Masinės ddos ​​atakos. Naujos didžiulės DDoS atakos

Ataka, kurios metu vartotojai negali pasiekti tam tikrų išteklių, vadinama DDoS ataka arba paslaugų atsisakymo problema. Pagrindinis tokių įsilaužėlių atakų bruožas – vienu metu gaunamos užklausos iš daugybės kompiuterių visame pasaulyje, jos daugiausia nukreipiamos į gerai apsaugotų įmonių ar vyriausybinių organizacijų serverius, rečiau – į atskirus nekomercinius išteklius.

Užkrėstas kompiuteris tampa savotišku „zombiu“, o įsilaužėliai, naudodami kelis šimtus ar net dešimtis tūkstančių tokių „zombių“, sukelia išteklių gedimą (paslaugų atsisakymas).

DDoS atakų priežasčių gali būti daug. Pabandykime nustatyti populiariausius ir tuo pačiu atsakyti į klausimus: „DDoS ataka - kas tai yra, kaip apsisaugoti, kokios jos pasekmės ir kokiomis priemonėmis ji vykdoma?

Varzybos

Internetas jau seniai buvo verslo idėjų, didelių projektų įgyvendinimo ir kitų būdų uždirbti gana daug pinigų šaltinis, todėl DDoS ataka gali būti vykdoma pagal užsakymą. Tai yra, jei organizacija, atsiradus konkurentui, nori jį pašalinti, ji gali tiesiog kreiptis į įsilaužėlį (ar jų grupę) su paprasta užduotimi – paralyžiuoti nepageidaujamos įmonės darbą per interneto išteklius (DDoS). ataka prieš serverį ar svetainę).

Atsižvelgiant į konkrečius tikslus ir uždavinius, toks puolimas nustatomas tam tikram laikotarpiui ir naudojant atitinkamą jėgą.

Sukčiavimas

Gana dažnai DDoS ataka svetainėje organizuojama įsilaužėlių iniciatyva, siekiant blokuoti sistemą ir gauti prieigą prie asmeninių ar kitų svarbių duomenų. Kai užpuolikai paralyžiuoja sistemą, jie gali pareikalauti tam tikros pinigų sumos, kad atkurtų užpultų išteklių funkcionalumą.

Daugelis interneto verslininkų sutinka su iškeltomis sąlygomis, savo veiksmus pateisindami prastovomis darbe ir patirtais didžiuliais nuostoliais – lengviau sumokėti nedidelę sumą aferistui, nei prarasti didelį pelną už kiekvieną prastovos dieną.

Pramogos

Daugelis vartotojų tiesiog iš smalsumo ar linksmybių domisi: „DDoS ataka - kas tai yra ir kaip tai padaryti? Todėl dažnai pasitaiko atvejų, kai pradedantieji užpuolikai, norėdami pasilinksminti ir išbandyti jėgas, tokius atakas organizuoja atsitiktiniams resursams.

Be priežasčių, DDoS atakos turi savo klasifikavimo ypatybes.

  1. Pralaidumas. Šiandien beveik kiekviena kompiuterio vieta yra aprūpinta vietiniu tinklu arba tiesiog prijungta prie interneto. Todėl dažni tinklo užtvindymo atvejai – daugybė užklausų su neteisingai suformuota ir beprasmiška sistema tam tikriems ištekliams ar įrangai, siekiant vėlesnio jos gedimo arba standžiųjų diskų, atminties ir kt.
  2. Sistemos išsekimas. Tokia DDoS ataka prieš Samp serverį vykdoma siekiant užgrobti fizinę atmintį, procesoriaus laiką ir kitus sistemos resursus, dėl kurių nebuvimo užpultas objektas tiesiog negali pilnai veikti.
  3. Kilpos. Begalinis duomenų tikrinimas ir kitos ratu veikiančios kilpos verčia objektą eikvoti daug išteklių, taip užkemšama atmintis, kol ji visiškai išsenka.
  4. Klaidingi išpuoliai. Šios organizacijos tikslas – klaidingai suaktyvinti apsaugos sistemas, dėl kurių galiausiai blokuojami kai kurie ištekliai.
  5. HTTP protokolas. Piratai siunčia mažos talpos HTTP paketus su specialiu šifravimu, resursas, natūralu, nemato, kad jame būtų vykdoma DDoS ataka, serverio programa, atlikdama savo darbą, siunčia atgal daug didesnės talpos paketus, taip užkimšdama aukos pralaidumo, o tai vėl veda prie paslaugų gedimo.
  6. Smurfų puolimas. Tai viena pavojingiausių rūšių. Įsilaužėlis aukai siunčia netikrą ICMP paketą transliacijos kanalu, kur aukos adresas pakeičiamas užpuoliko adresu, o visi mazgai pradeda siųsti atsakymą į ping užklausą. Ši DDoS ataka yra programa, skirta naudoti didelį tinklą, t. y. 100 kompiuterių apdorota užklausa bus sustiprinta 100 kartų.
  7. UDP potvynis. Šis atakos tipas yra šiek tiek panašus į ankstesnį, tačiau vietoj ICMP paketų užpuolikai naudoja UDP paketus. Šio metodo esmė yra pakeisti aukos IP adresą įsilaužėlio IP adresu ir visiškai įkelti pralaidumą, o tai taip pat sukels sistemos gedimą.
  8. SYN potvynis. Užpuolikai bando vienu metu paleisti daug TCP jungčių per SYN kanalą su neteisingu arba visiškai trūkstamu grąžinimo adresu. Po kelių tokių bandymų dauguma operacinių sistemų nustato probleminio ryšio eilę ir jį uždaro tik po tam tikro skaičiaus bandymų. SYN kanalo srautas yra gana didelis, ir netrukus po daugelio tokių bandymų nukentėjęs branduolys atsisako atidaryti bet kokį naują ryšį, blokuodamas visą tinklą.
  9. „Sunkūs paketai“. Šis tipas pateikia atsakymą į klausimą: „Kas yra DDoS ataka prieš serverį? Įsilaužėliai siunčia paketus į vartotojo serverį, tačiau pralaidumas neprisotinamas, veiksmas nukreiptas tik į procesoriaus laiką. Dėl to tokie paketai sukelia sistemos gedimą, o ji, savo ruožtu, sugenda jos ištekliai.
  10. Žurnalo failai. Jei kvotos ir rotacijos sistemoje yra saugos spragų, užpuolikai gali siųsti didelius paketus ir taip užimti visą laisvą vietą serverio standžiajame diske.
  11. Programos kodas. Didelę patirtį turintys įsilaužėliai gali visiškai ištirti aukos serverio struktūrą ir paleisti specialius algoritmus (DDoS ataka – išnaudojimo programa). Tokios atakos daugiausia nukreiptos į gerai apsaugotus įvairių sričių ir sričių įmonių ir organizacijų komercinius projektus. Užpuolikai randa spragų programos kode ir paleidžia netinkamas instrukcijas ar kitus išskirtinius algoritmus, dėl kurių sistema arba paslauga sugenda.

DDoS ataka: kas tai yra ir kaip apsisaugoti

Yra daug būdų apsisaugoti nuo DDoS atakų. Ir visas jas galima suskirstyti į keturias dalis: pasyviąją, aktyviąją, reakcinę ir prevencinę. Apie kurį plačiau pakalbėsime vėliau.

Įspėjimas

Čia turime užkirsti kelią pačioms priežastims, kurios gali išprovokuoti DDoS ataką. Šis tipas gali apimti tam tikrą asmeninį priešiškumą, teisinius nesutarimus, konkurenciją ir kitus veiksnius, kurie provokuoja „padidėjusį“ dėmesį jums, jūsų verslui ir pan.

Laiku reaguodami į šiuos veiksnius ir padarę atitinkamas išvadas, galite išvengti daugybės nemalonių situacijų. Šis metodas gali būti labiau siejamas su problema, o ne su technine problemos puse.

Reagavimo priemonės

Jei atakos prieš jūsų išteklius tęsiasi, turite rasti problemų šaltinį – užsakovą ar rangovą – naudodami tiek teisinius, tiek techninius svertus. Kai kurios įmonės teikia paslaugas įsibrovėlių paieškai taikant techninį metodą. Remiantis su šiuo klausimu susijusių specialistų kvalifikacija, galima rasti ne tik DDoS ataką vykdantį įsilaužėlį, bet ir patį klientą.

Programinės įrangos apsauga

Kai kurie techninės ir programinės įrangos gamintojai kartu su savo produktais gali pasiūlyti gana daug veiksmingų sprendimų, o DDoS ataka svetainėje bus sustabdyta. Atskiras mažas serveris gali veikti kaip techninis gynėjas, skirtas atremti mažas ir vidutinio dydžio DDoS atakas.

Šis sprendimas puikiai tinka mažoms ir vidutinėms įmonėms. Didesnėms įmonėms, įmonėms ir vyriausybinėms agentūroms yra ištisos aparatinės įrangos sistemos kovai su DDoS atakomis, kurios kartu su didele kaina pasižymi puikiomis apsauginėmis savybėmis.

Filtravimas

Įeinančio srauto blokavimas ir kruopštus filtravimas ne tik sumažins atakos tikimybę. Kai kuriais atvejais DDoS ataka prieš serverį gali būti visiškai atmesta.

Yra du pagrindiniai srauto filtravimo būdai – ugniasienės ir viso sąrašo maršrutizavimas.

Filtravimas naudojant sąrašus (ACL) leidžia filtruoti neesminius protokolus netrikdant TCP ir nesumažinant prieigos prie saugomo šaltinio greičio. Tačiau jei įsilaužėliai naudoja botnetus arba aukšto dažnio užklausas, šis metodas bus neveiksmingas.

Jie daug geriau apsaugo nuo DDoS atakų, tačiau vienintelis jų trūkumas yra tas, kad jie skirti tik privatiems ir nekomerciniams tinklams.

Veidrodis

Šio metodo esmė yra nukreipti visą įeinantį užpuolikų srautą atgal. Tai galima padaryti turint galingus serverius ir kompetentingus specialistus, kurie ne tik nukreips srautą, bet ir galės išjungti užpuoliko įrangą.

Metodas neveiks, jei sistemos paslaugose, programų koduose ir kitose tinklo programose yra klaidų.

Ieškoti pažeidžiamumų

Šio tipo apsauga skirta pataisyti išnaudojimus, pašalinti klaidas žiniatinklio programose ir sistemose, taip pat kitose už tinklo srautą atsakingose ​​tarnybose. Šis metodas yra nenaudingas prieš potvynių atakas, kurios nukreiptos būtent į šiuos pažeidžiamumus.

Šiuolaikiniai ištekliai

Šis metodas negali garantuoti 100% apsaugos. Tačiau tai leidžia efektyviau atlikti kitas priemones (ar jų rinkinį), kad būtų išvengta DDoS atakų.

Sistemos ir išteklių paskirstymas

Dubliuojant išteklius ir paskirstant sistemas naudotojai galės dirbti su jūsų duomenimis, net jei tuo metu jūsų serverį paveikė DDoS ataka. Platinimui galite naudoti įvairią serverio ar tinklo įrangą, taip pat rekomenduojama fiziškai atskirti paslaugas įvairiose pasikartojančiose sistemose (duomenų centruose).

Šis apsaugos būdas iki šiol yra efektyviausias, jei buvo sukurtas tinkamas architektūrinis projektas.

Išsiskyrimas

Pagrindinis šio metodo bruožas yra atakuojamo objekto (domeno vardo arba IP adreso) išvestis ir padalijimas, t. y. visi vienoje svetainėje esantys darbo ištekliai turi būti padalinti ir išdėstyti trečiųjų šalių tinklo adresais ar net kitos svetainės teritorijoje. valstybė. Tai leis jums išgyventi bet kokią ataką ir išsaugoti vidinę IT struktūrą.

Apsaugos nuo DDoS atakų paslaugos

Papasakoję viską apie tokią rykštę kaip DDoS ataka (kas tai yra ir kaip su ja kovoti), pagaliau galime duoti vieną gerą patarimą. Daugelis didelių organizacijų siūlo savo paslaugas, siekdamos užkirsti kelią tokiems išpuoliams ir užkirsti jiems kelią. Iš esmės tokios įmonės naudoja daugybę priemonių ir įvairių mechanizmų, kad apsaugotų jūsų verslą nuo daugumos DDoS atakų. Juose dirba savo srities specialistai ir ekspertai, todėl jei jūsų resursas jums brangus, geriausias (nors ir nepigus) pasirinkimas būtų susisiekti su viena iš šių įmonių.

Kaip pačiam įvykdyti DDoS ataką

Aware is forearmed – tikras principas. Tačiau atminkite, kad sąmoningas asmens ar žmonių grupės DDoS atakos organizavimas yra baudžiamasis nusikaltimas, todėl ši medžiaga pateikiama tik informaciniais tikslais.

Amerikos IT grėsmių prevencijos ekspertai sukūrė programą, skirtą patikrinti atsparumą serverių apkrovoms ir galimybę užpuolikams vykdyti DDoS atakas ir tada pašalinti šią ataką.

Natūralu, kad „karšti“ protai šį ginklą nukreipė prieš pačius kūrėjus ir prieš tai, su kuo jie kovojo. Produkto kodo pavadinimas yra LOIC. Ši programa yra laisvai prieinama ir iš esmės nėra draudžiama įstatymų.

Programos sąsaja ir funkcionalumas yra gana paprastas, ja gali naudotis visi, kurie domisi DDoS ataka.

Kaip viską padaryti pačiam? Sąsajos eilutėse tiesiog įveskite IP aukas, tada nustatykite TCP ir UDP srautus bei užklausų skaičių. Voila – paspaudus trokštamą mygtuką prasidėjo puolimas!

Natūralu, kad ši programinė įranga nepaveiks rimtų išteklių, tačiau mažose gali kilti tam tikrų problemų.

Įvadas

Iš karto padarysiu išlygą, kad rašydama šią apžvalgą visų pirma buvau orientuota į telekomunikacijų operatorių ir jų duomenų tinklų darbo specifiką suprantančią auditoriją. Šiame straipsnyje pateikiami pagrindiniai apsaugos nuo DDoS atakų principai, jų raidos istorija per pastarąjį dešimtmetį ir esama situacija.

Kas yra DDoS?

Tikriausiai šiandien, jei ne kiekvienas „vartotojas“, tai bent kiekvienas „IT specialistas“ žino, kas yra DDoS atakos. Tačiau dar reikia pasakyti keletą žodžių.

DDoS atakos (Distributed Denial of Service) – tai kompiuterių sistemų (tinklo išteklių ar ryšio kanalų) atakos, kuriomis siekiama padaryti jas nepasiekiamas teisėtiems vartotojams. DDoS atakos apima vienu metu daug užklausų siuntimą į konkretų šaltinį iš vieno ar kelių kompiuterių, esančių internete. Jei tūkstančiai, dešimtys tūkstančių ar milijonai kompiuterių vienu metu pradeda siųsti užklausas į konkretų serverį (ar tinklo paslaugą), tada serveris negalės to apdoroti, arba nebus pakankamai pralaidumo ryšio kanalui į šį serverį. . Abiem atvejais interneto vartotojai negalės pasiekti užpulto serverio ar net visų serverių ir kitų išteklių, prijungtų blokuotu ryšio kanalu.

Kai kurios DDoS atakų funkcijos

Prieš ką ir kokiu tikslu pradedamos DDoS atakos?

DDoS atakos gali būti pradėtos prieš bet kokius interneto išteklius. Didžiausią žalą nuo DDoS atakų patiria organizacijos, kurių veikla yra tiesiogiai susijusi su jų buvimu internete – bankai (teikiantys internetinės bankininkystės paslaugas), internetinės parduotuvės, prekybos platformos, aukcionai, taip pat kitos veiklos rūšys, veikla ir efektyvumas. iš kurių labai priklauso nuo atstovybės internete (kelionių agentūros, oro linijos, techninės ir programinės įrangos gamintojai ir kt.) DDoS atakos reguliariai vykdomos prieš tokių pasaulinės IT pramonės gigantų kaip IBM, Cisco Systems, Microsoft ir kt. . Buvo pastebėtos didžiulės DDoS atakos prieš eBay.com, Amazon.com ir daugelį gerai žinomų bankų ir organizacijų.

Labai dažnai DDoS atakos pradedamos prieš politinių organizacijų, institucijų ar atskirų žinomų asmenybių atstovybes internete. Daugelis žmonių žino apie masines ir ilgas DDoS atakas, kurios buvo pradėtos prieš Gruzijos prezidento svetainę per 2008 m. Gruzijos ir Osetijos karą (svetainė buvo nepasiekiama kelis mėnesius nuo 2008 m. rugpjūčio mėn.), prieš Estijos vyriausybės serverius. (2007 m. pavasarį, per neramumus, susijusius su Bronzinio kareivio perdavimu), apie periodines Šiaurės Korėjos interneto segmento atakas prieš Amerikos svetaines.

Pagrindiniai DDoS atakų tikslai yra arba gauti naudos (tiesioginės ar netiesioginės) šantažu ir turto prievartavimu, arba siekti politinių interesų, eskaluoti situaciją arba atkeršyti.

Kokie yra DDoS atakų paleidimo mechanizmai?

Populiariausias ir pavojingiausias būdas pradėti DDoS atakas yra botnetų (BotNets) naudojimas. Botnetas yra kompiuterių rinkinys, kuriame įdiegtos specialios programinės įrangos žymės (botai), išverstos iš anglų kalbos, botnetas – tai botų tinklas. Paprastai robotus įsilaužėliai kuria atskirai kiekvienam robotų tinklui ir jų pagrindinis tikslas yra siųsti užklausas į konkretų interneto šaltinį, gavus komandą, gautą iš botnet valdymo serverio – Botnet Command and Control Server. Botneto valdymo serverį valdo įsilaužėlis arba asmuo, įsigijęs botnetą ir galimybę pradėti DDoS ataką iš įsilaužėlio. Botai internete plinta įvairiais būdais, dažniausiai atakuodami kompiuterius, kuriuose yra pažeidžiamų paslaugų ir juose įdiegdami programinės įrangos žymes arba apgaudinėdami vartotojus ir verčiant juos įdiegti robotus prisidengiant kitų paslaugų teikimu ar programine įranga, kuri atlieka visiškai nekenksmingą ar net naudinga funkcija. Yra daug būdų, kaip platinti robotus, ir nuolat išrandami nauji metodai.

Jei botnetas yra pakankamai didelis – dešimtys ar šimtai tūkstančių kompiuterių – tuo pačiu metu iš visų šių kompiuterių siunčiamos net visiškai teisėtos užklausos tam tikrai tinklo paslaugai (pavyzdžiui, žiniatinklio paslaugai konkrečioje svetainėje) pačios paslaugos arba serverio išteklių išeikvojimas arba ryšio kanalo galimybių išnaudojimas. Bet kuriuo atveju paslauga bus nepasiekiama vartotojams, o paslaugos savininkas patirs tiesioginę, netiesioginę ir reputaciją. Ir jei kiekvienas kompiuteris siunčia ne vieną užklausą, o dešimtis, šimtus ar tūkstančius užklausų per sekundę, tai atakos poveikis išauga daug kartų, o tai leidžia sunaikinti net produktyviausius resursus ar ryšio kanalus.

Kai kurios atakos pradedamos „nekenksmingesniais“ būdais. Pavyzdžiui, „flash mob“ tam tikrų forumų vartotojų, kurie pagal susitarimą tam tikru metu paleidžia „ping“ ar kitokias užklausas iš savo kompiuterių į konkretų serverį. Kitas pavyzdys – nuorodos į svetainę įkėlimas į populiarius interneto išteklius, o tai sukelia vartotojų antplūdį į tikslinį serverį. Jei „netikra“ nuoroda (išoriškai atrodo kaip nuoroda į vieną šaltinį, o iš tikrųjų nukreipia į visiškai kitą serverį) nurodo nedidelės organizacijos svetainę, bet yra paskelbta populiariuose serveriuose ar forumuose, tokia ataka gali sukelti nepageidaujamų lankytojų antplūdis šioje svetainėje . Paskutinių dviejų tipų atakos retai nulemia serverio pasiekiamumą tinkamai organizuotose prieglobos svetainėse, tačiau tokių pavyzdžių būta net Rusijoje 2009 m.

Ar padės tradicinės techninės apsaugos nuo DDoS atakų priemonės?

DDoS atakų ypatumas yra tas, kad jos susideda iš daugybės vienu metu pateikiamų užklausų, kurių kiekviena atskirai yra visiškai „teisėta“, be to, šias užklausas siunčia kompiuteriai (užkrėsti robotais), kurie gali priklausyti labiausiai paplitusiems tikriems ar potencialiems vartotojams; užpultos paslaugos ar šaltinio. Todėl naudojant standartinius įrankius labai sunku teisingai identifikuoti ir filtruoti tiksliai tas užklausas, kurios sudaro DDoS ataką. Standartinės IDS/IPS klasės sistemos (įsibrovimų aptikimo / prevencijos sistema – tinklo atakų aptikimo / prevencijos sistema) šiose užklausose neras „nusikaltimo sudėties“, nesupras, kad tai yra atakos dalis, nebent atliktų kokybinė eismo anomalijų analizė. Ir net jei jie tai randa, išfiltruoti nereikalingas užklausas taip pat nėra taip paprasta – standartinės ugniasienės ir maršrutizatoriai filtruoja srautą pagal aiškiai apibrėžtus prieigos sąrašus (valdymo taisykles) ir nežino, kaip „dinamiškai“ prisitaikyti prie naudotojo profilio. specifinė ataka. Ugniasienės gali reguliuoti srauto srautus pagal tokius kriterijus kaip šaltinio adresai, naudojamos tinklo paslaugos, prievadai ir protokolai. Tačiau DDoS atakoje dalyvauja paprasti interneto vartotojai, kurie siunčia užklausas naudodami dažniausiai naudojamus protokolus – ar tikrai telekomunikacijų operatorius neuždraus visų ir visko? Tada ji tiesiog nustos teikti ryšio paslaugas savo abonentams ir nustos teikti prieigą prie savo aptarnaujamų tinklo išteklių, ko iš tikrųjų ir siekia atakos iniciatorius.

Daugelis specialistų tikriausiai žino, kad egzistuoja specialūs apsaugos nuo DDoS atakų sprendimai, kuriuos sudaro eismo anomalijų aptikimas, srauto profilio ir atakos profilio kūrimas ir tolesnis dinaminis kelių etapų srauto filtravimo procesas. Ir aš taip pat kalbėsiu apie šiuos sprendimus šiame straipsnyje, bet šiek tiek vėliau. Pirmiausia pakalbėsime apie kai kurias mažiau žinomas, bet kartais gana efektyvias priemones, kurių galima imtis DDoS atakoms slopinti esamomis duomenų tinklo ir jo administratorių priemonėmis.

Apsauga nuo DDoS atakų naudojant turimas priemones

Yra nemažai mechanizmų ir „gudrybių“, kurie tam tikrais ypatingais atvejais leidžia slopinti DDoS atakas. Kai kurie gali būti naudojami tik tuo atveju, jei duomenų tinklas yra pastatytas ant konkretaus gamintojo įrangos, kiti yra daugiau ar mažiau universalūs.

Pradėkime nuo „Cisco Systems“ rekomendacijų. Šios įmonės ekspertai rekomenduoja užtikrinti tinklo pagrindo apsaugą (Network Foundation Protection), kuri apima tinklo administravimo lygio (Control Plane), tinklo valdymo lygio (Management Plane) ir tinklo duomenų lygio apsaugą (Data Plane).

Valdymo plano apsauga

Sąvoka „administravimo lygis“ apima visą srautą, kuris valdo arba stebi maršrutizatorius ir kitą tinklo įrangą. Šis srautas nukreipiamas į maršrutizatorių arba kyla iš maršruto parinktuvo. Tokio srauto pavyzdžiai yra Telnet, SSH ir http(s) sesijos, syslog pranešimai, SNMP spąstai. Bendra geriausia praktika apima:

Maksimalaus valdymo ir stebėjimo protokolų saugumo užtikrinimas naudojant šifravimą ir autentifikavimą:

  • SNMP v3 protokolas suteikia saugumo priemones, o SNMP v1 praktiškai neteikia, o SNMP v2 suteikia tik iš dalies – numatytąsias Bendrijos reikšmes visada reikia keisti;
  • turi būti naudojamos skirtingos vertybės viešajai ir privačiai bendruomenei;
  • telnet protokolas visus duomenis, įskaitant prisijungimo vardą ir slaptažodį, perduoda aiškiu tekstu (jei srautas perimamas, šią informaciją galima nesunkiai išgauti ir panaudoti), vietoje to rekomenduojama visada naudoti ssh v2 protokolą;
  • taip pat vietoj http naudokite https, kad pasiektumėte įrangą, įskaitant tinkamą slaptažodžio politiką, centralizuotą autentifikavimą, autorizavimą ir apskaitą (AAA modelis) ir vietinį autentifikavimą pertekliniams tikslams;

Vaidmenimis pagrįsto prieigos modelio įgyvendinimas;

Leidžiamų jungčių valdymas pagal šaltinio adresą naudojant prieigos kontrolės sąrašus;

Nenaudojamų paslaugų, kurių daugelis yra įjungtos pagal numatytuosius nustatymus, išjungimas (arba jos buvo pamirštos išjungti diagnozavus ar sukonfigūravus sistemą);

Įrangos išteklių naudojimo stebėjimas.

Prie paskutinių dviejų punktų verta pasilikti išsamiau.
Kai kurias paslaugas, kurios yra įjungtos pagal numatytuosius nustatymus arba kurias pamiršta išjungti sukonfigūravus arba diagnozavus įrangą, užpuolikai gali apeiti esamas saugos taisykles. Šių paslaugų sąrašas pateikiamas žemiau:

  • PAD (paketų surinkėjas / išmontuotojas);

Natūralu, kad prieš išjungdami šias paslaugas turite atidžiai išanalizuoti, ar jos reikalingos jūsų tinkle.

Patartina stebėti įrangos išteklių naudojimą. Tai leis, pirma, laiku pastebėti atskirų tinklo elementų perkrovą ir imtis priemonių užkirsti kelią avarijai, antra, aptikti DDoS atakas ir anomalijas, jei jų aptikimas nenumatytas specialiomis priemonėmis. Rekomenduojama stebėti bent:

  • CPU apkrova
  • atminties naudojimas
  • maršrutizatoriaus sąsajų perkrova.

Stebėjimą galima atlikti „rankiniu būdu“ (periodiškai stebint įrangos būseną), tačiau, žinoma, geriau tai daryti naudojant specialias tinklo stebėjimo ar informacijos saugumo stebėjimo sistemas (pastaroji apima „Cisco MARS“).

Valdymo plokštumos apsauga

Tinklo valdymo sluoksnis apima visą paslaugų srautą, kuris užtikrina tinklo funkcionavimą ir ryšį pagal nurodytą topologiją ir parametrus. Valdymo plokštumos srauto pavyzdžiai: visas maršruto procesoriaus (RR) generuojamas arba jam skirtas srautas, įskaitant visus maršruto parinkimo protokolus, kai kuriais atvejais SSH ir SNMP protokolus ir ICMP. Bet kokia ataka prieš maršruto parinkimo procesoriaus veikimą, ypač DDoS atakos, gali sukelti didelių problemų ir tinklo veikimo trikdžių. Toliau pateikiamos geriausios valdymo plokštumos apsaugos praktikos.

Lėktuvo policijos valdymas

Jį sudaro QoS (paslaugų kokybės) mechanizmų naudojimas, siekiant suteikti didesnį prioritetą lėktuvų srautui valdyti, o ne naudotojų srautui (kurio dalis yra atakos). Tai užtikrins paslaugų protokolų ir maršruto parinkimo procesoriaus veikimą, tai yra tinklo topologijos ir jungiamumo palaikymą, taip pat faktinį paketų maršrutą ir perjungimą.

IP gavimo ACL

Ši funkcija leidžia filtruoti ir valdyti paslaugų srautą, skirtą maršrutizatoriui ir maršruto parinkimo procesoriui.

  • yra naudojami tiesiai ant maršruto parinkimo įrangos, kol srautas pasiekia maršruto parinkimo procesorių, užtikrinant „asmeninę“ įrangos apsaugą;
  • yra taikomi po to, kai srautas praeina per įprastus prieigos kontrolės sąrašus - jie yra paskutinis apsaugos lygis pakeliui į maršruto procesorių;
  • taikoma visam srautui (tiek vidiniam, tiek išoriniam, tiek tranzitui, susijusiam su telekomunikacijų operatoriaus tinklu).

Infrastruktūros ACL

Paprastai prieiga prie patentuotų maršruto parinkimo įrangos adresų reikalinga tik paties operatoriaus tinklo pagrindiniams kompiuteriams, tačiau yra išimčių (pavyzdžiui, eBGP, GRE, IPv6 per IPv4 tunelius ir ICMP). Infrastruktūros ACL:

  • dažniausiai įrengiamas telekomunikacijų operatoriaus tinklo pakraštyje („prie įėjimo į tinklą“);
  • turėti tikslą neleisti išoriniams pagrindiniams kompiuteriams pasiekti operatoriaus infrastruktūros adresus;
  • užtikrinti netrukdomą eismo tranzitą per operatoriaus tinklo sieną;
  • pateikti pagrindinius apsaugos nuo neteisėtos tinklo veiklos mechanizmus, aprašytus RFC 1918, RFC 3330, ypač apsaugą nuo klastojimo (klastojimas, netikrų šaltinio IP adresų naudojimas siekiant užmaskuoti ataką).

Kaimyno autentifikavimas

Pagrindinis kaimyninio autentifikavimo tikslas yra užkirsti kelią atakoms, kurių metu siunčiami suklastoti maršruto parinkimo protokolo pranešimai, siekiant pakeisti maršrutą tinkle. Tokios atakos gali sukelti neteisėtą įsiskverbimą į tinklą, neteisėtą tinklo išteklių naudojimą, o užpuolikas gali perimti srautą, kad galėtų analizuoti ir gauti reikiamą informaciją.

BGP nustatymas

  • BGP priešdėlių filtrai - naudojami siekiant užtikrinti, kad informacija apie telekomunikacijų operatoriaus vidinio tinklo maršrutus nepasklistų internete (kartais ši informacija gali būti labai naudinga užpuolikui);
  • prefiksų, kuriuos galima gauti iš kito maršrutizatoriaus, skaičiaus ribojimas (prefiksų apribojimas) – naudojamas apsisaugoti nuo DDoS atakų, anomalijų ir gedimų tarpusavio partnerių tinkluose;
  • BGP bendruomenės parametrų naudojimas ir filtravimas pagal juos taip pat gali būti naudojami siekiant apriboti maršruto informacijos paskirstymą;
  • BGP stebėjimas ir BGP duomenų palyginimas su stebimu srautu yra vienas iš ankstyvo DDoS atakų ir anomalijų aptikimo mechanizmų;
  • filtravimas pagal TTL (Time-to-Live) parametrą – naudojamas BGP partneriams patikrinti.

Jei BGP ataka paleidžiama ne iš bendravimo partnerio tinklo, o iš tolimesnio tinklo, tada BGP paketų TTL parametras bus mažesnis nei 255. Galite sukonfigūruoti vežėjo pasienio maršrutizatorius, kad jie atsisakytų visų BGP paketų su TTL. vertė< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Duomenų plokštumos apsauga tinkle (duomenų plokštuma)

Nepaisant to, kad svarbu apsaugoti administravimo ir valdymo lygius, didžioji dalis srauto telekomunikacijų operatoriaus tinkle yra duomenys, tranzitas arba skirtas šio operatoriaus abonentams.

Unicast atvirkštinio kelio persiuntimas (uRPF)

Dažnai atakos pradedamos naudojant klaidinimo technologiją – šaltinio IP adresai suklastoti, kad nebūtų galima atsekti atakos šaltinio. Suklastoti IP adresai gali būti:

  • iš faktiškai naudojamos adresų erdvės, bet kitame tinklo segmente (segmente, iš kurio buvo paleista ataka, šie netikri adresai nėra nukreipiami);
  • iš adresų erdvės, nenaudojamos tam tikrame duomenų perdavimo tinkle;
  • iš adresų erdvės, kuri nėra nukreipiama internete.

Maršrutizatoriuose įdiegus uRPF mechanizmą, bus išvengta paketų, kurių šaltinio adresai yra nesuderinami arba nenaudojami tinklo segmente, iš kurio jie atkeliavo į maršrutizatoriaus sąsają, nukreipimui. Ši technologija kartais leidžia gana efektyviai išfiltruoti nepageidaujamą srautą arčiausiai jo šaltinio, tai yra efektyviausiai. Daugelis DDoS atakų (įskaitant garsųjį Smurf and Tribal Flood Network) naudoja klaidinimo ir nuolat keičiamų šaltinio adresų mechanizmą, kad būtų apgaudinėjamos standartinės saugos ir srauto filtravimo priemonės.

Telekomunikacijų operatoriams, teikiantiems abonentams prieigą prie interneto, naudojant uRPF mechanizmą, bus veiksmingai užkirstas kelias DDoS atakoms, naudojant klastojimo technologiją, nukreiptą jų pačių abonentų prieš interneto išteklius. Taigi DDoS ataka slopinama arčiausiai jos šaltinio, tai yra efektyviausiai.

Nuotoliniu būdu suaktyvintos juodosios skylės (RTBH)

Valdomos juodosios skylės (Remotely Triggered Blackholes) naudojamos į tinklą patenkančiam srautui „išmesti“ (sunaikinti, siųsti „į niekur“), nukreipiant šį srautą į specialias „Null 0“ sąsajas. Šią technologiją rekomenduojama naudoti tinklo krašte DDoS turintis atakuojantis srautas, kai jis patenka į tinklą. Šio metodo apribojimas (ir reikšmingas) yra tas, kad jis taikomas visam srautui, skirtam konkrečiam kompiuteriui ar kompiuteriams, kurie yra atakos taikinys. Taigi, šis metodas gali būti naudojamas tais atvejais, kai vienas ar keli pagrindiniai kompiuteriai patiria masinę ataką, kuri sukelia problemų ne tik užpultam kompiuteriui, bet ir kitiems abonentams bei visam telekomunikacijų operatoriaus tinklui.

Juodosios skylės gali būti valdomos rankiniu būdu arba naudojant BGP protokolą.

QoS politikos platinimas per BGP (QPPB)

QoS valdymas per BGP (QPPB) leidžia valdyti srauto, skirto konkrečiai autonominei sistemai arba IP adresų blokui, prioritetines strategijas. Šis mechanizmas gali būti labai naudingas telekomunikacijų operatoriams ir didelėms įmonėms, įskaitant nepageidaujamo srauto arba srauto, kuriame yra DDoS ataka, prioriteto lygį.

Kriauklės skylės

Kai kuriais atvejais nebūtina visiškai pašalinti srauto naudojant juodąsias skyles, o nukreipti jį nuo pagrindinių kanalų ar išteklių tolesniam stebėjimui ir analizei. Būtent tam yra skirti „nukreipimo kanalai“ arba „Sink Holes“.

Kriauklės angos dažniausiai naudojamos šiais atvejais:

  • nukreipti ir analizuoti srautą paskirties adresais, kurie priklauso telekomunikacijų operatoriaus tinklo adresų erdvei, bet nėra faktiškai naudojami (nebuvo priskirti nei įrangai, nei vartotojams); toks srautas a priori yra įtartinas, nes dažnai rodo, kad užpuolikas, neturintis išsamios informacijos apie jo struktūrą, bando nuskaityti arba įsiskverbti į jūsų tinklą;
  • nukreipti srautą iš atakos taikinio, kuris yra faktiškai telekomunikacijų operatoriaus tinkle veikiantis išteklius, jo stebėjimui ir analizei.

DDoS apsauga naudojant specialius įrankius

„Cisco Clean Pipes“ koncepcija yra pramonės pradininkė

Šiuolaikinę apsaugos nuo DDoS atakų koncepciją sukūrė (taip, taip, nenustebsite! :)) Cisco Systems. „Cisco“ sukurta koncepcija vadinama „Cisco Clean Pipes“. Beveik prieš 10 metų detaliai išplėtotoje koncepcijoje buvo gana detaliai aprašyti pagrindiniai apsaugos nuo eismo anomalijų principai ir technologijos, kurių dauguma tebetaiko ir šiandien, taip pat ir kitų gamintojų.

„Cisco Clean Pipes“ koncepcija apima šiuos DDoS atakų aptikimo ir mažinimo principus.

Parenkami taškai (tinklo atkarpos), kurių srautas analizuojamas siekiant nustatyti anomalijas. Priklausomai nuo to, ką saugome, tokie taškai gali būti telekomunikacijų operatoriaus jungtys su aukštesnio lygio operatoriais, žemesnio lygio operatorių ar abonentų prisijungimo taškai, kanalai, jungiantys duomenų apdorojimo centrus prie tinklo.

Specialūs detektoriai analizuoja srautą šiuose taškuose, sukuria (tiria) srauto profilį įprastoje būsenoje, o atsiradus DDoS atakai ar anomalijai ją aptinka, tiria ir dinamiškai formuoja jo charakteristikas. Toliau informaciją analizuoja sistemos operatorius, o atakos slopinimo procesas pradedamas pusiau automatiniu arba automatiniu režimu. Slopinimas yra tai, kai srautas, skirtas „aukai“, dinamiškai nukreipiamas per filtravimo įrenginį, kuriame detektoriaus sukurti filtrai taikomi šiam srautui ir atspindi individualų šios atakos pobūdį. Išvalytas srautas įvedamas į tinklą ir siunčiamas gavėjui (todėl ir atsirado „Clean Pipes“ pavadinimas - abonentas gauna „švarų kanalą“, kuriame nėra atakos).

Taigi visas apsaugos nuo DDoS atakų ciklas apima šiuos pagrindinius etapus:

  • Eismo valdymo charakteristikų mokymas (profiliavimas, pradinis mokymasis)
  • Išpuolių ir anomalijų aptikimas (aptikimas)
  • Eismo nukreipimas į valymo įrenginį (nukreipimas)
  • Srauto filtravimas atakoms slopinti (sumažinimas)
  • Srauto įvedimas atgal į tinklą ir siuntimas gavėjui (Injection).

Keletas funkcijų.
Dviejų tipų prietaisai gali būti naudojami kaip detektoriai:

  • „Cisco Systems“ gaminami detektoriai yra „Cisco Traffic Anomally Detector Services“ moduliai, skirti montuoti „Cisco 6500/7600“ korpuse.
  • Arbor Networks gaminami detektoriai yra Arbor Peakflow SP CP įrenginiai.

Žemiau yra lentelė, kurioje lyginami Cisco ir Arbor detektoriai.

Parametras

„Cisco“ eismo anomalijų detektorius

Arbor Peakflow SP CP

Eismo informacijos gavimas analizei

Naudoja Cisco 6500/7600 važiuoklei priskirto srauto kopiją

Naudojami iš maršrutizatorių gaunami srauto duomenų atranka (1: 1, 1: 1 000, 1: 10 000 ir kt.)

Naudojami identifikavimo principai

Parašo analizė (netinkamo naudojimo aptikimas) ir anomalijų aptikimas (dinamiškasprofiliavimas)

Visų pirma anomalijų aptikimas; naudojama parašo analizė, tačiau parašai yra bendro pobūdžio

Formos koeficientas

aptarnavimo moduliai Cisco 6500/7600 korpuse

atskiri įrenginiai (serveriai)

Spektaklis

Analizuojamas srautas iki 2 Gbit/s

Praktiškai neribotas (mėginių ėmimo dažnis gali būti sumažintas)

Mastelio keitimas

Įdiegti iki 4 moduliųCiscoDetektoriusS.M.į vieną važiuoklę (tačiau moduliai veikia nepriklausomai vienas nuo kito)

Galimybė vienoje analizės sistemoje naudoti kelis įrenginius, iš kurių vienam priskiriamas Leader statusas

Tinklo srauto ir maršruto stebėjimas

Funkcionalumo praktiškai nėra

Funkcionalumas labai išvystytas. Daugelis telekomunikacijų operatorių perka „Arbor Peakflow SP“ dėl gilių ir sudėtingų srauto stebėjimo ir maršruto tinkle funkcijų.

Portalo teikimas (individuali sąsaja abonentui, leidžianti stebėti tik su juo tiesiogiai susijusią tinklo dalį)

Nepateikta

Jeigu. Tai rimtas šio sprendimo privalumas, nes telekomunikacijų operatorius gali parduoti savo abonentams individualias DDoS apsaugos paslaugas.

Suderinami eismo valymo įrenginiai (atakos slopinimas)

Cisco Apsaugos paslaugų modulis

 Arbor Peakflow SP TMS; Cisco apsaugos paslaugų modulis.
Duomenų centrų apsauga prisijungus prie interneto Abonentinių tinklų sujungimų su telekomunikacijų operatoriaus tinklu stebėjimas Išpuolių aptikimasprieš srovę-telekomunikacijų operatoriaus tinklo jungtys su aukštesnio lygio teikėjų tinklais Telekomunikacijų operatoriaus magistralės stebėjimas
Paskutinėje lentelės eilutėje rodomi „Cisco Systems“ rekomendavo „Cisco“ ir „Arbor“ detektorių naudojimo scenarijai. Šie scenarijai pavaizduoti toliau pateiktoje diagramoje.

Kaip eismo valymo įrenginį „Cisco“ rekomenduoja naudoti „Cisco Guard“ aptarnavimo modulį, kuris yra įdiegtas „Cisco 6500/7600“ važiuoklėje ir, gavus komandą iš „Cisco Detector“ arba „Arbor Peakflow SP CP“, srautas dinamiškai nukreipiamas, išvalomas ir vėl įleidžiamas į tinklas. Peradresavimo mechanizmai yra arba BGP naujinimai į aukštesnio srauto maršrutizatorius, arba tiesioginės valdymo komandos prižiūrėtojui naudojant patentuotą protokolą. Naudojant BGP naujinimus, prieš srovę nukreiptam kelvedžiui suteikiama nauja nex-hop reikšmė srautui, kuriame yra ataka, kad šis srautas būtų nukreiptas į valymo serverį. Tuo pačiu metu reikia pasirūpinti, kad ši informacija neleistų sukurti kilpos (kad pasrovinis maršrutizatorius, įeidamas į jį išvalytą srautą, nebandytų šio srauto grąžinti į kliringo įrenginį). . Norėdami tai padaryti, gali būti naudojami mechanizmai, skirti valdyti BGP naujinimų platinimą naudojant bendruomenės parametrą arba GRE tunelių naudojimą įeinant į išvalytą srautą.

Tokia padėtis egzistavo tol, kol „Arbor Networks“ reikšmingai išplėtė „Peakflow SP“ produktų liniją ir pradėjo į rinką įeiti su visiškai nepriklausomu sprendimu apsisaugoti nuo DDoS atakų.

Pristatytas Arbor Peakflow SP TMS

Prieš keletą metų „Arbor Networks“ nusprendė sukurti savo produktų liniją, skirtą apsaugoti nuo DDoS atakų savarankiškai ir neatsižvelgdama į šios srities „Cisco“ plėtros tempą ir politiką. „Peakflow SP CP“ sprendimai turėjo esminių pranašumų, palyginti su „Cisco Detector“, nes jie analizavo srauto informaciją, galėdami reguliuoti mėginių ėmimo dažnį, todėl neturėjo jokių apribojimų naudoti telekomunikacijų operatorių tinkluose ir magistraliniuose kanaluose (skirtingai nei „Cisco Detector“, kuri analizuoja eismas). Be to, pagrindinis „Peakflow SP“ pranašumas buvo galimybė operatoriams parduoti abonentams individualią paslaugą, skirtą jų tinklo segmentams stebėti ir apsaugoti.

Dėl šių ir kitų priežasčių „Arbor“ gerokai išplėtė „Peakflow SP“ produktų liniją. Pasirodė keletas naujų įrenginių:

Peakflow SP TMS (grėsmių valdymo sistema)- slopina DDoS atakas per daugiapakopį filtravimą, pagrįstą duomenimis, gautais iš Peakflow SP CP ir ASERT laboratorijos, priklausančios Arbor Networks, kuri stebi ir analizuoja DDoS atakas internete;

Peakflow SP BI (verslo informacija)- įrenginiai, užtikrinantys sistemos mastelį, didinantys stebimų loginių objektų skaičių ir užtikrinantys renkamų bei analizuojamų duomenų dubliavimą;

Peakflow SP PI (portalo sąsaja)- įrenginiai, kurie suteikia daugiau abonentų, kuriems suteikiama individuali sąsaja, skirta valdyti savo saugumą;

Peakflow SP FS (srauto cenzorius)- įrenginiai, užtikrinantys abonentų maršrutizatorių, jungčių prie tolesnių tinklų ir duomenų centrų stebėjimą.

„Arbor Peakflow SP“ sistemos veikimo principai iš esmės išlieka tokie patys kaip „Cisco Clean Pipes“, tačiau „Arbor“ reguliariai kuria ir tobulina savo sistemas, todėl šiuo metu „Arbor“ produktų funkcionalumas daugeliu atžvilgių yra geresnis nei „Cisco“, įskaitant našumą. .

Šiandien maksimalų Cisco Guard našumą galima pasiekti sukūrus 4 Guard modulių grupę vienoje Cisco 6500/7600 korpuse, o pilnas šių įrenginių grupavimas nėra įgyvendintas. Tuo pačiu metu geriausi Arbor Peakflow SP TMS modeliai turi iki 10 Gbps našumą ir savo ruožtu gali būti sugrupuoti.

Po to, kai „Arbor“ pradėjo pozicionuoti kaip nepriklausomas žaidėjas DDoS atakų aptikimo ir slopinimo rinkoje, „Cisco“ pradėjo ieškoti partnerio, kuris suteiktų jai taip reikalingą tinklo srauto duomenų stebėjimą, bet nebūtų tiesioginis. konkurentas. Tokia kompanija buvo „Narus“, kuri gamina eismo stebėjimo sistemas, pagrįstas srautų duomenimis („NarusInsight“), ir sudarė partnerystę su „Cisco Systems“. Tačiau ši partnerystė nesulaukė rimtos plėtros ir buvimo rinkoje. Be to, remiantis kai kuriais pranešimais, „Cisco“ neplanuoja investuoti į savo „Cisco Detector“ ir „Cisco Guard“ sprendimus, iš tikrųjų šią nišą palikdama „Arbor Networks“.

Kai kurios Cisco ir Arbor sprendimų funkcijos

Verta atkreipti dėmesį į kai kurias „Cisco“ ir „Arbor“ sprendimų ypatybes.

  1. „Cisco Guard“ gali būti naudojamas kartu su detektoriumi arba atskirai. Pastaruoju atveju jis yra įdiegtas in-line režimu ir atlieka detektoriaus funkcijas, analizuoja srautą, o prireikus įjungia filtrus ir išvalo srautą. Šio režimo trūkumas yra tas, kad, pirma, pridedamas papildomas galimo gedimo taškas, antra, papildomas srauto uždelsimas (nors jis yra mažas, kol neįjungiamas filtravimo mechanizmas). Rekomenduojamas „Cisco Guard“ režimas yra laukti komandos, nukreipiančios srautą su ataka, filtruoti ir įvesti atgal į tinklą.
  2. „Arbor Peakflow SP TMS“ įrenginiai taip pat gali veikti be rampos arba in-line režimu. Pirmuoju atveju įrenginys pasyviai laukia komandos, nukreipiančios srautą su ataka, kad jį išvalytų ir vėl įvestų į tinklą. Antruoju, jis perduoda visą srautą per save, pagal jį generuoja duomenis Arborflow formatu ir perkelia juos į Peakflow SP CP analizei ir atakų aptikimui. Arborflow yra formatas, panašus į Netflow, bet modifikuotas Arbor savo Peakflow SP sistemoms. Eismo stebėjimą ir atakų aptikimą atlieka Peakflow SP CP pagal Arborflow duomenis, gautus iš TMS. Kai aptinkama ataka, Peakflow SP CP operatorius duoda komandą ją nuslopinti, po kurios TMS įjungia filtrus ir išvalo srautą nuo atakos. Skirtingai nei Cisco, Peakflow SP TMS serveris negali veikti savarankiškai, jo veikimui reikalingas Peakflow SP CP serveris, kuris analizuoja srautą.
  3. Šiandien dauguma ekspertų sutinka, kad užduotys apsaugoti vietines tinklo dalis (pavyzdžiui, prijungti duomenų centrus arba prijungti tolesnius tinklus) yra veiksmingos.

Ši organizacija, be domenų vardų registravimo .tr zonoje, taip pat teikia pagrindinius ryšius su Turkijos universitetais. Atsakomybę už išpuolį prisiėmė anoniminiai hacktivistai, kaltindami Turkijos vadovybę remiant ISIS.

Pirmieji DDoS požymiai pasirodė gruodžio 14 d. ryte, iki vidurdienio sugriuvo penki NIC.tr serveriai, kuriuos užpuolė iki 40 Gbps sparta. Problema palietė ir RIPE koordinavimo centrą, kuris suteikia alternatyvią NS infrastruktūrą NIC.tr. RIPE atstovai pažymėjo, kad ataka buvo modifikuota taip, kad apeitų RIPE saugumo priemones.

Didelio masto DDoS atakos tampa efektyviausiu būdu sutrikdyti interneto paslaugas – atakų kaina nuolat mažėja, o tai leidžia padidinti galią: vos per dvejus metus vidutinė DDoS atakos galia išaugo keturis kartus iki 8 Gbps. Palyginti su vidutinėmis reikšmėmis, ataka prieš Turkijos nacionalinio domeno zoną atrodo įspūdingai, tačiau ekspertai pabrėžia, kad DDoS atakos 400 Gbps greitu metu taps norma.

Turkijos atakos išskirtinumas yra tas, kad užpuolikai pasirinko tinkamą taikinį: susitelkę į palyginti nedidelį IP adresų skaičių, vos 40 gigabitų ataka sugebėjo praktiškai sugadinti visos šalies infrastruktūrą.

Turkijos nacionalinis reagavimo į kibernetinius incidentus centras užblokavo visą srautą, ateinantį į NIC.tr serverius iš kitų šalių, todėl visos 400 000 Turkijos svetainių tapo nepasiekiamos ir visi el. pašto pranešimai buvo grąžinti jų siuntėjams. Vėliau centras nusprendė pakeisti taktiką, pasirinktinai blokuodamas įtartinus IP adresus. .tr zonos domenų DNS serveriai buvo iš naujo sukonfigūruoti, kad užklausos būtų paskirstytos tarp viešųjų ir privačių serverių, padedant Turkijos interneto tiekėjams „Superonline“ ir „Vodafone“.

Užpulti domenai grįžo į internetą tą pačią dieną, tačiau daugelis svetainių ir el. pašto paslaugų su pertrūkiais veikė kelias dienas. Nukentėjo ne tik vietinės įmonės ir vyriausybinės organizacijos, bet ir daugelis nacionalinių žiniatinklio išteklių, kurie pasirinko domeno pavadinimą .tr zonoje; iš viso tai yra apie 400 tūkstančių svetainių, iš kurių 75% yra įmonės. Turkijos nacionaliniu domenu taip pat naudojasi švietimo įstaigos, savivaldybės ir kariuomenė.

Kol „anonimas“ nepasakė, daugelis dėl DDoS atakos kaltino rusus – dėl įtemptų Turkijos ir Rusijos santykių. Vienu metu dėl panašių priežasčių Rusijos programišiai buvo įtariami prisidėję prie didelio masto kibernetinių atakų prieš Estiją (2007 m.), Gruziją (2008 m.) ir Ukrainą (2014 m.). Kai kurie ekspertai manė, kad Turkijos DDoS yra rusų atsakas į Turkijos kibernetinių grupių DDoS ataką Rusijos naujienų svetainėje Sputnik.

Anoniminis pareiškimas atėmė iš hipotezės apie „rusų pėdsakus“ pagrindą. Hacktivistai taip pat grasina atakuoti Turkijos oro uostus, bankus, vyriausybės serverius ir karines organizacijas, jei Turkija nenustos padėti ISIS.

FSB tiria baudžiamąją bylą dėl 2016 m. rudenį įvykdytos masinės programišių atakos naudojant daiktų internetą (IoT) finansų sektoriaus įrenginius, kurių taikiniai buvo Sberbank, Rosbank, Alfa-Bank, Maskvos bankas, Maskvos birža ir kiti .

Kaip rašo „Kommersant“, apie tai kalbėjo FSB direktoriaus pavaduotojas Dmitrijus Šalkovas, kalbėdamas Valstybės Dūmoje pristatant vyriausybės įstatymų paketą dėl Rusijos Federacijos ypatingos svarbos informacinės infrastruktūros (CII) saugumo.

2016 metais Rusijos oficialiuose informacijos šaltiniuose buvo užfiksuota apie 70 mln. DDoS atakų, o tai tris kartus daugiau nei pernai. Tačiau lapkričio mėnesio įsilaužėlių atakos skiriasi nuo daugumos jų, pažymėjo Šalkovas.

Anot jo, nuo lapkričio 8 iki lapkričio 14 dienos vidutinės galios DDoS atakos buvo įvykdytos prieš aštuonias organizacijas. Juose buvo naudojami vadinamieji botnetai (kompiuteriai su interneto prieiga, kuriuos įsilaužė ir kuriuos kontroliuoja įsilaužėliai), naudojant prie tinklo prijungtus daiktų interneto įrenginius, ypač žiniatinklio kameras. FSB direktoriaus pavaduotojas atkreipė dėmesį į koordinuoto atakos prieš Rusijos struktūras panašumą su šešias valandas trukusiu spalio mėnesio išpuoliu JAV, nukreiptu prieš interneto tiekėjo „Dyn“ paslaugas, dėl ko daugybė didelių Amerikos išteklių ( „Twitter“, CNN, „Spotify“, „The New York Times“ ir „Reddit“) buvo sunaikinti ilgą laiką, buvo nepasiekiami.

Tačiau išpuolių nelydėjo lėšų vagystės, o užpulti bankai paslaugų sutrikimų neužfiksavo. Po lapkričio atakų tokie incidentai nepasikartojo, pranešė Rusijos Federacijos centrinis bankas.

„Kommersant“ pažymi, kad pačios DDoS atakos nėra skirtos pinigų vogimui, jos paprastai naudojamos interneto svetainėms ir internetinės bankininkystės paslaugoms blokuoti. Glebas Cherbovas, „Digital Security“ saugumo audito skyriaus vadovo pavaduotojas, paaiškino, kad „užpuolikų valdomi įrenginiai ir serveriai yra sujungti į robotų tinklus ir yra pasirengę generuoti tinklo srautą, kuris įgauna mirtiną mastą atakuojamai sistemai“. Tačiau didžiulės DDoS atakos gali sukelti rimtų nuostolių bankams. Pavyzdžiui, paslaugų neprieinamumas gali sukelti paniką tarp indėlininkų, kurie ims masiškai atsiimti indėlius. Be to, masinės DDoS atakos dažnai naudojamos kitai veiklai užmaskuoti. Visų pirma, kol saugumo ekspertai taiso pažeidžiamumą, užpuolikai gali įsiskverbti į bankų infrastruktūrą.

Leidinio teigimu, FSB baudžiamosios bylos iškėlimas dėl programišių atakų 2016 metų lapkritį reiškia, kad įtariamieji tyrimo metu jau nustatyti. Tokios bylos tiriamos mažiausiai šešis mėnesius, tačiau realiai šis laikotarpis tęsiasi nuo dvejų iki trejų metų, pažymi leidinio šaltinis.

Šiandien pabandykime išsiaiškinti situaciją dėl Ddos atakų serveryje. Vis dėlto ši problema tikrai susikerta su prieglobos tema.

Dalykas gana nemalonus. Įsivaizduokite, vakar savo „WordPress“ įdiegiau visiškai naują papildinį ir staiga po kurio laiko, bam! - tinklaraštis naršyklėje nustoja atsidaryti. Be to, tuo pačiu metu puikiai naršo ir kitos svetainės. Mintys šliaužia – kažką supainiojau su įskiepiu. Daug kartų spustelėjau, kad iš naujo įkelčiau puslapį ir nieko neįvyksta! Tada jis tikrai pradėjo veikti, bet turėjau išgyventi keletą nemalonių minučių.

Ir šiandien pašte matau laišką iš TimeWeb techninės pagalbos. Neslėpsiu, imu ten hostingą. Ir ką slėpti, tiesiog įveskite svetainės adresą į Whois.
Laiškas yra:

"Gerbiami vartotojai.
Šiandien, 2011 m. gruodžio 2 d., 16:32 Maskvos laiku, TIMEWEB technologijos platformoje prasidėjo didžiulė DDOS ataka, kuri sutrikdė kai kurių svetainių ir serverių darbą.
TIMEWEB inžinieriai perėmė situacijos kontrolę ir iki 18:45 buvo visiškai atkurtas stabilus aikštelės veikimas..."

Nusprendžiau išsiaiškinti, iš kur jie kilę Ddos atakos serveryje ir vis dėlto kas tai yra? Ir štai ką aš iškasiau.

Ddos atakos prieš serverį – kas tai?

Pirmiausia pažvelkime į Wiki, kur mes būtume be jo:

DOS ATTACK (iš anglų k. Paslaugų atsisakymas, paslaugų atsisakymas) - ataka prieš kompiuterinę sistemą, siekiant ją sugadinti, tai yra iki tokios būsenos, kad teisėti (teisėti) sistemos vartotojai negalėtų pasiekti sistemos teikiamų išteklių (serverių, paslaugų) ar šios prieigos. yra sunku. „Priešo“ sistemos gedimas gali būti savitikslis (pavyzdžiui, populiarios svetainės padarymas neprieinamas) arba vienas iš žingsnių, siekiant perimti sistemos kontrolę (jei avarinėje situacijoje programinė įranga pateikia bet kokią svarbią informaciją – pvz., versija, programos kodo dalis ir pan. .d.).

Jei ataka vienu metu vykdoma iš daugelio kompiuterių, jie kalba apie DDOS ATTACK (iš anglų k. Paskirstytas atsisakymas teikti paslaugą, paskirstyta paslaugų atsisakymo ataka). Kai kuriais atvejais tikrą DDoS ataką sukelia teisėtas veiksmas, pavyzdžiui, populiariame interneto šaltinyje įkeliant nuorodą į svetainę, esančią ne itin produktyviame serveryje. Didelis vartotojų antplūdis viršija leistiną serverio apkrovą ir dėl to kai kuriems iš jų atsisakoma paslaugų.

Taigi, viena vertus, yra atakos objektas – tam tikras serveris ar svetainė, o iš kitos – atakos objekto DDoS ataką organizuojanti užpuolikų grupė.

Kokių tikslų siekia Ddos atakos organizatoriai?

Viena iš nekenksmingiausių priežasčių – banalios elektroninės patyčios. Situaciją apsunkina tai, kad dauguma atakų organizavimo programų yra laisvai prieinamos internete.

Nesąžininga konkurencija sukelia rimtesnių DDoS atakų. Tikslai čia yra skirtingi – sužlugdyti konkurento serverį, taip sutrikdant oponento darbą, be to, sukurti neigiamą konkurento įvaizdį rinkoje. Taip pat galima įsilaužti į serverį, nes per masinę ataką informacijos dalys programų kodų pavidalu gali prasiskverbti į viešumą.

Be to, naudojant Ddos atakos metodą, įvairios Ddos grupės gali deklaruoti savo egzistavimą arba pateikti reikalavimus ir ultimatumus serverių savininkams.

Štai keletas pavyzdžių Ddos atakos serveryje kurį radau Lurkomorye:

  • OOFR (Jungtinių Rusijos fagų organizacija), kuriai priklauso šios memų grupės: Prietaringųjų raupsuotųjų kolonija, „LiveJournal“ kritusi dalis ir, žinoma, vadovaujama Upyachka.

Pagrindinės OPFR aukos buvo:

  1. www.mail.ru (projektui BEETLES),
  2. www.gay.com (už tai, kad esate gėjus),
  3. www.4chan.org (už dievo „Onotole“ įžeidimą),
  4. www.wikipedia.org (už straipsnį apie UPCHK, kuriame buvo įžeidimas kačių atžvilgiu (Kote), kurio moderatorius nepašalino per mėnesį)

Daugelis organizacijų, dirbančių apsaugos nuo DDoS atakų srityje, nepaisant pasiekimų šioje srityje, vis dar pripažįsta didėjantį grėsmės pavojų, daugiausia dėl atakų organizavimo paprastumo.

SUSIJUokime REZULTATAI:

Mus, eilinius internautus, labiausiai turėtų domėtis, kaip apsaugą nuo kibernetinių atakų užtikrina tie prieglobos serveriai, kuriuose nuomojame prieglobą savo sumanytams – svetainėms. Kaip matome šiuo konkrečiu atveju, „TimeWeb“ gana greitai išsprendė problemą. Suteikiu jam antrą pliusą už tai, kad apie tai pranešau paštu.

Beje, neseniai „TimeWeb“ daviau dar vieną paprastą testą.

Štai viskas apie Ddos atakas šiandien.

Netrukus pakalbėsime apie tai, kas tai yra ir kaip organizuojama apsauga nuo kibernetinių atakų.