноценно работать.
3. Зацикливание. Бесконечная проверка данных и другие циклы, действующие «по кругу», заставляют объект тратить массу ресурсов, тем самым засоряя память до полного её исчерпания.
4. Ложные атаки. Такая организация направлена на ложное срабатывание систем защиты, что в итоге приводит к блокировке некоторых ресурсов.
5. HTTP протокол. Хакеры посылают малоёмкие HTTP-пакеты с особым шифрованием, ресурс, естественно, не видит, что на него организованна ДДоС-атака, программа для сервера, выполняя свою работу, отсылает в ответ пакеты гораздо большей ёмкости, тем самым засоряя полосу пропускания жертвы, что приводит опять таки к отказу работы сервисов.
6. Смурф-атака. Это один из самых опасных видов. Хакер по широковещательному каналу отправляет жертве поддельный ICMP-пакет, где адрес жертвы подменяется адресом злоумышленника, и все узлы начинают присылать ответ на пинг-запрос. Данная ДДоС-атака – программа направленная на использование большой сети, т. е. запрос, обработанный посредством 100 компьютеров, будет усилен в 100 раз.
7. UDP-флуд. Этот вид атаки чем-то схож с предыдущим, но вместо ICMP-пакетов злоумышленники используют UDP-пакеты. Суть этого метода в том, чтобы подменить IP-адрес жертвы на адрес хакера и полностью загрузить полосу пропускания, что также приведёт к сбою системы.
8. SYN-флуд. Злоумышленники пытаются одновременно запустить большое количество TCP-соединений через SYN-канал с неверным или вовсе отсутствующим обратным адресом. После нескольких таких попыток большинство операционных систем ставят в очередь проблемное соединение и только после энного числа попыток его закрывают. Поток SYN-канала довольно большой, и вскоре, после множества таких попыток, ядро жертвы отказывается открывать любое новое соединение, блокируя работу всей сети.
9. «Тяжёлые пакеты». Данный вид даёт ответ на вопрос: «Что такое ДДоС-атака сервера?» Хакеры отсылают пакеты серверу пользователя, но насыщение полосы пропускания не происходит, действие направлено только на процессорное время. В результате такие пакеты приводят к сбою в системе, а она, в свою очередь, отказывает в доступе к своим ресурсам.
10. Лог-файлы. Если система квотирования и ротации имеют бреши в защите, то злоумышленники могут отправлять большие по объёму пакеты, занимая тем самым всё свободное место на жёстких дисках сервера.
11. Программный код. Хакеры с большим опытом могут полностью изучить структуру сервера жертвы и запустить специальные алгоритмы (ДДоС-атака – программа-эксплоит). Такие атаки главным образом направлены на хорошо защищённые коммерческие проекты предприятий и организации различных сфер и областей. Злоумышленники находят бреши в программном коде и запускают недопустимые инструкции или другие исключительные алгоритмы, которые приводят к аварийной остановке системы или службы.

ДДоС-атака: что это и как защититься

Методов защиты от DDoS-атак существует немало. И все их можно разделить на четыре части: пассивные, активные, реакционные и превентивные. О чем и поговорим далее подробнее.

Предупреждение

Здесь нужна профилактика непосредственно самих причин, которые могли бы спровоцировать DDoS-атаку. К этому типу можно отнести какие-то личные неприязни, правовые разногласия, конкуренцию и другие факторы провоцирующие «повышенное» внимание к вам, вашему бизнесу и т. д.

Если вовремя отреагировать на эти факторы и сделать соответствующие выводы, то можно избежать многих неприятных ситуаций. Этот метод можно отнести, скорее, к управленческому решению проблемы, чем к технической стороне вопроса.

Ответные меры

Если атаки на ваши ресурсы продолжаются, то необходимо найти источник ваших проблем – заказчика или исполнителя, — используя как правовые, так и технические рычаги воздействия. Некоторые фирмы оказывают услуги по поиску злоумышленников техническим способом. Исходя из квалификации специалистов, занимающихся этим вопросом, можно найти не только хакера, осуществляющего DDoS-атаку, но и непосредственно самого заказчика.

Программная защита

Некоторые производители аппаратного и программного обеспечения вместе со своими продуктами могут предложить довольно много эффективных решений, и ДДоС-атака на сайт будет пресечена накорню. В качестве технического защитника может выступать отдельный небольшой сервер, нацеленный на противодействие малым и средним DDoS-атакам.

Такое решение прекрасно подойдёт для малого и среднего бизнеса. Для более крупных компаний, предприятий и госучреждений существуют целые аппаратные комплексы для борьбы с DDoS-атаками, которые, наряду с высокой ценой, обладают отличными защитными характеристиками.

Фильтрация

Блокировка и тщательная фильтрация входящего трафика позволят не только снизить вероятность нападения. В некоторых случаях ДДоС-атака на сервер может быть полностью исключена.

Можно выделить два основных способа фильтрации трафика – межсетевые экраны и полная маршрутизация по спискам.

Фильтрование с помощью списков (ACL) позволяет отсеивать второстепенные протоколы, не нарушая при этом работу TCP и не понижая скорость доступа к защищаемому ресурсу. Однако если хакеры используют ботнеты или высокочастотные запросы, то данный способ будет малоэффективным.

Межсетевые экраны гораздо лучше защищают от DDoS-атак, но единственных их минус в том, что они предназначены только для частных и некоммерческих сетей.

Зеркало

Суть этого метода в том, чтобы перенаправить весь входящий трафик атакующего обратно. Сделать это можно, имея в наличии мощные сервера и грамотных специалистов, которые не только перенаправят трафик, но и смогут вывести из строя оборудование атакующего.

Метод не подойдёт, если имеются ошибки в системных службах, программных кодах и других сетевых приложениях.

Поиск уязвимостей

Этот тип защиты направлен на исправление эксплоитов, устранение ошибок в веб-приложениях и системах, а также других служб, отвечающих за сетевой трафик. Метод бесполезен против флуд-атак, которые направленны именно на данные уязвимости.

Современные ресурсы

100% защиты гарантировать этот метод не может. Но он позволяет более эффективно проводить другие мероприятия (или комплекс таковых) по предотвращению DDoS-атак.

Распределение систем и ресурсов

Дублирование ресурсов и распределение систем позволят пользователям работать с вашими данными, даже если в этот момент на ваш сервер проводится DDoS-атака. Для распределения можно использовать различное серверное или сетевое оборудование, а также рекомендуется разделять сервисы физически по разным дублирующим системам (дата-центры).

Такой метод защиты является самым эффективным на сегодняшний день, при условии, что было создано правильное архитектурное проектирование.

Уклонение

Главной особенностью этого метода является вывод и разделение атакуемого объекта (доменное имя или IP-адрес), т. е. все рабочие ресурсы, находящиеся на одной площадке необходимо разделить и расположить на сторонних сетевых адресах, или даже на территории другого государства. Это позволит пережить любую атаку и сохранить внутреннюю ИТ-структуру.

Сервисы по защите от DDoS-атак

Рассказав все о такой напасти, как ДДоС-атака (что это и как с ней бороться), мы можем дать напоследок один хороший совет. Очень многие крупные организации предлагают свои услуги для предотвращения и профилактики таких атак. В основном такие компании используют целый комплекс мер и различных механизмов, позволяющих защитить ваш бизнес от большинства DDoS-нападений. Работают там специалисты и знатоки своего дела, поэтому, если ваш ресурс вам дорог, то оптимальным (хотя и недешёвым) вариантом будет обращение в одну из таких компаний.

Как осуществляется ДДоС-атака своими руками

Осведомлён, значит вооружён – верный принцип. Но помните, что намеренная организация DDoS-атаки единолично или группой лиц – уголовно наказуемое преступление, поэтому данный материал предоставлен исключительно для ознакомления.

Американскими ИТ-деятелями по предотвращению угроз была разработана программа для проверки устойчивости к нагрузкам серверов и возможности проведения DDoS-атак злоумышленниками с последующей ликвидацией этого нападения.

Естественно, что «горячие» умы повернули это оружие против самих разработчиков и против того, с чем они боролись. Кодовое название продукта – LOIC. Эта программа находится в свободном доступе и, в принципе, не запрещена законом.

Интерфейс и функционал программы довольно прост, ею может воспользоваться любой, кого интересует ДДоС-атака.

Как сделать всё самому? В строчках интерфейса достаточно ввести IP-жертвы, затем установить потоки TCP и UDP и количество запросов. Вуаля — после нажатия заветной кнопки атака началась!

Какие-либо серьёзные ресурсы, естественно, не пострадают от этого софта, но мелкие могут испытывать некоторые проблемы.

Источник: fb.ru

Что такое DDoS-атака? Способы защиты от ДДОС

DDoS-атака – это довольно распространенный способ разрушительного воздействия на интернет-ресурсы. ДДОС-атака дает возможность злоумышленникам вывести из строя сервер, отключить коммерческий либо информационный сайт, а нередко и государственный ресурс.

DDoS-атака — как это происходит

DDoS (Distributed Denial of Service attack) – это атака на заданный компьютер, который вследствие такого воздействия перестает отвечать на запросы других пользователей сети. Создается слишком большое количество запросов, обработать которые компьютер не в состоянии. Что приводит к образованию длинной очереди, запросы из которой перестают обрабатываться.

Одному хакеру невозможно организовать такую атаку. В распоряжении злоумышленников должна быть сеть компьютеров. Иногда подобные атаки выполняются с миллионов устройств. Это личные компьютеры и другие устройства (видеокамеры, роутеры и т.п.), зараженные троянскими программами.

Такой вирус можно получить при получении почты, посещении зараженных сайтов, а также устанавливая нелицензионное ПО. Пользователи могут не знать о наличии заражения, либо не избавляться от него, не предполагая серьезности последствий.

Сеть зараженных вирусом компьютеров носит название – ботнет. Его функционирование требует наличия координирующего сервера. Именно с него поступают команды на устройства зараженной сети.

DDoS атака приводит к значительным материальным потерям и наносят непоправимый удар по репутации. Сайт может быть отключен дата-центром сервера, снизится клиентопоток. Защита от DDoS-атак необходима в любом случае для проектов, которые не хотят растерять свои данные.

Виды и причины ДДОС-атак

Подобные атаки условно подразделяют на три вида:

• Атаки для перегрузки сетевого канала;
• Атаки на уровень приложений;
• Атаки, направленные на перегрузку программы.

Трафик распределенных атак довольно разнообразен:

1. НТТР-запросы. Это запросы, с помощью которых происходит общение посетителя сайта и непосредственно сайта, при участии браузера. НТТР заголовок является основой запроса. Как правило, злоумышленники изменяют такие заголовки и делают их трудно распознаваемыми для обнаружения атаки.
2. НТТР GЕТ-запросы. Они запрашивают информацию о сервере. Могут запросить передачу файла, изображения либо страницы, для их отображения в браузере. Либо же это НТТР GЕТ-флуд, который характерен очень высоким количеством РОSТ-запросов. Они переполняют сервер, и он теряет возможность отвечать на запросы. В результате это может привести к остановке его работы.
3. UDР-флуд. Применяется, как правило, для широкополосных без сеансовых атак.
4. SYN-флуд. Характеризуется полуоткрытым соединением с узлом. Взаимодействие между двумя сторонами, называемое рукопожатием, остается незавершенным со стороны злоумышленника, блокируя возможность подключения других пользователей.
5. IСМР-флуд. Использует межсетевые управляющие сообщения для перегрузки сетевого канала.
6. МАС-флуд. Наименее распространенный вид атаки. Злоумышленники посылают множество пустых Ethernet-фреймов с разнообразными МАС-адресами. Это вызывает заполнение и последующую остановку работы свитча.

Все эти виды атак довольно серьезны и приводят к проблемам в работе интернет-ресурса.

Мотивы для проведения DDoS-атак

Мотивами для проведения ДДОС-атак может стать личная неприязнь, политические протесты, недобросовестная конкуренция, шантаж.

Конкуренция. Довольно распространенная в бизнес-среде причина ДДОС-атак. Недобросовестные конкуренты могут обратиться к хакерам и работа ресурса будет парализована. Подобные атаки проводятся в оговоренные сроки и с определенной интенсивностью.

Мошенничество. Иногда хакеры устраивают подобные атаки с целью получения средств. Проводится блокировка устройств пользователей сети, и за разблокировку требуется внести определенную сумму.

Развлечение. Иногда начинающие хакеры, пытаясь проверить свои силы, организовывают DDoS атаки.

Способы защиты от вирусов и DDoS-атак

Около 30% ДДОС-атак производится из Китая, 22% из США, 16% из Великобритании. Далее расположились в порядке убывания Франция, Бразилия, Корея, Сингапур, Япония, Вьетнам и Германия.

Ежегодно возрастает количество и мощность DDoS атак. Предсказать их невозможно. А урон, наносимый ними, может быть настолько значительным, оставлять без внимания данный фактор нельзя ни в коем случае.

Факторы и способы защиты от вирусов и ДДОС-атак включают:

• фильтрацию;
• блэкхолинг;
• наращивание ресурсов;
• маскировку IР-адреса;
• обратный DDoS;
• устранение уязвимостей.

Фильтрация сетевого трафика предполагает его маршрутизацию. Проводится переадресация DNSС с проксированием. Либо производится передача по протоколу GRЕ.

В первом варианте клиенту предоставляется IР внутри защищенной сети. И клиент получает уже «чистый» трафик. Преимуществом данного варианта является высокая скорость. Во втором варианте передача трафика производится при помощи GRЕ туннелей.

Облачные решения для DDoS-атак

Хороший результат дают облачные решения. А именно:

• Incарsulа. Производит комплексную защиту от атак на уровнях 3,4 и 7. Работает в постоянном режиме либо включается при необходимости. Данная сеть включает 32 дата-центра. Подходит для защиты сайта, инфраструктуры и DNS.
• Акамаi. Высокоэффективная защита. Подтвержден факт отражения атаки мощностью 620 Gbрs. Располагает более 1300 площадками в 100 странах мира.
• Konа DDоs Dеfеndеr. Защищает от атак на периферию сети.
• Cloudflare. Функционирует 102 дата-центра. Защита производится на уровнях 3,4,7.
• Sucuri. Предлагает комплексную защиту сайта. Производит комплексную защиту от атак на уровнях 3,4 и 7.
• Аlibаbа. Может отражать довольно мощные атаки.
• Myrа. Подходит для защиты сайтов, веб-приложений и DSN-серверов.

Не стоит недооценивать важность защиты от хакерских атак.

Заключение

Специальное программное и аппаратное обеспечение позволит защититься от DDoS-атак как предприятиям малого и среднего бизнеса, так и крупным организациям, и государственным структурам.
Не уделяя должного внимания безопасности своего бизнеса, можно его лишиться буквально за несколько часов. В случае запланированной атаки, ваш сайт будет тщательно изучен злоумышленниками, на наличие слабых и уязвимых мест. И тогда удар будет максимально эффективным.

Поэтому в вопросах защиты от хакерских атак необходимо обращаться к профессионалам. Они обеспечат бесперебойный контроль наличия угроз. А при их возникновении в работу включаются специалисты, корректирующие настройки и работу систем защиты.

Занимайтесь бизнесом. Защиту доверьте профессионалам!

Источник: cloud4box.com

Защита сервера от DDoS-атак

Атаки типа «отказ в обслуживании» DoS (Denial of Service) – это перегрузка сети паразитным трафиком (т.н. флуд), когда на атакуемый ресурс отправляется большое количество злонамеренных запросов, из-за чего полностью «забиваются» все каналы сервера или вся полоса пропускания входного маршрутизатора. При этом передать легитимный трафик на сервер становится невозможно. Запросов может быть так много, что сервер не успевает их обрабатывать и переходит в режим «отказа в обслуживании». На жаргоне специалистов это называется «положить сервер».

Если такая атака ведется не от одного компьютера, а от многих, то такая атака называется распределенной атакой DDoS (Distributed DoS).

Виды DDoS-атак

Атаки 3-4 уровня OSI

Это атаки на сетевом и транспортном уровнях. Злоумышленники «забивают» каналы передачи большим количеством передаваемых пакетов. Канал не может справиться с нагрузкой и выдает ошибку «отказ в доступе». DDoS-атаки могут использовать недостатки сетевых протоколов, перегружая сервер, в результате чего сервер перестает отвечать на запросы.

Атаки 7 уровня OSI

Атаки на уровне приложений потребляют не только сетевые ресурсы, но и ресурсы сервера. Сервер не выдерживает нагрузку, что приводит к его недоступности. Атака при этом направлена непосредственно на операционную систему или приложение с целью вынудить их превысить лимит вычислительной мощности сервера. При этом атакам подвергаются конкретные приложения, сервисы и службы. Атаки могут продолжаться длительное время (несколько часов или дней).

Типы DDoS-атак

• HTTP-флуд: самый простой вид запросов, например, при помощи HTTP-заголовка пакета, который указывает запрашиваемый ресурс сервера. Злоумышленник может использовать сколько угодно заголовков, придавая им нужные свойства. При DDoS-атаке HTTP-заголовки могут изменяться, делая их труднораспознаваемыми для выявления атаки. Кроме того, HTTP-запросы атаки могут передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. При этом «защищенность» идет атакующему только на пользу: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. То есть расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву, что приводит к исчерпанию его вычислительной мощности.
• SYN-флуд (TCP/SYN): устанавливает полуоткрытые соединения с узлом. Когда сервер-жертва принимает SYN-пакет синхронизации через открытый порт, он должен послать в ответ на сервер-источник запроса пакет подтверждения SYN-ACK и открыть соединение. После этого запроса сервер-источник должен послать на сервер пакет подтверждения ACK, однако злоумышленник не посылает это подтверждение. Соединения остаются полуоткрытыми до истечения тайм-аута. Очередь на подключение на атакуемом сервере переполняется и новые клиенты не могут установить соединение с сервером.
• MAC-флуд: злоумышленник посылает поток пустых фреймов Ethernet с разными MAC-адресами в каждом. Коммутаторы сети рассматривают каждый MAC-адрес в отдельности и резервируют ресурсы под каждый из них. Когда вся память коммутатора использована, он либо перестает отвечать, либо останавливает работу. Иногда атака MAC-флудом может удалять таблицы маршрутизации на узлах сети, таким образом нарушая работу всей сети, а не только одного сервера.
• Ping of Death: мастер-бот Ping of Death посылает злонамеренные пинг-запросы через различные IP-протоколы на атакуемый сервер, что приводит к его перегрузке. В настоящее время такие атаки редки. Пропускная способность сетей значительно повысилась, а для таких атак нужно много ресурсов – зараженных ботов.
• Smurf Attack: разновидность Ping of Death. Этот вид атаки использует протокол Интернет (IP) и протокол управляющих сообщений ICMP (Internet Control Message Protocol), на которых работает зловредная программа Smurf. Она подменяет IP-адрес атакующего и пингует IP-адреса в корпоративной сети, оставляя на них полуоткрытые соединения.
• Fraggle Attack: использует большие объемы трафика UDP на вещательной сети маршрутизатора. Эта атака работает аналогично Smurf-атаке, но вместо протокола ICMP использует вещательный протокол UDP.
• Slowloris. Атака Slowloris направлена на веб-сервер. Атакующий сервер подключается к целевому серверу и оставляет это подключение полуоткрытым настолько долго, насколько это возможно, а затем размножает эти полуоткрытые соединения. Закрытие таких соединений атакуемым сервером по таймауту происходит медленнее, чем установка новых соединений. Противодействовать этой атаке довольно сложно, поскольку сложно отследить источник атаки.
• NTP-усиление. Атака использует серверы протокола сетевого времени NTP (Network Time Protocol), который используется для синхронизации компьютерных часов в сети. Цель атаки – перегрузка трафиком UDP. При этой атаке атакуемый сервер отвечает, посылая UDP-трафик на подмененный злоумышленником IP-адрес. «Усиление» означает, что объем ответного UDP-трафика много больше запроса. Поэтому сеть быстро перегружается бесполезным трафиком, а ее узлы останавливают работу.
• Pulse Wave. Главная опасность пульсирующих атак Pulse wave заключается в методике периодических всплесков трафика. Обычная DDoS-атака выглядит как постепенно нарастающий поток вредоносного трафика. Pulse wave представляет собой серию коротких, но мощных импульсов, происходящих с определенной периодичностью.

Пульсирующий трафик атаки Pulse wave (источник: ddos-guard.net)

• APDoS. Усовершенствованная повторяющаяся DoS-атака APDoS (Advanced Persistent DoS) нацелена на нанесение максимального вреда атакуемому серверу. Он использует механизмы HTTP-флуда, SYN-флуда и других видов атак. При этом посылаются миллионы запросов в секунду. Такая атака может длиться неделями, поскольку злоумышленник все время меняет тактику атаки, типы атаки, чтобы обмануть средства противодействия атакуемой стороны.

Как остановить DDoS-атаку

Для противодействия случившейся DDoS-атаке необходимо принять следующие меры:

1. Как можно раньше идентифицировать DDoS-атаку. Чем скорее распознан факт атаки, а также ее источник, тем раньше ее можно остановить и минимизировать ущерб. Для этого полезно иметь профиль входящего трафика – какой объем и какого трафика откуда идет. При этом, если происходят отклонение от это этого профиля, это событие может быть автоматически распознано и могут быть приняты превентивные меры. Большинство DDoS-атак начинаются с кратковременных всплесков трафика, поэтому полезно иметь возможность распознать, вызваны ли эти всплески внезапной активностью легитимных пользователей, либо это начало DDoS-атаки.

Например, 6 сентября 2019 года около 21:00 по московскому времени у многих пользователей в Европе и мире перестали открываться сайты Википедии и Викимедии, а средства контроля доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго. Около полуночи того же дня германский сайт Викимедиа сообщил в Твиттере о масштабной DDoS-атаке на свои серверы, которая с перерывами продолжалась до 5:40 утра следующего дня. Источником атаки была ранее неизвестная хакерская группа UkDrillas, которая проводила «натурные испытания» своих методик и средств, а сайт Википедии был выбран ими в качестве «подопытного кролика».

График сетевого трафика при DDoS-атаке на кластер серверов Викимедиа в г. Ашберн (шт. Вирджиния, США), достигавшего почти 3 Гбит/с (источник: ru.wikinews.org)

1. Однократное выделение серверу полосы пропускания «с запасом». Чем шире полоса у веб-сервера, тем обычно лучше. Таким образом сервер может выдерживать резкие и неожиданные всплески трафика, которые могут быть, например, результатом рекламной кампании. Но даже если заложить запас в 100 %, или 500 %, это вряд ли спасет от DDoS-атаки. Однако это может дать некоторое время на распознавание источника и типа атаки и принятие мер до того, как сервер «ляжет» полностью.
2. Защита периметра сети. Есть несколько технических мер, которые можно предпринять для частичного ограничения эффекта атаки. Многие из них довольно просты и требуют лишь регулировки сетевых настроек. Например:

• Ограничить скорости маршрутизатора, чтобы предотвратить остановку сервера.
• Установить фильтры на маршрутизаторе для сброса пакетов от распознанного источника атаки.
• Установить таймаут на полуоткрытые соединения (от которых в течение времени таймаута не получен подтверждающий ответ источника запроса).
• Сбрасывать пакеты с подмененными IP-адресами и вообще пакеты необычной структуры.
• Установить более низкие пороги сброса для SYN-, ICMP-, и UDP-флуда.

Однако все эти меры хорошо известны и хакерам, и они изобретают все новые способы атак и увеличивают их интенсивность. Но все же эти меры помогут выиграть время на распознавание атаки и принятие мер до наступления фатальной ситуации.

Шансы на предотвращение DDoS-атаки значительно увеличиваются, если веб-сервер расположен в дата-центре, а не в корпоративной сети предприятия. В дата-центрах обычно и входная полоса шире, и имеются мощные маршрутизаторы, которые не всякая организация может себе позволить, а также и персонал имеет больше опыта в предотвращении атак. По крайней мере, другие серверы организации (email, VoIP и пр.) не подвергнутся воздействию атаки.

1. Обратиться к специалисту по DDoS-атакам. Есть специальные компании, которые специализируются на оказании экстренной помощи организациям, ставшим объектом DDoS-атаки. У таких компаний есть разнообразные технологии и средства, чтобы обеспечить работоспособность сервера под DDoS-атакой.

Работа услуги предотвращения DDoS-атак, предоставляемая хостинг-провайдером (источник: ИКС медиа)

1. Создать инструкцию по действиям в случае DDoS-атаки. В такой инструкции могут быть в доступной форме расписаны действия персонала по предотвращению случившейся DDoS-атаки.

Как предотвратить DDoS-атаку

1. Увеличить полосу пропускания. При этом возможно распознать всплески трафика на ранней стадии. Однако в настоящее время это уже плохо помогает предотвратить массированные DDoS-атаки.
2. Резервировать ИТ-инфраструктуру. Чтобы максимально усложнить хакерам задачу DDoS-атаки на сервер, лучше распределить виртуальную серверную инфраструктуру по нескольким дата-центрам с использованием хорошей системы балансировки, которая распределяет трафик между ними. При возможности эти дата-центры должны быть в разных областях и округах страны (или даже в разных странах). Еще лучше будет, если эти дата-центры подключены к разным транспортным сетям, в которых нет очевидных «узких мест» в одной точке. Таким образом, хакеру, в лучшем случае, удастся атаковать лишь часть серверной инфраструктуры, а остальные части инфраструктуры смогут взять на себя дополнительный трафик или его долю.
3. Конфигурироватьсетевое оборудованиятак, чтобы противодействовать DDoS-атакам. Например, можно сконфигурировать файрволл или маршрутизатор так, чтобы они сбрасывали входные пакеты с протоколом ICMP или блокировали ответы от DNS-сервера вне корпоративной сети. Это может помочь предотвратить DDoS-атаки пингования.
4. Использовать аппаратные и программные средства анти-DDoS. Серверы должны быть защищены сетевыми фаерволами, а также фаерволами для веб-приложений. Кроме того, полезно использовать балансировщики нагрузки. Многие вендоры оборудования включают программную защиту от DDoS-атак, таких как SYN-flood, которая следит за количеством незакрытых соединений и сбрасывает их при превышении порога. На веб-серверах, которые наиболее часто подвергаются DDoS-атакам, может быть установлено специальное ПО. Например, это может быть ПО, предотвращающее на 7-м уровне OSI такие атаки, как Slowloris.
5. Специальные защитные средства. Защитные средства анти-DDoS для фаерволов и контроллеров пограничных сессий поставляются такими вендорами, как NetScout Arbor, Fortinet, Check Point, Cisco, Radware и др. В них могут использоваться в т. ч. и средства искусственного интеллекта по распознаванию сигнатур во входящем трафике. Однако слабым местом такого метода защиты является то, что эти средства часто имеют ограничения по объему пропускаемого ими трафика. Самые мощные из них могут обрабатывать трафик около 80 Гб/с, а современные техники DDoS-атак могут превосходить и этот уровень трафика.
6. Защита DNS-сервера. Не следует забывать и о том, что злоумышленники могут атаковать веб-серверы не напрямую, а «положив» DNS-сервер корпоративной сети. Поэтому важно резервировать DNS-серверы, располагая их в разных дата-центрах с балансировщиками нагрузки.

Заключение

Можно сказать, что не существует какой-то «волшебной таблетки», универсального средства, которые дадут возможность забыть о DDoS-атаках. Хакеры-злоумышленники – народ злобно-изощренный, и они не только изобретают все новые виды, методы и средства DDoS-атак, но также и тщательно изучают доступные на рынке средства противодействия им. Здесь весьма уместна присказка про «болт с резьбой», весьма популярная в среде хакеров.

Какие бы и сколько бы средств какой угодно мощности вы ни установите на свою сеть, это не даст гарантии того, что вы не станете жертвой DDoS-атаки. Поэтому защите от DDoS-атак необходимо постоянно уделять самое пристальное внимание. Не следует ограничиваться только установкой программно-аппаратных средств защиты. Необходимо также проводить образовательную работу среди инженерного персонала.

Вам может быть интересно:

Источник: itelon.ru