호스팅 제공업체의 공식 커뮤니케이션 여기저기에서 반영된 DDoS 공격에 대한 언급이 점점 더 많아지고 있습니다. 점점 더 많은 사용자가 자신의 사이트에 접근할 수 없다는 사실을 발견하자마자 즉시 DDoS를 가정합니다. 실제로 3월 초에 Runet은 이러한 공격의 물결을 경험했습니다. 동시에 전문가들은 재미가 이제 막 시작되었다고 확신합니다. 매우 관련성이 높고 위협적이며 흥미로운 현상을 무시하는 것은 불가능합니다. 그래서 오늘은 DDoS에 대한 오해와 사실에 대해 이야기해 보겠습니다. 물론 호스팅 제공업체의 관점에서 말이죠.

기억에 남는 날

2013년 11월 20일, 당사 창립 8년 역사상 처음으로 유례없는 DDoS 공격으로 인해 전체 기술 플랫폼이 몇 시간 동안 가동되지 않는 상황이 발생했습니다. 우리 자신과 인터넷 제공업체는 물론이고 러시아와 CIS 전역의 수만 명의 고객이 피해를 입었습니다. 모든 사람에게 백색광이 사라지기 전에 공급자가 마지막으로 기록할 수 있었던 것은 입력 채널이 들어오는 트래픽으로 꽉 막혀 있었다는 것입니다. 이를 시각화하려면 일반 배수구가 있고 나이아가라 폭포가 그 안으로 쏟아져 들어가는 욕조를 상상해 보십시오.

체인의 상위에 있는 제공업체도 이 쓰나미의 영향을 느꼈습니다. 아래 그래프는 그날 상트페테르부르크와 러시아의 인터넷 트래픽에 무슨 일이 일어났는지 명확하게 보여줍니다. 우리가 공격을 기록한 바로 그 순간인 15시간과 18시간의 가파른 최고점을 주목하세요. 갑자기 500-700GB가 추가되었습니다.

공격을 현지화하는 데 몇 시간이 걸렸습니다. 전송된 서버가 계산되었습니다. 그런 다음 인터넷 테러리스트의 목표를 계산했습니다. 이 모든 적 포병이 누구를 공격했는지 아십니까? 매우 평범하고 겸손한 클라이언트 사이트입니다.

첫 번째 오해: “공격의 대상은 항상 호스팅 제공업체입니다. 이것은 그의 경쟁자들의 계략입니다. 내 것이 아니야." 실제로 인터넷 테러리스트의 가장 가능성이 높은 대상은 일반 클라이언트 사이트입니다. 즉, 호스팅 이웃 중 하나의 사이트입니다. 아니면 당신의 것일 수도 있습니다.

모든 것이 DDoS인 것은 아닙니다.

2013년 11월 20일 당사 기술 사이트에서 발생한 사건과 2014년 1월 9일 부분적으로 반복된 이후 일부 사용자는 자신의 웹 사이트에 특정 오류가 발생하면 DDoS라고 가정하기 시작했습니다. "이것이 DDoS입니다!" "또 DDoS를 경험하고 있나요?"

고객도 느낄 정도의 DDoS 공격을 당하면 즉시 직접 신고한다는 점을 기억하는 것이 중요합니다.

우리는 서둘러 당황한 사람들을 안심시키고 싶습니다. 사이트에 문제가 있는 경우 DDoS일 확률은 1% 미만입니다. 단순히 사이트에서 많은 일이 발생할 수 있고 이러한 "많은 일"이 훨씬 더 자주 발생한다는 사실 때문입니다. 다음 게시물 중 하나에서 귀하의 사이트에서 정확히 무슨 일이 일어나고 있는지 빠르게 자가 진단하는 방법에 대해 설명하겠습니다.

한편, 단어 사용의 정확성을 위해 용어를 명확히 하겠습니다.

약관에 대하여

DoS 공격(영어 Denial of Service에서 유래) - 이는 서버의 과부하로 인해 서비스가 거부되도록 설계된 공격입니다.

DoS 공격은 장비 손상이나 정보 도난과 관련이 없습니다. 그들의 목표 - 서버가 요청에 대한 응답을 중지하도록 합니다. DoS의 근본적인 차이점은 공격이 한 시스템에서 다른 시스템으로 발생한다는 것입니다. 참가자는 정확히 두 명입니다.

그러나 실제로는 DoS 공격이 거의 발생하지 않습니다. 왜? 공격 대상은 대부분 산업 시설(예: 호스팅 회사의 강력한 생산 서버)이기 때문입니다. 그리고 그러한 기계의 작동에 눈에 띄는 해를 끼치려면 자체보다 훨씬 더 큰 전력이 필요합니다. 이것이 첫 번째입니다. 둘째, DoS 공격의 개시자는 식별하기가 매우 쉽습니다.

DDoS - 본질적으로 DoS와 동일하지만 공격만 가능합니다. 분산된 성격. 5대도 아니고 10대도 아니고 20대도 아니고 수백, 수천 대의 컴퓨터가 서로 다른 장소에서 동시에 하나의 서버에 접속합니다. 이 기계군은 봇넷. 고객과 주최자를 식별하는 것은 거의 불가능합니다.

공범자

봇넷에는 어떤 종류의 컴퓨터가 포함되어 있나요?

당신은 놀랄 것입니다. 그러나 이것은 종종 가장 일반적인 가정용 기계입니다. 누가 알아?.. - 아마도 당신의 집 컴퓨터일 것이다. 악의 편으로 끌려갔습니다.

이것에는 많이 필요하지 않습니다. 공격자는 널리 사용되는 운영 체제나 응용 프로그램에서 취약점을 찾아 이를 사용하여 특정 날짜와 시간에 컴퓨터에 특정 작업을 수행하도록 명령하는 트로이 목마로 컴퓨터를 감염시킵니다. 예를 들어 특정 IP로 요청을 보냅니다. 물론 귀하의 지식이나 참여 없이.

두 번째 신화: « DDoS는 나와 멀리 떨어진 곳, 붉은 눈을 가진 수염 기른 해커들이 앉아 있는 특별한 지하 벙커에서 이루어졌습니다.” 사실은 나도 모르게 당신과 당신의 친구, 이웃들이 - 누구나 자신도 모르게 공범이 될 수 있다.

이런 일이 실제로 일어나고 있습니다. 당신이 그것에 대해 생각하지 않더라도. IT와 너무 멀리 떨어져 있더라도(특히 IT와 멀리 떨어져 있는 경우!)

재미있는 해킹 또는 DDoS 역학

DDoS 현상은 일률적이지 않습니다. 이 개념은 하나의 결과(서비스 거부)로 이어지는 작업에 대한 여러 옵션을 결합합니다. DDoSer가 우리에게 가져올 수 있는 문제를 살펴보겠습니다.

서버 컴퓨팅 리소스의 과도한 사용

이는 특정 IP로 패킷을 전송함으로써 수행되며, 이를 처리하려면 많은 양의 리소스가 필요합니다. 예를 들어 페이지를 로드하려면 많은 수의 SQL 쿼리를 실행해야 합니다. 모든 공격자는 이 정확한 페이지를 요청하며, 이로 인해 정상적인 합법적인 사이트 방문자에 대한 서버 과부하 및 서비스 거부가 발생합니다.
이것은 Hacker 잡지를 읽으며 이틀 저녁을 보낸 학생 수준의 공격입니다. 그녀는 문제가 되지 않습니다. 요청된 동일한 URL은 즉시 계산되며, 그 후에는 웹 서버 수준에서 해당 URL에 대한 액세스가 차단됩니다. 그리고 이것은 단지 하나의 해결책일 뿐입니다.

서버에 대한 통신 채널 과부하(출력)

이번 공격의 난이도는 이전 공격과 거의 같습니다. 공격자는 사이트에서 가장 무거운 페이지를 결정하고 그의 통제하에 있는 봇넷은 이를 일괄적으로 요청하기 시작합니다.

우리에게 보이지 않는 곰돌이 푸의 부분이 무한히 크다고 상상해보세요
이 경우 나가는 채널을 정확히 차단하고 이 페이지에 대한 액세스를 차단하는 것이 무엇인지 이해하는 것도 매우 쉽습니다. 네트워크 인터페이스를 확인하고 트래픽을 분석할 수 있는 특수 유틸리티를 사용하면 유사한 요청을 쉽게 확인할 수 있습니다. 그런 다음 그러한 요청을 차단하는 방화벽에 대한 규칙이 작성됩니다. 이 모든 작업은 정기적으로 자동으로 매우 빠르게 수행됩니다. 대부분의 사용자는 어떤 공격도 인식하지 못합니다.

세 번째 신화: "ㅏ 하지만 내 호스팅에 들어오는 경우는 거의 없고 항상 눈에 띕니다.” 실제로 공격의 99.9%는 보거나 느끼지 못합니다. 하지만 그들과의 일상적인 투쟁 - 이것은 호스팅 회사의 일상적이고 일상적인 작업입니다. 이것이 우리의 현실입니다. 공격은 저렴하고, 경쟁은 차트에서 벗어나 있으며, 모든 사람이 태양 아래서 싸우는 방법에 있어서 분별력을 발휘하지 못합니다.

서버에 대한 통신 채널 과부하(입력)

이것은 Hacker 매거진을 하루 이상 읽는 사람들에게는 이미 과제입니다.

Ekho Moskvy 라디오 웹사이트의 사진. 입력 채널의 과부하로 인한 DDoS를 더 시각적으로 나타내는 것을 찾지 못했습니다.
채널을 들어오는 트래픽으로 용량을 채우려면 필요한 양의 트래픽을 생성할 수 있는 봇넷이 있어야 합니다. 하지만 트래픽을 적게 보내고 많이 받는 방법이 있을까요?

있습니다. 단 하나가 아닙니다. 많은 공격 강화 옵션이 있지만 현재 가장 인기 있는 옵션 중 하나는 공개 DNS 서버를 통해 공격합니다.전문가들은 이를 증폭방식이라고 부른다. DNS 증폭(누군가 전문가 용어를 선호하는 경우) 간단히 말해서 눈사태를 상상해 보십시오. 작은 노력만으로도 이를 깨뜨릴 수 있지만, 비인적 자원으로도 이를 막을 수 있습니다.

너와 나는 그걸 알아 공용 DNS 서버요청 시 누구에게나 도메인 이름에 대한 정보를 제공합니다. 예를 들어, 우리는 다음과 같은 서버에 sprinthost.ru 도메인에 대해 알려달라고 요청합니다. 그리고 그는 자신이 알고 있는 모든 것을 주저 없이 우리에게 이야기합니다.

DNS 서버에 쿼리하는 것은 매우 간단한 작업입니다. 그에게 연락하는 데 비용이 거의 들지 않으며 요청은 아주 미미합니다. 예를 들어 다음과 같습니다.

남은 것은 인상적인 데이터 패키지를 형성할 정보인 도메인 이름을 선택하는 것입니다. 따라서 원래의 35바이트는 손목을 가볍게 치면 거의 3700바이트로 변합니다. 10배 이상 증가한 것입니다.

하지만 응답이 올바른 IP로 전송되는지 어떻게 확인할 수 있습니까? DNS 서버가 데이터를 요청하지 않은 피해자의 방향으로 응답을 발행하도록 요청의 IP 소스를 스푸핑하는 방법은 무엇입니까?

사실 DNS 서버는 다음과 같이 작동합니다. UDP 통신 프로토콜, 이는 요청 소스에 대한 확인이 전혀 필요하지 않습니다. 이 경우 나가는 IP를 위조하는 것은 도저에게 그리 어렵지 않습니다. 이것이 바로 이러한 유형의 공격이 현재 인기가 있는 이유입니다.

가장 중요한 것은 매우 작은 봇넷만으로도 이러한 공격을 수행하기에 충분하다는 것입니다. 그리고 서로 다른 사용자가 때때로 동일한 호스트에서 데이터를 요청한다는 사실에서 이상한 점을 볼 수 없는 여러 개의 서로 다른 공용 DNS입니다. 그리고 나서야 이 모든 트래픽이 하나의 스트림으로 합쳐지고 하나의 "파이프"가 단단히 고정됩니다.

도저가 알 수 없는 것은 공격자의 채널 용량입니다. 그리고 공격의 위력을 정확하게 계산하지 못하고 서버 채널을 즉시 100% 막지 않으면 공격을 매우 빠르고 쉽게 격퇴할 수 있습니다. 다음과 같은 유틸리티를 사용하여 TCP 덤프들어오는 트래픽이 DNS에서 오는지 쉽게 알 수 있으며 방화벽 수준에서 해당 트래픽이 허용되지 않도록 차단합니다. DNS로부터의 트래픽 수신을 거부하는 이 옵션은 모든 사람에게 불편을 끼칠 수 있지만 서버와 해당 사이트는 계속해서 성공적으로 작동합니다.

이는 공격을 강화할 수 있는 다양한 옵션 중 하나일 뿐입니다. 다른 유형의 공격도 많이 있습니다. 이에 대해서는 나중에 이야기하겠습니다. 지금은 위의 모든 내용이 서버에 대한 채널 너비를 초과하지 않는 공격에 해당된다는 점을 요약하고 싶습니다.

공격이 강력하다면

공격력이 서버에 대한 채널 용량을 초과하는 경우 다음과 같은 현상이 발생합니다. 서버에 대한 인터넷 채널은 즉시 막힌 다음 호스팅 사이트, 인터넷 공급자, 업스트림 공급자 등으로 계속해서 위쪽으로(장기적으로는 가장 터무니없는 한도까지) 막힙니다. 공격력은 충분하다.

그리고 그것은 모두에게 세계적인 문제가 됩니다. 간단히 말해서, 그것이 우리가 2013년 11월 20일에 처리해야 했던 일입니다. 그리고 대규모 격변이 일어나면 특별한 마법을 발동할 때입니다!

이것이 바로 특별한 마법의 모습인데, 이 마법을 이용하면 인터넷 제공자 수준에서 트래픽이 향하는 서버를 판별하고 해당 IP를 차단할 수 있습니다. 외부 세계와의 통신 채널(업링크)을 통해 이 IP에 대한 요청 수신을 중지합니다. 용어를 좋아하는 사람의 경우 전문가가 이 절차를 호출합니다. "블랙홀", 영어 블랙홀에서.

이 경우 500~1500개의 계정을 가진 공격받은 서버는 IP 없이 그대로 유지됩니다. 이를 위해 새로운 IP 주소 서브넷이 할당되며, 여기에 클라이언트 계정이 무작위로 균등하게 분산됩니다. 다음으로 전문가들은 공격이 반복되기를 기다리고 있습니다. 거의 항상 반복됩니다.

그리고 이것이 반복되면 공격받은 IP는 더 이상 500~1000개의 계정을 가지지 않고 12~2개만 갖게 됩니다.

용의자의 범위가 좁아지고 있습니다. 이 10-20개의 계정은 다시 다른 IP 주소에 배포됩니다. 그리고 다시 엔지니어들은 매복 공격이 반복되기를 기다리고 있습니다. 계속해서 그들은 의심스러운 계정을 다른 IP에 배포하여 점차적으로 접근하여 공격 대상을 결정합니다. 이 시점에서 다른 모든 계정은 이전 IP에서 정상 작동으로 돌아갑니다.

분명한 바와 같이 이는 즉각적인 절차가 아니며 구현하는 데 시간이 걸립니다.

네 번째 신화:“대규모 공격이 발생하면 호스트는 조치 계획이 없습니다. 그 사람은 눈을 감고 폭격이 끝나기만을 기다리며 내 편지에도 똑같은 답장을 하더군요.”이는 사실이 아닙니다. 공격이 발생할 경우 호스팅 공급자는 이를 현지화하고 가능한 한 빨리 결과를 제거하려는 계획에 따라 행동합니다. 그리고 같은 유형의 편지를 사용하면 현재 일어나고 있는 일의 본질을 전달하는 동시에 긴급 상황에 최대한 빨리 대처하는 데 필요한 자원을 절약할 수 있습니다..

터널 끝에 빛이 있을까?

이제 DDoS 활동이 지속적으로 증가하고 있음을 알 수 있습니다. 공격 명령은 매우 접근하기 쉽고 터무니없이 저렴해졌습니다. 선전 혐의를 피하기 위해 증거 링크는 없습니다. 그러나 우리의 말을 믿으십시오. 그것은 사실입니다.

다섯 번째 오해: “DDoS 공격은 매우 비용이 많이 드는 작업이며 오직 재계의 거물만이 공격을 주문할 수 있습니다. 적어도 이것은 비밀 기관의 계략입니다!” 실제로 이러한 이벤트는 매우 쉽게 접근할 수 있게 되었습니다.

따라서 악의적인 활동이 저절로 사라질 것이라고 기대할 수는 없습니다. 오히려 더욱 심화될 뿐입니다. 남은 것은 무기를 제작하고 연마하는 것뿐입니다. 이것이 바로 우리가 하는 일, 즉 네트워크 인프라를 개선하는 것입니다.

문제의 법적 측면

이는 DDoS 공격에 대한 논의에서 매우 인기가 없는 부분입니다. 가해자가 체포되어 처벌을 받는 경우가 거의 없기 때문입니다. 그러나 다음 사항을 기억해야 합니다. DDoS 공격은 범죄 행위입니다. 러시아 연방을 포함한 세계 대부분의 국가에서.

여섯 번째 신화: « 이제 DDoS에 대해 충분히 알았으니 경쟁사를 위해 파티를 주문하겠습니다. - 그러면 나에게는 아무 일도 일어나지 않을 것입니다!” 그런 일이 일어날 가능성이 있습니다. 그리고 만약 그렇다면, 그것은 별로 좋아 보이지 않을 것입니다.

• Assist 결제 시스템의 DDoS 이야기의 시작
• 흥미진진한 엔딩

일반적으로 우리는 정의의 분노를 일으키지 않고 카르마를 망치지 않기 위해 누구에게도 DDoS의 악의적인 관행에 가담하라고 조언하지 않습니다. 그리고 우리는 활동의 세부 사항과 예리한 연구 관심으로 인해 문제를 계속 연구하고 경계하며 방어 구조를 개선합니다.

추신:감사의 마음을 표현하기에는 친절한 말이 부족해서 그냥 이렇게 말해요."감사합니다!" 2013년 11월 20일, 어려운 날, 따뜻한 응원을 보내주신 인내심 많은 고객 여러분께. 우리의 지지에 대해 많은 격려의 말씀을 해주셨습니다.