Uvod

Dopustite mi da rezerviram odmah da kada sam napisao ovu recenziju, prvenstveno sam bio usmjeren na publiku koja razumije specifičnosti rada teleoperatera i njihovih podatkovnih mreža. Ovaj članak opisuje osnovne principe zaštite od DDoS napada, povijest njihovog razvoja u posljednjem desetljeću i trenutno stanje.

Što je DDoS?

Vjerojatno danas, ako ne svaki "korisnik", onda barem svaki "IT stručnjak" zna što su DDoS napadi. Ali ipak treba reći nekoliko riječi.

DDoS napadi (Distributed Denial of Service) su napadi na računalne sustave (mrežne resurse ili komunikacijske kanale) s ciljem da ih učine nedostupnima legitimnim korisnicima. DDoS napadi uključuju istovremeno slanje velikog broja zahtjeva prema određenom resursu s jednog ili više računala na Internetu. Ako tisuće, deseci tisuća ili milijuni računala istovremeno počnu slati zahtjeve određenom poslužitelju (ili mrežnom servisu), tada ili poslužitelj to neće moći obraditi ili neće biti dovoljno propusnosti za komunikacijski kanal prema ovom poslužitelju . U oba slučaja korisnici interneta neće moći pristupiti napadnutom poslužitelju, pa čak ni svim poslužiteljima i drugim resursima povezanim preko blokiranog komunikacijskog kanala.

Neke značajke DDoS napada

Protiv koga i s kojom svrhom se pokreću DDoS napadi?

DDoS napadi mogu se pokrenuti protiv bilo kojeg izvora na Internetu. Najveću štetu od DDoS napada imaju organizacije čije je poslovanje izravno vezano uz njihovu prisutnost na internetu – banke (pružaju usluge internetskog bankarstva), internet trgovine, platforme za trgovanje, aukcije, kao i druge vrste aktivnosti čija aktivnost i učinkovitost značajno ovisi o njihovoj prisutnosti na internetu (putničke agencije, zrakoplovni prijevoznici, proizvođači opreme i softvera, itd.) DDoS napadi se redovito pokreću na resurse takvih divova globalne IT industrije, poput IBM-a, Cisco Systemsa, Microsofta i drugih. Masovni DDoS napadi primijećeni su protiv eBay.com, Amazon.com i mnogih poznatih banaka i organizacija.

Vrlo često se DDoS napadi izvode na web predstavništva političkih organizacija, institucija ili pojedinih poznatih ličnosti. Mnogi ljudi znaju za masivne i dugotrajne DDoS napade koji su pokrenuti na web stranicu predsjednika Gruzije tijekom gruzijsko-osetijskog rata 2008. (web stranica je bila nedostupna nekoliko mjeseci počevši od kolovoza 2008.), na poslužitelje estonske vlade (u proljeće 2007., tijekom nemira povezanih s prijenosom Brončanog vojnika), o periodičnim napadima iz sjevernokorejskog segmenta interneta na američke stranice.

Glavni ciljevi DDoS napada su izvlačenje koristi (izravne ili neizravne) putem ucjena i iznuda, ili ostvarivanje političkih interesa, eskalacija situacije ili osveta.

Koji su mehanizmi za pokretanje DDoS napada?

Najpopularniji i najopasniji način pokretanja DDoS napada je korištenje bot mreža (BotNets). Botnet je skup računala na kojima su instalirani posebni programski bookmarkovi (botovi), u prijevodu s engleskog, botnet je mreža botova. Botove obično razvijaju hakeri pojedinačno za svaki botnet, a glavni im je cilj slanje zahtjeva prema određenom resursu na internetu po naredbi primljenoj od poslužitelja za kontrolu botneta - Botnet Command and Control Server. Server za kontrolu botneta kontrolira haker, odnosno osoba koja je kupila botnet i mogućnost pokretanja DDoS napada od hakera. Botovi se šire internetom različiti putevi, u pravilu, napadajući računala koja imaju ranjive servise i na njih instalirajući softverske knjižne oznake, ili obmanjujući korisnike i tjerajući ih da instaliraju botove pod krinkom pružanja drugih usluga ili softvera koji rade potpuno bezopasno ili čak korisna funkcija. Postoji mnogo načina za širenje botova, a redovito se izmišljaju nove metode.

Ako je botnet dovoljno velik - deseci ili stotine tisuća računala - tada će istovremeno slanje sa svih tih računala čak i potpuno legitimnih zahtjeva prema određenom mrežnom servisu (na primjer, web servisu na određenom mjestu) dovesti do iscrpljenost resursa bilo same usluge ili poslužitelja, ili do iscrpljenosti mogućnosti komunikacijskog kanala. U svakom slučaju, usluga će biti nedostupna korisnicima, a vlasnik usluge će pretrpjeti izravnu, neizravnu i reputacijsku štetu. A ako svako računalo šalje ne samo jedan zahtjev, već desetke, stotine ili tisuće zahtjeva u sekundi, tada se učinak napada višestruko povećava, što omogućuje uništavanje čak i najproduktivnijih resursa ili komunikacijskih kanala.

Neki se napadi izvode na "bezopasnije" načine. Primjerice, flash mob korisnika određenih foruma koji se po dogovoru lansiraju Određeno vrijeme"pingovi" ili drugi zahtjevi njihovih računala prema određenom poslužitelju. Drugi primjer je postavljanje poveznice na web mjesto na popularnim internetskim resursima, što uzrokuje priljev korisnika na ciljni poslužitelj. Ako se "lažna" poveznica (izvana izgleda kao poveznica na jedan resurs, ali zapravo vodi na potpuno drugi poslužitelj) odnosi na web stranicu male organizacije, ali je objavljena na popularnim poslužiteljima ili forumima, takav napad može uzrokovati priljev posjetitelja koji je neželjen za ovu stranicu. Napadi posljednje dvije vrste rijetko dovode do prestanka dostupnosti poslužitelja na pravilno organiziranim hosting stranicama, ali takvih je primjera bilo, čak iu Rusiji 2009. godine.

Hoće li tradicionalna tehnička sredstva zaštite od DDoS napada pomoći?

Posebnost DDoS napada je u tome što se sastoje od mnogo istovremenih zahtjeva od kojih je svaki pojedinačno potpuno “legalan”, štoviše, te zahtjeve šalju računala (zaražena botovima), koja mogu pripadati najčešćim stvarnim ili potencijalnim korisnicima napadnute usluge ili resursa. Stoga je vrlo teško pomoću standardnih alata ispravno identificirati i filtrirati točno one zahtjeve koji predstavljaju DDoS napad. Standardni sustavi klase IDS/IPS (Intrusion Detection / Prevention System - sustav za otkrivanje/spriječavanje mrežnih napada) neće pronaći “corpus delicti” u ovim zahtjevima, neće razumjeti da su dio napada, osim ako ne izvrše kvalitativnu analizu prometnih anomalija . A čak i ako ga pronađu, filtriranje nepotrebnih zahtjeva također nije tako jednostavno - standardni vatrozidi i usmjerivači filtriraju promet na temelju jasno definiranih pristupnih lista (pravila kontrole) i ne znaju se "dinamički" prilagoditi profilu korisnika specifični napad. Vatrozidi može regulirati tokove prometa na temelju kriterija kao što su izvorne adrese, korištene mrežne usluge, priključci i protokoli. Ali obični korisnici interneta sudjeluju u DDoS napadu, šaljući zahtjeve koristeći najčešće protokole - ne bi li telekom operater zabranio sve i svakoga? Tada će jednostavno prestati pružati komunikacijske usluge svojim pretplatnicima, te će prestati pružati pristup mrežnim resursima koje opslužuje, što je zapravo ono što inicijator napada želi postići.

Mnogi stručnjaci vjerojatno znaju za postojanje posebnih rješenja za zaštitu od DDoS napada koja se sastoje od otkrivanja anomalija u prometu, izgradnje prometnog profila i profila napada te naknadnog procesa dinamičkog višestupanjskog filtriranja prometa. I ja ću također govoriti o tim rješenjima u ovom članku, ali malo kasnije. Prvo ćemo govoriti o nekim manje poznatim, ali ponekad vrlo učinkovitim mjerama koje se mogu poduzeti za suzbijanje DDoS napada postojećim sredstvima podatkovne mreže i njezinih administratora.

Zaštita od DDoS napada dostupnim sredstvima

Postoji dosta mehanizama i "trikova" koji omogućuju, u nekim posebnim slučajevima, suzbijanje DDoS napada. Neki se mogu koristiti samo ako je podatkovna mreža izgrađena na opremi određenog proizvođača, drugi su više ili manje univerzalni.

Počnimo s preporukama Cisco Systemsa. Stručnjaci iz ove tvrtke preporučuju zaštitu temelja mreže (Network Foundation Protection), što uključuje zaštitu razine mrežne administracije (Control Plane), razine upravljanja mrežom (Management Plane) i zaštite razine mrežnih podataka (Data Plane).

Zaštita razine upravljanja

Pojam "administrativni sloj" pokriva sav promet koji upravlja ili nadzire usmjerivače i ostalo mrežna oprema. Ovaj promet je usmjeren prema usmjerivaču ili potječe od usmjerivača. Primjeri takvog prometa su Telnet, SSH i http(s) sesije, syslog poruke, SNMP zamke. Opći najbolji primjeri iz prakse uključuju:

Osiguravanje maksimalne sigurnosti protokola upravljanja i nadzora, korištenjem enkripcije i autentifikacije:

• protokol SNMP v3 pruža sigurnosne mjere, dok SNMP v1 praktički ne pruža, a SNMP v2 pruža samo djelomično - zadane vrijednosti zajednice uvijek je potrebno promijeniti;
• treba koristiti različite vrijednosti za javnu i privatnu zajednicu;
• telnet protokol prenosi sve podatke, uključujući prijavu i zaporku, u čistom tekstu (ako se promet presretne, te se informacije lako mogu izvući i koristiti), preporuča se uvijek koristiti ssh v2 protokol umjesto toga;
• na sličan način, umjesto http-a, koristite https za pristup opremi; stroga kontrola pristupa opremi, uključujući odgovarajuću politiku lozinki, centraliziranu provjeru autentičnosti, autorizaciju i računovodstvo (AAA model) i lokalnu provjeru autentičnosti za potrebe redundantnosti;

Implementacija modela pristupa temeljenog na ulogama;

Kontrola dopuštenih veza prema izvornoj adresi korištenjem popisa kontrole pristupa;

Onemogućavanje nekorištenih usluga, od kojih su mnoge omogućene prema zadanim postavkama (ili su ih zaboravili onemogućiti nakon dijagnosticiranja ili konfiguriranja sustava);

Praćenje korištenja resursa opreme.

Na posljednje dvije točke vrijedi se detaljnije osvrnuti.
Neke usluge koje su uključene prema zadanim postavkama ili koje su zaboravljene isključene nakon konfiguriranja ili dijagnosticiranja opreme napadači mogu koristiti za zaobilaženje postojećih sigurnosnih pravila. Popis ovih usluga je u nastavku:

• PAD (sastavljač/rastavljač paketa);

Naravno, prije nego što onemogućite ove usluge, morate pažljivo analizirati jesu li potrebne na vašoj mreži.

Preporučljivo je pratiti korištenje resursa opreme. To će omogućiti, prvo, pravovremeno uočavanje preopterećenja pojedinih mrežnih elemenata i poduzimanje mjera za sprječavanje nesreće, i drugo, otkrivanje DDoS napada i anomalija ako njihovo otkrivanje nije predviđeno posebnim sredstvima. Minimalno se preporučuje praćenje:

• CPU opterećenje
• korištenje memorije
• zagušenja sučelja rutera.

Nadzor se može provoditi "ručno" (povremeno praćenje stanja opreme), ali bolje je, naravno, to učiniti s posebnim nadzorom mreže ili sustavima za nadzor sigurnost informacija(potonji uključuje Cisco MARS).

Zaštita kontrolne ravnine

Sloj upravljanja mrežom uključuje sav promet usluga koji osigurava funkcioniranje i povezanost mreže u skladu sa zadanom topologijom i parametrima. Primjeri prometa kontrolne razine su: sav promet koji generira ili je namijenjen procesoru rute (RR), uključujući sve protokole usmjeravanja, u nekim slučajevima SSH i SNMP protokole i ICMP. Svaki napad na rad routing procesora, a posebice DDoS napadi, mogu dovesti do značajnih problema i prekida u radu mreže. Sljedeće su najbolje prakse za zaštitu kontrolne razine.

Nadzor nad avionom

Sastoji se od korištenja QoS (Quality of Service) mehanizama za davanje većeg prioriteta nadzornom prometu u avionu nego korisničkom prometu (čiji su napadi dio). Time će se osigurati rad servisnih protokola i routing procesora, odnosno održavanje topologije i povezanosti mreže, kao i samo rutiranje i komutiranje paketa.

ACL primanja IP-a

Ova funkcionalnost vam omogućuje filtriranje i kontrolu servisnog prometa namijenjenog usmjerivaču i procesoru usmjeravanja.

• primjenjuju se izravno na opremu za usmjeravanje prije nego što promet stigne do procesora za usmjeravanje, pružajući "osobnu" zaštitu opreme;
• primjenjuju se nakon što je promet prošao kroz uobičajene popise za kontrolu pristupa - posljednja su razina zaštite na putu do procesora usmjeravanja;
• primjenjuju se na sav promet (unutarnji, vanjski i tranzitni u odnosu na mrežu telekom operatera).

Infrastrukturni ACL

Obično je pristup vlasničkim adresama opreme za usmjeravanje potreban samo za hostove na vlastitoj mreži operatera, ali postoje iznimke (na primjer, eBGP, GRE, IPv6 preko IPv4 tunela i ICMP). Infrastrukturni ACL-ovi:

• obično se postavljaju na rubu mreže telekom operatera ("na ulazu u mrežu");
• imaju za cilj spriječiti vanjske hostove da pristupe infrastrukturnim adresama operatera;
• osigurati nesmetan prolaz prometa preko granice mreže operatora;
• pružaju osnovne mehanizme zaštite od neovlaštene mrežne aktivnosti opisane u RFC 1918, RFC 3330, posebice zaštitu od prijevare (podvala, korištenje lažnih izvornih IP adresa za prikrivanje prilikom pokretanja napada).

Provjera autentičnosti susjeda

Glavna svrha autentifikacije susjeda je spriječiti napade koji uključuju slanje krivotvorenih poruka protokola usmjeravanja kako bi se promijenilo usmjeravanje u mreži. Takvi napadi mogu dovesti do neovlaštenog prodora u mrežu, neovlaštenog korištenja mrežnih resursa, ali i do toga da napadač presretne promet kako bi analizirao i dobio potrebne informacije.

Postavljanje BGP-a

• Filtri prefiksa BGP - koriste se za osiguravanje informacija o ruti interna mreža telekom operater nije distribuiran na Internetu (ponekad ova informacija može biti vrlo korisna za napadača);
• ograničavanje broja prefiksa koji se mogu primiti od drugog usmjerivača (ograničavanje prefiksa) - koristi se za zaštitu od DDoS napada, anomalija i kvarova u peering partnerskim mrežama;
• korištenje parametara BGP zajednice i njihovo filtriranje također se može koristiti za ograničavanje distribucije informacija o usmjeravanju;
• BGP praćenje i usporedba BGP podataka s promatranim prometom jedan je od mehanizama za ranu detekciju DDoS napada i anomalija;
• filtriranje prema parametru TTL (Time-to-Live) - koristi se za provjeru BGP partnera.

Ako BGP napad nije pokrenut s mreže ravnopravnog partnera, nego s udaljenije mreže, tada će TTL parametar za BGP pakete biti manji od 255. Možete konfigurirati granične usmjerivače operatera tako da ispuštaju sve BGP pakete s TTL-om vrijednost< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Zaštita podatkovne ravnine na mreži (Data Plane)

Unatoč važnosti zaštite administrativne i upravljačke razine, najveći dio prometa u mreži telekom operatera je podatkovni, tranzitni ili namijenjen pretplatnicima ovog operatora.

Unicast prosljeđivanje obrnutog puta (uRPF)

Često se napadi pokreću korištenjem tehnologije lažiranja - izvorne IP adrese su lažirane tako da se ne može ući u trag izvoru napada. Lažne IP adrese mogu biti:

• iz stvarno korištenog adresnog prostora, ali u drugom mrežnom segmentu (u segmentu iz kojeg je napad pokrenut te se lažne adrese ne usmjeravaju);
• iz adresnog prostora koji se ne koristi u danoj mreži za prijenos podataka;
• iz adresnog prostora koji se ne može usmjeravati na Internetu.

Implementacija uRPF mehanizma na usmjerivačima spriječit će rutiranje paketa s izvornim adresama koje su nekompatibilne ili neiskorištene u segmentu mreže iz kojeg su stigli na sučelje usmjerivača. Ova tehnologija ponekad omogućuje prilično učinkovito filtriranje neželjenog prometa najbliže izvoru, odnosno najučinkovitije. Mnogi DDoS napadi (uključujući poznate Smurfove i Tribal Flood Network) koriste mehanizam lažiranja i stalne promjene izvornih adresa kako bi zavarali standardne mjere sigurnosti i filtriranja prometa.

Korištenje uRPF mehanizma od strane telekom operatera koji pretplatnicima pružaju pristup Internetu učinkovito će spriječiti DDoS napade korištenjem tehnologije lažiranja koju njihovi pretplatnici usmjeravaju protiv internetskih resursa. Tako se DDoS napad suzbija najbliže izvoru, odnosno najučinkovitije.

Daljinski aktivirane crne rupe (RTBH)

Daljinski pokrenute crne rupe koriste se za "izbacivanje" (uništenje, slanje "nikamo") prometa koji ulazi u mrežu usmjeravanjem ovog prometa na posebna Null 0 sučelja. Ova tehnologija Preporuča se koristiti ga na rubu mreže kako bi se ispustio promet koji sadrži DDoS napad dok ulazi u mrežu. Ograničenje (i to značajno) ove metode je da se primjenjuje na sav promet namijenjen određenom hostu ili hostovima koji su meta napada. Tako, ovu metodu može se koristiti u slučajevima kada je jedan ili više hostova izložen masivnom napadu, što uzrokuje probleme ne samo za napadnute hostove, već i za ostale pretplatnike i mrežu telekom operatera u cjelini.

Crnim rupama se može upravljati ručno ili putem BGP protokola.

Propagacija politike QoS-a kroz BGP (QPPB)

Kontrola QoS-a preko BGP-a (QPPB) omogućuje vam upravljanje politikama prioriteta za promet namijenjen određenom autonomnom sustavu ili bloku IP adresa. Ovaj mehanizam može biti vrlo koristan za telekom operatere i velika poduzeća, uključujući i za upravljanje razinom prioriteta za neželjeni promet ili promet koji sadrži DDoS napad.

Rupe za sudopere

U nekim slučajevima nije potrebno potpuno ukloniti promet pomoću crnih rupa, već ga preusmjeriti od glavnih kanala ili resursa za naknadno praćenje i analizu. To je upravo ono za što su dizajnirani "skretni kanali" ili Sink Holes.

Rupe za sudopere najčešće se koriste u sljedećim slučajevima:

• preusmjeravati i analizirati promet s odredišnim adresama koje pripadaju adresnom prostoru mreže telekom operatera, ali se zapravo ne koriste (nisu dodijeljene niti opremi niti korisnicima); takav promet je a priori sumnjiv, budući da često ukazuje na pokušaje skeniranja ili prodora u vašu mrežu od strane napadača koji nema detaljne informacije o njegovoj strukturi;
• preusmjeriti promet s cilja napada, koji je resurs koji stvarno funkcionira u mreži telekom operatera, za njegovo praćenje i analizu.

DDoS zaštita pomoću posebnih alata

Koncept Cisco Clean Pipes je pionir u industriji

Moderni koncept zaštite od DDoS napada razvio je (da, da, nećete se iznenaditi! :)) Cisco Systems. Koncept koji je razvio Cisco zove se Cisco Clean Pipes. Koncept, detaljno razrađen prije gotovo 10 godina, detaljno je opisao osnovne principe i tehnologije zaštite od prometnih anomalija, od kojih se većina i danas koristi, uključujući i druge proizvođače.

Koncept Cisco Clean Pipes uključuje sljedeće principe za otkrivanje i ublažavanje DDoS napada.

Odabiru se točke (dionice mreže) u kojima se analizira promet radi utvrđivanja anomalija. Ovisno o tome što štitimo, takve točke mogu biti peering veze telekom operatera s operatorima više razine, točke povezivanja nižih operatora ili pretplatnika, kanali koji povezuju centre za obradu podataka s mrežom.

Posebni detektori analiziraju promet na tim točkama, grade (proučavaju) prometni profil u normalnom stanju, a kada se pojavi DDoS napad ili anomalija, detektiraju ga, proučavaju i dinamički oblikuju njegove karakteristike. Nadalje, informacije se analiziraju od strane operatera sustava, te poluautomatski ili automatski način rada Započinje proces suzbijanja napada. Suzbijanje je gdje se promet namijenjen "žrtvi" dinamički preusmjerava kroz uređaj za filtriranje, gdje se filtri koje generira detektor primjenjuju na ovaj promet i odražavaju individualnu prirodu ovog napada. Očišćeni promet uvodi se u mrežu i šalje primatelju (zato je nastao naziv Clean Pipes - pretplatnik dobiva "čisti kanal" koji ne sadrži napad).

Dakle, cijeli ciklus zaštite od DDoS napada uključuje sljedeće glavne faze:

• Obrazovanje karakteristike upravljanja promet (profiliranje, osnovno učenje)
• Otkrivanje napada i anomalija (Detekcija)
• Preusmjeravanje prometa za prolaz kroz uređaj za čišćenje (Diverzija)
• Filtriranje prometa za suzbijanje napada (ublažavanje)
• Ubacivanje prometa natrag u mrežu i slanje primatelju (injekcija).

Nekoliko značajki.
Dvije vrste uređaja mogu se koristiti kao detektori:

• Detektori koje proizvodi Cisco Systems su Cisco Traffic Anomaly Detector Services Modules, dizajnirani za ugradnju u kućište Cisco 6500/7600.
• Detektori koje proizvodi Arbor Networks su Arbor Peakflow SP CP uređaji.

Ispod je tablica koja uspoređuje detektore Cisco i Arbor.

Parametar	Cisco detektor prometnih anomalija	Arbor Peakflow SP CP
Dobivanje informacija o prometu za analizu	Koristi kopiju prometa dodijeljenog šasiji Cisco 6500/7600	Koriste se podaci o Netflow prometu primljeni od usmjerivača; uzorkovanje se može prilagoditi (1:1, 1:1000, 1:10000, itd.)
Korišteni principi identifikacije	Analiza potpisa (otkrivanje zlouporabe) i otkrivanje anomalija (dinamičanprofiliranje)	Prvenstveno otkrivanje anomalija; koristi se analiza potpisa, ali potpisi su opće prirode
Faktor oblika	servisni moduli u šasiji Cisco 6500/7600	odvojeni uređaji (poslužitelji)
Izvođenje	Analizira se promet do 2 Gbit/s	Gotovo neograničeno (učestalost uzorkovanja može se smanjiti)
Skalabilnost	Ugradnja do 4 modulaCiscoDetektorS.M.u jednu šasiju (međutim, moduli rade neovisno jedan o drugom)	Mogućnost korištenja više uređaja unutar jedinstveni sustav analiza, od kojih je jednom dodijeljen status Leader
Nadzor mrežnog prometa i usmjeravanja	Praktično nema funkcionalnosti	Funkcionalnost je vrlo razvijena. Mnogi telekom operateri kupuju Arbor Peakflow SP zbog njegove duboke i sofisticirane funkcionalnosti za praćenje prometa i usmjeravanja u mreži
Pružanje portala (individualno sučelje za pretplatnika koje omogućuje praćenje samo dijela mreže koji je izravno povezan s njim)	Nije osigurano	Pod uvjetom. Ozbiljna je prednost ovu odluku, budući da telekom operater može svojim pretplatnicima prodavati pojedinačne usluge DDoS zaštite.
Kompatibilni uređaji za čišćenje prometa (suzbijanje napada)	Cisco Modul čuvarskih službi	Arbor Peakflow SP TMS; Cisco Guard Services Module.
	Zaštita podatkovnih centara kada su povezani na Internet Praćenje nizvodnih priključaka pretplatničkih mreža na mrežu telekom operatera	Otkrivanje napada nauzvodno-priključci mreže telekom operatera na mreže davatelja više razine Nadzor okosnice telekom operatera

Posljednji redak tablice prikazuje scenarije za korištenje detektora tvrtke Cisco i tvrtke Arbor, koje je preporučio Cisco Systems. Ovi scenariji prikazani su na donjem dijagramu.

Kao uređaj za čišćenje prometa, Cisco preporučuje korištenje servisnog modula Cisco Guard, koji je instaliran u šasiju Cisco 6500/7600 i, nakon naredbe primljene od Cisco Detector ili Arbor Peakflow SP CP, promet se dinamički preusmjerava, čisti i ponovno ubacuje u mreža. Mehanizmi preusmjeravanja su ili ažuriranja BGP-a za uzvodne usmjerivače ili izravne kontrolne naredbe nadzorniku korištenjem vlasničkog protokola. Kada koristite BGP ažuriranja, uzvodni usmjerivač dobiva novu nex-hop vrijednost za promet koji sadrži napad, tako da taj promet ide na poslužitelj za čišćenje. U isto vrijeme, potrebno je paziti da ove informacije ne dovedu do organizacije petlje (tako da nizvodni usmjerivač, kada na njega unese odobreni promet, ne pokuša premotati ovaj promet natrag na uređaj za obračun) . Da bi se to postiglo, mogu se koristiti mehanizmi za kontrolu distribucije BGP ažuriranja pomoću parametra zajednice ili korištenje GRE tunela prilikom ulaska u odobreni promet.

Ovakvo stanje je postojalo sve dok Arbor Networks nije značajno proširio liniju proizvoda Peakflow SP i počeo izlaziti na tržište s potpuno neovisnim rješenjem za zaštitu od DDoS napada.

Predstavljen Arbor Peakflow SP TMS

Arbor Networks je prije nekoliko godina odlučio razvijati svoju liniju proizvoda za zaštitu od DDoS napada samostalno i neovisno o tempu i politici razvoja ovog područja u Ciscu. Rješenja Peakflow SP CP imala su temeljne prednosti u odnosu na Cisco Detector, jer su analizirala informacije o protoku s mogućnošću reguliranja frekvencije uzorkovanja, te stoga nisu imala ograničenja u korištenju u mrežama telekom operatera i na glavnim kanalima (za razliku od Cisco Detectora, koji analizira kopiju promet). Uz to, glavna prednost Peakflow SP-a bila je mogućnost operatera da pretplatnicima prodaju individualnu uslugu za nadzor i zaštitu svojih mrežnih segmenata.

Zbog ovih i drugih razloga, Arbor je značajno proširio svoju liniju proizvoda Peakflow SP. Pojavio se niz novih uređaja:

Peakflow SP TMS (sustav za upravljanje prijetnjama)- suzbija DDoS napade kroz višestupanjsko filtriranje na temelju podataka dobivenih od Peakflow SP CP i iz laboratorija ASERT u vlasništvu Arbor Networksa koji prati i analizira DDoS napade na Internetu;

Peakflow SP BI (poslovna inteligencija)- uređaji koji omogućuju skaliranje sustava, povećavajući broj logičkih objekata koji se prate i osiguravaju redundanciju za prikupljene i analizirane podatke;

Peakflow SP PI (sučelje portala)- uređaji koji omogućuju povećanje broja pretplatnika kojima je osigurano individualno sučelje za upravljanje vlastitom sigurnošću;

Peakflow SP FS (Cenzor protoka)- uređaji koji omogućuju nadzor pretplatničkih usmjerivača, veze s nizvodnim mrežama i podatkovnim centrima.

Principi rada Arbor Peakflow SP sustava ostaju u osnovi isti kao i Cisco Clean Pipes, međutim Arbor redovito razvija i poboljšava svoje sustave, tako da ovaj trenutak Funkcionalnost proizvoda Arbor bolja je u mnogim aspektima od onih Cisca, uključujući performanse.

Danas se maksimalne performanse Cisco Guarda mogu postići stvaranjem klastera od 4 Guard modula u jednoj šasiji Cisco 6500/7600, dok potpuno klasteriranje ovih uređaja nije implementirano. U isto vrijeme, vrhunski Arbor Peakflow SP TMS modeli imaju performanse do 10 Gbps, a zauzvrat se mogu grupirati.

Nakon što se Arbor počeo pozicionirati kao neovisni igrač na tržištu detekcije i suzbijanja DDoS napada, Cisco je počeo tražiti partnera koji bi mu omogućio prijeko potreban nadzor podataka o protoku mrežnog prometa, ali ne bi bio izravni konkurent. Takva je tvrtka Narus, koja proizvodi sustave za nadzor prometa temeljene na podacima o protoku (NarusInsight), a sklopila je partnerstvo s Cisco Systemsom. Međutim, ovo partnerstvo nije dobilo ozbiljniji razvoj i prisutnost na tržištu. Štoviše, prema nekim izvješćima, Cisco ne planira ulagati u svoja rješenja Cisco Detector i Cisco Guard, dapače, prepušta ovu nišu Arbor Networksu.

Neke značajke Cisco i Arbor rješenja

Vrijedno je spomenuti neke značajke rješenja Cisco i Arbor.

1. Cisco Guard se može koristiti ili zajedno s detektorom ili samostalno. U potonjem slučaju, instaliran je u in-line načinu rada i obavlja funkcije detektora, analizirajući promet i, ako je potrebno, uključuje filtre i čisti promet. Nedostatak ovog načina je što se, prvo, dodaje dodatna točka potencijalnog kvara, a drugo, dodatno kašnjenje prometa (iako je malo dok se ne uključi mehanizam za filtriranje). Preporučeni način rada za Cisco Guard je čekanje naredbe za preusmjeravanje prometa koji sadrži napad, filtriranje i ponovno unošenje u mrežu.
2. Arbor Peakflow SP TMS uređaji također mogu raditi u off-ramp ili in-line modu. U prvom slučaju uređaj pasivno čeka naredbu za preusmjeravanje prometa koji sadrži napad kako bi ga očistio i vratio u mrežu. U drugom propušta sav promet kroz sebe, na temelju toga generira podatke u Arborflow formatu i prenosi ih na Peakflow SP CP za analizu i detekciju napada. Arborflow je format sličan Netflowu, ali ga je Arbor modificirao za svoje Peakflow SP sustave. Praćenje prometa i otkrivanje napada provodi Peakflow SP CP na temelju Arborflow podataka primljenih od TMS-a. Kada se detektira napad, Peakflow SP CP operater daje naredbu za njegovo suzbijanje, nakon čega TMS uključuje filtre i čisti promet od napada. Za razliku od Cisca, Peakflow SP TMS poslužitelj ne može raditi samostalno, za njegov rad potreban je Peakflow SP CP poslužitelj koji analizira promet.
3. Danas se većina stručnjaka slaže da su zadaci zaštite lokalnih dijelova mreže (na primjer, povezivanje podatkovnih centara ili povezivanje nizvodnih mreža) učinkoviti

DDOS napad. Objašnjenje i primjer.

Bok svima. Ovo je blog Computer76, a sada još jedan članak o osnovama hakiranja. Danas ćemo govoriti o tome što je DDOS napad jednostavnim riječima i primjeri. Prije nego što se nabacimo tehničkim izrazima, bit će uvod koji svatko može razumjeti.

Zašto se koristi DDOS napad?

WiFi hakiranje koristi se za dobivanje lozinki bežična mreža. Napadi u obliku “ ” omogućit će vam slušanje internetskog prometa. Analiza ranjivosti praćena učitavanjem određene omogućuje hvatanje ciljanog računala. Što čini DDOS napad? Njegov cilj je u konačnici odabrati prava na posjedovanje resursa od pravog vlasnika. Ne mislim da nećete posjedovati stranicu ili blog. To znači da u slučaju uspješnog napada na vašu stranicu, vi izgubit ćete sposobnost da ga kontrolirate. Po barem, neko vrijeme.

No, u suvremenoj interpretaciji DDOS napada najčešće se koristi za ometanje normalnog rada bilo kojeg servisa. Hakerske skupine, čija se imena neprestano čuju, napadaju velike državne ili vladine web stranice kako bi skrenuli pozornost na određene probleme. Ali gotovo uvijek iza takvih napada stoji čisto merkantilni interes: rad konkurenata ili obične podvale na potpuno nepristojnim nezaštićenim stranicama. Glavni koncept DDOS-a je da veliki broj korisnika, odnosno zahtjeva s bot računala, istovremeno pristupa stranici, što čini opterećenje poslužitelja nepodnošljivim. Često čujemo izraz "stranica je nedostupna", ali malo ljudi razmišlja o tome što se zapravo krije iza ove formulacije. Pa, sad znaš.

DDOS napad - opcije

Opcija 1.

igrači nagurani na ulazu

Zamislite da igrate igru ​​za više igrača online igrica. Tisuće igrača igraju s vama. I vi ste upoznati s većinom njih. Razgovarate o detaljima i u satu X provodite sljedeće radnje. Svi idete na stranicu u isto vrijeme i stvarate lik s istim skupom karakteristika. Grupirate se na jednom mjestu, blokirajući svojim brojem istovremeno kreiranih likova pristup objektima u igri drugim vjerodostojnim korisnicima koji ne sumnjaju ništa o vašem dogovoru.

opcija 2.

Zamislite da je netko odlučio poremetiti autobusni promet u gradu na određenoj relaciji kako bi spriječio dobronamjerne putnike da koriste usluge javnog prijevoza. Tisuće vaših prijatelja istovremeno odlaze na stanice na početku navedene rute i besciljno se voze u svim automobilima od kraja do kraja dok ne ponestane novca. Putovanje je plaćeno, ali nitko ne izlazi ni na jednoj stanici osim na krajnjim odredištima. I drugi putnici, stojeći na međustajalištima, tužno gledaju za minibusevima koji odlaze, ne mogući se ugurati u prepune autobuse. Svi su u problemu: i vlasnici taksija i potencijalni putnici.

U stvarnosti, te opcije nije moguće fizički implementirati. Međutim, u virtualnom svijetu vaše prijatelje mogu zamijeniti računala beskrupuloznih korisnika koji se ne trude nekako zaštititi svoje računalo ili prijenosno računalo. A takva je velika većina. Postoji mnogo programa za izvođenje DDOS napada. Nepotrebno je reći da su takve radnje nezakonite. A apsurdno pripremljen DDOS napad, koliko god uspješno izveden, biva otkriven i kažnjen.

Kako se izvodi DDOS napad?

Klikom na poveznicu web stranice, vaš preglednik šalje zahtjev poslužitelju za prikaz stranice koju tražite. Ovaj zahtjev se izražava kao paket podataka. I to ne samo jedan, nego cijeli paket paketa! U svakom slučaju, količina podataka koja se prenosi po kanalu uvijek je ograničena na određenu širinu. A količina podataka koju poslužitelj vraća nesrazmjerno je veća od onoga što je sadržano u vašem zahtjevu. Ovo oduzima energiju i resurse od poslužitelja. Što je poslužitelj moćniji, to je skuplji za vlasnika i skuplje su usluge koje pruža. Moderni poslužitelji lako se nositi s naglo povećanim priljevom posjetitelja. Ali za bilo koji poslužitelj još uvijek postoji kritičan broj korisnika koji se žele upoznati sa sadržajem stranice. Jasnija je situacija s poslužiteljem koji pruža usluge hostinga web stranice. Čim se to dogodi, stranica žrtve se isključuje iz usluge kako ne bi preopteretila procesore koji opslužuju tisuće drugih stranica smještenih na istom hostingu. Rad stranice prestaje dok ne prestane sam DDOS napad. Pa, zamislite da počnete ponovno učitavati bilo koju stranicu web stranice tisuću puta u sekundi (DOS). I tisuće vaših prijatelja rade istu stvar na svojim računalima (distribuirani DOS ili DDOS)... Veliki poslužitelji su naučili prepoznati da je DDOS napad počeo i suprotstaviti mu se. Međutim, hakeri također poboljšavaju svoje pristupe. Dakle, u okviru ovog članka ne mogu detaljnije objasniti što je DDOS napad.

Možete saznati što je DDOS napad i isprobati ga upravo sada.

PAŽNJA. Ako odlučite pokušati, svi nespremljeni podaci bit će izgubljeni i trebat će vam gumb za vraćanje računala u radno stanje RESETIRANJE. Ali moći ćete saznati što točno "osjeća" napadnuti poslužitelj. Detaljan primjer je odlomak ispod, a sada - jednostavne naredbe za ponovno pokretanje sustava.

• Za Linux, u terminalu upišite naredbu:

:(){ :|:& };:

Sustav će odbiti raditi.

• Za Windows predlažem stvaranje bat datoteke u Notepadu s kodom:

:1 Počni do 1

Imenujte tip DDOS.bat

Mislim da ne vrijedi objašnjavati značenje obje naredbe. Sve se vidi golim okom. Obje naredbe prisiljavaju sustav da izvrši skriptu i odmah je ponovi, šaljući je na početak skripte. S obzirom na brzinu izvršenja, sustav pada u stupor nakon par sekundi. igra, kako kažu, nad.

DDOS napad pomoću programa.

Za vizualniji primjer upotrijebite program Low Orbit Ion Cannon. Ili LOIC. Najviše preuzimana distribucija nalazi se na (radimo na Windowsima):

https://sourceforge.net/projects/loic/

PAŽNJA ! Vaš bi antivirusni program trebao reagirati na datoteku kao zlonamjernu. To je normalno: već znate što preuzimate. U bazi podataka potpisa označen je kao generator poplava - prevedeno na ruski, to je krajnji cilj beskonačnih poziva na određenu mrežnu adresu. OSOBNO nisam primijetio nikakve viruse niti trojance. Ali imate pravo sumnjati i odgoditi preuzimanje.

Budući da nemarni korisnici bombardiraju resurs porukama o zlonamjerna datoteka, Source Forge će vas odvesti na sljedeću stranicu s izravnom vezom na datoteku:

Na kraju sam uspio preuzeti uslužni program samo putem .

Prozor programa izgleda ovako:

Točka 1 Odabir cilja omogućit će napadaču da se usredotoči na određeni cilj (unesite IP adresu ili url stranice), točka 3 Opcije napada omogućit će vam da odaberete napadnuti port, protokol ( metoda) od tri TCP, UDP i HTTP. U polje za TCP/UDP poruku možete unijeti poruku za napadnutu osobu. Nakon što je to učinjeno, napad počinje pritiskom na gumb IMMA CHARGIN MAH LAZER(ovo je izraz na rubu faula iz nekada popularnog strip–meme; Usput, u programu ima dosta američkih psovki). Svi.

UPOZORAVAM

Ovo je probna opcija samo za localhost. Zato:

• to je protivzakonito protiv tuđih stranica, a ljudi na Zapadu su već zatvoreni zbog ovoga (što znači da će uskoro biti i ovdje)
• brzo će se utvrditi adresa s koje dolazi poplava, požaliti se davatelju usluga, a on će vam izdati upozorenje i podsjetiti vas na prvu točku
• u mrežama niske propusnosti (to jest, u svim kućnim mrežama), gizmo neće raditi. Isto je i s TOR mrežom.
• ako ga pravilno konfigurirate, brže ćete začepiti SVOJ komunikacijski kanal nego nekome naškoditi. Dakle, upravo je to opcija kada boksačka vreća pogodi boksača, a ne obrnuto. A opcija s proxyjem slijedit će isti princip: nitko neće voljeti poplavu s vaše strane.

Pročitajte: 9.326

Naslovi vijesti danas su puni izvješća o napadima DDoS (Distributed Denial of Service). Svaka organizacija prisutna na Internetu podložna je napadima distribuiranog uskraćivanja usluge. Nije pitanje hoćete li biti napadnuti ili ne, nego kada će se to dogoditi. Državne agencije, mediji i stranice za e-trgovinu, korporativne stranice, komercijalne i neprofitne organizacije potencijalne su mete DDoS napada.

Tko je napadnut?

Prema Središnjoj banci, u 2016. broj DDoS napada na ruske financijske organizacije gotovo se udvostručio. U studenom su DDoS napadi bili usmjereni na pet velikih ruskih banaka. Središnja banka je krajem prošle godine prijavila DDoS napade na financijske organizacije, uključujući i Središnju banku. “Svrha napada bila je ometanje usluga i, kao rezultat, potkopavanje povjerenja u te organizacije. Ovi napadi bili su značajni jer je to bila prva velika upotreba interneta stvari u Rusiji. U napadu su uglavnom bile uključene internetske video kamere i kućni usmjerivači”, istaknule su sigurnosne službe velikih banaka.

Istodobno, DDoS napadi nisu prouzročili značajniju štetu bankama - one su dobro zaštićene, pa takvi napadi, iako su uzrokovali probleme, nisu bili kritični i nisu poremetili niti jednu uslugu. Ipak, može se konstatirati da je antibankarska aktivnost hakera značajno porasla.

U veljači 2017. tehničke službe ruskog Ministarstva zdravstva odrazile su najveću posljednjih godina DDoS napad koji je na vrhuncu dosegao 4 milijuna zahtjeva u minuti. Bilo je i DDoS napada na državne registre, no i oni su bili neuspješni i nisu doveli do promjena podataka.

Međutim, brojne organizacije i tvrtke koje nemaju tako moćnu “obranu” postaju žrtve DDoS napada. U 2017. godini očekuje se porast štete od cyber prijetnji – ransomwarea, DDoS-a i napada na uređaje Interneta stvari.

IoT uređaji postaju sve popularniji kao alati za izvođenje DDoS napada. Značajan događaj bio je DDoS napad pokrenut u rujnu 2016. pomoću zlonamjernog koda Mirai. U njemu su kao sredstva napada djelovale stotine tisuća kamera i drugih uređaja iz sustava videonadzora.

Proveden je protiv francuskog pružatelja usluga hostinga OVH. Bio je to snažan DDoS napad - gotovo 1 Tbit/s. Hakeri su koristili botnet za iskorištavanje 150 tisuća IoT uređaja, većinom CCTV kamera. Napadi Mirai botneta doveli su do mnogih botneta IoT uređaja. Prema stručnjacima, u 2017. IoT botneti će i dalje biti jedna od glavnih prijetnji u kibernetičkom prostoru.

Prema Verizonovom izvješću o kršenju podataka (DBIR) iz 2016., broj DDoS napada značajno se povećao prošle godine. U svijetu najviše trpe industrija zabave, profesionalne organizacije, obrazovanje, informatika i maloprodaja.

Primjetan trend u DDoS napadima je širenje “popisa žrtava”. Sada uključuje predstavnike gotovo svih industrija. Osim toga, metode napada se poboljšavaju.
Prema Nexusguardu, krajem 2016. broj DDoS napada mješovitog tipa - koristeći nekoliko ranjivosti odjednom - zamjetno je porastao. Najčešće su im bile podvrgnute financijske i državne organizacije. Glavni motiv kibernetičkih kriminalaca (70% slučajeva) je krađa podataka ili prijetnja njihovim uništenjem radi otkupnine. Rjeđe – politički ili društveni ciljevi. Zbog toga je obrambena strategija važna. Može se pripremiti za napad i minimizirati njegove posljedice, smanjujući financijske i reputacijske rizike.

Posljedice napada

Koje su posljedice DDoS napada? Tijekom napada žrtva gubi klijente zbog sporog rada ili potpune nedostupnosti stranice, a trpi i ugled tvrtke. Davatelj usluge može blokirati IP adresu žrtve kako bi smanjio štetu drugim klijentima. Trebat će vremena, a možda i novca da se sve obnovi.

Prema HaltDos istraživanju, DDoS napade polovica organizacija smatra jednom od najozbiljnijih cyber prijetnji. Opasnost od DDoS-a čak je veća od opasnosti od neovlaštenog pristupa, virusa, prijevara i krađe identiteta, a da ne govorimo o drugim prijetnjama.

Prosječni gubici od DDoS napada globalno se procjenjuju na 50.000 USD za male organizacije i gotovo 500.000 USD za velika poduzeća. Uklanjanje posljedica DDoS napada zahtijevat će dodatno radno vrijeme osoblja, preusmjeravanje resursa s drugih projekata za osiguranje sigurnosti, razvoj plana ažuriranja softvera, modernizaciju opreme itd.

Ugled napadnute organizacije može stradati ne samo zbog lošeg rada web stranice, već i zbog krađe osobnih podataka ili financijskih informacija.

Prema istraživanju HaltDosa, broj DDoS napada godišnje raste za 200%, a dnevno se u svijetu prijavi 2 tisuće napada ove vrste. Trošak organizacije jednotjednog DDoS napada iznosi samo oko 150 dolara, a gubici žrtve u prosjeku premašuju 40.000 dolara po satu.

Vrste DDoS napada

Glavne vrste DDoS napada su masovni napadi, napadi na razini protokola i napadi na razini aplikacije. U svakom slučaju cilj je onesposobiti stranicu ili ukrasti podatke. Druga vrsta kibernetičkog kriminala je prijetnja DDoS napadom radi dobivanja otkupnine. Po tome su poznate hakerske skupine kao što su Armada Collective, Lizard Squad, RedDoor i ezBTC.

Organiziranje DDoS napada postalo je osjetno jednostavnije: sada postoje široko dostupni automatizirani alati koji od kibernetičkih kriminalaca ne zahtijevaju gotovo nikakvo posebno znanje. Postoje također plaćene usluge DDoS za anonimni napad na cilj. Na primjer, vDOS servis nudi svoje usluge bez provjere je li kupac vlasnik stranice koji je želi testirati “pod opterećenjem” ili se to radi u svrhu napada.

DDoS napadi su napadi s više izvora koji sprječavaju legitimne korisnike da pristupe web mjestu koje se napada. Da bi se to postiglo, napadnutom sustavu šalje se ogroman broj zahtjeva s kojima se on ne može nositi. Obično se u tu svrhu koriste ugroženi sustavi.

Godišnji rast broja DDoS napada procjenjuje se na 50% (prema www.leaseweb.com), no podaci različiti izvori razlikuju, ali ne postaju poznati svi incidenti. Prosječna snaga Layer 3/4 DDoS napada porasla je posljednjih godina s 20 na nekoliko stotina GB/s. Iako su masivni DDoS i napadi na razini protokola sami po sebi dovoljno loši, kibernetički kriminalci ih sve više kombiniraju s Layer 7 DDoS napadima, odnosno na razini aplikacije, koji su usmjereni na promjenu ili krađu podataka. Takvi "viševektorski" napadi mogu biti vrlo učinkoviti.

Viševektorski napadi čine oko 27% ukupnog broja DDoS napada.

U slučaju masovnog DDoS napada (volume based) koristi se velik broj zahtjeva, često poslanih s legitimnih IP adresa, tako da se stranica “guši” u prometu. Cilj takvih napada je "začepiti" svu raspoloživu propusnost i blokirati legitiman promet.

U slučaju napada na razini protokola (kao što je UDP ili ICMP), cilj je iscrpiti resurse sustava. Da bi se to postiglo, šalju se otvoreni zahtjevi, na primjer, TCP/IP zahtjevi s lažnim IP adresama, a kao rezultat iscrpljenosti mrežnih resursa postaje nemoguće obraditi legitimne zahtjeve. Tipični predstavnici su DDoS napadi, u užim krugovima poznati kao Smurf DDos, Ping of Death i SYN flood. Druga vrsta DDoS napada na razini protokola uključuje slanje velikog broja fragmentiranih paketa koje sustav ne može obraditi.

DDoS napadi sloja 7 uključuju slanje naizgled bezazlenih zahtjeva koji izgledaju kao rezultat uobičajenih radnji korisnika. Obično se provode pomoću botneta i automatiziranih alata. Dobro poznati primjeri su Slowloris, Apache Killer, Cross-site scripting, SQL injection, Remote file injection.

U razdoblju od 2012. do 2014. većina masivnih DDoS napada bili su Stateless napadi (bez pamćenja stanja ili praćenja sesija) - koristili su UDP protokol. U slučaju Statelessa, mnogo paketa kruži u jednoj sesiji (na primjer, otvaranje stranice). Uređaji bez statusa u pravilu ne znaju tko je započeo sesiju (zatražio stranicu).

UDP protokol je osjetljiv na lažiranje - zamjenu adrese. Na primjer, ako ste željeli napasti DNS poslužitelj na 56.26.56.26 koristeći napad pojačanja DNS-a, možete stvoriti skup paketa s izvornom adresom 56.26.56.26 i poslati ih DNS poslužiteljima širom svijeta. Ovi poslužitelji će poslati odgovor na 56.26.56.26.

Ista metoda radi za NTP poslužitelje, uređaje s omogućenim SSDP-om. NTP protokol je možda najpopularnija metoda: u drugoj polovici 2016. korišten je u 97,5% DDoS napada.
Pravilo 38 najbolje trenutne prakse (BCP) preporučuje da ISP-ovi konfiguriraju pristupnike kako bi spriječili prijevaru - kontroliraju se adresa pošiljatelja i izvorna mreža. Ali ne slijede sve zemlje ovu praksu. Osim toga, napadači zaobilaze kontrole BCP 38 korištenjem Stateful napada na TCP razini. Prema F5 Security Operations Center (SOC), takvi su napadi dominirali u posljednjih pet godina. U 2016. godini bilo je dvostruko više TCP napada nego UDP napada.

Napade sloja 7 uglavnom koriste profesionalni hakeri. Princip je sljedeći: uzima se "težak" URL (sa PDF datoteka ili upit velikoj bazi podataka) i ponavlja se desetke ili stotine puta u sekundi. Napadi sloja 7 imaju teške posljedice i teško ih je otkriti. Oni sada čine oko 10% DDoS napada.

Omjer različiti tipovi DDoS napadi prema Verizon Data Breach Investigations Report (DBIR) (2016).

DDoS napadi često su vremenski usklađeni s razdobljima najvećeg prometa, na primjer, danima internetske prodaje. Veliki tokovi osobnih i financijskih podataka u ovom trenutku privlače hakere.

DDoS napadi na DNS

Sustav imena domene (DNS) igra temeljnu ulogu u performansama i dostupnosti web stranice. U konačnici – u uspjeh vašeg poslovanja. Nažalost, DNS infrastruktura često je meta DDoS napada. Potiskivanjem vaše DNS infrastrukture, napadači mogu oštetiti vašu web stranicu, ugled vaše tvrtke i utjecati na vaše financijske rezultate. Za borbu protiv današnjih prijetnji, DNS infrastruktura mora biti vrlo otporna i skalabilna.

U suštini DNS je distribuirana baza podataka, koji između ostalog povezuje lako čitljive nazive web stranica s IP adresama, što korisniku omogućuje da nakon unosa URL-a dođe do željene stranice. Prva interakcija korisnika s web-mjestom započinje DNS upitima koji se šalju DNS poslužitelju s adresom internetske domene vašeg web-mjesta. Njihova obrada može činiti do 50% vremena učitavanja web stranice. Stoga smanjena izvedba DNS-a može dovesti do napuštanja stranice korisnika i gubitaka u poslovanju. Ako vaš DNS poslužitelj prestane reagirati kao rezultat DDoS napada, tada nitko neće moći pristupiti vašoj stranici.

DDoS napade je teško otkriti, pogotovo na početku kada se promet čini normalnim. DNS infrastruktura može biti podložna različite vrste DDoS napadi. Ponekad je to izravan napad na DNS poslužitelje. U drugim slučajevima, exploit se koristi korištenjem DNS sustava za napad na druge elemente IT infrastrukture ili usluga.

U napadima DNS Reflection, meta je izložena masovno lažiranim DNS odgovorima. U tu svrhu koriste se botnetovi koji zaraze stotine i tisuće računala. Svaki bot u takvoj mreži generira nekoliko DNS zahtjeva, ali koristi istu ciljnu IP adresu kao izvornu IP (spoofing). DNS usluga odgovara na ovu IP adresu.

Time se postiže dvostruki učinak. Ciljani sustav bombardiran je tisućama i milijunima DNS odgovora, a DNS poslužitelj može pasti, nesposoban se nositi s opterećenjem. Sam DNS zahtjev obično je manji od 50 bajtova, ali je odgovor deset puta duži. Osim toga, DNS poruke mogu sadržavati dosta drugih informacija.

Recimo da je napadač poslao 100.000 kratkih DNS zahtjeva od 50 bajtova (ukupno 5 MB). Ako svaki odgovor sadrži 1 KB, tada je ukupan broj već 100 MB. Otuda i naziv – Amplifikacija. Kombinacija napada DNS Reflection i Amplification može imati vrlo ozbiljne posljedice.

Zahtjevi izgledaju kao normalan promet, a odgovori su mnoge velike poruke usmjerene ciljnom sustavu.

Kako se zaštititi od DDoS napada?

Kako se zaštititi od DDoS napada, koje korake poduzeti? Prije svega, nemojte to odlagati "za kasnije". Neke mjere treba uzeti u obzir prilikom konfiguriranja mreže, pokretanja poslužitelja i postavljanja softvera. I svaka sljedeća promjena ne bi trebala povećati ranjivost na DDoS napade.

1. Sigurnost softverskog koda. Prilikom pisanja softvera moraju se uzeti u obzir sigurnosni aspekti. Preporuča se slijediti standarde "sigurnog kodiranja" i temeljito testirati softver kako bi se izbjegle uobičajene pogreške i ranjivosti kao što su skriptiranje na više stranica i ubacivanje SQL-a.
2. Razvijte plan ažuriranja softvera. Uvijek bi trebala postojati opcija vraćanja ako nešto pođe po zlu.
3. Odmah ažurirajte svoj softver. Ako ste uspjeli preuzeti ažuriranja, ali su se pojavili problemi, pogledajte točku 2.
4. Ne zaboravite na ograničenja pristupa. admin i/ili računi trebaju biti zaštićeni jakim i redovito mijenjanim lozinkama. Potrebna je i periodična revizija prava pristupa i pravovremeno brisanje računa zaposlenika koji su dali otkaz.
5. Administratorsko sučelje mora biti dostupno samo s interne mreže ili putem VPN-a. Odmah zatvorite VPN pristup zaposlenicima koji daju otkaz i, posebno, otkazima.
6. Uključite ublažavanje DDoS napada u svoj plan oporavka od katastrofe. Plan bi trebao sadržavati načine otkrivanja činjenice takvog napada, kontakte za komunikaciju s internetom ili pružateljem usluga hostinga te stablo "eskalacije problema" za svaki odjel.
7. Skeniranje ranjivosti pomoći će u prepoznavanju problema u vašoj infrastrukturi i softveru te smanjiti rizike. Jednostavan OWASP test top 10 ranjivosti otkrit će najkritičnije probleme. Testovi penetracije također će biti korisni - pomoći će u pronalaženju slabih točaka.
8. Hardverska zaštita od DDoS napada može biti skupa. Ako vaš proračun to ne dopušta, tj dobra alternativa– DDoS zaštita “na zahtjev”. Ova se usluga može omogućiti jednostavnom promjenom sheme usmjeravanja prometa hitna situacija, ili je stalno zaštićen.
9. Koristite CDN partnera. Mreže za isporuku sadržaja omogućuju vam isporuku sadržaja web stranice putem distribuirane mreže. Promet se distribuira preko više poslužitelja, čime se smanjuje kašnjenje pri pristupu korisnicima, uključujući one geografski udaljene. Iako je glavna prednost CDN-a brzina, on također služi kao prepreka između glavnog poslužitelja i korisnika.
10. Koristite Web Application Firewall - vatrozid za web aplikacije. Nadzire promet između stranice ili aplikacije i preglednika, provjeravajući legitimnost zahtjeva. Radeći na razini aplikacije, WAF može otkriti napade na temelju pohranjenih uzoraka i otkriti neobično ponašanje. Napadi na razini aplikacije česti su u e-trgovini. Kao i kod CDN-a, WAF usluge možete koristiti u oblaku. Međutim, konfiguriranje pravila zahtijeva određeno iskustvo. Idealno bi bilo da sve osnovne aplikacije budu zaštićene WAF-om.

DNS zaštita

Kako zaštititi svoju DNS infrastrukturu od DDoS napada? Konvencionalni vatrozidi i IPS ovdje neće pomoći; oni su nemoćni protiv složenog DDoS napada na DNS. Zapravo, vatrozidi i sustavi za sprječavanje upada sami su ranjivi na DDoS napade.

Oni mogu priskočiti u pomoć usluge u oblakučišćenje prometa: šalje se u određeni centar, gdje se provjerava i preusmjerava natrag na odredište. Ove usluge su korisne za TCP promet. Oni koji upravljaju vlastitom DNS infrastrukturom mogu poduzeti sljedeće korake za ublažavanje učinaka DDoS napada.

1. Praćenje sumnjivih aktivnosti na DNS poslužiteljima prvi je korak u zaštiti vaše DNS infrastrukture. Komercijalna DNS rješenja i proizvodi otvorenog koda kao što je BIND pružaju statistiku u stvarnom vremenu koja se može koristiti za otkrivanje DDoS napada. Praćenje DDoS napada može biti zahtjevan zadatak. Najbolje je stvoriti osnovni profil infrastrukture u normalnim radnim uvjetima, a zatim ga ažurirati s vremena na vrijeme kako se infrastruktura razvija i prometni obrasci mijenjaju.
2. Dodatni resursi DNS poslužitelja mogu pomoći u borbi protiv napada malih razmjera pružanjem redundancije DNS infrastrukturi. Resursi poslužitelja i mreže trebali bi biti dovoljni za obradu veće količine zahtjeva. Naravno, otpuštanje košta. Plaćate za resurse poslužitelja i mreže koji se obično ne koriste u normalnim uvjetima. A uz značajnu "rezervu" snage, ovaj pristup vjerojatno neće biti učinkovit.
3. Omogućavanje DNS Response Rate Limiting (RRL) smanjit će vjerojatnost da će poslužitelj biti uključen u napad DDoS Reflection smanjenjem brzine kojom odgovara na ponovljene zahtjeve. RRL-ove podržavaju mnoge DNS implementacije.
4. Koristite konfiguracije visoke dostupnosti. Od DDoS napada možete se zaštititi postavljanjem DNS usluge na poslužitelj visoke dostupnosti (HA). Ako jedan fizički poslužitelj padne kao rezultat napada, DNS usluga može se vratiti na rezervni poslužitelj.

Najbolji način da zaštitite svoj DNS od DDoS napada je korištenje geografski distribuirane Anycast mreže. Distribuirane DNS mreže mogu se implementirati koristeći dva različita pristupa: Unicast ili Anycast adresiranje. Prvi pristup puno je lakše implementirati, ali je drugi puno otporniji na DDoS napade.

Uz Unicast, svaki DNS poslužitelj vaše tvrtke dobiva jedinstvenu IP adresu. DNS održava tablicu DNS poslužitelja vaše domene i njihovih odgovarajućih IP adresa. Kada korisnik unese URL, jedna od IP adresa se nasumično odabire za dovršetak zahtjeva.

S Anycast shemom adresiranja različite poslužitelje DNS koristi zajedničku IP adresu. Kada korisnik unese URL, vraća se skupna adresa DNS poslužitelja. IP mreža usmjerava zahtjev na najbliži poslužitelj.

Anycast pruža temeljne sigurnosne prednosti u odnosu na Unicast. Unicast pruža pojedinačne IP adrese poslužitelja tako da napadači mogu pokrenuti ciljane napade na određene fizičke poslužitelje i virtualni strojevi, a kada se resursi ovog sustava potroše dolazi do kvara usluge. Anycast može pomoći u ublažavanju DDoS napada distribucijom zahtjeva preko grupe poslužitelja. Anycast je također koristan za izolaciju učinaka napada.

DDoS zaštita koju pruža davatelj usluga

Projektiranje, postavljanje i upravljanje globalnom Anycast mrežom zahtijeva vrijeme, novac i znanje. Većina IT organizacija nema talenta ili financija za to. Svoju DNS infrastrukturu možete povjeriti davatelju upravljanih usluga koji je specijaliziran za DNS. Imaju potrebno znanje za zaštitu DNS-a od DDoS napada.

Upravljani DNS pružatelji usluga upravljaju velikim Anycast mrežama i imaju točke prisutnosti diljem svijeta. Stručnjaci za mrežnu sigurnost nadziru mrežu 24/7/365 i koriste posebne alate za ublažavanje učinaka DDoS napada.

Neki pružatelji usluga hostinga također nude zaštitu od DDoS napada: mrežni promet se analizira 24/7, tako da će vaša stranica biti relativno sigurna. Takva zaštita može izdržati snažne napade - do 1500 Gbit/sec. Promet se plaća.

Druga opcija je zaštita IP adrese. Pružatelj smješta IP adresu koju je klijent odabrao kao zaštićenu u poseban mrežni analizator. Tijekom napada, promet prema klijentu usklađuje se s poznatim obrascima napada. Kao rezultat toga, klijent prima samo čisti, filtrirani promet. Stoga korisnici stranice možda neće znati da je protiv njih pokrenut napad. Da bi se to organiziralo, stvorena je distribuirana mreža čvorova za filtriranje tako da se za svaki napad može odabrati najbliži čvor i minimizirati kašnjenje u prijenosu prometa.

Rezultat korištenja usluga zaštite od DDoS napada bit će pravovremeno otkrivanje i sprječavanje DDoS napada, kontinuitet rada stranice i njezina stalna dostupnost za korisnike, minimiziranje financijskih i reputacijskih gubitaka zbog zastoja stranice ili portala.

Kako nastaje DDoS napad i koje vrste napada postoje? Razumijevanje problema već je pola njegovog rješenja. Stoga ćemo razmotriti glavne vrste DDoS-a i za koju svrhu se provode na web stranicama.

DDoS (Distribuirani napad uskraćivanja usluge)je ciljani skup radnji za onemogućavanje ili ometanje rada internetskog izvora. Bilo koji resurs može postati žrtva, uključujući internetsku trgovinu, vladinu web stranicu ili poslužitelj za igre. U većini sličnih slučajeva Napadač u te svrhe koristi mrežu računala koja su zaražena virusom. Takva se mreža naziva botnet. Sadrži koordinirajući glavni poslužitelj. Da bi pokrenuo napad, haker šalje naredbu takvom poslužitelju, koji zauzvrat signalizira svakom botu da počne slati zlonamjerne mrežne zahtjeve.

Razlozi za izvođenje DDoS napadamožda puno. Na primjer:

• Za zabavu. Primitivni napad može organizirati svatko tko ima barem malo znanja o ovom području. Istina, takav napad nije ni anoniman ni učinkovit, a oni koji ga počine možda toga nisu ni svjesni. Školarci često prakticiraju takve situacije iz zabave. Meta takve “zabave” može biti gotovo bilo koje mjesto na internetu.
• zbog osobnog neprijateljstva . Iz tog razloga može doći do DDoS napada na vašu web stranicu. Nikada ne znate kome ste prešli put, konkurenti ili bilo koji drugi ljudi koji "ne vole" vaš internetski resurs mogu učiniti isto.
• radi ucjene ili iznude . Prevaranti uglavnom ucjenjuju velike tvrtke. Traže naknadu da zaustave napad na poslužitelje ili da ga ne izvedu.
• nelojalna konkurencija . Često se takvi napadi kreiraju kako bi se uništio ugled stranice i gubitak prometa kupaca.

Prvi DDoS napadi pojavili su se 1996. godine. Istina, ova je pojava posebnu pozornost izazvala 1999. godine, kada su iz radnoga stroja maknuti svjetski divovi - Amazon, Yahoo, CNN, eBay, E-Trade. I počeli su poduzimati hitne mjere za rješavanje problema tek 2000. godine, kada su poslužitelji ključnih tvrtki ponovno bili pogođeni.

Vrste DDoS-a.

Jednostavan promet su HTTP zahtjevi. Osnova zahtjeva je HTTP zaglavlje. Podnositelj zahtjeva može koristiti onoliko zaglavlja koliko želi, dajući im željena svojstva. DDoS napadači mogu modificirati ta zaglavlja, što otežava prepoznavanje napada.

HTTP GET

• HTTP(S) GET zahtjev- metoda koja traži podatke od poslužitelja. Ovaj zahtjev može "tražiti" od poslužitelja da prenese neku datoteku, sliku, stranicu ili skriptu za prikaz u web pregledniku.
• HTTP(S) GET poplava - DDoS napad aplikacijski sloj (7) OSI modela. Napadač šalje snažan tok zahtjeva poslužitelju kako bi preplavio njegove resurse. U tom slučaju poslužitelj prestaje odgovarati na zahtjeve stvarnih posjetitelja.

HTTP POST

• HTTP(S) POST zahtjev- metoda čija je suština da se podaci stavljaju u tijelo zahtjeva za naknadnu obradu na poslužitelju. HTTP POST zahtjev kodira prenesene informacije i postavlja ga na obrazac, a zatim taj sadržaj šalje na poslužitelj. Ova se metoda koristi kada je potrebno prenijeti velike količine podataka.
• HTTP(S) POST poplava- vrsta DDoS napada u kojem broj POST zahtjeva opterećuje poslužitelj, te kao rezultat toga on ne može odgovoriti na njih. To podrazumijeva hitno zaustavljanje poslužitelja s posljedičnim posljedicama.

Svi gore navedeni zahtjevi također se prenose preko HTTPS-a; u ovom slučaju, preneseni podaci su šifrirani. A takva zaštita ide u korist hakera. Uostalom, da bi identificirao takav zahtjev, poslužitelj ga prvo mora dešifrirati. I vrlo je teško dešifrirati tok zahtjeva tijekom takvog napada i to stvara dodatno opterećenje na poslužitelju.

ICMP poplava (ili Štrumpf napad). Prilično opasna vrsta napada. Haker šalje lažni ICMP paket u kojem se adresa napadača mijenja u adresu žrtve. Svi čvorovi šalju odgovor na ovaj ping zahtjev. Za to se u većini slučajeva koriste velika mreža tako da žrtvino računalo nema šanse.

UDP flood (ili Fraggle napad). Njegov tip je sličan ICMP floodu, iako se u ovom slučaju koriste UDP paketi. Zbog zasićenja propusnosti dolazi do uskraćivanja usluge poslužitelju žrtve.

SYN poplava. Ovaj napad se temelji na pokretanju velikog broja simultanih TCP veza slanjem SYN paketa s nepostojećom povratnom adresom.

Slanje “teških paketa”. U ovoj vrsti napada, napadač šalje pakete poslužitelju koji ne zasićuju propusnost, već troše njegovo procesorsko vrijeme. Kao rezultat toga, sustav pada i korisnici ne mogu dobiti svoje resurse.

Pretrpanost poslužitelja datotekama dnevnika. Ako sustav rotacije datoteka dnevnika nije ispravan, prevarant može poslati velike pakete koji će uskoro zauzeti sve slobodno mjesto na tvrdom disku poslužitelja. Kao rezultat toga, sustav se srušio.

Pogreške koda. Neki napadači s iskustvom u ovom području aktivnosti razvijaju posebne exploit programe koji im omogućuju napad na složene sustave komercijalnih organizacija. Da bi to učinili, traže pogreške u programskom kodu koje bi mogle dovesti do prekida usluge.

Nedostaci u programski kod . Ista situacija: hakeri traže greške u programskom kodu ili OS-u, a istovremeno ih prisiljavaju na rješavanje iznimnih situacija, zbog čega programi padaju.

Metode borbe protiv DDoS-a mogu se podijeliti u dvije vrste:aktivni i pasivni. Pasivne metode su unaprijed pripremljene metode opreza i sprječavanja napada, a aktivne se koriste ako je napad već u tijeku.

Glavna pasivna metoda je, naravno,prevencija. Mnogi ljudi ovu metodu smatraju nevažnom, ali u većini slučajeva ipak je glavna.

Prevencija bi se trebala temeljiti na isključivanju čimbenika kao što su osobno neprijateljstvo, natjecanje, vjerske ili druge razlike. Ako se takvi razlozi uklone na vrijeme i donesu odgovarajući zaključci, tada DDoS neće utjecati na vaš internetski resurs. Ali ova se metoda više odnosi na upravljanje nego na tehničku stranu problema.

Korištenje specijalizirani softver i hardver.

Danas su mnoge proizvodne tvrtke razvile posebna i gotova rješenja za zaštitu od DDoS napada. Ovo je softver različitih vrsta za zaštitu malih i velikih stranica za različite vrste organizacija. Ovo se također smatra pasivnom metodom zaštite, jer je preventivna metoda.

Filtriranje i blokiranje prometa, koji dolazi od napadačkih strojeva, omogućuje smanjenje ili potpuno gašenje napada. Postoje dvije metode filtriranja: usmjeravanje pomoću ACL-ova i korištenje vatrozida. Korištenje ACL-ova omogućuje vam filtriranje nevažnih protokola bez utjecaja TCP protokoli i bez usporavanja brzine rada korisnika s resursom. Vatrozidi se koriste isključivo za zaštitu privatnih mreža.

Obrnuti DDoS– preusmjeravanje prometa na napadača. Ako imate dovoljno snage poslužitelja, ne samo da možete nadvladati napad, već i onesposobiti opremu napadača. To je istina, ovaj tip zaštita u slučaju grešaka u programskom kodu OS-a, servisa sustava ili web aplikacija.

Popravljanje ranjivosti– vrsta zaštite je usmjerena na otklanjanje grešaka u sustavima ili uslugama. Nažalost, ova metoda zaštite ne djeluje protiv napada poplava.

Izgradnja distribuiranih sustava– omogućuje vam da poslužite korisnike čak i ako neki čvorovi postanu nedostupni zbog DDoS napada. Za to se koriste različite vrste mrežne ili poslužiteljske opreme, koja se nalazi u različitim DC-ovima. Često se instalira i rezervni sustav. Ovo je korisno za velike projekte koji cijene svoju reputaciju i imaju ogroman broj korisnika.

Praćenje– ugradnja posebnog sustava nadzora i upozorenja. Omogućit će izračunavanje DDoS napada na temelju određenih kriterija. Nadzor ne štiti izravno napadnuti sustav, ali vam omogućuje da reagirate na vrijeme i spriječite kvar u operativnom sustavu resursa. Ovo je, naravno, pasivna metoda zaštite.

Kupnja usluge DDoS zaštite– omogućuje zaštitu od mnogih vrsta DDoS napada, koristeći cijeli niz mehanizama za filtriranje neželjenog prometa prema poslužiteljima koji napadaju. Istina, takve usluge nisu jeftine.

Kako odgovoriti na prijetnje od prevaranata koji DDoS vaš online resurs? Više detalja u sljedećem.

Samo skup gore opisanih mjera pomoći će vam da zaštitite svoju stranicu od DDoS-a i zaštitite svoju uslugu.

O DDoS napadima. Osnovna pravila zaštite resursa na internetu, više detalja na.

9109 puta Danas 11 puta

Nije potrebna velika inteligencija da bi se naručio DDoS napad. Platite hakerima i razmislite o panici svojih konkurenata. Prvo iz redateljske fotelje, a potom i iz zatvorske postelje.

Objašnjavamo zašto je obraćanje hakerima posljednja stvar koju bi pošteni poduzetnik trebao učiniti i koje su posljedice.

Kako napraviti DDoS napadčak i školarac zna

Danas su alati za organiziranje DDoS napada dostupni svima. Barijera za ulazak za hakere početnike je niska. Stoga je udio kratkih, ali snažnih napada na ruske stranice rastao . Čini se da hakerske skupine samo vježbaju svoje vještine.

Slučaj u točki. U 2014. Obrazovni portal Republike Tatarstan pretrpjeli DDoS napade. Na prvi pogled napad nema smisla: ovo nije komercijalna organizacija i od nje se nema što tražiti. Portal prikazuje ocjene, rasporede nastave i tako dalje. Ne više. Stručnjaci Kaspersky Laba pronašli su VKontakte grupu u kojoj su raspravljali studenti i školarci iz Tatarstana kako napraviti DDoS napad.

Zajednica mladih boraca protiv sustava Republike Tatarstan

Izvedeni upiti iz "kako izvršiti DDoS napad u Tatarstanu" doveli su stručnjake za kibernetičku sigurnost do zanimljive objave. Izvođači su brzo pronađeni i morali su platiti štetu.

Prije su kidali stranice u rokovnicima, a sada hakiraju web stranice

Zbog jednostavnosti DDoS napada, novajlije bez moralnih načela ili razumijevanja vlastitih sposobnosti ih preuzimaju. Također mogu preprodavati podatke o kupcima. Pomlađivanje počinitelja DDoS napada je globalni trend.

Zatvorska kazna u proljeće 2017 primio britanski student. Sa 16 godina je stvarao Program za DDoS napad Titanium Stresser. Britanac je od njegove prodaje zaradio 400 tisuća funti sterlinga (29 milijuna rubalja). Pomoću ovog DDoS programa izvršeno je 2 milijuna napada na 650 tisuća korisnika diljem svijeta.

Ispostavilo se da su tinejdžeri članovi velikih DDoS grupa Lizard Squad i PoodleCorp. Mladi Amerikanci smislili su svoje DDoS programe, ali ih je koristio za napad na poslužitelje igara kako bi stekli prednost u online igrama. Tako su pronađeni.

Da li vjerovati reputaciji tvrtke jučerašnjim školarcima, svatko će odlučiti za sebe.

Kazna zaDDoS programiu Rusiji

Kako napraviti DDoS napadzainteresirani za poduzetnike koji ne žele igrati po pravilima konkurencije. To rade zaposlenici Uprave "K" Ministarstva unutarnjih poslova Rusije. Hvataju izvođače.

Rusko zakonodavstvo predviđa kažnjavanje za kibernetičke zločine. Na temelju trenutne prakse, sudionici u DDoS napadu mogu potpasti pod sljedeće članke.

Kupci.Njihovi postupci obično potpadaju pod- protupravni pristup pravno zaštićenim računalne informacije.

Kazna:kazna zatvora do sedam godina ili novčana kazna do 500 tisuća rubalja.

Primjer. Zaposlenik odjela za tehničku zaštitu informacija gradske uprave Kurgan osuđen je prema ovom članku. Razvio je višenamjenski program Meta. Uz njegovu pomoć napadač je prikupio osobne podatke o 1,3 milijuna stanovnika regije. Poslije sam ga prodao bankama i agencijama za naplatu. Hackera je dobio dvije godine zatvora.

Izvođači.U pravilu se kažnjavaju poČlanak 273. Kaznenog zakona Ruske Federacije - stvaranje, korištenje i distribucija zlonamjernih računalnih programa.

Kazna.Kazna zatvora do sedam godina s novčanom kaznom do 200 tisuća rubalja.

Primjer.19-godišnji student iz Toljatija dobio 2,5 godine uvjetne kazne i novčanu kaznu od 12 milijuna rubalja. Pomoću programa za DDoS napade, pokušao je srušiti informacijske resurse i web stranice banaka. Nakon napada student je iznuđivao novac.

Nemarni korisnici.Nepoštivanje sigurnosnih pravila prilikom pohranjivanja podataka kažnjava seČlanak 274. Kaznenog zakona Ruske Federacije - kršenje pravila rada sredstava za pohranu, obradu ili prijenos računalnih informacija i informacijskih i telekomunikacijskih mreža.

Kazna:kazna zatvora do pet godina ili novčana kazna do 500 tisuća rubalja.

Primjer.Ukoliko je prilikom pristupa informacijama na bilo koji način ukraden novac, članak će se prekvalificirati kao prijevara u području računalnih informacija (). Dakle dvije godine u koloniji-naselju primili uralski hakeri koji su dobili pristup bankovnim poslužiteljima.

Napadi na medije.Ako su DDoS napadi usmjereni na kršenje novinarskih prava, radnje potpadaju pod - ometanje zakonitog profesionalnog djelovanja novinara.

Kazna:kazna zatvora do šest godina ili novčana kazna do 800 tisuća rubalja.

Primjer.Ovaj se članak često prekvalificira u teže. Kako napraviti DDoS napad znali su oni koji su napadali Novaya Gazeta, Ekho Moskvy i Bolshoy Gorod. Regionalne publikacije također postaju žrtve hakera.

U Rusiji postoje stroge kazne za korištenje DDoS programi . Anonimnost iz Uprave “K” vas neće spasiti.

Programi za DDoS napade

Prema riječima stručnjaka, 2000 botova dovoljno je za napad na prosječnu web stranicu. Cijena DDoS napada počinje od 20 dolara (1100 rubalja). Broj kanala napada i vrijeme rada se dogovaraju pojedinačno. Ima i iznuda.

Pristojan haker će provesti pentest prije napada. Vojska bi ovu metodu nazvala "izviđanje na snazi". Bit pentesta je mali, kontrolirani napad kako bi se saznali obrambeni resursi stranice.

Zanimljiva činjenica.Kako napraviti DDoS napadMnogi ljudi znaju, ali snagu hakera određuje botnet. Često napadači jedni drugima kradu pristupne ključeve "vojski" i zatim ih preprodaju. Poznati trik je “isključivanje” wi-fija kako bi se on prisilno ponovno pokrenuo i vratio na osnovne postavke. U ovom stanju lozinka je standardna. Zatim, napadači dobivaju pristup cjelokupnom prometu organizacije.

Najnoviji hakerski trend je hakiranje pametnih uređaja kako bi se na njih instalirali rudari kriptovalute. Ove radnje mogu se kvalificirati prema klauzuli o korištenju malware(Članak 273. Kaznenog zakona Ruske Federacije). Dakle službenici FSB-a pritvorena Administrator sustava Kontrolni centar misije. Ugradio je minere na svoju radnu opremu i obogatio se. Napadač je identificiran po udarima struje.

Hakeri će izvesti DDoS napad na konkurenta. Tada mu mogu pristupiti računalna snaga i rudariti bitcoin ili dva. Samo ovaj prihod neće ići kupcu.

Rizici naručivanja DDoS napada

Rezimirajmo vaganjem prednosti i nedostataka naručivanja DDoS napada na konkurente.

Ako su konkurenti smetali poslovanju, hakeri neće pomoći. Oni će samo pogoršati stvari. Agencija "Digitalni morski psi" neželjene informacije legalnim putem.