Úvod

Dovolte mi provést rezervaci hned, když jsem psal tato recenze, byl jsem primárně zaměřen na publikum, které rozumí specifikům práce telekomunikačních operátorů a jejich datových sítí. Tento článek nastiňuje základní principy ochrany před DDoS útoky, historii jejich vývoje v posledním desetiletí a současnou situaci.

Co je DDoS?

Pravděpodobně dnes, když ne každý „uživatel“, tak alespoň každý „IT specialista“ ví, co jsou DDoS útoky. Ale ještě je potřeba říct pár slov.

DDoS útoky (Distributed Denial of Service) jsou útoky na počítačové systémy (síťové zdroje nebo komunikační kanály), jejichž cílem je znepřístupnit je legitimním uživatelům. Útoky DDoS zahrnují současné odesílání velkého počtu požadavků na konkrétní zdroj z jednoho nebo více počítačů umístěných na internetu. Pokud tisíce, desítky tisíc nebo miliony počítačů současně začnou odesílat požadavky na konkrétní server (nebo síťovou službu), pak to server buď nebude schopen zpracovat, nebo nebude dostatečná šířka pásma pro komunikační kanál k tomuto serveru. . V obou případech nebudou mít uživatelé internetu přístup k napadenému serveru, ani ke všem serverům a dalším zdrojům připojeným prostřednictvím zablokovaného komunikačního kanálu.

Některé vlastnosti DDoS útoků

Proti komu a za jakým účelem jsou DDoS útoky spouštěny?

DDoS útoky lze spustit proti jakémukoli zdroji na internetu. Největší škody DDoS útoky utrpí organizace, jejichž podnikání přímo souvisí s jejich přítomností na internetu – banky (poskytující služby internetového bankovnictví), internetové obchody, obchodní platformy, aukce, ale i další druhy aktivit, jejichž aktivita a efektivita výrazně závisí na jejich přítomnosti na internetu (cestovní kanceláře, letecké společnosti, výrobci vybavení a softwaru atd.) DDoS útoky jsou pravidelně spouštěny proti zdrojům těchto gigantů globálního IT průmyslu, jako jsou IBM, Cisco Systems, Microsoft a další. Byly pozorovány masivní útoky DDoS proti eBay.com, Amazon.com a mnoha známým bankám a organizacím.

Velmi často jsou DDoS útoky spouštěny proti webovým reprezentacím politických organizací, institucí či jednotlivých známých osobností. Mnoho lidí ví o masivních a zdlouhavých útocích DDoS, které byly zahájeny proti webovým stránkám prezidenta Gruzie během gruzínsko-osetské války v roce 2008 (od srpna 2008 byly stránky několik měsíců nedostupné), proti serverům estonské vlády. (na jaře 2007, během nepokojů spojených s přesunem Bronzového vojáka), o periodických útocích ze severokorejského segmentu internetu proti americkým stránkám.

Hlavními cíli DDoS útoků je buď získat výhody (přímé či nepřímé) vydíráním a vydíráním, nebo sledovat politické zájmy, eskalovat situaci nebo se mstít.

Jaké jsou mechanismy pro spouštění DDoS útoků?

Nejoblíbenějším a nejnebezpečnějším způsobem spouštění DDoS útoků je používání botnetů (BotNets). Botnet je sada počítačů, na kterých jsou nainstalovány speciální softwarové záložky (boti); v překladu z angličtiny je botnet síť botů. Boty jsou obvykle vyvíjeny hackery individuálně pro každý botnet a jejich hlavním cílem je posílat požadavky konkrétnímu zdroji na internetu na příkaz přijatý od řídicího serveru botnetu – serveru příkazů a řízení botnetu. Server pro kontrolu botnetu je řízen hackerem nebo osobou, která botnet koupila a má možnost spustit DDoS útok od hackera. Na internetu se šíří boti různé způsoby zpravidla napadáním počítačů se zranitelnými službami a instalací softwarových záložek na ně nebo klamáním uživatelů a nucením k instalaci botů pod rouškou poskytování jiných služeb nebo softwaru, který funguje zcela neškodně nebo dokonce užitečná funkce. Existuje mnoho způsobů, jak roboty šířit, a pravidelně se vymýšlejí nové metody.

Pokud je botnet dostatečně velký – desítky nebo stovky tisíc počítačů – pak současné odesílání ze všech těchto počítačů i zcela legitimních požadavků na určitou síťovou službu (například webovou službu na konkrétním webu) povede k vyčerpání zdrojů buď samotné služby nebo serveru, nebo vyčerpání možností komunikačního kanálu. V každém případě bude služba uživatelům nedostupná a vlastník služby utrpí přímou, nepřímou újmu a poškození dobré pověsti. A pokud každý počítač nepošle jen jeden požadavek, ale desítky, stovky nebo tisíce požadavků za sekundu, pak se dopad útoku mnohonásobně zvýší, což umožňuje zničit i ty nejproduktivnější zdroje nebo komunikační kanály.

Některé útoky jsou zahájeny „neškodnějšími“ způsoby. Například flash mob uživatelů určitých fór, kteří po dohodě spustí v určitý čas„ping“ nebo jiné požadavky z jejich počítačů na konkrétní server. Dalším příkladem je umístění odkazu na webovou stránku na oblíbené internetové zdroje, což způsobí příliv uživatelů na cílový server. Pokud „falešný“ odkaz (navenek vypadá jako odkaz na jeden zdroj, ale ve skutečnosti odkazuje na zcela jiný server) odkazuje na webovou stránku malé organizace, ale je umístěn na populárních serverech nebo fórech, může takový útok způsobit příliv návštěvníků, který je pro tento web nežádoucí. Útoky posledních dvou typů zřídka vedou k zastavení dostupnosti serverů na řádně organizovaných hostingových serverech, ale takové příklady byly v roce 2009 dokonce v Rusku.

Pomohou tradiční technické prostředky ochrany proti DDoS útokům?

Zvláštností DDoS útoků je, že se skládají z mnoha simultánních požadavků, z nichž každý je jednotlivě zcela „legální“, navíc tyto požadavky odesílají počítače (nakažené roboty), které mohou patřit k nejčastějším skutečným nebo potenciálním uživatelům napadené služby nebo zdroje. Proto je velmi obtížné pomocí standardních nástrojů správně identifikovat a filtrovat přesně ty požadavky, které představují DDoS útok. Standardní systémy třídy IDS/IPS (Intrusion Detection / Prevention System - systém pro detekci / prevenci síťových útoků) v těchto požadavcích nenajde „corpus delicti“, nepochopí, že jsou součástí útoku, pokud neprovedou kvalitativní analýzu dopravních anomálií . A i když to najdou, odfiltrování nepotřebných požadavků také není tak snadné - standardní firewally a routery filtrují provoz na základě jasně definovaných přístupových seznamů (kontrolních pravidel) a nevědí, jak se „dynamicky“ přizpůsobit profilu uživatele. konkrétní útok. Firewally může regulovat toky provozu na základě kritérií, jako jsou zdrojové adresy, používané síťové služby, porty a protokoly. Ale běžní uživatelé internetu se účastní DDoS útoku a posílají požadavky pomocí nejběžnějších protokolů – nezakázal by telekomunikační operátor všechny a všechno? Pak jednoduše přestane poskytovat komunikační služby svým předplatitelům a přestane poskytovat přístup k síťovým zdrojům, které obsluhuje, což je ve skutečnosti to, čeho se iniciátor útoku snaží dosáhnout.

Mnoho specialistů pravděpodobně ví o existenci speciálních řešení ochrany před DDoS útoky, která spočívají v detekci anomálií v provozu, sestavení profilu provozu a profilu útoku a následném procesu dynamického vícestupňového filtrování provozu. A o těchto řešeních budu také mluvit v tomto článku, ale o něco později. Nejprve si povíme o některých méně známých, ale někdy dosti účinných opatřeních, kterými lze stávajícími prostředky datové sítě a jejích správců potlačit DDoS útoky.

Ochrana proti DDoS útokům pomocí dostupných prostředků

Existuje poměrně málo mechanismů a „triků“, které umožňují v některých speciálních případech potlačit DDoS útoky. Některé lze použít pouze v případě, že je datová síť postavena na zařízení konkrétního výrobce, jiné jsou víceméně univerzální.

Začněme doporučeními Cisco Systems. Odborníci z této společnosti doporučují zajistit ochranu pro základ sítě (Network Foundation Protection), která zahrnuje ochranu úrovně správy sítě (Control Plane), úrovně správy sítě (Management Plane) a ochranu datové úrovně sítě (Data Plane).

Management Plane Protection

Pojem „administrační vrstva“ zahrnuje veškerý provoz, který spravuje nebo monitoruje směrovače a další síťová zařízení. Tento provoz je směrován směrem k routeru nebo pochází z routeru. Příklady takového provozu jsou relace Telnet, SSH a http(s), zprávy syslog, depeše SNMP. Mezi obecné doporučené postupy patří:

Zajištění maximální bezpečnosti protokolů správy a monitorování pomocí šifrování a ověřování:

• protokol SNMP v3 poskytuje bezpečnostní opatření, zatímco SNMP v1 prakticky neposkytuje a SNMP v2 poskytuje pouze částečně - výchozí hodnoty komunity je vždy třeba změnit;
• měly by být použity různé hodnoty pro veřejnou a soukromou komunitu;
• protokol telnet přenáší všechna data včetně přihlašovacího jména a hesla v čistém textu (pokud je provoz zachycen, lze tyto informace snadno extrahovat a použít), doporučuje se místo toho vždy používat protokol ssh v2;
• podobně místo http používejte pro přístup k zařízení https, přísnou kontrolu přístupu k zařízení, včetně adekvátní politiky hesel, centralizovaného ověřování, autorizace a účtování (model AAA) a místního ověřování pro účely redundance;

Implementace modelu přístupu založeného na rolích;

Řízení povolených připojení podle zdrojové adresy pomocí seznamů řízení přístupu;

Zakázání nepoužívaných služeb, z nichž mnohé jsou ve výchozím nastavení povoleny (nebo je zapomněli zakázat po diagnostice nebo konfiguraci systému);

Sledování využití prostředků zařízení.

Poslední dva body stojí za to se podrobněji zabývat.
Některé služby, které jsou ve výchozím nastavení zapnuté nebo které se po konfiguraci nebo diagnostice zařízení zapomněly vypnout, mohou útočníci použít k obejití stávajících bezpečnostních pravidel. Seznam těchto služeb je níže:

• PAD (packet assembler/disassembler);

Před deaktivací těchto služeb musíte samozřejmě pečlivě analyzovat, zda jsou ve vaší síti nezbytné.

Je vhodné sledovat využití prostředků zařízení. To umožní za prvé včas zaznamenat přetížení jednotlivých síťových prvků a přijmout opatření k zabránění havárii a za druhé odhalit DDoS útoky a anomálie, pokud jejich detekce není zajištěna speciálními prostředky. Minimálně se doporučuje sledovat:

• zatížení CPU
• využití paměti
• přetížení rozhraní routerů.

Monitorování lze provádět „ručně“ (periodicky sledovat stav zařízení), ale je samozřejmě lepší to provést pomocí speciálních monitorovacích nebo monitorovacích systémů sítě informační bezpečnost(poslední zahrnuje Cisco MARS).

Ochrana řídicího letadla

Vrstva správy sítě zahrnuje veškerý provoz služeb, který zajišťuje fungování a konektivitu sítě v souladu se zadanou topologií a parametry. Příklady provozu řídicí roviny jsou: veškerý provoz generovaný nebo určený pro procesor trasy (RR), včetně všech směrovacích protokolů, v některých případech protokolů SSH a SNMP a ICMP. Jakýkoli útok na fungování směrovacího procesoru a zejména útoky DDoS mohou vést k významným problémům a přerušením fungování sítě. Následují doporučené postupy pro ochranu řídicí roviny.

Kontrola letadla Policing

Skládá se z používání mechanismů QoS (Quality of Service), aby se dala vyšší priorita řízení leteckého provozu než uživatelskému provozu (jehož součástí jsou útoky). Tím bude zajištěn chod servisních protokolů a routovacího procesoru, tedy zachování topologie a konektivity sítě a také samotné směrování a přepojování paketů.

ACL pro příjem IP

Tato funkce umožňuje filtrovat a řídit provoz služeb určený pro směrovač a směrovací procesor.

• jsou aplikovány přímo na směrovací zařízení před tím, než provoz dosáhne směrovacího procesoru, poskytují ochranu „osobního“ zařízení;
• jsou aplikovány poté, co provoz prošel běžnými seznamy řízení přístupu - jsou poslední úrovní ochrany na cestě ke směrovacímu procesoru;
• platí pro veškerý provoz (jak vnitřní, vnější, tak tranzitní ve vztahu k síti telekomunikačního operátora).

Infrastrukturní ACL

Přístup k proprietárním adresám směrovacího zařízení je obvykle nutný pouze pro hostitele ve vlastní síti operátora, ale existují výjimky (například eBGP, GRE, IPv6 přes tunely IPv4 a ICMP). Infrastrukturní seznamy ACL:

• obvykle instalován na okraji sítě telekomunikačního operátora („na vstupu do sítě“);
• mají za cíl zabránit externím hostitelům v přístupu k adresám infrastruktury operátora;
• zajistit nerušený tranzit dopravy přes hranici sítě operátora;
• poskytují základní mechanismy ochrany proti neoprávněné síťové aktivitě popsané v RFC 1918, RFC 3330, zejména ochranu proti spoofingu (spoofing, použití falešných zdrojových IP adres k zamaskování při zahájení útoku).

Autentizace souseda

Hlavním účelem autentizace souseda je zabránit útokům, které zahrnují odesílání podvržených zpráv směrovacího protokolu za účelem změny směrování v síti. Takové útoky mohou vést k neoprávněnému pronikání do sítě, neoprávněnému použití síťových zdrojů a také k tomu, že útočník zachytí provoz za účelem analýzy a získání potřebných informací.

Nastavení BGP

• Filtry prefixů BGP – slouží k zajištění informací o trase vnitřní síť telekomunikační operátor nebyl distribuován na internetu (někdy mohou být tyto informace pro útočníka velmi užitečné);
• omezení počtu prefixů, které mohou být přijaty z jiného routeru (prefix limiting) – používá se k ochraně před DDoS útoky, anomáliemi a selháními v sítích peeringových partnerů;
• použití parametrů BGP Community a jejich filtrování lze také použít k omezení distribuce směrovacích informací;
• Monitorování BGP a porovnávání dat BGP s pozorovaným provozem je jedním z mechanismů pro včasnou detekci DDoS útoků a anomálií;
• filtrování podle parametru TTL (Time-to-Live) - slouží ke kontrole BGP partnerů.

Pokud je útok BGP spuštěn nikoli ze sítě peeringového partnera, ale ze vzdálenější sítě, pak bude parametr TTL pro pakety BGP nižší než 255. Hraniční směrovače operátora můžete nakonfigurovat tak, aby zahazovaly všechny pakety BGP s TTL hodnota< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Ochrana datové roviny v síti (Data Plane)

Navzdory důležitosti ochrany úrovně správy a řízení je většina provozu v síti telekomunikačního operátora datového, tranzitního nebo určeného pro účastníky tohoto operátora.

Unicast Reverse Path Forwarding (uRPF)

Útoky jsou často spouštěny pomocí technologie spoofingu – zdrojové IP adresy jsou falšovány, aby nebylo možné dohledat zdroj útoku. Falešné IP adresy mohou být:

• ze skutečně používaného adresního prostoru, ale v jiném segmentu sítě (v segmentu, ze kterého byl útok zahájen, nejsou tyto falešné adresy směrovány);
• z adresního prostoru nevyužitého v dané síti pro přenos dat;
• z adresního prostoru, který není směrovatelný na internetu.

Implementace mechanismu uRPF na routerech zabrání směrování paketů se zdrojovými adresami, které jsou nekompatibilní nebo nepoužívané v segmentu sítě, ze kterého přišly na rozhraní routeru. Tato technologie někdy umožňuje poměrně efektivně odfiltrovat nežádoucí provoz nejblíže jeho zdroji, tedy nejúčinněji. Mnoho útoků DDoS (včetně slavné sítě Smurf a Tribal Flood Network) využívá mechanismus spoofingu a neustále se měnících zdrojových adres, aby oklamal standardní opatření pro zabezpečení a filtrování provozu.

Využití mechanismu uRPF telekomunikačními operátory poskytujícími předplatitelům přístup k internetu účinně zabrání DDoS útokům využívajícím technologii spoofingu nasměrovaných jejich vlastními předplatiteli proti internetovým zdrojům. DDoS útok je tedy potlačen nejblíže svému zdroji, tedy nejúčinněji.

Vzdáleně spouštěné černé díry (RTBH)

Vzdáleně spouštěné černé díry se používají k „vyprázdnění“ (zničení, odeslání „nikam“) provozu vstupujícího do sítě směrováním tohoto provozu na speciální rozhraní Null 0. Tato technologie Doporučuje se jej používat na okraji sítě k poklesu provozu obsahujícího útok DDoS při jeho vstupu do sítě. Omezení (a významné) této metody spočívá v tom, že se vztahuje na veškerý provoz určený pro konkrétního hostitele nebo hostitele, kteří jsou cílem útoku. Tím pádem, tato metoda lze použít v případech, kdy je jeden nebo více hostitelů vystaveno masivnímu útoku, který způsobuje problémy nejen napadeným hostitelům, ale i dalším účastníkům a síti telekomunikačního operátora jako celku.

Černé díry lze spravovat buď ručně, nebo pomocí protokolu BGP.

Šíření zásad QoS prostřednictvím BGP (QPPB)

Řízení QoS přes BGP (QPPB) vám umožňuje spravovat zásady priority pro provoz určený pro konkrétní autonomní systém nebo blok IP adres. Tento mechanismus může být velmi užitečný pro telekomunikační operátory a velké podniky, včetně správy úrovně priority pro nežádoucí provoz nebo provoz obsahující útok DDoS.

Dřezové otvory

V některých případech není nutné zcela odstranit provoz pomocí černých děr, ale odklonit jej od hlavních kanálů nebo zdrojů pro následné monitorování a analýzu. To je přesně to, k čemu jsou určeny „diverzní kanály“ nebo Sink Holes.

Dřezové otvory se nejčastěji používají v následujících případech:

• odklonit a analyzovat provoz s cílovými adresami, které patří do adresního prostoru sítě telekomunikačního operátora, ale ve skutečnosti se nepoužívají (nebyly přiděleny ani zařízení, ani uživatelům); takový provoz je a priori podezřelý, protože často naznačuje pokusy o skenování nebo pronikání do vaší sítě útočníkem, který nemá detailní informace o jeho struktuře;
• přesměrovat provoz z cíle útoku, což je zdroj skutečně fungující v síti telekomunikačního operátora, pro jeho monitorování a analýzu.

DDoS ochrana pomocí speciálních nástrojů

Koncept Cisco Clean Pipes je průkopníkem v oboru

Moderní koncept ochrany proti DDoS útokům byl vyvinut (ano, ano, nebudete se divit! :)) společností Cisco Systems. Koncept vyvinutý společností Cisco se nazývá Cisco Clean Pipes. Koncept podrobně rozpracovaný před téměř 10 lety poměrně podrobně popisoval základní principy a technologie ochrany před dopravními anomáliemi, z nichž většina se používá dodnes, včetně jiných výrobců.

Koncept Cisco Clean Pipes zahrnuje následující principy pro detekci a zmírnění DDoS útoků.

Jsou vybrány body (úseky sítě), jejichž provoz je analyzován za účelem zjištění anomálií. V závislosti na tom, co chráníme, mohou být takovými body peeringová spojení telekomunikačního operátora s operátory vyšší úrovně, spojovací body nižších operátorů nebo předplatitelů, kanály připojující centra zpracování dat k síti.

Speciální detektory analyzují provoz v těchto bodech, sestavují (studují) dopravní profil v normálním stavu, a když se objeví DDoS útok nebo anomálie, detekují jej, studují a dynamicky formují jeho charakteristiky. Dále jsou informace analyzovány operátorem systému a poloautomaticky resp automatický režim Spustí se proces potlačení útoku. Potlačení je tam, kde je provoz určený „oběti“ dynamicky přesměrován přes filtrační zařízení, kde jsou na tento provoz aplikovány filtry generované detektorem a odrážejí individuální povahu tohoto útoku. Vyčištěný provoz je zaveden do sítě a odeslán příjemci (proto vznikl název Clean Pipes - předplatitel obdrží „čistý kanál“, který neobsahuje útok).

Celý cyklus ochrany před útoky DDoS tedy zahrnuje následující hlavní fáze:

• Vzdělání regulační charakteristiky návštěvnost (profilování, základní učení)
• Detekce útoků a anomálií (Detekce)
• Přesměrování provozu, aby prošel čisticím zařízením (Odklon)
• Filtrování provozu k potlačení útoků (zmírnění)
• Vložení provozu zpět do sítě a jeho odeslání příjemci (Injection).

Několik funkcí.
Jako detektory lze použít dva typy zařízení:

• Detektory vyráběné společností Cisco Systems jsou moduly Cisco Traffic Anomaly Detector Services Modules, navržené pro instalaci do šasi Cisco 6500/7600.
• Detektory vyráběné společností Arbor Networks jsou zařízení Arbor Peakflow SP CP.

Níže je tabulka srovnávající detektory Cisco a Arbor.

Parametr	Cisco Detektor dopravních anomálií	Arbor Peakflow SP CP
Získávání dopravních informací pro analýzu	Používá kopii provozu přiděleného šasi Cisco 6500/7600	Používají se data o provozu Netflow přijatá z routerů; vzorkování lze upravit (1: 1, 1: 1 000, 1: 10 000 atd.)
Použité principy identifikace	Analýza podpisu (detekce zneužití) a detekce anomálií (dynamickýprofilování)	Primárně detekce anomálií; používá se analýza podpisů, ale podpisy jsou obecné povahy
Tvarový faktor	servisní moduly v šasi Cisco 6500/7600	samostatná zařízení (servery)
Výkon	Analyzován je provoz do 2 Gbit/s	Prakticky neomezené (frekvenci vzorkování lze snížit)
Škálovatelnost	Instalace až 4 modulůCiscoDetektorS.M.do jednoho šasi (moduly však fungují nezávisle na sobě)	Schopnost používat více zařízení uvnitř jednotný systém analýzy, z nichž jedné je přiřazen status Leader
Sledování síťového provozu a směrování	Prakticky neexistuje žádná funkčnost	Funkčnost je velmi rozvinutá. Mnoho telekomunikačních operátorů kupuje Arbor Peakflow SP kvůli jeho hluboké a sofistikované funkcionalitě pro monitorování provozu a směrování v síti.
Poskytování portálu (individuální rozhraní pro účastníka, které umožňuje sledovat pouze část sítě, která se ho přímo týká)	Není poskytnuto	Pokud. Je to vážná výhoda toto rozhodnutí, protože telekomunikační operátor může svým předplatitelům prodávat jednotlivé služby ochrany DDoS.
Kompatibilní zařízení pro čištění dopravy (potlačení útoků)	Cisco Modul strážních služeb	Arbor Peakflow SP TMS; Modul Cisco Guard Services.
	Ochrana datových center při připojení k internetu Monitorování navazujících připojení účastnických sítí do sítě telekomunikačního operátora	Detekce útoků naproti proudu- připojení sítě telekomunikačního operátora do sítí poskytovatelů vyšší úrovně Monitorování páteře telekomunikačního operátora

Poslední řádek tabulky ukazuje scénáře použití detektorů od Cisco a od Arbor, které byly doporučeny společností Cisco Systems. Tyto scénáře jsou znázorněny na obrázku níže.

Jako zařízení pro čištění provozu společnost Cisco doporučuje používat servisní modul Cisco Guard, který je instalován v šasi Cisco 6500/7600 a na základě příkazu přijatého z detektoru Cisco nebo Arbor Peakflow SP CP je provoz dynamicky přesměrován, vyčištěn a znovu vložen do síť. Mechanismy přesměrování jsou buď aktualizace BGP pro upstream routery, nebo přímé řídicí příkazy supervizorovi pomocí proprietárního protokolu. Při použití aktualizací BGP je upstream routeru přidělena nová hodnota nex-hop pro provoz obsahující útok, takže tento provoz jde na čistící server. Zároveň je třeba dbát na to, aby tyto informace nevedly k organizaci smyčky (aby se downstream router, když na něj zadává vyčištěný provoz, nepokoušel tento provoz zabalit zpět do zúčtovacího zařízení) . K tomu lze využít mechanismy pro řízení distribuce aktualizací BGP pomocí komunitního parametru nebo použití GRE tunelů při zadávání vyčištěného provozu.

Tento stav existoval do doby, než společnost Arbor Networks výrazně rozšířila produktovou řadu Peakflow SP a začala vstupovat na trh se zcela nezávislým řešením ochrany před DDoS útoky.

Představen Arbor Peakflow SP TMS

Před několika lety se společnost Arbor Networks rozhodla vyvinout svou řadu produktů pro ochranu před útoky DDoS nezávisle a bez ohledu na tempo a politiku rozvoje této oblasti ve společnosti Cisco. Řešení Peakflow SP CP měla oproti Cisco Detector zásadní výhody, protože analyzovala informace o toku se schopností regulovat vzorkovací frekvenci, a proto neměla žádná omezení pro použití v sítích telekomunikačních operátorů a na dálkových kanálech (na rozdíl od Cisco Detector, který analyzuje kopii provoz). Kromě toho byla hlavní výhodou Peakflow SP možnost operátorů prodávat účastníkům individuální službu pro monitorování a ochranu jejich segmentů sítě.

Díky těmto a dalším úvahám Arbor výrazně rozšířil svou produktovou řadu Peakflow SP. Objevila se řada nových zařízení:

Peakflow SP TMS (Threat Management System)- potlačuje DDoS útoky pomocí vícestupňového filtrování na základě dat získaných z Peakflow SP CP a z laboratoře ASERT vlastněné Arbor Networks, která monitoruje a analyzuje DDoS útoky na internetu;

Peakflow SP BI (Business Intelligence)- zařízení, která poskytují škálování systému, zvyšující počet logických objektů, které mají být monitorovány, a poskytující redundanci pro shromažďovaná a analyzovaná data;

Peakflow SP PI (portálové rozhraní)- zařízení, která poskytují nárůst účastníků, kteří mají k dispozici individuální rozhraní pro správu jejich vlastní bezpečnosti;

Peakflow SP FS (Flow Censor)- zařízení, která zajišťují monitorování účastnických routerů, připojení k downstream sítím a datovým centrům.

Principy fungování systému Arbor Peakflow SP zůstávají v podstatě stejné jako u Cisco Clean Pipes, nicméně Arbor své systémy pravidelně vyvíjí a zdokonaluje, takže tento moment Funkčnost produktů Arbor je v mnoha ohledech lepší než u Cisco, včetně výkonu.

Maximálního výkonu Cisco Guard lze dnes dosáhnout vytvořením clusteru 4 modulů Guard v jednom šasi Cisco 6500/7600, přičemž plné clusterování těchto zařízení není implementováno. Přitom špičkové modely Arbor Peakflow SP TMS disponují výkonem až 10 Gb/s a lze je zase clusterovat.

Poté, co se Arbor začal etablovat jako nezávislý hráč na trhu detekce a potlačování DDoS útoků, začalo Cisco hledat partnera, který by jí poskytl tolik potřebné monitorování dat o toku síťového provozu, ale nebyl by přímým konkurent. Takovou společností byla společnost Narus, která vyrábí systémy pro monitorování provozu založené na datech toků (NarusInsight), a uzavřela partnerství se společností Cisco Systems. Toto partnerství však nezaznamenalo vážný rozvoj a přítomnost na trhu. Navíc podle některých zpráv Cisco neplánuje investovat do svých řešení Cisco Detector a Cisco Guard, ve skutečnosti tuto mezeru přenechává Arbor Networks.

Některé funkce řešení Cisco a Arbor

Za zmínku stojí některé vlastnosti řešení Cisco a Arbor.

1. Cisco Guard lze použít buď ve spojení s detektorem, nebo samostatně. V druhém případě se instaluje v in-line režimu a plní funkce detektoru, analyzuje provoz a v případě potřeby zapíná filtry a maže provoz. Nevýhodou tohoto režimu je, že za prvé je přidán další bod potenciálního selhání a za druhé další dopravní zpoždění (ačkoli je malé, dokud se nezapne filtrační mechanismus). Doporučeným režimem pro Cisco Guard je počkat na příkaz k přesměrování provozu obsahujícího útok, odfiltrovat jej a vrátit zpět do sítě.
2. Zařízení Arbor Peakflow SP TMS mohou také pracovat v režimu off-ramp nebo in-line. V prvním případě zařízení pasivně čeká na příkaz k přesměrování provozu obsahujícího útok, aby jej vyčistilo a vložilo zpět do sítě. Ve druhém prochází veškerý provoz přes sebe, generuje na jeho základě data ve formátu Arborflow a přenáší je do Peakflow SP CP pro analýzu a detekci útoků. Arborflow je formát podobný Netflow, ale upravený Arborem pro jeho systémy Peakflow SP. Monitorování provozu a detekci útoků provádí Peakflow SP CP na základě dat Arborflow přijatých z TMS. Když je detekován útok, operátor Peakflow SP CP vydá příkaz k jeho potlačení, načež TMS zapne filtry a vymaže provoz z útoku. Na rozdíl od Cisco nemůže Peakflow SP TMS server pracovat samostatně, jeho provoz vyžaduje Peakflow SP CP server, který analyzuje provoz.
3. Dnes se většina odborníků shoduje na tom, že úkoly ochrany místních částí sítě (například připojení datových center nebo připojení navazujících sítí) jsou efektivní.

DDOS útok. Vysvětlení a příklad.

Ahoj všichni. Toto je blog Computer76 a nyní další článek o základech hackerského umění. Dnes si povíme, co je to DDOS útok jednoduchými slovy a příklady. Než se vrhneme na technické termíny, bude uveden úvod, kterému každý rozumí.

Proč se používá DDOS útok?

K získání hesel se používá hackování WiFi bezdrátová síť. Útoky ve formě „ “ vám umožní poslouchat internetový provoz. Analýza zranitelností s následným načtením konkrétní zranitelnosti umožňuje zachytit cílový počítač. Co dělá DDOS útok? Jeho cílem je v konečném důsledku vybrat práva na vlastnictví zdroje od právoplatného vlastníka. Nemyslím tím, že nebudete vlastnit stránky nebo blog. To znamená, že v případě úspěšného útoku na vaše stránky, vy ztratíte schopnost ji ovládat. Podle alespoň, na chvíli.

V moderní interpretaci DDOS útoku se však nejčastěji používá k narušení běžného provozu jakékoli služby. Hackerské skupiny, jejichž jména jsou neustále slyšet, útočí na velké vládní nebo vládní weby, aby upozornily na určité problémy. Ale téměř vždy za takovými útoky stojí čistě merkantilní zájem: práce konkurentů nebo prosté hříčky na zcela neslušně nechráněných stránkách. Hlavní koncept DDOS spočívá v tom, že na stránku přistupuje současně velké množství uživatelů, nebo spíše požadavků z počítačů botů, což činí zátěž serveru neúnosnou. Často slýcháme výraz „stránka je nedostupná“, ale málokdo se zamyslí nad tím, co se za touto formulací vlastně skrývá. No, teď už to víte.

DDOS útok - možnosti

Možnost 1.

hráči se tísnili u vchodu

Představte si, že hrajete hru pro více hráčů online hra. Hrají s vámi tisíce hráčů. A většinu z nich znáte. Proberete podrobnosti a v hodině X provedete následující akce. Všichni jdete na web ve stejnou dobu a vytváříte postavu se stejnou sadou vlastností. Seskupujete se na jednom místě a svým počtem současně vytvořených postav blokujete přístup k objektům ve hře dalším bona fide uživatelům, kteří o vaší tajné dohodě nic netuší.

Možnost 2.

Představte si, že by se někdo rozhodl narušit autobusovou dopravu ve městě na určité trase, aby zabránil bona fide cestujícím využívat služeb veřejné dopravy. Tisíce vašich přátel současně zastavují na začátku zadané trasy a bezcílně jezdí ve všech autech od konce do konce, dokud nedojdou peníze. Cesta je placená, ale na žádné zastávce kromě konečných destinací nikdo nevystupuje. A další cestující, stojící na mezizastávkách, smutně ohlížejí odjíždějící mikrobusy, neschopní se vtěsnat do přeplněných autobusů. Problémy mají všichni: jak majitelé taxi, tak potenciální cestující.

Ve skutečnosti tyto možnosti nelze fyzicky realizovat. Ve virtuálním světě však mohou vaše přátele nahradit počítače bezohledných uživatelů, kteří se neobtěžují svůj počítač nebo notebook nějak chránit. A takových je naprostá většina. Existuje mnoho programů pro provádění DDOS útoků. Netřeba dodávat, že takové jednání je nezákonné. A absurdně připravený DDOS útok, bez ohledu na to, jak úspěšně je proveden, je odhalen a potrestán.

Jak se provádí DDOS útok?

Kliknutím na odkaz webové stránky odešle váš prohlížeč serveru požadavek na zobrazení stránky, kterou hledáte. Tento požadavek je vyjádřen jako datový paket. A to dokonce ne jen jeden, ale rovnou celý balíček balíčků! V každém případě je množství dat přenášených na kanál vždy omezeno na určitou šířku. A množství dat vrácených serverem je nepoměrně větší než to, co je obsaženo ve vašem požadavku. To bere energii a zdroje ze serveru. Čím výkonnější server, tím dražší je pro majitele a tím dražší služby, které poskytuje. Moderní servery snadno zvládat prudce zvýšený příliv návštěvníků. Pro kterýkoli ze serverů však stále existuje kritický počet uživatelů, kteří se chtějí seznámit s obsahem stránek. Čím jasnější je situace se serverem, který poskytuje webhostingové služby. Jakmile k tomu dojde, stránka oběti je odpojena od služby, aby nedošlo k přetížení procesorů, které obsluhují tisíce dalších stránek umístěných na stejném hostingu. Provoz webu se zastaví, dokud se nezastaví samotný útok DDOS. Představte si, že začnete znovu načítat kteroukoli z webových stránek tisíckrát za sekundu (DOS). A tisíce vašich přátel dělají to samé na svých počítačích (distribuovaných DOS nebo DDOS)... Velké servery se naučily rozpoznat, že útok DDOS začal, a čelit mu. Své přístupy však zlepšují i ​​hackeři. Nemohu tedy v rámci tohoto článku blíže vysvětlit, co je to DDOS útok.

Můžete zjistit, co je to DDOS útok a vyzkoušet si to hned teď.

POZORNOST. Pokud se rozhodnete zkusit, všechna neuložená data budou ztracena a budete potřebovat tlačítko pro návrat počítače do funkčního stavu RESETOVAT. Budete však moci přesně zjistit, co napadený server „cítí“. Podrobným příkladem je odstavec níže a nyní - jednoduché příkazy pro restartování systému.

• Pro Linux zadejte do terminálu příkaz:

:(){ :|:& };:

Systém odmítne fungovat.

• Pro Windows doporučuji vytvořit bat soubor v programu Poznámkový blok s kódem:

:1 Začněte 1

Typ pojmenujte DDOS.bat

Myslím, že nemá cenu vysvětlovat význam obou příkazů. Vše je viditelné pouhým okem. Oba příkazy přinutí systém provést skript a okamžitě jej zopakovat, přičemž jej pošlou na začátek skriptu. Vzhledem k rychlosti provádění systém po několika sekundách upadne do strnulosti. Hra, jak říkají, přes.

DDOS útok pomocí programů.

Pro názornější příklad použijte program Low Orbit Ion Cannon. Nebo LOIC. Nejstahovanější distribuce se nachází na (pracujeme na Windows):

https://sourceforge.net/projects/loic/

POZORNOST ! Váš antivirus by měl na soubor reagovat jako škodlivý. To je normální: už víte, co stahujete. V databázi podpisů je označena jako povodňový generátor – přeloženo do ruštiny, to je konečný cíl nekonečných volání na konkrétní síťovou adresu. OSOBNĚ jsem si žádných virů nebo trojských koní nevšiml. Máte ale právo pochybovat a stahování odložit.

Protože neopatrní uživatelé bombardují zdroj zprávami o škodlivý soubor, Source Forge vás přesměruje na následující stránku s přímým odkazem na soubor:

Nakonec se mi podařilo stáhnout utilitu pouze přes .

Okno programu vypadá takto:

Bod 1 Vybrat cíl umožní útočníkovi zaměřit se na konkrétní cíl (zadejte IP adresu nebo url webu), bod 3 Možnosti útoku vám umožní vybrat napadený port, protokol ( Metoda) ze tří TCP, UDP a HTTP. Do pole TCP/UDP message můžete zadat zprávu pro napadenou osobu. Poté, co je hotovo, útok začíná stisknutím tlačítka IMMA CHARGIN MAH LAZER(toto je fráze na pokraji faulu z kdysi populárního komik–meme; Mimochodem, v programu je spousta amerických nadávek). Všechno.

VARUJI

Toto je zkušební volba pouze pro localhost. Proto:

• je to v rozporu se zákonem proti cizím stránkám a lidé na Západě jsou za to již uvězněni (což znamená, že budou brzy uvězněni i zde)
• adresa, ze které povodeň přichází, bude rychle určena, budou si stěžovat u poskytovatele a ten vám vydá varování a připomene vám první bod
• v sítích s malou šířkou pásma (tedy ve všech domácích sítích) nebude gizmo fungovat. Stejné je to se sítí TOR.
• pokud jej správně nakonfigurujete, rychleji ucpete SVŮJ komunikační kanál, než byste někomu ublížili. Tak tohle je přesně ta možnost, kdy boxerský pytel narazí na boxera a ne naopak. A varianta s proxy se bude řídit stejným principem: zatopení z vaší strany se nikomu nebude líbit.

Přečteno: 9 326

Titulky zpráv jsou dnes plné zpráv o útocích DDoS (Distributed Denial of Service). Jakákoli organizace přítomná na internetu je náchylná k distribuovaným útokům odmítnutí služby. Otázkou není, zda budete napadeni nebo ne, ale kdy k tomu dojde. Vládní agentury, média a stránky elektronického obchodu, firemní stránky, komerční a neziskové organizace – to vše jsou potenciální cíle útoků DDoS.

Kdo je napaden?

Podle centrální banky se v roce 2016 počet DDoS útoků na ruské finanční organizace téměř zdvojnásobil. V listopadu byly útoky DDoS zaměřeny na pět velkých ruských bank. Koncem loňského roku centrální banka oznámila DDoS útoky na finanční organizace, včetně centrální banky. „Účelem útoků bylo narušit služby a v důsledku toho podkopat důvěru v tyto organizace. Tyto útoky byly pozoruhodné, protože šlo o první rozsáhlé využití internetu věcí v Rusku. Útok se týkal především internetových videokamer a domácích routerů,“ poznamenaly bezpečnostní služby velkých bank.

Zároveň DDoS útoky nezpůsobily bankám významné škody - jsou dobře chráněny, takže takové útoky, přestože způsobily potíže, nebyly kritické a nenarušily jedinou službu. Lze však konstatovat, že výrazně vzrostla protibankovní aktivita hackerů.

V únoru 2017 technické služby ruského ministerstva zdravotnictví odrážely největší minulé roky DDoS útok, který na svém vrcholu dosahoval 4 milionů požadavků za minutu. Došlo také k DDoS útokům na vládní registry, ale také byly neúspěšné a nevedly k žádným změnám v datech.

Obětí DDoS útoků se však stává řada organizací a společností, které nemají tak silnou „obranu“. V roce 2017 se očekává nárůst škod způsobených kybernetickými hrozbami – ransomware, DDoS a útoky na zařízení internetu věcí.

Zařízení IoT jsou stále populárnější jako nástroje pro provádění DDoS útoků. Významnou událostí byl DDoS útok spuštěný v září 2016 pomocí škodlivého kódu Mirai. V něm statisíce kamer a dalších zařízení z video monitorovacích systémů fungovaly jako prostředky útoku.

Bylo to provedeno proti francouzskému poskytovateli hostingu OVH. Byl to silný DDoS útok – téměř 1 Tbit/s. Hackeři pomocí botnetu zneužili 150 tisíc IoT zařízení, většinou CCTV kamer. Útoky botnetu Mirai daly vzniknout mnoha botnetům pro zařízení IoT. Podle odborníků budou i v roce 2017 jednou z hlavních hrozeb v kyberprostoru IoT botnety.

Podle zprávy Verizon z roku 2016 o incidentu porušení dat (DBIR) se počet DDoS útoků v loňském roce výrazně zvýšil. Ve světě nejvíce trpí zábavní průmysl, profesní organizace, vzdělávání, IT a maloobchod.

Pozoruhodným trendem DDoS útoků je rozšiřování „seznamu obětí“. Nyní zahrnuje zástupce téměř všech průmyslových odvětví. Kromě toho se zdokonalují způsoby útoku.
Podle Nexusguard se na konci roku 2016 počet útoků DDoS smíšeného typu – využívajících několik zranitelností najednou – znatelně zvýšil. Nejčastěji jim byly podřízeny finanční a vládní organizace. Hlavním motivem kyberzločinců (70 % případů) je krádež dat nebo hrozba jejich zničení za výkupné. Méně často – politické nebo sociální cíle. Proto je důležitá obranná strategie. Dokáže se připravit na útok a minimalizovat jeho následky, snížit finanční a reputační rizika.

Důsledky útoků

Jaké jsou důsledky DDoS útoku? Při útoku oběť ztratí zákazníky z důvodu pomalého provozu nebo úplné nedostupnosti stránek a utrpí pověst podniku. Poskytovatel služby může zablokovat IP adresu oběti, aby minimalizoval poškození ostatních klientů. Obnova všeho bude vyžadovat čas a možná i peníze.

Podle průzkumu HaltDos považuje DDoS útoky polovina organizací za jednu z nejzávažnějších kybernetických hrozeb. Nebezpečí DDoS je ještě větší než nebezpečí neoprávněného přístupu, virů, podvodů a phishingu, nemluvě o dalších hrozbách.

Průměrné ztráty způsobené DDoS útoky se celosvětově odhadují na 50 000 USD pro malé organizace a téměř 500 000 USD pro velké podniky. Eliminace následků DDoS útoku si vyžádá další čas zaměstnanců, přesměrování zdrojů z jiných projektů k zajištění bezpečnosti, vypracování plánu aktualizace softwaru, modernizaci zařízení atd.

Pověst napadené organizace může utrpět nejen kvůli špatné výkonnosti webu, ale také kvůli krádeži osobních údajů nebo finančních informací.

Podle průzkumu HaltDos roste počet DDoS útoků ročně o 200 %, denně jsou na světě hlášeny 2 tisíce útoků tohoto typu. Náklady na organizaci týdenního DDoS útoku jsou jen asi 150 dolarů a ztráty oběti v průměru přesahují 40 000 dolarů za hodinu.

Typy DDoS útoků

Hlavními typy útoků DDoS jsou masivní útoky, útoky na úrovni protokolu a útoky na úrovni aplikací. V každém případě je cílem stránky deaktivovat nebo ukrást data. Dalším typem kybernetické kriminality je hrozba DDoS útoku za účelem získání výkupného. Známé jsou tím hackerské skupiny jako Armada Collective, Lizard Squad, RedDoor a ezBTC.

Organizace DDoS útoků se znatelně zjednodušila: nyní jsou široce dostupné automatizované nástroje, které od kyberzločinců nevyžadují prakticky žádné speciální znalosti. Jsou tu také placené služby DDoS k anonymnímu útoku na cíl. Například služba vDOS nabízí své služby, aniž by ověřovala, zda je zákazník vlastníkem stránky, který ji chce otestovat „pod zátěží“, nebo zda se tak děje za účelem útoku.

DDoS útoky jsou útoky z více zdrojů, které brání legitimním uživatelům v přístupu na napadené stránky. K tomu je napadenému systému zasláno obrovské množství požadavků, se kterými si nedokáže poradit. K tomuto účelu se obvykle používají kompromitované systémy.

Roční nárůst počtu DDoS útoků se odhaduje na 50 % (podle www.leaseweb.com), ale data různé zdroje se liší, ale ne všechny incidenty jsou známé. Průměrná síla útoků DDoS na 3/4 vrstvě se v posledních letech zvýšila z 20 na několik stovek GB/s. Přestože masivní DDoS a útoky na úrovni protokolů jsou samy o sobě dost špatné, kyberzločinci je stále častěji kombinují s útoky DDoS na 7. vrstvě, tedy na aplikační úrovni, které jsou zaměřeny na změnu nebo krádež dat. Takové „multi-vektorové“ útoky mohou být velmi účinné.

Vícevektorové útoky tvoří asi 27 % z celkového počtu DDoS útoků.

V případě hromadného DDoS útoku (volume based) je využíváno velké množství požadavků, často zasílaných z legitimních IP adres, takže web je „uškrten“ v provozu. Cílem takových útoků je „ucpat“ veškerou dostupnou šířku pásma a zablokovat legitimní provoz.

V případě útoku na úrovni protokolu (jako je UDP nebo ICMP) je cílem vyčerpat systémové prostředky. Za tímto účelem se zasílají otevřené požadavky, například požadavky TCP/IP s falešnými adresami IP, a v důsledku vyčerpání síťových zdrojů je nemožné zpracovat legitimní požadavky. Typickými představiteli jsou DDoS útoky, v úzkých kruzích známé jako Smurf DDos, Ping of Death a SYN flood. Další typ útoku DDoS na úrovni protokolu zahrnuje odesílání velkého počtu fragmentovaných paketů, které systém nedokáže zpracovat.

Útoky DDoS na 7. vrstvě zahrnují odesílání zdánlivě neškodných požadavků, které se zdají být výsledkem běžných akcí uživatele. Obvykle se provádějí pomocí botnetů a automatických nástrojů. Známé příklady jsou Slowloris, Apache Killer, Cross-site scripting, SQL injection, Remote file injection.

V letech 2012–2014 byla většina masivních útoků DDoS útoky Stateless (bez zapamatování stavů nebo sledování relací) – využívaly protokol UDP. V případě Stateless koluje v jedné relaci mnoho paketů (například otevření stránky). Bezstavová zařízení zpravidla nevědí, kdo relaci zahájil (vyžádal si stránku).

Protokol UDP je náchylný ke spoofingu – nahrazení adresy. Pokud jste například chtěli zaútočit na DNS server na 56.26.56.26 pomocí DNS Amplification útoku, můžete vytvořit sadu paketů se zdrojovou adresou 56.26.56.26 a odeslat je na DNS servery po celém světě. Tyto servery odešlou odpověď na 56.26.56.26.

Stejná metoda funguje pro servery NTP, zařízení s povoleným SSDP. Protokol NTP je možná nejoblíbenější metodou: v druhé polovině roku 2016 byl použit u 97,5 % DDoS útoků.
Best Current Practice (BCP) Rule 38 doporučuje, aby ISP nakonfigurovali brány tak, aby zabránily falšování – adresa odesílatele, původní síť jsou kontrolovány. Ne všechny země však tuto praxi dodržují. Útočníci navíc obcházejí ovládací prvky BCP 38 pomocí útoků Stateful na úrovni TCP. Podle F5 Security Operations Center (SOC) takové útoky dominovaly v posledních pěti letech. V roce 2016 bylo dvakrát více útoků TCP než útoků UDP.

Útoky na 7. vrstvě využívají především profesionální hackeři. Princip je následující: vezme se „těžká“ adresa URL (s PDF soubor nebo dotaz do velké databáze) a opakuje se desítky nebo stovkykrát za sekundu. Útoky na 7. vrstvě mají vážné následky a je obtížné je odhalit. Nyní tvoří asi 10 % DDoS útoků.

Poměr odlišné typy DDoS útoky podle Verizon Data Breach Investigations Report (DBIR) (2016).

Útoky DDoS jsou často načasovány tak, aby se shodovaly s obdobími špičky provozu, například dny online prodeje. Velké toky osobních a finančních údajů v současné době přitahují hackery.

DDoS útoky na DNS

Systém doménových jmen (DNS) hraje zásadní roli ve výkonu a dostupnosti webových stránek. V konečném důsledku – v úspěchu vašeho podnikání. Bohužel DNS infrastruktura je často cílem DDoS útoků. Potlačením vaší infrastruktury DNS mohou útočníci poškodit váš web, pověst vaší společnosti a ovlivnit vaši finanční výkonnost. Pro boj s dnešními hrozbami musí být infrastruktura DNS vysoce odolná a škálovatelná.

DNS v podstatě je distribuovaná základna data, která mimo jiné přiřazuje snadno čitelné názvy stránek k IP adresám, což uživateli umožňuje dostat se na požadovanou stránku po zadání URL. První interakce uživatele s webem začíná dotazy DNS odeslanými na server DNS s adresou internetové domény vašeho webu. Jejich zpracování může tvořit až 50 % doby načítání webové stránky. Snížený výkon DNS tedy může vést k odchodu uživatelů z webu a obchodním ztrátám. Pokud váš server DNS přestane reagovat v důsledku útoku DDoS, nikdo nebude mít přístup k vašemu webu.

DDoS útoky je obtížné odhalit, zejména na začátku, kdy se provoz zdá normální. Infrastruktura DNS může být předmětem různé typy DDoS útoky. Někdy se jedná o přímý útok na servery DNS. V jiných případech se exploity využívají pomocí systémů DNS k útoku na jiné prvky IT infrastruktury nebo služeb.

Při útocích DNS Reflection je cíl vystaven masivním falešným odpovědím DNS. K tomuto účelu se používají botnety, které infikují stovky a tisíce počítačů. Každý robot v takové síti generuje několik požadavků DNS, ale používá stejnou cílovou IP adresu jako zdrojová IP (spoofing). Služba DNS odpoví na tuto IP adresu.

Tím je dosaženo dvojího účinku. Cílový systém je bombardován tisíci a miliony DNS odpovědí a DNS server může selhat, neschopný zvládnout zátěž. Samotný DNS požadavek je obvykle menší než 50 bajtů, ale odpověď je desetkrát delší. Kromě toho mohou DNS zprávy obsahovat docela dost dalších informací.

Řekněme, že útočník vydal 100 000 krátkých požadavků DNS o velikosti 50 bajtů (celkem 5 MB). Pokud každá odpověď obsahuje 1 KB, pak je součet již 100 MB. Odtud název – Amplification. Kombinace útoků DNS Reflection a Amplification může mít velmi vážné následky.

Požadavky vypadají jako normální provoz a odpověďmi je mnoho velkých zpráv směrovaných do cílového systému.

Jak se chránit před DDoS útoky?

Jak se chránit před DDoS útoky, jaké kroky podniknout? Především to neodkládejte „na později“. Některá opatření je třeba vzít v úvahu při konfiguraci sítě, spouštění serverů a nasazování softwaru. A každá další změna by neměla zvýšit zranitelnost vůči DDoS útokům.

1. Zabezpečení softwarového kódu. Při psaní softwaru je třeba vzít v úvahu bezpečnostní aspekty. Doporučuje se dodržovat standardy "bezpečného kódování" a důkladně testovat software abyste se vyhnuli běžným chybám a zranitelnostem, jako je skriptování mezi weby a vkládání SQL.
2. Vypracujte plán aktualizace softwaru. Vždy by měla existovat možnost vrácení, pokud se něco pokazí.
3. Okamžitě aktualizujte software. Pokud se vám podařilo stáhnout aktualizace, ale objevily se problémy, viz bod 2.
4. Nezapomeňte na omezení přístupu. admin a/nebo účty by měly být chráněny silnými a pravidelně měněnými hesly. Nezbytná je také pravidelná kontrola přístupových práv a včasné mazání účtů odstupujících zaměstnanců.
5. Administrátorské rozhraní by mělo být přístupné pouze z interní sítě nebo přes VPN. Okamžitě uzavřete přístup VPN pro odcházející a zejména propuštěné zaměstnance.
6. Zahrňte zmírnění DDoS útoků do svého plánu obnovy po havárii. Plán by měl obsahovat způsoby, jak zjistit skutečnost takového útoku, kontakty pro komunikaci s poskytovatelem internetu nebo hostingu a strom „eskalace problémů“ pro každé oddělení.
7. Skenování zranitelnosti pomůže identifikovat problémy ve vaší infrastruktuře a softwaru a snížit rizika. Jednoduchý test OWASP Top 10 zranitelnosti odhalí nejkritičtější problémy. Užitečné budou i penetrační testy – pomohou najít slabá místa.
8. Hardwarová ochrana proti DDoS útokům může být drahá. Pokud to váš rozpočet neumožňuje, tzn dobrá alternativa– DDoS ochrana „na vyžádání“. Tuto službu lze aktivovat jednoduchou změnou schématu směrování provozu Nouzová situace nebo je neustále chráněn.
9. Použijte partnera CDN. Sítě pro doručování obsahu vám umožňují doručovat obsah webových stránek prostřednictvím distribuované sítě. Provoz je distribuován na více serverů, což snižuje zpoždění při přístupu k uživatelům, včetně geograficky vzdálených. Takže zatímco hlavní výhodou CDN je rychlost, slouží také jako bariéra mezi hlavním serverem a uživateli.
10. Používejte Web Application Firewall – firewall pro webové aplikace. Sleduje provoz mezi webem nebo aplikací a prohlížečem a kontroluje oprávněnost požadavků. Při práci na aplikační úrovni dokáže WAF detekovat útoky na základě uložených vzorců a detekovat neobvyklé chování. Útoky na úrovni aplikací jsou v elektronickém obchodování běžné. Stejně jako u CDN můžete využívat služby WAF v cloudu. Konfigurace pravidel však vyžaduje určité zkušenosti. V ideálním případě by všechny základní aplikace měly být chráněny WAF.

DNS ochrana

Jak chránit infrastrukturu DNS před útoky DDoS? Konvenční firewally a IPS zde nepomohou, proti složitému DDoS útoku na DNS jsou bezmocné. Ve skutečnosti jsou brány firewall a systémy prevence narušení samy zranitelné vůči útokům DDoS.

Mohou přijít na pomoc cloudové službyčištění dopravy: je odesláno do určitého střediska, kde je zkontrolováno a přesměrováno zpět na místo určení. Tyto služby jsou užitečné pro provoz TCP. Ti, kteří spravují svou vlastní infrastrukturu DNS, mohou provést následující kroky ke zmírnění účinků DDoS útoků.

1. Sledování podezřelé aktivity na serverech DNS je prvním krokem k ochraně vaší infrastruktury DNS. Komerční řešení DNS a open source produkty, jako je BIND, poskytují statistiky v reálném čase, které lze použít k detekci DDoS útoků. Monitorování DDoS útoků může být náročný úkol. Nejlepší je vytvořit základní profil infrastruktury za normálních provozních podmínek a poté jej čas od času aktualizovat, jak se infrastruktura vyvíjí a mění se vzorce provozu.
2. Dodatečné zdroje serveru DNS mohou pomoci v boji proti útokům malého rozsahu tím, že poskytují infrastrukturu DNS redundanci. Prostředky serveru a sítě by měly být dostatečné pro zpracování většího objemu požadavků. Redundance samozřejmě stojí peníze. Platíte za server a síťové zdroje, které se za normálních podmínek běžně nepoužívají. A s významnou „rezervou“ moci tento přístup pravděpodobně nebude účinný.
3. Povolení omezení rychlosti odezvy DNS (RRL) sníží pravděpodobnost, že se server zapojí do útoku DDoS Reflection snížením rychlosti, jakou odpovídá na opakované požadavky. RRL jsou podporovány mnoha implementacemi DNS.
4. Použijte konfigurace s vysokou dostupností. Před útoky DDoS se můžete chránit nasazením služby DNS na server s vysokou dostupností (HA). Pokud dojde k výpadku jednoho fyzického serveru v důsledku útoku, lze službu DNS obnovit na záložním serveru.

Nejlepší způsob, jak chránit váš DNS před DDoS útoky, je použít geograficky distribuovanou síť Anycast. Distribuované sítě DNS lze implementovat pomocí dvou různých přístupů: adresování Unicast nebo Anycast. První přístup je mnohem jednodušší na implementaci, ale druhý je mnohem odolnější vůči DDoS útokům.

Díky Unicast obdrží každý server DNS vaší společnosti jedinečnou IP adresu. DNS udržuje tabulku serverů DNS vaší domény a jejich odpovídající IP adresy. Když uživatel zadá URL, náhodně se vybere jedna z IP adres pro dokončení požadavku.

Se schématem adresování Anycast různé servery DNS používá sdílenou IP adresu. Když uživatel zadá adresu URL, vrátí se souhrnná adresa serverů DNS. Síť IP směruje požadavek na nejbližší server.

Anycast poskytuje základní bezpečnostní výhody oproti Unicast. Unicast poskytuje IP adresy jednotlivých serverů, takže útočníci mohou provádět cílené útoky proti konkrétním fyzickým serverům a virtuální stroje a když jsou zdroje tohoto systému vyčerpány, dojde k selhání služby. Anycast může pomoci zmírnit útoky DDoS distribucí požadavků napříč skupinou serverů. Anycast je také užitečný pro izolaci účinků útoku.

Ochrana DDoS poskytovaná poskytovatelem

Návrh, nasazení a provoz globální sítě Anycast vyžaduje čas, peníze a know-how. Většina IT organizací na to nemá talent ani finance. Svou infrastrukturu DNS můžete svěřit poskytovateli spravovaných služeb, který se na DNS specializuje. Mají potřebné znalosti k ochraně DNS před DDoS útoky.

Poskytovatelé spravovaných služeb DNS provozují rozsáhlé sítě Anycast a mají místa přítomnosti po celém světě. Odborníci na síťovou bezpečnost monitorují síť 24/7/365 a používají speciální nástroje ke zmírnění účinků DDoS útoků.

Někteří poskytovatelé hostingu také nabízejí ochranu před útoky DDoS: síťový provoz je analyzován 24/7, takže vaše stránky budou relativně bezpečné. Taková ochrana odolá silným útokům – až 1500 Gbit/s. Za provoz se platí.

Další možností je ochrana IP adres. Poskytovatel umístí IP adresu, kterou klient zvolil jako chráněnou, do speciálního síťového analyzátoru. Během útoku je provoz na klienta porovnáván se známými vzorci útoků. Výsledkem je, že klient přijímá pouze čistý, filtrovaný provoz. Uživatelé webu tedy nemusí vědět, že proti nim byl zahájen útok. K tomu je vytvořena distribuovaná síť filtračních uzlů, takže pro každý útok lze vybrat nejbližší uzel a minimalizovat zpoždění v přenosu provozu.

Výsledkem využívání služeb ochrany před DDoS útoky bude včasná detekce a prevence DDoS útoků, kontinuita provozu webu a jeho stálá dostupnost pro uživatele, minimalizace finančních a reputačních ztrát z výpadků webu či portálu.

Jak k DDoS útoku dochází a jaké typy útoků existují? Pochopení problému je již polovinou jeho řešení. Proto zvážíme hlavní typy DDoS a za jakým účelem se na stránkách provádějí.

DDoS (Distributed Denial of Service útok)je cílená sada akcí k deaktivaci nebo narušení provozu internetového zdroje. Obětí se může stát jakýkoli zdroj, včetně internetového obchodu, vládní webové stránky nebo herního serveru. Ve většině podobné případyÚtočník k těmto účelům využívá síť počítačů, které jsou infikovány virem. Taková síť se nazývá botnet. Obsahuje koordinační hlavní server. Za účelem zahájení útoku odešle hacker na takový server příkaz, který následně signalizuje každému robotovi, aby začal provádět škodlivé síťové požadavky.

Důvody k provedení DDoS útokumožná hodně. Například:

• pro zábavu. Primitivní útok může zorganizovat každý, kdo se v této oblasti alespoň trochu vyzná. Je pravda, že takový útok není ani anonymní, ani účinný a ti, kdo ho páchají, si toho nemusí být ani vědomi. Školáci často takové situace nacvičují pro zábavu. Cílem takové „zábavy“ může být téměř jakákoli stránka na internetu.
• kvůli osobnímu nepřátelství . Z tohoto důvodu může dojít k DDoS útoku na váš web. Nikdy nevíte, komu jste zkřížili cestu, konkurenti nebo jiní lidé, kteří „nemají rádi“ váš internetový zdroj, mohou udělat totéž.
• za účelem vydírání nebo vydírání . Podvodníci většinou vydírají velké firmy. Požadují poplatek za zastavení útoku na servery nebo za neprovedení útoku.
• neférová soutěž . Takové útoky jsou často vytvářeny s cílem zničit pověst webu a ztrátu návštěvnosti zákazníků.

První DDoS útoky se objevily v roce 1996. Je pravda, že tento fenomén přitáhl zvláštní pozornost v roce 1999, kdy byli z provozu odstraněni světoví giganti - Amazon, Yahoo, CNN, eBay, E-Trade. A naléhavá opatření k vyřešení problému začali přijímat až v roce 2000, kdy byly znovu zasaženy servery klíčových společností.

Typy DDoS.

Jednoduchý provoz jsou požadavky HTTP. Základem požadavku je HTTP hlavička. Žadatel může použít libovolný počet hlaviček a dát jim požadované vlastnosti. Útočníci DDoS mohou tyto hlavičky upravit, takže je obtížné je rozpoznat jako útok.

HTTP GET

• HTTP(S) požadavek GET- metoda, která vyžaduje data ze serveru. Tento požadavek může „požádat“ server o přenos nějakého souboru, obrázku, stránky nebo skriptu pro zobrazení ve webovém prohlížeči.
• HTTP(S) GET záplava - DDoS útok aplikační vrstva (7) modelu OSI. Útočník posílá na server silný proud požadavků, aby zahltil jeho zdroje. V takovém případě server přestane reagovat na požadavky skutečných návštěvníků.

HTTP POST

• HTTP(S) požadavek POST- metoda, jejíž podstatou je umístění dat do těla požadavku pro následné zpracování na serveru. HTTP POST požadavek kóduje přenášené informace a umístí jej do formuláře a poté odešle tento obsah na server. Tato metoda se používá, když je potřeba přenést velké množství dat.
• HTTP(S) POST záplava- typ DDoS útoku, při kterém počet požadavků POST zahltí server a v důsledku toho na ně není schopen reagovat. To znamená nouzové zastavení serveru s následnými důsledky.

Všechny výše uvedené požadavky jsou také přenášeny přes HTTPS, v tomto případě jsou přenášená data šifrována. A taková ochrana hraje ve prospěch hackerů. Koneckonců, aby bylo možné takový požadavek identifikovat, musí jej server nejprve dešifrovat. A je velmi obtížné dešifrovat tok požadavků během takového útoku, což vytváří další zatížení serveru.

ICMP záplava (nebo šmoulí útok). Docela nebezpečný typ útoku. Hacker odešle falešný ICMP paket, ve kterém se adresa útočníka změní na adresu oběti. Všechny uzly pošlou odpověď na tento požadavek ping. K tomu ve většině případů používají velká síť aby počítač oběti neměl šanci.

UDP záplava (nebo Fraggle útok). Jeho typ je podobný ICMP flood, i když v tomto případě se používají UDP pakety. Kvůli nasycení šířky pásma dojde k odmítnutí služby obětovanému serveru.

SYN povodeň. Tento útok je založen na spuštění velkého počtu současných TCP spojení odesláním SYN paketu s neexistující návratovou adresou.

Odesílání „těžkých balíků“. Při tomto typu útoku útočník posílá pakety na server, které nezasytí šířku pásma, ale ztrácejí čas jeho procesoru. V důsledku toho se systém zhroutí a uživatelé nemohou získat své prostředky.

Přetečení serveru soubory protokolu. Pokud je systém rotace souborů protokolu nesprávný, může podvodník odesílat velké pakety, které brzy zaberou vše volné místo na pevném disku serveru. V důsledku toho se systém zhroutil.

Chyby v kódu. Někteří útočníci se zkušenostmi v této oblasti činnosti vyvíjejí speciální exploit programy, které jim umožňují útočit na složité systémy komerčních organizací. K tomu hledají chyby v kódu programu, které by mohly vést k ukončení služby.

Nevýhody v programový kód . Stejná situace: hackeři hledají chyby v kódu programů nebo OS a zároveň je nutí řešit výjimečné situace, v jejichž důsledku programy selhávají.

Metody boje proti DDoS lze rozdělit do dvou typů:aktivní a pasivní. Pasivní metody jsou předem připravené metody prevence a prevence útoku, aktivní se používají v případě, že k útoku již dochází.

Hlavní pasivní metodou je samozřejměprevence. Mnoho lidí považuje tuto metodu za nedůležitou, ale ve většině případů je stále hlavní.

Prevence by měla být založena na vyloučení takových faktorů, jako je osobní nevraživost, soutěživost, náboženské nebo jiné rozdíly. Pokud budou takové důvody včas odstraněny a budou vyvozeny příslušné závěry, pak DDoS neovlivní váš internetový zdroj. Ale tato metoda je spíše o řízení než o technické stránce problému.

Používání specializovaný software a hardware.

Mnoho výrobních společností dnes vyvinulo speciální a hotová řešení pro ochranu před DDoS útoky. Jedná se o software různých typů pro ochranu malých a velkých webů pro různé typy organizací. To je také považováno za pasivní způsob ochrany, protože se jedná o preventivní metodu.

Filtrování a blokování provozu, který pochází z útočících strojů, umožňuje snížit nebo zcela uhasit útok. Existují dvě metody filtrování: směrování pomocí ACL a pomocí firewallů. Použití ACL vám umožňuje filtrovat nedůležité protokoly bez ovlivnění TCP protokoly a bez zpomalení rychlosti práce uživatelů se zdrojem. Firewally se používají výhradně k ochraně privátních sítí.

Reverzní DDoS– přesměrování provozu na útočníka. Pokud máte dostatečný výkon serveru, můžete nejen překonat útok, ale také deaktivovat útočníkovo zařízení. Je to pravda, tenhle typ ochrana v případě chyb v programovém kódu OS, systémových služeb nebo webových aplikací.

Oprava zranitelností– typ ochrany je zaměřen na eliminaci chyb v systémech nebo službách. Bohužel tento způsob ochrany proti povodním nefunguje.

Budování distribuovaných systémů– umožňuje obsluhovat uživatele, i když se některé uzly stanou nedostupnými kvůli útokům DDoS. K tomu se používají různé typy síťových nebo serverových zařízení, které jsou umístěny v různých DC. Často je také instalován záložní systém. To je výhodné pro velké projekty, které si váží své pověsti a mají obrovské množství uživatelů.

Sledování– instalace speciálního monitorovacího a varovného systému. Umožní vypočítat DDoS útok na základě určitých kritérií. Monitorování nechrání přímo systém před útokem, ale umožňuje vám včas reagovat a zabránit selhání operačního systému zdroje. Jedná se samozřejmě o pasivní způsob ochrany.

Nákup služby ochrany DDoS– umožňuje chránit se před mnoha typy DDoS útoků pomocí celé řady mechanismů pro filtrování nežádoucího provozu na útočící servery. Je pravda, že takové služby nejsou levné.

Jak reagovat na hrozby od podvodníků, kteří DDoS váš online zdroj? Více podrobností v dalším.

Pouze soubor výše popsaných opatření vám pomůže chránit váš web před DDoS a chránit vaši službu.

O DDoS útocích. Základní pravidla pro ochranu zdrojů na internetu, více podrobností na.

9109 krát Dnes 11 Zobrazeno

Nařídit DDoS útok nevyžaduje mnoho inteligence. Zaplaťte hackerům a myslete na paniku vašich konkurentů. Nejprve z režisérské židle a poté z vězeňské postele.

Vysvětlujeme, proč je obracet se na hackery to poslední, co by poctivý podnikatel měl dělat, a jaké to má důsledky.

Jak provést DDoS útokví i školák

Nástroje pro organizaci DDoS útoku jsou dnes dostupné všem. Překážka vstupu pro začínající hackery je nízká. Proto podíl krátkých, ale silných útoků na ruské stránky rostl . Vypadá to, že hackerské skupiny jen procvičují své dovednosti.

Příklad. V roce 2014 Vzdělávací portál Republiky Tatarstán utrpěl DDoS útoky. Útok na první pohled nemá smysl: nejde o komerční organizaci a není po ní co žádat. Portál zobrazuje známky, rozvrhy tříd a tak dále. Už ne. Odborníci Kaspersky Lab našli skupinu VKontakte, kde diskutovali studenti a školáci z Tatarstánu jak provést DDoS útok.

Společenství mladých bojovníků proti systému Republiky Tatarstán

Odvozené dotazy z „jak provést DDoS útok v Tatarstánu“ vedly specialisty na kybernetickou bezpečnost k zajímavému oznámení. Účinkující byli rychle nalezeni a museli uhradit škodu.

Dříve vytrhávali stránky v denících, ale nyní se nabourávají do webových stránek

Kvůli jednoduchosti DDoS útoků se jich ujmou nováčci bez morálních zásad nebo pochopení jejich schopností. Mohou také dále prodávat zákaznická data. Omlazování pachatelů DDoS útoků je celosvětovým trendem.

Termín vězení na jaře 2017 obdržel britský student. Když mu bylo 16 let, tvořil DDoS útočný program Titanium Stresser. Brit z jeho prodeje vydělal 400 tisíc liber šterlinků (29 milionů rublů). Pomocí tohoto DDoS programu byly provedeny 2 miliony útoků na 650 tisíc uživatelů po celém světě.

Ukázalo se, že teenageři jsou členy velkých DDoS skupin Lizard Squad a PoodleCorp. Mladí Američané si přišli na své DDoS programy, ale použil je k útoku na herní servery, aby získal výhody v online hrách. Tak se našli.

Zda včerejším školákům důvěřovat pověsti firmy, si každý rozhodne sám.

Trest zaDDoS programyv Rusku

Jak provést DDoS útokzájem o podnikatele, kteří nechtějí hrát podle pravidel hospodářské soutěže. To dělají zaměstnanci ředitelství „K“ ministerstva vnitra Ruska. Chytají účinkující.

Ruská legislativa stanoví tresty za kybernetické zločiny. Na základě současné praxe mohou účastníci DDoS útoku spadat pod následující články.

Zákazníci.Jejich činy obvykle spadají pod- nezákonný přístup k právně chráněným informace o počítači.

Trest:odnětí svobody až na sedm let nebo pokuta až 500 tisíc rublů.

Příklad. Podle tohoto článku byl odsouzen pracovník oddělení technické ochrany informací městské správy Kurgan. Vyvinul multifunkční program Meta. S jeho pomocí útočník shromáždil osobní údaje o 1,3 milionu obyvatel regionu. Poté jsem jej prodal bankám a inkasním agenturám. Hackera dostal dva roky vězení.

Účinkující.Zpravidla jsou potrestániČlánek 273 trestního zákoníku Ruské federace - vytváření, používání a distribuce škodlivých počítačových programů.

Trest.Odnětí svobody až na sedm let s pokutou až 200 tisíc rublů.

Příklad.19letý student z Tolyatti dostal 2,5 roku podmíněný trest a pokutu 12 milionů rublů. Používáním programy pro DDoS útoky, pokusil se zničit informační zdroje a webové stránky bank. Po útoku student vymáhal peníze.

Neopatrní uživatelé.Nedodržení bezpečnostních pravidel při ukládání dat se trestáČlánek 274 trestního zákoníku Ruské federace - porušení pravidel pro provozování prostředků pro ukládání, zpracování nebo přenos počítačových informací a informačních a telekomunikačních sítí.

Trest:odnětí svobody až na pět let nebo pokuta až 500 tisíc rublů.

Příklad.Pokud při přístupu k informacím byly jakýmkoli způsobem odcizeny peníze, bude článek překvalifikován na podvod v oblasti počítačových informací (). Takže dva roky v koloniální osadě obdrželi uralští hackeři, kteří získali přístup k bankovním serverům.

Útoky na média.Pokud jsou útoky DDoS zaměřeny na porušování novinářských práv, akce spadají pod - maření legitimních profesních činností novináře.

Trest:odnětí svobody až na šest let nebo pokuta až 800 tisíc rublů.

Příklad.Tento článek je často přeřazen do obtížnějších. Jak provést DDoS útok věděli ti, kteří zaútočili na Novou Gazetu, Echo Moskvy a Bolšoj Gorod. Obětí hackerů se stávají i regionální publikace.

V Rusku jsou za použití přísné tresty DDoS programy . Anonymita z ředitelství „K“ vás nezachrání.

Programy pro DDoS útoky

Podle odborníků stačí 2000 botů k útoku na průměrný web. Náklady na útok DDoS začínají od 20 USD (1 100 rublů). Počet útočných kanálů a provozní doba jsou diskutovány individuálně. Dochází i k vydírání.

Slušný hacker provede před útokem pentest. Armáda by tuto metodu nazvala „průzkum v síle“. Podstatou pentestu je malý, kontrolovaný útok, který má zjistit obranné zdroje webu.

Zajímavý fakt.Jak provést DDoS útokMnoho lidí ví, ale sílu hackera určuje botnet. Útočníci si často navzájem kradou přístupové klíče k „armádám“ a poté je prodávají. Známým trikem je „vypnout“ wi-fi, aby se násilně restartovala a vrátila se do základního nastavení. V tomto stavu je heslo standardní. Dále útočníci získají přístup k veškerému provozu organizace.

Nejnovějším trendem hackerů je hackování chytrých zařízení, aby na ně nainstalovali těžaře kryptoměn. Tyto akce mohou spadat pod doložku použití malware(článek 273 trestního zákoníku Ruské federace). Tedy důstojníci FSB zadržen správce systému Centrum řízení misí. Na své pracovní zařízení instaloval horníky a obohacoval se. Útočník byl identifikován podle přepětí.

Hackeři provedou DDoS útok na konkurenta. Pak k němu mají přístup výpočetní výkon a vytěžit bitcoin nebo dva. Pouze tento příjem nepůjde zákazníkovi.

Rizika objednání DDoS útoku

Pojďme si to shrnout zvážením výhod a nevýhod objednání DDoS útoku na konkurenty.

Pokud konkurenti naštvali obchod, hackeři nepomohou. Budou to jen zhoršovat. Agentura "Digital Sharks" nechtěné informace právní cestou.