Поток ложных запросов, который пытается блокировать выбранный ресурс либо путем атаки на канал связи, который “забивается” огромной массой бесполезных данных, либо атакой непосредственно на сервер, обслуживающий данный ресурс. Такие действия используются в целях конкурентной борьбы, прямого шантажа компаний, а также для отвлечения внимания системных администраторов от иных противоправных действий.
Распределенные атаки типа “отказ от обслуживания” (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.
Атаки DoS и DDoS часто встречаются в мире интернет-безопасности. Во-первых, они не направлены на уязвимости, которые могут быть исправлены; во-вторых, каждый отдельный пакет является вполне легитимным — лишь их совокупность приводит к разрушительным последствиям, и, в-третьих, такие атаки носят продолжительный характер – они длятся несколько часов или дней, вместо нескольких секунд или минут.
В течение многих лет атакам DoS и DDoS не уделяли должного внимания, поскольку они считались нишевыми. Ситуация резко изменилась в 2011 году, когда группа Anonymous выбрала DoS/DDoS-атаки в качестве основного метода нападения. Воодушевленная мощностью и разрушительными последствиями такой атаки, группа Anonymous превратила ее в основной метод борьбы, привлекая к нему внимание не только сообщества специалистов по безопасности, но и широкой публики.
Виды DDoS-атак.
• Ошибки в программном коде, для эксплуатации которых применяются специальные эксплойты – программы, или фрагменты кода, использующие уязвимости в ПО, в ходе атаки. WinNuke и Ping of death – примеры эксплойтов, неспособных установить контроль над системой врага, но успешно осуществляющих ddos-атаку.
• «Недопроверка» пользовательских данных – приводит к повышенному длительному потреблению ресурсов процессора, либо к выделению большого объёма оперативной памяти (вплоть до исчерпания процессорных ресурсов и доступной памяти).
• Флуд (от англ. flood —«переполнение») — большое количество бессистемных и бессмысленных вопросов к системе с целью вывести ее из строя (причины – исчерпания ресурсов системы: памяти, процессора или каналов связи).
• Атака второго рода — вызывает ложное срабатывание системы защиты и приводит к недоступности ресурса.
На что нацелена DDoS-атака?
Чтобы эффективно защититься от ddos-атак, необходимо разграничивать потенциальные опасности. В зависимости от объекта атаки:
• Ресурсоемкие пакеты с поддельными адресами «забивают» каналы связи, что усложняет или блокирует доступ на сайт легитимных пользователей. Широкая пропускная способность каналов связи поможет защититься от атак этого типа.
• Если атаке подвергаются ресурсы системы, то ее производительность снижается, в результате чего система работает медленно или зависает. Атакующим прекрасно известно, какие пакеты данных нужно отправить компьютеру-жертве для загрузки.
• Уязвимости ПО использует разрушающая атака, которая может изменить конфигурацию и параметры системы. Любые несанкционированные изменения должны отслеживаться и устраняться. Свой скрипт защиты от ddos применятеся в каждом отдельном случае.
Пакеты инструментов для DDoS-атак.
Пакеты инструментов, для использования которых не требуется писать код или быть опытным хакером, позволяют новичкам легко настроить ботнет. Пакет инструментов для DDoS-атак представляют собой пакет ПО, состоящего из двух компонентов – конструктора ботов и сервера управления.
• Bot Builder – инструмент для пошагового создания ботов с графическим интерфейсом, который позволяет атакующему создать исполняемый файл (бот), распространяемый на компьютеры, которые будут являться частью ботнета. Созданный бот содержит адрес сервера управления, с которым он может обмениваться данными.
• Центр управления (Command and Control, C&C) – представляет собой страницу администратора, которая используется злоумышленником для отслеживания состояния ботов и отправления команд.
Сразу после установки C&C и подготовки исполняемого бота, злоумышленник должен передать бот как можно большему количеству других компьютеров, которые станут частью ботнета, используя общедоступные методы, такие как социальная инженерия и атаки для попутной загрузки, когда веб-браузер, будь это Internet Explorer или Chrome, используется для того, чтобы обманным образом побудить пользователя загрузить и запустить вредоносное ПО. Как только армия ботов достигает нужных размеров, можно запускать атаку.
Как любые профессиональные разработчики ПО, разработчики инструментов для DDoS-атак совершенствуют свои продукты и выпускают новые версии, которые затем публикуются и продаются. В мире нелегального ПО большинство таких пакетов представляют собой версии других ботов, исполняемые файлы и/или исходный код которых был изменен и переименован.
Почему сложно защититься от DDoS-атак?
Защититься от DDoS сложно по следующим трем основным причинам.
• Врожденные уязвимости сети. Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы – все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
• Невозможность заблокировать толпу. DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.
• Поиск виновных. Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты “хорошие”, а какие “плохие”. Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.
Заключение.
Цель одна – «подвесить» систему, вывести Ваш сайт из строя. Конкуренты на рынке разбираются друг с другом с помощью профессиональных хакеров. Существует даже так называемый ddos-бизнес. Защита от ddos-атак в таких условиях просто необходима.
Защита должна быть активирована на всех уровнях:
• Провайдер может предоставить базовую защиту. Также мы советуем приобретать хостинг с защитой от ddos. Это многоуровневая система, которая защитит Ваш сайт от атаки.
• Защититься от ddos-атак на уровне сети поможет межсетевой экран и файрвол. При ddos-атаке на сервер это поможет распознать угрозу и выиграть время для защиты, а небольшая атака может быть остановлена и этими средствами.
• Важно использовать актуальное оборудование, что поможет защититься от ddos на уровне hardware. Также необходимо следить за тем, чтобы программное обеспечение не имело ошибок и уязвимостей.