Как распознать dos-атаку. разница между ddos-атакой и dos

Типы DDoS-атак

Существует несколько видов ДДоС-атак. Самые известные и распространенные из них:

• HTTP-флуд и ping-флуд.
• Smurf-атака (ICMP-флуд).
• Атака Fraggle (UDP-флуд).
• SYN-флуд.

Ниже мы подробнее расскажем о каждой.

HTTP-флуд и ping-флуд

Ping-флуд — один из видов атаки, целью которого является отказ в обслуживании сетевого оборудования. Его главная особенность — возможность проведения атаки с помощью программного обеспечения, которое входит в состав обычных версий операционных систем. Является самым простым и примитивным типом атаки. Осуществить ее можно исключительно в том случае, если канал нападающего хакера значительно шире канала компьютера-жертвы. То есть, такой метод неэффективен против сервера с широкой полосой пропускания.

Для ДДоС-атаки на сервер чаще всего используют HTTP-флуд. Суть этого способа заключается в том, что злоумышленник посылает маленький по объему HTTP-пакет, однако такой, чтобы сервер ответил на него пакетом, размер которого во много раз больше. При таких условиях появляется большая вероятность насытить полосу пропускания жертвы.

Smurf-атака (ICMP-флуд)

Smurf-атака или ICMP-флуд — удаленная сетевая атака, осуществляемая программно по каналам связи. При ней хакеры отправляют широковещательные сетевые запросы от имени целевой системы. Транспортом служат ICMP-пакеты, рассчитанные для передачи служебной информации. Является одним из самых тяжелых и вредоносных видов DDoS, потому что у атакуемого оборудования практически не остается шансов избежать отказа в обслуживании.

Атака Fraggle (UDP-флуд)

Атака Fraggle — это разновидность Smurf-атаки, при которой злоумышленник вместо ICMP пакетов отправляет пакеты UDP. Именно отсюда пошло второе название такой атаки — UDP-флуд. Схема работы атаки Fraggle достаточно прост: на 7 порт потерпевшего отправляются echo-команды по широковещательному запросу. Echo — это команда Unix, которая служит для отображения строки текста. Далее заменяется ip-адрес хакера на ip-адрес устройства потерпевшего, который в скором времени получает большое число ответных сообщений. В итоге происходит насыщение полосы пропускания, и наступает отказ в обслуживании.

SYN-флуд

SYN-флуд — еще один вид сетевых атак. Ее смысл кроется в отправке большого числа SYN-запросов в достаточно короткий срок. Злоумышленник, отправляя фиктивные запросы, может потратить все ресурсы системы, которые предназначались для установления соединения.

А есть профилактика против атак?

К сожалению, универсального способа борьбы с мошенниками нет. Но, если выполнять рекомендации и сохранять бдительность, вы сможете обезопасить себя. 

Например, наиболее эффективный способ защиты от DDoS атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг или интернет-провайдера. Причём выполняться это может как средствами сетевых маршрутизаторов, так и с помощью специального оборудования.

Вести контроль версий ПО и сетевых служб — необходимо своевременно обновлять программное обеспечение сетевых служб.

Тщательно выбирать хостинг-провайдера. Выбирайте поставщика, дающего гарантии защиты от всех современных угроз. Например, в REG.RU защита от DDoS подключается к услугам хостинга (Shared Hosting), виртуальных серверов (VPS) и выделенных физических серверов (Dedicated) автоматически для всех пользователей.

Используйте брандмауэр приложений и автоматизируйте проверку сетевого трафика и валидации запросов к портам и службам сервера.

Распределяйте трафик с помощью CDN, чтобы ускорить обработку трафика и запросов за счёт распределённого хранения контента.

Не забывайте про балансировщик нагрузки — при подозрительно нагрузке программа определяет самый незагруженный сервер и отправляет клиента на него. 

Плюс желательно иметь чёткий план действий на случай краха сайта. В него могут входить мероприятия по оперативному подключению другого сервера, перенастройке DNS-хостов и так далее.

И, конечно же, сохраняйте бдительность. 

⌘⌘⌘

Надеемся, что наш пост поможет защитить вашу инфраструктуру от атак. Мы всегда готовы поделиться полезным опытом! 

Читайте наши статьи по «Безопасности», где ведущие специалисты REG.RU делятся с вами полезными советами, и выбирайте надёжный хостинг с встроенной защитой от DDoS-атак.

Заказать защищённый хостинг

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

DoS против DDoS-атак: управляемая угроза

Существует несколько атак, таких как DoS-атаки на современные организации. В то время как кража данных может быть чрезвычайно вредной, прекращение вашей службы в результате атаки методом грубой силы влечет за собой целый ряд других осложнений, которые необходимо устранить. Простои на один день могут оказать существенное финансовое влияние на организацию.

Знакомство с типами DoS и DDoS-атак, с которыми вы можете столкнуться, будет иметь большое значение для минимизации ущерба от атак. По крайней мере, вы хотите убедитесь, что у вас есть инструмент мониторинга сети так что вы можете обнаружить необычный трафик, который указывает на потенциальную атаку. Хотя, если вы серьезно относитесь к DoS-атакам, вам необходимо убедиться, что вы иметь план реагирования после атаки.

DoS-атаки стали одной из самых популярных форм кибератаки в мире, потому что их легко выполнить

Поэтому очень важно проявлять инициативу и реализовывать как можно больше мер для предотвращения атак и реагирования на них в случае их успеха. При этом вы ограничите свои потери и оставите себя в положении, при котором вы сможете вернуться к нормальной работе как можно быстрее.

Дальнейшее чтение:

• • 5 лучших поставщиков пограничных услуг
  • Понимание DoS и DDoS атак

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.

Что такое DoS-атака?

DoS-атака (Denial of Service) — буквально «отказ в обслуживании». Это тип атаки, в котором мошенники нападают с целью вызвать перегрузку подсистемы сервиса. В этом случае компьютер (или компьютеры) используется для заполнения сервера пакетами TCP и UDP. 

Особенности DoS-атак

• Одиночная атака. Отправка вредоносных пакетов производится из одной сети.
• Высокая заметность. Попытки «положить» сайт заметны по содержимому лог-файла.
• Лёгкость подавления. DoS-атаки можно легко предотвратить, заблокировав источник. Это может сделать системный администратор или сетевые фильтры, анализирующие трафик.

Простота координации DoS-атак означает, что они стали одна из самых распространённых угроз кибербезопасности с которыми сталкиваются современные организации. DoS-атаки просты, но были очень эффективны в 90 годы. Сейчас же они преобразовались в DDoS-атаки и могут нанести сокрушительный ущерб компаниям или частным лицам, на которых они направлены. Одной атакой организация может быть выведена из строя на несколько дней или даже недель.

Цели злоумышленников, использующих DDoS-атаки

Вымогательство

Чаще всего атаки заказывают вымогатели. Они находят контактные данные на сайте жертвы, обращаются к DDoS-ерам и просят запустить небольшую атаку перед тем, как выдвинуть жертве свои требования. В среднем такая атака длится не более часа. Следом за этим жертве приходит письмо с требованием откупиться от более масштабной атаки в будущем или предложением восстановить работоспособность сервиса за деньги.

Конкурентная война

Борьба за покупателей вынуждает бизнес искать новые инструменты конкурентной войны, даже незаконные. DDoS-атаку могут заказать недобросовестные конкуренты с различными целями: нанести урон репутации, финансовые убытки, обеспечить неработоспособность сайта/сервиса на длительный период и так далее.

Охота за ценными данными

DDoS-атака может также служить инструментом отвлечения внимания специалистов по информационной безопасности. Совершая такую атаку, киберпреступники параллельно могут попытаться завладеть, например, ценными данными компании-жертвы.

Определение и механизм действия

DDoS-атака (Distributed Denial of Service c английского переводится как «распределенный отказ обслуживания») – нападение на сервис, которое стремится вывести его из строя методом перегрузки запросами.

Слово «распределённый» указывает, что в атаке участвует не один компьютер, а множество. В отдельных случаях количество атакующих доходило до нескольких миллионов. Армия для нападения набирается следующим способом: на уязвимых компьютерах в сети (ПК и сервер) без ведома их владельцев захватывается управление и устанавливаются троянские программы, которые по команде запускают генерацию запросов в фоновом режиме. Такие машины именуются «компьютеры-зомби», а образованная ими сеть – «ботнет». Чтобы стать невольным участником DDoS-атаки, достаточно неосмотрительного поведения в сети, например, открыть подозрительную ссылку, скачать файл из ненадежного источника или использовать простой пароль.

Запросы, которыми бомбардируется компьютер-мишень, могут быть разных типов, но общий принцип таков: полностью исчерпать ограниченные ресурсы атакуемого сервера (занять своим трафиком весь канал, захватить под свои задачи все процессорное время и т. д.), в результате чего он станет недоступен для других пользователей.

Почему DoS и DDoS атаки происходят?

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Существует огромное количество причин, из-за которых злоумышленники приводят бизнес в автономный режим. Например:

• Вымогательство — одна из распространённых причин для атаки. После успешной попытки взлома злоумышленники потребуют выкуп, чтобы остановить атаку и вернуть сайт в оперативный режим. Но, конечно же, отдавать деньги хакерам не стоит — нет никакой гарантии, что работа вашего сайта будет восстановлена. 
• Недобросовестная конкуренция. Отключив корпоративную сеть, конкуренты пытаются украсть ваших клиентов у вас. 
• Развлечение — молодые программисты запускают атаки ради хвастовства перед друзьями, знакомыми, коллегами. 
• Неприязнь личного, политического характера. Здесь мотивом становится либо несогласие с политикой компании. 
• Также нельзя исключать личную неприязнь недовольных сотрудников, которые уволились или ещё продолжают работать, но уже готовы пакостить своему работодателю.

UDP-флуд

Метод захламления полосы пропускания. Основан на бесконечной посылке UDP-пакетов на порты различных UDP-сервисов. Легко устраняется за счет отрезания таких сервисов от внешнего мира и установки лимита на количество соединений в единицу времени.

#Ставим ограничение на 5 соединений на 80 порт.
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT
# Разрешаем только одно одновременное соединение с одного айпи на smtp
iptables -A FORWARD -p tcp --syn --dport smtp -m connlimit --connlimit-above 1 -j DROP
#Ставим ограничение на 200 соединений на 1720 порт.
iptables -A INPUT -p tcp --syn --dport 1720 -m connlimit --connlimit-above 200 -j REJECT

# udp 5060
$IPT -A INPUT -p udp --dport 5060 -m connlimit --connlimit-above 60 -j LOG --log-level info --log-prefix "REJECT 5060: "
$IPT -A INPUT -p udp --dport 5060 -m connlimit --connlimit-above 60 -j REJECT
# tcp 1720
$IPT -A INPUT -p tcp --syn --dport 1720 -m connlimit --connlimit-above 60 -j LOG --log-level info --log-prefix "REJECT 1720: "
$IPT -A INPUT -p tcp --syn --dport 1720 -m connlimit --connlimit-above 60 -j REJECT

SYN-флуд

Один из распространенных способов не только забить канал связи, но и ввести сетевой стек операционной системы в такое состояние, когда он уже не сможет принимать новые запросы на подключение. Основан на попытке инициализации большого числа одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. После нескольких попыток отослать ответный ACK-пакет на недоступный адрес большинство операционок ставят неустановленное соединение в очередь. И только после n-ой попытки закрывают соединение. Так как поток ACK-пакетов очень велик, вскоре очередь оказывается заполненной, и ядро дает отказ на попытки открыть новое соединение. Наиболее умные DoS-боты еще и анализируют систему перед началом атаки, чтобы слать запросы только на открытые жизненно важные порты. Идентифицировать такую атаку просто: достаточно попробовать подключиться к одному из сервисов. Оборонительные мероприятия обычно включают в себя:

Увеличение очереди «полуоткрытых» TCP-соединений:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Уменьшение времени удержания «полуоткрытых» соединений:

# sysctl -w net.ipv4.tcp_synack_retries=1

Включение механизма TCP syncookies:

# sysctl -w net.ipv4.tcp_syncookies=1

Что такое DDoS-атака?

DDoS-атака (Distributed Denial of Service) — по сути, это та же DoS-атака, но реализованная с нескольких машин на один целевой хост

Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика, поэтому этот тип атаки занимает важное место в арсенале хакеров

Во время DDoS-атаки возникают большие сложности с обнаружением её источника, так как хакер использует целую сеть связанных между собой машин или ботов. Традиционно атаки ведутся с заражённых вирусами компьютеров обычных пользователей, которые даже не подозревают, что стали невольными соучастниками правонарушения. Но не так давно появился новый способ — проводить атаки с помощью IoT устройств (умные чайники, кофеварки, пылесосы и другая техника). Дело в том, что раз у умных гаджетов есть доступ в интернет, а значит есть и возможность участвовать в DDoS-атаке. 

Эти компьютеры и техника образуют ботнет — единую сеть, которой управляет злоумышленник  — он же ботмастером, с главного контрольного сервера (C&C). Подобная структура позволяет хакеру координировать атаки одновременно с нескольких системам, численность которых колеблется от десятков до миллионов устройств.

Один из ярких примеров — ботнет Mirai. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов — сейчас он атакует и заражает не только ПК, но и умную технику. Уже в 2019 году Mirai захватил почти 500 000 устройств и повредил сервисы, например, Xbox Live и Spotify и веб-сайты, такие как BBC и Github. 

Особенности DDoS

• Многопоточная атака. Благодаря возможности организовать атаку на ресурс с нескольких хостов шансы «положить» сервер намного выше, чем у нападения методом DoS. Если в подчинении злоумышленника сотни, тысячи, а то и миллионы ботов на разных хостах, то атаку не выдержат даже самые мощные и защищённые системы.
• Скрытность. Вредоносный трафик с нескольких хостов выглядит «живым» для защитных фильтров и администраторов, что усложняет обнаружение DDoS. Но, если сохранять бдительность и следовать рекомендациям, что мы дадим в конце статьи, обнаружить атаку всё же можно.
• Сложность подавления. Остановить мощную DDoS-атаку крайне сложно. Трудности может вызвать не только подавление уже начавшегося нападения, но и обнаружение самого факта атаки. Дело в том, что для остановки DoS-атаки админу достаточно забанить всего один IP-адрес. Если же говорить о DDoS, то речь может идти о +100500 IP-адресах, с которыми тяжело оперативно справиться.

Каковы распространенные типы DDoS-атак?

Различные типы DDoS-атак нацелены на различные компоненты сетевого подключения. Чтобы понять, как работают различные DDoS-атаки, необходимо знать, как осуществляется сетевое подключение. Сетевое подключение к интернету состоит из множества различных компонентов или “слоев”. Как и строительство дома с нуля, каждый шаг в модели имеет свое назначение. Модель OSI является концептуальной основой, используемой для описания сетевого подключения в 7 различных уровнях. В то время как почти все DDoS-атаки включают в себя целевое устройство или сеть с трафиком, атаки можно разделить на три категории. Злоумышленник может использовать один или несколько различных типов атаки или циклические атаки, основанные на мерах противодействия, принимаемых целью.

Атаки на уровне приложений

Цель атаки:

Иногда упоминается как уровень 7 DDoS-атак (в отношении 7-го уровня модели OSI), цель этих атак состоит в том, чтобы исчерпать ресурсы цели. Атаки нацелены на уровень, на котором веб-страницы создаются на сервере и доставляются в ответ на HTTP-запросы. Один HTTP-запрос дешев для выполнения на стороне клиента, и может быть дорогим для целевого сервера, чтобы ответить, поскольку сервер часто должен загрузить несколько файлов и выполнить запросы базы данных для создания веб-страницы. Атаки уровня 7 трудно защитить, поскольку трафик нелегко распознать как вредоносный.

Поток HTTP

Эта атака похожа на нажатие обновить в веб-браузере снова и снова на многих разных компьютерах одновременно – большое количество запросов HTTP наводняет сервер, что приводит к отказу в обслуживании. Этот тип атаки варьируется от простого к сложному. Более простые реализации могут обращаться к одному URL-адресу с одинаковым диапазоном атакующих IP-адресов, источников ссылок и агентов пользователей. Сложные версии могут использовать большое количество атакующих IP-адресов и целевых случайных URL-адресов с помощью случайных источников ссылок и агентов пользователей.

Атаки по протоколу

Цель атаки:

Атаки по протоколу, также известные как атаки с исчерпанием состояния, вызывают нарушение работы службы, потребляя всю доступную емкость таблицы состояний серверов веб-приложений или промежуточных ресурсов, таких как брандмауэры и подсистемы балансировки нагрузки. Атаки протокола используют слабые места в уровне 3 и уровне 4 стека протокола, чтобы сделать цель недоступной.

SYN Flood

Поток SYN аналогичен работнику на складе, получающему запросы от передней части магазина. Работник получает запрос, идет и получает пакет, и ждет подтверждения, прежде чем вынести пакет в магазин. Затем работник получает еще много запросов пакетов без подтверждения до тех пор, пока они не сможет нести больше пакетов, перегружается, и запросы начинают идти без ответа. Эта атака использует квитирование TCP, отправляя цели большое количество пакетов SYN «запрос начального соединения» TCP с поддельными IP-адресами источника. Целевой компьютер отвечает на каждый запрос на подключение, а затем ожидает последнего шага в квитировании, которое никогда не происходит, исчерпывая ресурсы целевого объекта в процессе.

Объемные атаки

Цель атаки:

Эта категория атак пытается создать перегрузку, потребляя всю доступную пропускную способность между целью и интернетом. Большие объемы данных отправляются цели с помощью усиления или другого средства создания массового трафика, например, запросов от ботнета.

Усиление DNS

Усиление DNS — это, как если бы кто-то позвонил в ресторан и сказал: «Мне все, пожалуйста, перезвоните мне и продиктуйте мне весь мой заказ», где номер телефона обратного вызова, который он дает, является номером цели. С очень небольшим усилием, выполняется длинный ответ.

Отправив запрос на открытый DNS-сервер с поддельным IP-адресом (реальным IP-адресом цели), целевой IP-адрес получает ответ от сервера. Злоумышленник структурирует запрос таким образом, что DNS-сервер отвечает цели с большим объемом данных. В результате целевой объект получает усиление исходного запроса злоумышленника.

Категории DDoS-атак и их опасность

От того, какую часть сети злоумышленники планируют атаковать, зависит сложность и тип DDoS-атаки. Сетевые подключения состоят из различных уровней (согласно сетевой модели OSI), DDoS-атака может быть направлена на любой из них:

L7 (уровень приложения) обеспечивает взаимодействие пользовательских приложений с сетью. Например, просмотр страниц с помощью протокола HTTP.

L6 (уровень представления) обеспечивает преобразование протоколов и кодирование/декодирование данных. Этот уровень работает на основе протоколов сжатия и кодирования данных (ASCII, EBCDIC).

L5 (сеансовый уровень) обеспечивает поддержку сеанса связи, позволяя приложениям взаимодействовать между собой длительное время. Основные протоколы этого уровня — SMPP и PAP.

L4 (транспортный уровень) обеспечивает надежную передачу данных от отправителя к получателю. Основные протоколы этого уровня — UDP и TCP.

L3 (сетевой уровень) отвечает за трансляцию логических адресов и имён, коммутацию и маршрутизацию. Работает по протоколу IP (Internet Protocol).

L2 (канальный уровень) обеспечивает взаимодействие сетей на физическом уровне. Работает через коммутаторы и концентраторы.

L1 (физический уровень) определяет метод передачи данных, представленных в двоичном виде, от одного устройства к другому. Работает благодаря протоколам Ethernet, Bluetooth, Wi-Fi, IRDA.

Киберпреступники могут атаковать любой из семи уровней, но наиболее часто подвергаются атакам L3 и L4 (низкоуровневые атаки), а также L5 и L7 (высокоуровневые атаки).

DDoS-атаки могут иметь смешанный характер, однако можно выделить три категории:

• атаки на уровне приложений;
• атаки на уровне протокола;
• объемные атаки.

Разберем каждую категорию с примерами атак.

Кто осуществляет DDoS-атаки

Хактивисты — политические активисты, которые используют DDoS в качестве гражданского протеста. Согласно отчёту компании Kaspersky в мае 2020 года возросло количество атак на правозащитные организации в США. Количество выросло в 1120 раз и совпало с массовыми протестами.

Anonymous — самые известные представители хактивизма. Это децентрализованная группа хактивистов, в большинстве своём состоящая из пользователей имиджбордов и интернет-форумов. Они известны взломом ресурсов с незаконным контентом и последующей публикацией персональных данных пользователей этих ресурсов. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европарламента.

У них даже появился символ — маска главного героя фильма «V значит Вендетта». В этой маске он боролся с режимом.

Маска Гая Фокса в 2008 стала и мемом и символом Anonymous

LulzSec — группа из 6 человек. Появилась в мае 2011 года и просуществовала до 26 июня. За такой короткий срок группировка успела прославиться успешными атаками на серверы Sony, Nintendo, серверы телекомпаний FOX и PBS, а также сайт Сената США. LulzSec прекратили свою деятельность после ареста нескольких членов группировки.

Также нередко под именем известных группировок действуют обычные DDoS-шантажисты. В 2020 году некоторые крупные компании получали угрозы от имени Fancy Bear и Armada Collective — известных хак-групп. Подражатели пообещали устроить атаку на сайт компании, если не получат выкуп.

Что такое атака Распределенный отказ в обслуживании (DDoS)?

Атака Распределенный отказ в обслуживании (DDoS) использует ту же идею, что и DoS атака, но технически отличается. Суть атаки так же следует из ее названия — на сайт одновременно обращается множество компьютеров злоумышленника с запросом на получение страниц, что в итоге приводит к тем же последствиям, что и при DoS атаке. Этот процесс можно сравнить с той же ловлей рыбы, но в парке, где ходят толпы людей и по очереди бросают еду в воду. За счет того, что таких людей много, забрасывание удочки будет приводить к тем же результатам, что и в предыдущем сравнении. Однако, реализовать данную атаку сложнее, так как для ее проведения требуется достаточно много компьютеров. По этой причине, для реализации данной атаки, чаще всего, прибегают к использованию ботнет сетей. 

Примечание: Иногда DDoS атака происходит непредумышленно, когда огромное число пользователей по какой-либо случайности заходит на сайт. К примеру, при анонсировании небольшого сайта на порталах с огромной посещаемостью, такой сайт может попросту не справиться с наплывом пользователей и временно быть не доступен.

Ботнет сеть представляет собой логически организованную сеть из множества зараженных компьютеров пользователей (такие компьютеры еще называют зомби), которая управляется одним или несколькими злоумышленниками и которая будет выполнять нужные злоумышленникам действия. В случае с DDoS, речь идет об отправке запросов на открытие страниц сайта всеми или частью зомбированных компьютеров ботнет сети. Технически, создание ботнет сетей происходит за счет инфицирования компьютеров обычных пользователей троянами, червями и прочими вредоносными программами. Которые после заражения отсылают информацию о себе на управляющие звенья, тем самым добавляясь к сети. Обычно, такие вредоносные программы редко проявляют какую-либо видимую вредоносную активность на компьютерах пользователей, дабы избежать лишних проверок системы антивирусами и прочими средствами безопасности. Это позволяет им оставаться в ботнет сети продолжительное время. 

Примечание: Для большинства пользователей таких зараженных компьютеров максимальным эффектом будут лишь периодические скачки в сетевой активности, которую если раньше можно было легко заметить (особенно, во времена модемов), то сегодня, при наличии высокоскоростного интернета, такую активность сложно определить без специальных средств.

Сегодня, данный вид атаки встречается все чаще, ведь кроме того, что ее сложнее отследить, в случае больших ботнет сетей, ее попросту невозможно быстро обезвредить.

Примечание: Основной для роста числа DDoS атак является стремительное увеличение числа компьютеров, расширение области программного обеспечения, развитие скоростей обмена данными и ряд других факторов.

DDoS атаки на DNS сервера

Как известно, DNS- сервер возвращает IP-адрес сайта по имени хоста. Атакер может использовать уязвимости DNS-серверов для блокировки доступа к сайту жертвы.

DNS-flood атака

Алгоритм: Эта атака похожа на UDP-flood, так как DNS-серверы полагаются на UDP-протокол. Атакер шлет случайные UDP-запросы на порт 53 с поддельным IP-адресом отправителя. Эти запросы неточные и неправильно отформатированные. За счет количества запросов, идет перегрузка DNS-сервера и адрес жертвы становиться не доступным. Так как UDP не требует подтверждения соединения, подмену IP выполнить легче.

DNS amplification атака

Алгоритм: Атакер отправляет небольшой запрос для поиска IP-адреса, в котором адрес ответа заменен на адрес жертвы. Атака может усиливаться через botnet (усиливающая сеть). Усиление также происходит по причине того, что размер запроса намного меньше размера ответа и атакер стремится сделать ответ максимально большим по размеру. Коэффициент усиления за счет размера запроса может достигать 70-ти. Усиливающая сеть также может использоваться для отражения ответа, усложняя поиск атакера и дополнительно увеличивая трафик. При этом жертва получает большое количество ответов. Происходит перегрузка сети или сервера, и веб-сервис становиться недоступным.

Атакер может использовать только не правильно сконфигурированный DNS-сервер по технологии DNSSEC. Суть в том, что правильный сервер должен принимать запросы только от своего провайдера. Но на деле много DNS-серверов настроены не правильно и могут принимать любые запросы.

DNS nxdomain flood атака

Алгоритм: Атакер наводняет DNS-сервер запросами на несуществующие или недопустимые записи. DNS-сервер тратит все свои ресурсы на поиск этих записей. Кэш сервера заполняется ложными запросами, и в конечном итоге он не имеет ресурсов для обслуживания легитимных запросов.

Противодействие атакам через DNS-сервер

Защита от атак через DNS зависит во многом от провайдера DNS-сервера. Так же возможно использовать софт, который будет перенимать все запросы от DNS-сервера, и фильтровать вредоносные. Возможно использовать технологию Anycast для балансировки нагрузки атаки через глобальную сеть мощных серверов очистки, где трафик проходит процесс глубокой проверки пакетов, который отфильтровывает вредоносный трафик DDoS.

В следующей части рассмотрим опасные DDoS атаки на ресурсы сервера и приложений…

Что такое DoS-атака?

DOS атаки это атака отказа в обслуживании где компьютер (или компьютеры) используется для залить сервер TCP и UDP пакетами. Во время атаки такого типа служба отключается по мере отправки пакетов. перегрузить возможности сервера и сделать сервер недоступным для других устройств и пользователей по всей сети. DoS-атаки используются для отключения отдельных компьютеров и сетей, чтобы их не могли использовать другие пользователи..

Существует множество способов использования DoS-атак. К ним относятся следующие:

• Атаки переполнения буфера — Этот тип атаки является наиболее распространенной атакой DOS. Под этой атакой злоумышленник перегружает сетевой адрес трафиком, так что он выводится из употребления..
• Ping of Death или ICMP-флуд — Атака ICMP используется для захвата ненастроенных или неправильно настроенных сетевых устройств и использует их для отправки поддельных пакетов для проверки связи с каждым компьютером в сети. Это также известно как атака Ping of Death (POD).
• SYN флуд — SYN-флуд-атаки отправляют запросы на подключение к серверу, но не завершают квитирование. Конечным результатом является то, что сеть становится заполненной запросами на соединение, которые не позволяют никому подключиться к сети..
• Teardrop Attack — Во время слезной атаки DOS злоумышленник отправляет фрагменты пакета данных IP в сеть. Затем сеть пытается перекомпилировать эти фрагменты в их исходные пакеты. Процесс компиляции этих фрагментов истощает систему, и в итоге происходит сбой. Это происходит сбой, потому что поля предназначены для того, чтобы запутать систему, чтобы она не могла собрать их вместе.

Простота координации DoS-атак означает, что они стали одна из самых распространенных угроз кибербезопасности с которыми сталкиваются современные организации. DoS-атаки просты, но эффективны и могут нанести сокрушительный ущерб компаниям или частным лицам, на которых они направлены. Одной атакой организация может быть выведена из строя на несколько дней или даже недель.

Время, которое организация проводит в автономном режиме, складывается. Отсутствие доступа к сети ежегодно обходится организациям в тысячи. Данные не могут быть потеряны, но перерыв в обслуживании и простои могут быть огромными. Предотвращение DoS-атак является одним из основных требований защиты в современном мире..