Жаппай ddos ​​шабуылдары. Жаңа жаппай DDoS шабуылдары

Пайдаланушылар белгілі бір ресурстарға қол жеткізе алмайтын шабуыл DDoS шабуылы немесе Қызмет көрсетуден бас тарту мәселесі деп аталады. Мұндай хакерлік шабуылдардың басты ерекшелігі - дүние жүзіндегі көптеген компьютерлерден бір мезгілде сұраныстар және олар негізінен жақсы қорғалған компаниялардың немесе мемлекеттік ұйымдардың серверлеріне, ал сирек коммерциялық емес жеке ресурстарға бағытталған.

Вирус жұқтырған компьютер өзіндік «зомбиге» айналады, ал хакерлер мұндай бірнеше жүздеген, тіпті он мыңдаған «зомбилерді» пайдалана отырып, ресурстардың істен шығуына әкеледі (қызмет көрсетуден бас тарту).

DDoS шабуылдарының көптеген себептері болуы мүмкін. Ең танымалдарын анықтауға тырысайық және сонымен бірге: «DDoS шабуылы - бұл не, өзіңізді қалай қорғауға болады, оның салдары қандай және ол қандай құралдармен жүзеге асырылады?» Деген сұрақтарға жауап берейік.

Жарыс

Интернет көптен бері бизнес-идеялардың, ірі жобаларды жүзеге асырудың және айтарлықтай көп ақша табудың басқа әдістерінің көзі болды, сондықтан DDoS шабуылын тапсырыс бойынша жасауға болады. Яғни, егер ұйым бәсекелес пайда болған кезде оны жойғысы келсе, онда ол жай ғана хакерге (немесе олардың тобына) қарапайым тапсырмамен жүгіне алады - Интернет ресурстары (DDoS) арқылы қажетсіз компанияның жұмысын парализациялау. серверге немесе веб-сайтқа шабуыл).

Нақты мақсаттар мен міндеттерге байланысты мұндай шабуыл белгілі бір мерзімге және тиісті күш қолдану арқылы белгіленеді.

Алаяқтық

Көбінесе веб-сайтқа DDoS шабуылы жүйені бұғаттау және жеке немесе басқа маңызды деректерге қол жеткізу үшін хакерлердің бастамасымен ұйымдастырылады. Шабуыл жасаушылар жүйені парализациялаған соң, олар шабуылға ұшыраған ресурстардың функционалдығын қалпына келтіру үшін белгілі бір ақша сомасын талап етуі мүмкін.

Көптеген интернет-кәсіпкерлер алға қойылған шарттармен келіседі, өз әрекеттерін жұмыста тоқтап қалу және орасан зор шығынға ұшырату арқылы негіздейді - тоқтап тұрған әрбір күн үшін қомақты пайданы жоғалтқаннан гөрі алаяққа аз соманы төлеу оңайырақ.

Ойын-сауық

Көптеген пайдаланушылар қызығушылық немесе көңіл көтеру үшін: «DDoS шабуылы - бұл не және оны қалай жасауға болады?» Сондықтан, жаңадан келген шабуылдаушылар көңіл көтеру және күш сынау үшін кездейсоқ ресурстарға осындай шабуылдар ұйымдастыратын жағдайлар жиі кездеседі.

Себептермен қатар DDoS шабуылдарының өзіндік жіктеу сипаттамалары бар.

  1. Өткізу жолағы. Бүгінгі күні әрбір дерлік компьютерлік орын жергілікті желімен жабдықталған немесе жай ғана Интернетке қосылған. Сондықтан желіні су басып кету жағдайлары жиі кездеседі - дұрыс қалыптаспаған және мағынасыз жүйесі бар нақты ресурстарға немесе жабдыққа оның кейіннен істен шығуы немесе қатты дискілердің, жадтың және т.б. істен шығуы үшін сұраулардың көп саны.
  2. Жүйенің сарқылуы. Samp серверіне мұндай DDoS шабуылы физикалық жадты, процессор уақытын және басқа жүйелік ресурстарды басып алу үшін жүзеге асырылады, олардың болмауына байланысты шабуылға ұшыраған нысан жай ғана толық жұмыс істей алмайды.
  3. Ілмек. Шексіз деректерді тексеру және шеңберде жұмыс істейтін басқа циклдар нысанды көптеген ресурстарды ысырап етуге мәжбүр етеді, осылайша жад толығымен таусылғанша бітеліп қалады.
  4. Жалған шабуылдар. Бұл ұйым қорғау жүйелерін жалған іске қосуға бағытталған, бұл сайып келгенде кейбір ресурстарды бұғаттауға әкеледі.
  5. HTTP протоколы. Хакерлер сыйымдылығы төмен HTTP пакеттерін арнайы шифрлаумен жібереді, ресурс, әрине, оған DDoS шабуылы жасалып жатқанын көрмейді, серверлік бағдарлама өз жұмысын орындай отырып, сыйымдылығы әлдеқайда үлкен пакеттерді кері жібереді, осылайша жәбірленушінің файлдарын бітеп тастайды. өткізу қабілеті, бұл тағы да қызметтердің істен шығуына әкеледі.
  6. Смурф шабуылы. Бұл ең қауіпті түрлердің бірі. Хакер жәбірленушіге жалған ICMP пакетін тарату арнасы арқылы жібереді, онда жәбірленушінің мекенжайы шабуылдаушы мекенжайымен ауыстырылады және барлық түйіндер пинг сұрауына жауап жібере бастайды. Бұл DDoS шабуылы үлкен желіні пайдалануға бағытталған бағдарлама, яғни 100 компьютер өңдейтін сұраныс 100 есе күшейтіледі.
  7. UDP тасқыны. Бұл шабуыл түрі алдыңғыға ұқсас, бірақ ICMP пакеттерінің орнына шабуылдаушылар UDP пакеттерін пайдаланады. Бұл әдістің мәні жәбірленушінің IP мекенжайын хакердікімен ауыстыру және өткізу қабілеттілігін толығымен жүктеу, бұл да жүйенің бұзылуына әкеледі.
  8. SYN тасқыны. Шабуылшылар қате немесе мүлдем жоқ қайтару мекенжайы бар SYN арнасы арқылы TCP қосылымдарының көп санын бір уақытта іске қосуға тырысады. Осындай бірнеше әрекеттерден кейін операциялық жүйелердің көпшілігі проблемалық қосылымды кезекке қояды және оны белгілі бір әрекеттерден кейін ғана жабады. SYN арнасының ағыны айтарлықтай үлкен және көп ұзамай, көптеген әрекеттерден кейін, жәбірленушінің ядросы барлық желіні блоктай отырып, кез келген жаңа қосылымды ашудан бас тартады.
  9. «Ауыр пакеттер». Бұл түрі «Серверге DDoS шабуылы дегеніміз не?» Деген сұраққа жауап береді. Хакерлер пайдаланушы серверіне пакеттерді жібереді, бірақ өткізу қабілеттілігі қанықпайды, әрекет тек процессор уақытына бағытталған. Нәтижесінде мұндай пакеттер жүйенің істен шығуына, ал ол өз кезегінде оның ресурстарына әкеледі.
  10. Журнал файлдары. Квота мен айналдыру жүйесінде қауіпсіздік саңылаулары болса, шабуылдаушылар үлкен пакеттерді жібере алады, осылайша сервердің қатты дискілеріндегі барлық бос орынды алады.
  11. Бағдарлама коды. Үлкен тәжірибесі бар хакерлер жәбірленушінің серверінің құрылымын толығымен зерттеп, арнайы алгоритмдерді (DDoS шабуылы - пайдалану бағдарламасы) іске қоса алады. Мұндай шабуылдар негізінен әртүрлі салалар мен салалардағы кәсіпорындар мен ұйымдардың жақсы қорғалған коммерциялық жобаларына бағытталған. Шабуыл жасаушылар бағдарлама кодындағы саңылауларды тауып, жүйенің немесе қызметтің бұзылуына әкелетін жарамсыз нұсқауларды немесе басқа ерекше алгоритмдерді іске қосады.

DDoS шабуылы: бұл не және өзіңізді қалай қорғауға болады

DDoS шабуылдарынан қорғаудың көптеген әдістері бар. Және олардың барлығын төрт бөлікке бөлуге болады: пассивті, белсенді, реакциялық және профилактикалық. Бұл туралы кейінірек толығырақ айтатын боламыз.

Ескерту

Мұнда DDoS шабуылын тудыруы мүмкін себептердің алдын алу керек. Бұл түрге кейбір жеке дұшпандық, құқықтық келіспеушілік, бәсекелестік және сізге, сіздің бизнесіңізге «арттыру» назар аударуды тудыратын басқа факторлар болуы мүмкін.

Егер сіз осы факторларға уақытында әрекет етіп, тиісті қорытынды жасасаңыз, көптеген жағымсыз жағдайлардан аулақ бола аласыз. Бұл әдісті мәселенің техникалық жағына қарағанда мәселеге көбірек жатқызуға болады.

Жауап беру шаралары

Егер сіздің ресурстарыңызға шабуылдар жалғаса берсе, сіз заңды және техникалық рычагтарды пайдалана отырып, проблемаларыңыздың көзін - тұтынушыны немесе мердігерді табуыңыз керек. Кейбір компаниялар зиянкестерді техникалық әдіс арқылы іздеу қызметтерін ұсынады. Осы мәселемен айналысатын мамандардың біліктілігіне сүйене отырып, DDoS шабуылын жүзеге асыратын хакерді ғана емес, тұтынушының өзін де табуға болады.

Бағдарламалық қамтамасыз етуді қорғау

Кейбір аппараттық және бағдарламалық жасақтама өндірушілері өз өнімдерімен бірге көптеген тиімді шешімдер ұсына алады және сайтқа DDoS шабуылы түйінде тоқтатылады. Жеке шағын сервер шағын және орта DDoS шабуылдарына қарсы тұруға бағытталған техникалық қорғаушы ретінде әрекет ете алады.

Бұл шешім шағын және орта бизнес үшін өте қолайлы. Ірі компаниялар, кәсіпорындар және мемлекеттік органдар үшін DDoS шабуылдарымен күресуге арналған тұтас аппараттық жүйелер бар, олар жоғары бағамен бірге тамаша қорғаныс сипаттамаларына ие.

Сүзу

Кіріс трафикті бұғаттау және мұқият сүзу шабуылдың ықтималдығын азайтып қана қоймайды. Кейбір жағдайларда серверге DDoS шабуылын толығымен алып тастауға болады.

Трафикті сүзудің екі негізгі жолы бар - желіаралық қалқандар және толық тізімді бағыттау.

Тізімдерді пайдаланып сүзу (ACL) TCP-ті бұзбай немесе қорғалған ресурсқа қол жеткізу жылдамдығын азайтпай маңызды емес хаттамаларды сүзуге мүмкіндік береді. Алайда, егер хакерлер ботнеттерді немесе жоғары жиілікті сұрауларды пайдаланса, онда бұл әдіс тиімсіз болады.

Олар DDoS шабуылдарынан әлдеқайда жақсы қорғайды, бірақ олардың жалғыз кемшілігі - олар тек жеке және коммерциялық емес желілерге арналған.

Айна

Бұл әдістің мәні барлық кіріс шабуылдаушы трафигін кері бағыттау болып табылады. Мұны трафикті қайта бағыттап қана қоймай, сонымен қатар шабуылдаушы жабдықтарын өшіре алатын қуатты серверлер мен құзыретті мамандар арқылы жасауға болады.

Жүйе қызметтерінде, бағдарлама кодтарында және басқа желілік қолданбаларда қателер болса, әдіс жұмыс істемейді.

Осалдықтарды іздеу

Бұл қорғаныс түрі эксплуаттарды түзетуге, веб-қосымшалар мен жүйелердегі қателерді жоюға, сондай-ақ желілік трафикке жауапты басқа қызметтерге бағытталған. Бұл осалдықтарға арнайы бағытталған су тасқыны шабуылдарына қарсы әдіс пайдасыз.

Қазіргі заманғы ресурстар

Бұл әдіс 100% қорғауға кепілдік бере алмайды. Бірақ ол DDoS шабуылдарын болдырмау үшін басқа шараларды (немесе олардың жиынтығын) тиімдірек орындауға мүмкіндік береді.

Жүйе мен ресурстарды бөлу

Ресурстарды көшіру және тарату жүйелерді пайдаланушыларға сіздің деректеріңізбен жұмыс істеуге мүмкіндік береді, тіпті сол сәтте сіздің серверіңіз DDoS шабуылында болса да. Тарату үшін әртүрлі серверлік немесе желілік жабдықты пайдалануға болады, сонымен қатар қызметтерді әртүрлі қайталанатын жүйелер (деректер орталықтары) арқылы физикалық түрде бөлу ұсынылады.

Бұл қорғаныс әдісі дұрыс сәулеттік дизайн жасалған жағдайда бүгінгі күнге дейін ең тиімді болып табылады.

Жалтару

Бұл әдістің негізгі ерекшелігі шабуылға ұшыраған объектінің шығуы және бөлінуі (домендік атау немесе IP мекенжайы), яғни бір сайтта орналасқан барлық жұмыс ресурстары бөлінуі және үшінші тараптың желілік мекенжайларында, тіпті басқасының аумағында орналасуы керек. күй. Бұл кез келген шабуылдан аман қалуға және ішкі АТ құрылымыңызды сақтауға мүмкіндік береді.

DDoS шабуылдарынан қорғау қызметтері

DDoS шабуылы (бұл не және онымен қалай күресу керек) сияқты қасірет туралы бәрін айтып бергеннен кейін, біз бір жақсы кеңес бере аламыз. Көптеген ірі ұйымдар мұндай шабуылдардың алдын алу және алдын алу үшін өз қызметтерін ұсынады. Негізінде, мұндай компаниялар сіздің бизнесіңізді DDoS шабуылдарының көпшілігінен қорғау үшін көптеген шаралар мен әртүрлі механизмдерді пайдаланады. Олар өз саласындағы мамандар мен сарапшыларды жұмысқа алады, сондықтан егер сіздің ресурсыңыз сізге қымбат болса, онда ең жақсы (арзан болмаса да) нұсқа осы компаниялардың бірімен байланысу болады.

DDoS шабуылын өзіңіз қалай жасауға болады

Білгір – нағыз қағида. Бірақ жеке адамның немесе адамдар тобының DDoS шабуылын әдейі ұйымдастыру қылмыстық құқық бұзушылық болып табылатынын есте сақтаңыз, сондықтан бұл материал тек ақпараттық мақсатта берілген.

Американдық АТ-қауіптердің алдын алу бойынша сарапшылар сервер жүктемелеріне төзімділікті және шабуылдаушылардың DDoS шабуылдарын жасау мүмкіндігін сынау үшін бағдарлама әзірледі, содан кейін бұл шабуылды жойды.

Әрине, «ыстық» ақыл-ойлар бұл қаруды әзірлеушілердің өздеріне және олармен күресіп жатқан нәрсеге қарсы қойды. Өнімнің код атауы - LOIC. Бұл бағдарлама еркін қол жетімді және, негізінен, заңмен тыйым салынбаған.

Бағдарламаның интерфейсі мен функционалдығы өте қарапайым, оны DDoS шабуылына қызығушылық танытқан кез келген адам пайдалана алады.

Барлығын өзіңіз қалай жасауға болады? Интерфейс жолдарында IP құрбандарын енгізіңіз, содан кейін TCP және UDP ағындарын және сұраулар санын орнатыңыз. Voila - қалаған түймені басқаннан кейін шабуыл басталды!

Әрине, бұл бағдарламалық құрал кез келген маңызды ресурстарға әсер етпейді, бірақ кішігірім ресурстарда кейбір мәселелер туындауы мүмкін.

Кіріспе

Мен бұл шолуды жазған кезде, ең алдымен, байланыс операторлары мен олардың деректер желілерінің жұмысының ерекшеліктерін түсінетін аудиторияға назар аударғанымды бірден ескертемін. Бұл мақалада DDoS шабуылдарынан қорғаудың негізгі принциптері, олардың соңғы онжылдықтағы даму тарихы және қазіргі жағдай көрсетілген.

DDoS дегеніміз не?

Мүмкін, бүгінде әрбір «пайдаланушы» болмаса, кем дегенде әрбір «IT маманы» DDoS шабуылдарының не екенін біледі. Бірақ әлі де бірнеше сөз айту керек.

DDoS шабуылдары (Distributed Denial of Service) – компьютерлік жүйелерге (желі ресурстары немесе байланыс арналары) оларды заңды пайдаланушылар үшін қолжетімсіз етуге бағытталған шабуылдар. DDoS шабуылдары бір уақытта Интернетте орналасқан бір немесе бірнеше компьютерлерден белгілі бір ресурсқа сұраныстардың көп санын жіберуді қамтиды. Егер мыңдаған, он мыңдаған немесе миллиондаған компьютерлер бір уақытта белгілі бір серверге (немесе желілік қызметке) сұраныс жібере бастаса, онда не сервер оны өңдей алмайды, не осы серверге байланыс арнасы үшін өткізу қабілеттілігі жеткіліксіз болады. . Екі жағдайда да Интернет пайдаланушылары шабуыл жасалған серверге, тіпті блокталған байланыс арнасы арқылы қосылған барлық серверлер мен басқа ресурстарға қол жеткізе алмайды.

DDoS шабуылдарының кейбір ерекшеліктері

DDoS шабуылдары кімге және қандай мақсатта жасалады?

DDoS шабуылдары Интернеттегі кез келген ресурсқа қарсы жасалуы мүмкін. DDoS шабуылдарынан ең үлкен зиянды бизнесі Интернетте болуымен тікелей байланысты ұйымдар – банктер (интернет-банкинг қызметтерін ұсынатын), интернет-дүкендер, сауда алаңдары, аукциондар, сондай-ақ қызметтің басқа түрлері, белсенділігі мен тиімділігі зардап шегеді. оның ішінде айтарлықтай дәрежеде Интернеттегі өкілдікке байланысты (туристік агенттіктер, авиакомпаниялар, аппараттық және бағдарламалық қамтамасыз ету өндірушілері және т.б.) DDoS шабуылдары IBM, Cisco Systems, Microsoft және т.б. сияқты жаһандық АТ индустриясының алыптарының ресурстарына жүйелі түрде жасалады. . eBay.com, Amazon.com және көптеген танымал банктер мен ұйымдарға қарсы жаппай DDoS шабуылдары байқалды.

Көбінесе DDoS шабуылдары саяси ұйымдардың, институттардың немесе жекелеген белгілі тұлғалардың веб-өкілдіктеріне қарсы жасалады. Көптеген адамдар 2008 жылғы грузин-осетин соғысы кезінде Грузия президентінің веб-сайтына (веб-сайт 2008 жылдың тамызынан бастап бірнеше ай бойы қолжетімсіз болды) Эстония үкіметінің серверлеріне қарсы жасалған жаппай және ұзақ DDoS шабуылдары туралы біледі. (2007 жылдың көктемінде, қола сарбаздың берілуіне байланысты толқулар кезінде), Интернеттің Солтүстік Корея сегментінен американдық сайттарға қарсы мерзімді шабуылдар туралы.

DDoS шабуылдарының негізгі мақсаттары не бопсалау және бопсалау арқылы пайда (тікелей немесе жанама) алу немесе саяси мүдделерді көздеу, жағдайды ушықтыру немесе кек алу болып табылады.

DDoS шабуылдарын іске қосу механизмдері қандай?

DDoS шабуылдарын іске қосудың ең танымал және қауіпті жолы - ботнеттерді (BotNets) пайдалану. Ботнет - бұл ағылшын тілінен аударылған арнайы бағдарламалық бетбелгілер (боттар) орнатылған компьютерлер жиынтығы, ботнет - боттар желісі; Боттарды әдетте хакерлер әр ботнет үшін жеке әзірлейді және басты мақсаты ботнет басқару серверінен алынған пәрмен бойынша Интернеттегі белгілі бір ресурсқа сұрау жіберу - Botnet Command and Control Server. Ботнеттерді басқару серверін хакер немесе ботнетті сатып алған адам басқарады және хакерден DDoS шабуылын бастау мүмкіндігі. Боттар Интернетте әртүрлі жолдармен таралады, әдетте осал қызметтері бар компьютерлерге шабуыл жасау және оларға бағдарламалық құралдың бетбелгілерін орнату немесе пайдаланушыларды алдап, басқа қызметтерді немесе мүлдем зиянсыз немесе тіпті жұмыс істейтін бағдарламалық қамтамасыз етуді қамтамасыз ету желеуімен боттарды орнатуға мәжбүрлеу арқылы. пайдалы функция. Боттарды таратудың көптеген жолдары бар және жаңа әдістер үнемі ойлап шығарылады.

Егер ботнет жеткілікті үлкен болса - ондаған немесе жүздеген мың компьютерлер болса, онда осы компьютерлердің барлығынан белгілі бір желі қызметіне (мысалы, белгілі бір сайттағы веб-қызмет) қатысты толық заңды сұраныстарды бір уақытта жіберу қызметтің өзі немесе сервер ресурстарының таусылуы немесе байланыс арнасының мүмкіндіктерінің таусылуы. Қалай болғанда да, қызмет пайдаланушылар үшін қолжетімсіз болады, ал қызмет иесі тікелей, жанама және беделіне нұқсан келтіреді. Ал егер әрбір компьютер секундына бір ғана сұраныс емес, ондаған, жүздеген немесе мыңдаған сұраныстарды жіберетін болса, онда шабуылдың әсері бірнеше есе артады, бұл тіпті ең өнімді ресурстарды немесе байланыс арналарын жоюға мүмкіндік береді.

Кейбір шабуылдар «зиянсыз» жолдармен іске қосылады. Мысалы, келісім бойынша белгілі бір уақытта белгілі бір серверге компьютерлерінен «pings» немесе басқа сұрауларды іске қосатын белгілі бір форумдардың пайдаланушыларының флешмобы. Тағы бір мысал - танымал интернет-ресурстардағы веб-сайтқа сілтемені орналастыру, бұл мақсатты серверге пайдаланушылар ағынын тудырады. Егер «жалған» сілтеме (сыртынан бір ресурсқа сілтеме болып көрінеді, бірақ шын мәнінде мүлдем басқа серверге сілтемелер) шағын ұйымның веб-сайтына сілтеме жасап, бірақ танымал серверлерде немесе форумдарда орналастырылса, мұндай шабуыл бұл сайт үшін қажет емес келушілер ағыны. Соңғы екі түрдегі шабуылдар сирек дұрыс ұйымдастырылған хостинг сайттарында сервердің қолжетімділігін тоқтатуға әкеледі, бірақ мұндай мысалдар 2009 жылы Ресейде де болды.

DDoS шабуылдарынан қорғаудың дәстүрлі техникалық құралдары көмектесе ме?

DDoS-шабуылдарының ерекшелігі - олар бір мезгілде көптеген сұраулардан тұрады, олардың әрқайсысы жеке-жеке «заңды» болып табылады, сонымен қатар бұл сұраулар ең көп таралған нақты немесе әлеуетті пайдаланушыларға тиесілі болуы мүмкін компьютерлер арқылы жіберіледі (боттармен жұқтырылған); шабуыл жасалған қызмет немесе ресурс. Сондықтан стандартты құралдарды пайдаланып DDoS шабуылын құрайтын сұрауларды дұрыс анықтау және сүзу өте қиын. IDS/IPS класының стандартты жүйелері (Intrusion Detection / Prevention System – желілік шабуылдарды анықтау/алдын алу жүйесі) бұл сұраулардан «қылмыс құрамын» таппайды, егер олар әрекет етпесе, олардың шабуылдың бір бөлігі екенін түсінбейді. қозғалыстағы ауытқуларды сапалы талдау. Тіпті егер олар оны тапса да, қажетсіз сұрауларды сүзу оңай емес - стандартты брандмауэрлер мен маршрутизаторлар нақты анықталған кіру тізімдері (басқару ережелері) негізінде трафикті сүзеді және профильге «динамикалық» бейімделуді білмейді. арнайы шабуыл. Брандмауэрлер бастапқы мекенжайлар, пайдаланылатын желі қызметтері, порттар және хаттамалар сияқты критерийлер негізінде трафик ағындарын реттей алады. Бірақ ең көп таралған хаттамаларды пайдаланып сұраныс жіберетін қарапайым Интернет пайдаланушылары DDoS шабуылына қатысады - байланыс операторы бәріне және бәріне тыйым салмайды ма? Содан кейін ол жай ғана өз абоненттеріне байланыс қызметтерін көрсетуді тоқтатады және өзі қызмет көрсететін желілік ресурстарға қол жеткізуді тоқтатады, бұл шабуылдың бастамашысы дәл осыны іздейді.

Көптеген мамандар трафиктегі ауытқуларды анықтаудан, трафик профилін және шабуыл профилін құрудан және трафикті динамикалық көп сатылы фильтрлеудің кейінгі процесінен тұратын DDoS шабуылдарынан қорғаудың арнайы шешімдерінің бар екенін білетін шығар. Мен де осы мақалада осы шешімдер туралы айтатын боламын, бірақ сәл кейінірек. Біріншіден, деректер желісінің және оның әкімшілерінің қолданыстағы құралдарымен DDoS шабуылдарын басу үшін қабылдануы мүмкін кейбір аз танымал, бірақ кейде өте тиімді шаралар туралы сөйлесеміз.

Қол жетімді құралдарды қолдана отырып, DDoS шабуылдарынан қорғау

Кейбір ерекше жағдайларда DDoS шабуылдарын басуға мүмкіндік беретін бірнеше механизмдер мен «трюктар» бар. Кейбіреулері деректер желісі белгілі бір өндірушінің жабдығына салынған жағдайда ғана пайдаланылуы мүмкін, басқалары көп немесе аз әмбебап болып табылады.

Cisco Systems ұсыныстарынан бастайық. Бұл компанияның сарапшылары желіні басқару деңгейін (Басқару жоспары), желіні басқару деңгейін (Басқару жоспары) және желі деректерінің деңгейін (Data Plane) қорғауды қамтитын желі негізін (Network Foundation Protection) қорғауды ұсынады.

Басқару жазықтығын қорғау

«Әкімшілік деңгей» термині маршрутизаторларды және басқа желілік жабдықты басқаратын немесе бақылайтын барлық трафикті қамтиды. Бұл трафик маршрутизаторға бағытталған немесе маршрутизатордан басталады. Мұндай трафиктің мысалдары Telnet, SSH және http(s) сеанстары, syslog хабарламалары, SNMP тұзақтары болып табылады. Жалпы жақсы тәжірибелерге мыналар жатады:

Шифрлау мен аутентификацияны пайдалана отырып, басқару және бақылау хаттамаларының максималды қауіпсіздігін қамтамасыз ету:

  • SNMP v3 протоколы қауіпсіздік шараларын қамтамасыз етеді, ал SNMP v1 іс жүзінде қамтамасыз етпейді, ал SNMP v2 тек ішінара қамтамасыз етеді - әдепкі қауымдастық мәндерін әрқашан өзгерту қажет;
  • мемлекеттік және жеке қауымдастық үшін әртүрлі құндылықтарды пайдалану керек;
  • telnet протоколы барлық деректерді, соның ішінде логин мен парольді анық мәтінмен жібереді (егер трафик ұсталса, бұл ақпаратты оңай шығарып алуға және пайдалануға болады), оның орнына әрқашан ssh v2 протоколын пайдалану ұсынылады;
  • сол сияқты, http орнына, жабдыққа қатал рұқсатты бақылауды, соның ішінде сәйкес пароль саясатын, орталықтандырылған аутентификацияны, авторизацияны және есепке алуды (AAA үлгісі) және артықшылық мақсатында жергілікті аутентификацияны пайдалану;

Рөлге негізделген қол жеткізу моделін енгізу;

Қол жеткізуді басқару тізімдерін пайдалана отырып, бастапқы мекенжай бойынша рұқсат етілген қосылымдарды басқару;

Пайдаланылмаған қызметтерді өшіру, олардың көпшілігі әдепкі бойынша қосылады (немесе олар жүйені диагностикалау немесе конфигурациялаудан кейін өшіру ұмытылды);

Жабдық ресурстарын пайдалануды бақылау.

Соңғы екі тармаққа толығырақ тоқталған жөн.
Әдепкі бойынша қосылған немесе жабдықты конфигурациялау немесе диагностикалаудан кейін өшірілуі ұмытылған кейбір қызметтерді шабуылдаушылар бар қауіпсіздік ережелерін айналып өту үшін пайдалана алады. Бұл қызметтердің тізімі төменде:

  • PAD (пакеттер құрастырушы/бөлшектеуіш);

Әрине, бұл қызметтерді өшірмес бұрын, олардың желіде қажет екенін мұқият талдау керек.

Жабдық ресурстарының пайдаланылуын бақылаған жөн. Бұл, біріншіден, жекелеген желі элементтерінің шамадан тыс жүктелуін дер кезінде байқап, апаттың алдын алу шараларын қабылдауға, екіншіден, егер оларды анықтау арнайы құралдармен қарастырылмаған болса, DDoS шабуылдары мен ауытқуларды анықтауға мүмкіндік береді. Кем дегенде мыналарды бақылау ұсынылады:

  • CPU жүктемесі
  • жадты пайдалану
  • маршрутизатор интерфейстерінің кептелуі.

Бақылауды «қолмен» жүзеге асыруға болады (жабдықтың күйін мерзімді түрде бақылап отыру), бірақ мұны, әрине, арнайы желілік мониторинг немесе ақпараттық қауіпсіздікті бақылау жүйелерімен (соңғысына Cisco MARS кіреді) жасаған дұрыс.

Басқару жазықтығының қорғанысы

Желіні басқару деңгейі көрсетілген топология мен параметрлерге сәйкес желінің жұмыс істеуін және қосылуын қамтамасыз ететін барлық сервистік трафикті қамтиды. Басқару ұшақ трафигінің мысалдары: маршруттық процессор (RR) арқылы жасалған немесе оған арналған барлық трафик, соның ішінде барлық маршруттау хаттамалары, кейбір жағдайларда SSH және SNMP хаттамалары және ICMP. Маршруттау процессорының жұмысына кез келген шабуыл, әсіресе DDoS шабуылдары желінің жұмысында елеулі проблемалар мен үзілістерге әкелуі мүмкін. Төменде басқару ұшағын қорғаудың ең жақсы тәжірибелері берілген.

Басқару ұшақтарының полициясы

Ол пайдаланушы трафигіне қарағанда (шабуылдар бөлігі болып табылатын) ұшақ трафигін басқаруға жоғары басымдық беру үшін QoS (қызмет көрсету сапасы) механизмдерін пайдаланудан тұрады. Бұл сервистік хаттамалардың және маршруттау процессорының жұмысын қамтамасыз етеді, яғни желі топологиясы мен қосылу мүмкіндігін, сондай-ақ пакеттердің нақты маршрутизациясы мен ауыстырылуын қамтамасыз етеді.

IP қабылдау ACL

Бұл функция маршрутизатор мен маршруттау процессорына арналған қызмет трафигін сүзуге және басқаруға мүмкіндік береді.

  • трафик маршруттау процессорына жеткенге дейін тікелей маршруттау жабдығына қолданылады, жабдықтың «жеке» қорғанысын қамтамасыз етеді;
  • трафик қалыпты қол жеткізуді басқару тізімдері арқылы өткеннен кейін қолданылады - олар маршруттау процессорына баратын жолдағы қорғаудың соңғы деңгейі;
  • барлық трафикке (байланыс операторының желісіне қатысты ішкі, сыртқы және транзиттік) қолданылады.

Инфрақұрылымдық ACL

Әдетте, маршруттау жабдығының меншікті мекенжайларына қол жеткізу тек тасымалдаушының жеке желісіндегі хосттар үшін қажет, бірақ ерекше жағдайлар бар (мысалы, eBGP, GRE, IPv6 арқылы IPv4 туннельдері және ICMP). Инфрақұрылымдық ACL:

  • әдетте байланыс операторы желісінің шетінде («желінің кіреберісінде») орнатылады;
  • сыртқы хосттардың оператордың инфрақұрылым мекенжайларына қол жеткізуіне жол бермеу мақсаты болуы;
  • оператор желісінің шекарасы арқылы трафиктің кедергісіз өтуін қамтамасыз ету;
  • RFC 1918, RFC 3330 сипатталған рұқсат етілмеген желі әрекетінен қорғаудың негізгі тетіктерін қамтамасыз ету, атап айтқанда, спуфингтен қорғау (спуфинг, шабуылды іске қосу кезінде жасыру үшін жалған бастапқы IP мекенжайларын пайдалану).

Көрші аутентификация

Көрші аутентификацияның негізгі мақсаты желідегі маршруттауды өзгерту үшін жалған маршруттау протоколының хабарламаларын жіберуді қамтитын шабуылдардың алдын алу болып табылады. Мұндай шабуылдар желіге рұқсатсыз енуге, желі ресурстарын рұқсатсыз пайдалануға, сондай-ақ шабуылдаушының қажетті ақпаратты талдау және алу үшін трафикті ұстап қалуына әкелуі мүмкін.

BGP орнату

  • BGP префикс сүзгілері - байланыс операторының ішкі желісінің бағыттары туралы ақпарат Интернетке таралмауын қамтамасыз ету үшін қолданылады (кейде бұл ақпарат шабуылдаушы үшін өте пайдалы болуы мүмкін);
  • басқа маршрутизатордан алуға болатын префикстердің санын шектеу (префиксті шектеу) – DDoS шабуылдарынан, серіктес желілердегі ауытқулардан және сәтсіздіктерден қорғау үшін қолданылады;
  • BGP Community параметрлерін пайдалану және олар бойынша сүзу маршруттау ақпаратының таралуын шектеу үшін де пайдаланылуы мүмкін;
  • BGP мониторингі және BGP деректерін байқалатын трафикпен салыстыру DDoS шабуылдары мен ауытқуларды ерте анықтау механизмдерінің бірі болып табылады;
  • TTL (Time-to-Live) параметрі бойынша сүзу - BGP серіктестерін тексеру үшін қолданылады.

Егер BGP шабуылы серіктестік серіктес желісінен емес, алысырақ желіден басталса, BGP пакеттері үшін TTL параметрі 255-тен аз болады. Тасымалдаушының шекаралық маршрутизаторларын TTL бар барлық BGP пакеттерін тастайтындай етіп конфигурациялауға болады. мән< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Желідегі деректер жазықтығын қорғау (Data Plane)

Әкімшілік және басқару деңгейлерін қорғаудың маңыздылығына қарамастан, байланыс операторының желісіндегі трафиктің көп бөлігі деректер, транзит немесе осы оператордың абоненттеріне арналған.

Unicast кері жолды бағыттау (uRPF)

Көбінесе шабуылдар спуфинг технологиясы арқылы іске қосылады - бастапқы IP мекенжайлары шабуылдың көзін қадағаламау үшін бұрмаланады. Жалған IP мекенжайлары мыналар болуы мүмкін:

  • нақты пайдаланылған мекенжай кеңістігінен, бірақ басқа желі сегментінде (шабуыл басталған сегментте бұл жалған мекенжайлар бағытталмайды);
  • берілген деректерді беру желісінде пайдаланылмайтын мекенжай кеңістігінен;
  • Интернетте бағытталмайтын мекенжай кеңістігінен.

Маршрутизаторларда uRPF механизмін енгізу олар маршрутизатор интерфейсіне келген желі сегментінде үйлеспейтін немесе пайдаланылмаған бастапқы мекенжайлары бар пакеттерді бағыттауға жол бермейді. Бұл технология кейде оның көзіне жақын, яғни ең тиімді қажетсіз трафикті тиімді түрде сүзуге мүмкіндік береді. Көптеген DDoS шабуылдары (соның ішінде атақты Smurf және Tribal Flood Network) стандартты қауіпсіздік пен трафикті сүзу шараларын алдау үшін жалғандық механизмін және бастапқы мекенжайларды үнемі өзгертіп отырады.

Абоненттерге Интернетке қол жеткізуді қамтамасыз ететін байланыс операторларының uRPF механизмін пайдалануы өз абоненттері интернет-ресурстарға бағытталған спуфинг технологиясын қолдана отырып, DDoS шабуылдарын тиімді болдырмайды. Осылайша, DDoS шабуылы оның көзіне ең жақын, яғни ең тиімді түрде басылады.

Қашықтан іске қосылатын қара тесіктер (RTBH)

Басқарылатын қара тесіктер (Қашықтан іске қосылатын қара тесіктер) бұл трафикті арнайы Null 0 интерфейстеріне бағыттау арқылы желіге кіретін трафикті «түсіру» (жою, «ешқайда жіберу») үшін пайдаланылады DDoS-құрамында желіге кіру кезінде шабуылдаушы трафик. Бұл әдістің шектеуі (және маңыздысы) ол белгілі бір хостқа немесе шабуылдың нысанасы болып табылатын хосттарға арналған барлық трафикке қатысты. Осылайша, бұл әдіс бір немесе бірнеше хосттар шабуылға ұшыраған хосттарға ғана емес, сонымен қатар басқа абоненттерге және тұтастай алғанда байланыс операторының желісіне де проблемалар тудыратын жаппай шабуылға ұшыраған жағдайларда қолданылуы мүмкін.

Қара тесіктерді қолмен немесе BGP протоколы арқылы басқаруға болады.

BGP (QPPB) арқылы QoS саясатын тарату

BGP (QPPB) арқылы QoS бақылауы белгілі бір автономды жүйеге немесе IP мекенжайлар блогына арналған трафиктің басымдық саясатын басқаруға мүмкіндік береді. Бұл механизм байланыс операторлары мен ірі кәсіпорындар үшін, соның ішінде қажетсіз трафик немесе DDoS шабуылы бар трафик үшін басымдық деңгейін басқару үшін өте пайдалы болуы мүмкін.

Раковина саңылаулары

Кейбір жағдайларда қара тесіктерді пайдаланып трафикті толығымен жою қажет емес, оны кейіннен бақылау және талдау үшін негізгі арналардан немесе ресурстардан бұру қажет. Дәл осы мақсатқа арналған «диверсиялық арналар» немесе Раковина тесіктері.

Раковина саңылаулары көбінесе келесі жағдайларда қолданылады:

  • байланыс операторы желісінің мекенжай кеңістігіне жататын, бірақ іс жүзінде пайдаланылмайтын (жабдықтарға да, пайдаланушыларға да бөлінбеген) тағайындалған мекенжайлары бар трафикті бұру және талдау; мұндай трафик априори күдікті болып табылады, өйткені ол көбінесе оның құрылымы туралы толық ақпараты жоқ шабуылдаушының желіні сканерлеу немесе ену әрекеттерін көрсетеді;
  • оны бақылау және талдау үшін байланыс операторының желісінде нақты жұмыс істейтін ресурс болып табылатын шабуыл нысанасынан трафикті қайта бағыттау.

Арнайы құралдарды қолдану арқылы DDoS қорғау

Cisco Clean Pipes концепциясы – бұл саладағы пионер

DDoS шабуылдарынан қорғаудың заманауи тұжырымдамасын Cisco Systems әзірледі (иә, иә, сіз таң қалмайсыз! :)). Cisco әзірлеген тұжырымдама Cisco Clean Pipes деп аталады. 10 жылдай бұрын егжей-тегжейлі әзірленген тұжырымдамада қозғалыс ауытқуларынан қорғаудың негізгі принциптері мен технологиялары егжей-тегжейлі сипатталған, олардың көпшілігі бүгінгі күнге дейін, соның ішінде басқа өндірушілер де қолданылады.

Cisco Clean Pipes тұжырымдамасы DDoS шабуылдарын анықтау және азайту үшін келесі принциптерді қамтиды.

Аномалияларды анықтау үшін трафик талданатын нүктелер (желі бөлімдері) таңдалады. Біз қорғайтын нәрсеге байланысты мұндай нүктелер байланыс операторының жоғары деңгейлі операторлармен пиринг қосылымдары, төменгі деңгейдегі операторлардың немесе абоненттердің қосылу нүктелері, деректерді өңдеу орталықтарын желіге қосатын арналар болуы мүмкін.

Арнайы детекторлар осы нүктелердегі трафикті талдайды, оның қалыпты күйінде трафик профилін құрастырады (зерттейді) және DDoS шабуылы немесе аномалия пайда болған кезде оны анықтайды, зерттейді және оның сипаттамаларын динамикалық түрде қалыптастырады. Әрі қарай ақпаратты жүйелік оператор талдайды және шабуылды басу процесі жартылай автоматты немесе автоматты режимде іске қосылады. «Жәбірленушіге» бағытталған трафик сүзгі құрылғысы арқылы динамикалық түрде қайта бағытталады, мұнда детектор жасаған сүзгілер осы трафикке қолданылады және осы шабуылдың жеке сипатын көрсетеді. Тазартылған трафик желіге енгізіледі және алушыға жіберіледі (сол себепті Таза құбырлар атауы пайда болды - абонент шабуылды қамтымайтын «таза арнаны» алады).

Осылайша, DDoS шабуылдарынан қорғаудың бүкіл циклі келесі негізгі кезеңдерді қамтиды:

  • Жол қозғалысын басқару сипаттамаларына оқыту (профильдеу, Baseline Learning)
  • Шабуылдар мен ауытқуларды анықтау (Анықтау)
  • Тазалау құрылғысы арқылы өту үшін трафикті қайта бағыттау (Diversion)
  • Шабуылдарды басу үшін трафикті сүзу (жеңілдету)
  • Трафикті қайтадан желіге енгізу және оны алушыға жіберу (Инъекция).

Бірнеше мүмкіндіктер.
Детектор ретінде құрылғылардың екі түрін пайдалануға болады:

  • Cisco Systems шығарған детекторлар Cisco 6500/7600 шассиінде орнатуға арналған Cisco Traffic Anomaly Detector Services модульдері болып табылады.
  • Arbor Networks шығарған детекторлар Arbor Peakflow SP CP құрылғылары болып табылады.

Төменде Cisco және Arbor детекторларын салыстыратын кесте берілген.

Параметр

Cisco трафик аномалия детекторы

Arbor Peakflow SP CP

Талдау үшін трафик туралы ақпаратты алу

Cisco 6500/7600 шассиіне бөлінген трафиктің көшірмесін пайдаланады

Маршрутизаторлардан алынған желілік трафик деректерін таңдауға болады (1: 1, 1: 1,000, 1: 10,000 және т.б.);

Қолданылатын сәйкестендіру принциптері

Қолтаңбаны талдау (қате пайдалануды анықтау) және аномалияны анықтау (динамикалықпрофильдеу)

Ең алдымен аномалияны анықтау; қол қою талдауы қолданылады, бірақ қолтаңбалар жалпы сипатта болады

Форма факторы

Cisco 6500/7600 шассиіндегі қызмет көрсету модульдері

бөлек құрылғылар (серверлер)

Өнімділік

2 Гбит/с дейінгі трафик талданады

Іс жүзінде шексіз (іріктеу жиілігін азайтуға болады)

Масштабтау мүмкіндігі

4 модульге дейін орнатуCiscoДетекторС.М.бір шассиге (бірақ модульдер бір-бірінен тәуелсіз жұмыс істейді)

Бір талдау жүйесінде бірнеше құрылғыларды пайдалану мүмкіндігі, олардың біреуіне Көшбасшы мәртебесі беріледі

Желілік трафикті және маршрутты бақылау

Іс жүзінде ешқандай функционалдылық жоқ

Функционалдық өте дамыған. Көптеген байланыс операторлары Arbor Peakflow SP-ті желідегі трафикті және маршруттауды бақылауға арналған терең және күрделі функционалдығы арқасында сатып алады.

портал ды қамтамасыз ету ( абонент үшін желі нің өзіне тікелей қатысты бөлігін ғана бақылауға мүмкіндік беретін жеке интерфейс

Берілмеген

Берілген. Бұл шешімнің маңызды артықшылығы, өйткені байланыс операторы өз абоненттеріне жеке DDoS қорғау қызметтерін сата алады.

Үйлесімді трафикті тазалау құрылғылары (шабуылдарды басу)

CiscoКүзет қызметі модулі

 Arbor Peakflow SP TMS; Cisco Guard қызметтерінің модулі.
Интернетке қосылған кезде деректер орталықтарын қорғау Байланыс операторының желісіне абоненттік желілердің төменгі ағындық қосылымдарын бақылау Шабуылдарды анықтаужоғары ағын-байланыс операторының желісін жоғары деңгейдегі провайдерлердің желілеріне қосу Байланыс операторының магистральдық мониторингі
Кестенің соңғы жолында Cisco Systems ұсынған Cisco және Arbor детекторларын пайдалану сценарийлері көрсетілген. Бұл сценарийлер төмендегі диаграммада көрсетілген.

Cisco трафикті тазалау құрылғысы ретінде Cisco 6500/7600 шассиінде орнатылған Cisco Guard қызмет модулін пайдалануды ұсынады және Cisco Detector немесе Arbor Peakflow SP CP жүйесінен алынған пәрмен бойынша трафик динамикалық түрде қайта бағытталады, тазартылады және қайта енгізіледі. желі. Қайта бағыттау механизмдері - бұл жоғары ағынды маршрутизаторларға арналған BGP жаңартулары немесе меншікті протоколды пайдаланып супервайзерге тікелей басқару пәрмендері. BGP жаңартуларын пайдаланған кезде, жоғары ағынды маршрутизаторға шабуылды қамтитын трафик үшін жаңа nex-хоп мәні беріледі - осылайша бұл трафик тазалау серверіне өтеді. Сонымен қатар, бұл ақпарат циклді ұйымдастыруға әкелмейтініне көз жеткізу керек (төменгі ағынды маршрутизатор оған тазартылған трафикті енгізген кезде бұл трафикті клиринг құрылғысына қайтаруға тырыспауы үшін) . Мұны істеу үшін қауымдастық параметрін немесе тазартылған трафикке кіру кезінде GRE туннельдерін пайдалану арқылы BGP жаңартуларының таралуын басқару механизмдерін пайдалануға болады.

Бұл жағдай Arbor Networks Peakflow SP өнім желісін айтарлықтай кеңейтіп, нарыққа DDoS шабуылдарынан қорғаудың толық тәуелсіз шешімімен шыға бастағанға дейін болды.

Arbor Peakflow SP TMS енгізілді

Бірнеше жыл бұрын Arbor Networks DDoS-шабуылдарынан қорғауға арналған өнімдер желісін дербес және Cisco-да осы саланың даму қарқыны мен саясатына қарамастан әзірлеуге шешім қабылдады. Peakflow SP CP шешімдерінің Cisco Detector-қа қарағанда түбегейлі артықшылықтары болды, өйткені олар ағындық ақпаратты іріктеу жиілігін реттеу мүмкіндігімен талдады, сондықтан телекоммуникациялық оператор желілерінде және магистральдық арналарда пайдалануға ешқандай шектеулер болмады (көшірмелерін талдайтын Cisco Detector-тен айырмашылығы). трафик ). Сонымен қатар, Peakflow SP негізгі артықшылығы операторлардың абоненттерге желі сегменттерін бақылау және қорғау үшін жеке қызметті сату мүмкіндігі болды.

Осы және басқа да ойларға байланысты Arbor Peakflow SP өнім желісін айтарлықтай кеңейтті. Бірнеше жаңа құрылғылар пайда болды:

Peakflow SP TMS (қауіптерді басқару жүйесі)- Peakflow SP CP және Интернеттегі DDoS шабуылдарын бақылайтын және талдайтын Arbor Networks компаниясына тиесілі ASERT зертханасынан алынған деректер негізінде көп сатылы сүзгілеу арқылы DDoS шабуылдарын басады;

Peakflow SP BI (Business Intelligence)- жүйені масштабтауды қамтамасыз ететін, бақыланатын логикалық объектілердің санын көбейтетін және жиналған және талданатын мәліметтердің артық болуын қамтамасыз ететін құрылғылар;

Peakflow SP PI (портал интерфейсі)- өз қауіпсіздігін басқару үшін жеке интерфейспен қамтамасыз етілген абоненттердің көбеюін қамтамасыз ететін құрылғылар;

Peakflow SP FS (ағын цензоры)- абоненттік маршрутизаторларды, төменгі ағынды желілерге және деректер орталықтарына қосылуды бақылауды қамтамасыз ететін құрылғылар.

Arbor Peakflow SP жүйесінің жұмыс істеу принциптері негізінен Cisco Clean Pipes сияқты бірдей болып қалады, дегенмен Arbor өз жүйелерін жүйелі түрде дамытады және жетілдіреді, сондықтан қазіргі уақытта Arbor өнімдерінің функционалдығы Cisco-ға қарағанда көп жағынан жақсырақ, оның ішінде өнімділік. .

Бүгінгі таңда Cisco Guard-тың максималды өнімділігіне бір Cisco 6500/7600 шассиінде 4 Guard модулінің кластерін жасау арқылы қол жеткізуге болады, ал бұл құрылғылардың толық кластерленуі жүзеге асырылмаған. Сонымен қатар, Arbor Peakflow SP TMS жоғары үлгілері 10 Гбит/с-қа дейін өнімділікке ие және өз кезегінде кластерленген болуы мүмкін.

Arbor өзін DDoS шабуылдарын анықтау және жолын кесу нарығында тәуелсіз ойыншы ретінде көрсете бастағаннан кейін, Cisco оны желілік трафик ағынының деректерін қажетті бақылаумен қамтамасыз ететін серіктес іздей бастады, бірақ ол тікелей емес. бәсекелес. Мұндай компания Narus болды, ол ағын деректеріне негізделген трафикті бақылау жүйелерін (NarusInsight) шығарады және Cisco Systems компаниясымен серіктестікке кірді. Дегенмен, бұл серіктестік нарықта айтарлықтай даму мен қатысуға ие болмады. Сонымен қатар, кейбір есептерге сәйкес, Cisco өзінің Cisco Detector және Cisco Guard шешімдеріне инвестиция салуды жоспарламайды, шын мәнінде бұл тауашаны Arbor Networks-ке қалдырады.

Cisco және Arbor шешімдерінің кейбір мүмкіндіктері

Cisco және Arbor шешімдерінің кейбір ерекшеліктерін атап өткен жөн.

  1. Cisco Guard детектормен бірге немесе дербес пайдаланылуы мүмкін. Соңғы жағдайда ол желілік режимде орнатылады және трафикті талдайтын детектордың функцияларын орындайды және қажет болған жағдайда сүзгілерді қосады және трафикті тазартады. Бұл режимнің кемшілігі, біріншіден, ықтимал сәтсіздіктің қосымша нүктесі қосылады, екіншіден, қосымша трафик кідірісі (бұл сүзгілеу механизмі қосылғанша аз болса да). Cisco Guard үшін ұсынылатын режим - шабуылды қамтитын трафикті қайта бағыттау, оны сүзу және оны қайтадан желіге енгізу пәрменін күту.
  2. Arbor Peakflow SP TMS құрылғылары жолдан тыс немесе желілік режимде де жұмыс істей алады. Бірінші жағдайда құрылғы оны тазарту және оны қайтадан желіге енгізу үшін шабуылды қамтитын трафикті қайта бағыттау пәрменін пассивті түрде күтеді. Екіншіден, ол барлық трафикті өзі арқылы өткізеді, оның негізінде Arborflow форматында деректерді жасайды және шабуылдарды талдау және анықтау үшін оны Peakflow SP CP-ге береді. Arborflow - Netflow-қа ұқсас пішім, бірақ Arbor оны Peakflow SP жүйелері үшін өзгерткен. Трафикті бақылау және шабуылды анықтау TMS-тен алынған Arborflow деректеріне негізделген Peakflow SP CP арқылы жүзеге асырылады. Шабуыл анықталған кезде, Peakflow SP CP операторы оны басу пәрменін береді, содан кейін TMS сүзгілерді қосады және трафикті шабуылдан тазартады. Cisco-дан айырмашылығы, Peakflow SP TMS сервері оның жұмысына трафикті талдайтын Peakflow SP CP сервері қажет;
  3. Бүгінгі күні сарапшылардың көпшілігі желінің жергілікті бөлімдерін қорғау міндеттерінің (мысалы, деректер орталықтарын қосу немесе төменгі желіні қосу) тиімді екендігімен келіседі.

Бұл ұйым .tr аймағында домендік атауларды тіркеуден басқа, түрік университеттерімен магистральдық байланыстарды да қамтамасыз етеді. Анонимді хакершілер Түркия басшылығын ДАИШ-ті қолдады деп айыптап, шабуылды өз мойнына алды.

DDoS-тің алғашқы белгілері 14 желтоқсан күні түске қарай пайда болды, бес NIC.tr сервері 40 Гбит/с-қа дейінгі қажетсіз трафиктің шабуылына ұшырады. Бұл мәселе NIC.tr балама NS инфрақұрылымын ұсынатын RIPE үйлестіру орталығына да әсер етті. RIPE өкілдері шабуылдың RIPE қауіпсіздік шараларын айналып өтетіндей өзгертілгенін атап өтті.

Кең ауқымды DDoS шабуылдары веб-қызметтерді бұзудың ең тиімді әдісіне айналуда - шабуылдардың құны үнемі төмендейді, бұл қуатты арттыруға мүмкіндік береді: бар болғаны екі жыл ішінде DDoS шабуылының орташа қуаты 8 Гбит/с дейін төрт есеге өсті. Орташа мәндермен салыстырғанда Түркияның ұлттық домен аймағына жасалған шабуыл әсерлі көрінеді, бірақ сарапшылар 400 Гбит/с деңгейіндегі DDoS-шабуылдары жақын арада қалыпты жағдайға айналатынын атап өтті.

Түрік шабуылының бірегейлігі шабуылдаушылар дұрыс нысананы таңдады: салыстырмалы түрде аз IP мекенжайларына шоғырлана отырып, олар бар болғаны 40 гигабиттік шабуылмен бүкіл елдің инфрақұрылымын іс жүзінде бұза алды.

Түркияның ұлттық кибер инциденттерге қарсы әрекет ету орталығы басқа елдерден NIC.tr серверлеріне келетін барлық трафикті бұғаттады, бұл барлық 400 000 түрік веб-сайттарының қолжетімсіз болуына және барлық электрондық пошта хабарларының жіберушілеріне қайтарылуына себеп болды. Кейінірек орталық күдікті IP мекенжайларын таңдап блоктай отырып, тактиканы өзгертуге шешім қабылдады. .tr аймағындағы домендерге арналған DNS серверлері Superonline және Vodafone түрік интернет провайдерлерінің көмегімен мемлекеттік және жеке серверлер арасында сұрауларды тарату үшін қайта конфигурацияланды.

Шабуылға ұшыраған домендер сол күні желіге оралды, бірақ көптеген сайттар мен электрондық пошта қызметтері бірнеше күн бойы үзіліспен жұмыс істей берді. Жергілікті компаниялар мен мемлекеттік ұйымдар ғана емес, сонымен қатар .tr аймағында домендік атауды таңдаған көптеген ұлттық веб-ресурстар да зардап шекті; жалпы алғанда бұл шамамен 400 мың веб-сайт, оның 75% корпоративтік. Түрік ұлттық доменін оқу орындары, муниципалитеттер және әскерилер де пайдаланады.

«Анонимді» мәлімдеме жасағанша, көпшілігі Түркия мен Ресей арасындағы шиеленісті қарым-қатынасқа байланысты DDoS шабуылы үшін ресейліктерді айыптады. Кезінде осыған ұқсас себептермен ресейлік хакерлер Эстонияға (2007), Грузияға (2008) және Украинаға (2014) жасалған ауқымды кибершабуылдарға қатысты деген күдікке ілінді. Кейбір сарапшылар түріктің DDoS жүйесін Sputnik ресейлік жаңалықтар сайтында түрік кибертоптарының DDoS шабуылына ресейліктердің жауабы деп санады.

Анонимдік мәлімдеме «орыс ізі» гипотезасын кез келген негізден айырды. Сондай-ақ хакершілер Түркия ДАИШ-ке көмектесуді тоқтатпаса, түрік әуежайларына, банктеріне, мемлекеттік серверлеріне және әскери ұйымдарына шабуыл жасаймыз деп қорқытуда.

ФСБ 2016 жылдың күзінде Сбербанк, Росбанк, Альфа-Банк, Мәскеу банкі, Мәскеу биржасы және қаржы секторының нысандарына заттар интернеті (IoT) арқылы жасалған жаппай хакерлік шабуылға қатысты қылмыстық істі тергеп жатыр. басқалар .

Бұл туралы ФСБ директорының орынбасары Дмитрий Шалков Мемлекеттік Думада Ресей Федерациясының маңызды ақпараттық инфрақұрылымының (CII) қауіпсіздігі туралы үкіметтік заң жобалары пакетінің тұсаукесері кезінде айтты, деп жазады «Коммерсант».

2016 жылы ресейлік ресми ақпараттық ресурстарда 70 миллионға жуық DDoS шабуылы тіркелді, бұл өткен жылмен салыстырғанда үш есе көп. Дегенмен, қарашаның хакерлерінің шабуылдары олардың көпшілігінен ерекшеленеді, деп атап өтті Шалков.

Оның айтуынша, 8 қараша мен 14 қараша аралығында орташа қуатты DDoS шабуылдары сегіз ұйымға жасалған. Олар желіге қосылған IoT құрылғыларын, атап айтқанда веб-камераларды пайдаланатын ботнеттерді (Интернетке кіру мүмкіндігі бар компьютерлерді хакерлер бұзып, бақылауға алған) қатысты. ФСБ директорының орынбасары ресейлік құрылымдарға жасалған келісілген шабуылдың АҚШ-тағы алты сағаттық қазандағы шабуылмен ұқсастығын атап өтті, ол Dyn интернет-провайдерінің қызметтеріне қарсы бағытталған, нәтижесінде бірқатар ірі американдық ресурстар ( Twitter, CNN, Spotify, The New York Times және Reddit) ұзақ уақыт бойы жойылды.

Дегенмен, шабуылдар ақшаны ұрлаумен қатар жүрмеді және шабуылға ұшыраған банктер өз қызметтерінің үзілуін тіркемеді. Қарашадағы шабуылдардан кейін мұндай оқиғалар қайталанбады, деп хабарлады РФ Орталық банкі.

«Коммерсант» DDoS-шабуылдарының өзі ақшаны ұрлауға бағытталмағанын, әдетте, веб-сайттар мен онлайн-банкинг қызметтерін бұғаттау үшін қолданылатынын атап өтті. Digital Security қауіпсіздік аудиті департаменті басшысының орынбасары Глеб Чербов «шабуылдаушылар басқаратын құрылғылар мен серверлер шабуылға ұшыраған жүйе үшін өлімге әкелетін пропорцияларды алатын желілік трафикті жасауға дайын ботнеттерге біріктірілген» деп түсіндірді. Дегенмен, жаппай DDoS шабуылдары банктер үшін елеулі шығындарға әкелуі мүмкін. Мысалы, қызметтердің қолжетімсіздігі салымшылар арасында дүрбелең тудыруы мүмкін, олар салымдарын жаппай қайтара бастайды. Сонымен қатар, жаппай DDoS шабуылдары басқа әрекеттерді жасыру үшін жиі қолданылады. Атап айтқанда, қауіпсіздік сарапшылары осалдықты түзетіп жатқанда, шабуылдаушылар банк инфрақұрылымына еніп кетуі мүмкін.

Басылымның жазуынша, ФСБ-ның 2016 жылдың қарашасында хакерлік шабуылдар бойынша қылмыстық іс қозғауы күдіктілердің тергеумен анықталғанын білдіреді. Тергеу мұндай істермен кемінде алты ай айналысады, бірақ іс жүзінде бұл мерзім екі-үш жылға созылады, деп жазады басылымның дереккөзі.

Бүгін сервердегі Ddos шабуылдарына қатысты жағдайды түсіндіруге тырысайық. Дегенмен, бұл мәселе шынымен хостинг тақырыбымен қиылысады.

Іс өте жағымсыз. Елестетіп көріңізші, кеше мен WordPress-те жаңа плагин орнаттым және біраз уақыттан кейін кенеттен, бам! - браузердегі блог ашылуды тоқтатады. Сонымен қатар, басқа сайттар бір уақытта тамаша серфинг жасайды. Ойлар тығырыққа тіреледі - мен плагинмен бірдеңені бұздым. Мен бетті қайта жүктеу үшін бірнеше рет басыңыз, ештеңе болмайды! Содан кейін ол шынымен де жұмыс істей бастады, бірақ мен бірнеше жағымсыз минуттардан өтуге тура келді.

Ал бүгін поштадан TimeWeb техникалық қолдауынан хатты көріп тұрмын. Мен оны жасырмаймын, мен сонда хостинг аламын. Ал нені жасыру керек, сайттың мекен-жайын Whois-ке енгізіңіз.
Хат мынада:

«Құрметті пайдаланушылар.
Бүгін, 2011 жылғы 2 желтоқсанда Мәскеу уақытымен 16:32-де TIMEWEB технологиялық платформасында кейбір сайттар мен серверлердің жұмысын бұзған жаппай DDOS шабуылы басталды.
TIMEWEB инженерлері жағдайды бақылауға алып, сағат 18:45-те сайттың тұрақты жұмысы толығымен қалпына келтірілді..."

Мен олардың қайдан келгенін анықтауды шештім Ddos серверге шабуыл жасайдыжәне бұл не? Міне, мен қазып алдым.

Ddos серверге шабуыл жасайды - бұл не?

Алдымен Уикиге көз жүгіртейік, онсыз біз қайда болар едік:

DOS ATTACK (ағылшын тілінен. Қызмет көрсетуден бас тарту, қызмет көрсетуден бас тарту) – компьютерлік жүйеге оны істен шығару, яғни жүйенің заңды (заңды) пайдаланушылары жүйе (серверлер, қызметтер) ұсынатын ресурстарға немесе осы рұқсатқа қол жеткізе алмайтындай күйге келтіру мақсатында жасалған шабуыл. қиын. «Жау» жүйесінің істен шығуы өз бетінше аяқталуы (мысалы, танымал веб-сайтты қолжетімсіз ету) немесе жүйені бақылауға алу қадамдарының бірі болуы мүмкін (төтенше жағдайда бағдарламалық қамтамасыз ету қандай да бір маңызды ақпаратты шығарса - мысалы, нұсқасы, бағдарлама кодының бөлігі және т.б. .d.).

Егер шабуыл бір уақытта көптеген компьютерлерден жасалса, олар DDOS ATTACK туралы айтады (ағылшын тілінен. Бөлінген қызмет көрсетуден бас тарту, таратылған қызмет көрсетуден бас тарту шабуылы). Кейбір жағдайларда нақты DDoS шабуылы заңды әрекеттен туындайды, мысалы, танымал интернет-ресурста өнімді емес серверде орналасқан сайтқа сілтемені орналастыру. Пайдаланушылардың үлкен ағыны сервердегі рұқсат етілген жүктемеден асып кетуге және, тиісінше, олардың кейбіреулеріне қызмет көрсетуден бас тартуға әкеледі.

Сонымен, бір жағынан шабуыл объектісі - белгілі бір сервер немесе веб-сайт, ал екінші жағынан шабуыл объектісіне DDoS шабуылын ұйымдастыратын шабуылдаушылар тобы бар.

Ddos шабуылын ұйымдастырушылар қандай мақсаттарды көздейді?

Ең зиянсыз себептердің бірі - киберқорқыту. Шабуылдарды ұйымдастыруға арналған көптеген бағдарламалардың Интернетте еркін қол жетімді болуы мәселені қиындатады.

Әділетсіз бәсекелестік одан да маңызды DDoS шабуылдарын тудырады. Мұндағы мақсаттар әртүрлі - бәсекелестің серверін құлату, осылайша қарсыластың жұмысын бұзу, сонымен қатар нарықта бәсекелеске жағымсыз имидж жасау. Сондай-ақ серверді бұзуға болады, өйткені жаппай шабуыл кезінде бағдарламалық кодтар түріндегі ақпарат бөліктері жалпыға ортақ қарауға өтуі мүмкін.

Сондай-ақ, Ddos шабуыл әдісін қолдана отырып, әртүрлі Ddos топтары өздерінің бар екенін жариялай алады немесе сервер иелеріне талаптар мен ультиматумдарды ұсына алады.

Міне, кейбір мысалдар Ddos серверге шабуыл жасайдыМен Луркоморьеде таптым:

  • OOFR (Ресейдің Біріккен Фагтарының Ұйымы), оның құрамына келесі мем топтары кіреді: Ырымшыл алапес колониясы, LiveJournal-дың құлаған бөлігі және, әрине, Упячка жетекшілік етеді.

OPFR негізгі құрбандары:

  1. www.mail.ru (BEETLES жобасы үшін),
  2. www.gay.com (гей болғаны үшін),
  3. www.4chan.org («Онотол» құдайын қорлағаны үшін),
  4. www.wikipedia.org (Мысықтарды қорлауды қамтитын UPCHK туралы мақала үшін (Коте), модератор бір ай ішінде жоймаған)

DDoS шабуылдарынан қорғау саласында жұмыс істейтін көптеген ұйымдар осы саладағы жетістіктерге қарамастан, негізінен шабуылдарды ұйымдастырудың қарапайымдылығына байланысты қауіптің өсіп келе жатқан қаупін әлі де мойындайды.

КІШІ НӘТИЖЕЛЕРДІ ҚОРЫТЫНДЫРАЙЫҚ:

Бізді, қарапайым интернет-қолданушыларды кибершабуылдардан қорғауды біздің ойымыздан шыққан веб-сайттар үшін хостингті жалға алатын хостерлер қалай қамтамасыз ететіні қызықтыруы керек. Осы нақты жағдайда көріп отырғанымыздай, TimeWeb мәселені тез шешті. Бұл туралы маған пошта арқылы хабарлағаны үшін мен оған екінші плюс беремін.

Айтпақшы, мен жақында TimeWeb-ке тағы бір қарапайым сынақ бердім.

Мұның бәрі бүгінгі күні Ddos шабуылдары туралы.

Жақында олардың не екені және кибершабуылдардан қорғау қалай ұйымдастырылатыны туралы айтатын боламыз.