Оршил

Би бичихдээ тэр даруй захиалгаа өгье энэ тойм, Би юуны түрүүнд харилцаа холбооны операторууд болон тэдгээрийн мэдээллийн сүлжээний ажлын онцлогийг ойлгодог үзэгчдэд анхаарлаа хандуулсан. Энэхүү нийтлэлд DDoS халдлагаас хамгаалах үндсэн зарчмууд, сүүлийн 10 жилийн хөгжлийн түүх, өнөөгийн нөхцөл байдлыг тусгасан болно.

DDoS гэж юу вэ?

Магадгүй өнөөдөр "хэрэглэгч" бүр биш юмаа гэхэд ядаж "IT мэргэжилтэн" бүр DDoS халдлага гэж юу болохыг мэддэг байх. Гэхдээ хэдэн үг хэлэх шаардлагатай хэвээр байна.

DDoS халдлага (Үйлчилгээний тархалтаас татгалзах) нь хууль ёсны хэрэглэгчдэд нэвтрэх боломжгүй болгох зорилготой компьютерийн системд (сүлжээний нөөц эсвэл харилцаа холбооны суваг) халдлага юм. DDoS халдлага нь интернетэд байрладаг нэг эсвэл олон компьютерээс тодорхой эх сурвалж руу олон тооны хүсэлтийг нэгэн зэрэг илгээдэг. Хэрэв мянга, арван мянга, сая сая компьютерууд нэгэн зэрэг тодорхой сервер (эсвэл сүлжээний үйлчилгээ) рүү хүсэлт илгээж эхэлбэл сервер үүнийг зохицуулах боломжгүй, эсвэл энэ сервертэй харилцах сувгийн хангалттай зурвасын өргөн байхгүй болно. . Аль ч тохиолдолд интернет хэрэглэгчид халдлагад өртсөн сервер, тэр байтугай хаагдсан холбооны сувгаар холбогдсон бүх сервер болон бусад эх сурвалжид хандах боломжгүй болно.

DDoS халдлагын зарим онцлог

DDoS халдлага хэний эсрэг, ямар зорилгоор хийгддэг вэ?

DDoS халдлагыг интернетийн аль ч эх сурвалжийн эсрэг хийж болно. DDoS халдлагын хамгийн их хохирлыг бизнес нь интернетэд байгаатай шууд холбоотой байгууллагууд - банкууд (интернет банкны үйлчилгээ үзүүлдэг), онлайн дэлгүүрүүд, худалдааны платформууд, дуудлага худалдаа, түүнчлэн бусад төрлийн үйл ажиллагаа, үйл ажиллагаа, үр нөлөө нь тэдний интернетэд байгаа эсэхээс ихээхэн хамаардаг (аялал жуулчлалын агентлагууд, агаарын тээврийн компаниуд, тоног төхөөрөмж, програм хангамж үйлдвэрлэгчид гэх мэт) DDoS халдлага нь ийм аваргуудын нөөцийн эсрэг тогтмол явагддаг. IBM, Cisco Systems, Microsoft болон бусад гэх мэт дэлхийн мэдээллийн технологийн салбарын. eBay.com, Amazon.com болон олон алдартай банк, байгууллагуудын эсрэг их хэмжээний DDoS халдлага ажиглагдсан.

Ихэнхдээ DDoS халдлага нь улс төрийн байгууллага, институци, хувь хүмүүсийн нэр хүндтэй хүмүүсийн вэб төлөөлөгчийн эсрэг явагддаг. 2008 оны Гүрж-Осетийн дайны үеэр Гүржийн Ерөнхийлөгчийн вэб сайт руу (2008 оны 8-р сараас эхлэн хэдэн сарын турш энэ вэб сайт ажиллахгүй байсан) Эстонийн засгийн газрын серверүүд рүү чиглэсэн DDoS халдлагын талаар олон хүн мэддэг. (2007 оны хавар, Хүрэл цэрэг шилжүүлэхтэй холбоотой эмх замбараагүй байдлын үеэр), интернетийн Хойд Солонгосын сегментээс Америкийн сайтуудын эсрэг үе үе халддаг тухай.

DDoS халдлагын гол зорилго нь шантааж, дээрэмдэх замаар ашиг (шууд болон шууд бус) олж авах, эсвэл улс төрийн ашиг сонирхлыг хэрэгжүүлэх, нөхцөл байдлыг хурцатгах, өшөө авах явдал юм.

DDoS халдлагыг эхлүүлэх ямар механизмууд байдаг вэ?

DDoS халдлага хийх хамгийн түгээмэл бөгөөд аюултай арга бол ботнет (BotNets) ашиглах явдал юм. Ботнет нь тусгай програм хангамжийн хавчуурга (бот) суулгасан компьютеруудын багц бөгөөд англи хэлнээс орчуулбал ботнет нь ботуудын сүлжээ юм. Ботуудыг ихэвчлэн хакерууд ботнет бүрт тус тусад нь боловсруулдаг бөгөөд гол зорилго нь ботнетийн удирдлагын сервер болох Botnet Command and Control Server-ээс хүлээн авсан тушаалын дагуу интернет дэх тодорхой эх сурвалж руу хүсэлт илгээх явдал юм. Ботнетийн хяналтын серверийг хакер эсвэл ботнет худалдаж авсан хүн удирдаж, хакераас DDoS халдлага хийх боломжтой. Интернетэд роботууд тархаж байна янз бүрийн арга замуудДүрмээр бол, эмзэг үйлчилгээтэй компьютерууд руу халдаж, тэдгээрт программ хангамжийн хавчуурга суулгах, эсвэл өөр үйлчилгээ үзүүлэх нэрийдлээр хэрэглэгчдийг хууран мэхэлж, бүрэн гэм хоргүй, бүр ч гүйцэтгэдэг программ хангамж, үйлчилгээ үзүүлэх нэрийн дор бот суулгахыг албадах замаар. ашигтай функц. Ботуудыг түгээх олон арга байдаг бөгөөд шинэ аргуудыг байнга зохион бүтээдэг.

Хэрэв ботнет хангалттай том бол хэдэн арван эсвэл хэдэн зуун мянган компьютер байвал эдгээр бүх компьютерээс тодорхой сүлжээний үйлчилгээ (жишээлбэл, тодорхой сайт дээрх вэб үйлчилгээ) рүү чиглэсэн бүрэн хууль ёсны хүсэлтийг нэгэн зэрэг илгээх болно. үйлчилгээ эсвэл серверийн нөөцийг шавхах, эсвэл харилцааны сувгийн чадавхийг шавхах. Ямар ч тохиолдолд энэ үйлчилгээг хэрэглэгчид ашиглах боломжгүй бөгөөд үйлчилгээний эзэн шууд, шууд бус болон нэр хүндэд хохирол учруулах болно. Хэрэв компьютер бүр секундэд нэг хүсэлт биш, хэдэн арван, зуу, мянга мянган хүсэлт илгээдэг бол халдлагын нөлөө хэд дахин нэмэгддэг бөгөөд энэ нь хамгийн бүтээмжтэй нөөц, харилцаа холбооны сувгийг ч устгах боломжтой болгодог.

Зарим халдлага нь илүү "хор хөнөөлгүй" аргаар явагддаг. Жишээлбэл, тохиролцсоны дагуу нэвтэрдэг зарим форумын хэрэглэгчдийн флаш моб тодорхой хугацаа"pings" эсвэл компьютерээсээ тодорхой сервер рүү чиглэсэн бусад хүсэлтүүд. Өөр нэг жишээ бол интернетийн алдартай эх сурвалжууд дээр вэбсайтын холбоосыг байрлуулах явдал бөгөөд энэ нь зорилтот сервер рүү хэрэглэгчдийн шилжилт хөдөлгөөнийг үүсгэдэг. Хэрэв "хуурамч" холбоос (гадна талаасаа нэг эх сурвалжийн холбоос мэт харагддаг, гэхдээ үнэндээ огт өөр сервертэй холбоосууд) нь жижиг байгууллагын вэбсайтыг хэлдэг боловч алдартай сервер эсвэл форум дээр байрлуулсан бол ийм халдлага нь гэмтлийг үүсгэж болзошгүй юм. Энэ сайтад хүсээгүй зочдын урсгал. Сүүлийн хоёр төрлийн дайралт нь зохих ёсоор зохион байгуулагдсан хостинг сайтууд дээр серверийн хүртээмжийг зогсооход хүргэдэггүй боловч 2009 онд Орост ч ийм жишээ гарч байсан.

DDoS халдлагаас хамгаалах уламжлалт техникийн хэрэгсэл туслах уу?

DDoS халдлагын онцлог нь тэдгээр нь нэгэн зэрэг олон хүсэлтээс бүрдэх бөгөөд тус бүр нь "хууль ёсны" бөгөөд үүнээс гадна эдгээр хүсэлтийг компьютерууд (ботуудаар халдварлагдсан) илгээдэг бөгөөд энэ нь хамгийн түгээмэл бодит эсвэл боломжит хэрэглэгчдэд хамаарах болно. халдлагад өртсөн үйлчилгээ эсвэл нөөцийн. Тиймээс стандарт хэрэгслээр DDoS халдлага болж буй хүсэлтүүдийг зөв тодорхойлж, шүүх нь маш хэцүү байдаг. Стандарт системүүд IDS/IPS ангиллын (Intrusion Detection / Prevention System - сүлжээний халдлагыг илрүүлэх / урьдчилан сэргийлэх систем) нь замын хөдөлгөөний гажигийн чанарын шинжилгээ хийхээс нааш эдгээр хүсэлтүүдээс "хэрэг гэмт хэрэг" олохгүй, халдлагын нэг хэсэг гэдгийг ойлгохгүй. . Хэдийгээр тэд үүнийг олсон ч шаардлагагүй хүсэлтийг шүүх нь тийм ч хялбар биш юм - стандарт галт хана болон чиглүүлэгчид нь тодорхой тодорхойлсон хандалтын жагсаалт (хяналтын дүрэм) дээр үндэслэн траффикийг шүүдэг бөгөөд хэрэглэгчийн профайлд хэрхэн "динамикаар" дасан зохицохоо мэдэхгүй байна. тусгай дайралт. Галт ханаэх хаяг, ашигласан сүлжээний үйлчилгээ, порт, протокол зэрэг шалгуурт тулгуурлан замын хөдөлгөөний урсгалыг зохицуулж чадна. Гэхдээ энгийн интернет хэрэглэгчид DDoS халдлагад оролцож, хамгийн түгээмэл протоколуудыг ашиглан хүсэлт илгээдэг - харилцаа холбооны оператор хүн бүрийг болон бүх зүйлийг хориглохгүй гэж үү? Дараа нь энэ нь зүгээр л өөрийн захиалагчдад харилцаа холбооны үйлчилгээ үзүүлэхээ зогсоож, үйлчилдэг сүлжээний нөөцөд хандах боломжийг олгохоо болих болно, энэ нь үнэндээ халдлагыг санаачлагч хүрэхийг оролдож байгаа зүйл юм.

Замын хөдөлгөөний хэвийн бус байдлыг илрүүлэх, хөдөлгөөний профайл, халдлагын профайлыг бий болгох, дараа нь олон үе шаттай хөдөлгөөнийг динамик шүүх процессоос бүрдэх DDoS халдлагаас хамгаалах тусгай шийдлүүд байдгийг олон мэргэжилтнүүд мэддэг байх. Мөн би энэ нийтлэлд эдгээр шийдлүүдийн талаар ярих болно, гэхдээ хэсэг хугацааны дараа. Нэгдүгээрт, бид одоо байгаа мэдээллийн сүлжээ болон түүний администраторуудын тусламжтайгаар DDoS халдлагыг дарах зорилгоор авч болох бага мэддэг боловч заримдаа нэлээд үр дүнтэй арга хэмжээний талаар ярих болно.

Боломжтой хэрэгслийг ашиглан DDoS халдлагаас хамгаалах

Зарим онцгой тохиолдолд DDoS халдлагыг дарах боломжийг олгодог хэд хэдэн механизм, "заль мэх" байдаг. Зарим нь зөвхөн өгөгдлийн сүлжээг тодорхой үйлдвэрлэгчийн тоног төхөөрөмж дээр суурилуулсан тохиолдолд л ашиглах боломжтой, бусад нь илүү их эсвэл бага түгээмэл байдаг.

Cisco Systems-ийн зөвлөмжүүдээс эхэлцгээе. Энэ компанийн мэргэжилтнүүд сүлжээний удирдлагын түвшин (Хяналтын хавтгай), сүлжээний удирдлагын түвшин (Удирдлагын хавтгай), сүлжээний өгөгдлийн түвшний хамгаалалт (Өгөгдлийн хавтгай) зэргийг багтаасан сүлжээний суурийг (Сүлжээний сангийн хамгаалалт) хамгаалахыг зөвлөж байна.

Удирдлагын хавтгай хамгаалалт

"Удирдлагын давхарга" гэсэн нэр томъёо нь чиглүүлэгч болон бусад зүйлсийг удирдаж, хянадаг бүх урсгалыг хамардаг сүлжээний тоног төхөөрөмж. Энэ урсгал нь чиглүүлэгч рүү чиглэсэн эсвэл чиглүүлэгчээс гаралтай. Ийм траффикийн жишээ бол Telnet, SSH болон http(s) сессүүд, syslog мессежүүд, SNMP трапууд юм. Ерөнхий шилдэг туршлагууд нь:

Шифрлэлт, баталгаажуулалтыг ашиглан менежмент, хяналтын протоколын аюулгүй байдлыг дээд зэргээр хангах:

• SNMP v3 протокол нь аюулгүй байдлын арга хэмжээг хангадаг бол SNMP v1 нь бараг хангадаггүй, SNMP v2 нь зөвхөн хэсэгчлэн өгдөг - Олон нийтийн анхдагч утгуудыг үргэлж өөрчлөх шаардлагатай байдаг;
• олон нийтийн болон хувийн хэвшлийн өөр өөр үнэт зүйлсийг ашиглах ёстой;
• telnet протокол нь нэвтрэх болон нууц үг зэрэг бүх өгөгдлийг тодорхой текстээр дамжуулдаг (хэрэв замын хөдөлгөөн тасалдсан бол энэ мэдээллийг хялбархан задалж, ашиглах боломжтой), оронд нь ssh v2 протоколыг үргэлж ашиглахыг зөвлөж байна;
• үүнтэй адилаар, http-ийн оронд https ашиглан тоног төхөөрөмжид хандах, зохих нууц үгийн бодлого, төвлөрсөн баталгаажуулалт, зөвшөөрөл, нягтлан бодох бүртгэл (AAA загвар) болон орон нутгийн нэвтрэлт танилт зэргийг багтаасан тоног төхөөрөмжид хандах хандалтыг хатуу хянах;

Дүрд суурилсан хандалтын загварыг хэрэгжүүлэх;

Хандалтын хяналтын жагсаалтыг ашиглан эх сурвалжийн хаягаар зөвшөөрөгдсөн холболтыг хянах;

Ашиглагдаагүй үйлчилгээг идэвхгүй болгох, тэдгээрийн ихэнх нь анхдагчаар идэвхждэг (эсвэл системийг оношлох, тохируулсны дараа тэдгээрийг идэвхгүй болгохоо мартсан);

Тоног төхөөрөмжийн нөөцийн ашиглалтад хяналт тавих.

Сүүлийн хоёр зүйлийг илүү нарийвчлан авч үзэх нь зүйтэй.
Анхдагчаар асаалттай эсвэл тоног төхөөрөмжийг тохируулсны дараа унтрахаа мартсан зарим үйлчилгээг халдагчид одоо байгаа аюулгүй байдлын дүрмийг тойрч гарахын тулд ашиглаж болно. Эдгээр үйлчилгээний жагсаалтыг доор харуулав.

• PAD (пакет ассемблер/зассемблер);

Мэдээжийн хэрэг, эдгээр үйлчилгээг идэвхгүй болгохын өмнө тэдгээр нь таны сүлжээнд шаардлагатай эсэхийг сайтар шинжлэх хэрэгтэй.

Тоног төхөөрөмжийн нөөцийн ашиглалтыг хянах нь зүйтэй. Энэ нь нэгдүгээрт, сүлжээний элементүүдийн хэт ачааллыг цаг тухайд нь анзаарч, ослоос урьдчилан сэргийлэх арга хэмжээ авах, хоёрдугаарт, DDoS халдлага, эмгэгийг илрүүлэх тусгай хэрэгслээр хангагдаагүй тохиолдолд илрүүлэх боломжийг олгоно. Хамгийн багадаа дараахь зүйлийг хянахыг зөвлөж байна.

• CPU ачаалал
• санах ойн хэрэглээ
• чиглүүлэгчийн интерфейсийн түгжрэл.

Хяналтыг "гараар" хийх боломжтой (тоног төхөөрөмжийн нөхцөл байдлыг үе үе хянах), гэхдээ үүнийг тусгай сүлжээний хяналт эсвэл хяналтын системээр хийх нь илүү дээр юм. мэдээллийн нууцлал(сүүлийнх нь Cisco MARS багтана).

Хяналтын онгоцны хамгаалалт

Сүлжээний удирдлагын давхарга нь тогтоосон топологи, параметрийн дагуу сүлжээний үйл ажиллагаа, холболтыг баталгаажуулдаг бүх үйлчилгээний урсгалыг агуулдаг. Хяналтын онгоцны хөдөлгөөний жишээнүүд нь: чиглүүлэлтийн процессор (RR)-аар үүсгэгдсэн эсвэл түүнд зориулагдсан бүх урсгал, үүнд чиглүүлэлтийн бүх протоколууд, зарим тохиолдолд SSH болон SNMP протоколууд, ICMP орно. Чиглүүлэгчийн процессорын үйл ажиллагаанд аливаа халдлага, ялангуяа DDoS халдлага нь сүлжээний үйл ажиллагаанд ихээхэн асуудал, тасалдал үүсгэдэг. Удирдлагын онгоцыг хамгаалах хамгийн сайн туршлагуудыг доор харуулав.

Хяналтын онгоцны цагдаа

Энэ нь хэрэглэгчийн урсгалаас (түүний нэг хэсэг нь халдлага) онгоцны урсгалыг удирдахад илүү ач холбогдол өгөхийн тулд QoS (Үйлчилгээний чанар) механизмыг ашиглахаас бүрддэг. Энэ нь үйлчилгээний протоколууд болон чиглүүлэлтийн процессорын ажиллагааг хангах, өөрөөр хэлбэл сүлжээний топологи, холболтыг хадгалах, мөн пакетуудын бодит чиглүүлэлт, сэлгэлтийг хангах болно.

IP хүлээн авах ACL

Энэхүү функц нь чиглүүлэгч болон чиглүүлэлтийн процессорт зориулагдсан үйлчилгээний урсгалыг шүүх, хянах боломжийг танд олгоно.

• трафик чиглүүлэлтийн процессорт хүрэхээс өмнө чиглүүлэлтийн төхөөрөмж дээр шууд хэрэглэгдэж, "хувийн" төхөөрөмжийн хамгаалалтыг хангадаг;
• ердийн хандалтын хяналтын жагсаалтуудаар дамжуулагдсаны дараа хэрэглэгдэх болно - тэдгээр нь чиглүүлэлтийн процессор руу явах зам дээрх хамгийн сүүлийн хамгаалалтын түвшин юм;
• бүх урсгалд (харилцаа холбооны операторын сүлжээтэй холбоотой дотоод, гадаад, транзит) хамаарна.

Дэд бүтцийн ACL

Ерөнхийдөө чиглүүлэлтийн төхөөрөмжийн өмчлөлийн хаяг руу хандах нь зөвхөн операторын сүлжээн дэх хостуудад шаардлагатай байдаг боловч үл хамаарах зүйлүүд байдаг (жишээлбэл, eBGP, GRE, IPv6 гаруй IPv4 туннел, ICMP). Дэд бүтцийн ACL:

• ихэвчлэн харилцаа холбооны операторын сүлжээний ирмэг дээр суурилуулсан ("сүлжээний үүдэнд");
• гадаад хостуудыг операторын дэд бүтцийн хаяг руу нэвтрэхээс урьдчилан сэргийлэх зорилготой байх;
• операторын сүлжээгээр дамжин өнгөрөх хөдөлгөөнийг саадгүй нэвтрүүлэх;
• RFC 1918, RFC 3330-д тодорхойлсон сүлжээний зөвшөөрөлгүй үйлдлээс хамгаалах үндсэн механизмуудыг хангах, ялангуяа хуурамчаар үйлдэхээс хамгаалах (хуурамч, халдлага хийх үед хуурамч эх сурвалжийн IP хаягийг ашиглах).

Хөршийн баталгаажуулалт

Хөршийн баталгаажуулалтын гол зорилго нь сүлжээн дэх чиглүүлэлтээ өөрчлөхийн тулд хуурамч чиглүүлэлтийн протокол мессеж илгээх халдлагаас урьдчилан сэргийлэх явдал юм. Ийм халдлага нь сүлжээнд зөвшөөрөлгүй нэвтрэх, сүлжээний нөөцийг зөвшөөрөлгүй ашиглах, мөн халдагчид шаардлагатай мэдээллийг шинжлэх, олж авахын тулд урсгалыг таслан зогсооход хүргэдэг.

BGP тохируулж байна

• BGP угтвар шүүлтүүрүүд - маршрутын мэдээллийг баталгаажуулахад ашигладаг дотоод сүлжээхарилцаа холбооны операторыг интернетэд тараагаагүй (заримдаа энэ мэдээлэл нь халдагчдад маш хэрэгтэй байж болно);
• өөр чиглүүлэгчээс хүлээн авч болох угтваруудын тоог хязгаарлах (угтварыг хязгаарлах) - түншлэлийн сүлжээн дэх DDoS халдлага, гажиг, бүтэлгүйтлээс хамгаалахад ашигладаг;
• BGP Community параметрүүдийг ашиглах, тэдгээрийн шүүлтүүрийг чиглүүлэлтийн мэдээллийн тархалтыг хязгаарлахад ашиглаж болно;
• BGP-ийн хяналт, BGP-ийн өгөгдлийг ажиглагдсан урсгалтай харьцуулах нь DDoS халдлага, гажигийг эрт илрүүлэх механизмын нэг юм;
• TTL (Time-to-Live) параметрээр шүүх - BGP түншүүдийг шалгахад ашигладаг.

Хэрэв BGP халдлага нь түншийн сүлжээнээс биш, харин илүү алслагдсан сүлжээнээс хийгдвэл BGP пакетуудын TTL параметр нь 255-аас бага байх болно. Та операторын хил чиглүүлэгчийг TTL-тэй бүх BGP пакетуудыг унагахаар тохируулж болно. үнэ цэнэ< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Сүлжээнд өгөгдлийн хавтгайг хамгаалах (Data Plane)

Захиргаа, удирдлагын түвшинг хамгаалахын ач холбогдлыг үл харгалзан харилцаа холбооны операторын сүлжээн дэх траффикийн ихэнх хэсэг нь өгөгдөл, транзит эсвэл энэ операторын захиалагчдад зориулагдсан байдаг.

Unicast урвуу зам дамжуулах (uRPF)

Ихэнхдээ халдлагыг хуурамч технологи ашиглан хийдэг - эх сурвалжийн IP хаягийг хуурамчаар үйлддэг тул халдлагын эх сурвалжийг илрүүлэх боломжгүй байдаг. Хуурамч IP хаягууд нь:

• бодит ашигласан хаягийн зайнаас, гэхдээ өөр сүлжээний сегментээс (халдлага эхэлсэн сегментэд эдгээр хуурамч хаягууд чиглүүлээгүй);
• тухайн өгөгдөл дамжуулах сүлжээнд ашиглагдаагүй хаягийн зайнаас;
• Интернетэд чиглүүлэх боломжгүй хаягийн орон зайнаас.

Чиглүүлэгчид uRPF механизмыг хэрэгжүүлэх нь чиглүүлэгчийн интерфейс дээр ирсэн сүлжээний сегментэд таарахгүй эсвэл ашиглагдаагүй эх хаягтай пакетуудыг чиглүүлэхээс сэргийлнэ. Энэ технологи нь заримдаа эх сурвалждаа хамгийн ойр, өөрөөр хэлбэл хамгийн үр дүнтэйгээр хүсээгүй урсгалыг маш үр дүнтэй шүүх боломжийг олгодог. Олон DDoS халдлага (алдарт Smurf болон Tribal Flood Network гэх мэт) стандарт аюулгүй байдал, замын хөдөлгөөний шүүлтүүрийн арга хэмжээг хууран мэхлэхийн тулд хуурамчаар үйлдэх, эх хаягийг байнга өөрчлөх механизмыг ашигладаг.

Захиалагчдыг интернетээр хангадаг харилцаа холбооны операторууд uRPF механизмыг ашигласнаар өөрсдийн захиалагчдын интернетийн нөөцийн эсрэг чиглүүлсэн хуурамч технологийг ашиглан DDoS халдлагаас үр дүнтэй урьдчилан сэргийлэх болно. Тиймээс DDoS халдлагыг эх сурвалждаа хамгийн ойр, өөрөөр хэлбэл хамгийн үр дүнтэйгээр дардаг.

Алсын удирдлагатай хар нүхнүүд (RTBH)

Алсын удирдлагатай хар нүхийг чиглүүлэлтээр сүлжээнд орж ирж буй урсгалыг “хослох” (устгах, “хаа ч үгүй” илгээх) хийхэд ашигладаг. энэ замын хөдөлгөөнийтусгай Null 0 интерфэйсүүд рүү. Энэ технологиСүлжээнд нэвтрэх үед DDoS халдлага агуулсан урсгалыг багасгахын тулд үүнийг сүлжээний ирмэг дээр ашиглахыг зөвлөж байна. Энэ аргын хязгаарлалт (мөн чухал ач холбогдолтой) нь халдлагын бай болох тодорхой хост эсвэл хостуудад зориулагдсан бүх урсгалд хамаарах явдал юм. Тиймээс, энэ аргаНэг буюу хэд хэдэн хостууд асар их халдлагад өртсөн тохиолдолд ашиглах боломжтой бөгөөд энэ нь зөвхөн халдлагад өртсөн хостуудад төдийгүй бусад захиалагчид болон харилцаа холбооны операторын сүлжээнд асуудал үүсгэдэг.

Хар нүхийг гараар эсвэл BGP протоколоор удирдаж болно.

BGP (QPPB)-ээр дамжуулан QoS бодлогыг түгээх

BGP (QPPB) дээрх QoS хяналт нь тодорхой бие даасан систем эсвэл IP хаягийн блокт зориулагдсан траффикийн тэргүүлэх бодлогыг удирдах боломжийг олгодог. Энэхүү механизм нь харилцаа холбооны операторууд болон томоохон аж ахуйн нэгжүүдэд, тэр дундаа DDoS халдлагыг агуулсан хүсээгүй траффик эсвэл траффикийн тэргүүлэх түвшнийг удирдахад маш хэрэгтэй байж болох юм.

Угаах нүхнүүд

Зарим тохиолдолд хар нүхийг ашиглан замын хөдөлгөөнийг бүрэн арилгах шаардлагагүй, харин дараагийн хяналт, шинжилгээнд зориулж үндсэн суваг эсвэл нөөцөөс холдуулах шаардлагатай байдаг. Энэ нь "диверсив суваг" буюу угаалтуурын нүхийг яг юунд зориулагдсан юм.

Угаалтуурын нүхийг дараахь тохиолдолд ихэвчлэн ашигладаг.

• харилцаа холбооны операторын сүлжээний хаягийн орон зайд хамаарах, гэхдээ бодитоор ашиглагдаагүй (тоног төхөөрөмж, хэрэглэгчдэд хуваарилагдаагүй) очих хаяг бүхий урсгалыг шилжүүлэх, дүн шинжилгээ хийх; Ийм траффик нь ихэвчлэн сэжигтэй байдаг, учир нь энэ нь таны сүлжээг сканнердах, нэвтэрч орох гэсэн оролдлогыг илтгэдэг. дэлгэрэнгүй мэдээлэлтүүний бүтцийн тухай;
• харилцаа холбооны операторын сүлжээнд бодитоор ажиллаж байгаа эх сурвалж болох халдлагын байгаас траффикийг хянах, дүн шинжилгээ хийх зорилгоор дахин чиглүүлэх.

Тусгай хэрэгсэл ашиглан DDoS хамгаалалт

Cisco Clean Pipes үзэл баримтлал нь салбарын анхдагч юм

DDoS халдлагаас хамгаалах орчин үеийн үзэл баримтлалыг Cisco Systems боловсруулсан (тиймээ, тийм ээ, та гайхахгүй! :)). Cisco-ийн боловсруулсан концепцийг Cisco Clean Pipes гэж нэрлэдэг. Бараг 10 жилийн өмнө нарийвчлан боловсруулсан энэхүү үзэл баримтлал нь замын хөдөлгөөний гажигаас хамгаалах үндсэн зарчим, технологийг нарийвчлан тодорхойлсон бөгөөд тэдгээрийн ихэнх нь өнөөг хүртэл, түүний дотор бусад үйлдвэрлэгчид ашиглагдаж байна.

Cisco Clean Pipes концепци нь DDoS халдлагыг илрүүлэх, бууруулах дараах зарчмуудыг агуулна.

Цэгүүд (сүлжээний хэсгүүд) сонгогдсон бөгөөд тэдгээрийн урсгалыг шинжилж, гажиг илрүүлэх болно. Бидний хамгаалж байгаа зүйлээс хамааран ийм цэгүүд нь харилцаа холбооны операторын дээд түвшний операторуудтай холбох холболтууд, доод түвшний операторууд эсвэл захиалагчдын холболтын цэгүүд, өгөгдөл боловсруулах төвүүдийг сүлжээнд холбодог суваг байж болно.

Тусгай детекторууд эдгээр цэгүүдийн хөдөлгөөнд дүн шинжилгээ хийж, замын хөдөлгөөний профайлыг хэвийн төлөвт нь барьж (судалгаа) хийж, DDoS халдлага, гажиг илрэх үед түүнийг илрүүлж, шинж чанарыг нь судалж, динамикаар бүрдүүлдэг. Цаашилбал, мэдээллийг системийн оператор шинжилж, хагас автоматаар эсвэл автомат горимДовтолгоог дарах үйл явц эхэлнэ. "Хохирогч"-д зориулагдсан урсгалыг шүүлтүүрийн төхөөрөмжөөр динамикаар дахин чиглүүлж, илрүүлэгчийн үүсгэсэн шүүлтүүрийг энэ урсгалд хэрэглэж, халдлагын хувь хүний ​​мөн чанарыг тусгадаг газрыг дарах явдал юм. Цэвэрлэсэн траффикийг сүлжээнд нэвтрүүлж, хүлээн авагч руу илгээдэг (тиймээс "Цэвэр хоолой" гэсэн нэр үүссэн - захиалагч халдлага агуулаагүй "цэвэр суваг" хүлээн авдаг).

Тиймээс DDoS халдлагаас хамгаалах бүхэл бүтэн мөчлөг нь дараах үндсэн үе шатуудыг агуулна.

• Боловсрол хяналтын шинж чанаруудзамын хөдөлгөөн (профайл үүсгэх, үндсэн сургалт)
• Довтолгоо ба гажигийг илрүүлэх (Илрүүлэх)
• Цэвэрлэх төхөөрөмжөөр дамжин өнгөрөх урсгалыг дахин чиглүүлэх (Diversion)
• Халдлагыг таслан зогсоохын тулд замын хөдөлгөөний шүүлтүүр (зарцуулах)
• Сүлжээнд урсгалыг буцааж оруулж, хүлээн авагч руу илгээх (Тарилга).

Хэд хэдэн онцлог.
Хоёр төрлийн төхөөрөмжийг илрүүлэгч болгон ашиглаж болно:

• Cisco Systems-ийн үйлдвэрлэсэн илрүүлэгч нь Cisco 6500/7600 явах эд ангид суурилуулах зориулалттай Cisco Traffic Anomaly Detector Services модулиуд юм.
• Arbor Networks-ийн үйлдвэрлэсэн илрүүлэгч нь Arbor Peakflow SP CP төхөөрөмж юм.

Cisco болон Arbor детекторуудыг харьцуулсан хүснэгтийг доор харуулав.

Параметр	Cisco замын хөдөлгөөний гажиг илрүүлэгч	Arbor Peakflow SP CP
Шинжилгээнд зориулж замын хөдөлгөөний мэдээллийг авах	Cisco 6500/7600 явах эд ангид хуваарилагдсан хөдөлгөөний хуулбарыг ашигладаг.	Чиглүүлэгчээс хүлээн авсан сүлжээний урсгалын өгөгдлийг ашигладаг; түүврийг тохируулах боломжтой (1: 1, 1: 1,000, 1: 10,000 гэх мэт).
Ашигласан таних зарчим	Гарын үсэгний шинжилгээ (буруу ашиглалт илрүүлэх) ба гажиг илрүүлэх (динамикпрофайл хийх)	Юуны өмнө гажиг илрүүлэх; гарын үсгийн шинжилгээг ашигладаг боловч гарын үсэг нь ерөнхий шинж чанартай байдаг
Хэлбэрийн хүчин зүйл	Cisco 6500/7600 явах эд анги дахь үйлчилгээний модулиуд	тусдаа төхөөрөмж (сервер)
Гүйцэтгэл	2 Гбит/с хүртэлх урсгалыг шинжилдэг	Бараг хязгааргүй (түүврийн давтамжийг багасгаж болно)
Өргөтгөх чадвар	4 хүртэлх модулийг суурилуулахCiscoИлрүүлэгчС.М.нэг явах эд ангид (гэхдээ модулиуд нь бие биенээсээ хамааралгүй ажилладаг)	Дотор нь олон төхөөрөмж ашиглах чадвар нэгдсэн системдүн шинжилгээ хийх бөгөөд тэдгээрийн аль нэг нь Удирдагч статусыг өгдөг
Сүлжээний урсгал болон чиглүүлэлтийн хяналт	Бараг ямар ч функц байхгүй	Функциональ байдал нь маш их хөгжсөн. Олон харилцаа холбооны операторууд Arbor Peakflow SP-ийг сүлжээн дэх траффик, чиглүүлэлт хянах гүн, боловсронгуй функцтэй учраас худалдаж авдаг.
Порталаар хангах (захиалагчийн зөвхөн түүнтэй шууд холбоотой сүлжээний хэсгийг хянах боломжийг олгодог бие даасан интерфейс)	Үзүүлэх боломжгүй	Өгөгдсөн. Энэ бол ноцтой давуу тал юм энэ шийдвэр, учир нь харилцаа холбооны оператор DDoS хамгаалалтын үйлчилгээг захиалагчдад зарж болно.
Тохирох замын хөдөлгөөнийг цэвэрлэх төхөөрөмж (халдлагыг таслан зогсоох)	CiscoХамгаалалтын үйлчилгээний модуль	Arbor Peakflow SP TMS; Cisco Guard үйлчилгээний модуль.
	Интернетэд холбогдсон үед дата төвүүдийг хамгаалах Харилцаа холбооны операторын сүлжээнд захиалагчийн сүлжээнүүдийн доод урсгалын холболтыг хянах	Довтолгоог илрүүлэхдээшээ- харилцаа холбооны операторын сүлжээг дээд түвшний үйлчилгээ үзүүлэгчдийн сүлжээнд холбох Харилцаа холбооны операторын үндсэн хяналт

Хүснэгтийн сүүлийн мөрөнд Cisco Systems-ээс санал болгосон Cisco болон Arbor-ийн илрүүлэгчийг ашиглах хувилбаруудыг харуулав. Эдгээр хувилбаруудыг доорх диаграммд дүрсэлсэн болно.

Замын хөдөлгөөнийг цэвэрлэх төхөөрөмжийн хувьд Cisco нь Cisco 6500/7600 явах эд ангид суурилуулсан Cisco Guard үйлчилгээний модулийг ашиглахыг зөвлөж байна. Cisco Detector эсвэл Arbor Peakflow SP CP-ээс авсан тушаалын дагуу урсгалыг динамикаар дахин чиглүүлж, цэвэрлэж, дахин оруулах боломжтой. сүлжээ. Дахин чиглүүлэх механизмууд нь дээд талын чиглүүлэгчид BGP-ийн шинэчлэлтүүд эсвэл өмчийн протокол ашиглан хянагч руу шууд удирдах командууд юм. BGP шинэчлэлтүүдийг ашиглах үед дээд талын чиглүүлэгчид халдлага агуулсан траффикийн шинэ nex-hop утгыг өгдөг бөгөөд ингэснээр энэ траффик нь цэвэрлэх сервер рүү очдог. Үүний зэрэгцээ, энэ мэдээлэл нь гогцоо зохион байгуулахад хүргэхгүйн тулд болгоомжтой байх хэрэгтэй (доод урсгалын чиглүүлэгч нь цэвэрлэсэн траффик руу орохдоо энэ траффикийг клирингийн төхөөрөмж рүү буцааж оруулахыг оролдохгүй байх болно) . Үүнийг хийхийн тулд олон нийтийн параметрийг ашиглан BGP шинэчлэлтийн хуваарилалтыг хянах механизмыг ашиглаж болно, эсвэл цэвэрлэсэн урсгал руу орох үед GRE хонгил ашиглах боломжтой.

Arbor Networks нь Peakflow SP бүтээгдэхүүний шугамыг ихээхэн өргөжүүлж, DDoS халдлагаас хамгаалах бүрэн бие даасан шийдлээр зах зээлд нэвтэрч эхлэх хүртэл ийм байдал байсан.

Arbor Peakflow SP TMS-ийг танилцууллаа

Хэдэн жилийн өмнө Arbor Networks нь Cisco-д энэ чиглэлийн хөгжлийн хурд, бодлогоос үл хамааран DDoS халдлагаас хамгаалах бүтээгдэхүүнээ бие даан хөгжүүлэхээр шийдсэн. Peakflow SP CP шийдлүүд нь түүвэрлэлтийн давтамжийг зохицуулах чадвартай урсгалын мэдээлэлд дүн шинжилгээ хийдэг, тиймээс харилцаа холбооны операторын сүлжээ болон гол сувагт ашиглахад ямар ч хязгаарлалт байгаагүй (хуулбарыг шинжилдэг Cisco Detector-ээс ялгаатай нь) Cisco Detector-ээс үндсэн давуу талтай байсан. замын хөдөлгөөн). Нэмж дурдахад Peakflow SP-ийн гол давуу тал нь операторууд өөрсдийн сүлжээний сегментүүдийг хянах, хамгаалах зорилгоор захиалагчдад бие даасан үйлчилгээг борлуулах боломжтой байсан юм.

Эдгээр болон бусад асуудлуудыг харгалзан Arbor компани Peakflow SP бүтээгдэхүүнийхээ хүрээг нэлээд өргөжүүлсэн. Хэд хэдэн шинэ төхөөрөмж гарч ирэв:

Peakflow SP TMS (аюулын удирдлагын систем)- Интернэт дэх DDoS халдлагыг хянаж, дүн шинжилгээ хийдэг Arbor Networks компанийн эзэмшдэг Peakflow SP CP болон ASERT лабораториас авсан мэдээлэлд үндэслэн олон үе шаттай шүүлтүүрээр DDoS халдлагыг дарах;

Peakflow SP BI (Бизнесийн оюун ухаан)- системийн масштабыг хангах, хянах логик объектын тоог нэмэгдүүлэх, цуглуулсан, дүн шинжилгээ хийсэн мэдээллийн нөөцийг хангах төхөөрөмж;

Peakflow SP PI (Портал интерфэйс)- өөрсдийн аюулгүй байдлыг удирдах хувийн интерфейсээр хангагдсан захиалагчдын тоог нэмэгдүүлэх төхөөрөмж;

Peakflow SP FS (Flow Censor)- захиалагчийн чиглүүлэгчид хяналт тавих, доод урсгалын сүлжээ, дата төвүүдийн холболтыг хангах төхөөрөмж.

Arbor Peakflow SP системийн үйл ажиллагааны зарчим нь Cisco Clean Pipes-тэй үндсэндээ ижил хэвээр байгаа ч Arbor системээ тогтмол хөгжүүлж, сайжруулж байдаг тул Энэ мөч Arbor бүтээгдэхүүний функциональ байдал нь гүйцэтгэлийг оролцуулаад Cisco-оос олон талаараа илүү сайн байдаг.

Өнөөдөр Cisco Guard-ийн хамгийн дээд гүйцэтгэлийг нэг Cisco 6500/7600 явах эд ангид 4 Guard модулийн кластер үүсгэснээр хүрч болох боловч эдгээр төхөөрөмжүүдийн бүрэн кластерийг хэрэгжүүлээгүй байна. Үүний зэрэгцээ, Arbor Peakflow SP TMS-ийн шилдэг загварууд нь 10 Gbps хүртэл гүйцэтгэлтэй бөгөөд эргээд кластер хийх боломжтой.

Арбор өөрийгөө DDoS халдлагыг илрүүлэх, таслан зогсоох зах зээлд бие даасан тоглогч болж эхэлсний дараа Cisco сүлжээний урсгалын мэдээллийн нэн шаардлагатай хяналтыг хангах түнш хайж эхэлсэн боловч шууд дамжуулагч биш юм. өрсөлдөгч. Ийм компани нь урсгалын өгөгдөл (NarusInsight) дээр үндэслэн замын хөдөлгөөний хяналтын систем үйлдвэрлэдэг Narus байсан бөгөөд Cisco Systems-тэй хамтын ажиллагаатай болсон. Гэсэн хэдий ч энэхүү түншлэл нь зах зээл дээр ноцтой хөгжил, оролцоог олж чадаагүй юм. Түүгээр ч барахгүй зарим мэдээллээр Cisco нь Cisco Detector болон Cisco Guard шийдлүүдэд хөрөнгө оруулалт хийхээр төлөвлөөгүй байгаа бөгөөд үнэндээ энэ салбарыг Arbor Networks-д үлдээж байна.

Cisco болон Arbor шийдлүүдийн зарим онцлог

Cisco болон Arbor шийдлүүдийн зарим онцлог шинжийг тэмдэглэх нь зүйтэй.

1. Cisco Guard-ийг илрүүлэгчтэй хослуулан эсвэл бие даан ашиглаж болно. Сүүлчийн тохиолдолд энэ нь шугаман горимд суурилагдсан бөгөөд замын хөдөлгөөнд дүн шинжилгээ хийх детекторын үүргийг гүйцэтгэдэг бөгөөд шаардлагатай бол шүүлтүүрийг асааж, замын хөдөлгөөнийг арилгадаг. Энэ горимын сул тал нь нэгдүгээрт, болзошгүй эвдрэлийн нэмэлт цэг нэмэгдэж, хоёрдугаарт, замын хөдөлгөөний нэмэлт саатал (хэдийгээр шүүлтүүрийн механизм асаах хүртэл бага байдаг). Cisco Guard-д санал болгож буй горим нь халдлага агуулсан траффикийг дахин чиглүүлэх командыг хүлээх, шүүж, сүлжээнд буцааж оруулах явдал юм.
2. Arbor Peakflow SP TMS төхөөрөмжүүд нь налуу болон шугаман горимд ажиллах боломжтой. Эхний тохиолдолд төхөөрөмж халдлага агуулсан траффикийг устгаж, сүлжээнд буцааж оруулах командыг идэвхгүй хүлээж байна. Хоёрдугаарт, энэ нь бүх траффикийг өөрөө дамжуулж, түүн дээр үндэслэн Arborflow форматаар өгөгдөл үүсгэж, халдлагыг илрүүлэх, илрүүлэх зорилгоор Peakflow SP CP руу шилжүүлдэг. Arborflow нь Netflow-тай төстэй формат боловч Peakflow SP системд зориулж Arbor өөрчилсөн. Замын хөдөлгөөний хяналт, халдлагыг илрүүлэх ажлыг TMS-ээс хүлээн авсан Arborflow мэдээлэлд үндэслэн Peakflow SP CP гүйцэтгэдэг. Халдлага илэрсэн үед Peakflow SP CP оператор түүнийг дарах команд өгдөг бөгөөд үүний дараа TMS шүүлтүүрийг асааж, халдлагаас урсгалыг арилгадаг. Cisco-оос ялгаатай нь Peakflow SP TMS сервер нь бие даан ажиллах боломжгүй бөгөөд түүний ажиллагааг хангахад урсгалыг шинжилдэг Peakflow SP CP сервер шаардлагатай.
3. Өнөөдөр ихэнх мэргэжилтнүүд сүлжээний дотоод хэсгүүдийг хамгаалах (жишээлбэл, дата төвийг холбох эсвэл доод сүлжээг холбох) үр дүнтэй байдаг гэдэгтэй санал нэг байна.

DDOS халдлага. Тайлбар ба жишээ.

Сайн уу. Энэ бол Computer76 блог бөгөөд одоо хакердах урлагийн үндсүүдийн тухай өөр нэг нийтлэл юм. Өнөөдөр бид DDOS халдлага гэж юу болох талаар ярих болно энгийн үгээрболон жишээнүүд. Техникийн нэр томъёог хаяхын өмнө хүн бүр ойлгохуйц танилцуулга байх болно.

Яагаад DDOS халдлагыг ашигладаг вэ?

WiFi хакердалтыг нууц үг олж авахад ашигладаг утасгүй сүлжээ. “ ” хэлбэрийн халдлага нь интернетийн урсгалыг сонсох боломжийг танд олгоно. Эмзэг байдлын шинжилгээ, дараа нь тодорхой нэгийг ачаалах нь зорилтот компьютерийг барьж авах боломжийг олгодог. DDOS халдлага юу хийдэг вэ? Үүний зорилго нь эцсийн эцэст хууль ёсны эзэмшигчээс нөөцийг эзэмших эрхийг сонгох явдал юм. Би таныг сайт эсвэл блог эзэмшихгүй гэсэн үг биш. Энэ нь таны сайт руу амжилттай халдлага хийсэн тохиолдолд та та үүнийг хянах чадвараа алдах болно. By ядаж, хэсэг хугацаа.

Гэсэн хэдий ч DDOS халдлагын орчин үеийн тайлбарт энэ нь ихэвчлэн аливаа үйлчилгээний хэвийн ажиллагааг тасалдуулахад ашиглагддаг. Нэр нь байнга сонсогддог хакерын бүлгүүд зарим асуудалд анхаарал хандуулахын тулд төрийн болон төрийн томоохон вэбсайт руу дайрдаг. Гэхдээ ийм халдлагын ард бараг үргэлж цэвэр худалдааны ашиг сонирхол байдаг: өрсөлдөгчдийн хийсэн ажил эсвэл бүрэн хамгаалалтгүй сайтууд дээрх энгийн тоглоомууд. DDOS-ийн гол үзэл баримтлал нь асар олон тооны хэрэглэгчид, эс тэгвээс бот компьютеруудын хүсэлт нэгэн зэрэг сайт руу нэвтэрч, сервер дээрх ачааллыг тэсвэрлэх чадваргүй болгодог. Бид "сайтыг ашиглах боломжгүй" гэсэн хэллэгийг олонтаа сонсдог боловч цөөхөн хүн энэ үгийн ард юу нуугдаж байгааг боддог. За, одоо та нар мэдэж байна.

DDOS халдлага - сонголтууд

Сонголт 1.

үүдэнд тоглогчид бөөгнөрөв

Та олон тоглогчтой тоглоом тоглож байна гэж төсөөлөөд үз дээ онлайн тоглоом. Олон мянган тоглогчид тантай хамт тоглож байна. Мөн та тэдний ихэнхийг нь мэддэг. Та нарийн ширийн зүйлийг ярилцаж, X цагт дараах үйлдлүүдийг хий. Та бүгд нэгэн зэрэг сайт руу орж, ижил шинж чанартай дүр бүтээдэг. Та нэг газар бүлэглэж, нэгэн зэрэг үүсгэсэн дүрүүдийнхээ тоогоор тоглоомын объект руу нэвтрэх боломжийг хааж, таны тохиролцооны талаар юу ч сэжиглэдэггүй бусад шударга хэрэглэгчдэд ханддаг.

Сонголт 2.

Хэн нэгэн шударга зорчигчдыг нийтийн тээврийн үйлчилгээнд оруулахгүйн тулд тодорхой чиглэлийн автобусны үйлчилгээг тасалдуулахаар шийдсэн гээд бод доо. Таны мянга мянган найзууд нэгэн зэрэг заасан маршрутын эхэн дэх зогсоол дээр очиж, мөнгө дуустал бүх машинд эцсээс төгсгөл хүртэл зорилгогүйгээр унадаг. Аяллын төлбөр төлдөг ч эцсийн буудлаас өөр хэн ч буудаггүй. Завсрын зогсоол дээр зогсож буй бусад зорчигчид хөл хөдөлгөөн ихтэй автобус руу шахагдаж чадахгүй хөөрч буй микроавтобусуудыг харамсаж байна. Такси эзэмшигчид ч, боломжит зорчигчид ч бүгд асуудалтай байна.

Бодит байдал дээр эдгээр сонголтуудыг биет байдлаар хэрэгжүүлэх боломжгүй юм. Гэсэн хэдий ч виртуал ертөнцөд таны найзууд компьютер эсвэл зөөврийн компьютерээ ямар нэгэн байдлаар хамгаалахын тулд санаа зовдоггүй шударга бус хэрэглэгчдийн компьютерээр солигдож болно. Тэгээд дийлэнх нь ийм л байдаг. DDOS халдлага хийх олон програмууд байдаг. Ийм үйлдэл нь хууль бус гэдгийг хэлэх нь илүүц биз. Хэчнээн амжилттай хийгдсэн ч гэсэн утгагүй бэлтгэсэн DDOS халдлагыг илрүүлж, шийтгэдэг.

DDOS халдлага хэрхэн хийгддэг вэ?

Вэб сайтын холбоос дээр дарснаар таны хөтөч таны хайж буй хуудсыг харуулах хүсэлтийг сервер рүү илгээдэг. Энэ хүсэлт нь өгөгдлийн багц хэлбэрээр илэрхийлэгддэг. Зөвхөн нэг ч биш, харин бүхэл бүтэн багц багц! Ямар ч тохиолдолд суваг бүрт дамжуулж буй өгөгдлийн хэмжээ үргэлж тодорхой өргөнөөр хязгаарлагддаг. Мөн серверийн буцаасан өгөгдлийн хэмжээ нь таны хүсэлтэд агуулагдах хэмжээнээс харьцангуй их байна. Энэ нь серверээс эрчим хүч, нөөцийг авдаг. Сервер хэдий чинээ хүчирхэг байна төдий чинээ эзэндээ илүү үнэтэй, үзүүлж буй үйлчилгээ нь илүү үнэтэй байдаг. Орчин үеийн серверүүдогцом нэмэгдэж буй зочдын урсгалыг амархан даван туулах. Гэхдээ аль ч серверийн хувьд сайтын агуулгатай танилцахыг хүсдэг маш олон тооны хэрэглэгчид байсаар байна. Вэбсайт байршуулах үйлчилгээ үзүүлдэг серверийн нөхцөл байдал илүү тодорхой болно. Энэ нь тохиолдсон даруйд хохирогчийн сайтыг үйлчилгээнээс салгаж, ижил хостинг дээр байрладаг олон мянган бусад сайтуудад үйлчилдэг процессоруудыг хэт ачаалахгүй байх болно. DDOS халдлага өөрөө зогсох хүртэл сайтын үйл ажиллагаа зогсдог. Та вэбсайтын аль нэг хуудсыг секундэд мянган удаа (DOS) дахин ачаалж эхэлнэ гэж төсөөлөөд үз дээ. Мөн таны олон мянган найзууд компьютер дээрээ (тарсан DOS эсвэл DDOS) ижил зүйлийг хийж байна... Томоохон серверүүд DDOS халдлага эхэлснийг хүлээн зөвшөөрч, эсэргүүцэж сурсан. Гэсэн хэдий ч хакерууд арга барилаа сайжруулж байна. Тиймээс, энэ нийтлэлийн хүрээнд би DDOS халдлага гэж юу болохыг илүү дэлгэрэнгүй тайлбарлаж чадахгүй байна.

Та DDOS халдлага гэж юу болохыг олж мэдээд яг одоо туршиж үзээрэй.

АНХААР.Хэрэв та оролдохоор шийдсэн бол бүх хадгалагдаагүй өгөгдөл устах бөгөөд компьютерийг хэвийн байдалд оруулах товчлуур хэрэгтэй болно RESET. Гэхдээ та халдлагад өртсөн сервер яг юу "мэдэрч байгааг" олж мэдэх боломжтой болно. Нарийвчилсан жишээ бол доорх догол мөр, одоо бол системийг дахин ачаалах энгийн командууд юм.

• Линуксийн хувьд терминал дээр дараах тушаалыг бичнэ үү.

:(){ :|:& };:

Систем ажиллахаас татгалзах болно.

• Windows-ийн хувьд Notepad дээр дараах код бүхий bat файл үүсгэхийг санал болгож байна.

:1 1-ээс эхлэх

DDOS.bat төрлийг нэрлэнэ үү

Энэ хоёр тушаалын утгыг тайлбарлах нь утгагүй гэж би бодож байна. Бүх зүйл энгийн нүдээр харагддаг. Хоёр тушаал хоёулаа системийг скриптийг ажиллуулахыг албадаж, нэн даруй давтаж, скриптийн эхэнд илгээдэг. Гүйцэтгэлийн хурдыг харгалзан үзвэл систем хэдхэн секундын дараа гацах болно. Тоглоом, тэдний хэлснээр, дууссан.

Програм ашиглан DDOS халдлага.

Илүү харагдах жишээний хувьд Low Orbit Ion Cannon програмыг ашиглана уу. Эсвэл LOIC. Хамгийн их татагдсан түгээлт нь дараах хаягаар байрладаг (бид Windows дээр ажилладаг):

https://sourceforge.net/projects/loic/

АНХААР! Таны антивирус файлд хортой гэж хариулах ёстой. Энэ бол хэвийн зүйл: та юу татаж байгаагаа аль хэдийн мэдэж байгаа. Гарын үсгийн мэдээллийн санд энэ нь үерийн генератор гэж тэмдэглэгдсэн байдаг - Орос хэл рүү орчуулсан нь энэ нь тодорхой сүлжээний хаяг руу төгсгөлгүй дуудлага хийх эцсийн зорилго юм. Би хувьдаа ямар ч вирус, троян анзаараагүй. Гэхдээ та эргэлзэж, татаж авах хугацааг хойшлуулах эрхтэй.

Учир нь хайхрамжгүй хэрэглэгчид эх сурвалжийг тухай мессежээр бөмбөгддөг хортой файл, Source Forge таныг файлын шууд холбоос бүхий дараах хуудас руу аваачна:

Эцэст нь би уг хэрэгслийг зөвхөн -ээр дамжуулан татаж авах боломжтой болсон.

Програмын цонх дараах байдлаар харагдаж байна.

1-р цэг Зорилтотыг сонгосноор халдагчид тодорхой зорилтот (IP хаяг эсвэл сайтын URL-г оруулна уу), 3-р цэг дээр анхаарлаа төвлөрүүлэх боломжийг олгоно. Довтолгооны сонголтуудхалдлагад өртсөн порт, протоколыг сонгох боломжийг танд олгоно. Арга) гурван TCP, UDP болон HTTP. TCP/UDP мессежийн талбарт та халдлагад өртсөн хүний ​​мессежийг оруулж болно. Үүнийг хийсний дараа товчлуур дээр дарснаар халдлага эхэлнэ IMMA CHARGIN MAH LAZER(энэ бол нэгэн цагт алдартай байсан бүдүүлэг байдлын ирмэг дээр байгаа хэллэг юм комик–меме; Дашрамд хэлэхэд нэвтрүүлэгт америкчуудын хараалын үг их байдаг). Бүгд.

БИ АНХААРУУЛЖ БАЙНА

Энэ нь зөвхөн localhost-т зориулсан туршилтын сонголт юм. Тийм учраас:

• Энэ нь бусад хүмүүсийн сайтын эсрэг хууль зөрчиж байгаа бөгөөд барууны хүмүүс үүнийхээ төлөө аль хэдийн шоронд хоригдсон байдаг (энэ нь тэд удахгүй энд шоронд хоригдох болно гэсэн үг юм)
• Үер ирж байгаа хаягийг хурдан тогтоож, үйлчилгээ үзүүлэгчид гомдол гаргах бөгөөд тэр танд анхааруулга өгч, эхний зүйлийг сануулах болно.
• бага зурвасын өргөнтэй сүлжээнд (өөрөөр хэлбэл гэрийн бүх сүлжээнд) gizmo ажиллахгүй. TOR сүлжээнд ч мөн адил.
• Хэрэв та үүнийг зөв тохируулбал хэн нэгэнд хор хөнөөл учруулахаас илүүтэйгээр ТАНЫ холбооны сувгийг хаах болно. Тэгэхээр энэ бол цоолтуурын уут боксчинд цохих үед яг ийм сонголт юм, харин эсрэгээрээ биш. Мөн прокси бүхий сонголт нь ижил зарчмыг баримтлах болно: хэн ч таны зүгээс үерлэх дургүй.

Уншсан: 9,326

Өнөөдрийн мэдээний гарчиг нь DDoS (Үйлчилгээний тархалтаас татгалзах) халдлагын мэдээллүүдээр дүүрэн байна. Интернэт дэх аливаа байгууллага үйлчилгээ үзүүлэхээс татгалзах халдлагад өртөмтгий байдаг. Таныг дайрах уу, үгүй ​​юу гэдэг биш, хэзээ болох вэ гэдэг асуудал. Төрийн байгууллагууд, хэвлэл мэдээллийн хэрэгсэл, цахим худалдааны сайтууд, корпорацийн сайтууд, арилжааны болон ашгийн бус байгууллагууд бүгд DDoS халдлагад өртөж болзошгүй.

Хэн халдлагад өртөж байна вэ?

Төв банкны мэдээлснээр 2016 онд Оросын санхүүгийн байгууллагуудад DDoS халдлагын тоо бараг хоёр дахин өссөн байна. Арваннэгдүгээр сард DDoS халдлага Оросын таван том банк руу чиглэв. Өнгөрсөн оны сүүлчээр Төв банк санхүүгийн байгууллагууд, тэр дундаа Төв банк руу DDoS халдлага үйлдсэн гэж мэдээлсэн. “Халдлага нь үйлчилгээг тасалдуулж, улмаар эдгээр байгууллагад итгэх итгэлийг алдагдуулах явдал байв. Эдгээр халдлагууд нь Оросын хамгийн анхны интернетийн өргөн цар хүрээтэй хэрэглэгдэхүүн байсан тул анхаарал татсан. Халдлагад голчлон интернетийн видео камер, гэр ахуйн чиглүүлэгчид оролцсон” гэж томоохон банкуудын хамгаалалтын алба тэмдэглэв.

Үүний зэрэгцээ, DDoS халдлага нь банкуудад ихээхэн хохирол учруулаагүй - тэдгээр нь сайн хамгаалагдсан тул ийм халдлага нь асуудал үүсгэсэн ч ноцтой биш бөгөөд нэг үйлчилгээг тасалдуулж чадаагүй юм. Гэсэн хэдий ч хакеруудын банкны эсрэг үйл ажиллагаа ихээхэн нэмэгдсэн гэж хэлж болно.

2017 оны 2-р сард ОХУ-ын Эрүүл мэндийн яамны техникийн үйлчилгээ хамгийн том нь тусгагдсан өнгөрсөн жил DDoS халдлага нь дээд цэгтээ хүрч минутанд 4 сая хүсэлт ирдэг. Мөн засгийн газрын бүртгэлд DDoS халдлага үйлдэгдэж байсан ч амжилтгүй болж, мэдээлэлд өөрчлөлт оруулаагүй.

Гэсэн хэдий ч ийм хүчирхэг "хамгаалалтгүй" олон байгууллага, компаниуд DDoS халдлагын хохирогч болдог. 2017 онд кибер аюул заналхийлэл болох ransomware, DDoS болон эд зүйлсийн интернет төхөөрөмжүүдийн халдлагаас үүдэлтэй хохирол нэмэгдэх төлөвтэй байна.

IoT төхөөрөмжүүд нь DDoS халдлага хийх хэрэгсэл болгон улам бүр түгээмэл болж байна. Нэг чухал үйл явдал бол 2016 оны 9-р сард Mirai хортой кодыг ашиглан DDoS халдлага болсон юм. Үүнд хэдэн зуун мянган камер болон видео тандалтын системүүдийн бусад төхөөрөмжүүд халдлагын хэрэгсэл болж ажилласан.

Үүнийг Францын хостинг үйлчилгээ үзүүлэгч OVH-ийн эсрэг хийсэн. Энэ нь хүчтэй DDoS халдлага байсан - бараг 1 Tbit/s. Хакерууд ботнет ашиглан 150 мянган IoT төхөөрөмж, ихэвчлэн CCTV камерыг ашигласан. Mirai ботнет халдлага нь олон IoT төхөөрөмжийн ботнетийг бий болгосон. Шинжээчдийн үзэж байгаагаар 2017 онд IoT ботнет нь кибер орон зайн гол аюулын нэг хэвээр байх болно.

2016 оны Verizon мэдээллийн зөрчлийн тухай тайланд (DBIR) мэдээлснээр өнгөрсөн онд DDoS халдлагын тоо мэдэгдэхүйц өссөн байна. Дэлхийд энтертайнмент, мэргэжлийн байгууллагууд, боловсрол, IT, жижиглэн худалдаа хамгийн их хохирч байна.

DDoS халдлагын гол хандлага бол "хохирогчдын жагсаалт"-ыг өргөжүүлэх явдал юм. Одоо бараг бүх салбарын төлөөлөл багтаж байна. Үүнээс гадна довтолгооны аргуудыг сайжруулж байна.
Nexusguard-ын мэдээлснээр, 2016 оны сүүлээр хэд хэдэн эмзэг байдлыг нэгэн зэрэг ашигласан холимог төрлийн DDoS халдлагын тоо мэдэгдэхүйц нэмэгдсэн байна. Ихэнхдээ санхүүгийн болон төрийн байгууллагууд тэдэнд өртдөг байв. Кибер гэмт хэрэгтнүүдийн гол сэдэл (тохиолдлын 70%) нь мэдээллийг хулгайлах эсвэл золиослох зорилгоор устгах заналхийлэл юм. Ихэнхдээ - улс төрийн эсвэл нийгмийн зорилго. Ийм учраас батлан ​​хамгаалах стратеги чухал юм. Энэ нь халдлагад бэлтгэж, түүний үр дагаврыг багасгаж, санхүүгийн болон нэр хүндийн эрсдлийг бууруулж чадна.

Довтолгооны үр дагавар

DDoS халдлагын үр дагавар юу вэ? Довтолгооны үеэр хохирогч сайтын үйл ажиллагаа удаашралтай эсвэл бүрэн ашиглах боломжгүй зэргээс болж үйлчлүүлэгчдээ алдаж, бизнесийн нэр хүнд унадаг. Үйлчилгээ үзүүлэгч нь бусад үйлчлүүлэгчдэд учруулах хохирлыг багасгахын тулд хохирогчийн IP хаягийг хааж болно. Бүх зүйлийг сэргээхэд цаг хугацаа, магадгүй мөнгө шаардлагатай болно.

HaltDos-ийн судалгаагаар DDoS халдлагыг байгууллагуудын тал хувь нь хамгийн ноцтой кибер аюулын нэг гэж үздэг. DDoS-ийн аюул нь бусад аюулаас гадна зөвшөөрөлгүй нэвтрэх, вирус, залилан, фишинг хийх аюулаас ч илүү юм.

Дэлхий даяар DDoS халдлагын дундаж алдагдал нь жижиг байгууллагуудын хувьд 50,000 доллар, томоохон аж ахуйн нэгжүүдийн хувьд бараг 500,000 доллараар хэмжигддэг. DDoS халдлагын үр дагаврыг арилгахын тулд ажилтнуудын нэмэлт цаг, аюулгүй байдлыг хангахын тулд бусад төслүүдээс нөөцийг өөрчлөх, програм хангамжийг шинэчлэх төлөвлөгөө боловсруулах, тоног төхөөрөмжийг шинэчлэх гэх мэт шаардлагатай болно.

Халдлагад өртсөн байгууллагын нэр хүнд зөвхөн вэбсайтын гүйцэтгэл муу байгаагаас гадна хувийн мэдээлэл эсвэл санхүүгийн мэдээлэл хулгайлагдсанаас болж унана.

HaltDos-ийн судалгаагаар DDoS халдлагын тоо жил бүр 200%-иар нэмэгдэж байгаа бөгөөд энэ төрлийн 2 мянган халдлага дэлхий даяар өдөр бүр бүртгэгддэг. Долоо хоногийн турш үргэлжилсэн DDoS халдлага зохион байгуулахад ердөө 150 доллар зарцуулдаг бөгөөд хохирогчийн хохирол нэг цагт дунджаар 40,000 доллараас давдаг.

DDoS халдлагын төрлүүд

DDoS халдлагын үндсэн төрлүүд нь их хэмжээний халдлага, протоколын түвшний халдлага, хэрэглээний түвшний халдлага юм. Ямар ч тохиолдолд зорилго нь сайтыг идэвхгүй болгох эсвэл өгөгдлийг хулгайлах явдал юм. Цахим гэмт хэргийн өөр нэг төрөл бол золиос авахын тулд DDoS халдлага хийх аюул юм. Armada Collective, Lizard Squad, RedDoor, ezBTC зэрэг хакерын бүлгүүд үүгээрээ алдартай.

DDoS халдлагыг зохион байгуулах нь мэдэгдэхүйц хялбар болсон: одоо кибер гэмт хэрэгтнүүдээс бараг ямар ч тусгай мэдлэг шаарддаггүй автомат хэрэгслүүд өргөн боломжтой болсон. Мөн түүнчлэн төлбөртэй үйлчилгээЗорилтот руу нэрээ нууцлан довтлох DDoS. Жишээлбэл, vDOS үйлчилгээ нь үйлчлүүлэгч нь "ачааллын дор" туршихыг хүссэн сайтын эзэн эсэх, эсвэл халдлага үйлдэх зорилгоор хийгдсэн эсэхийг шалгахгүйгээр үйлчилгээгээ санал болгодог.

DDoS халдлага нь хууль ёсны хэрэглэгчдийг халдлагад өртөхөөс сэргийлдэг олон эх сурвалжийн халдлага юм. Үүнийг хийхийн тулд халдлагад өртсөн систем рүү асар олон тооны хүсэлтийг илгээдэг бөгөөд үүнийг даван туулж чадахгүй. Энэ зорилгоор ихэвчлэн эвдэрсэн системийг ашигладаг.

DDoS халдлагын тоо жилийн өсөлтийг 50% гэж тооцдог (www.leaseweb.com сайтын дагуу), гэхдээ өгөгдөл өөр өөр эх сурвалжялгаатай боловч бүх тохиолдлууд мэдэгддэггүй. Layer 3/4 DDoS халдлагын дундаж хүчин чадал сүүлийн жилүүдэд 20-оос хэдэн зуун ГБ/сек хүртэл өссөн байна. Хэдийгээр их хэмжээний DDoS болон протоколын түвшний халдлага нь өөрөө хангалттай муу боловч кибер гэмт хэрэгтнүүд үүнийг 7-р түвшний DDoS халдлага, өөрөөр хэлбэл өгөгдлийг өөрчлөх, хулгайлах зорилготой програмын түвшинд нэгтгэж байна. Ийм "олон вектор" халдлага нь маш үр дүнтэй байж болно.

Олон вектор халдлага нь нийт DDoS халдлагын 27 орчим хувийг эзэлдэг.

Бөөн DDoS халдлага (эзэлхүүн дээр суурилсан) тохиолдолд олон тооны хүсэлтийг ихэвчлэн хууль ёсны IP хаягуудаас илгээдэг бөгөөд ингэснээр сайтыг замын хөдөлгөөнд "бахагдах" болно. Ийм халдлагын зорилго нь бүх боломжит зурвасын өргөнийг "хаах" бөгөөд хууль ёсны урсгалыг хаах явдал юм.

Протоколын түвшний халдлагын хувьд (UDP эсвэл ICMP гэх мэт) зорилго нь системийн нөөцийг шавхах явдал юм. Үүнийг хийхийн тулд нээлттэй хүсэлтүүд, тухайлбал, хуурамч IP бүхий TCP/IP хүсэлтүүд илгээгддэг бөгөөд сүлжээний нөөц шавхагдсаны үр дүнд хууль ёсны хүсэлтийг боловсруулах боломжгүй болдог. Ердийн төлөөлөгчид бол Smurf DDos, Ping of Death, SYN flood гэж нарийн хүрээлэлд танигдсан DDoS халдлага юм. Протоколын түвшний DDoS халдлагын өөр нэг төрөл нь систем зохицуулах боломжгүй олон тооны хуваагдсан пакетуудыг илгээх явдал юм.

7-р түвшний DDoS халдлага нь хэрэглэгчийн ердийн үйлдлийн үр дүнд гэмгүй мэт санагдах хүсэлтүүдийг илгээдэг. Ихэвчлэн тэдгээрийг ботнет болон автоматжуулсан хэрэгслүүд ашиглан гүйцэтгэдэг. Сайн мэддэг жишээ бол Slowloris, Apache Killer, Cross-site scripting, SQL injection, Remote file injection юм.

2012–2014 онуудад DDoS их хэмжээний халдлагын дийлэнх нь харьяалалгүй халдлага байсан (төлөв байдлыг санахгүй эсвэл сессийг хянахгүйгээр) - тэд UDP протоколыг ашигласан. Иргэний харьяалалгүй тохиолдолд нэг сесс дотор олон пакет эргэлддэг (жишээлбэл, хуудас нээх). Дүрмээр бол харьяалалгүй төхөөрөмжүүд нь сессийг хэн эхлүүлсэнийг мэдэхгүй (хуудсыг хүссэн).

UDP протокол нь хууран мэхлэлтэнд өртөмтгий байдаг - address replacement. Жишээлбэл, хэрэв та DNS олшруулах халдлагыг ашиглан 56.26.56.26 дээрх DNS сервер рүү дайрахыг хүсвэл 56.26.56.26 эх хаягтай багц багц үүсгэж, тэдгээрийг дэлхий даяарх DNS серверүүд рүү илгээх боломжтой. Эдгээр серверүүд 56.26.56.26 руу хариу илгээх болно.

Үүнтэй ижил арга нь NTP серверүүд, SSDP идэвхжүүлсэн төхөөрөмжүүдэд ажилладаг. NTP протокол нь магадгүй хамгийн алдартай арга юм: 2016 оны хоёрдугаар хагаст DDoS халдлагын 97.5% -д ашигласан байна.
Шилдэг практик (BCP) Дүрэм 38-д ISP-үүдийг хуурамчаар үйлдэхээс сэргийлэхийн тулд гарцуудыг тохируулахыг зөвлөж байна - илгээгчийн хаяг, эх сүлжээг хянадаг. Гэхдээ бүх улс орон ийм жишгийг дагаж мөрддөггүй. Түүнчлэн халдагчид TCP түвшинд Stateful халдлагуудыг ашиглан BCP 38 хяналтыг тойрч гардаг. F5 Аюулгүй байдлын ажиллагааны төвийн (SOC) мэдээлснээр сүүлийн таван жилд ийм халдлага давамгайлсан байна. 2016 онд TCP халдлага UDP халдлагаас хоёр дахин их байсан.

7-р түвшний халдлагыг мэргэжлийн хакерууд голчлон ашигладаг. Энэ зарчим нь дараах байдалтай байна: "хүнд" URL-г авна (хамт PDF файлэсвэл том өгөгдлийн сангийн асуулга) секундэд хэдэн арван эсвэл хэдэн зуун удаа давтагдана. 7-р давхаргын халдлага нь ноцтой үр дагавартай тул илрүүлэхэд хэцүү байдаг. Тэд одоо DDoS халдлагын 10 орчим хувийг эзэлж байна.

Харьцаа янз бүрийн төрөл Verizon Data Breach Investigations Report (DBIR) (2016) дагуу DDoS халдлага.

DDoS халдлага нь ихэвчлэн ачаалал ихтэй үе, жишээлбэл, онлайн борлуулалтын өдрүүдтэй давхцдаг. Энэ үед хувийн болон санхүүгийн мэдээллийн томоохон урсгал нь хакеруудын анхаарлыг татдаг.

DNS дээр DDoS халдлага

Домэйн нэрийн систем (DNS) нь вэбсайтын гүйцэтгэл, хүртээмжид үндсэн үүрэг гүйцэтгэдэг. Эцсийн эцэст - таны бизнесийн амжилтанд. Харамсалтай нь DNS дэд бүтэц нь ихэвчлэн DDoS халдлагын бай болдог. Халдагчид таны DNS дэд бүтцийг дарснаар таны вэбсайт болон компанийн нэр хүндэд сөргөөр нөлөөлж, таны санхүүгийн гүйцэтгэлд нөлөөлж болзошгүй. Өнөөгийн аюул заналхийлэлтэй тэмцэхийн тулд DNS дэд бүтэц нь өндөр тэсвэртэй, өргөтгөх боломжтой байх ёстой.

Үндсэндээ DNS бол тархсан суурьөгөгдөл, бусад зүйлсээс гадна уншихад хялбар сайтын нэрийг IP хаягтай таарч өгдөг бөгөөд энэ нь хэрэглэгч URL хаягаа оруулсны дараа хүссэн сайт руугаа орох боломжийг олгодог. Хэрэглэгчийн вэбсайттай хийх анхны харилцаа нь таны вэбсайтын интернетийн домэйн хаягтай DNS сервер рүү илгээсэн DNS асуулгаас эхэлдэг. Тэдгээрийн боловсруулалт нь вэб хуудсыг ачаалах хугацааны 50 хүртэлх хувийг эзэлдэг. Тиймээс DNS-ийн гүйцэтгэл буурах нь хэрэглэгчид сайтаа орхиж, бизнесээ алдахад хүргэдэг. Хэрэв таны DNS сервер DDoS халдлагын улмаас хариу өгөхөө больсон бол хэн ч таны сайт руу нэвтрэх боломжгүй болно.

DDoS халдлагыг илрүүлэхэд хэцүү байдаг, ялангуяа замын хөдөлгөөн хэвийн байгаа үед. DNS дэд бүтцэд хамааралтай байж болно янз бүрийн төрөл DDoS халдлага. Заримдаа энэ нь DNS серверүүд рүү шууд халдлага болдог. Бусад тохиолдолд мэдээллийн технологийн дэд бүтэц эсвэл үйлчилгээний бусад элементүүдэд халдахын тулд DNS системийг ашиглан мөлжлөгийг ашигладаг.

DNS Reflection халдлагад зорилтот DNS-ийн хариу үйлдэл их хэмжээгээр хуурамчаар үйлдэгддэг. Энэ зорилгоор хэдэн зуун, олон мянган компьютерийг халдварладаг ботнет ашигладаг. Ийм сүлжээнд байгаа робот бүр хэд хэдэн DNS хүсэлтийг үүсгэдэг боловч эх сурвалжийн IP (хуурамч)-тай ижил зорилтот IP хаягийг ашигладаг. DNS үйлчилгээ нь энэ IP хаяг руу хариу өгдөг.

Энэ нь давхар нөлөө үзүүлдэг. Зорилтот систем нь олон мянган, сая сая DNS хариултуудаар бөмбөгдөж, DNS сервер ачааллаа дийлэхгүй унтарч болно. DNS хүсэлт өөрөө ихэвчлэн 50 байтаас бага боловч хариу нь арав дахин урт байдаг. Нэмж дурдахад DNS мессеж нь бусад мэдээллийг агуулж болно.

Халдагчид тус бүр нь 50 байт (нийт 5 MB) хэмжээтэй 100,000 богино DNS хүсэлт гаргасан гэж бодъё. Хэрэв хариулт бүр 1 KB агуулж байвал нийт 100 MB байна. Тиймээс нэр нь - Олшруулах. DNS Reflection болон Amplification халдлагуудын хослол нь маш ноцтой үр дагаварт хүргэж болзошгүй юм.

Хүсэлтүүд нь ердийн урсгал шиг харагддаг бөгөөд хариултууд нь зорилтот систем рүү чиглэсэн олон том мессежүүд юм.

DDoS халдлагаас өөрийгөө хэрхэн хамгаалах вэ?

DDoS халдлагаас өөрийгөө хэрхэн хамгаалах вэ, ямар арга хэмжээ авах вэ? Юуны өмнө үүнийг "дараа нь" гэж бүү хойшлуул. Сүлжээг тохируулах, сервер ажиллуулах, програм хангамжийг байрлуулахдаа зарим арга хэмжээг анхаарч үзэх хэрэгтэй. Мөн дараагийн өөрчлөлт бүр DDoS халдлагын эмзэг байдлыг нэмэгдүүлэхгүй байх ёстой.

1. Програм хангамжийн кодын аюулгүй байдал. Програм хангамжийг бичихдээ аюулгүй байдлын асуудлыг анхаарч үзэх хэрэгтэй. "Аюулгүй кодчилол" стандартыг дагаж, сайтар туршиж үзэхийг зөвлөж байна програм хангамжСайт хоорондын скрипт, SQL тарилга зэрэг нийтлэг алдаа, эмзэг байдлаас зайлсхийхийн тулд.
2. Програм хангамжийг шинэчлэх төлөвлөгөө боловсруулах. Хэрэв ямар нэг зүйл буруу болвол буцаах сонголт үргэлж байх ёстой.
3. Програм хангамжаа яаралтай шинэчилнэ үү. Хэрэв та шинэчлэлтүүдийг татаж авах боломжтой байсан ч асуудал гарсан бол 2-р зүйлийг үзнэ үү.
4. Хандалтын хязгаарлалтын талаар бүү мартаарай. админ болон/эсвэл акаунтыг хүчтэй, байнга солигддог нууц үгээр хамгаалах ёстой. Мөн ажлаас халагдсан ажилчдын дансыг цаг тухайд нь устгах, нэвтрэх эрхийн шалгалтыг тогтмол хийх шаардлагатай.
5. Админ интерфэйс нь зөвхөн дотоод сүлжээ эсвэл VPN-ээр нэвтрэх боломжтой байх ёстой. Ажлаас халагдсан, ялангуяа ажлаас халагдсан ажилтнуудын VPN хандалтыг яаралтай хаа.
6. DDoS халдлагыг багасгах аргыг гамшгаас хамгаалах төлөвлөгөөндөө тусга. Төлөвлөгөөнд ийм халдлагын баримтыг илрүүлэх арга зам, интернет эсвэл хостинг үйлчилгээ үзүүлэгчтэй харилцах холбоо барих хаяг, хэлтэс тус бүрийн "асуудлыг нэмэгдүүлэх" модыг багтаасан байх ёстой.
7. Эмзэг байдлыг сканнердах нь таны дэд бүтэц, програм хангамжийн асуудлыг тодорхойлж, эрсдэлийг бууруулахад тусална. Энгийн OWASP шилдэг 10 эмзэг байдлын тест нь хамгийн чухал асуудлуудыг илрүүлэх болно. Нэвтрэх тест нь бас ашигтай байх болно - тэдгээр нь сул талуудыг олоход тусална.
8. DDoS халдлагын эсрэг техник хангамжийн хамгаалалт өндөр үнэтэй байж болно. Хэрэв таны төсөв үүнийг зөвшөөрөхгүй бол тэр нь сайн хувилбар- DDoS хамгаалалт нь "хүсэлтээр". Энэ үйлчилгээг зөвхөн замын хөдөлгөөний чиглүүлэлтийн схемийг өөрчлөх замаар идэвхжүүлж болно онцгой байдал, эсвэл байнга хамгаалагдсан байдаг.
9. CDN түнш ашигла. Агуулга хүргэх сүлжээ нь тараагдсан сүлжээгээр вэбсайтын агуулгыг хүргэх боломжийг танд олгоно. Траффик нь олон серверүүдээр тархдаг бөгөөд энэ нь газарзүйн хувьд алслагдсан хэрэглэгчдийг оролцуулаад хэрэглэгчдэд хандах саатлыг бууруулдаг. CDN-ийн гол давуу тал нь хурд боловч үндсэн сервер болон хэрэглэгчдийн хооронд саад тотгор болдог.
10. Вэб програмын галт ханыг ашигла - вэб програмуудад зориулсан галт хана. Энэ нь сайт эсвэл програм болон хөтөч хоорондын урсгалыг хянаж, хүсэлтийн хууль ёсны байдлыг шалгадаг. Хэрэглээний түвшинд ажиллахдаа WAF нь хадгалагдсан хэв маягт үндэслэн халдлагыг илрүүлж, ер бусын үйлдлийг илрүүлж чаддаг. Хэрэглээний түвшний халдлага цахим худалдаанд түгээмэл байдаг. CDN-ийн нэгэн адил та үүлэн доторх WAF үйлчилгээг ашиглаж болно. Гэсэн хэдий ч дүрмийг тохируулах нь тодорхой туршлага шаарддаг. Хамгийн тохиромжтой нь бүх үндсэн програмууд WAF-ээр хамгаалагдсан байх ёстой.

DNS хамгаалалт

DNS дэд бүтцийг DDoS халдлагаас хэрхэн хамгаалах вэ? Ердийн галт хана болон IPS нь энд тус болохгүй, DNS дээр DDoS-ийн цогц халдлагын эсрэг хүчгүй байдаг. Үнэн хэрэгтээ галт хана болон халдлагаас урьдчилан сэргийлэх системүүд нь DDoS халдлагад өртөмтгий байдаг.

Тэд аврах ажилд ирж чадна үүлэн үйлчилгээЗамын хөдөлгөөний цэвэрлэгээ: тодорхой төв рүү илгээгдэж, шалгаж үзээд очих газар руу нь буцаана. Эдгээр үйлчилгээ нь TCP урсгалд хэрэгтэй. Өөрийн DNS дэд бүтцийг удирдаж байгаа хүмүүс DDoS халдлагын үр нөлөөг бууруулахын тулд дараах алхмуудыг хийж болно.

1. DNS серверт сэжигтэй үйлдлийг хянах нь таны DNS дэд бүтцийг хамгаалах эхний алхам юм. Арилжааны DNS шийдлүүд болон BIND зэрэг нээлттэй эхийн бүтээгдэхүүнүүд нь DDoS халдлагыг илрүүлэхэд ашиглаж болох бодит цагийн статистик мэдээллийг өгдөг. DDoS халдлагыг хянах нь нөөц их шаарддаг ажил байж болно. Хэвийн үйл ажиллагааны нөхцөлд дэд бүтцийн суурь профайлыг бий болгож, улмаар дэд бүтэц хөгжиж, замын хөдөлгөөний хэв маяг өөрчлөгдөхийн хэрээр үе үе шинэчилж байх нь хамгийн сайн арга юм.
2. Нэмэлт DNS серверийн нөөцүүд нь DNS дэд бүтцэд нэмэлт үйлчилгээ үзүүлэх замаар жижиг хэмжээний халдлагатай тэмцэхэд тусална. Сервер болон сүлжээний нөөц нь илүү их хэмжээний хүсэлтийг шийдвэрлэхэд хангалттай байх ёстой. Мэдээжийн хэрэг, цомхотгол нь мөнгө шаарддаг. Та ердийн нөхцөлд ихэвчлэн ашиглагддаггүй сервер болон сүлжээний нөөцийг төлж байна. Эрх мэдлийн "нөөц" ихтэй энэ арга нь үр дүнтэй байх магадлал багатай.
3. DNS Response Rate Limiting (RRL)-ийг идэвхжүүлснээр серверийн давтан хүсэлтэд хариу өгөх хурдыг бууруулснаар DDoS Reflection халдлагад өртөх магадлал буурна. RRL-г олон DNS хэрэгжүүлэлтээр дэмждэг.
4. Өндөр хүртээмжтэй тохиргоог ашиглах. Та DNS үйлчилгээг өндөр хүртээмжтэй (HA) сервер дээр байрлуулснаар DDoS халдлагаас хамгаалах боломжтой. Хэрэв халдлагын улмаас нэг физик сервер унтарвал DNS үйлчилгээг нөөц сервер дээр сэргээж болно.

DNS-ээ DDoS халдлагаас хамгаалах хамгийн сайн арга бол газарзүйн хувьд тархсан Anycast сүлжээг ашиглах явдал юм. Түгээмэл DNS сүлжээг Unicast эсвэл Anycast хаяглах гэсэн хоёр өөр аргыг ашиглан хэрэгжүүлж болно. Эхний арга нь хэрэгжүүлэхэд илүү хялбар боловч хоёр дахь нь DDoS халдлагад илүү тэсвэртэй байдаг.

Unicast-ийн тусламжтайгаар танай компанийн DNS сервер бүр өвөрмөц IP хаягийг хүлээн авдаг. DNS нь таны домэйны DNS серверүүд болон тэдгээрийн холбогдох IP хаягуудын хүснэгтийг хөтөлдөг. Хэрэглэгч URL руу орох үед IP хаягуудын аль нэгийг санамсаргүй байдлаар сонгож хүсэлтийг гүйцэтгэнэ.

Anycast хаяглалтын схемтэй өөр өөр серверүүд DNS нь хуваалцсан IP хаягийг ашигладаг. Хэрэглэгч URL руу ороход DNS серверүүдийн нэгдсэн хаягийг буцаана. IP сүлжээ нь хүсэлтийг хамгийн ойрын сервер рүү чиглүүлдэг.

Anycast нь Unicast-аас аюулгүй байдлын үндсэн давуу талыг өгдөг. Unicast нь бие даасан серверийн IP хаягаар хангадаг тул халдагчид тодорхой физик серверүүд болон эсрэг зорилтот халдлага хийх боломжтой виртуал машинууд, мөн энэ системийн нөөц шавхагдах үед үйлчилгээний доголдол үүсдэг. Anycast нь серверүүдийн бүлэгт хүсэлтийг түгээх замаар DDoS халдлагыг багасгахад тусална. Anycast нь халдлагын үр нөлөөг тусгаарлахад тустай.

Үйлчилгээ үзүүлэгчээс өгсөн DDoS хамгаалалт

Дэлхийн Anycast сүлжээг зохион бүтээх, байршуулах, ажиллуулах нь цаг хугацаа, мөнгө, ноу-хау шаарддаг. Мэдээллийн технологийн ихэнх байгууллагуудад үүнийг хийх авъяас чадвар, санхүү байдаггүй. Та өөрийн DNS дэд бүтцээ DNS чиглэлээр мэргэшсэн удирдлагатай үйлчилгээ үзүүлэгчид итгэж болно. Тэд DNS-ийг DDoS халдлагаас хамгаалахад шаардлагатай мэдлэгтэй.

Удирдлагатай DNS үйлчилгээ үзүүлэгчид том хэмжээний Anycast сүлжээг ажиллуулж, дэлхий даяар байрлах цэгүүдтэй. Сүлжээний аюулгүй байдлын мэргэжилтнүүд сүлжээг 24/7/365 цагийн турш хянаж, DDoS халдлагын үр нөлөөг бууруулах тусгай хэрэгслийг ашигладаг.

Зарим хостинг үйлчилгээ үзүүлэгчид DDoS халдлагын эсрэг хамгаалалтыг санал болгодог: сүлжээний траффик 24/7 дүн шинжилгээ хийдэг тул таны сайт харьцангуй аюулгүй байх болно. Ийм хамгаалалт нь хүчтэй халдлагыг тэсвэрлэх чадвартай - 1500 Гбит/сек хүртэл. Замын хөдөлгөөнийг төлдөг.

Өөр нэг сонголт бол IP хаягийн хамгаалалт юм. Үйлчилгээ үзүүлэгч нь үйлчлүүлэгчийн сонгосон IP хаягийг тусгай сүлжээний анализаторт байрлуулдаг. Довтолгооны үед үйлчлүүлэгч рүү чиглэсэн урсгал нь мэдэгдэж буй халдлагын загвартай таарч байна. Үүний үр дүнд үйлчлүүлэгч зөвхөн цэвэр, шүүсэн урсгалыг хүлээн авдаг. Тиймээс сайтын хэрэглэгчид өөрсдийнх нь эсрэг халдлага эхэлснийг мэдэхгүй байж магадгүй юм. Үүнийг зохион байгуулахын тулд халдлага бүрийн хувьд хамгийн ойрын зангилааг сонгож, хөдөлгөөний дамжуулалтын саатлыг багасгахын тулд шүүлтүүрийн цэгүүдийн тархсан сүлжээг бий болгодог.

DDoS халдлагаас хамгаалах үйлчилгээг ашигласны үр дүн нь DDoS халдлагыг цаг тухайд нь илрүүлэх, урьдчилан сэргийлэх, сайтын тасралтгүй ажиллагаа, хэрэглэгчдэд байнгын хүртээмжтэй байх, сайт эсвэл портал сул зогсолтоос үүсэх санхүүгийн болон нэр хүндийн алдагдлыг багасгах явдал юм.

DDoS халдлага хэрхэн тохиолддог, ямар төрлийн халдлага байдаг вэ? Асуудлыг ойлгох нь түүний шийдлийн тал нь юм. Тиймээс бид DDoS-ийн үндсэн төрлүүд, тэдгээрийг ямар зорилгоор сайтууд дээр явуулдаг болохыг авч үзэх болно.

DDoS (Үйлчилгээний тархалтаас татгалзах халдлага)Энэ нь интернетийн нөөцийн ажиллагааг идэвхгүй болгох, тасалдуулах зорилготой арга хэмжээ юм. Онлайн дэлгүүр, засгийн газрын вэбсайт эсвэл тоглоомын сервер зэрэг аливаа эх сурвалж хохирогч болж болно. Ихэнх тохиолдолд ижил төстэй тохиолдлуудХалдагчид ийм зорилгоор вирусын халдвар авсан компьютеруудын сүлжээг ашигладаг. Ийм сүлжээг ботнет гэж нэрлэдэг. Энэ нь зохицуулах үндсэн серверийг агуулдаг. Халдлагыг эхлүүлэхийн тулд хакер ийм сервер рүү команд илгээдэг бөгөөд энэ нь эргээд bot бүрийг хортой сүлжээний хүсэлт гаргаж эхлэх дохио өгдөг.

DDoS халдлага хийх шалтгаануудмагадгүй маш их. Жишээлбэл:

• зугаацахын тулд. Анхны халдлагыг энэ чиглэлээр бага зэрэг мэддэг хүн бүр зохион байгуулж болно. Үнэн, ийм халдлага нь нэргүй, үр дүнтэй биш бөгөөд үүнийг хийсэн хүмүүс үүнийг мэдэхгүй байж магадгүй юм. Сургуулийн хүүхдүүд ихэвчлэн хөгжилтэй байхын тулд ийм нөхцөл байдалд дадлага хийдэг. Ийм "хөгжил"-ийн зорилго нь интернетийн бараг бүх сайт байж болно.
• хувийн дайсагналаасаа болж . Энэ шалтгааны улмаас таны вэбсайтад DDoS халдлага гарч болзошгүй. Та хэний замыг туулсанаа хэзээ ч мэдэхгүй, өрсөлдөгчид эсвэл таны интернет нөөцөд "дургүй" байгаа бусад хүмүүс үүнийг хийж чадна.
• шантааж эсвэл дээрэмдэх зорилгоор . Луйварчид ихэвчлэн томоохон компаниудыг харлуулдаг. Тэд серверүүд рүү довтлохыг зогсоох эсвэл хийгээгүй тохиолдолд төлбөр шаарддаг.
• шударга бус өрсөлдөөн . Ихэнхдээ ийм халдлага нь сайтын нэр хүндийг сүйтгэх, үйлчлүүлэгчийн урсгалыг алдах зорилгоор хийгддэг.

Анхны DDoS халдлага 1996 онд гарч ирсэн. Энэ үзэгдэл 1999 онд Amazon, Yahoo, CNN, eBay, E-Trade зэрэг дэлхийн аварга том компаниудыг ажлаас халах үед онцгой анхаарал татсан нь үнэн. Тэд 2000 онд л гол компаниудын серверүүд дахин нөлөөлсөн үед л асуудлыг шийдэх яаралтай арга хэмжээ авч эхэлсэн.

DDoS-ийн төрлүүд.

Энгийн урсгал бол HTTP хүсэлт юм. Хүсэлтийн үндэс нь HTTP толгой юм. Хүсэлт гаргагч нь хүссэн шинж чанаруудыг нь өгөхдөө аль болох олон толгойг ашиглаж болно. DDoS халдагчид эдгээр толгойг өөрчлөх боломжтой тул халдлага гэж танихад хэцүү болгодог.

HTTP GET

• HTTP(S) GET хүсэлт- серверээс өгөгдөл хүсэх арга. Энэ хүсэлт нь серверээс зарим файл, зураг, хуудас эсвэл скриптийг вэб хөтөч дээр харуулахыг "хүсэх" боломжтой.
• HTTP(S) Үер авах - DDoS халдлага OSI загварын хэрэглээний давхарга (7). Халдагчид серверт нөөцөө дарахын тулд хүчирхэг хүсэлт илгээдэг. Энэ тохиолдолд сервер жинхэнэ зочдын хүсэлтэд хариу өгөхөө болино.

HTTP POST

• HTTP(S) POST хүсэлт- арга, түүний мөн чанар нь өгөгдлийг сервер дээр дараа нь боловсруулах хүсэлтийн биед байршуулах явдал юм. HTTP POST хүсэлтийн кодчилол дамжуулсан мэдээлэлмөн маягт дээр байрлуулж, дараа нь энэ агуулгыг сервер рүү илгээнэ. Энэ аргыг их хэмжээний өгөгдөл дамжуулах шаардлагатай үед ашигладаг.
• HTTP(S) Үерийн дараах- POST хүсэлтийн тоо нь серверийг хэтрүүлдэг DDoS халдлагын төрөл бөгөөд үүний үр дүнд тэдгээрт хариу өгөх боломжгүй болдог. Энэ нь серверийг яаралтай зогсооход хүргэдэг бөгөөд үр дагаварт хүргэдэг.

Дээрх бүх хүсэлтийг HTTPS-ээр дамжуулдаг бөгөөд энэ тохиолдолд дамжуулагдсан өгөгдлийг шифрлэсэн болно. Ийм хамгаалалт нь хакеруудын ашиг тусын тулд тоглодог. Эцсийн эцэст, ийм хүсэлтийг тодорхойлохын тулд сервер эхлээд үүнийг тайлах ёстой. Ийм халдлагын үед хүсэлтийн урсгалыг тайлах нь маш хэцүү бөгөөд энэ нь серверт нэмэлт ачааллыг бий болгодог.

ICMP үер (эсвэл Smurf халдлага). Нэлээд аюултай халдлага. Хакер нь халдагчийн хаягийг хохирогчийн хаяг болгон өөрчилсөн хуурамч ICMP пакет илгээдэг. Бүх зангилаа энэ ping хүсэлтийн хариуг илгээдэг. Үүний тулд ихэнх тохиолдолд тэд ашигладаг том сүлжээИнгэснээр хохирогч компьютер ямар ч боломж байхгүй.

UDP үер (эсвэл Fraggle халдлага). Түүний төрөл нь ICMP үерийн адил төстэй боловч энэ тохиолдолд UDP пакетуудыг ашигладаг. Дамжуулах зурвасын өргөний ханалтаас болж хохирогчийн серверт үйлчилгээ үзүүлэхээс татгалзах тохиолдол гардаг.

SYN үер. Энэ халдлага нь байхгүй буцах хаягтай SYN пакет илгээх замаар олон тооны TCP холболтуудыг нэгэн зэрэг эхлүүлэхэд суурилдаг.

"Хүнд багц" илгээж байна. Энэ төрлийн халдлагын үед халдагчид зурвасын өргөнийг хангадаггүй, харин процессорын цагийг дэмий үрдэг пакетуудыг сервер рүү илгээдэг. Үүний үр дүнд систем гацаж, хэрэглэгчид нөөцөө авч чадахгүй байна.

Сервер лог файлаар дүүрч байна. Бүртгэлийн файлыг эргүүлэх систем буруу байвал луйварчин удахгүй бүх зүйлийг авах том пакетуудыг илгээж болно. чөлөөт газарсерверийн хатуу диск дээр. Үүний үр дүнд систем эвдэрсэн.

Кодын алдаа. Энэ чиглэлээр ажиллаж байсан туршлагатай зарим халдагчид арилжааны байгууллагын нарийн төвөгтэй системд халдах боломжийг олгодог тусгай мөлжлөгийн хөтөлбөр боловсруулдаг. Үүнийг хийхийн тулд тэд програмын код дахь үйлчилгээг зогсооход хүргэж болзошгүй алдааг хайж олох болно.

Сул тал нь програмын код . Үүнтэй ижил нөхцөл байдал: хакерууд програмын код эсвэл үйлдлийн системд алдаа хайж, нэгэн зэрэг онцгой нөхцөл байдлыг зохицуулахыг албаддаг бөгөөд үүний үр дүнд програмууд бүтэлгүйтдэг.

DDoS-тэй тэмцэх аргуудыг хоёр төрөлд хувааж болно.идэвхтэй ба идэвхгүй. Идэвхгүй аргууд нь халдлагаас урьдчилан сэргийлэх, урьдчилан сэргийлэх урьдчилан бэлтгэсэн аргууд бөгөөд хэрэв одоогоор халдлага үйлдэж байгаа бол идэвхтэй аргуудыг ашигладаг.

Гол идэвхгүй арга нь мэдээжийн хэрэг,урьдчилан сэргийлэх. Олон хүмүүс энэ аргыг чухал биш гэж үздэг ч ихэнх тохиолдолд энэ нь гол арга хэвээр байна.

Урьдчилан сэргийлэх нь хувийн дайсагнал, өрсөлдөөн, шашин шүтлэг болон бусад ялгаа зэрэг хүчин зүйлийг хасахад үндэслэсэн байх ёстой. Хэрэв ийм шалтгааныг цаг тухайд нь арилгаж, зохих дүгнэлтийг гаргавал DDoS таны интернет нөөцөд нөлөөлөхгүй. Гэхдээ энэ арга нь асуудлын техникийн талаас илүүтэй менежменттэй холбоотой юм.

Хэрэглээ тусгай програм хангамж, техник хангамж.

Өнөөдөр олон үйлдвэрлэгчид DDoS халдлагаас хамгаалах тусгай, бэлэн шийдлүүдийг боловсруулсан. Энэ нь янз бүрийн төрлийн байгууллагуудад зориулсан жижиг, том сайтуудыг хамгаалах янз бүрийн төрлийн програм хангамж юм. Энэ нь урьдчилан сэргийлэх арга учраас үүнийг хамгаалах идэвхгүй арга гэж бас үздэг.

Замын хөдөлгөөнийг шүүж, хаах, довтолж буй машинуудаас ирдэг нь халдлагыг багасгах эсвэл бүрэн унтраах боломжтой болгодог. Шүүлтүүрийн хоёр арга байдаг: ACL ашиглан чиглүүлэлт хийх, галт хана ашиглах. ACL ашиглах нь танд нөлөөлөлгүйгээр чухал бус протоколуудыг шүүх боломжийг олгодог TCP протоколуудмөн хэрэглэгчдийн нөөцтэй ажиллах хурдыг удаашруулахгүйгээр. Галт ханыг зөвхөн хувийн сүлжээг хамгаалахад ашигладаг.

Урвуу DDoS– халдагч руу урсгалыг дахин чиглүүлэх. Хэрэв танд хангалттай серверийн хүч байгаа бол та халдлагыг даван туулахаас гадна халдагчийн төхөөрөмжийг идэвхгүй болгож чадна. Энэ үнэн үү, энэ төрөлүйлдлийн систем, системийн үйлчилгээ эсвэл вэб програмын програмын кодонд алдаа гарсан тохиолдолд хамгаалалт.

Эмзэг байдлыг засах- Хамгаалалтын төрөл нь систем эсвэл үйлчилгээний алдааг арилгахад чиглэгддэг. Харамсалтай нь энэ хамгаалалтын арга нь үерийн довтолгооноос хамгаалах боломжгүй юм.

Түгээмэл системийг бий болгох– DDoS халдлагын улмаас зарим зангилаа ажиллах боломжгүй болсон ч хэрэглэгчдэд үйлчлэх боломжийг танд олгоно. Үүний тулд өөр өөр DC-д байрладаг өөр өөр төрлийн сүлжээ эсвэл серверийн төхөөрөмжийг ашигладаг. Нөөцлөх системийг ихэвчлэн суулгадаг. Энэ нь нэр хүндээ үнэлдэг, асар олон хэрэглэгчтэй томоохон төслүүдэд ашигтай.

Хяналт– тусгай хяналт, анхааруулах системийг суурилуулах. Энэ нь тодорхой шалгуурын дагуу DDoS халдлагыг тооцоолох боломжтой болно. Хяналт нь халдлагад өртөж буй системийг шууд хамгаалахгүй боловч цаг тухайд нь хариу үйлдэл үзүүлэх, нөөцийн үйлдлийн системд алдаа гарахаас урьдчилан сэргийлэх боломжийг олгодог. Энэ нь мэдээжийн хэрэг идэвхгүй хамгаалалтын арга юм.

DDoS хамгаалалтын үйлчилгээг худалдан авах– халдлагад өртөж буй сервер рүү чиглэсэн хүсээгүй урсгалыг шүүх олон төрлийн механизмыг ашиглан олон төрлийн DDoS халдлагаас хамгаалах боломжтой. Үнэн, ийм үйлчилгээ хямд биш юм.

Таны онлайн нөөцийг DDoS болгодог луйварчдын заналхийлэлд хэрхэн хариу өгөх вэ? Дэлгэрэнгүй мэдээллийг дараагийн хэсэгт.

Зөвхөн дээр дурдсан цогц арга хэмжээ нь таны сайтыг DDoS-аас хамгаалж, үйлчилгээгээ хамгаалахад тусална.

DDoS халдлагын тухай. Интернет дэх нөөцийг хамгаалах үндсэн дүрмүүд, дэлгэрэнгүй мэдээллийг эндээс авна уу.

9109 удаа Өнөөдөр 11 удаа үзсэн

DDoS халдлага захиалахын тулд нэг их оюун ухаан шаардагддаггүй. Хакеруудад мөнгө төлж, өрсөлдөгчдийнхөө үймээн самууны талаар бод. Эхлээд захирлын сандал дээрээс, дараа нь шоронгийн орноос.

Бид хакерууд руу хандах нь шударга бизнес эрхлэгчийн хийх ёстой хамгийн сүүлчийн зүйл бөгөөд үр дагавар нь юу болохыг тайлбарладаг.

DDoS халдлагыг хэрхэн хийх вэсургуулийн хүүхэд хүртэл мэддэг

Өнөөдөр DDoS халдлага зохион байгуулах хэрэгслийг хүн бүр ашиглах боломжтой. Шинэхэн хакеруудын нэвтрэх саад бага байна. Тиймээс Оросын сайтууд дээр богино боловч хүчтэй халдлагын эзлэх хувьөссөн. Хакерын бүлгүүд зүгээр л ур чадвараа дадлагажиж байгаа бололтой.

Тохиолдолд. 2014 онд Бүгд Найрамдах Татарстан Улсын Боловсролын портал DDoS халдлагад өртсөн. Эхлээд харахад халдлагад ямар ч утгагүй: энэ бол арилжааны байгууллага биш бөгөөд үүнээс асуух зүйл алга. Портал нь дүн, хичээлийн хуваарь гэх мэтийг харуулдаг. Дахиж үгүй. Касперскийн лабораторийн мэргэжилтнүүд Татарстаны оюутнууд болон сургуулийн сурагчдын ярилцсан ВКонтакте группийг олжээ. DDoS халдлага хэрхэн хийх.

Бүгд Найрамдах Татарстан улсын тогтолцооны эсрэг залуу тэмцэгчдийн нийгэмлэг

“Татарстанд DDoS халдлагыг хэрхэн хийх вэ” гэсэн асуултаас авсан асуултууд кибер аюулгүй байдлын мэргэжилтнүүдийг сонирхолтой мэдэгдэлд хүргэв. Жүжигчид хурдан олдсон бөгөөд тэд үүнийг хийх ёстой байвхохирлыг барагдуулах.

Тэд өдрийн тэмдэглэлийн хуудсуудыг урдаг байсан бол одоо вэб сайт руу нэвтэрч байна

DDoS халдлага нь энгийн учраас ёс суртахууны зарчимгүй, чадвараа ойлгодоггүй шинэхэн хүмүүс үүнийг хүлээж авдаг. Тэд мөн хэрэглэгчийн мэдээллийг дахин борлуулах боломжтой. DDoS халдлага үйлдэгчдийг залуужуулах нь дэлхий нийтийн чиг хандлага юм.

2017 оны хавар хорих хугацааБританийн оюутан хүлээн авсан. Тэрээр 16 настай байхдаа бүтээжээ DDoS халдлагын програм Titanium Stresser. Британ хүн түүний борлуулалтаас 400 мянган фунт стерлинг (29 сая рубль) олсон байна. Энэхүү DDoS программыг ашиглан дэлхий даяар 650 мянган хэрэглэгч рүү 2 сая халдлага хийсэн байна.

Өсвөр насны хүүхдүүд Lizard Squad болон PoodleCorp зэрэг томоохон DDoS бүлгүүдийн гишүүд байсан нь тогтоогджээ. Залуу америкчууд өөрсдийн гэсэн санааг гаргаж ирсэн DDoS программууд боловч тэдгээрийг онлайн тоглоомуудад давуу талыг олж авахын тулд тоглоомын сервер рүү довтлоход ашигладаг. Ингээд л тэд олдсон юм.

Компанийн нэр хүндийг өчигдрийн сургуулийн хүүхдүүдэд даатгах уу, хэн ч өөрөө шийднэ.

-д зориулсан шийтгэлDDoS програмуудОрост

DDoS халдлагыг хэрхэн хийх вэөрсөлдөөний дүрмээр тоглохыг хүсдэггүй бизнес эрхлэгчдийг сонирхож байна. Үүнийг ОХУ-ын Дотоод хэргийн яамны "К" газрын ажилтнууд хийдэг. Тэд жүжигчдийг барьж авдаг.

Оросын хууль тогтоомжид кибер гэмт хэрэгт шийтгэл оногдуулдаг. Одоогийн практик дээр үндэслэн DDoS халдлагад оролцогчид дараах зүйлд багтаж болно.

Үйлчлүүлэгчид.Тэдний үйлдэл нь ихэвчлэн доогуур байдаг- хуулиар хамгаалагдсан хууль бус хандалт компьютерийн мэдээлэл.

Шийтгэл:долоон жил хүртэл хорих, эсвэл 500 мянган рубль хүртэл торгууль.

Жишээ. Курган хотын захиргааны техникийн мэдээлэл хамгаалах хэлтсийн ажилтан энэ зүйл ангиар ял сонсчээ. Тэрээр олон үйлдэлт Мета программыг боловсруулсан. Түүний тусламжтайгаар халдлага үйлдэгч тус бүс нутгийн 1.3 сая оршин суугчийн хувийн мэдээллийг цуглуулсан байна. Дараа нь би үүнийг банк, цуглуулгын агентлагуудад зарсан. Хакера хоёр жилийн хорих ял авсан.

Жүжигчид.Дүрмээр бол тэднийг шийтгэдэгОХУ-ын Эрүүгийн хуулийн 273-р зүйл - хортой компьютерийн програмыг бий болгох, ашиглах, түгээх.

Шийтгэл.200 мянган рубль хүртэл торгууль, долоон жил хүртэл хорих ял.

Жишээ.Тольятти хотын 19 настай оюутан 2.5 жилийн хорих ял, 12 сая рублийн торгууль авсан. Ашиглах замаар DDoS халдлагад зориулсан программууд, тэр мэдээллийн нөөц, банкны вэбсайтуудыг устгахыг оролдсон. Халдлагын дараа оюутан мөнгө завшсан байна.

Болгоомжгүй хэрэглэгчид.Мэдээлэл хадгалахдаа аюулгүй байдлын дүрмийг дагаж мөрдөөгүй тохиолдолд шийтгэл ногдуулдагОХУ-ын Эрүүгийн хуулийн 274-р зүйл - компьютерийн мэдээлэл, мэдээлэл, харилцаа холбооны сүлжээг хадгалах, боловсруулах, дамжуулах хэрэгслийг ажиллуулах дүрмийг зөрчсөн.

Шийтгэл:таван жил хүртэл хорих, эсвэл 500 мянган рубль хүртэл торгууль.

Жишээ.Хэрэв мэдээлэл олж авах явцад ямар нэгэн байдлаар мөнгө хулгайлсан бол уг нийтлэлийг компьютерийн мэдээллийн салбарт залилан мэхэлсэн гэж дахин ангилна (). Тиймээс хоёр жил колони-суурин банкны серверт нэвтэрсэн Уралын хакерууд хүлээн авсан.

Хэвлэл мэдээллийн хэрэгсэл рүү дайралт.Хэрэв DDoS халдлага нь сэтгүүлчийн эрхийг зөрчихөд чиглэгдсэн бол үйлдлүүд нь дор хаяж болно - сэтгүүлчийн хууль ёсны мэргэжлийн үйл ажиллагаанд саад учруулах.

Шийтгэл:зургаан жил хүртэл хорих, эсвэл 800 мянган рубль хүртэл торгууль.

Жишээ.Энэ нийтлэлийг ихэвчлэн илүү хэцүү гэж ангилдаг. DDoS халдлагыг хэрхэн хийх вэ"Новая газета", "Эхо Москвы", "Большой город" руу халдсан хүмүүс мэдэж байсан. Бүс нутгийн хэвлэлүүд ч хакеруудын золиос болж байна.

Орос улсад ашигласан тохиолдолд хатуу шийтгэл ногдуулдаг DDoS програмууд . "К" захирлын нэрээ нууцлах нь таныг аврахгүй.

DDoS халдлагад зориулсан програмууд

Мэргэжилтнүүдийн үзэж байгаагаар 2000 бот нь дундаж вэбсайт руу дайрахад хангалттай. DDoS халдлагын үнэ 20 доллараас (1100 рубль) эхэлдэг. Довтолгооны сувгийн тоо, ажиллах хугацааг дангаар нь хэлэлцдэг. Мөн дээрэмдэх тохиолдол ч бий.

Зохистой хакер халдлага хийхээс өмнө пентест хийх болно. Цэргийнхэн энэ аргыг "хүчтэй тагнуул" гэж нэрлэх болно. Пентестийн мөн чанар нь сайтын хамгаалалтын нөөцийг илрүүлэх жижиг, хяналттай халдлага юм.

Сонирхолтой баримт.DDoS халдлагыг хэрхэн хийх вэОлон хүмүүс мэддэг ч хакерын хүчийг ботнет тодорхойлдог. Ихэнхдээ халдагчид бие биенээсээ "арми" руу нэвтрэх түлхүүрийг хулгайлж, дараа нь дахин зардаг. Алдартай заль мэх бол wi-fi-г "унтраах" бөгөөд үүнийг хүчээр дахин ачаалж, үндсэн тохиргоо руу буцах болно. Энэ төлөвт нууц үг нь стандарт юм. Дараа нь халдагчид байгууллагын бүх урсгал руу нэвтрэх боломжтой болно.

Хамгийн сүүлийн үеийн хакеруудын чиг хандлага бол ухаалаг төхөөрөмжүүдийг хакердаж, тэдгээрт криптовалют олборлогчдыг суулгах явдал юм. Эдгээр үйлдэл нь ашиглалтын заалтад нийцэж болно хортой програм(ОХУ-ын Эрүүгийн хуулийн 273 дугаар зүйл). Тиймээс FSB офицеруудбаривчлагдсан системийн админНомлолын хяналтын төв. Ажиллаж буй тоног төхөөрөмж дээрээ уурхайчдыг суулгаж, өөрийгөө баяжуулсан. Халдлага үйлдэгчийг цахилгаан гүйдлийн улмаас илрүүлсэн.

Хакерууд өрсөлдөгч рүүгээ DDoS халдлага хийх болно. Дараа нь тэд үүнд хандах боломжтой тооцоолох хүчбас ганц хоёр биткойн олборлодог. Зөвхөн энэ орлого нь үйлчлүүлэгчид очихгүй.

DDoS халдлага захиалах эрсдэл

Өрсөлдөгчид рүү DDoS халдлага захиалахын давуу болон сул талуудыг дэнслэн дүгнэж үзье.

Хэрэв өрсөлдөгчид бизнесийг бухимдуулсан бол хакерууд тус болохгүй. Тэд зөвхөн нөхцөл байдлыг улам дордуулах болно. "Дижитал акулууд" агентлаг хууль эрх зүйн хэрэгслээр дамжуулан хүсээгүй мэдээлэл.