Introduksjon

La meg gjøre en reservasjon med en gang da jeg skrev denne anmeldelsen, var jeg først og fremst fokusert på et publikum som forstår detaljene i arbeidet til teleoperatører og deres datanettverk. Denne artikkelen skisserer de grunnleggende prinsippene for beskyttelse mot DDoS-angrep, historien om utviklingen deres det siste tiåret og den nåværende situasjonen.

Hva er DDoS?

Sannsynligvis, i dag, om ikke alle "brukere", så vet i det minste hver "IT-spesialist" hva DDoS-angrep er. Men noen få ord må fortsatt sies.

DDoS-angrep (Distributed Denial of Service) er angrep på datasystemer (nettverksressurser eller kommunikasjonskanaler) som har som mål å gjøre dem utilgjengelige for legitime brukere. DDoS-angrep innebærer samtidig å sende et stort antall forespørsler mot en spesifikk ressurs fra en eller flere datamaskiner på Internett. Hvis tusenvis, titusenvis eller millioner av datamaskiner samtidig begynner å sende forespørsler til en spesifikk server (eller nettverkstjeneste), vil enten serveren ikke kunne håndtere det, eller det vil ikke være nok båndbredde for kommunikasjonskanalen til denne serveren . I begge tilfeller vil ikke Internett-brukere kunne få tilgang til den angrepne serveren, eller til og med alle servere og andre ressurser koblet til via en blokkert kommunikasjonskanal.

Noen funksjoner ved DDoS-angrep

Mot hvem og til hvilket formål blir DDoS-angrep lansert?

DDoS-angrep kan startes mot enhver ressurs på Internett. Den største skaden fra DDoS-angrep lider av organisasjoner hvis virksomhet er direkte relatert til deres tilstedeværelse på Internett - banker (som tilbyr nettbanktjenester), nettbutikker, handelsplattformer, auksjoner, så vel som andre typer aktiviteter, hvis aktivitet og effektivitet i vesentlig grad avhenger av deres tilstedeværelse på Internett (reisebyråer, flyselskaper, utstyrs- og programvareprodusenter, etc.) DDoS-angrep blir regelmessig lansert mot ressursene til slike giganter av den globale IT-industrien, som IBM, Cisco Systems, Microsoft og andre. Massive DDoS-angrep ble observert mot eBay.com, Amazon.com og mange kjente banker og organisasjoner.

Svært ofte blir DDoS-angrep lansert mot nettrepresentasjoner av politiske organisasjoner, institusjoner eller individuelle kjente personligheter. Mange vet om de massive og langvarige DDoS-angrepene som ble lansert mot nettsiden til presidenten i Georgia under den georgisk-ossetiske krigen i 2008 (nettstedet var utilgjengelig i flere måneder fra august 2008), mot serverne til den estiske regjeringen (våren 2007, under urolighetene knyttet til overføringen av bronsesoldaten), om periodiske angrep fra den nordkoreanske delen av Internett mot amerikanske nettsteder.

Hovedmålene med DDoS-angrep er enten å hente ut fordeler (direkte eller indirekte) gjennom utpressing og utpressing, eller å forfølge politiske interesser, eskalere situasjonen eller ta hevn.

Hva er mekanismene for å starte DDoS-angrep?

Den mest populære og farligste måten å starte DDoS-angrep på er bruken av botnett (BotNets). Et botnett er et sett med datamaskiner der spesielle programvarebokmerker (bots) er installert; oversatt fra engelsk er et botnett et nettverk av roboter. Bots utvikles vanligvis av hackere individuelt for hvert botnett, og har som hovedmål å sende forespørsler mot en spesifikk ressurs på Internett etter en kommando mottatt fra botnet-kontrollserveren - Botnet Command and Control Server. Botnett-kontrollserveren styres av en hacker, eller en person som har kjøpt botnettet og muligheten til å starte et DDoS-angrep fra hackeren. Bots sprer seg på Internett forskjellige måter, som regel ved å angripe datamaskiner som har sårbare tjenester og installere programvarebokmerker på dem, eller ved å lure brukere og tvinge dem til å installere roboter under dekke av å tilby andre tjenester eller programvare som fungerer helt ufarlig eller til og med nyttig funksjon. Det er mange måter å spre roboter på, og nye metoder oppfinnes jevnlig.

Hvis botnettet er stort nok - titalls eller hundretusenvis av datamaskiner - vil samtidig sending fra alle disse datamaskinene av til og med helt legitime forespørsler mot en bestemt nettverkstjeneste (for eksempel en nettjeneste på et bestemt nettsted) føre til at utmattelse av ressurser enten av selve tjenesten eller serveren, eller til utmattelse av kommunikasjonskanalfunksjoner. Uansett vil tjenesten være utilgjengelig for brukere, og eieren av tjenesten vil lide direkte, indirekte og omdømmeskade. Og hvis hver datamaskin ikke bare sender én forespørsel, men titalls, hundrevis eller tusenvis av forespørsler per sekund, øker virkningen av angrepet mange ganger, noe som gjør det mulig å ødelegge selv de mest produktive ressursene eller kommunikasjonskanalene.

Noen angrep blir satt i gang på mer "ufarlige" måter. For eksempel en flashmob av brukere av visse fora som etter avtale starter inn Viss tid"pinger" eller andre forespørsler fra datamaskinene deres til en bestemt server. Et annet eksempel er å plassere en lenke til et nettsted på populære Internett-ressurser, noe som fører til en tilstrømning av brukere til målserveren. Hvis en "falsk" lenke (utad ser ut som en kobling til en ressurs, men faktisk lenker til en helt annen server) refererer til nettsiden til en liten organisasjon, men er lagt ut på populære servere eller fora, kan et slikt angrep forårsake en tilstrømning av besøkende som er uønsket for dette nettstedet. Angrep av de to siste typene fører sjelden til opphør av servertilgjengelighet på riktig organiserte vertssider, men det har vært slike eksempler, selv i Russland i 2009.

Vil tradisjonelle tekniske midler for beskyttelse mot DDoS-angrep hjelpe?

Det særegne med DDoS-angrep er at de består av mange samtidige forespørsler, som hver for seg er helt "lovlige"; dessuten sendes disse forespørslene av datamaskiner (infisert med bots), som godt kan tilhøre de vanligste ekte eller potensielle brukerne av den angrepne tjenesten eller ressursen. Derfor er det svært vanskelig å korrekt identifisere og filtrere nøyaktig de forespørslene som utgjør et DDoS-angrep ved å bruke standardverktøy. Standard systemer klasse IDS/IPS (Intrusion Detection / Prevention System - system for å oppdage / forhindre nettverksangrep) vil ikke finne "corpus delicti" i disse forespørslene, vil ikke forstå at de er en del av et angrep, med mindre de utfører en kvalitativ analyse av trafikkavvik . Og selv om de finner det, er det heller ikke så enkelt å filtrere ut unødvendige forespørsler - standard brannmurer og rutere filtrerer trafikk basert på klart definerte tilgangslister (kontrollregler), og vet ikke hvordan de "dynamisk" skal tilpasse seg profilen til en spesifikt angrep. Brannmurer kan regulere trafikkflyter basert på kriterier som kildeadresser, nettverkstjenester som brukes, porter og protokoller. Men vanlige Internett-brukere deltar i et DDoS-angrep, og sender forespørsler ved hjelp av de vanligste protokollene - ville ikke en teleoperatør forby alt og alt? Da vil den rett og slett slutte å tilby kommunikasjonstjenester til sine abonnenter, og slutte å gi tilgang til nettverksressursene den betjener, noe som faktisk er det initiativtakeren til angrepet prøver å oppnå.

Mange spesialister er nok klar over at det finnes spesielle løsninger for beskyttelse mot DDoS-angrep, som består i å oppdage uregelmessigheter i trafikken, bygge en trafikkprofil og en angrepsprofil, og den påfølgende prosessen med dynamisk flertrinns trafikkfiltrering. Og jeg vil også snakke om disse løsningene i denne artikkelen, men litt senere. Først vil vi snakke om noen mindre kjente, men noen ganger ganske effektive tiltak som kan tas for å undertrykke DDoS-angrep med eksisterende midler fra datanettverket og dets administratorer.

Beskyttelse mot DDoS-angrep med tilgjengelige midler

Det er ganske mange mekanismer og "triks" som tillater, i noen spesielle tilfeller, å undertrykke DDoS-angrep. Noen kan kun brukes dersom datanettverket er bygget på utstyr fra en bestemt produsent, andre er mer eller mindre universelle.

La oss starte med Cisco Systems anbefalinger. Eksperter fra dette selskapet anbefaler å gi beskyttelse for nettverksgrunnlaget (Network Foundation Protection), som inkluderer beskyttelse av nettverksadministrasjonsnivået (Control Plane), nettverksadministrasjonsnivået (Management Plane) og beskyttelse av nettverksdatanivået (Data Plane).

Beskyttelse av styringsplan

Begrepet "administrasjonslag" dekker all trafikk som administrerer eller overvåker rutere og annet nettverksutstyr. Denne trafikken er rettet mot ruteren, eller kommer fra ruteren. Eksempler på slik trafikk er Telnet-, SSH- og http(s)-økter, syslog-meldinger, SNMP-feller. Generelle beste fremgangsmåter inkluderer:

Sikre maksimal sikkerhet for administrasjons- og overvåkingsprotokoller, ved å bruke kryptering og autentisering:

• SNMP v3-protokollen gir sikkerhetstiltak, mens SNMP v1 praktisk talt ikke gir, og SNMP v2 gir bare delvis - standard fellesskapsverdier må alltid endres;
• ulike verdier for offentlig og privat fellesskap bør brukes;
• telnet-protokollen overfører alle data, inkludert pålogging og passord, i klartekst (hvis trafikk blir fanget opp, kan denne informasjonen enkelt trekkes ut og brukes), det anbefales alltid å bruke ssh v2-protokollen i stedet;
• på samme måte, i stedet for http, bruk https for å få tilgang til utstyr, streng tilgangskontroll til utstyr, inkludert tilstrekkelig passordpolicy, sentralisert autentisering, autorisasjon og regnskap (AAA-modell) og lokal autentisering for redundansformål;

Implementering av en rollebasert tilgangsmodell;

Kontroll av tillatte tilkoblinger etter kildeadresse ved hjelp av tilgangskontrolllister;

Deaktivere ubrukte tjenester, hvorav mange er aktivert som standard (eller de glemte å deaktivere dem etter å ha diagnostisert eller konfigurert systemet);

Overvåke bruken av utstyrsressurser.

De to siste punktene er verdt å dvele nærmere ved.
Noen tjenester som er slått på som standard eller som glemmes å slås av etter konfigurering eller diagnostisering av utstyret, kan brukes av angripere for å omgå eksisterende sikkerhetsregler. Listen over disse tjenestene er nedenfor:

• PAD (pakkemontør/demonterer);

Naturligvis, før du deaktiverer disse tjenestene, må du analysere nøye om de er nødvendige på nettverket ditt.

Det er tilrådelig å overvåke bruken av utstyrsressurser. Dette vil gjøre det mulig for det første å merke overbelastningen av individuelle nettverkselementer i tide og iverksette tiltak for å forhindre en ulykke, og for det andre å oppdage DDoS-angrep og anomalier hvis det ikke er gitt spesielle midler til å oppdage dem. Som et minimum anbefales det å overvåke:

• CPU-belastning
• minnebruk
• overbelastning av rutergrensesnitt.

Overvåking kan utføres "manuelt" (periodisk overvåking av utstyrets tilstand), men det er selvfølgelig bedre å gjøre dette med spesielle nettverksovervåkings- eller overvåkingssystemer informasjonssikkerhet(sistnevnte inkluderer Cisco MARS).

Kontrollplanbeskyttelse

Nettverksadministrasjonslaget inkluderer all tjenestetrafikk som sikrer funksjon og tilkobling av nettverket i samsvar med spesifisert topologi og parametere. Eksempler på kontrollflytrafikk er: all trafikk generert av eller bestemt for ruteprosessoren (RR), inkludert alle rutingprotokoller, i noen tilfeller SSH- og SNMP-protokoller, og ICMP. Ethvert angrep på funksjonen til rutingprosessoren, og spesielt DDoS-angrep, kan føre til betydelige problemer og forstyrrelser i nettverkets funksjon. Følgende er beste praksis for å beskytte kontrollflyet.

Kontrollflypoliti

Den består i å bruke QoS (Quality of Service)-mekanismer for å gi høyere prioritet til å kontrollere flytrafikk enn til brukertrafikk (som angrep er en del av). Dette vil sikre driften av tjenesteprotokoller og rutingprosessoren, det vil si å opprettholde topologien og tilkoblingen til nettverket, samt selve rutingen og svitsjen av pakker.

IP Motta ACL

Denne funksjonaliteten lar deg filtrere og kontrollere tjenestetrafikk beregnet for ruteren og rutingprosessoren.

• brukes direkte på rutingutstyr før trafikken når ruteprosessoren, og gir "personlig" utstyrsbeskyttelse;
• brukes etter at trafikken har gått gjennom vanlige tilgangskontrolllister - de er det siste beskyttelsesnivået på vei til rutingprosessoren;
• gjelder all trafikk (både intern, ekstern og transitt i forhold til teleoperatørens nettverk).

Infrastruktur ACL

Vanligvis er tilgang til de proprietære adressene til rutingutstyr bare nødvendig for verter på operatørens eget nettverk, men det finnes unntak (for eksempel eBGP, GRE, IPv6 over IPv4-tunneler og ICMP). Infrastruktur ACLer:

• vanligvis installert på kanten av teleoperatørens nettverk ("ved inngangen til nettverket");
• har som mål å hindre eksterne verter fra å få tilgang til operatørens infrastrukturadresser;
• sikre uhindret transitt av trafikk over grensen til operatørens nettverk;
• gi grunnleggende mekanismer for beskyttelse mot uautorisert nettverksaktivitet beskrevet i RFC 1918, RFC 3330, spesielt beskyttelse mot spoofing (spoofing, bruk av falske kilde-IP-adresser for å skjule når du starter et angrep).

Nabogodkjenning

Hovedformålet med naboautentisering er å forhindre angrep som involverer sending av falske rutingprotokollmeldinger for å endre ruting i nettverket. Slike angrep kan føre til uautorisert penetrering av nettverket, uautorisert bruk av nettverksressurser, og også til at angriperen avskjærer trafikk for å analysere og innhente nødvendig informasjon.

Sette opp BGP

• BGP-prefiksfiltre - brukes til å sikre ruteinformasjonen internt nettverk telekomoperatøren ble ikke distribuert på Internett (noen ganger kan denne informasjonen være svært nyttig for en angriper);
• begrense antall prefikser som kan mottas fra en annen ruter (prefiksbegrensning) - brukes til å beskytte mot DDoS-angrep, anomalier og feil i peering-partnernettverk;
• bruken av BGP Community-parametere og filtrering etter dem kan også brukes til å begrense distribusjonen av rutinginformasjon;
• BGP-overvåking og sammenligning av BGP-data med observert trafikk er en av mekanismene for tidlig oppdagelse av DDoS-angrep og anomalier;
• filtrering etter TTL (Time-to-Live) parameter - brukes til å sjekke BGP-partnere.

Hvis et BGP-angrep ikke startes fra peering-partnerens nettverk, men fra et mer fjerntliggende nettverk, vil TTL-parameteren for BGP-pakker være mindre enn 255. Du kan konfigurere operatørens grenseruter slik at de slipper alle BGP-pakker med en TTL verdi< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Beskytte dataplanet på nettverket (Dataplan)

Til tross for viktigheten av å beskytte administrasjons- og administrasjonsnivåene, er mesteparten av trafikken i en teleoperatørs nettverk data, transitt eller beregnet på abonnenter hos denne operatøren.

Unicast Reverse Path Forwarding (uRPF)

Ofte blir angrep iverksatt ved hjelp av spoofing-teknologi – kildens IP-adresser forfalskes slik at kilden til angrepet ikke kan spores. Forfalskede IP-adresser kan være:

• fra det faktisk brukte adresserommet, men i et annet nettverkssegment (i segmentet som angrepet ble lansert fra, blir disse falske adressene ikke rutet);
• fra et adresserom ubrukt i et gitt dataoverføringsnettverk;
• fra et adresseområde som ikke kan rutes på Internett.

Implementering av uRPF-mekanismen på rutere vil forhindre ruting av pakker med kildeadresser som er inkompatible eller ubrukte i nettverkssegmentet de kom fra til rutergrensesnittet. Denne teknologien gjør det noen ganger mulig ganske effektivt å filtrere ut uønsket trafikk nærmest kilden, det vil si mest effektivt. Mange DDoS-angrep (inkludert det berømte Smurf- og Tribal Flood Network) bruker mekanismen med forfalskning og stadig endring av kildeadresser for å lure standard sikkerhets- og trafikkfiltreringstiltak.

Bruken av uRPF-mekanismen av teleoperatører som gir abonnenter Internett-tilgang, vil effektivt forhindre DDoS-angrep ved bruk av forfalskningsteknologi rettet av deres egne abonnenter mot Internett-ressurser. Dermed undertrykkes et DDoS-angrep nærmest kilden, det vil si mest effektivt.

Remotely Triggered Blackholes (RTBH)

Eksternt utløste svarte hull brukes til å "dumpe" (ødelegge, sende "til ingensteds") trafikk som kommer inn i nettverket ved å rute av denne trafikken til spesielle Null 0-grensesnitt. Denne teknologien Det anbefales å bruke den ved nettverkskanten for å slippe trafikk som inneholder et DDoS-angrep når den kommer inn i nettverket. Begrensningen (og en betydelig en) av denne metoden er at den gjelder all trafikk beregnet på en bestemt vert eller verter som er målet for angrepet. Dermed, denne metoden kan brukes i tilfeller der en eller flere verter utsettes for et massivt angrep, som forårsaker problemer ikke bare for de angrepne vertene, men også for andre abonnenter og teleoperatørens nettverk som helhet.

Sorte hull kan håndteres enten manuelt eller via BGP-protokollen.

Utbredelse av QoS-politikk gjennom BGP (QPPB)

QoS-kontroll over BGP (QPPB) lar deg administrere prioriterte retningslinjer for trafikk destinert for et spesifikt autonomt system eller blokk med IP-adresser. Denne mekanismen kan være svært nyttig for teleoperatører og store bedrifter, inkludert for å administrere prioritetsnivået for uønsket trafikk eller trafikk som inneholder et DDoS-angrep.

Vask hull

I noen tilfeller er det ikke nødvendig å fullstendig fjerne trafikk ved hjelp av sorte hull, men å lede den bort fra hovedkanalene eller ressursene for påfølgende overvåking og analyse. Det er akkurat dette "avledningskanaler" eller synkehull er designet for.

Vaskhull brukes oftest i følgende tilfeller:

• å avlede og analysere trafikk med destinasjonsadresser som tilhører adresseområdet til teleoperatørens nettverk, men som faktisk ikke brukes (ikke ble tildelt verken utstyr eller brukere); slik trafikk er a priori mistenkelig, siden den ofte indikerer forsøk på å skanne eller penetrere nettverket ditt av en angriper som ikke har detaljert informasjon om dens struktur;
• å omdirigere trafikk fra målet for angrepet, som er en ressurs som faktisk fungerer i teleoperatørens nettverk, for overvåking og analyse.

DDoS-beskyttelse ved hjelp av spesialverktøy

Cisco Clean Pipes-konseptet er en bransjepioner

Det moderne konseptet for beskyttelse mot DDoS-angrep ble utviklet (ja, ja, du vil ikke bli overrasket! :)) av Cisco Systems. Konseptet utviklet av Cisco kalles Cisco Clean Pipes. Konseptet, utviklet i detalj for nesten 10 år siden, beskrev i noen detalj de grunnleggende prinsippene og teknologiene for beskyttelse mot trafikkavvik, hvorav de fleste fortsatt brukes i dag, inkludert av andre produsenter.

Cisco Clean Pipes-konseptet innebærer følgende prinsipper for å oppdage og redusere DDoS-angrep.

Punkter (nettverksseksjoner) velges, hvor trafikken analyseres for å identifisere uregelmessigheter. Avhengig av hva vi beskytter, kan slike punkter være peering-tilkoblinger til en teleoperatør med operatører på høyere nivå, tilkoblingspunkter til operatører eller abonnenter på lavere nivå, kanaler som kobler databehandlingssentraler til nettverket.

Spesielle detektorer analyserer trafikk på disse punktene, bygger (studerer) en trafikkprofil i normal tilstand, og når et DDoS-angrep eller anomali dukker opp, oppdager de det, studerer og danner dens egenskaper dynamisk. Videre analyseres informasjonen av systemoperatøren, og semi-automatisk eller automatisk modus Angrepsundertrykkelsesprosessen starter. Undertrykkelse er hvor trafikk som er bestemt for "offeret" blir dynamisk omdirigert gjennom en filtreringsenhet, der filtre generert av detektoren brukes på denne trafikken og reflekterer den individuelle naturen til dette angrepet. Den ryddede trafikken introduseres i nettverket og sendes til mottakeren (det er grunnen til at navnet Clean Pipes oppsto - abonnenten mottar en "ren kanal" som ikke inneholder et angrep).

Dermed inkluderer hele syklusen av beskyttelse mot DDoS-angrep følgende hovedstadier:

• utdanning kontrollegenskaper trafikk (profilering, grunnlæring)
• Påvisning av angrep og anomalier (deteksjon)
• Omdirigere trafikk til å passere gjennom en rengjøringsenhet (avledning)
• Trafikkfiltrering for å undertrykke angrep (redusering)
• Injiserer trafikk tilbake i nettverket og sender den til mottakeren (Injeksjon).

Flere funksjoner.
To typer enheter kan brukes som detektorer:

• Detektorer produsert av Cisco Systems er Cisco Traffic Anomaly Detector Services-moduler, designet for installasjon i Cisco 6500/7600-chassiset.
• Detektorer produsert av Arbor Networks er Arbor Peakflow SP CP-enheter.

Nedenfor er en tabell som sammenligner Cisco- og Arbor-detektorer.

Parameter	Cisco Traffic Anomaly Detector	Arbor Peakflow SP CP
Innhenting av trafikkinformasjon for analyse	Bruker en kopi av trafikken som er tildelt Cisco 6500/7600-chassiset	Netflow-trafikkdata mottatt fra rutere brukes; sampling kan justeres (1: 1, 1: 1 000, 1: 10 000, etc.)
Identifikasjonsprinsipper brukt	Signaturanalyse (deteksjon av misbruk) og oppdagelse av anomali (dynamiskprofilering)	Primært anomalideteksjon; signaturanalyse brukes, men signaturene er av generell karakter
Formfaktor	servicemoduler i Cisco 6500/7600-chassiset	separate enheter (servere)
Opptreden	Trafikk opp til 2 Gbit/s analyseres	Tilnærmet ubegrenset (samplingsfrekvensen kan reduseres)
Skalerbarhet	Installasjon av inntil 4 modulerCiscoDetektorS.M.inn i ett chassis (modulene fungerer imidlertid uavhengig av hverandre)	Evne til å bruke flere enheter innenfor enhetlig system analyse, hvorav en er tildelt lederstatus
Nettverkstrafikk og rutingovervåking	Det er praktisk talt ingen funksjonalitet	Funksjonaliteten er svært utviklet. Mange teleoperatører kjøper Arbor Peakflow SP på grunn av dens dype og sofistikerte funksjonalitet for overvåking av trafikk og ruting i nettverket
Tilby en portal (et individuelt grensesnitt for en abonnent som tillater overvåking av bare den delen av nettverket som er direkte knyttet til ham)	Ikke inkludert	Sørget for. Er en seriøs fordel denne avgjørelsen, siden en teleoperatør kan selge individuelle DDoS-beskyttelsestjenester til sine abonnenter.
Kompatible trafikkrenseenheter (angrepsundertrykkelse)	Cisco Vakttjenestemodul	Arbor Peakflow SP TMS; Cisco Guard Services-modul.
	Beskyttelse av datasentre når du er koblet til Internett Overvåking nedstrøms tilkoblinger av abonnentnett til teleoperatørens nett	Oppdagelse av angrep påoppstrøms-tilkoblinger av teleoperatørens nettverk til nettverkene til overordnede leverandører Overvåking av teleoperatørens ryggrad

Den siste raden i tabellen viser scenarier for bruk av detektorer fra Cisco og fra Arbor, som ble anbefalt av Cisco Systems. Disse scenariene er avbildet i diagrammet nedenfor.

Som en trafikkrenseenhet anbefaler Cisco å bruke Cisco Guard-tjenestemodulen, som er installert i Cisco 6500/7600-chassiset og, etter kommando mottatt fra Cisco Detector eller Arbor Peakflow SP CP, blir trafikk dynamisk omdirigert, renset og injisert inn i nettverket. Omdirigeringsmekanismer er enten BGP-oppdateringer til oppstrømsrutere, eller direkte kontrollkommandoer til veilederen ved hjelp av en proprietær protokoll. Ved bruk av BGP-oppdateringer får oppstrømsruteren en ny nex-hop-verdi for trafikken som inneholder angrepet, slik at denne trafikken går til renseserveren. Samtidig må det passes på at denne informasjonen ikke fører til organisering av en sløyfe (slik at nedstrømsruteren, når den går inn på klarert trafikk, ikke prøver å pakke denne trafikken tilbake til ryddeanordningen) . For å gjøre dette kan mekanismer brukes til å kontrollere distribusjonen av BGP-oppdateringer ved å bruke fellesskapsparameteren, eller bruken av GRE-tunneler når du går inn i ryddet trafikk.

Denne tilstanden eksisterte helt til Arbor Networks utvidet Peakflow SP-produktlinjen betydelig og begynte å komme inn på markedet med en helt uavhengig løsning for beskyttelse mot DDoS-angrep.

Arbor Peakflow SP TMS introdusert

For flere år siden bestemte Arbor Networks seg for å utvikle sin produktlinje for beskyttelse mot DDoS-angrep uavhengig og uavhengig av tempoet og utviklingspolitikken for dette området hos Cisco. Peakflow SP CP-løsninger hadde grunnleggende fordeler fremfor Cisco Detector, siden de analyserte flytinformasjon med muligheten til å regulere samplingsfrekvensen, og derfor ikke hadde noen begrensninger på bruk i teleoperatørnettverk og på trunkkanaler (i motsetning til Cisco Detector, som analyserer en kopi av trafikk). I tillegg var en stor fordel med Peakflow SP muligheten for operatører til å selge abonnenter en individuell tjeneste for overvåking og beskyttelse av nettverkssegmentene deres.

På grunn av disse og andre hensyn har Arbor utvidet sin Peakflow SP produktlinje betydelig. En rekke nye enheter har dukket opp:

Peakflow SP TMS (Threat Management System)- undertrykker DDoS-angrep gjennom flertrinnsfiltrering basert på data hentet fra Peakflow SP CP og fra ASERT-laboratoriet, eid av Arbor Networks, som overvåker og analyserer DDoS-angrep på Internett;

Peakflow SP BI (Business Intelligence)- enheter som gir systemskalering, øker antallet logiske objekter som skal overvåkes og gir redundans for innsamlede og analyserte data;

Peakflow SP PI (Portal Interface)- enheter som gir en økning i abonnenter som er utstyrt med et individuelt grensesnitt for å administrere sin egen sikkerhet;

Peakflow SP FS (Flow Censor)- enheter som gir overvåking av abonnentrutere, tilkoblinger til nedstrømsnettverk og datasentre.

Driftsprinsippene til Arbor Peakflow SP-systemet forblir i hovedsak de samme som Cisco Clean Pipes, men Arbor utvikler og forbedrer regelmessig systemene sine, så dette øyeblikket Funksjonaliteten til Arbor-produktene er bedre på mange måter enn Cisco, inkludert ytelse.

I dag kan maksimal ytelse av Cisco Guard oppnås ved å lage en klynge med 4 Guard-moduler i ett Cisco 6500/7600-chassis, mens full klynging av disse enhetene ikke er implementert. Samtidig har de beste Arbor Peakflow SP TMS-modellene ytelse opptil 10 Gbps, og kan i sin tur grupperes.

Etter at Arbor begynte å posisjonere seg som en uavhengig aktør i markedet for deteksjon og undertrykkelse av DDoS-angrep, begynte Cisco å lete etter en partner som ville gi den den sårt tiltrengte overvåkingen av data om nettverkstrafikkflyt, men som ikke ville være en direkte konkurrent. Et slikt selskap var Narus, som produserer trafikkovervåkingssystemer basert på flytdata (NarusInsight), og har inngått et samarbeid med Cisco Systems. Dette partnerskapet fikk imidlertid ikke seriøs utvikling og tilstedeværelse på markedet. Dessuten, ifølge noen rapporter, planlegger ikke Cisco å investere i Cisco Detector og Cisco Guard-løsninger, og overlater faktisk denne nisjen til Arbor Networks.

Noen funksjoner i Cisco og Arbor-løsninger

Det er verdt å merke seg noen funksjoner i Cisco og Arbor-løsningene.

1. Cisco Guard kan brukes enten sammen med en detektor eller uavhengig. I sistnevnte tilfelle er den installert i in-line-modus og utfører funksjonene til en detektor, analyserer trafikk, og om nødvendig slår den på filtre og sletter trafikk. Ulempen med denne modusen er at for det første legges til et ekstra punkt med potensiell feil, og for det andre en ekstra trafikkforsinkelse (selv om den er liten inntil filtreringsmekanismen er slått på). Den anbefalte modusen for Cisco Guard er å vente på en kommando for å omdirigere trafikk som inneholder et angrep, filtrere den og legge den inn i nettverket igjen.
2. Arbor Peakflow SP TMS-enheter kan også fungere i enten off-rampe eller in-line modus. I det første tilfellet venter enheten passivt på en kommando for å omdirigere trafikk som inneholder angrepet for å fjerne den og legge den inn i nettverket igjen. I den andre sender den all trafikk gjennom seg selv, genererer data basert på den i Arborflow-format og overfører den til Peakflow SP CP for analyse og oppdagelse av angrep. Arborflow er et format som ligner på Netflow, men modifisert av Arbor for sine Peakflow SP-systemer. Trafikkovervåking og angrepsdeteksjon utføres av Peakflow SP CP basert på Arborflow-data mottatt fra TMS. Når et angrep oppdages, gir Peakflow SP CP-operatøren en kommando for å undertrykke det, hvoretter TMS slår på filtre og fjerner trafikk fra angrepet. I motsetning til Cisco kan ikke Peakflow SP TMS-serveren fungere uavhengig; driften krever en Peakflow SP CP-server, som analyserer trafikk.
3. I dag er de fleste eksperter enige om at oppgavene med å beskytte lokale deler av nettverket (for eksempel koble til datasentre eller koble til nedstrømsnettverk) er effektive

DDOS-angrep. Forklaring og eksempel.

Hei alle sammen. Dette er Computer76-bloggen, og nå en annen artikkel om det grunnleggende innen hacking-kunst. I dag skal vi snakke om hva et DDOS-angrep er med enkle ord og eksempler. Før du kaster deg rundt med faguttrykk, vil det være en introduksjon som alle kan forstå.

Hvorfor brukes et DDOS-angrep?

WiFi-hacking brukes for å få passord trådløst nettverk. Angrep i form av " " vil tillate deg å lytte til Internett-trafikk. Analyse av sårbarheter etterfulgt av lasting av en bestemt gjør det mulig å fange måldatamaskinen. Hva gjør et DDOS-angrep? Målet er til syvende og sist å velge rettighetene til å eie en ressurs fra den rettmessige eieren. Jeg mener ikke at du ikke vil eie nettstedet eller bloggen. Dette betyr at i tilfelle et vellykket angrep på nettstedet ditt, vil du du vil miste evnen til å kontrollere det. Av i det minste, en stund.

Imidlertid, i den moderne tolkningen av et DDOS-angrep, brukes det oftest til å forstyrre den normale driften av enhver tjeneste. Hackergrupper, hvis navn stadig blir hørt, angriper store statlige eller offentlige nettsteder for å trekke oppmerksomhet til visse problemer. Men nesten alltid bak slike angrep er det en rent merkantil interesse: Konkurrenters arbeid eller enkle spøk på helt usømmelig ubeskyttede nettsteder. Hovedkonseptet til DDOS er at et stort antall brukere, eller snarere forespørsler fra bot-datamaskiner, får tilgang til nettstedet samtidig, noe som gjør belastningen på serveren uutholdelig. Vi hører ofte uttrykket "nettstedet er utilgjengelig", men få mennesker tenker på hva som faktisk skjuler seg bak denne formuleringen. Vel, nå vet du det.

DDOS-angrep - alternativer

Valg 1.

spillere stappfulle ved inngangen

Tenk deg at du spiller et flerspillerspill online spill. Tusenvis av spillere spiller med deg. Og du er kjent med de fleste av dem. Du diskuterer detaljene og i time X utfører du følgende handlinger. Dere går alle til siden samtidig og lager en karakter med samme sett med egenskaper. Du grupperer på ett sted, og blokkerer med ditt antall samtidig opprettede karakterer tilgang til objekter i spillet for andre bona fide-brukere som ikke mistenker noe om samarbeidet ditt.

Alternativ 2.

Tenk deg at noen bestemte seg for å forstyrre busstilbudet i byen langs en bestemt rute for å hindre bona fide-passasjerer fra å bruke offentlig transport. Tusenvis av vennene dine stopper samtidig i begynnelsen av den angitte ruten og sykler planløst i alle biler fra ende til annen til pengene tar slutt. Turen er betalt, men ingen går av på noe stopp bortsett fra sluttdestinasjonene. Og andre passasjerer, som står ved mellomholdeplasser, ser trist etter de avgående minibussene, uten å kunne presse seg inn i de overfylte bussene. Alle er i trøbbel: både drosjeeiere og potensielle passasjerer.

I virkeligheten kan disse alternativene ikke implementeres fysisk. Men i den virtuelle verdenen kan vennene dine erstattes av datamaskinene til skruppelløse brukere som ikke gidder å beskytte datamaskinen eller den bærbare datamaskinen på en eller annen måte. Og de aller fleste er sånn. Det finnes mange programmer for å utføre DDOS-angrep. Unødvendig å si at slike handlinger er ulovlige. Og et absurd forberedt DDOS-angrep, uansett hvor vellykket det utføres, blir oppdaget og straffet.

Hvordan utføres et DDOS-angrep?

Ved å klikke på en nettsidekobling sender nettleseren din en forespørsel til serveren om å vise siden du leter etter. Denne forespørselen uttrykkes som en datapakke. Og ikke engang bare én, men en hel pakke med pakker! I alle fall er mengden data som overføres per kanal alltid begrenset til en viss bredde. Og mengden data som returneres av serveren er uforholdsmessig større enn det som ligger i forespørselen din. Dette tar energi og ressurser fra serveren. Jo kraftigere serveren er, jo dyrere er den for eieren og jo dyrere tjenestene den leverer. Moderne servere lett takle den kraftig økte tilstrømningen av besøkende. Men for noen av serverne er det fortsatt et kritisk antall brukere som ønsker å gjøre seg kjent med innholdet på siden. Jo klarere er situasjonen med serveren som tilbyr webhotelltjenester. Så snart det skjer, kobles offernettstedet fra tjenesten for ikke å overbelaste prosessorene som betjener tusenvis av andre nettsteder som ligger på samme hosting. Nettstedets drift stopper til selve DDOS-angrepet stopper. Vel, forestill deg at du begynner å laste en hvilken som helst av nettsidene på nytt tusen ganger per sekund (DOS). Og tusenvis av vennene dine gjør det samme på datamaskinene sine (distribuert DOS eller DDOS)... Store servere har lært å gjenkjenne at et DDOS-angrep har begynt og motvirke det. Imidlertid forbedrer hackere også sine tilnærminger. Så innenfor rammen av denne artikkelen kan jeg ikke forklare mer detaljert hva et DDOS-angrep er.

Du kan finne ut hva et DDOS-angrep er og prøve det akkurat nå.

MERK FØLGENDE. Hvis du bestemmer deg for å prøve, vil alle ulagrede data gå tapt, og du trenger en knapp for å få datamaskinen tilbake til å fungere NULLSTILLE. Men du vil kunne finne ut nøyaktig hva den angrepne serveren "føles". Et detaljert eksempel er et avsnitt nedenfor, og nå - enkle kommandoer for å starte systemet på nytt.

• For Linux, i terminalen, skriv inn kommandoen:

:(){ :|:& };:

Systemet vil nekte å fungere.

• For Windows foreslår jeg å lage en bat-fil i Notisblokk med koden:

:1 Start gå til 1

Gi navnet DDOS.bat

Jeg tror ikke det er verdt å forklare betydningen av begge kommandoene. Alt er synlig for det blotte øye. Begge kommandoene tvinger systemet til å kjøre skriptet og umiddelbart gjenta det, og sende det til begynnelsen av skriptet. Med tanke på utførelseshastigheten faller systemet i stupor etter et par sekunder. Spill, som de sier, over.

DDOS-angrep ved hjelp av programmer.

For et mer visuelt eksempel, bruk Low Orbit Ion Cannon-programmet. Eller LOIC. Den mest nedlastede distribusjonen finner du på (vi jobber på Windows):

https://sourceforge.net/projects/loic/

MERK FØLGENDE ! Antivirusprogrammet ditt skal svare på filen som skadelig. Dette er normalt: du vet allerede hva du laster ned. I signaturdatabasen er den merket som en flomgenerator - oversatt til russisk er dette det ultimate målet med endeløse anrop til en bestemt nettverksadresse. JEG PERSONLIG la ikke merke til noen virus eller trojanere. Men du har rett til å tvile og utsette nedlastingen.

Siden uforsiktige brukere bombarderer ressursen med meldinger om ondsinnet fil, Source Forge tar deg til følgende side med en direkte lenke til filen:

Til slutt klarte jeg å laste ned verktøyet bare gjennom .

Programvinduet ser slik ut:

Punkt 1 Velg mål vil tillate angriperen å fokusere på et spesifikt mål (skriv inn IP-adressen eller nettadressen), punkt 3 Angrepsalternativer lar deg velge den angrepne porten, protokollen ( Metode) av tre TCP, UDP og HTTP. I TCP/UDP-meldingsfeltet kan du skrive inn en melding for den angrepne personen. Etter at dette er gjort, begynner angrepet ved å trykke på en knapp IMMA CHARGIN MAH LAZER(dette er en setning på grensen til en feil fra den en gang så populære komisk–meme; Det er forresten mye amerikansk banning i programmet). Alle.

JEG ADVARER

Dette er et prøveversjonsalternativ kun for lokalvert. Derfor:

• det er mot loven mot andres nettsteder, og folk i Vesten er allerede fengslet for dette (som betyr at de snart vil bli fengslet her også)
• adressen som flommen kommer fra vil raskt bli bestemt, de vil klage til leverandøren, og han vil gi deg en advarsel og minne deg om det første punktet
• i nettverk med lav båndbredde (det vil si i alle hjemmenettverk) vil ikke dimsen fungere. Det er det samme med TOR-nettverket.
• hvis du konfigurerer den riktig, vil du tette kommunikasjonskanalen DIN raskere enn å skade noen. Så dette er akkurat alternativet når boksesekken treffer bokseren, og ikke omvendt. Og alternativet med en proxy vil følge samme prinsipp: ingen vil like flom fra din side.

Lest: 9.326

Nyhetsoverskriftene i dag er fylt med rapporter om DDoS-angrep (Distributed Denial of Service). Enhver organisasjon som er tilstede på Internett er utsatt for distribuerte tjenestenektangrep. Spørsmålet er ikke om du blir angrepet eller ikke, men når det vil skje. Offentlige etater, media og e-handelssider, bedriftssider, kommersielle og ideelle organisasjoner er alle potensielle mål for DDoS-angrep.

Hvem blir angrepet?

I følge sentralbanken ble antallet DDoS-angrep mot russiske finansorganisasjoner nesten doblet i 2016. I november ble DDoS-angrep rettet mot fem store russiske banker. På slutten av fjoråret rapporterte sentralbanken om DDoS-angrep på finansielle organisasjoner, inkludert sentralbanken. – Hensikten med angrepene var å forstyrre tjenester og som et resultat undergrave tilliten til disse organisasjonene. Disse angrepene var bemerkelsesverdige fordi det var den første storstilte bruken av tingenes internett i Russland. Angrepet involverte hovedsakelig Internett-videokameraer og husholdningsrutere,» bemerket sikkerhetstjenestene til store banker.

Samtidig forårsaket ikke DDoS-angrep betydelig skade på bankene – de er godt beskyttet, så slike angrep, selv om de skapte problemer, var ikke kritiske og forstyrret ikke en eneste tjeneste. Det kan imidlertid slås fast at antibankaktiviteten til hackere har økt betydelig.

I februar 2017 reflekterte de tekniske tjenestene til det russiske helsedepartementet den største i fjor DDoS-angrep, som på sitt topp nådde 4 millioner forespørsler per minutt. Det har også vært DDoS-angrep på statlige registre, men de var også mislykkede og førte ikke til endringer i dataene.

Imidlertid blir mange organisasjoner og selskaper som ikke har så kraftige "forsvar" ofre for DDoS-angrep. I 2017 forventes skade fra cybertrusler – løsepengevare, DDoS og angrep på Internet of Things-enheter – å øke.

IoT-enheter blir stadig mer populære som verktøy for å utføre DDoS-angrep. En betydelig begivenhet var DDoS-angrepet som ble lansert i september 2016 ved bruk av Mirai-ondsinnet kode. I den fungerte hundretusenvis av kameraer og andre enheter fra videoovervåkingssystemer som angrepsmidler.

Det ble utført mot den franske hostingleverandøren OVH. Det var et kraftig DDoS-angrep - nesten 1 Tbit/s. Hackere brukte et botnett for å utnytte 150 tusen IoT-enheter, for det meste CCTV-kameraer. Mirai botnett-angrep har gitt opphav til mange IoT-enhets botnett. I følge eksperter vil IoT-botnett i 2017 fortsette å være en av hovedtruslene i cyberspace.

Ifølge 2016 Verizon datainnbruddshendelsesrapport (DBIR), økte antallet DDoS-angrep markant i fjor. I verden er det underholdningsindustrien, profesjonelle organisasjoner, utdanning, IT og detaljhandel som lider mest.

En bemerkelsesverdig trend i DDoS-angrep er utvidelsen av "listen over ofre." Det inkluderer nå representanter fra nesten alle bransjer. I tillegg forbedres angrepsmetoder.
Ifølge Nexusguard, ved slutten av 2016, økte antallet DDoS-angrep av blandet type – ved bruk av flere sårbarheter samtidig – merkbart. Oftest ble økonomiske og statlige organisasjoner utsatt for dem. Hovedmotivet til nettkriminelle (70 % av tilfellene) er tyveri av data eller trusselen om ødeleggelse av dem for løsepenger. Sjeldnere – politiske eller sosiale mål. Det er derfor en forsvarsstrategi er viktig. Den kan forberede seg på et angrep og minimere konsekvensene, redusere økonomisk risiko og omdømmerisiko.

Konsekvenser av angrepene

Hva er konsekvensene av et DDoS-angrep? Under et angrep mister offeret kunder på grunn av treg drift eller fullstendig utilgjengelighet av nettstedet, og omdømmet til virksomheten lider. Tjenesteleverandøren kan blokkere offerets IP-adresse for å minimere skade på andre klienter. Det vil ta tid og muligens penger å gjenopprette alt.

Ifølge en HaltDos-undersøkelse anses DDoS-angrep av halvparten av organisasjonene som en av de mest alvorlige cybertruslene. Faren for DDoS er enda større enn faren for uautorisert tilgang, virus, svindel og phishing, for ikke å snakke om andre trusler.

Gjennomsnittlig tap fra DDoS-angrep er estimert globalt til $50 000 for små organisasjoner og nesten $500 000 for store bedrifter. Å eliminere konsekvensene av et DDoS-angrep vil kreve ekstra personaltid, avledning av ressurser fra andre prosjekter for å sikre sikkerhet, utvikling av en programvareoppdateringsplan, modernisering av utstyr, etc.

Omdømmet til den angrepne organisasjonen kan lide ikke bare på grunn av dårlig nettsideytelse, men også på grunn av tyveri av personlige data eller finansiell informasjon.

I følge en undersøkelse fra HaltDos vokser antallet DDoS-angrep årlig med 200 %; 2000 angrep av denne typen rapporteres hver dag i verden. Kostnaden for å organisere et ukelangt DDoS-angrep er bare rundt $150, og offerets tap overstiger i gjennomsnitt $40 000 per time.

Typer DDoS-angrep

De viktigste typene DDoS-angrep er massive angrep, angrep på protokollnivå og angrep på applikasjonsnivå. Uansett er målet å deaktivere nettstedet eller stjele data. En annen type nettkriminalitet er trusselen om et DDoS-angrep for å få løsepenger. Slike hackergrupper som Armada Collective, Lizard Squad, RedDoor og ezBTC er kjent for dette.

Organisering av DDoS-angrep har blitt merkbart enklere: nå er det allment tilgjengelige automatiserte verktøy som praktisk talt ikke krever spesialkunnskap fra nettkriminelle. Det er også betalte tjenester DDoS for å angripe målet anonymt. For eksempel tilbyr vDOS-tjenesten sine tjenester uten å sjekke om kunden er eieren av siden som ønsker å teste den «under belastning», eller om dette gjøres for et angrep.

DDoS-angrep er angrep fra flere kilder som hindrer legitime brukere fra å få tilgang til nettstedet som blir angrepet. For å gjøre dette sendes et stort antall forespørsler til det angrepne systemet, som det ikke kan takle. Vanligvis brukes kompromitterte systemer til dette formålet.

Den årlige veksten i antall DDoS-angrep er estimert til 50 % (ifølge www.leaseweb.com), men data ulike kilder er forskjellige, men ikke alle hendelser blir kjent. Den gjennomsnittlige kraften til Layer 3/4 DDoS-angrep har økt de siste årene fra 20 til flere hundre GB/s. Selv om massive DDoS- og protokollnivåangrep er ille nok i seg selv, kombinerer nettkriminelle dem i økende grad med Layer 7 DDoS-angrep, det vil si på applikasjonsnivå, som er rettet mot å endre eller stjele data. Slike "flervektor"-angrep kan være svært effektive.

Multivektorangrep utgjør omtrent 27 % av det totale antallet DDoS-angrep.

I tilfelle et masse-DDoS-angrep (volumbasert), brukes et stort antall forespørsler, ofte sendt fra legitime IP-adresser, slik at nettstedet blir "kvalt" i trafikk. Målet med slike angrep er å "tette" all tilgjengelig båndbredde og blokkere legitim trafikk.

I tilfelle av et angrep på protokollnivå (som UDP eller ICMP), er målet å tømme systemressurser. For å gjøre dette sendes åpne forespørsler, for eksempel TCP/IP-forespørsler med falske IP-er, og som et resultat av utmattelse av nettverksressurser blir det umulig å behandle legitime forespørsler. Typiske representanter er DDoS-angrep, kjent i snevre kretser som Smurf DDos, Ping of Death og SYN flood. En annen type DDoS-angrep på protokollnivå innebærer å sende et stort antall fragmenterte pakker som systemet ikke kan håndtere.

Layer 7 DDoS-angrep innebærer å sende tilsynelatende ufarlige forespørsler som ser ut til å være et resultat av normale brukerhandlinger. Vanligvis utføres de ved hjelp av botnett og automatiserte verktøy. Velkjente eksempler er Slowloris, Apache Killer, Cross-site scripting, SQL-injeksjon, Remote file injection.

I 2012–2014 var flertallet av massive DDoS-angrep statsløse angrep (uten å huske tilstander eller sporingsøkter) - de brukte UDP-protokollen. Når det gjelder Stateless, sirkulerer mange pakker i én økt (for eksempel ved å åpne en side). Statsløse enheter vet som regel ikke hvem som startet økten (forespurte siden).

UDP-protokollen er utsatt for spoofing - adresseerstatning. For eksempel, hvis du ønsker å angripe DNS-serveren på 56.26.56.26 ved hjelp av et DNS-forsterkningsangrep, kan du lage et sett med pakker med kildeadressen 56.26.56.26 og sende dem til DNS-servere rundt om i verden. Disse serverne vil sende et svar til 56.26.56.26.

Den samme metoden fungerer for NTP-servere, SSDP-aktiverte enheter. NTP-protokollen er kanskje den mest populære metoden: i andre halvdel av 2016 ble den brukt i 97,5 % av DDoS-angrepene.
Best Current Practice (BCP) Regel 38 anbefaler at Internett-leverandører konfigurerer gatewayer for å forhindre forfalskning - avsenderadressen, opprinnelsesnettverket kontrolleres. Men ikke alle land følger denne praksisen. I tillegg omgår angripere BCP 38-kontroller ved å bruke Stateful-angrep på TCP-nivå. Ifølge F5 Security Operations Center (SOC) har slike angrep dominert de siste fem årene. I 2016 var det dobbelt så mange TCP-angrep som UDP-angrep.

Layer 7-angrep brukes hovedsakelig av profesjonelle hackere. Prinsippet er som følger: en "tung" URL tas (med PDF-fil eller en spørring til en stor database) og gjentas titalls eller hundrevis av ganger per sekund. Lag 7-angrep har alvorlige konsekvenser og er vanskelige å oppdage. De utgjør nå omtrent 10 % av DDoS-angrepene.

Forhold forskjellige typer DDoS-angrep i henhold til Verizon Data Breach Investigations Report (DBIR) (2016).

DDoS-angrep er ofte tidsbestemt til å falle sammen med perioder med topptrafikk, for eksempel online salgsdager. Store strømmer av personlige og økonomiske data på dette tidspunktet tiltrekker seg hackere.

DDoS-angrep på DNS

Domain Name System (DNS) spiller en grunnleggende rolle i ytelsen og tilgjengeligheten til et nettsted. Til syvende og sist - i suksessen til virksomheten din. Dessverre er DNS-infrastruktur ofte målet for DDoS-angrep. Ved å undertrykke DNS-infrastrukturen din, kan angripere skade nettstedet ditt, bedriftens omdømme og påvirke din økonomiske ytelse. For å bekjempe dagens trusler, må DNS-infrastruktur være svært motstandsdyktig og skalerbar.

I hovedsak er DNS distribuert base data, som blant annet matcher lettleste nettstedsnavn til IP-adresser, noe som gjør at brukeren kan komme til ønsket side etter å ha lagt inn en URL. En brukers første interaksjon med et nettsted begynner med DNS-spørringer sendt til DNS-serveren med Internett-domeneadressen til nettstedet ditt. Behandlingen deres kan utgjøre opptil 50 % av lastetiden til en nettside. Dermed kan redusert DNS-ytelse føre til at brukere forlater nettstedet og forretningstap. Hvis DNS-serveren din slutter å svare som et resultat av et DDoS-angrep, vil ingen få tilgang til nettstedet ditt.

DDoS-angrep er vanskelig å oppdage, spesielt i begynnelsen når trafikken virker normal. DNS-infrastruktur kan være underlagt forskjellige typer DDoS-angrep. Noen ganger er dette et direkte angrep på DNS-servere. I andre tilfeller brukes utnyttelser ved å bruke DNS-systemer til å angripe andre elementer av IT-infrastrukturen eller -tjenestene.

I DNS Reflection-angrep blir målet utsatt for massivt forfalskede DNS-svar. Til dette formålet brukes botnett, som infiserer hundrevis og tusenvis av datamaskiner. Hver bot i et slikt nettverk genererer flere DNS-forespørsler, men bruker samme mål-IP-adresse som kilde-IP (spoofing). DNS-tjenesten svarer på denne IP-adressen.

Dette oppnår en dobbel effekt. Målsystemet blir bombardert med tusenvis og millioner av DNS-svar, og DNS-serveren kan gå ned, ute av stand til å takle belastningen. Selve DNS-forespørselen er vanligvis mindre enn 50 byte, men svaret er ti ganger lengre. I tillegg kan DNS-meldinger inneholde ganske mye annen informasjon.

La oss si at angriperen sendte ut 100 000 korte DNS-forespørsler på 50 byte hver (5 MB totalt). Hvis hvert svar inneholder 1 KB, er totalen allerede 100 MB. Derav navnet – Amplification. Kombinasjonen av DNS Reflection og Amplification angrep kan få svært alvorlige konsekvenser.

Forespørslene ser ut som vanlig trafikk, og svarene er mange store meldinger rettet til målsystemet.

Hvordan beskytte deg mot DDoS-angrep?

Hvordan beskytte deg mot DDoS-angrep, hvilke skritt å ta? Først av alt, ikke utsett det "til senere." Noen tiltak bør tas i betraktning når du konfigurerer nettverket, kjører servere og distribuerer programvare. Og hver påfølgende endring bør ikke øke sårbarheten for DDoS-angrep.

1. Programvarekodesikkerhet. Når du skriver programvare, må sikkerhetshensyn tas. Det anbefales å følge "sikker koding"-standarder og teste grundig programvare for å unngå vanlige feil og sårbarheter som cross-site scripting og SQL-injeksjon.
2. Utvikle en programvareoppdateringsplan. Det skal alltid være et tilbakestillingsalternativ hvis noe går galt.
3. Oppdater programvaren umiddelbart. Hvis du var i stand til å laste ned oppdateringene, men det dukket opp problemer, se punkt 2.
4. Ikke glem tilgangsbegrensninger. admin og/eller kontoer bør beskyttes med sterke og regelmessig endrede passord. En periodisk revisjon av tilgangsrettigheter og rettidig sletting av kontoer til fratrådte ansatte er også nødvendig.
5. Administrasjonsgrensesnittet skal kun være tilgjengelig fra det interne nettverket eller via VPN. Lukk VPN-tilgang umiddelbart for å slutte og spesielt oppsagte ansatte.
6. Innlemme DDoS-angrepsreduksjon i katastrofegjenopprettingsplanen din. Planen bør inkludere måter å oppdage faktum om et slikt angrep, kontakter for kommunikasjon med Internett eller vertsleverandør, og et "problemeskaleringstre" for hver avdeling.
7. Sårbarhetsskanning vil bidra til å identifisere problemer i infrastrukturen og programvaren din og redusere risikoen. En enkel OWASP Topp 10 sårbarhetstest vil avsløre de mest kritiske problemene. Penetrasjonstester vil også være nyttige - de vil hjelpe med å finne svake punkter.
8. Maskinvarebeskyttelse mot DDoS-angrep kan være dyrt. Hvis budsjettet ditt ikke tillater dette, altså godt alternativ– DDoS-beskyttelse "på forespørsel". Denne tjenesten kan aktiveres ved ganske enkelt å endre trafikkrutingsskjemaet nødsituasjon, eller er konstant beskyttet.
9. Bruk en CDN-partner. Innholdsleveringsnettverk lar deg levere nettstedinnhold over et distribuert nettverk. Trafikk distribueres over flere servere, noe som reduserer forsinkelsen ved tilgang til brukere, inkludert geografisk fjerntliggende. Så selv om hovedfordelen med et CDN er hastighet, fungerer det også som en barriere mellom hovedserveren og brukerne.
10. Bruk brannmur for nettapplikasjoner - en brannmur for nettapplikasjoner. Den overvåker trafikken mellom et nettsted eller en applikasjon og nettleseren, og sjekker legitimiteten til forespørsler. Ved å jobbe på applikasjonsnivå kan WAF oppdage angrep basert på lagrede mønstre og oppdage uvanlig atferd. Angrep på applikasjonsnivå er vanlig i e-handel. Som med CDN kan du bruke WAF-tjenester i skyen. Men å konfigurere reglene krever litt erfaring. Ideelt sett bør alle kjerneapplikasjoner være beskyttet av WAF.

DNS-beskyttelse

Hvordan beskytter du DNS-infrastrukturen din mot DDoS-angrep? Konvensjonelle brannmurer og IPS vil ikke hjelpe her; de er maktesløse mot et komplekst DDoS-angrep på DNS. Faktisk er brannmurer og inntrengningsforebyggende systemer i seg selv sårbare for DDoS-angrep.

De kan komme til unnsetning skytjenester trafikkrensing: den sendes til et bestemt senter, hvor den blir sjekket og omdirigert tilbake til destinasjonen. Disse tjenestene er nyttige for TCP-trafikk. De som administrerer sin egen DNS-infrastruktur kan ta følgende trinn for å dempe effektene av DDoS-angrep.

1. Overvåking av DNS-servere for mistenkelig aktivitet er det første trinnet i å beskytte DNS-infrastrukturen din. Kommersielle DNS-løsninger og åpen kildekode-produkter som BIND gir sanntidsstatistikk som kan brukes til å oppdage DDoS-angrep. Overvåking av DDoS-angrep kan være en ressurskrevende oppgave. Det er best å lage en grunnlinjeprofil av infrastrukturen under normale driftsforhold og deretter oppdatere den fra tid til annen etter hvert som infrastrukturen utvikler seg og trafikkmønstrene endres.
2. Ytterligere DNS-serverressurser kan bidra til å bekjempe småskalaangrep ved å gi redundans til DNS-infrastrukturen. Server- og nettverksressurser bør være tilstrekkelige til å håndtere et større volum av forespørsler. Selvsagt koster oppsigelse penger. Du betaler for server- og nettverksressurser som normalt ikke brukes under normale forhold. Og med en betydelig "reserve" av makt, vil denne tilnærmingen neppe være effektiv.
3. Aktivering av DNS Response Rate Limiting (RRL) vil redusere sannsynligheten for at serveren blir involvert i et DDoS Reflection-angrep ved å redusere hastigheten den svarer på gjentatte forespørsler. RRL-er støttes av mange DNS-implementeringer.
4. Bruk konfigurasjoner med høy tilgjengelighet. Du kan beskytte mot DDoS-angrep ved å distribuere DNS-tjenesten på en server med høy tilgjengelighet (HA). Hvis én fysisk server går ned som følge av et angrep, kan DNS-tjenesten gjenopprettes på en backupserver.

Den beste måten å beskytte DNS mot DDoS-angrep på er å bruke et geografisk distribuert Anycast-nettverk. Distribuerte DNS-nettverk kan implementeres ved hjelp av to forskjellige tilnærminger: Unicast- eller Anycast-adressering. Den første tilnærmingen er mye enklere å implementere, men den andre er mye mer motstandsdyktig mot DDoS-angrep.

Med Unicast mottar hver av bedriftens DNS-servere en unik IP-adresse. DNS opprettholder en tabell over domenets DNS-servere og deres tilsvarende IP-adresser. Når en bruker skriver inn en URL, velges en av IP-adressene tilfeldig for å fullføre forespørselen.

Med Anycast-adresseringsskjema forskjellige servere DNS bruker en delt IP-adresse. Når en bruker skriver inn en URL, returneres den samlede adressen til DNS-serverne. IP-nettverket ruter forespørselen til nærmeste server.

Anycast gir grunnleggende sikkerhetsfordeler fremfor Unicast. Unicast gir individuelle server-IP-adresser slik at angripere kan starte målrettede angrep mot spesifikke fysiske servere og virtuelle maskiner, og når ressursene til dette systemet er oppbrukt, oppstår en tjenestefeil. Anycast kan bidra til å redusere DDoS-angrep ved å distribuere forespørsler på tvers av en gruppe servere. Anycast er også nyttig for å isolere effekten av et angrep.

Leverandørlevert DDoS-beskyttelse

Å designe, distribuere og drifte et globalt Anycast-nettverk krever tid, penger og kunnskap. De fleste IT-organisasjoner har ikke talent eller økonomi til å gjøre dette. Du kan stole på DNS-infrastrukturen din til en leverandør av administrerte tjenester som spesialiserer seg på DNS. De har den nødvendige kunnskapen for å beskytte DNS mot DDoS-angrep.

Administrerte DNS-tjenesteleverandører driver storskala Anycast-nettverk og har tilstedeværelsespunkter over hele verden. Nettverkssikkerhetseksperter overvåker nettverket 24/7/365 og bruker spesialverktøy for å dempe effekten av DDoS-angrep.

Noen vertsleverandører tilbyr også beskyttelse mot DDoS-angrep: nettverkstrafikk analyseres 24/7, så nettstedet ditt vil være relativt trygt. Slik beskyttelse tåler kraftige angrep – opptil 1500 Gbit/sek. Trafikk betales.

Et annet alternativ er IP-adressebeskyttelse. Leverandøren plasserer IP-adressen som klienten har valgt som beskyttet i en spesiell nettverksanalysator. Under et angrep blir trafikken til klienten tilpasset kjente angrepsmønstre. Som et resultat mottar klienten bare ren, filtrert trafikk. Dermed kan det hende at brukere av nettstedet ikke vet at et angrep har blitt iverksatt mot dem. For å organisere dette opprettes et distribuert nettverk av filtreringsnoder slik at for hvert angrep kan den nærmeste noden velges og forsinkelsen i trafikkoverføringen kan minimeres.

Resultatet av bruk av DDoS-angrepsbeskyttelsestjenester vil være rettidig oppdagelse og forebygging av DDoS-angrep, kontinuitet i driften av nettstedet og dens konstante tilgjengelighet for brukere, minimering av økonomiske og omdømmetap fra nedetid på siden eller portalen.

Hvordan oppstår et DDoS-angrep og hvilke typer angrep finnes? Å forstå problemet er allerede halvparten av løsningen. Derfor vil vi vurdere hovedtypene av DDoS og til hvilket formål de utføres på nettsteder.

DDoS (Distributed Denial of Service-angrep)er et målrettet sett med handlinger for å deaktivere eller forstyrre driften av en Internett-ressurs. Enhver ressurs kan bli et offer, inkludert en nettbutikk, et offentlig nettsted eller en spillserver. I flertall lignende tilfeller Angriperen bruker et nettverk av datamaskiner som er infisert med et virus til slike formål. Et slikt nettverk kalles et botnett. Den inneholder en koordinerende hovedserver. For å sette i gang et angrep sender hackeren en kommando til en slik server, som igjen signaliserer hver enkelt bot til å begynne å lage ondsinnede nettverksforespørsler.

Grunner til å utføre et DDoS-angrepkanskje mye. For eksempel:

• for moro skyld. Et primitivt angrep kan organiseres av alle som i det minste har litt kunnskap om dette området. Riktignok er et slikt angrep verken anonymt eller effektivt, og de som begår det er kanskje ikke engang klar over det. Skoleelever øver ofte på slike situasjoner for moro skyld. Målet for slik "moro" kan være nesten hvilket som helst nettsted på Internett.
• på grunn av personlig fiendskap . Et DDoS-angrep på nettstedet ditt kan oppstå av denne grunn. Du vet aldri hvem du krysset veien til, konkurrenter eller andre mennesker som "ikke liker" Internett-ressursen din kan gjøre det samme.
• av hensyn til utpressing eller utpressing . Svindlere utpresser stort sett store selskaper. De krever et gebyr for å stoppe angrepet på serverne eller for ikke å utføre et.
• urettferdig konkurranse . Ofte lages slike angrep for å ødelegge nettstedets rykte og tap av kundetrafikk.

De første DDoS-angrepene dukket opp i 1996. Riktignok vakte dette fenomenet spesiell oppmerksomhet i 1999, da verdensgigantene - Amazon, Yahoo, CNN, eBay, E-Trade - ble fjernet fra driften. Og de begynte å ta hastetiltak for å løse problemet først i 2000, da serverne til nøkkelselskaper igjen ble berørt.

Typer DDoS.

Enkel trafikk er HTTP-forespørsler. Grunnlaget for forespørselen er HTTP-headeren. Anmoderen kan bruke så mange overskrifter han vil, og gi dem de ønskede egenskapene. DDoS-angripere kan endre disse overskriftene, noe som gjør det vanskelig å gjenkjenne som et angrep.

HTTP GET

• HTTP(S) GET-forespørsel- en metode som ber om data fra serveren. Denne forespørselen kan "be" serveren om å overføre filer, bilder, sider eller skript for visning i en nettleser.
• HTTP(S) FÅ flom - DDoS-angrep påføringslag (7) av OSI-modellen. Angriperen sender en kraftig strøm av forespørsler til serveren for å overvelde ressursene. I dette tilfellet slutter serveren å svare på forespørsler fra ekte besøkende.

HTTP POST

• HTTP(S) POST-forespørsel- en metode, hvis essens er at data plasseres i forespørselen for etterfølgende behandling på serveren. HTTP POST-forespørselskoder overført informasjon og plasserer det på skjemaet, og sender deretter dette innholdet til serveren. Denne metoden brukes når store mengder data må overføres.
• HTTP(S) POST-flom- en type DDoS-angrep der antallet POST-forespørsler overvelder serveren, og som et resultat av det ikke er i stand til å svare på dem. Dette medfører en nødstopp av serveren med påfølgende konsekvenser.

Alle forespørslene ovenfor overføres også over HTTPS; i dette tilfellet er de overførte dataene kryptert. Og slik beskyttelse spiller til fordel for hackere. Tross alt, for å identifisere en slik forespørsel, må serveren først dekryptere den. Og det er veldig vanskelig å dekryptere forespørselsstrømmen under et slikt angrep, og dette skaper ekstra belastning på serveren.

ICMP-flom (eller smurfeangrep). En ganske farlig type angrep. Hackeren sender en falsk ICMP-pakke der angriperens adresse endres til offerets adresse. Alle noder sender et svar på denne ping-forespørselen. For dette bruker de i de fleste tilfeller stort nettverk slik at offerets datamaskin er sjanseløs.

UDP-flom (eller Fraggle-angrep). Dens type ligner på ICMP-flom, men i dette tilfellet brukes UDP-pakker. På grunn av båndbreddemetning oppstår en tjenestenekt til offerserveren.

SYN flom. Dette angrepet er basert på å starte et stort antall samtidige TCP-forbindelser ved å sende en SYN-pakke med en ikke-eksisterende returadresse.

Sende "tunge pakker". I denne typen angrep sender angriperen pakker til serveren som ikke metter båndbredden, men kaster bort prosessortiden. Som et resultat krasjer systemet og brukere kan ikke få ressursene sine.

Server overflyt med loggfiler. Hvis loggfilrotasjonssystemet er feil, kan svindleren sende store pakker som snart tar opp alt ledig plass på serverens harddisk. Som et resultat krasjet systemet.

Kodefeil. Noen angripere med erfaring innen dette aktivitetsfeltet utvikler spesielle utnyttelsesprogrammer som lar dem angripe komplekse systemer til kommersielle organisasjoner. For å gjøre dette ser de etter feil i programkoden som kan føre til at tjenesten avsluttes.

Ulemper i programkode . Den samme situasjonen: hackere ser etter feil i programmenes kode eller operativsystemet, og tvinger dem samtidig til å håndtere eksepsjonelle situasjoner, som et resultat av at programmene mislykkes.

Metoder for å bekjempe DDoS kan deles inn i to typer:aktiv og passiv. Passive metoder er forhåndsforberedte metoder for forholdsregler og forebygging av et angrep; aktive metoder brukes hvis et angrep allerede blir begått i øyeblikket.

Den viktigste passive metoden er selvfølgeligforebygging. Mange anser denne metoden for å være uviktig, men i de fleste tilfeller er den fortsatt den viktigste.

Forebygging bør være basert på utelukkelse av faktorer som personlig fiendtlighet, konkurranse, religiøse eller andre forskjeller. Hvis slike årsaker elimineres i tide og de riktige konklusjonene trekkes, vil ikke DDoS påvirke Internett-ressursen din. Men denne metoden handler mer om ledelse enn den tekniske siden av problemet.

Bruk spesialisert programvare og maskinvare.

I dag har mange produksjonsbedrifter utviklet spesielle og ferdige løsninger for beskyttelse mot DDoS-angrep. Dette er programvare av ulike typer for å beskytte små og store nettsteder for ulike typer organisasjoner. Dette regnes også som en passiv beskyttelsesmetode, da det er en forebyggende metode.

Filtrering og blokkering av trafikk, som kommer fra angripende maskiner, gjør det mulig å redusere eller fullstendig slukke angrepet. Det er to filtreringsmetoder: ruting ved hjelp av ACLer og bruk av brannmurer. Ved å bruke ACL-er kan du filtrere uviktige protokoller uten å påvirke TCP-protokoller og uten å redusere hastigheten på brukernes arbeid med ressursen. Brannmurer brukes utelukkende for å beskytte private nettverk.

Omvendt DDoS– omdirigere trafikk til angriperen. Hvis du har tilstrekkelig serverkraft, kan du ikke bare overvinne angrepet, men også deaktivere angriperens utstyr. Er det sant, denne typen beskyttelse i tilfelle feil i programkoden til operativsystemet, systemtjenester eller nettapplikasjoner.

Å fikse sårbarheter– typen beskyttelse er rettet mot å eliminere feil i systemer eller tjenester. Dessverre fungerer ikke denne beskyttelsesmetoden mot flomangrep.

Bygge distribuerte systemer– lar deg betjene brukere selv om noen noder blir utilgjengelige på grunn av DDoS-angrep. Til dette brukes ulike typer nettverks- eller serverutstyr, som er plassert i forskjellige DC-er. Det er også ofte installert et backup-system. Dette er gunstig for store prosjekter som verdsetter sitt rykte og har et stort antall brukere.

Overvåkning– installasjon av et spesielt overvåkings- og varslingssystem. Det vil gjøre det mulig å beregne et DDoS-angrep basert på visse kriterier. Overvåking beskytter ikke direkte systemet under angrep, men det lar deg reagere i tide og forhindre en feil i ressursens operativsystem. Dette er selvfølgelig en passiv beskyttelsesmetode.

Kjøpe en DDoS-beskyttelsestjeneste– gjør det mulig å beskytte mot mange typer DDoS-angrep, ved å bruke en hel rekke mekanismer for å filtrere uønsket trafikk til angripende servere. Det er sant at slike tjenester ikke er billige.

Hvordan svare på trusler fra svindlere som DDoS din nettressurs? Flere detaljer i neste.

Bare et sett med tiltak beskrevet ovenfor vil hjelpe deg med å beskytte nettstedet ditt mot DDoS og beskytte tjenesten din.

Om DDoS-angrep. Grunnleggende regler for beskyttelse av ressurser på Internett, mer informasjon på.

9109 ganger 11 sett ganger i dag

Det krever ikke mye intelligens for å bestille et DDoS-angrep. Betal hackerne og tenk på panikken til konkurrentene dine. Først fra direktørstolen, og deretter fra en fengselsseng.

Vi forklarer hvorfor det å henvende seg til hackere er det siste en ærlig gründer bør gjøre og hva konsekvensene er.

Hvordan gjøre et DDoS-angrepselv en skolegutt vet

I dag er verktøy for å organisere et DDoS-angrep tilgjengelig for alle. Inngangsbarrieren for nybegynnere er lav. Derfor er andelen korte, men sterke angrep på russiske nettsteder vokste. Det ser ut til at hackergruppene bare øver på ferdighetene sine.

Sak i punkt. I 2014, utdanningsportalen til republikken Tatarstan fikk DDoS-angrep. Ved første øyekast er det ingen vits i angrepet: dette er ikke en kommersiell organisasjon og det er ingenting å spørre om. Portalen viser karakterer, timeplaner og så videre. Ikke mer. Kaspersky Lab-eksperter fant en VKontakte-gruppe der studenter og skolebarn fra Tatarstan diskuterte hvordan gjøre et DDoS-angrep.

Fellesskap av unge krigere mot systemet til republikken Tatarstan

Avledede spørsmål fra "hvordan lage et DDoS-angrep i Tatarstan" førte cybersikkerhetsspesialister til en interessant kunngjøring. Utøverne ble raskt funnet og de måtteå betale erstatning.

De pleide å rive ut sider i dagbøker, men nå hacker de seg inn på nettsider

På grunn av enkelheten til DDoS-angrep, tar nybegynnere uten moralske prinsipper eller forståelse for deres evner på dem. De kan også videreselge kundedata. Foryngelse av DDoS-angreps gjerningsmenn er en global trend.

Fengselsstraff våren 2017 mottatt av en britisk student. Da han var 16 år gammel, skapte han DDoS angrepsprogram Titanium Stresser. Briten tjente 400 tusen pund sterling (29 millioner rubler) på salget. Ved å bruke dette DDoS-programmet ble det utført 2 millioner angrep på 650 tusen brukere over hele verden.

Tenåringene viste seg å være medlemmer av store DDoS-grupper Lizard Squad og PoodleCorp. Unge amerikanere kom opp med sine egne DDoS-programmer, men brukte dem til å angripe spillservere for å få fordeler i nettspill. Slik ble de funnet.

Hvorvidt de skal stole på selskapets omdømme overfor gårsdagens skoleelever, får hver enkelt bestemme selv.

Straff forDDoS-programmeri Russland

Hvordan gjøre et DDoS-angrepinteressert i gründere som ikke vil spille etter konkurransereglene. Dette er hva ansatte i direktorat "K" i Russlands innenriksdepartement gjør. De fanger artistene.

Russisk lovgivning åpner for straff for nettforbrytelser. Basert på gjeldende praksis kan deltakere i et DDoS-angrep falle inn under følgende artikler.

Kunder.Handlingene deres faller vanligvis under- ulovlig tilgang til rettslig beskyttet datainformasjon.

Avstraffelse:fengsel i inntil syv år eller en bot på opptil 500 tusen rubler.

Eksempel. En ansatt i den tekniske intil Kurgan byadministrasjon ble dømt under denne artikkelen. Han utviklet det multifunksjonelle Meta-programmet. Med dens hjelp samlet angriperen inn personopplysninger om 1,3 millioner innbyggere i regionen. Etterpå solgte jeg den til banker og inkassobyråer. Hackera fikk to års fengsel.

Utøvere.Som regel blir de straffet av Artikkel 273 i den russiske føderasjonens straffelov - opprettelse, bruk og distribusjon av ondsinnede dataprogrammer.

Avstraffelse.Fengsel i opptil syv år med en bot på opptil 200 tusen rubler.

Eksempel.19 år gammel student fra Tolyatti fikk en 2,5 års betinget dom og en bot på 12 millioner rubler. Ved bruk av programmer for DDoS-angrep, prøvde han å få ned informasjonsressurser og banknettsteder. Etter angrepet presset studenten penger.

Uforsiktige brukere.Manglende overholdelse av sikkerhetsregler ved lagring av data straffes med Artikkel 274 i den russiske føderasjonens straffelov - brudd på reglene for driftsmidler for lagring, behandling eller overføring av datainformasjon og informasjons- og telekommunikasjonsnettverk.

Avstraffelse:fengsel i inntil fem år eller en bot på opptil 500 tusen rubler.

Eksempel.Hvis penger ble stjålet på noen måte under tilgang til informasjon, vil artikkelen bli omklassifisert som svindel innen datainformasjon (). Altså to år i et kolonioppgjør mottatt av Ural-hackere som fikk tilgang til bankservere.

Angrep på media.Hvis DDoS-angrep er rettet mot å krenke journalistiske rettigheter, faller handlingene inn under - hindring av en journalists legitime profesjonelle aktiviteter.

Avstraffelse:fengsel i inntil seks år eller en bot på opptil 800 tusen rubler.

Eksempel.Denne artikkelen blir ofte omklassifisert til vanskeligere. Hvordan gjøre et DDoS-angrep de som angrep Novaya Gazeta, Ekho Moskvy og Bolshoy Gorod visste. Regionale publikasjoner blir også ofre for hackere.

I Russland er det strenge straffer for bruk DDoS-programmer . Anonymitet fra direktorat "K" vil ikke redde deg.

Programmer for DDoS-angrep

Ifølge eksperter er 2000 bots nok til å angripe et gjennomsnittlig nettsted. Kostnaden for et DDoS-angrep starter fra $20 (1100 rubler). Antall angrepskanaler og driftstid diskuteres individuelt. Det er også utpressing.

En anstendig hacker vil gjennomføre en pentest før et angrep. Militæret vil kalle denne metoden «rekognosering i kraft». Essensen av en pentest er et lite, kontrollert angrep for å finne ut nettstedets forsvarsressurser.

Interessant fakta.Hvordan gjøre et DDoS-angrepMange vet, men styrken til en hacker bestemmes av et botnett. Ofte stjeler angripere tilgangsnøkler til "hærer" fra hverandre og selger dem deretter videre. Et velkjent triks er å "slå av" wi-fi slik at den vil starte på nytt og gå tilbake til de grunnleggende innstillingene. I denne tilstanden er passordet standard. Deretter får angriperne tilgang til all organisasjonens trafikk.

Den siste hackertrenden er å hacke smarte enheter for å installere kryptovalutagruvearbeidere på dem. Disse handlingene kan kvalifisere under bruksklausulen skadevare(Artikkel 273 i den russiske føderasjonens straffelov). Altså FSB-offiserer varetektsfengslet Systemadministrator Mission Control Center. Han installerte gruvearbeidere på arbeidsutstyret sitt og beriket seg selv. Angriperen ble identifisert av strømstøt.

Hackere vil utføre et DDoS-angrep på en konkurrent. Da kan de få tilgang til den datakraft og min en bitcoin eller to. Bare denne inntekten vil ikke gå til kunden.

Risikoer ved å bestille et DDoS-angrep

La oss oppsummere ved å veie fordelene og ulempene ved å bestille et DDoS-angrep på konkurrenter.

Hvis konkurrenter har irritert virksomheten, vil ikke hackere hjelpe. De vil bare gjøre ting verre. Byrået "Digital Sharks" uønsket informasjon gjennom lovlige midler.