Uvod

Naj takoj rezerviram, da ko sem pisal ta pregled, sem bil usmerjen predvsem v občinstvo, ki razume specifike dela telekomunikacijskih operaterjev in njihovih podatkovnih omrežij. Članek opisuje osnovna načela zaščite pred napadi DDoS, zgodovino njihovega razvoja v zadnjem desetletju in trenutno stanje.

Kaj je DDoS?

Verjetno danes, če že ne vsak »uporabnik«, pa vsaj vsak »informatik« ve, kaj so napadi DDoS. Toda nekaj besed je vseeno treba povedati.

Napadi DDoS (Distributed Denial of Service) so napadi na računalniške sisteme (omrežne vire ali komunikacijske kanale), katerih namen je narediti nedostopne legitimnim uporabnikom. Napadi DDoS vključujejo sočasno pošiljanje velikega števila zahtev določenemu viru iz enega ali več računalnikov v internetu. Če na tisoče, desettisoče ali milijone računalnikov hkrati začne pošiljati zahteve določenemu strežniku (ali omrežni storitvi), potem strežnik tega ne bo mogel obravnavati ali pa ne bo dovolj pasovne širine za komunikacijski kanal do tega strežnika. . V obeh primerih uporabniki interneta ne bodo mogli dostopati do napadenega strežnika ali celo do vseh strežnikov in drugih virov, povezanih prek blokiranega komunikacijskega kanala.

Nekatere značilnosti napadov DDoS

Proti komu in s kakšnim namenom se izvajajo DDoS napadi?

DDoS napade je mogoče sprožiti proti kateremu koli viru v internetu. Največjo škodo zaradi DDoS napadov utrpijo organizacije, katerih poslovanje je neposredno povezano z njihovo prisotnostjo na internetu – banke (ki ponujajo storitve internetnega bančništva), spletne trgovine, trgovalne platforme, dražbe, pa tudi druge vrste dejavnosti, katerih aktivnost in učinkovitost sta v veliki meri odvisni od njihove prisotnosti na internetu (potovalne agencije, letalske družbe, proizvajalci opreme in programske opreme itd.) DDoS napadi se redno izvajajo proti virom takšnih velikanov svetovne industrije IT, kot so IBM, Cisco Systems, Microsoft in drugi. Opazili so množične napade DDoS na eBay.com, Amazon.com in številne znane banke in organizacije.

Zelo pogosto se DDoS napadi izvajajo proti spletnim predstavništvom političnih organizacij, institucij ali posameznih znanih osebnosti. Veliko ljudi ve za množične in dolgotrajne napade DDoS, ki so bili izvedeni na spletno stran gruzijskega predsednika med gruzijsko-osetijsko vojno leta 2008 (spletna stran je bila nekaj mesecev nedosegljiva od avgusta 2008), proti strežnikom estonske vlade. (spomladi 2007, med nemiri, povezanimi s prenosom Bronastega vojaka), o periodičnih napadih iz severnokorejskega segmenta interneta na ameriška spletna mesta.

Glavni cilj DDoS napadov je pridobivanje koristi (neposredne ali posredne) z izsiljevanjem in izsiljevanjem ali zasledovanje političnih interesov, zaostritev situacije ali maščevanje.

Kakšni so mehanizmi za sprožitev napadov DDoS?

Najbolj priljubljen in nevaren način za zagon DDoS napadov je uporaba botnetov (BotNets). Botneti so nabor računalnikov, na katerih so nameščeni posebni programski zaznamki (boti), v prevodu iz angleščine je botnet omrežje botov. Bote običajno razvijejo hekerji posebej za vsak botnet, njihov glavni cilj pa je pošiljanje zahtev do določenega vira na internetu po ukazu, prejetem s strežnika za nadzor botneta – Botnet Command and Control Server. Nadzorni strežnik botneta nadzoruje heker ali oseba, ki je kupila botnetno omrežje in možnost, da od hekerja izvede napad DDoS. Boti se širijo po internetu različne poti, praviloma tako, da napadejo računalnike, ki imajo ranljive storitve in nanje namestijo programske zaznamke, ali pa zavedejo uporabnike in jih prisilijo v namestitev botov pod krinko zagotavljanja drugih storitev ali programske opreme, ki deluje popolnoma neškodljivo ali celo uporabna funkcija. Obstaja veliko načinov za širjenje botov in redno se izumljajo nove metode.

Če je botnet dovolj velik – na desetine ali sto tisoče računalnikov –, bo hkratno pošiljanje iz vseh teh računalnikov tudi povsem legitimnih zahtev določeni omrežni storitvi (na primer spletni storitvi na določenem mestu) povzročilo izčrpanost virov same storitve ali strežnika ali do izčrpanosti zmogljivosti komunikacijskega kanala. V vsakem primeru bo storitev uporabnikom nedostopna, lastnik storitve pa bo utrpel neposredno, posredno škodo in ugled. In če vsak računalnik ne pošlje samo ene zahteve, ampak desetine, stotine ali tisoče zahtevkov na sekundo, potem se učinek napada večkrat poveča, kar omogoča uničenje celo najbolj produktivnih virov ali komunikacijskih kanalov.

Nekateri napadi se izvajajo na bolj "neškodljive" načine. Na primer flash mob uporabnikov določenih forumov, ki se po dogovoru zaženejo v določen čas»pingi« ali druge zahteve njihovih računalnikov proti določenemu strežniku. Drug primer je postavitev povezave do spletnega mesta na priljubljenih internetnih virih, kar povzroči pritok uporabnikov na ciljni strežnik. Če se »lažna« povezava (navzven izgleda kot povezava do enega vira, v resnici pa vodi do popolnoma drugega strežnika) nanaša na spletno stran majhne organizacije, vendar je objavljena na priljubljenih strežnikih ali forumih, lahko tak napad povzroči pritok obiskovalcev, ki je nezaželen za to spletno mesto. Napadi zadnjih dveh vrst redko vodijo do prenehanja razpoložljivosti strežnika na pravilno organiziranih gostiteljskih mestih, vendar so bili taki primeri, tudi v Rusiji leta 2009.

Ali bodo tradicionalna tehnična sredstva zaščite pred napadi DDoS pomagala?

Posebnost napadov DDoS je v tem, da so sestavljeni iz številnih hkratnih zahtev, od katerih je vsaka posebej popolnoma “legalna”, poleg tega te zahteve pošiljajo računalniki (okuženi z boti), ki lahko pripadajo najpogostejšim pravim ali potencialnim uporabnikom. napadene storitve ali vira. Zato je s standardnimi orodji zelo težko pravilno prepoznati in filtrirati točno tiste zahteve, ki predstavljajo napad DDoS. Standardni sistemi razred IDS/IPS (Intrusion Detection / Prevention System - sistem za odkrivanje/preprečevanje omrežnih napadov) v teh zahtevah ne bo našel “corpus delicti”, ne bo razumel, da so del napada, razen če opravi kvalitativno analizo prometnih anomalij. . In tudi če ga najdejo, tudi filtriranje nepotrebnih zahtevkov ni tako enostavno - standardni požarni zidovi in ​​usmerjevalniki filtrirajo promet na podlagi jasno definiranih seznamov dostopa (pravila nadzora) in se ne znajo »dinamično« prilagajati profilu specifični napad. Požarni zidovi lahko uravnava prometne tokove na podlagi meril, kot so izvorni naslovi, uporabljene omrežne storitve, vrata in protokoli. Toda običajni uporabniki interneta sodelujejo v napadu DDoS, pošiljajo zahteve po najpogostejših protokolih - ali ne bi telekomunikacijski operater prepovedal vsakogar in vse? Takrat bo svojim naročnikom preprosto prenehal zagotavljati komunikacijske storitve in prenehal zagotavljati dostop do omrežnih virov, ki jim služi, kar je pravzaprav tisto, kar želi doseči pobudnik napada.

Mnogi strokovnjaki verjetno poznajo obstoj posebnih rešitev za zaščito pred napadi DDoS, ki obsegajo odkrivanje anomalij v prometu, izgradnjo prometnega profila in profila napada ter kasnejši proces dinamičnega večstopenjskega filtriranja prometa. In o teh rešitvah bom govoril tudi v tem članku, vendar malo kasneje. Najprej bomo govorili o nekaterih manj znanih, a včasih precej učinkovitih ukrepih, ki jih je mogoče sprejeti za zatiranje napadov DDoS z obstoječimi sredstvi podatkovnega omrežja in njegovih skrbnikov.

Zaščita pred DDoS napadi z razpoložljivimi sredstvi

Obstaja kar nekaj mehanizmov in »trikov«, ki v nekaterih posebnih primerih omogočajo zatiranje DDoS napadov. Nekatere je mogoče uporabiti le, če je podatkovno omrežje zgrajeno na opremi določenega proizvajalca, druge so bolj ali manj univerzalne.

Začnimo s priporočili Cisco Systems. Strokovnjaki tega podjetja priporočajo zagotavljanje zaščite za temelj omrežja (Network Foundation Protection), ki vključuje zaščito nivoja upravljanja omrežja (Control Plane), nivoja upravljanja omrežja (Management Plane) in zaščite nivoja podatkov omrežja (Data Plane).

Zaščita ravnine upravljanja

Izraz "administrativna plast" zajema ves promet, ki upravlja ali nadzira usmerjevalnike in drugo omrežno opremo. Ta promet je usmerjen proti usmerjevalniku ali izvira iz usmerjevalnika. Primeri takšnega prometa so seje Telnet, SSH in http(s), sporočila sistemskega dnevnika, pasti SNMP. Splošne najboljše prakse vključujejo:

Zagotavljanje maksimalne varnosti protokolov upravljanja in nadzora z uporabo šifriranja in avtentikacije:

• protokol SNMP v3 zagotavlja varnostne ukrepe, medtem ko SNMP v1 praktično ne zagotavlja, SNMP v2 pa le delno - privzete vrednosti Skupnosti je treba vedno spremeniti;
• uporabiti je treba različne vrednosti za javno in zasebno skupnost;
• protokol telnet prenaša vse podatke, vključno z uporabniškim imenom in geslom, v čistem besedilu (če je promet prestrežen, je te podatke mogoče zlahka izluščiti in uporabiti), priporočamo, da namesto tega vedno uporabite protokol ssh v2;
• podobno namesto http uporabite https za dostop do opreme, strog nadzor dostopa do opreme, vključno z ustrezno politiko gesel, centralizirano avtentikacijo, avtorizacijo in obračunavanje (model AAA) ter lokalno avtentikacijo za namene redundance;

Implementacija modela dostopa na podlagi vlog;

Nadzor dovoljenih povezav po izvornem naslovu z uporabo seznamov za nadzor dostopa;

Onemogočanje neuporabljenih storitev, od katerih so mnoge privzeto omogočene (ali so jih pozabili onemogočiti po diagnosticiranju ali konfiguraciji sistema);

Spremljanje porabe virov opreme.

Zadnji dve točki se je vredno podrobneje posvetiti.
Nekatere storitve, ki so privzeto vklopljene ali so pozabljene izklopljene po konfiguraciji ali diagnosticiranju opreme, lahko napadalci uporabijo za izogibanje obstoječim varnostnim pravilom. Seznam teh storitev je spodaj:

• PAD (sestavljalnik/razstavljalnik paketov);

Seveda, preden onemogočite te storitve, morate natančno analizirati, ali so potrebne v vašem omrežju.

Priporočljivo je spremljati uporabo virov opreme. To bo omogočilo, prvič, pravočasno opaziti preobremenitev posameznih omrežnih elementov in sprejeti ukrepe za preprečevanje nesreče, in drugič, odkriti napade DDoS in anomalije, če njihovo odkrivanje ni predvideno s posebnimi sredstvi. Priporočljivo je spremljati vsaj:

• obremenitev procesorja
• uporaba pomnilnika
• prezasedenost vmesnikov usmerjevalnika.

Nadzor se lahko izvaja "ročno" (občasno spremljanje stanja opreme), vendar je seveda bolje, če to storite s posebnim nadzorom omrežja ali nadzornimi sistemi varnost informacij(slednji vključuje Cisco MARS).

Zaščita nadzorne ravnine

Sloj upravljanja omrežja vključuje ves storitveni promet, ki zagotavlja delovanje in povezljivost omrežja v skladu z navedeno topologijo in parametri. Primeri prometa nadzorne ravnine so: ves promet, ki ga ustvari ali je namenjen procesorju poti (RR), vključno z vsemi usmerjevalnimi protokoli, v nekaterih primerih protokoli SSH in SNMP ter ICMP. Vsak napad na delovanje usmerjevalnega procesorja, predvsem pa napadi DDoS, lahko povzročijo velike težave in motnje v delovanju omrežja. Sledijo najboljše prakse za zaščito nadzorne ravnine.

Nadzor nadzornega letala

Sestoji iz uporabe mehanizmov QoS (Quality of Service) za dajanje višje prednosti nadzoru letalskega prometa kot uporabniškega prometa (katerega del so napadi). S tem bo zagotovljeno delovanje servisnih protokolov in usmerjevalnega procesorja, torej vzdrževanje topologije in povezljivosti omrežja ter dejansko usmerjanje in preklapljanje paketov.

ACL prejema IP

Ta funkcionalnost vam omogoča filtriranje in nadzor storitvenega prometa, namenjenega usmerjevalniku in usmerjevalnemu procesorju.

• nanašajo se neposredno na usmerjevalno opremo, preden promet doseže usmerjevalni procesor, kar zagotavlja "osebno" zaščito opreme;
• se uporabijo po prehodu prometa skozi običajne sezname za nadzor dostopa - so zadnji nivo zaščite na poti do usmerjevalnega procesorja;
• veljajo za ves promet (tako notranji, zunanji kot tudi tranzitni glede na omrežje telekomunikacijskega operaterja).

Infrastrukturni ACL

Običajno je dostop do lastniških naslovov opreme za usmerjanje potreben le za gostitelje v lastnem omrežju operaterja, vendar obstajajo izjeme (na primer eBGP, GRE, IPv6 prek tunelov IPv4 in ICMP). Infrastrukturni ACL-ji:

• običajno nameščen na robu omrežja telekomunikacijskega operaterja (»na vhodu v omrežje«);
• imajo cilj preprečiti zunanjim gostiteljem dostop do infrastrukturnih naslovov operaterja;
• zagotoviti nemoten prehod prometa čez mejo omrežja operaterja;
• zagotavljajo osnovne mehanizme zaščite pred nepooblaščeno omrežno dejavnostjo, opisano v RFC 1918, RFC 3330, zlasti zaščito pred spoofingom (spoofing, uporaba lažnih izvornih naslovov IP za prikrivanje ob začetku napada).

Preverjanje pristnosti soseda

Glavni namen preverjanja pristnosti soseda je preprečiti napade, ki vključujejo pošiljanje ponarejenih sporočil protokola usmerjanja, da bi spremenili usmerjanje v omrežju. Takšni napadi lahko vodijo do nepooblaščenega vdora v omrežje, nepooblaščene uporabe omrežnih virov in tudi do tega, da napadalec prestreže promet z namenom analize in pridobivanja potrebnih informacij.

Nastavitev BGP

• Filtri predpone BGP – uporabljajo se za zagotavljanje informacij o poti interno omrežje telekomunikacijski operater ni bil distribuiran na internetu (včasih so te informacije lahko zelo koristne za napadalca);
• omejevanje števila predpon, ki jih je mogoče prejeti od drugega usmerjevalnika (omejitev predpon) – uporablja se za zaščito pred napadi DDoS, anomalijami in napakami v enakovrednih partnerskih omrežjih;
• uporabo parametrov skupnosti BGP in njihovo filtriranje je mogoče uporabiti tudi za omejitev distribucije informacij o usmerjanju;
• Spremljanje BGP in primerjava podatkov BGP z opazovanim prometom je eden od mehanizmov za zgodnje odkrivanje DDoS napadov in anomalij;
• filtriranje po parametru TTL (Time-to-Live) - uporablja se za preverjanje partnerjev BGP.

Če se napad BGP ne izvede iz omrežja enakovrednega partnerja, ampak iz bolj oddaljenega omrežja, bo parameter TTL za pakete BGP manjši od 255. Mejne usmerjevalnike operaterja lahko konfigurirate tako, da izpustijo vse pakete BGP s TTL vrednost< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Zaščita podatkovne ravnine v omrežju (Data Plane)

Kljub pomembnosti zaščite administrativne in vodstvene ravni je večina prometa v omrežju telekomunikacijskega operaterja podatkovnega, tranzitnega ali namenjenega naročnikom tega operaterja.

Unicast posredovanje povratne poti (uRPF)

Napadi se pogosto izvajajo s tehnologijo lažnega predstavljanja – izvorni naslovi IP so ponarejeni, tako da ni mogoče izslediti vira napada. Lažni naslovi IP so lahko:

• iz dejansko uporabljenega naslovnega prostora, vendar v drugem omrežnem segmentu (v segmentu, iz katerega je bil napad izveden, ti lažni naslovi niso usmerjeni);
• iz naslovnega prostora, ki se ne uporablja v danem omrežju za prenos podatkov;
• iz naslovnega prostora, ki ga ni mogoče usmerjati v internetu.

Implementacija mehanizma uRPF na usmerjevalnikih bo preprečila usmerjanje paketov z izvornimi naslovi, ki so nezdružljivi ali neuporabljeni v segmentu omrežja, iz katerega so prispeli na vmesnik usmerjevalnika. Ta tehnologija včasih omogoča precej učinkovito filtriranje neželenega prometa, ki je najbližje izvoru, torej najbolj učinkovito. Številni napadi DDoS (vključno s slavnima Smurf in Tribal Flood Network) uporabljajo mehanizem ponarejanja in nenehnega spreminjanja izvornih naslovov, da bi prevarali standardne varnostne ukrepe in ukrepe filtriranja prometa.

Telekomunikacijski operaterji, ki naročnikom zagotavljajo dostop do interneta, bodo z uporabo mehanizma uRPF učinkovito preprečili napade DDoS z uporabo tehnologije lažnega predstavljanja, ki jo njihovi naročniki usmerijo proti internetnim virom. Tako je napad DDoS zatrt najbližje izvoru, torej najbolj učinkovito.

Daljinsko sprožene črne luknje (RTBH)

Daljinsko sprožene črne luknje se uporabljajo za "odlaganje" (uničenje, pošiljanje "nikamor") prometa, ki vstopa v omrežje z usmerjanjem tega prometa na posebne vmesnike Null 0. Ta tehnologija Priporočljivo je, da ga uporabite na robu omrežja, da izpustite promet, ki vsebuje napad DDoS, ko vstopi v omrežje. Omejitev (in pomembna) te metode je, da velja za ves promet, namenjen določenemu gostitelju ali gostiteljem, ki so tarča napada. torej ta metoda se lahko uporablja v primerih, ko je eden ali več gostiteljev izpostavljenih množičnemu napadu, ki povzroča težave ne le napadenim gostiteljem, temveč tudi drugim naročnikom in omrežju telekomunikacijskega operaterja kot celoti.

Črne luknje je mogoče upravljati ročno ali prek protokola BGP.

Razširjanje pravilnika QoS prek BGP (QPPB)

Nadzor QoS prek BGP (QPPB) vam omogoča upravljanje prednostnih politik za promet, namenjen določenemu avtonomnemu sistemu ali bloku naslovov IP. Ta mehanizem je lahko zelo uporaben za telekomunikacijske operaterje in velika podjetja, vključno z upravljanjem ravni prioritete za neželeni promet ali promet, ki vsebuje napad DDoS.

Luknje za korita

V nekaterih primerih ni treba popolnoma odstraniti prometa s črnimi luknjami, temveč ga preusmeriti stran od glavnih kanalov ali virov za naknadno spremljanje in analizo. To je točno tisto, za kar so zasnovani "odvodni kanali" ali ponorni luknji.

Pomivalne luknje se najpogosteje uporabljajo v naslednjih primerih:

• preusmeriti in analizirati promet s ciljnimi naslovi, ki spadajo v naslovni prostor omrežja telekomunikacijskega operaterja, vendar se dejansko ne uporabljajo (niso bili dodeljeni niti opremi niti uporabnikom); tak promet je že vnaprej sumljiv, saj pogosto kaže na poskuse skeniranja ali prodora v vaše omrežje s strani napadalca, ki nima podrobne informacije o njegovi strukturi;
• preusmeriti promet s cilja napada, ki je vir, ki dejansko deluje v omrežju telekomunikacijskega operaterja, za njegovo spremljanje in analizo.

DDoS zaščita s posebnimi orodji

Koncept Cisco Clean Pipes je pionir v industriji

Sodoben koncept zaščite pred napadi DDoS je razvil (ja, ja, ne boste presenečeni! :)) Cisco Systems. Koncept, ki ga je razvil Cisco, se imenuje Cisco Clean Pipes. Koncept, ki je bil podrobno razvit pred skoraj 10 leti, je dokaj natančno opisal osnovne principe in tehnologije zaščite pred prometnimi anomalijami, ki jih večina uporablja še danes, tudi pri drugih proizvajalcih.

Koncept Cisco Clean Pipes vključuje naslednja načela za odkrivanje in blaženje napadov DDoS.

Izberejo se točke (omrežni odseki), v katerih se analizira promet za ugotavljanje nepravilnosti. Odvisno od tega, kaj varujemo, so lahko takšne točke peering povezave telekomunikacijskega operaterja z višjimi operaterji, povezovalne točke nižjih operaterjev ali naročnikov, kanali, ki povezujejo centre za obdelavo podatkov z omrežjem.

Posebni detektorji analizirajo promet na teh točkah, gradijo (preučujejo) prometni profil v normalnem stanju in ga ob pojavu DDoS napada ali anomalije zaznajo, preučujejo in dinamično oblikujejo njegove značilnosti. Nadalje podatke analizira sistemski operater, polavtomatsko oz avtomatski način Začne se postopek zatiranja napada. Zatiranje je, kjer se promet, namenjen »žrtvi«, dinamično preusmeri prek filtrirne naprave, kjer se filtri, ki jih ustvari detektor, uporabijo za ta promet in odražajo individualno naravo tega napada. Očiščen promet se vnese v omrežje in pošlje prejemniku (zato se je pojavilo ime Clean Pipes - naročnik prejme "čist kanal", ki ne vsebuje napada).

Tako celoten cikel zaščite pred napadi DDoS vključuje naslednje glavne faze:

• izobraževanje krmilne značilnosti promet (profiliranje, osnovno učenje)
• Odkrivanje napadov in anomalij (Detection)
• Preusmerjanje prometa skozi čistilno napravo (Preusmeritev)
• Filtriranje prometa za zatiranje napadov (blažitev)
• Vbrizgavanje prometa nazaj v omrežje in pošiljanje prejemniku (vbrizgavanje).

Več funkcij.
Kot detektorji se lahko uporabljajo dve vrsti naprav:

• Detektorji, ki jih proizvaja Cisco Systems, so Cisco Traffic Anomaly Detector Services Module, zasnovani za vgradnjo v ohišje Cisco 6500/7600.
• Detektorji proizvajalca Arbor Networks so naprave Arbor Peakflow SP CP.

Spodaj je tabela s primerjavo detektorjev Cisco in Arbor.

Parameter	Detektor prometnih nepravilnosti Cisco	Arbor Peakflow SP CP
Pridobivanje prometnih informacij za analizo	Uporablja kopijo prometa, dodeljenega ohišju Cisco 6500/7600	Uporabljajo se podatki o prometu Netflow, prejeti od usmerjevalnikov, vzorčenje je mogoče prilagoditi (1:1, 1:1.000, 1:10.000 itd.)
Uporabljena načela identifikacije	Analiza podpisa (odkrivanje napačne uporabe) in odkrivanje nepravilnosti (dinamičnoprofiliranje)	Predvsem odkrivanje nepravilnosti; uporablja se analiza podpisov, vendar so podpisi splošne narave
Faktor oblike	servisni moduli v ohišju Cisco 6500/7600	ločene naprave (strežniki)
Izvedba	Analiziran je promet do 2 Gbit/s	Praktično neomejeno (frekvenca vzorčenja se lahko zmanjša)
Razširljivost	Namestitev do 4 modulovCiscoDetektorS.M.v eno ohišje (vendar moduli delujejo neodvisno drug od drugega)	Možnost uporabe več naprav znotraj enoten sistem analiz, od katerih ima eden status Leader
Nadzor omrežnega prometa in usmerjanja	Funkcionalnosti praktično ni	Funkcionalnost je zelo razvita. Številni telekomunikacijski operaterji kupijo Arbor Peakflow SP zaradi njegove globoke in prefinjene funkcionalnosti za spremljanje prometa in usmerjanje v omrežju.
Zagotavljanje portala (individualni vmesnik za naročnika, ki omogoča spremljanje le tistega dela omrežja, ki je neposredno povezan z njim)	Ni zagotovljeno	Zagotovljeno. Je resna prednost ta odločitev, saj lahko telekomunikacijski operater svojim naročnikom prodaja posamezne storitve zaščite pred napadi DDoS.
Združljive naprave za čiščenje prometa (zatiranje napadov)	Cisco Modul stražarskih storitev	Arbor Peakflow SP TMS; Cisco Guard Services Module.
	Zaščita podatkovnih centrov, ko so povezani z internetom Spremljanje downstream povezav naročniških omrežij z omrežjem telekomunikacijskega operaterja	Odkrivanje napadov nagorvodno- povezave omrežja telekomunikacijskega operaterja z omrežji višjih ponudnikov Nadzor hrbtenice telekomunikacijskega operaterja

V zadnji vrstici tabele so prikazani scenariji uporabe detektorjev Cisco in Arbor, ki ju priporoča Cisco Systems. Ti scenariji so prikazani v spodnjem diagramu.

Kot napravo za čiščenje prometa Cisco priporoča uporabo servisnega modula Cisco Guard, ki je nameščen v ohišje Cisco 6500/7600 in se na ukaz, prejet iz Cisco Detector ali Arbor Peakflow SP CP, promet dinamično preusmeri, očisti in ponovno vnese v omrežje. Mehanizmi za preusmeritev so posodobitve BGP za usmerjevalnike navzgor ali neposredni nadzorni ukazi nadzorniku z uporabo lastniškega protokola. Pri uporabi posodobitev BGP usmerjevalnik navzgor prejme novo vrednost nex-hop za promet, ki vsebuje napad, tako da gre ta promet na strežnik za čiščenje. Hkrati je treba paziti, da te informacije ne vodijo v organizacijo zanke (da nižji usmerjevalnik, ko vanj vnese odobreni promet, tega prometa ne poskuša zaviti nazaj v čistilno napravo) . Če želite to narediti, je mogoče uporabiti mehanizme za nadzor distribucije posodobitev BGP z uporabo parametra skupnosti ali uporabo tunelov GRE pri vnosu odobrenega prometa.

Takšno stanje je obstajalo, dokler Arbor Networks ni občutno razširil linije izdelkov Peakflow SP in začel vstopati na trg s popolnoma samostojno rešitvijo za zaščito pred DDoS napadi.

Predstavljen Arbor Peakflow SP TMS

Podjetje Arbor Networks se je pred nekaj leti odločilo, da bo svojo linijo izdelkov za zaščito pred DDoS napadi razvijalo samostojno in ne glede na tempo in politiko razvoja tega področja v Ciscu. Rešitve Peakflow SP CP so imele temeljne prednosti pred Cisco Detectorjem, saj so analizirale informacije o pretoku z možnostjo regulacije frekvence vzorčenja in zato niso imele omejitev pri uporabi v omrežjih telekomunikacijskih operaterjev in na trank kanalih (za razliko od Cisco Detectorja, ki analizira kopijo promet). Poleg tega je bila velika prednost Peakflow SP možnost, da operaterji naročnikom prodajo individualno storitev za spremljanje in zaščito svojih omrežnih segmentov.

Zaradi teh in drugih razlogov je Arbor znatno razširil svojo linijo izdelkov Peakflow SP. Pojavile so se številne nove naprave:

Peakflow SP TMS (sistem za upravljanje groženj)- zavira DDoS napade z večstopenjskim filtriranjem na podlagi podatkov, pridobljenih iz Peakflow SP CP in iz laboratorija ASERT v lasti Arbor Networks, ki spremlja in analizira DDoS napade na internetu;

Peakflow SP BI (poslovna inteligenca)- naprave, ki omogočajo skaliranje sistema, povečanje števila logičnih objektov, ki jih je treba spremljati, in zagotavljanje redundance za zbrane in analizirane podatke;

Peakflow SP PI (portalni vmesnik)- naprave, ki zagotavljajo povečanje števila naročnikov, ki jim je zagotovljen individualni vmesnik za upravljanje lastne varnosti;

Peakflow SP FS (Cenzor pretoka)- naprave, ki omogočajo spremljanje naročniških usmerjevalnikov, povezav z nadaljnjimi omrežji in podatkovnimi centri.

Načela delovanja sistema Arbor Peakflow SP ostajajo v bistvu enaka kot Cisco Clean Pipes, vendar Arbor redno razvija in izboljšuje svoje sisteme, tako da ta trenutek Funkcionalnost izdelkov Arbor je v mnogih pogledih boljša od Ciscovih, vključno z zmogljivostjo.

Danes je največjo zmogljivost Cisco Guard mogoče doseči z ustvarjanjem gruče 4 modulov Guard v enem ohišju Cisco 6500/7600, medtem ko popolno združevanje teh naprav v gruče ni implementirano. Hkrati imajo vrhunski modeli Arbor Peakflow SP TMS zmogljivost do 10 Gbps in jih je mogoče združiti v gruče.

Potem ko se je Arbor začel pozicionirati kot neodvisen igralec na trgu odkrivanja in zatiranja napadov DDoS, je Cisco začel iskati partnerja, ki bi mu zagotavljal prepotrebno spremljanje podatkov o pretoku omrežnega prometa, a ne bi bil neposreden tekmovalec. Takšno podjetje je bilo Narus, ki proizvaja sisteme za nadzor prometa na podlagi podatkov o pretoku (NarusInsight) in je sklenilo partnerstvo s Cisco Systems. Vendar to partnerstvo ni dobilo resnega razvoja in prisotnosti na trgu. Poleg tega po nekaterih poročilih Cisco ne namerava vlagati v svoje rešitve Cisco Detector in Cisco Guard, temveč bo to nišo prepustil podjetju Arbor Networks.

Nekatere funkcije rešitev Cisco in Arbor

Omeniti velja nekatere značilnosti rešitev Cisco in Arbor.

1. Cisco Guard se lahko uporablja v povezavi z detektorjem ali samostojno. V slednjem primeru je nameščen v linijskem načinu in opravlja funkcije detektorja, analizira promet in po potrebi vklopi filtre in očisti promet. Pomanjkljivost tega načina je, da je, prvič, dodana dodatna točka potencialne okvare, in drugič, dodatna prometna zamuda (čeprav je majhna, dokler se ne vklopi filtrirni mehanizem). Priporočen način za Cisco Guard je, da počaka na ukaz za preusmeritev prometa, ki vsebuje napad, ga filtrira in vnese nazaj v omrežje.
2. Naprave Arbor Peakflow SP TMS lahko delujejo tudi v načinu off-ramp ali in-line. V prvem primeru naprava pasivno čaka na ukaz za preusmeritev prometa, ki vsebuje napad, da ga očisti in vnese nazaj v omrežje. V drugem pa prepusti ves promet skozi sebe, na podlagi tega ustvari podatke v formatu Arborflow in jih prenese v Peakflow SP CP za analizo in zaznavanje napadov. Arborflow je format, podoben Netflowu, vendar ga je Arbor spremenil za svoje sisteme Peakflow SP. Spremljanje prometa in zaznavanje napadov izvaja Peakflow SP CP na podlagi podatkov Arborflow, prejetih od TMS. Ko je napad zaznan, operater Peakflow SP CP izda ukaz za njegovo zatiranje, nakar TMS vklopi filtre in očisti promet pred napadom. Za razliko od Cisca strežnik Peakflow SP TMS ne more delovati samostojno, za njegovo delovanje je potreben strežnik Peakflow SP CP, ki analizira promet.
3. Danes se večina strokovnjakov strinja, da so naloge zaščite lokalnih delov omrežja (na primer povezovanje podatkovnih centrov ali povezovanje omrežij navzdol) učinkovite.

DDOS napad. Razlaga in primer.

Pozdravljeni vsi skupaj. To je blog Computer76, zdaj pa še članek o osnovah hekerske umetnosti. Danes bomo govorili o tem, kaj je napad DDOS s preprostimi besedami in primeri. Preden razmetavamo tehnične izraze, bo sledil uvod, ki bo razumljiv vsem.

Zakaj se uporablja napad DDOS?

Vdiranje v WiFi se uporablja za pridobivanje gesel brezžično omrežje. Napadi v obliki “ ” vam bodo omogočili poslušanje internetnega prometa. Analiza ranljivosti, ki ji sledi nalaganje določene, omogoča zajem ciljnega računalnika. Kaj naredi napad DDOS? Njegov cilj je na koncu izbrati pravice do lastništva vira od zakonitega lastnika. Ne mislim, da ne boste lastnik spletnega mesta ali bloga. To pomeni, da boste v primeru uspešnega napada na vašo spletno stran izgubili boste sposobnost nadzora. Avtor: vsaj, za nekaj časa.

Vendar pa se v sodobni interpretaciji napada DDOS najpogosteje uporablja za motenje normalnega delovanja katere koli storitve. Hekerske skupine, katerih imena se nenehno slišijo, napadajo velike vladne ali vladne spletne strani, da bi opozorile na določene težave. Toda skoraj vedno za takšnimi napadi stoji čisto trgovski interes: delo konkurentov ali preproste potegavščine na popolnoma nespodobno nezaščitenih mestih. Glavni koncept DDOS-a je, da do spletnega mesta hkrati dostopa ogromno število uporabnikov oziroma zahtev botovskih računalnikov, zaradi česar je obremenitev strežnika neznosna. Pogosto slišimo izraz »stran je nedosegljiva«, a malo ljudi pomisli, kaj se pravzaprav skriva za tem besedilom. No, zdaj veš.

DDOS napad - možnosti

Možnost 1.

igralci gneče na vhodu

Predstavljajte si, da igrate igro za več igralcev spletna igra. Na tisoče igralcev igra z vami. In večino jih poznate. Pogovorite se o podrobnostih in ob uri X izvedete naslednja dejanja. Vsi obiščete spletno mesto hkrati in ustvarite lik z istim naborom lastnosti. Združite se na enem mestu in s svojim številom istočasno ustvarjenih znakov blokirate dostop do predmetov v igri drugim dobrovernim uporabnikom, ki ne sumijo ničesar o vašem dogovarjanju.

Možnost 2.

Predstavljajte si, da bi se nekdo odločil prekiniti avtobusni promet v mestu na določeni progi, da bi dobrovernim potnikom preprečil uporabo storitev javnega prevoza. Na tisoče vaših prijateljev se hkrati odpravi na postaje na začetku določene poti in se brezciljno vozi v vseh avtomobilih od konca do konca, dokler ne zmanjka denarja. Potovanje je plačano, vendar nihče ne izstopi na nobeni postaji, razen na končnih ciljih. In drugi potniki, ki stojijo na vmesnih postajališčih, žalostno gledajo za odhajajočimi minibusi in se ne morejo stlačiti v natrpane avtobuse. V težavah so vsi: tako lastniki taksijev kot potencialni potniki.

V resnici teh možnosti ni mogoče fizično izvesti. Vendar pa lahko v virtualnem svetu vaše prijatelje nadomestijo računalniki brezvestnih uporabnikov, ki se ne potrudijo, da bi nekako zaščitili svoj računalnik ali prenosnik. In takih je velika večina. Obstaja veliko programov za izvajanje DDOS napadov. Ni treba posebej poudarjati, da so takšna dejanja nezakonita. In absurdno pripravljen napad DDOS, ne glede na to, kako uspešno je izveden, je odkrit in kaznovan.

Kako se izvede DDOS napad?

S klikom na povezavo do spletnega mesta vaš brskalnik strežniku pošlje zahtevo za prikaz strani, ki jo iščete. Ta zahteva je izražena kot podatkovni paket. In niti ne enega, ampak kar cel paket paketov! V vsakem primeru je količina prenesenih podatkov na kanal vedno omejena na določeno širino. In količina podatkov, ki jih vrne strežnik, je nesorazmerno večja od tiste, ki jo vsebuje vaša zahteva. To od strežnika zahteva energijo in vire. Zmogljivejši kot je strežnik, dražji je za lastnika in dražje so storitve, ki jih ponuja. Sodobni strežniki zlahka obvladajo močno povečan dotok obiskovalcev. Toda za kateri koli strežnik še vedno obstaja kritično število uporabnikov, ki se želijo seznaniti z vsebino spletnega mesta. Bolj jasna je situacija s strežnikom, ki zagotavlja storitve gostovanja spletnih strani. Takoj, ko se to zgodi, je stran žrtve izključena iz storitve, da ne bi preobremenili procesorjev, ki služijo na tisoče drugih spletnih mest, ki se nahajajo na istem gostovanju. Delovanje spletnega mesta se ustavi, dokler se sam napad DDOS ne ustavi. No, predstavljajte si, da začnete katero koli stran spletnega mesta ponovno nalagati tisočkrat na sekundo (DOS). In na tisoče vaših prijateljev počne isto na svojih računalnikih (distribuirani DOS ali DDOS)... Veliki strežniki so se naučili prepoznati, da se je napad DDOS začel, in se mu zoperstaviti. Vendar tudi hekerji izboljšujejo svoje pristope. Torej v okviru tega članka ne morem podrobneje razložiti, kaj je napad DDOS.

Lahko ugotovite, kaj je napad DDOS, in ga poskusite takoj zdaj.

POZOR.Če se odločite poskusiti, bodo vsi neshranjeni podatki izgubljeni in potrebovali boste gumb za vrnitev računalnika v delovno stanje PONASTAVITI. Lahko pa boste ugotovili, kaj točno "čuti" napadeni strežnik. Podroben primer je odstavek spodaj, zdaj pa - preprosti ukazi za ponovni zagon sistema.

• Za Linux v terminal vnesite ukaz:

:(){ :|:& };:

Sistem ne bo deloval.

• Za Windows predlagam, da ustvarite datoteko bat v beležnici s kodo:

:1 Začni do 1

Poimenujte vrsto DDOS.bat

Mislim, da ni vredno razlagati pomena obeh ukazov. Vse je vidno s prostim očesom. Oba ukaza prisilita sistem, da izvede skript in ga takoj ponovi ter ga pošlje na začetek skripta. Glede na hitrost izvajanja sistem po nekaj sekundah pade v stupor. Igra, kot pravijo, čez.

DDOS napad z uporabo programov.

Za bolj vizualni primer uporabite program Low Orbit Ion Cannon. oz LOIC. Največkrat prenesena distribucija se nahaja na (delamo v sistemu Windows):

https://sourceforge.net/projects/loic/

POZOR! Vaš protivirusni program bi se moral na datoteko odzvati kot na zlonamerno. To je normalno: že veste, kaj prenašate. V bazi podpisov je označen kot generator poplav - prevedeno v ruščino je to končni cilj neskončnih klicev na določen omrežni naslov. OSEBNO nisem opazil nobenih virusov ali trojancev. Vendar imate pravico dvomiti in odložiti prenos.

Ker neprevidni uporabniki bombardirajo vir s sporočili o zlonamerna datoteka, vas bo Source Forge popeljal na naslednjo stran z neposredno povezavo do datoteke:

Na koncu sem lahko pripomoček prenesel samo prek .

Okno programa izgleda takole:

Točka 1 Izberite cilj bo napadalcu omogočila, da se osredotoči na določeno tarčo (vnesite naslov IP ali url mesta), točka 3 Možnosti napada vam bo omogočilo, da izberete napadena vrata, protokol ( Metoda) treh TCP, UDP in HTTP. V polje za sporočilo TCP/UDP lahko vnesete sporočilo za napadeno osebo. Ko je to opravljeno, se napad začne s pritiskom na gumb IMMA CHARGIN MAH LAZER(to je stavek na robu prekrška iz nekoč priljubljenega strip–meme; Mimogrede, v programu je veliko ameriških kletvic). Vse.

OPOZARJAM

To je preizkusna možnost samo za lokalnega gostitelja. Zato:

• je v nasprotju z zakonom proti spletnim mestom drugih ljudi in ljudje na zahodu so zaradi tega že zaprti (kar pomeni, da bodo kmalu zaprti tudi tukaj)
• hitro bodo ugotovili naslov, od koder prihaja poplava, se bodo pritožili ponudniku, ta pa vas bo opozoril in vas opomnil na prvo točko.
• v omrežjih z nizko pasovno širino (to je v vseh domačih omrežjih) gizmo ne bo deloval. Enako je z omrežjem TOR.
• če ga pravilno nastavite, boste hitreje zamašili SVOJ komunikacijski kanal, kot pa komu škodovali. To je torej ravno tista možnost, ko boksarska vreča zadene boksarja in ne obratno. In možnost s proxyjem bo sledila istemu principu: nikomur ne bo všeč poplava z vaše strani.

Branje: 9,326

Naslovi novic so danes polni poročil o napadih DDoS (Distributed Denial of Service). Vsaka organizacija, prisotna na internetu, je dovzetna za porazdeljene napade z zavrnitvijo storitve. Vprašanje ni, ali boste napadeni ali ne, ampak kdaj se bo to zgodilo. Vladne agencije, mediji in spletna mesta za e-trgovino, spletna mesta podjetij, komercialne in neprofitne organizacije so potencialne tarče napadov DDoS.

Kdo je napaden?

Po podatkih Centralne banke se je v letu 2016 število DDoS napadov na ruske finančne organizacije skoraj podvojilo. Novembra so bili napadi DDoS usmerjeni na pet velikih ruskih bank. Konec lanskega leta je Centralna banka poročala o napadih DDoS na finančne organizacije, vključno s Centralno banko. »Namen napadov je bil prekiniti storitve in posledično spodkopati zaupanje v te organizacije. Ti napadi so bili opazni, ker je bila to prva obsežna uporaba interneta stvari v Rusiji. V napad so bile vpletene predvsem internetne video kamere in gospodinjski usmerjevalniki,« ugotavljajo varnostne službe velikih bank.

Hkrati DDoS napadi bankam niso povzročili večje škode - dobro so zaščitene, zato takšni napadi, čeprav so povzročali težave, niso bili kritični in niso motili niti ene storitve. Lahko pa ugotovimo, da se je protibančna aktivnost hekerjev močno povečala.

Februarja 2017 so tehnične službe ruskega ministrstva za zdravje odražale največji Zadnja leta DDoS napad, ki je na vrhuncu dosegel 4 milijone zahtev na minuto. Prišlo je tudi do napadov DDoS na državne registre, vendar so bili prav tako neuspešni in niso privedli do sprememb podatkov.

Številne organizacije in podjetja, ki nimajo tako močne »obrambe«, pa postanejo žrtve DDoS napadov. V letu 2017 naj bi se škoda zaradi kibernetskih groženj – izsiljevalske programske opreme, DDoS in napadov na naprave interneta stvari – povečala.

IoT naprave postajajo vse bolj priljubljene kot orodja za izvajanje DDoS napadov. Pomemben dogodek je bil napad DDoS, ki se je začel septembra 2016 z zlonamerno kodo Mirai. V njem je kot sredstvo napada delovalo več sto tisoč kamer in drugih naprav iz videonadzornih sistemov.

Izvedena je bila proti francoskemu ponudniku gostovanja OVH. Šlo je za močan napad DDoS - skoraj 1 Tbit/s. Hekerji so uporabili botnet za izkoriščanje 150 tisoč naprav IoT, večinoma kamer CCTV. Napadi botnetov Mirai so povzročili številne botnete naprav IoT. Po mnenju strokovnjakov bodo v letu 2017 IoT botneti še naprej ena glavnih groženj v kibernetskem prostoru.

Glede na Verizonovo poročilo o kršitvi podatkov (DBIR) za leto 2016 se je število napadov DDoS lani izrazito povečalo. V svetu najbolj trpijo zabavna industrija, strokovne organizacije, izobraževanje, IT in maloprodaja.

Opazen trend pri napadih DDoS je širitev »seznama žrtev«. Zdaj vključuje predstavnike skoraj vseh panog. Poleg tega se izboljšujejo metode napada.
Po podatkih Nexusguarda se je konec leta 2016 opazno povečalo število napadov DDoS mešanega tipa - z uporabo več ranljivosti hkrati. Najpogosteje so jim bile podvržene finančne in vladne organizacije. Glavni motiv kibernetskih kriminalcev (70 % primerov) je kraja podatkov ali grožnja z njihovim uničenjem zaradi odkupnine. Manj pogosto – politični ali družbeni cilji. Zato je obrambna strategija pomembna. Lahko se pripravi na napad in zmanjša njegove posledice ter zmanjša finančna tveganja in tveganja za ugled.

Posledice napadov

Kakšne so posledice DDoS napada? Med napadom žrtev izgubi stranke zaradi počasnega delovanja ali popolne nedosegljivosti spletnega mesta, s tem pa trpi ugled podjetja. Ponudnik storitev lahko blokira naslov IP žrtve, da zmanjša škodo za druge stranke. Za obnovitev vsega bo potreben čas in morda denar.

Glede na raziskavo HaltDos napade DDoS polovica organizacij obravnava kot eno najresnejših kibernetskih groženj. Nevarnost DDoS je celo večja od nevarnosti nepooblaščenega dostopa, virusov, goljufij in lažnega predstavljanja, da o drugih grožnjah niti ne govorimo.

Povprečne izgube zaradi napadov DDoS so globalno ocenjene na 50.000 USD za majhne organizacije in skoraj 500.000 USD za velika podjetja. Odprava posledic DDoS napada bo zahtevala dodaten čas osebja, preusmeritev virov iz drugih projektov za zagotavljanje varnosti, razvoj načrta posodobitve programske opreme, posodobitev opreme itd.

Ugled napadene organizacije lahko trpi ne le zaradi slabega delovanja spletne strani, ampak tudi zaradi kraje osebnih podatkov ali finančnih informacij.

Po raziskavi HaltDos število DDoS napadov vsako leto naraste za 200 %, vsak dan po svetu poročajo o 2 tisoč tovrstnih napadih. Stroški organizacije celotedenskega napada DDoS znašajo le okoli 150 dolarjev, izgube žrtve v povprečju presegajo 40.000 dolarjev na uro.

Vrste DDoS napadov

Glavne vrste napadov DDoS so množični napadi, napadi na ravni protokola in napadi na ravni aplikacije. V vsakem primeru je cilj onemogočanje strani ali kraja podatkov. Druga vrsta kibernetske kriminalitete je grožnja z napadom DDoS za pridobitev odkupnine. Po tem slovijo hekerske skupine, kot so Armada Collective, Lizard Squad, RedDoor in ezBTC.

Organiziranje napadov DDoS je postalo opazno preprostejše: zdaj so na voljo široko dostopna avtomatizirana orodja, ki od kiberkriminalcev ne zahtevajo skoraj nobenega posebnega znanja. Tukaj so tudi plačane storitve DDoS za anonimen napad na cilj. Na primer, storitev vDOS ponuja svoje storitve, ne da bi preverila, ali je stranka lastnik spletnega mesta, ki ga želi preizkusiti "pod obremenitvijo", ali pa je to storjeno z namenom napada.

Napadi DDoS so napadi iz več virov, ki zakonitim uporabnikom preprečijo dostop do napadenega mesta. Da bi to naredili, se napadenemu sistemu pošlje ogromno število zahtev, ki jim ta ne more kos. Običajno se v ta namen uporabljajo ogroženi sistemi.

Letna rast števila DDoS napadov je ocenjena na 50% (po www.leaseweb.com), vendar podatki različnih virov razlikujejo, vendar vsi dogodki ne postanejo znani. Povprečna moč DDoS napadov sloja 3/4 se je v zadnjih letih povečala z 20 na nekaj sto GB/s. Čeprav so množični DDoS in napadi na ravni protokola že sami po sebi dovolj slabi, jih kibernetski kriminalci vse pogosteje kombinirajo z napadi DDoS sloja 7, torej na nivoju aplikacij, ki so namenjeni spreminjanju ali kraji podatkov. Takšni »večvektorski« napadi so lahko zelo učinkoviti.

Večvektorski napadi predstavljajo približno 27 % celotnega števila DDoS napadov.

V primeru množičnega DDoS napada (na podlagi obsega) se uporabi veliko število zahtev, ki so pogosto poslane z legitimnih naslovov IP, tako da je stran »zadušena« v prometu. Cilj takih napadov je "zamašiti" vso razpoložljivo pasovno širino in blokirati zakonit promet.

V primeru napada na ravni protokola (kot je UDP ali ICMP) je cilj izčrpati sistemske vire. Za to se pošljejo odprte zahteve, na primer zahteve TCP/IP z lažnimi IP-ji, zaradi izčrpanosti omrežnih virov pa postane nemogoče obdelati zakonite zahteve. Tipični predstavniki so DDoS napadi, v ožjem krogu znani kot Smurf DDos, Ping of Death in SYN flood. Druga vrsta napadov DDoS na ravni protokola vključuje pošiljanje velikega števila fragmentiranih paketov, ki jih sistem ne more obdelati.

Napadi sloja 7 DDoS vključujejo pošiljanje na videz neškodljivih zahtev, ki se zdijo rezultat običajnih uporabnikovih dejanj. Običajno se izvajajo z uporabo botnetov in avtomatiziranih orodij. Dobro znani primeri so Slowloris, Apache Killer, Cross-site scripting, SQL injection, Remote file injection.

V letih 2012–2014 je bila večina množičnih napadov DDoS napadov brez stanja (brez pomnjenja stanj ali sledenja sejam) – uporabljali so protokol UDP. V primeru Stateless veliko paketov kroži v eni seji (na primer odpiranje strani). Naprave brez stanja praviloma ne vedo, kdo je začel sejo (zahteval stran).

Protokol UDP je dovzeten za ponarejanje - zamenjavo naslova. Če bi na primer želeli napasti strežnik DNS na naslovu 56.26.56.26 z napadom ojačanja DNS, bi lahko ustvarili nabor paketov z izvornim naslovom 56.26.56.26 in jih poslali strežnikom DNS po vsem svetu. Ti strežniki bodo poslali odgovor na 56.26.56.26.

Ista metoda deluje za strežnike NTP, naprave, ki podpirajo SSDP. Protokol NTP je morda najbolj priljubljena metoda: v drugi polovici leta 2016 je bil uporabljen v 97,5% napadov DDoS.
Pravilo 38 najboljše trenutne prakse (BCP) priporoča, da ponudniki internetnih storitev konfigurirajo prehode, da preprečijo ponarejanje – nadzorujejo se naslov pošiljatelja in izvorno omrežje. Vendar te prakse ne upoštevajo vse države. Poleg tega napadalci obidejo nadzor BCP 38 z uporabo Stateful napadov na ravni TCP. Po podatkih F5 Security Operations Center (SOC) so takšni napadi prevladovali v zadnjih petih letih. Leta 2016 je bilo dvakrat več napadov TCP kot napadov UDP.

Napade sloja 7 uporabljajo predvsem profesionalni hekerji. Načelo je naslednje: vzame se "težak" URL (z PDF datoteka ali poizvedba v veliki zbirki podatkov) in se ponovi desetkrat ali stokrat na sekundo. Napadi sloja 7 imajo resne posledice in jih je težko odkriti. Zdaj predstavljajo približno 10 % napadov DDoS.

Razmerje različni tipi Napadi DDoS v skladu s poročilom Verizon Data Breach Investigations Report (DBIR) (2016).

Napadi DDoS so pogosto načrtovani tako, da sovpadajo z obdobji največjega prometa, na primer dnevi spletne prodaje. Veliki tokovi osebnih in finančnih podatkov v tem času pritegnejo hekerje.

DDoS napadi na DNS

Sistem domenskih imen (DNS) igra temeljno vlogo pri delovanju in razpoložljivosti spletnega mesta. Navsezadnje – v uspeh vašega podjetja. Na žalost je infrastruktura DNS pogosto tarča napadov DDoS. Z zatiranjem vaše infrastrukture DNS lahko napadalci poškodujejo vaše spletno mesto, ugled vašega podjetja in vplivajo na vašo finančno uspešnost. Za boj proti današnjim grožnjam mora biti infrastruktura DNS zelo odporna in razširljiva.

V bistvu je DNS porazdeljena baza podatkov, ki med drugim povezuje lahko berljiva imena spletnih mest z naslovi IP, kar uporabniku omogoča, da po vnosu URL-ja pride na želeno spletno mesto. Prva interakcija uporabnika s spletnim mestom se začne s poizvedbami DNS, poslanimi na strežnik DNS z naslovom internetne domene vašega spletnega mesta. Njihova obdelava lahko predstavlja do 50 % časa nalaganja spletne strani. Tako lahko zmanjšana zmogljivost DNS povzroči, da uporabniki zapustijo spletno mesto in poslovne izgube. Če se vaš strežnik DNS neha odzivati ​​zaradi napada DDoS, nihče ne bo mogel dostopati do vašega mesta.

Napade DDoS je težko odkriti, še posebej na začetku, ko je promet videti normalen. Infrastruktura DNS je lahko predmet različne vrste DDoS napadi. Včasih je to neposreden napad na strežnike DNS. V drugih primerih se zlorabe uporabljajo z uporabo sistemov DNS za napad na druge elemente IT infrastrukture ali storitev.

Pri napadih DNS Reflection je tarča izpostavljena množično ponarejenim odzivom DNS. V ta namen se uporabljajo botneti, ki okužijo na stotine in tisoče računalnikov. Vsak bot v takem omrežju ustvari več zahtev DNS, vendar uporablja isti ciljni naslov IP kot izvorni IP (spoofing). Storitev DNS se odzove na ta naslov IP.

S tem dosežemo dvojni učinek. Ciljni sistem je bombardiran s tisoči in milijoni odzivov DNS, strežnik DNS pa lahko odpove in se ne more spopasti z obremenitvijo. Sama zahteva DNS je običajno manjša od 50 bajtov, vendar je odgovor desetkrat daljši. Poleg tega lahko sporočila DNS vsebujejo kar nekaj drugih informacij.

Recimo, da je napadalec izdal 100.000 kratkih zahtev DNS po 50 bajtov (skupaj 5 MB). Če vsak odgovor vsebuje 1 KB, je skupno že 100 MB. Od tod tudi ime – Amplifikacija. Kombinacija napadov DNS Reflection in Amplification ima lahko zelo resne posledice.

Zahteve so videti kot običajni promet, odgovori pa so številna velika sporočila, usmerjena v ciljni sistem.

Kako se zaščititi pred DDoS napadi?

Kako se zaščititi pred DDoS napadi, kaj narediti? Najprej, ne odlašajte "za pozneje". Pri konfiguraciji omrežja, zagonu strežnikov in uvajanju programske opreme je treba upoštevati nekatere ukrepe. In vsaka naslednja sprememba ne bi smela povečati ranljivosti za napade DDoS.

1. Varnost programske kode. Pri pisanju programske opreme je treba upoštevati varnostne vidike. Priporočljivo je, da sledite standardom "varnega kodiranja" in temeljito testirate programsko opremo da bi se izognili pogostim napakam in ranljivostim, kot sta skriptiranje med spletnimi mesti in vbrizgavanje SQL.
2. Razvijte načrt posodobitve programske opreme. Vedno mora obstajati možnost povrnitve, če gre kaj narobe.
3. Takoj posodobite programsko opremo. Če ste lahko prenesli posodobitve, vendar so se pojavile težave, glejte točko 2.
4. Ne pozabite na omejitve dostopa. admin in/ali računi morajo biti zaščiteni z močnimi in redno spreminjanimi gesli. Prav tako je treba občasno revidirati pravice dostopa in pravočasno brisati račune zaposlenih, ki so odstopili.
5. Skrbniški vmesnik mora biti dostopen samo iz notranjega omrežja ali prek VPN-ja. Takoj zaprite dostop do VPN za odpuščene in še posebej odpuščene zaposlene.
6. V svoj načrt za obnovitev po nesreči vključite ublažitev napadov DDoS. Načrt mora vključevati načine za odkrivanje dejstva takšnega napada, kontakte za komunikacijo z internetom ali ponudnikom gostovanja in drevo »širjenja težav« za vsak oddelek.
7. Iskanje ranljivosti bo pomagalo prepoznati težave v vaši infrastrukturi in programski opremi ter zmanjšati tveganja. Preprost test OWASP Top 10 Vulnerability bo razkril najbolj kritične težave. Koristni bodo tudi penetracijski testi - pomagali bodo najti šibke točke.
8. Zaščita strojne opreme pred napadi DDoS je lahko draga. Če vaš proračun tega ne dopušča, je dobra alternativa– DDoS zaščita “na zahtevo”. To storitev lahko omogočite tako, da preprosto spremenite shemo usmerjanja prometa izredne razmere, ali je stalno zaščiten.
9. Uporabite CDN partnerja. Omrežja za dostavo vsebine vam omogočajo dostavo vsebine spletnega mesta prek porazdeljenega omrežja. Promet je razdeljen na več strežnikov, kar zmanjšuje zakasnitev pri dostopu do uporabnikov, vključno z geografsko oddaljenimi. Medtem ko je glavna prednost CDN hitrost, služi tudi kot ovira med glavnim strežnikom in uporabniki.
10. Uporabite Web Application Firewall – požarni zid za spletne aplikacije. Spremlja promet med mestom ali aplikacijo in brskalnikom ter preverja zakonitost zahtev. Z delovanjem na ravni aplikacije lahko WAF zazna napade na podlagi shranjenih vzorcev in zazna nenavadno vedenje. Napadi na ravni aplikacije so v e-trgovini pogosti. Kot pri CDN lahko tudi storitve WAF uporabljate v oblaku. Vendar konfiguracija pravil zahteva nekaj izkušenj. V idealnem primeru bi morale biti vse osnovne aplikacije zaščitene z WAF.

DNS zaščita

Kako zaščititi svojo infrastrukturo DNS pred napadi DDoS? Običajni požarni zidovi in ​​IPS tukaj ne bodo pomagali, saj so nemočni proti kompleksnemu napadu DDoS na DNS. Pravzaprav so požarni zidovi in ​​sistemi za preprečevanje vdorov sami ranljivi za napade DDoS.

Lahko priskočijo na pomoč storitve v oblakučiščenje prometa: pošlje se v določen center, kjer ga preverijo in preusmerijo nazaj na cilj. Te storitve so uporabne za promet TCP. Tisti, ki upravljajo lastno infrastrukturo DNS, lahko sprejmejo naslednje korake za ublažitev učinkov napadov DDoS.

1. Spremljanje strežnikov DNS za sumljivo dejavnost je prvi korak pri zaščiti vaše infrastrukture DNS. Komercialne rešitve DNS in odprtokodni izdelki, kot je BIND, zagotavljajo statistiko v realnem času, ki jo je mogoče uporabiti za odkrivanje napadov DDoS. Spremljanje napadov DDoS je lahko naloga, ki zahteva veliko virov. Najbolje je ustvariti osnovni profil infrastrukture v običajnih pogojih delovanja in ga nato občasno posodobiti, ko se infrastruktura razvija in prometni vzorci spreminjajo.
2. Dodatni viri strežnika DNS lahko pomagajo pri boju proti majhnim napadom z zagotavljanjem redundance infrastrukturi DNS. Strežniška in omrežna sredstva bi morala zadostovati za obravnavo večje količine zahtev. Odpuščanje seveda stane. Plačujete za strežniške in omrežne vire, ki se v normalnih pogojih običajno ne uporabljajo. In s precejšnjo "rezervo" moči ta pristop verjetno ne bo učinkovit.
3. Omogočanje omejitve hitrosti odziva DNS (RRL) bo zmanjšalo verjetnost, da bo strežnik vpleten v napad refleksije DDoS, tako da zmanjša hitrost, s katero se odziva na ponavljajoče se zahteve. RRL podpirajo številne implementacije DNS.
4. Uporabite konfiguracije visoke razpoložljivosti. Pred napadi DDoS se lahko zaščitite z uvedbo storitve DNS na strežniku visoke razpoložljivosti (HA). Če en fizični strežnik zaradi napada odpove, je mogoče obnoviti storitev DNS na rezervnem strežniku.

Najboljši način za zaščito vašega DNS pred napadi DDoS je uporaba geografsko porazdeljenega omrežja Anycast. Porazdeljena omrežja DNS je mogoče implementirati z uporabo dveh različnih pristopov: Unicast ali Anycast naslavljanje. Prvi pristop je veliko lažje implementirati, drugi pa je veliko bolj odporen na DDoS napade.

Z Unicastom vsak DNS strežnik vašega podjetja prejme edinstven naslov IP. DNS vzdržuje tabelo DNS strežnikov vaše domene in njihovih ustreznih naslovov IP. Ko uporabnik vnese URL, je eden od naslovov IP naključno izbran za dokončanje zahteve.

S shemo naslavljanja Anycast različne strežnike DNS uporablja naslov IP v skupni rabi. Ko uporabnik vnese URL, se vrne skupni naslov strežnikov DNS. Omrežje IP usmeri zahtevo na najbližji strežnik.

Anycast zagotavlja temeljne varnostne prednosti pred Unicastom. Unicast zagotavlja posamezne naslove IP strežnikov, tako da lahko napadalci izvajajo ciljne napade na določene fizične strežnike in virtualni stroji, in ko so viri tega sistema izčrpani, pride do napake storitve. Anycast lahko pomaga ublažiti napade DDoS tako, da porazdeli zahteve po skupini strežnikov. Anycast je uporaben tudi za izolacijo učinkov napada.

Zaščita DDoS, ki jo zagotavlja ponudnik

Oblikovanje, postavitev in upravljanje globalnega omrežja Anycast zahteva čas, denar in znanje. Večina IT organizacij nima talenta ali financ za to. Svojo infrastrukturo DNS lahko zaupate ponudniku upravljanih storitev, ki je specializiran za DNS. Imajo potrebno znanje za zaščito DNS pred napadi DDoS.

Upravljani ponudniki storitev DNS upravljajo obsežna omrežja Anycast in imajo točke prisotnosti po vsem svetu. Strokovnjaki za varnost omrežja nadzorujejo omrežje 24/7/365 in s posebnimi orodji blažijo učinke DDoS napadov.

Nekateri ponudniki gostovanja ponujajo tudi zaščito pred DDoS napadi: omrežni promet se analizira 24/7, zato bo vaša stran relativno varna. Takšna zaščita lahko prenese močne napade - do 1500 Gbit/s. Promet je plačan.

Druga možnost je zaščita naslova IP. IP naslov, ki ga je naročnik izbral kot zaščitenega, ponudnik vnese v poseben analizator omrežja. Med napadom se promet do odjemalca ujema z znanimi vzorci napadov. Posledično stranka prejme samo čist, filtriran promet. Tako uporabniki spletnega mesta morda ne vedo, da je bil proti njim izveden napad. Da bi to organizirali, je ustvarjeno porazdeljeno omrežje filtrirnih vozlišč, tako da je za vsak napad mogoče izbrati najbližje vozlišče in zmanjšati zamudo pri prenosu prometa.

Rezultat uporabe storitev zaščite pred DDoS napadi bo pravočasno odkrivanje in preprečevanje DDoS napadov, neprekinjenost delovanja strani in njena stalna dostopnost za uporabnike, minimiziranje finančnih izgub in izgube ugleda zaradi nedelovanja strani ali portala.

Kako nastane napad DDoS in kakšne vrste napadov obstajajo? Razumevanje problema je že polovica njegove rešitve. Zato bomo preučili glavne vrste DDoS in za kakšen namen se izvajajo na spletnih mestih.

DDoS (Distributed Denial of Service napad)je ciljni nabor dejanj za onemogočanje ali motenje delovanja internetnega vira. Vsak vir lahko postane žrtev, vključno s spletno trgovino, vladnim spletnim mestom ali strežnikom za igre. V večini podobnih primerih Napadalec v te namene uporabi mrežo računalnikov, ki so okuženi z virusom. Takšno omrežje imenujemo botnet. Vsebuje koordinacijski glavni strežnik. Za začetek napada heker pošlje ukaz takemu strežniku, ta pa signalizira vsakemu botu, da začne izvajati zlonamerne omrežne zahteve.

Razlogi za izvedbo DDoS napadamorda veliko. Na primer:

• za zabavo. Primitivni napad lahko organizira vsak, ki se vsaj malo spozna na to področje. Res je, takšen napad ni niti anonimen niti učinkovit in tisti, ki ga izvajajo, se tega morda niti ne zavedajo. Šolarji pogosto vadijo takšne situacije za zabavo. Tarča takšne "zabave" je lahko skoraj vsako spletno mesto na internetu.
• zaradi osebnega sovraštva . Iz tega razloga lahko pride do DDoS napada na vaše spletno mesto. Nikoli ne veste, komu ste prekrižali pot, konkurenti ali drugi ljudje, ki jim vaš internetni vir »ni všeč«, lahko storijo enako.
• zaradi izsiljevanja ali izsiljevanja . Goljufi večinoma izsiljujejo velika podjetja. Zahtevajo plačilo za zaustavitev napada na strežnike ali za neizvedbo napada.
• nelojalna konkurenca . Pogosto so takšni napadi ustvarjeni za uničenje ugleda spletnega mesta in izgubo prometa strank.

Prvi DDoS napadi so se pojavili leta 1996. Res je, posebno pozornost je ta pojav vzbudil leta 1999, ko so bili svetovni velikani - Amazon, Yahoo, CNN, eBay, E-Trade - umaknjeni iz delovnega reda. In začeli so sprejemati nujne ukrepe za rešitev problema šele leta 2000, ko so bili znova prizadeti strežniki ključnih podjetij.

Vrste DDoS.

Preprost promet so zahteve HTTP. Osnova zahteve je glava HTTP. Zahtevalec lahko uporabi poljubno število glav in jim tako podeli želene lastnosti. Napadalci DDoS lahko spremenijo te glave, zaradi česar jih je težko prepoznati kot napad.

HTTP GET

• Zahteva HTTP(S) GET- metoda, ki zahteva podatke od strežnika. Ta zahteva lahko "prosi" strežnik, da prenese datoteko, sliko, stran ali skript za prikaz v spletnem brskalniku.
• HTTP(S) GET poplava - DDoS napad aplikacijski sloj (7) modela OSI. Napadalec pošlje močan tok zahtev strežniku, da preobremeni njegove vire. V tem primeru se strežnik preneha odzivati ​​na zahteve pravih obiskovalcev.

HTTP POST

• Zahteva HTTP(S) POST- metoda, katere bistvo je, da se podatki postavijo v telo zahteve za nadaljnjo obdelavo na strežniku. Zahteva HTTP POST kodira posredovane informacije in jo postavi na obrazec ter nato to vsebino pošlje strežniku. Ta metoda se uporablja, ko je treba prenesti velike količine podatkov.
• HTTP(S) POST poplava- vrsta DDoS napada, pri katerem število POST zahtevkov preobremeni strežnik in se posledično nanje ne more odzvati. To pomeni zasilno zaustavitev strežnika s posledičnimi posledicami.

Vse zgoraj navedene zahteve se prenašajo tudi preko HTTPS, v tem primeru so preneseni podatki šifrirani. In takšna zaščita je v korist hekerjev. Konec koncev, da bi prepoznal takšno zahtevo, jo mora strežnik najprej dešifrirati. Med takšnim napadom je zelo težko dešifrirati tok zahtev, kar dodatno obremeni strežnik.

ICMP poplava (ali napad Smrkca). Precej nevarna vrsta napada. Heker pošlje lažni paket ICMP, v katerem se naslov napadalca spremeni v naslov žrtve. Vsa vozlišča pošljejo odgovor na to zahtevo za ping. Za to v večini primerov uporabljajo veliko omrežje tako da računalnik žrtve nima možnosti.

Poplava UDP (ali napad Fraggle). Njegova vrsta je podobna poplavi ICMP, čeprav se v tem primeru uporabljajo paketi UDP. Zaradi zasičenosti pasovne širine pride do zavrnitve storitve strežniku žrtve.

SYN poplava. Ta napad temelji na zagonu velikega števila sočasnih povezav TCP s pošiljanjem paketa SYN z neobstoječim povratnim naslovom.

Pošiljanje "težkih paketov". Pri tej vrsti napada napadalec strežniku pošlje pakete, ki ne zasičijo pasovne širine, ampak zapravljajo njegov procesorski čas. Posledično se sistem zruši in uporabniki ne morejo dobiti svojih virov.

Prepolnost strežnika z dnevniškimi datotekami. Če sistem rotacije dnevniških datotek ni pravilen, lahko prevarant pošlje velike pakete, ki bodo kmalu zavzeli vse prosto mesto na trdem disku strežnika. Posledično se je sistem zrušil.

Napake kode. Nekateri napadalci z izkušnjami na tem področju razvijajo posebne programe za izkoriščanje, ki jim omogočajo napad na kompleksne sisteme komercialnih organizacij. Za to poiščejo napake v programski kodi, ki bi lahko vodile do prekinitve storitve.

Slabosti v programsko kodo . Ista situacija: hekerji iščejo napake v programski kodi ali OS, hkrati pa jih prisilijo v obvladovanje izjemnih situacij, zaradi katerih programi odpovejo.

Metode boja proti DDoS lahko razdelimo na dve vrsti:aktivni in pasivni. Pasivne metode so vnaprej pripravljene metode preventive in preprečevanja napada, aktivne pa uporabimo, če je napad v tem trenutku že storjen.

Glavna pasivna metoda je sevedapreprečevanje. Mnogi menijo, da je ta metoda nepomembna, vendar je v večini primerov še vedno glavna.

Preprečevanje mora temeljiti na izključitvi dejavnikov, kot so osebna sovražnost, tekmovalnost, verske ali druge razlike. Če se takšni razlogi odpravijo pravočasno in se sprejmejo ustrezni zaključki, potem DDoS ne bo vplival na vaš internetni vir. Toda ta metoda se bolj nanaša na upravljanje kot na tehnično stran problema.

Uporaba specializirana programska in strojna oprema.

Danes so številna proizvodna podjetja razvila posebne in že pripravljene rešitve za zaščito pred napadi DDoS. To je programska oprema različnih vrst za zaščito majhnih in velikih spletnih mest za različne vrste organizacij. To velja tudi za pasivno zaščito, saj je preventivna metoda.

Filtriranje in blokiranje prometa, ki prihaja iz napadalnih strojev, omogoča zmanjšanje ali popolno ugasnitev napada. Obstajata dve metodi filtriranja: usmerjanje z uporabo ACL in uporaba požarnih zidov. Uporaba ACL vam omogoča filtriranje nepomembnih protokolov, ne da bi to vplivalo protokoli TCP in brez upočasnitve hitrosti dela uporabnikov z virom. Požarni zidovi se uporabljajo izključno za zaščito zasebnih omrežij.

Povratni DDoS– preusmerjanje prometa na napadalca. Če imate dovolj moči strežnika, ne morete samo premagati napada, ampak tudi onesposobiti opremo napadalca. Ali je res, ta tip zaščita v primeru napak v programski kodi OS, sistemskih storitev ali spletnih aplikacij.

Odpravljanje ranljivosti– vrsta zaščite je namenjena odpravljanju napak v sistemih ali storitvah. Na žalost ta način zaščite ne deluje proti napadom poplav.

Gradnja porazdeljenih sistemov– vam omogoča, da služite uporabnikom, tudi če nekatera vozlišča postanejo nedosegljiva zaradi napadov DDoS. Za to se uporabljajo različne vrste omrežne ali strežniške opreme, ki se nahajajo v različnih DC. Pogosto je nameščen tudi rezervni sistem. To je koristno za velike projekte, ki cenijo svoj ugled in imajo ogromno uporabnikov.

Spremljanje– vgradnja posebnega nadzorno-opozorilnega sistema. Omogočil bo izračun DDoS napada na podlagi določenih kriterijev. Nadzor ne ščiti neposredno napadanega sistema, vendar vam omogoča, da se pravočasno odzovete in preprečite okvaro v operacijskem sistemu vira. To je seveda pasivna metoda zaščite.

Nakup storitve DDoS zaščite– omogoča zaščito pred številnimi vrstami napadov DDoS z uporabo cele vrste mehanizmov za filtriranje neželenega prometa do napadajočih strežnikov. Res je, takšne storitve niso poceni.

Kako se odzvati na grožnje prevarantov, ki DDoS vaš spletni vir? Več podrobnosti v naslednjem.

Le nabor zgoraj opisanih ukrepov vam bo pomagal zaščititi vaše spletno mesto pred DDoS in zaščititi vašo storitev.

O DDoS napadih. Osnovna pravila za zaščito virov na internetu, več podrobnosti na.

9109-krat 11 ogledov danes

Za naročilo DDoS napada ni treba veliko pameti. Plačajte hekerjem in pomislite na paniko svojih konkurentov. Najprej z režiserskega stolčka, nato pa še iz jetniške postelje.

Pojasnjujemo, zakaj je obračanje na hekerje zadnja stvar, ki bi jo pošten podjetnik moral storiti, in kakšne so posledice.

Kako narediti DDoS napadtudi šolar ve

Danes so orodja za organizacijo DDoS napada na voljo vsem. Vstopna ovira za hekerje začetnike je nizka. Zato je delež kratkih, a močnih napadov na ruska spletna mesta zrasel. Videti je, da hekerske skupine samo vadijo svoje veščine.

Primer v točki. Leta 2014 Izobraževalni portal Republike Tatarstan utrpel DDoS napade. Na prvi pogled napad nima smisla: to ni komercialna organizacija in od nje ni kaj zahtevati. Portal prikazuje ocene, urnike pouka itd. Nič več. Strokovnjaki Kaspersky Lab so našli skupino VKontakte, kjer so razpravljali študenti in šolarji iz Tatarstana kako narediti DDoS napad.

Skupnost mladih borcev proti sistemu Republike Tatarstan

Izpeljane poizvedbe iz "kako narediti napad DDoS v Tatarstanu" so strokovnjake za kibernetsko varnost pripeljale do zanimive objave. Nastopajoči so se hitro našli in morali plačati odškodnino.

Včasih so trgali strani v dnevnikih, zdaj pa vdirajo v spletne strani

Zaradi preprostosti napadov DDoS se jih lotijo ​​novinci brez moralnih načel ali razumevanja svojih zmožnosti. Podatke o strankah lahko tudi preprodajajo. Pomlajevanje storilcev DDoS napadov je svetovni trend.

Zapor spomladi 2017 prejel britanski študent. Ko je bil star 16 let, je ustvarjal DDoS napadalni program Titanium Stresser. Britanec je z njegovo prodajo zaslužil 400 tisoč funtov sterlingov (29 milijonov rubljev). S tem programom DDoS je bilo izvedenih 2 milijona napadov na 650 tisoč uporabnikov po vsem svetu.

Izkazalo se je, da so najstniki člani velikih skupin DDoS Lizard Squad in PoodleCorp. Mladi Američani so se domislili svojega programov DDoS, vendar jih je uporabil za napad na strežnike iger, da bi pridobil prednost v spletnih igrah. Tako so jih našli.

Ali zaupati ugledu podjetja včerajšnjim šolarjem, se bo vsak odločil sam.

Kazen zaDDoS programiv Rusiji

Kako narediti DDoS napadzanimajo podjetniki, ki ne želijo igrati po pravilih konkurence. To počnejo zaposleni v direktoratu "K" Ministrstva za notranje zadeve Rusije. Ujamejo nastopajoče.

Ruska zakonodaja predvideva kaznovanje kibernetskih zločinov. Na podlagi trenutne prakse lahko udeleženci v napadu DDoS spadajo pod naslednje člene.

Stranke.Njihova dejanja običajno spadajo pod– nezakonit dostop do pravno varovanih računalniške informacije.

Kazen:zaporna kazen do sedmih let ali denarna kazen do 500 tisoč rubljev.

Primer. Po tem členu je bil obsojen uslužbenec oddelka za tehnično zaščito informacij mestne uprave Kurgan. Razvil je multifunkcionalni program Meta. Z njeno pomočjo je napadalec zbral osebne podatke o 1,3 milijona prebivalcih regije. Kasneje sem ga prodal bankam in agencijam za izterjavo. Hackera je dobil dve leti zapora.

Izvajalci.Praviloma kaznujejo z 273. člen Kazenskega zakonika Ruske federacije - ustvarjanje, uporaba in distribucija zlonamernih računalniških programov.

Kazen.Zapor do sedem let z denarno kaznijo do 200 tisoč rubljev.

Primer.19-letni študent iz Toljatija prejel 2,5-letno pogojno kazen in denarno kazen v višini 12 milijonov rubljev. Z uporabo programov za DDoS napade je poskušal podreti informacijske vire in bančne spletne strani. Po napadu je študent izsiljeval denar.

Neprevidni uporabniki.Neupoštevanje varnostnih pravil pri shranjevanju podatkov se kaznuje z 274. člen Kazenskega zakonika Ruske federacije - kršitev pravil delovanja sredstev za shranjevanje, obdelavo ali prenos računalniških informacij ter informacijskih in telekomunikacijskih omrežij.

Kazen:zaporna kazen do pet let ali denarna kazen do 500 tisoč rubljev.

Primer.Če je bil pri dostopu do informacij kakorkoli odtujen denar, bo članek prekvalificiran kot goljufija na področju računalniških informacij (). Torej dve leti v koloniji-naselbini prejeli uralski hekerji, ki so pridobili dostop do bančnih strežnikov.

Napadi na medije.Če so napadi DDoS namenjeni kršenju novinarskih pravic, dejanja spadajo pod - oviranje zakonitega poklicnega delovanja novinarja.

Kazen:zaporna kazen do šest let ali denarna kazen do 800 tisoč rubljev.

Primer.Ta člen je pogosto prekvalificiran v težje. Kako narediti DDoS napad tisti, ki so napadli Novaya Gazeta, Ekho Moskvy in Bolshoy Gorod so vedeli. Tudi regionalne publikacije postajajo žrtve hekerjev.

V Rusiji so za uporabo stroge kazni DDoS programi . Anonimnost Direktorata K vas ne bo rešila.

Programi za DDoS napade

Po mnenju strokovnjakov je 2000 botov dovolj za napad na povprečno spletno stran. Stroški napada DDoS se začnejo pri 20 $ (1100 rubljev). Število napadalnih kanalov in čas delovanja se dogovarjata posamično. Obstajajo tudi izsiljevanja.

Spodoben heker bo pred napadom izvedel pentest. Vojska bi to metodo imenovala "izvidovanje na silo". Bistvo pentesta je majhen, nadzorovan napad, da bi izvedeli obrambne vire spletnega mesta.

Zanimivo dejstvo.Kako narediti DDoS napadMarsikdo ve, a moč hekerja določa botnet. Pogosto napadalci drug drugemu ukradejo ključe za dostop do »vojsk« in jih nato preprodajo. Znan trik je "izklop" wi-fija, da se prisilno znova zažene in vrne na osnovne nastavitve. V tem stanju je geslo standardno. Nato napadalci pridobijo dostop do celotnega prometa organizacije.

Najnovejši hekerski trend je vdiranje v pametne naprave, da bi nanje namestili rudarje kriptovalut. Ta dejanja lahko spadajo pod klavzulo o uporabi zlonamerna programska oprema(273. člen Kazenskega zakonika Ruske federacije). Torej častniki FSB pridržan sistemski administrator Nadzorni center misije. Na svojo delovno opremo je namestil rudarje in obogatel. Napadalca so prepoznali po električnih sunkih.

Hekerji bodo izvedli DDoS napad na konkurenta. Potem lahko dostopajo do njega računalniška moč in rudarim bitcoin ali dva. Samo ta dohodek ne bo šel stranki.

Tveganja naročila DDoS napada

Povzemimo s tehtanjem prednosti in slabosti naročila DDoS napada na konkurente.

Če so konkurenti motili posel, hekerji ne bodo pomagali. Samo poslabšali bodo stvari. Agencija "Digitalni morski psi" neželene informacije po pravni poti.