Masovni ddos ​​napadi. Novi masovni DDoS napadi

Napad tijekom kojeg korisnici ne mogu pristupiti određenim resursima naziva se DDoS napad ili problem uskraćivanja usluge. Glavna značajka ovakvih hakerskih napada su istovremeni zahtjevi s velikog broja računala diljem svijeta, a usmjereni su uglavnom na poslužitelje dobro zaštićenih tvrtki ili državnih organizacija, rjeđe na pojedine nekomercijalne resurse.

Zaraženo računalo postaje poput "zombija", a hakeri koristeći nekoliko stotina ili čak desetaka tisuća takvih "zombija" uzrokuju kvar u radu resursa (denial of service).

Može postojati mnogo razloga za provođenje DDoS napada. Pokušajmo identificirati najpopularnije, a istovremeno odgovoriti na pitanja: "DDoS napad - što je to, kako se zaštititi, koje su njegove posljedice i čime se provodi?"

Natjecanje

Internet je odavno izvor poslovnih ideja, realizacije velikih projekata i drugih načina zarade, pa se DDoS napad može izvesti po narudžbi. Odnosno, ako ga organizacija želi ukloniti kada se pojavi konkurencija, onda se jednostavno obraća hakeru (ili skupini njih) s jednostavnim zadatkom - paralizirati rad nepoželjne tvrtke putem internetskih resursa (DDoS napad na poslužitelj ili web stranica).

Ovisno o konkretnim ciljevima i ciljevima, takav se napad uspostavlja na određeno vrijeme i uz primjenu odgovarajuće sile.

Prijevara

Vrlo često DDoS napad na web stranicu pokreću hakeri kako bi blokirali sustav i dobili pristup osobnim ili drugim važnim podacima. Nakon što napadači paraliziraju sustav, mogu zahtijevati određeni iznos novca za vraćanje napadnutih resursa.

Mnogi internetski poduzetnici pristaju na navedene uvjete, pravdajući svoje postupke zastojem i ogromnim gubicima - lakše je platiti mali iznos prevarantu nego izgubiti značajan profit za svaki dan zastoja.

Zabava

Mnogo korisnika, samo iz znatiželje ili zabave, zanima: "DDoS napad - što je to i kako to učiniti?" Stoga nije neuobičajeno da napadači početnici organiziraju takve napade na nasumične resurse radi zabave i testiranja snage.

Uz razloge, DDoS napadi imaju svoje klasifikacijske značajke.

1. Pojasne širine. Danas je gotovo svako računalo opremljeno ili lokalnom mrežom ili jednostavno spojeno na Internet. Stoga nisu neuobičajeni slučajevi preplavljivanja mreže - veliki broj zahtjeva s nepravilno formiranim i besmislenim sustavom određenim resursima ili opremi s ciljem njezinog naknadnog kvara ili kvara tvrdih diskova, memorije itd.).
2. Iscrpljenost sustava. Takav DDoS napad na Samp poslužitelj provodi se radi hvatanja fizičke memorije, vremena procesora i drugih resursa sustava, zbog nedostatka kojih napadnuti objekt jednostavno ne može u potpunosti raditi.
3. petlje. Beskonačna provjera valjanosti podataka i drugi ciklusi, koji djeluju "u krug", uzrokuju da objekt troši puno resursa, zagađujući time memoriju dok se potpuno ne iscrpi.
4. Lažni napadi. Takva organizacija je usmjerena na lažno aktiviranje zaštitnih sustava, što u konačnici dovodi do blokiranja nekih resursa.
5. HTTP protokol. Hakeri šalju HTTP pakete malog kapaciteta s posebnom enkripcijom, resurs, naravno, ne vidi da je na njemu organiziran DDoS napad, poslužiteljski program, radeći svoj posao, kao odgovor šalje pakete mnogo većeg kapaciteta, čime začepljuje žrtvin propusnost, što opet dovodi do kvara usluga.
6. napad štrumfova. Ovo je jedna od najopasnijih vrsta. Haker šalje lažni ICMP paket žrtvi putem kanala emitiranja, gdje se adresa žrtve zamjenjuje adresom napadača, a svi čvorovi počinju slati odgovor na ping zahtjev. Ovaj DDoS napad je program koji ima za cilj korištenje velike mreže, tj. zahtjev koji obradi 100 računala bit će pojačan 100 puta.
7. UDP poplava. Ovaj tip napada je donekle sličan prethodnom, ali umjesto ICMP paketa, napadači koriste UDP pakete. Bit ove metode je promijeniti IP adresu žrtve u adresu hakera i potpuno opteretiti propusnost, što će također dovesti do kvara sustava.
8. SYN poplava. Napadači pokušavaju istovremeno pokrenuti veliki broj TCP veza kroz SYN kanal s netočnom ili potpuno nedostajućom povratnom adresom. Nakon nekoliko takvih pokušaja, većina operativnih sustava stavlja problematičnu vezu u red čekanja i tek nakon određenog broja pokušaja je zatvara. Protok SYN kanala je prilično velik, i ubrzo, nakon mnogo takvih pokušaja, jezgra žrtve odbija otvoriti bilo kakvu novu vezu, blokirajući rad cijele mreže.
9. "Teški paketi". Ova vrsta daje odgovor na pitanje: "Što je DDoS napad na poslužitelj?" Hakeri šalju pakete na poslužitelj korisnika, ali propusnost se ne zasiti, akcija je usmjerena samo na procesorsko vrijeme. Kao rezultat, takvi paketi dovode do kvara u sustavu, a on, zauzvrat, do njegovih resursa.
10. Log datoteke. Ako sustavi kvota i rotacije imaju sigurnosne rupe, tada napadači mogu slati velike pakete, zauzimajući tako sav slobodan prostor na tvrdim diskovima poslužitelja.
11. Programski kod. Hakeri s velikim iskustvom mogu u potpunosti proučiti strukturu poslužitelja žrtve i pokrenuti posebne algoritme (DDoS napad - exploit program). Takvi napadi uglavnom su usmjereni na dobro zaštićene komercijalne projekte poduzeća i organizacija u različitim poljima i područjima. Napadači pronalaze rupe u kodu i pokreću nevažeće upute ili druge iznimne algoritme koji uzrokuju pad sustava ili usluge.

DDoS napad: što je to i kako se zaštititi

Postoje mnoge metode zaštite od DDoS napada. A svi se mogu podijeliti u četiri dijela: pasivni, aktivni, reakcionarni i preventivni. O čemu ćemo nešto detaljnije govoriti kasnije.

Upozorenje

Ovdje je potrebno spriječiti same uzroke koji bi mogli izazvati DDoS napad. Ova vrsta uključuje neke osobne neprijateljstva, pravne nesuglasice, konkurenciju i druge čimbenike koji izazivaju "povećanu" pozornost prema vama, vašem poslu itd.

Ako na vrijeme reagirate na ove čimbenike i donesete odgovarajuće zaključke, možete izbjeći mnoge neugodne situacije. Ova se metoda više može pripisati problemu nego tehničkoj strani problema.

Odgovor

Ako se napadi na vaše resurse nastave, tada trebate pronaći izvor svojih problema - kupca ili izvođača - koristeći i zakonsku i tehničku moć. Neke tvrtke pružaju usluge traženja uljeza na tehnički način. Na temelju kvalifikacija stručnjaka koji se bave ovim problemom, možete pronaći ne samo hakera koji izvodi DDoS napad, već i samog kupca.

Zaštita softvera

Neki proizvođači hardvera i softvera, zajedno sa svojim proizvodima, mogu ponuditi dosta učinkovitih rješenja, a DDoS napad na stranicu će biti zaustavljen u startu. Zasebni mali poslužitelj može djelovati kao tehnički zaštitnik, usmjeren na suzbijanje malih i srednjih DDoS napada.

Ovo rješenje savršeno je za male i srednje tvrtke. Za veće tvrtke, poduzeća i državne agencije postoje čitavi hardverski kompleksi za borbu protiv DDoS napada, koji uz visoku cijenu imaju izvrsne zaštitne karakteristike.

Filtriranje

Blokiranje i pažljivo filtriranje dolaznog prometa neće samo smanjiti vjerojatnost napada. U nekim slučajevima DDoS napad na poslužitelj može se potpuno isključiti.

Postoje dva glavna načina filtriranja prometa - vatrozidi i potpuno usmjeravanje kroz popise.

Filtriranje popisa (ACL) omogućuje vam filtriranje sporednih protokola bez ometanja TCP-a i bez usporavanja pristupa zaštićenom resursu. Međutim, ako hakeri koriste botnete ili visokofrekventne zahtjeve, tada će ova metoda biti neučinkovita.

Puno bolja zaštita od DDoS napada, no jedina mana im je što su namijenjeni samo privatnim i nekomercijalnim mrežama.

Ogledalo

Bit ove metode je preusmjeriti sav dolazni promet napadača natrag. To se može učiniti ako imate moćne poslužitelje i kompetentne stručnjake koji ne samo da će preusmjeriti promet, već će također moći onesposobiti opremu napadača.

Metoda neće raditi ako postoje pogreške u uslugama sustava, programskim kodovima i drugim mrežnim aplikacijama.

Potražite ranjivosti

Ova vrsta zaštite usmjerena je na popravljanje exploita, uklanjanje grešaka u web aplikacijama i sustavima, kao i drugim servisima odgovornim za mrežni promet. Metoda je beskorisna protiv flood napada koji specifično ciljaju ove ranjivosti.

Moderni resursi

Ova metoda ne može jamčiti 100% zaštitu. Ali vam omogućuje učinkovitije provođenje drugih mjera (ili skupa njih) za sprječavanje DDoS napada.

Distribucija sustava i resursa

Dupliciranje resursa i distribucija sustava omogućit će korisnicima rad s vašim podacima, čak i ako je u tom trenutku vaš poslužitelj pod DDoS napadom. Za distribuciju možete koristiti različitu poslužiteljsku ili mrežnu opremu, a preporuča se i fizičko razdvajanje servisa u različite redundantne sustave (podatkovne centre).

Ova metoda zaštite je najučinkovitija do danas, pod uvjetom da je izrađen ispravan arhitektonski dizajn.

Izbjegavanje

Glavna značajka ove metode je izlaz i podjela napadnutog objekta (ime domene ili IP adresa), tj. svi radni resursi koji se nalaze na istoj stranici moraju biti podijeljeni i smješteni na mrežne adrese trećih strana ili čak na teritoriju druga država. To će vam omogućiti da preživite svaki napad i sačuvate unutarnju IT strukturu.

Usluge DDoS zaštite

Nakon što smo rekli sve o takvoj nesreći kao što je DDoS napad (što je to i kako se nositi s njim), konačno možemo dati jedan dobar savjet. Mnoge velike organizacije nude svoje usluge za sprječavanje i sprječavanje takvih napada. Uglavnom, takve tvrtke koriste cijeli niz mjera i raznih mehanizama kako bi zaštitile svoje poslovanje od većine DDoS napada. Tamo rade stručnjaci i stručnjaci u svom području, stoga, ako vam je vaš resurs drag, onda bi najbolja (iako ne jeftina) opcija bila kontaktirati jednu od ovih tvrtki.

Kako se izvode "uradi sam" DDoS napadi

Svjestan, znači naoružan - pravi princip. No zapamtite da je namjerno organiziranje DDoS napada od strane jedne osobe ili grupe osoba kazneno djelo, stoga je ovaj materijal samo u informativne svrhe.

US Threat Prevention IT je razvio program za testiranje tolerancije opterećenja poslužitelja i izvedivosti DDoS napada i sanacije.

Naravno, "vrući" umovi su ovo oružje okrenuli protiv samih programera i protiv onoga protiv čega su se borili. Kodni naziv proizvoda je LOIC. Ovaj program je besplatno dostupan i, u načelu, nije zabranjen zakonom.

Sučelje i funkcionalnost programa je prilično jednostavna, može ga koristiti svatko tko je zainteresiran za DDoS napad.

Kako sve učiniti sami? U redovima sučelja dovoljno je unijeti IP žrtve, potom postaviti TCP i UDP tokove te broj zahtjeva. Voila - nakon pritiska na željeni gumb, napad je započeo!

Bilo koji ozbiljni resursi, naravno, neće patiti od ovog softvera, ali mali mogu imati problema.

Uvod

Odmah ću reći da sam, kada sam napisao ovu recenziju, prvenstveno bio usmjeren na publiku koja razumije specifičnosti rada telekom operatera i njihovih mreža za prijenos podataka. Ovaj članak opisuje osnovne principe zaštite od DDoS napada, povijest njihovog razvoja u posljednjem desetljeću i trenutno stanje.

Što je DDoS?

Vjerojatno danas, ako ne svaki "korisnik", onda barem svaki "informatičar" zna što su DDoS napadi. Ali ipak treba reći nekoliko riječi.

DDoS napadi (Distributed Denial of Service - distribuirani napadi uskraćivanja usluge) su napadi na računalne sustave (mrežne resurse ili komunikacijske kanale) s ciljem da ih učine nedostupnima legitimnim korisnicima. DDoS napadi sastoje se u istovremenom slanju velikog broja zahtjeva određenom resursu s jednog ili više računala na Internetu. Ako tisuće, deseci tisuća ili milijuni računala istovremeno počnu slati zahtjeve određenom poslužitelju (ili mrežnom servisu), tada poslužitelj ili neće uspjeti ili propusnost komunikacijskog kanala prema ovom poslužitelju neće biti dovoljna. U oba slučaja korisnici interneta neće moći pristupiti napadnutom poslužitelju, pa čak ni svim poslužiteljima i drugim resursima povezanim preko blokiranog komunikacijskog kanala.

Neke značajke DDoS napada

Protiv koga i s kojom svrhom se pokreću DDoS napadi?

DDoS napadi mogu se pokrenuti protiv bilo kojeg resursa prisutnog na Internetu. Najveću štetu od DDoS napada imaju organizacije čije je poslovanje izravno povezano s prisutnošću na internetu – banke (pružaju usluge internetskog bankarstva), internetske trgovine, platforme za trgovanje, aukcije, kao i druge djelatnosti čija aktivnost i učinkovitost značajno ovisi o zastupljenosti na Internetu (putničke agencije, zrakoplovne tvrtke, proizvođači hardvera i softvera itd.) DDoS napadi redovito se pokreću na resurse takvih divova globalne IT industrije kao što su IBM, Cisco Systems, Microsoft i drugi. Masovni DDoS napadi primijećeni su protiv eBay.com, Amazon.com, mnogih poznatih banaka i organizacija.

Vrlo često se DDoS napadi izvode na web predstavništva političkih organizacija, institucija ili pojedinih poznatih osoba. Mnogi ljudi znaju za masovne i dugotrajne DDoS napade koji su pokrenuti na web stranicu predsjednika Gruzije tijekom gruzijsko-osetijskog rata 2008. (web stranica je bila nedostupna nekoliko mjeseci počevši od kolovoza 2008.), protiv poslužitelja estonske vlade (u proljeće 2007., tijekom nereda povezanih s prijenosom Brončanog vojnika), o periodičnim napadima iz sjevernokorejskog segmenta interneta na američke stranice.

Glavni ciljevi DDoS napada su ili stjecanje dobiti (izravne ili neizravne) putem ucjena i iznuda, ili ostvarivanje političkih interesa, zaoštravanje situacije, osveta.

Koji su mehanizmi za pokretanje DDoS napada?

Najpopularniji i najopasniji način pokretanja DDoS napada je korištenje bot mreža (BotNets). Botnet je skup računala na kojima su instalirani posebni softverski tabovi (botovi), u prijevodu s engleskog botnet je mreža botova. Botove obično razvijaju hakeri pojedinačno za svaki botnet, a glavna im je svrha slanje zahtjeva prema određenom resursu na Internetu putem naredbe primljene od poslužitelja za naredbe i kontrolu Botneta. Server za kontrolu botneta kontrolira haker ili osoba koja je od hakera kupila botnet i mogućnost pokretanja DDoS napada. Botovi se šire internetom na različite načine, obično napadajući računala ranjivim servisima i na njih instalirajući softverske oznake, ili obmanjujući korisnike i tjerajući ih da instaliraju botove pod krinkom pružanja drugih usluga ili softvera koji obavljaju potpuno bezopasne ili čak korisne značajka. Postoji mnogo načina za distribuciju botova, novi načini se redovito izmišljaju.

Ako je botnet dovoljno velik - deseci ili stotine tisuća računala - tada će istovremeno slanje čak i sasvim legitimnih zahtjeva sa svih tih računala prema određenom mrežnom servisu (na primjer, web servisu na određenom mjestu) dovesti do iscrpljivanja resursa bilo same usluge ili poslužitelja ili do iscrpljenosti mogućnosti komunikacijskog kanala. U svakom slučaju, usluga će biti nedostupna korisnicima, a vlasnik usluge pretrpjet će izravne, neizravne i reputacijske gubitke. A ako svako od računala ne pošalje jedan zahtjev, već desetke, stotine ili tisuće zahtjeva u sekundi, tada se snaga napada višestruko povećava, što omogućuje onesposobljavanje čak i najproduktivnijih resursa ili komunikacijskih kanala.

Neki se napadi izvode na "bezopasnije" načine. Na primjer, flash mob korisnika određenih foruma koji po dogovoru sa svojih računala u određeno vrijeme pokreću "pingove" ili druge zahtjeve prema određenom serveru. Drugi primjer je postavljanje poveznice na web mjesto na popularnim internetskim resursima, što uzrokuje priljev korisnika na ciljni poslužitelj. Ako "lažna" poveznica (izgleda kao poveznica na jedan resurs, ali zapravo vodi na potpuno drugi poslužitelj) vodi na web stranicu male organizacije, ali se nalazi na popularnim poslužiteljima ili forumima, takav napad može uzrokovati priljev posjetitelja to je nepoželjno za ovu stranicu. Napadi posljednje dvije vrste rijetko dovode do prekida dostupnosti poslužitelja na pravilno organiziranim hosting stranicama, međutim bilo je takvih primjera, pa čak iu Rusiji 2009.

Hoće li tradicionalna tehnička sredstva zaštite od DDoS napada pomoći?

Značajka DDoS napada je da se sastoje od mnogo istodobnih zahtjeva, od kojih je svaki pojedinačno prilično "legalan", štoviše, te zahtjeve šalju računala (zaražena botovima), koja mogu pripadati najčešćim stvarnim ili potencijalnim korisnicima napadnute usluge ili resursa. Stoga je vrlo teško pomoću standardnih alata ispravno identificirati i filtrirati točno one zahtjeve koji predstavljaju DDoS napad. Standardni sustavi klase IDS/IPS (Intrusion Detection/Prevention System – sustav za otkrivanje/spriječavanje mrežnih napada) u ovim zahtjevima neće pronaći “corpus delicti”, neće razumjeti da su dio napada, osim ako ne izvrše kvalitativna analiza prometnih anomalija. A čak i da imaju, filtriranje nepotrebnih zahtjeva također nije tako jednostavno - standardni vatrozidi i usmjerivači filtriraju promet na temelju dobro definiranih popisa pristupa (pravila kontrole), te se ne mogu "dinamički" prilagoditi profilu specifičnog napada . Vatrozidi mogu regulirati tokove prometa na temelju kriterija kao što su izvorne adrese, mrežne usluge koje se koriste, priključci i protokoli. Ali obični korisnici interneta sudjeluju u DDoS napadu, šaljući zahtjeve koristeći najčešće protokole - neće li telekom operater zabraniti sve i svakoga? Tada će jednostavno prestati pružati komunikacijske usluge svojim pretplatnicima, te će prestati pružati pristup mrežnim resursima koje opslužuje, što je zapravo ono što inicijator napada želi postići.

Mnogi stručnjaci vjerojatno znaju za postojanje posebnih rješenja za zaštitu od DDoS napada, koja se sastoje u otkrivanju anomalija u prometu, izgradnji prometnog profila i profila napada te naknadnom procesu dinamičkog višestupanjskog filtriranja prometa. I ja ću također govoriti o tim rješenjima u ovom članku, ali malo kasnije. I prvo će se raspravljati o nekim manje poznatim, ali ponekad prilično učinkovitim mjerama koje se mogu poduzeti za suzbijanje DDoS napada postojećim sredstvima mreže za prijenos podataka i njezinim administratorima.

Zaštita od DDoS napada postojećim sredstvima

Postoji dosta mehanizama i "trikova" koji omogućuju, u nekim određenim slučajevima, suzbijanje DDoS napada. Neki se mogu koristiti samo ako je podatkovna mreža izgrađena na opremi određenog proizvođača, drugi su više ili manje univerzalni.

Počnimo s preporukama Cisco Systemsa. Stručnjaci ove tvrtke preporučuju zaštitu temelja mreže (Network Foundation Protection), što uključuje zaštitu razine mrežne administracije (Control Plane), razine upravljanja mrežom (Management Plane), te zaštitu podatkovnog sloja u mreži ( Data Plane).

Sigurnost razine upravljanja

Pojam "administrativni sloj" pokriva sav promet koji upravlja ili nadzire usmjerivače i drugu mrežnu opremu. Ovaj promet je usmjeren prema usmjerivaču ili potječe od usmjerivača. Primjeri takvog prometa su Telnet, SSH i http(s) sesije, syslog poruke, SNMP zamke. Opći najbolji primjeri iz prakse uključuju:

Osiguravanje maksimalne sigurnosti protokola kontrole i nadzora, korištenjem enkripcije i autentifikacije:

• SNMP v3 pruža sigurnosne značajke, dok SNMP v1 pruža malu ili nikakvu zaštitu, a SNMP v2 pruža samo djelomičnu zaštitu -- zadane vrijednosti Zajednice treba uvijek mijenjati;
• treba koristiti različite vrijednosti za javnu i privatnu zajednicu;
• telnet protokol prenosi sve podatke, uključujući prijavu i lozinku, u čistom tekstu (ako je promet presretnut, te se informacije mogu lako ekstrahirati i koristiti), preporuča se uvijek koristiti ssh v2 protokol umjesto toga;
• slično, umjesto http-a, koristite https za pristup opremi, strogu kontrolu pristupa opremi, uključujući odgovarajuću politiku lozinki, centraliziranu autentifikaciju, autorizaciju i računovodstvo (AAA model) i lokalnu autentifikaciju za redundantnost;

Implementacija uzora pristupa;

Kontrola dopuštenih veza prema izvornoj adresi korištenjem popisa kontrole pristupa;

Onemogućavanje nekorištenih usluga, od kojih su mnoge omogućene prema zadanim postavkama (ili su zaboravljene da budu onemogućene nakon dijagnostike ili postavki sustava);

Pratite korištenje hardverskih resursa.

Na posljednje dvije točke vrijedi se detaljnije osvrnuti.
Neke usluge koje su prema zadanim postavkama omogućene ili su zaboravljene onemogućene nakon postavljanja hardvera ili dijagnostike napadači mogu koristiti za zaobilaženje postojećih sigurnosnih pravila. Popis ovih usluga je u nastavku:

• PAD (sastavljač/rastavljač paketa);

Naravno, prije nego što onemogućite ove usluge, morate pažljivo analizirati odsutnost njihove potrebe u vašoj mreži.

Poželjno je pratiti korištenje resursa opreme. To će omogućiti, prvo, da se na vrijeme uoči zagušenje pojedinih mrežnih elemenata i poduzmu mjere za sprječavanje nesreće, i drugo, da se otkriju DDoS napadi i anomalije ako njihovo otkrivanje nije osigurano posebnim sredstvima. Minimalno se preporučuje praćenje:

• korištenje CPU-a
• korištenje memorije
• zagušenja sučelja rutera.

Nadzor se može provoditi "ručno" (povremeno praćenje stanja opreme), ali naravno, bolje je to učiniti posebnim sustavima za nadzor mreže ili nadzorom informacijske sigurnosti (potonji uključuje Cisco MARS).

Zaštita kontrolne ravnine

Sloj upravljanja mrežom uključuje sav promet usluga koji osigurava funkcioniranje i povezanost mreže u skladu sa zadanom topologijom i parametrima. Primjeri prometa kontrolne razine su: sav promet generiran ili namijenjen procesoru rute (RR), uključujući sve protokole usmjeravanja, u nekim slučajevima SSH i SNMP protokole, kao i ICMP. Svaki napad na rad routing procesora, a posebice DDoS napadi, mogu dovesti do značajnih problema i prekida u radu mreže. Najbolji postupci za osiguranje kontrolne ravnine opisani su u nastavku.

Nadzor nad avionom

Sastoji se od korištenja QoS (Quality of Service) mehanizama za davanje većeg prioriteta nadzornom prometu u avionu nego korisničkom prometu (čiji su i napadi dio). Time će se osigurati rad servisnih protokola i routing procesora, odnosno sačuvati topologija i povezanost mreže, kao i samo rutiranje i komutacija paketa.

ACL primanja IP-a

Ova funkcionalnost vam omogućuje filtriranje i kontrolu servisnog prometa namijenjenog ruteru i procesoru rute.

• primjenjuju se već izravno na opremu za usmjeravanje prije nego što promet stigne do procesora rute, pružajući "osobnu" zaštitu opreme;
• primjenjuju se nakon što promet prođe uobičajene liste kontrole pristupa - posljednja su razina zaštite na putu do procesora rute;
• odnose se na sav promet (i unutarnji i vanjski te tranzitni u odnosu na mrežu teleoperatera).

Infrastrukturni ACL

Obično samo hostovi na vlastitoj mreži operatera trebaju pristup vlastitim adresama usmjerivača, ali postoje iznimke (npr. eBGP, GRE, IPv6 preko IPv4 tunela i ICMP). Popisi kontrole pristupa infrastrukturi:

• obično se postavljaju na rubu mreže teleoperatera ("na ulazu u mrežu");
• namijenjeni su sprječavanju pristupa vanjskih računala adresama infrastrukture operatera;
• osigurati nesmetan tranzit prometa preko granice mreže operatora;
• pružaju osnovne mehanizme zaštite od neovlaštene mrežne aktivnosti, opisane u RFC 1918, RFC 3330, posebno zaštitu od prijevare (podvala, korištenje lažnih izvornih IP adresa za maskiranje prilikom pokretanja napada).

Provjera autentičnosti susjeda

Glavna svrha autentifikacije susjednog usmjerivača je spriječiti napade koji šalju lažne poruke protokola usmjeravanja kako bi promijenili usmjeravanje mreže. Takvi napadi mogu dovesti do neovlaštenog pristupa mreži, neovlaštenog korištenja mrežnih resursa, te do činjenice da napadač presreće promet kako bi analizirao i dobio potrebne informacije.

Konfiguriranje BGP-a

• filtriranje BGP prefiksa (BGP prefiks filtri) - koristi se kako bi se osiguralo da se informacije o rutama interne mreže telekom operatera ne distribuiraju na Internet (ponekad ove informacije mogu biti vrlo korisne za napadača);
• ograničavanje broja prefiksa koji se mogu primiti od drugog usmjerivača (ograničavanje prefiksa) - koristi se za zaštitu od DDoS napada, anomalija i kvarova u mrežama peering partnera;
• korištenje i filtriranje parametara BGP zajednice također se može koristiti za ograničavanje distribucije informacija o usmjeravanju;
• BGP praćenje i korelacija BGP podataka s promatranim prometom jedan je od mehanizama za rano otkrivanje DDoS napada i anomalija;
• filtriranje prema parametru TTL (Time-to-Live) - koristi se za provjeru BGP partnera.

Ako BGP napad nije pokrenut iz mreže peering partnera, već iz udaljenije mreže, tada će TTL parametar BGP paketa biti manji od 255.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Zaštita mrežne podatkovne ravnine

Unatoč važnosti zaštite razina administracije i kontrole, najveći dio prometa u mreži telekom operatera čine podaci koji su u tranzitu ili su namijenjeni pretplatnicima tog operatora.

Unicast prosljeđivanje obrnutog puta (uRPF)

Često se napadi pokreću korištenjem tehnologije lažiranja - izvorne IP adrese su lažirane tako da se ne može ući u trag izvoru napada. Lažne IP adrese mogu biti:

• iz stvarno korištenog adresnog prostora, ali u drugom mrežnom segmentu (u segmentu iz kojeg je napad pokrenut te se lažne adrese ne usmjeravaju);
• iz neiskorištenog adresnog prostora u danoj mreži za prijenos podataka;
• iz adresnog prostora koji se ne može usmjeravati na Internetu.

Implementacija uRPF mehanizma na usmjerivačima spriječit će rutiranje paketa s izvorišnim adresama koje su nekompatibilne ili neiskorištene u segmentu mreže iz kojeg su stigli na sučelje usmjerivača. Ova tehnologija ponekad omogućuje prilično učinkovito filtriranje neželjenog prometa što je moguće bliže izvoru, odnosno najučinkovitije. Mnogi DDoS napadi (uključujući dobro poznate Smurfove i Tribal Flood Network) koriste mehanizam lažiranja i stalne promjene izvornih adresa kako bi prevarili standardne alate za zaštitu i filtriranje prometa.

Korištenje mehanizma uRPF od strane telekom operatera koji pretplatnicima osiguravaju pristup internetu učinkovito će spriječiti DDoS napade korištenjem tehnologije lažiranja koju njihovi pretplatnici usmjeravaju protiv internetskih resursa. Tako se DDoS napad suzbija najbliže izvoru, odnosno najučinkovitije.

Daljinski aktivirane crne rupe (RTBH)

Kontrolirane crne rupe (Daljinski aktivirane crne rupe) koriste se za "odbacivanje" (uništenje, slanje "nigdje") prometa koji ulazi u mrežu usmjeravanjem tog prometa na posebna sučelja Null 0. Ova se tehnologija preporučuje za korištenje na rubu mreže za ispuštanje koji sadrži DDoS-napadajući promet dok ulazi u mrežu. Ograničenje (i to značajno) ove metode je da se primjenjuje na sav promet namijenjen određenom hostu ili hostovima koji su meta napada. Stoga se ova metoda može koristiti u slučajevima kada je jedno ili više računala izloženo masovnom napadu, što uzrokuje probleme ne samo napadnutim računalima, već i drugim pretplatnicima te mreži telekom operatera u cjelini.

Crne rupe se mogu kontrolirati i ručno i putem BGP protokola.

Propagacija politike QoS-a kroz BGP (QPPB)

Kontrola QoS-a preko BGP-a (QPPB) omogućuje vam kontrolu politika prioriteta za promet namijenjen određenom autonomnom sustavu ili bloku IP adresa. Ovaj mehanizam može biti vrlo koristan za telekom operatere i velika poduzeća, uključujući i za upravljanje razinom prioriteta za neželjeni promet ili promet koji sadrži DDoS napad.

Rupe za sudopere

U nekim slučajevima nije potrebno u potpunosti ukloniti promet pomoću crnih rupa, već ga preusmjeriti od glavnih kanala ili resursa za naknadno praćenje i analizu. Tome služe rupe za sudopere.

Rupe za sudopere najčešće se koriste u sljedećim slučajevima:

• preusmjeravati i analizirati promet s odredišnim adresama koje pripadaju adresnom prostoru mreže telekom operatera, ali se zapravo ne koriste (nisu dodijeljene niti opremi niti korisnicima); takav promet je a priori sumnjiv, jer često ukazuje na pokušaje skeniranja ili prodora u vašu mrežu od strane napadača koji nema detaljne informacije o njezinoj strukturi;
• preusmjeriti promet s cilja napada, a to je resurs koji stvarno funkcionira u mreži telekom operatera, za njegovo praćenje i analizu.

DDoS zaštita pomoću posebnih alata

Koncept Cisco Clean Pipes - praotac industrije

Moderni koncept zaštite od DDoS napada razvio je (da, da, nećete se iznenaditi! :)) Cisco Systems. Koncept koji je razvio Cisco zove se Cisco Clean Pipes ("očišćeni kanali"). Koncept, koji je detaljno razrađen prije gotovo 10 godina, detaljno je opisao osnovne principe i tehnologije zaštite od anomalija u prometu, od kojih se većina i danas koristi, uključujući i druge proizvođače.

Koncept Cisco Clean Pipes pretpostavlja sljedeća načela za otkrivanje i suzbijanje DDoS napada.

Odabiru se točke (dijelovi mreže) u kojima se analizira promet kako bi se otkrile anomalije. Ovisno o tome što štitimo, takve točke mogu biti peering veze telekom operatora s upstream operatorima, spojne točke downstream operatora ili pretplatnika, kanali povezivanja podatkovnog centra s mrežom.

Posebni detektori analiziraju promet na tim točkama, grade (proučavaju) prometni profil u normalnom stanju, a kada se dogodi DDoS napad ili anomalija, detektiraju ga, proučavaju i dinamički oblikuju njegove karakteristike. Nadalje, podatke analizira operater sustava, a proces suzbijanja napada pokreće se u poluautomatskom ili automatskom načinu rada. Suzbijanje se sastoji u činjenici da se promet namijenjen "žrtvi" dinamički preusmjerava kroz uređaj za filtriranje, na koji se na taj promet primjenjuju filtri koje generira detektor i odražavaju individualnu prirodu ovog napada. Očišćeni promet se ubacuje u mrežu i šalje primatelju (zato je nastao naziv Clean Pipes - pretplatnik dobiva "čisti kanal" koji ne sadrži napad).

Dakle, cijeli ciklus zaštite od DDoS napada uključuje sljedeće glavne faze:

• Obuka o karakteristikama kontrole prometa (profiliranje, osnovno učenje)
• Otkrivanje napada i anomalija (Detekcija)
• Preusmjeravanje prometa radi prolaska kroz uređaj za čišćenje (Diverzija)
• Filtriranje prometa za suzbijanje napada (ublažavanje)
• Unos prometa natrag u mrežu i slanje do primatelja (injekcija).

N nekoliko značajki.
Dvije vrste uređaja mogu se koristiti kao detektori:

• Detektori koje proizvodi Cisco Systems su Cisco Traffic Anomaly Detector Services Modules dizajnirani za ugradnju u kućište Cisco 6500/7600.
• Detektori koje proizvodi Arbor Networks su Arbor Peakflow SP CP uređaji.

Dolje je usporedna tablica između detektora Cisco i Arbor.

Parametar	Cisco detektor prometnih anomalija	Arbor Peakflow SP CP
Dobijte informacije o prometu za analizu	Koristi se kopija prometa dodijeljena šasiji Cisco 6500/7600	Koristi Netflow podatke o prometu primljene od usmjerivača, uzorkovanje se može prilagoditi (1:1, 1:1000, 1:10000, itd.)
Korišteni principi detekcije	Analiza potpisa (otkrivanje zlouporabe) i otkrivanje anomalija (dinamičanprofiliranje)	Prvenstveno otkrivanje anomalija; koristi se analiza potpisa, ali su potpisi generički
Form Factor	servisni moduli u šasiji Cisco 6500/7600	odvojeni uređaji (poslužitelji)
Izvođenje	Analiziran promet do 2 Gbps	Gotovo neograničeno (možete smanjiti stopu uzorkovanja)
Skalabilnost	Ugradnja do 4 modulaCiscoDetektorSMu jednoj šasiji (međutim, moduli rade neovisno jedan o drugom)	Mogućnost korištenja više uređaja unutar jednog sustava analize, od kojih je jednom dodijeljen status Leader
Nadzor mrežnog prometa i usmjeravanja	Funkcionalnost gotovo da i ne postoji	Funkcionalnost je vrlo napredna. Mnogi telekom operateri kupuju Arbor Peakflow SP zbog duboke i dobro razvijene funkcionalnosti za praćenje prometa i usmjeravanja u mreži
Pružanje portala (individualno sučelje za pretplatnika koje omogućuje praćenje samo dijela mreže koji je izravno povezan s njim)	Nije osigurano	Pod uvjetom. To je ozbiljna prednost ovog rješenja, budući da telekom operater svojim pretplatnicima može prodati pojedinačne usluge DDoS zaštite.
Kompatibilni uređaji za čišćenje prometa (suzbijanje napada)	Cisco Modul čuvarskih službi	Arbor Peakflow SP TMS; Cisco Guard Services Module.
	Zaštita podatkovnih centara (Data Center) kada su spojeni na Internet Praćenje nizvodnih priključaka pretplatničkih mreža na mrežu telekom operatera	Otkrivanje napada nauzvodno-priključci mreže telekom operatera na mreže upstream providera Praćenje okosnice telekom operatera

Posljednji redak tablice prikazuje scenarije za korištenje detektora tvrtke Cisco i tvrtke Arbor, koje je preporučio Cisco Systems. Ovi scenariji prikazani su na donjem dijagramu.

Kao uređaj za čišćenje prometa Cisco preporuča korištenje servisnog modula Cisco Guard koji se ugrađuje u šasiju Cisco 6500/7600 i na naredbu dobivenu od Cisco Detector-a ili od Arbor Peakflow SP CP-a promet se dinamički preusmjerava, čisti, i ponovno ubačen u mrežu. Mehanizmi preusmjeravanja su ili BGP ažuriranja uzvodnih usmjerivača ili izravne kontrolne naredbe nadzorniku korištenjem vlasničkog protokola. Pri korištenju ažuriranja BGP-a, uzvodni usmjerivač dobiva novu nex-hop vrijednost za promet koji sadrži napad - tako da ovaj promet dolazi do poslužitelja za čišćenje. U isto vrijeme, mora se paziti da ove informacije ne dovedu do organizacije petlje (tako da nizvodni usmjerivač, kada mu ubacuje oslobođeni promet, ne pokuša ovaj promet omotati natrag na uređaj za čišćenje). Da bi se to postiglo, mogu se koristiti mehanizmi za kontrolu distribucije BGP ažuriranja pomoću parametra zajednice ili korištenje GRE tunela prilikom ulaska u odobreni promet.

Ovakvo stanje je postojalo sve dok Arbor Networks nije značajno proširio svoju liniju proizvoda Peakflow SP i ušao na tržište s potpuno samostalnim rješenjem za zaštitu od DDoS-a.

Uvođenje Arbor Peakflow SP TMS

Arbor Networks je prije nekoliko godina odlučio samostalno razvijati svoju liniju proizvoda za zaštitu od DDoS napada, neovisno o tempu i politici razvoja u tom smjeru od strane Cisca. Rješenja Peakflow SP CP imala su temeljne prednosti u odnosu na Cisco Detector, budući da su analizirala informacije o protoku s mogućnošću kontrole brzine uzorkovanja, te stoga nisu imala ograničenja u korištenju u mrežama nositelja i glavnim kanalima (za razliku od Cisco Detectora, koji analizira kopiju prometa) . Osim toga, ozbiljna prednost Peakflow SP-a bila je mogućnost da operateri prodaju pojedinačne usluge pretplatnicima za nadzor i zaštitu svojih mrežnih segmenata.

S obzirom na ova i druga razmatranja, Arbor je značajno proširio svoju liniju proizvoda Peakflow SP. Pojavio se niz novih uređaja:

Peakflow SP TMS (sustav za upravljanje prijetnjama)- Obavlja suzbijanje DDoS napada kroz višestupanjsko filtriranje na temelju podataka dobivenih od Peakflow SP CP i ASERT laboratorija Arbor Networks, koji prati i analizira DDoS napade na Internetu;

Peakflow SP BI (poslovna inteligencija)- uređaji koji omogućuju skaliranje sustava povećanjem broja logičkih objekata koji se prate i osiguravaju redundanciju prikupljenih i analiziranih podataka;

Peakflow SP PI (sučelje portala)- uređaji koji omogućuju povećanje broja pretplatnika kojima je osigurano individualno sučelje za upravljanje vlastitom sigurnošću;

Peakflow SP FS (Cenzor protoka)- uređaji koji omogućuju nadzor pretplatničkih usmjerivača, veze s nizvodnim mrežama i centrima za obradu podataka.

Principi rada Arbor Peakflow SP sustava ostali su u osnovi isti kao i Cisco Clean Pipes, međutim, Arbor redovito razvija i unapređuje svoje sustave, tako da je u ovom trenutku funkcionalnost Arbor proizvoda bolja u mnogočemu od Ciscovih, uključujući performanse .

Do danas se maksimalne performanse Cisco Guarda mogu postići stvaranjem klastera od 4 Guard modula u jednoj šasiji Cisco 6500/7600, dok potpuno klasteriranje ovih uređaja nije implementirano. U isto vrijeme, vrhunski modeli Arbor Peakflow SP TMS imaju performanse do 10 Gb / s, a zauzvrat se mogu grupirati.

Nakon što se Arbor počeo pozicionirati kao samostalni igrač na tržištu sustava za otkrivanje i suzbijanje DDoS napada, Cisco je počeo tražiti partnera koji bi mu omogućio prijeko potreban nadzor podataka o protoku mrežnog prometa, ali ne bi bio direktan konkurent. Takva je tvrtka Narus, koja proizvodi sustave za nadzor prometa temeljene na podacima o protoku (NarusInsight), a sklopila je partnerstvo s Cisco Systemsom. Međutim, ovo partnerstvo nije dobilo ozbiljan razvoj i prisutnost na tržištu. Štoviše, prema nekim izvješćima, Cisco ne planira ulagati u svoja rješenja Cisco Detector i Cisco Guard, dapače, prepušta ovu nišu na milost i nemilost Arbor Networksu.

Neke značajke rješenja Cisco i Arbor

Vrijedno je spomenuti neke značajke Cisco i Arbor rješenja.

1. Cisco Guard se može koristiti i s detektorom i samostalno. U potonjem slučaju, postavljen je na in-line način rada i obavlja funkcije detektora, analizira promet, te po potrebi uključuje filtre i čisti promet. Nedostatak ovog načina rada je što se, prvo, dodaje dodatna točka potencijalnog kvara, a drugo, dodatno kašnjenje prometa (iako je malo dok se ne uključi mehanizam za filtriranje). Način rada koji se preporučuje za Cisco Guard je čekanje naredbe za preusmjeravanje prometa koji sadrži napad, filtriranje i vraćanje natrag u mrežu.
2. Jedinice Arbor Peakflow SP TMS također mogu raditi u off-ramp i in-line modovima. U prvom slučaju uređaj pasivno čeka naredbu za preusmjeravanje prometa koji sadrži napad kako bi ga očistio i vratio u mrežu. U drugom, propušta sav promet kroz sebe, na temelju toga generira podatke u Arborflow formatu i prenosi ih na Peakflow SP CP za analizu i detekciju napada. Arborflow je format sličan Netflowu, ali ga je Arbor modificirao za svoje Peakflow SP sustave. Praćenje prometa i otkrivanje napada provodi Peakflow SP CP na temelju Arborflow podataka primljenih od TMS-a. Kada se otkrije napad, operater Peakflow SP CP izdaje naredbu za njegovo suzbijanje, nakon čega TMS uključuje filtre i čisti promet od napada. Za razliku od Cisca, Peakflow SP TMS poslužitelj ne može raditi samostalno; za analizu prometa mu je potreban Peakflow SP CP poslužitelj.
3. Danas se većina stručnjaka slaže da su zadaće zaštite dijelova lokalne mreže (na primjer, povezivanje podatkovnih centara ili povezivanje nizvodnih mreža) učinkovite.

Ova organizacija, osim što registrira nazive domena u .tr zoni, također osigurava okosnicu komunikacije turskim sveučilištima. Anonimni haktivisti preuzeli su odgovornost za napad, optužujući tursko vodstvo da podržava ISIS.

Prvi znakovi DDoS-a pojavili su se 14. prosinca ujutro, do podneva je pet NIC.tr servera popustilo pod naletom neželjenog prometa kapaciteta do 40 Gbps. Problem je također zahvatio RIPE koordinacijski centar, koji pruža alternativnu NS infrastrukturu NIC.tr. Predstavnici RIPE-a primijetili su da je napad modificiran na takav način da zaobiđe obranu RIPE-a.

DDoS napadi velikih razmjera postaju najučinkovitiji način za prekid web usluga - cijena napada stalno se smanjuje, što vam omogućuje povećanje snage: u samo dvije godine prosječna snaga DDoS napada učetverostručila se na 8 Gb/s. Što se tiče prosječnih vrijednosti, napad na zonu nacionalne domene Turske izgleda impresivno, ali stručnjaci naglašavaju da će DDoS napadi od 400 Gbps uskoro postati norma.

Jedinstvenost turskog napada leži u činjenici da su napadači odabrali pravu metu: koncentrirajući se na relativno mali broj IP adresa, uspjeli su praktički onesposobiti infrastrukturu cijele jedne zemlje sa samo 40-gigabitnim napadom.

Turski nacionalni centar za odgovor na kibernetičke incidente blokirao je sav promet prema poslužiteljima NIC.tr iz drugih zemalja, uzrokujući da svih 400.000 turskih stranica postane nedostupno, a sve poruke e-pošte vraćene pošiljateljima. Kasnije je centar odlučio promijeniti taktiku, provodeći selektivno blokiranje sumnjivih IP adresa. DNS poslužitelji domena u .tr zoni rekonfigurirani su za distribuciju zahtjeva između javnih i privatnih poslužitelja, uz pomoć turskih ISP-ova Superonline i Vodafone.

Napadnute domene vratile su se na mrežu istog dana, no mnoge su stranice i mail servisi radili s prekidima još nekoliko dana. Nisu pogođene samo lokalne tvrtke i vladine organizacije, već i mnogi nacionalni web izvori koji su odabrali naziv domene u .tr zoni; ukupno je to oko 400 tisuća web stranica, od kojih su 75% korporativne. Tursku nacionalnu domenu također koriste obrazovne ustanove, općine i vojska.

Dok se nisu oglasili “anonimci”, mnogi su za DDoS napad krivili Ruse – zbog zategnutih odnosa Turske i Rusije. Svojedobno su ruski hakeri iz sličnih razloga bili osumnjičeni za umiješanost u velike cyber napade na Estoniju (2007.), Gruziju (2008.) i Ukrajinu (2014.). Neki su stručnjaci turski DDoS smatrali ruskim odgovorom na DDoS napad turskih kibernetičkih grupa na rusku novinsku stranicu Sputnik.

Anonimna izjava lišila je temelja hipotezu o “ruskom tragu”. Haktivisti također prijete da će napasti turske zračne luke, banke, poslužitelje vladinih struktura i vojnih organizacija ako Turska ne prestane pomagati ISIS-u.

FSB istražuje kazneni slučaj o masovnom hakerskom napadu korištenjem Interneta stvari (IoT) na objekte financijskog sektora u jesen 2016., a koji su bili usmjereni na Sberbank, Rosbank, Alfa-Bank, Bank of Moscow, Moskovsku burzu i druge.

Kako piše Kommersant, o tome je govorio zamjenik direktora FSB-a Dmitrij Šalkov, govoreći u Državnoj dumi na predstavljanju paketa vladinih zakona o sigurnosti kritične informacijske infrastrukture (CII) Ruske Federacije.

U 2016. godini zabilježeno je oko 70 milijuna DDoS napada na ruske službene informacijske resurse, što je tri puta više nego godinu dana ranije. Međutim, hakovi u studenom razlikuju se od većine njih, primijetio je Shalkov.

Prema njegovim riječima, u razdoblju od 8. do 14. studenog izvedeni su DDoS napadi srednje snage na osam organizacija. Radilo se o takozvanim botnetima (računala s pristupom internetu koja su hakeri hakirala i preuzela kontrolu), koristeći IoT uređaje spojene na mrežu, a posebno web kamere. Zamjenik ravnatelja FSB-a primijetio je sličnost koordiniranog napada na ruske strukture sa šestosatnim napadom u Sjedinjenim Državama u listopadu na usluge internetskog davatelja Dyn, što je rezultiralo brojnim velikim američkim resursima (Twitter, CNN , Spotify, The New York Times i Reddit) dugo vremena nisu bili dostupni.

Pritom, napadi nisu bili popraćeni krađom novčanih sredstava, a napadnute banke nisu zabilježile prekide usluga. Nakon napada u studenom takvi se incidenti nisu ponovili, izvijestila je Središnja banka Ruske Federacije.

Kommersant napominje da DDoS napadi sami po sebi nisu usmjereni na krađu financija, oni se u pravilu koriste za blokiranje web stranica i usluga internetskog bankarstva. Gleb Cherbov, zamjenik voditelja Odjela za reviziju sigurnosti digitalne sigurnosti, objasnio je da se "uređaji i poslužitelji koje kontroliraju napadači kombiniraju u botnet mreže spremne za generiranje mrežnog prometa koji postaje fatalan za napadnuti sustav." Međutim, masovni DDoS napadi mogu donijeti ozbiljne gubitke bankama. Na primjer, nedostupnost usluga može izazvati paniku među štedišama koji će početi masovno povlačiti depozite. Osim toga, masovni DDoS napadi često se koriste za maskiranje drugih aktivnosti. Konkretno, dok sigurnosni stručnjaci popravljaju ranjivost, napadači mogu prodrijeti u bankarsku infrastrukturu.

Prema publikaciji, otvaranje kaznenog postupka od strane FSB-a o činjenici hakerskih napada u studenom 2016. znači da su osumnjičenici već identificirani istragom. Istraga se u takvim slučajevima bavi najmanje šest mjeseci, no u stvarnosti se to razdoblje proteže na dvije ili tri godine, napominje izvor publikacije.

Danas pokušajmo razjasniti situaciju oko Ddos napada na poslužitelj. Svejedno, ovaj problem se doista prepliće s temom hostinga kao takvog.

Stvar je prilično gadna. Zamislite, jučer sam instalirao potpuno novi dodatak na svoj wordpress i odjednom nakon nekog vremena, bam! - blog se u pregledniku prestaje otvarati. Štoviše, druge stranice savršeno surfaju u isto vrijeme. Misli se penju - nešto nije u redu s dodatkom. Kliknem za ponovno učitavanje stranice mnogo puta i ništa! Tada je stvarno djelovalo, ali sam morao izdržati nekoliko neugodnih minuta.

I danas u pošti vidim pismo tehničke podrške TimeWeba. Neću skrivati, tamo uzimam hosting. I zašto skrivati, samo unesite adresu web stranice u Whois.
Pismo je:

„Dragi korisnici.
Danas, 02. prosinca 2011. u 16:32 po moskovskom vremenu, započeo je masovni DDOS napad na tehnološku platformu TIMEWEB, koji je poremetio rad nekih stranica i poslužitelja.
Inženjeri TIMEWEB-a preuzeli su kontrolu nad situacijom i do 18:45 stabilan rad stranice je u potpunosti uspostavljen..."

Odlučio sam otkriti odakle dolaze Ddos napadi na poslužitelj i što je to, općenito, takvo. I evo što sam iskopao.

Ddos napadi na poslužitelj - što je to?

Prvo, pogledajmo Wiki, gdje bismo bili bez nje:

DOS NAPAD Uskraćivanje usluge, uskraćivanje usluge) - napad na računalni sustav kako bi se isti doveo do kvara, odnosno do takvog stanja da legitimni (zakoniti) korisnici sustava ne mogu pristupiti resursima (poslužiteljima, uslugama) koje sustav pruža ili je taj pristup teško. Kvar "neprijateljskog" sustava može biti sam sebi cilj (na primjer, učiniti popularnu stranicu nedostupnom) ili jedan od koraka za preuzimanje kontrole nad sustavom (ako u hitnim slučajevima softver oda kritične informacije - na primjer, verzija, dio programskog koda itd. d.).

Ako se napad izvodi istovremeno s većeg broja računala, govori se o DDOS NAPADU (od engl. Distribuirano uskraćivanje usluge, distribuirani napad uskraćivanja usluge). U nekim slučajevima, legitimna radnja dovodi do stvarnog DDoS napada, na primjer, postavljanje poveznice na popularni internetski izvor na web mjesto smješteno na ne baš produktivnom poslužitelju. Veliki priljev korisnika dovodi do prekoračenja dopuštenog opterećenja poslužitelja i posljedično do odbijanja usluge za neke od njih.

Dakle, s jedne strane postoji objekt napada - određeni server ili stranica, a s druge strane grupa napadača koji organiziraju Ddos napad na objekt napada.

Koji su ciljevi organizatora Ddos napada?

Jedan od najbezazlenijih razloga je banalno cyber-huliganstvo. Stvar je otežana činjenicom da je većina napadačkih programa besplatno dostupna na internetu.

Ozbiljnije DDoS napade generira nelojalna konkurencija. Ciljevi su ovdje drugačiji - srušiti server konkurenta i time poremetiti rad rivala, a uz to stvoriti negativnu sliku o konkurentu na tržištu. Poslužitelj je također moguće hakirati jer tijekom masovnog napada dijelovi informacija u obliku programskih kodova mogu dospjeti u javnost.

Također, korištenjem Ddos metode napada, razne Ddos grupe mogu objaviti svoje postojanje ili postavljati zahtjeve, ultimatume vlasnicima poslužitelja.

Evo nekoliko primjera Ddos napadi na poslužitelj, koje sam pronašao u Lurkomorju:

• Na čelu je OOFR (Organization of United Phages of Russia), koji uključuje sljedeće meme-grupe: Leprosarium Superstitious, The Fallen part of LiveJournal i, naravno, Upyachka.

Glavne žrtve OOFR-a bile su:

1. www.mail.ru (za projekt BEETLE),
2. www.gay.com (za homoseksualnost),
3. www.4chan.org (zbog vrijeđanja boga "Onotole"),
4. www.wikipedia.org (za članak o UPCHK-u, u kojem je bilo vrijeđanja mačaka (Kote), moderator nije uklonio mjesec dana)

Mnoge organizacije koje rade na području zaštite od DDoS napada, unatoč postignućima u ovom području, još uvijek prepoznaju rastuću opasnost od prijetnji, ponajviše zbog jednostavnosti organiziranja napada.

SAŽETAK MALI SAŽETAK:

Nas, obične korisnike interneta, najviše bi trebalo zanimati kako posao zaštite od kibernetičkih napada obavljaju oni hosting provideri kod kojih iznajmljujemo hosting za svoje umotvorine - stranice. Kao što vidimo u konkretnom slučaju, TimeWeb se nosio s problemom i to dosta brzo. Dajem mu drugi plus što me o tome obavijestio mailom.

Usput, nedavno sam dao TimeWebu još jedan jednostavan test.

To je sve za danas o Ddos napadima.

Uskoro ćemo govoriti o tome što su i kako je organizirana zaštita od cyber napada.