Atacurile masive DDOS. Noi atacuri DDoS masive

Un atac în timpul căruia utilizatorii nu pot accesa anumite resurse se numește atac DDoS sau problemă de refuzare a serviciului. Caracteristica principală a unor astfel de atacuri de hackeri sunt solicitările simultane de la un număr mare de computere din întreaga lume și sunt direcționate în principal către serverele companiilor bine protejate sau organizațiilor guvernamentale, mai rar către resurse necomerciale unice.

Un computer care se infectează devine ca un „zombi”, iar hackerii, folosind câteva sute sau chiar zeci de mii de astfel de „zombi”, provoacă o defecțiune în funcționarea resurselor (denial of service).

Pot exista multe motive pentru a efectua atacuri DDoS. Să încercăm să le identificăm pe cele mai populare și, în același timp, să răspundem la întrebările: „Atacul DDoS - ce este, cum să te protejezi, care sunt consecințele sale și prin ce mijloace se realizează?”

Competiție

Internetul a fost multă vreme o sursă de idei de afaceri, implementarea de proiecte mari și alte modalități de a câștiga destul de mulți bani, astfel încât un atac DDoS poate fi efectuat la comandă. Adică, dacă o organizație dorește să o elimine atunci când apare un concurent, atunci pur și simplu apelează la un hacker (sau la un grup de ei) cu o sarcină simplă - să paralizeze munca unei companii inacceptabile prin resursele de internet (atac DDoS asupra unui server sau site web).

În funcție de scopurile și obiectivele specifice, un astfel de atac se stabilește pentru o anumită perioadă și cu utilizarea forței adecvate.

Fraudă

Destul de des, un atac DDoS asupra unui site web este inițiat de hackeri pentru a bloca sistemul și a obține acces la date personale sau alte date importante. După ce atacatorii paralizează sistemul, pot cere o sumă de bani pentru a restabili resursele atacate.

Mulți antreprenori de pe internet sunt de acord cu termenii propuși, justificându-și acțiunile cu perioade de nefuncționare și pierderi uriașe - este mai ușor să plătești o sumă mică unui escroc decât să pierzi un profit semnificativ pentru fiecare zi de nefuncționare.

Divertisment

O mulțime de utilizatori, doar pentru curiozitate sau distracție, sunt interesați de: „Atacul DDoS – ce este și cum se face?” Prin urmare, nu este neobișnuit ca atacatorii începători să organizeze astfel de atacuri asupra resurselor aleatorii pentru distracție și un test de forță.

Alături de motive, atacurile DDoS au propriile caracteristici de clasificare.

  1. Lățimi de bandă. Astăzi, aproape fiecare computer este echipat fie cu o rețea locală, fie pur și simplu conectat la Internet. Prin urmare, cazurile de inundare a rețelei nu sunt neobișnuite - un număr mare de solicitări cu un sistem incorect format și lipsit de sens către resurse sau echipamente specifice, cu scopul de a eșec sau defectare ulterioară a hard disk-urilor, memoriei etc.).
  2. Epuizarea sistemului. Un astfel de atac DDoS pe serverul Samp este efectuat pentru a captura memoria fizică, timpul procesorului și alte resurse de sistem, din cauza lipsei cărora obiectul atacat pur și simplu nu poate funcționa pe deplin.
  3. buclă. Validarea nesfârșită a datelor și alte cicluri, care acționează „în cerc”, fac obiectul să cheltuiască o mulțime de resurse, poluând astfel memoria până când este complet epuizată.
  4. Atacurile false. O astfel de organizație vizează declanșarea falsă a sistemelor de protecție, ceea ce duce în final la blocarea unor resurse.
  5. Protocolul HTTP. Hackerii trimit pachete HTTP de capacitate redusă cu criptare specială, resursa, desigur, nu vede că este organizat un atac DDoS asupra ei, programul server, făcându-și treaba, trimite pachete cu o capacitate mult mai mare ca răspuns, înfundând astfel victima. lățime de bandă, ceea ce duce din nou la eșecul serviciilor.
  6. atacul ștrumfilor. Aceasta este una dintre cele mai periculoase specii. Hackerul trimite victimei un pachet ICMP fals printr-un canal de difuzare, unde adresa victimei este înlocuită cu adresa atacatorului și toate nodurile încep să trimită un răspuns la cererea de ping. Acest atac DDoS este un program care vizează utilizarea unei rețele mari, adică o solicitare procesată de 100 de computere va fi amplificată de 100 de ori.
  7. Inundație UDP. Acest tip de atac este oarecum similar cu cel anterior, dar în loc de pachete ICMP, atacatorii folosesc pachete UDP. Esența acestei metode este de a schimba adresa IP a victimei cu adresa hackerului și de a încărca complet lățimea de bandă, ceea ce va duce și la o defecțiune a sistemului.
  8. SYN inundație. Atacatorii încearcă să lanseze simultan un număr mare de conexiuni TCP prin canalul SYN cu o adresă de retur incorectă sau complet lipsă. După mai multe astfel de încercări, majoritatea sistemelor de operare pun în coadă conexiunea problematică și numai după un anumit număr de încercări o închid. Fluxul canalului SYN este destul de mare și, în curând, după multe astfel de încercări, nucleul victimei refuză să deschidă orice conexiune nouă, blocând întreaga rețea să funcționeze.
  9. „Pachete grele”. Acest tip oferă un răspuns la întrebarea: „Ce este un atac DDoS pe server?” Hackerii trimit pachete către serverul utilizatorului, dar lățimea de bandă nu se saturează, acțiunea este direcționată doar către timpul procesorului. Drept urmare, astfel de pachete duc la o defecțiune a sistemului și, la rândul său, la resursele acestuia.
  10. Fișiere jurnal. Dacă sistemele de cotă și rotație au găuri de securitate, atacatorii pot trimite pachete mari, ocupând astfel tot spațiul liber de pe hard disk-urile serverului.
  11. Cod program. Hackerii cu mare experiență pot studia pe deplin structura serverului victimei și pot lansa algoritmi speciali (atac DDoS - program de exploatare). Astfel de atacuri vizează în principal proiecte comerciale bine protejate ale întreprinderilor și organizațiilor din diverse domenii și domenii. Atacatorii găsesc găuri în cod și execută instrucțiuni nevalide sau alți algoritmi excepționali care provoacă blocarea sistemului sau a serviciului.

Atacul DDoS: ce este și cum să te protejezi

Există multe metode de protecție împotriva atacurilor DDoS. Și toate pot fi împărțite în patru părți: pasiv, activ, reacționar și preventiv. Despre care vom vorbi mai detaliat mai târziu.

Avertizare

Ceea ce este nevoie aici este prevenirea cauzelor în sine, care ar putea provoca un atac DDoS. Acest tip include unele vrăjmășii personale, dezacorduri juridice, concurență și alți factori care provoacă o atenție „creștetă” pentru dvs., afacerea dvs. etc.

Dacă răspunzi la timp acestor factori și trageți concluziile adecvate, puteți evita multe situații neplăcute. Această metodă poate fi atribuită mai mult problemei decât laturii tehnice a problemei.

Raspuns

Dacă atacurile asupra resurselor dumneavoastră continuă, atunci trebuie să găsiți sursa problemelor dumneavoastră - clientul sau contractantul - folosind atât pârghiile legale, cât și cele tehnice. Unele firme oferă servicii de căutare a intrușilor într-un mod tehnic. Pe baza calificărilor specialiștilor care se ocupă de această problemă, puteți găsi nu numai un hacker care efectuează un atac DDoS, ci și clientul însuși.

Protecție software

Unii producători de hardware și software, împreună cu produsele lor, pot oferi destul de multe soluții eficiente, iar un atac DDoS asupra site-ului va fi oprit din răsputeri. Un server mic separat poate acționa ca un apărător tehnic, menit să contracareze atacurile DDoS mici și medii.

Această soluție este perfectă pentru întreprinderile mici și mijlocii. Pentru companiile, întreprinderile și agențiile guvernamentale mai mari, există complexe hardware întregi pentru combaterea atacurilor DDoS, care, alături de prețul ridicat, au caracteristici de protecție excelente.

Filtrare

Blocarea și filtrarea cu atenție a traficului de intrare nu numai că va reduce probabilitatea unui atac. În unele cazuri, un atac DDoS pe un server poate fi complet exclus.

Există două moduri principale de a filtra traficul - firewall-uri și rutare completă prin liste.

Filtrarea listelor (ACL) vă permite să filtrați protocoalele minore fără a perturba TCP și fără a încetini accesul la resursa protejată. Cu toate acestea, dacă hackerii folosesc rețele bot sau solicitări de înaltă frecvență, atunci această metodă va fi ineficientă.

O protecție mult mai bună împotriva atacurilor DDoS, dar singurul lor dezavantaj este că sunt destinate doar rețelelor private și necomerciale.

Oglindă

Esența acestei metode este redirecționarea înapoi a întregului trafic de atacatori. Acest lucru se poate face prin a avea servere puternice și specialiști competenți care nu numai că vor redirecționa traficul, dar vor putea și dezactiva echipamentul atacatorului.

Metoda nu va funcționa dacă există erori în serviciile de sistem, codurile de program și alte aplicații de rețea.

Căutați vulnerabilități

Acest tip de protecție are ca scop remedierea exploit-urilor, eliminarea erorilor din aplicațiile și sistemele web, precum și alte servicii responsabile de traficul în rețea. Metoda este inutilă împotriva atacurilor de inundații care vizează în mod specific aceste vulnerabilități.

Resurse moderne

Această metodă nu poate garanta protecție 100%. Dar vă permite să efectuați mai eficient alte măsuri (sau un set dintre acestea) pentru a preveni atacurile DDoS.

Distribuția sistemelor și resurselor

Duplicarea resurselor și distribuția sistemelor va permite utilizatorilor să lucreze cu datele dvs., chiar dacă în acel moment serverul dvs. este atacat DDoS. Pentru distribuție, puteți utiliza diferite echipamente de server sau de rețea și, de asemenea, se recomandă separarea fizică a serviciilor în diferite sisteme redundante (centre de date).

Această metodă de protecție este cea mai eficientă până în prezent, cu condiția să fi fost creat designul arhitectural corect.

Evaziune

Caracteristica principală a acestei metode este ieșirea și împărțirea obiectului atacat (numele de domeniu sau adresa IP), adică toate resursele de lucru situate pe același site trebuie să fie împărțite și localizate pe adrese de rețea ale unor terți sau chiar pe teritoriul alt stat. Acest lucru vă va permite să supraviețuiți oricărui atac și să păstrați structura IT internă.

Servicii de protecție DDoS

După ce am povestit totul despre o astfel de nenorocire precum un atac DDoS (ce este și cum să-i facem față), putem în sfârșit să oferim un sfat bun. Multe organizații mari își oferă serviciile pentru a preveni și preveni astfel de atacuri. Practic, astfel de companii folosesc o întreagă gamă de măsuri și diverse mecanisme pentru a vă proteja afacerea de majoritatea atacurilor DDoS. Specialiști și experți în domeniul lor lucrează acolo, așadar, dacă resursa dvs. este dragă, atunci cea mai bună opțiune (deși nu ieftină) ar fi să contactați una dintre aceste companii.

Cum se desfășoară atacurile DDoS de tip „do-it-yourself”.

Conștient, înseamnă înarmat - un principiu adevărat. Dar amintiți-vă că organizarea intenționată a unui atac DDoS de către o persoană sau un grup de persoane este o infracțiune, astfel încât acest material este furnizat doar în scop informativ.

US Threat Prevention IT a dezvoltat un program pentru a testa toleranța la încărcare a serverului și fezabilitatea și remedierea atacurilor DDoS.

Desigur, mințile „fierbinte” au întors această armă împotriva dezvoltatorilor înșiși și împotriva a ceea ce luptau. Numele de cod al produsului este LOIC. Acest program este disponibil gratuit și, în principiu, nu este interzis de lege.

Interfața și funcționalitatea programului este destul de simplă, oricine este interesat de un atac DDoS îl poate folosi.

Cum să faci totul singur? În liniile interfeței, este suficient să introduceți victimele IP, apoi să setați fluxurile TCP și UDP și numărul de solicitări. Voila – după ce a apăsat butonul râvnit, a început atacul!

Orice resurse serioase, desigur, nu vor avea de suferit de pe urma acestui software, dar cele mici pot întâmpina unele probleme.

Introducere

Voi face imediat o rezervare că, atunci când am scris această recenzie, m-am concentrat în primul rând pe un public care înțelege specificul funcționării operatorilor de telecomunicații și a rețelelor lor de transmisie de date. Acest articol prezintă principiile de bază ale protecției împotriva atacurilor DDoS, istoria dezvoltării acestora în ultimul deceniu și situația actuală.

Ce este DDoS?

Probabil că astăzi, dacă nu orice „utilizator”, atunci cel puțin fiecare „specialist IT” știe ce sunt atacurile DDoS. Dar mai trebuie spuse câteva cuvinte.

Atacurile DDoS (Distributed Denial of Service - atacuri distribuite de denial of service) sunt atacuri asupra sistemelor informatice (resurse de rețea sau canale de comunicare) care vizează să le facă inaccesibile utilizatorilor legitimi. Atacurile DDoS constau în trimiterea simultană a unui număr mare de solicitări către o anumită resursă de la unul sau mai multe computere situate pe Internet. Dacă mii, zeci de mii sau milioane de computere încep simultan să trimită cereri către un anumit server (sau serviciu de rețea), atunci serverul fie va eșua, fie lățimea de bandă a canalului de comunicație către acest server nu va fi suficientă. În ambele cazuri, utilizatorii de Internet nu vor putea accesa serverul atacat, sau chiar toate serverele și alte resurse conectate printr-un canal de comunicare blocat.

Unele caracteristici ale atacurilor DDoS

Împotriva cui și în ce scop sunt lansate atacurile DDoS?

Atacurile DDoS pot fi lansate împotriva oricărei resurse prezente pe Internet. Cel mai mare prejudiciu din atacurile DDoS îl primesc organizațiile a căror activitate este direct legată de prezența pe Internet - bănci (furnizează servicii de internet banking), magazine online, platforme de tranzacționare, licitații, precum și alte activități a căror activitate și eficiență depinde în mod semnificativ de reprezentarea pe Internet (agenții de turism, companii aeriene, producători de hardware și software etc.) Atacurile DDoS sunt lansate în mod regulat împotriva resurselor unor astfel de giganți ai industriei IT globale precum IBM, Cisco Systems, Microsoft și alții. Au fost observate atacuri DDoS masive împotriva eBay.com, Amazon.com, a multor bănci și organizații cunoscute.

Foarte des, atacurile DDoS sunt lansate împotriva reprezentărilor web ale organizațiilor politice, instituțiilor sau personalităților individuale binecunoscute. Mulți oameni știu despre atacurile masive și prelungite DDoS care au fost lansate împotriva site-ului președintelui Georgiei în timpul războiului georgiano-osetian din 2008 (site-ul web a fost indisponibil timp de câteva luni începând cu august 2008), împotriva serverelor guvernului estoniei. (în primăvara anului 2007, în timpul revoltelor asociate cu transferul Soldatului de Bronz), despre atacuri periodice din segmentul nord-coreean al internetului împotriva site-urilor americane.

Principalele obiective ale atacurilor DDoS sunt fie obținerea de profit (direct sau indirect) prin șantaj și extorcare, fie urmărirea intereselor politice, escaladarea situației, răzbunarea.

Care sunt mecanismele de lansare a atacurilor DDoS?

Cea mai populară și periculoasă modalitate de a lansa atacuri DDoS este utilizarea botnet-urilor (BotNets). Un botnet este un set de computere pe care sunt instalate file software speciale (boți), tradus din engleză o botnet este o rețea de roboți. Boții sunt de obicei dezvoltați de hackeri individual pentru fiecare botnet și au scopul principal de a trimite cereri către o anumită resursă de pe Internet printr-o comandă primită de la Botnet Command and Control Server. Serverul de control botnet este controlat de hacker sau de persoana care a cumpărat botnet-ul de la hacker și are capacitatea de a lansa un atac DDoS. Boții se răspândesc pe Internet în diverse moduri, de obicei atacând computere cu servicii vulnerabile și instalând marcaje de software pe ele, sau înșelând utilizatorii și forțându-i să instaleze roboți sub pretextul furnizării altor servicii sau software care funcționează complet inofensiv sau chiar util. caracteristică. Există multe modalități de a distribui roboți, noi modalități sunt inventate în mod regulat.

Dacă botnet-ul este suficient de mare - zeci sau sute de mii de computere - atunci trimiterea simultană a cererilor chiar și destul de legitime de la toate aceste computere către un anumit serviciu de rețea (de exemplu, un serviciu web pe un anumit site) va duce la epuizare. de resurse fie ale serviciului sau serverului însuși, fie până la epuizarea capabilităților canalului de comunicație. În orice caz, serviciul va fi indisponibil utilizatorilor, iar proprietarul serviciului va suferi pierderi directe, indirecte și de reputație. Și dacă fiecare dintre computere trimite nu o singură cerere, ci zeci, sute sau mii de solicitări pe secundă, atunci forța de impact a atacului crește de multe ori, ceea ce face posibilă dezactivarea chiar și a celor mai productive resurse sau canale de comunicare.

Unele atacuri sunt lansate în moduri mai „inofensive”. De exemplu, un flash mob de utilizatori ai anumitor forumuri care, prin acord, lansează „ping-uri” sau alte solicitări de pe computerele lor către un anumit server la un moment dat. Un alt exemplu este plasarea unui link către un site web pe resurse populare de internet, ceea ce determină un aflux de utilizatori către serverul țintă. Dacă un link „fals” (pare un link către o resursă, dar de fapt se leagă la un server complet diferit) face legătura cu site-ul web al unei organizații mici, dar este găzduit pe servere sau forumuri populare, un astfel de atac poate provoca un aflux de vizitatori asta nu este de dorit pentru acest site. Atacurile ultimelor două tipuri duc rareori la încetarea disponibilității serverelor pe site-uri de găzduire organizate corespunzător, cu toate acestea, au existat astfel de exemple și chiar și în Rusia în 2009.

Vor ajuta mijloacele tehnice tradiționale de protecție împotriva atacurilor DDoS?

O caracteristică a atacurilor DDoS este aceea că constau în multe solicitări simultane, fiecare dintre ele fiind destul de „legală”, în plus, aceste solicitări sunt trimise de computere (infectate cu roboți), care pot aparține celor mai obișnuiți utilizatori reali sau potențiali. a serviciului sau a resursei atacate. Prin urmare, este foarte dificil să identifici și să filtrezi corect exact acele solicitări care constituie un atac DDoS folosind instrumente standard. Sistemele standard din clasa IDS / IPS (Intrusion Detection / Prevention System - un sistem de detectare / prevenire a atacurilor de rețea) nu vor găsi „corpus delicti” în aceste solicitări, nu vor înțelege că fac parte dintr-un atac, decât dacă efectuează. o analiză calitativă a anomaliilor de trafic. Și chiar dacă o fac, filtrarea solicitărilor inutile nu este, de asemenea, atât de ușoară - firewall-urile și routerele standard filtrează traficul pe baza unor liste de acces bine definite (reguli de control) și nu sunt capabile să se adapteze „dinamic” la profilul unui anumit atac. . Firewall-urile pot reglementa fluxurile de trafic pe baza unor criterii precum adresele sursă, serviciile de rețea utilizate, porturile și protocoalele. Dar utilizatorii obișnuiți de internet iau parte la un atac DDoS, trimițând cereri folosind cele mai comune protocoale - nu va interzice operatorul de telecomunicații pe toată lumea și totul la rând? Apoi pur și simplu va înceta să ofere servicii de comunicare abonaților săi și va înceta să ofere acces la resursele de rețea pe care le deservește, ceea ce, de fapt, este ceea ce inițiatorul atacului încearcă să obțină.

Mulți specialiști sunt probabil conștienți de existența unor soluții speciale de protecție împotriva atacurilor DDoS, care constau în detectarea anomaliilor în trafic, construirea unui profil de trafic și a unui profil de atac și procesul ulterior de filtrare dinamică a traficului în mai multe etape. Și despre aceste soluții voi vorbi și în acest articol, dar puțin mai târziu. Și mai întâi, vor fi discutate unele măsuri mai puțin cunoscute, dar uneori destul de eficiente, care pot fi luate pentru a suprima atacurile DDoS prin mijloacele existente ale unei rețele de transmisie a datelor și administratorilor acesteia.

Protecție împotriva atacurilor DDoS cu mijloacele existente

Există destul de multe mecanisme și „trucuri” care permit, în unele cazuri particulare, suprimarea atacurilor DDoS. Unele pot fi folosite numai dacă rețeaua de date este construită pe echipamentele unui anumit producător, altele sunt mai mult sau mai puțin universale.

Să începem cu recomandările Cisco Systems. Specialiștii acestei companii recomandă asigurarea protecției fundației rețelei (Network Foundation Protection), care include protecția nivelului de administrare a rețelei (Control Plane), a nivelului de management al rețelei (Management Plane) și protecția stratului de date din rețea ( Planul de date).

Securitatea planului de management

Termenul „nivel de administrare” acoperă tot traficul care gestionează sau monitorizează routerele și alte echipamente de rețea. Acest trafic este direcționat către router sau provine de la router. Exemple de astfel de trafic sunt sesiunile Telnet, SSH și http(s), mesajele syslog, capcanele SNMP. Cele mai bune practici generale includ:

Asigurarea securității maxime a protocoalelor de control și monitorizare, folosind criptarea și autentificarea:

  • SNMP v3 oferă caracteristici de securitate, în timp ce SNMP v1 oferă puțină sau deloc protecție, iar SNMP v2 oferă doar protecție parțială -- valorile implicite ale comunității ar trebui să fie întotdeauna modificate;
  • ar trebui folosite valori diferite pentru comunitatea publică și privată;
  • protocolul telnet transmite toate datele, inclusiv autentificarea și parola, în text clar (dacă traficul este interceptat, această informație poate fi extrasă și utilizată cu ușurință), este recomandat să folosiți întotdeauna protocolul ssh v2;
  • în mod similar, în loc de http, utilizați https pentru a accesa echipamentele; control strict al accesului la echipamente, inclusiv o politică adecvată de parole, autentificare centralizată, autorizare și contabilitate (model AAA) și autentificare locală pentru redundanță;

Implementarea modelului de acces;

Controlul conexiunilor permise după adresa sursă folosind liste de control acces;

Dezactivarea serviciilor neutilizate, dintre care multe sunt activate implicit (sau au fost uitate să fie dezactivate după diagnosticare sau setări de sistem);

Monitorizați utilizarea resurselor hardware.

Ultimele două puncte merită să insistăm mai detaliat.
Unele servicii care sunt activate implicit sau au uitat să fie dezactivate după configurarea hardware sau diagnosticarea pot fi folosite de atacatori pentru a ocoli regulile de securitate existente. Lista acestor servicii este mai jos:

  • PAD (asamblator/dezasamblator de pachete);

Desigur, înainte de a dezactiva aceste servicii, trebuie să analizați cu atenție absența nevoii lor în rețeaua dvs.

Este de dorit să se monitorizeze utilizarea resurselor echipamentelor. Acest lucru va permite, în primul rând, să sesizeze aglomerarea elementelor individuale de rețea din timp și să se ia măsuri pentru prevenirea unui accident, iar în al doilea rând, să se detecteze atacurile și anomaliile DDoS dacă detectarea lor nu este asigurată prin mijloace speciale. Cel puțin, se recomandă monitorizarea:

  • Utilizarea procesorului
  • folosirea memoriei
  • congestionarea interfețelor routerului.

Monitorizarea poate fi efectuată „manual” (monitorizarea periodică a stării echipamentului), dar bineînțeles că este mai bine să faceți acest lucru cu sisteme speciale de monitorizare a rețelei sau monitorizare a securității informațiilor (acestea din urmă includ Cisco MARS).

Protecția planului de control

Stratul de management al rețelei include tot traficul de servicii care asigură funcționarea și conectivitatea rețelei în conformitate cu topologia și parametrii dați. Exemple de trafic plan de control sunt: ​​tot traficul generat sau destinat procesorului de rută (RR), inclusiv toate protocoalele de rutare, în unele cazuri protocoalele SSH și SNMP, precum și ICMP. Orice atac asupra funcționării procesorului de rutare, și în special atacurile DDoS, pot duce la probleme semnificative și întreruperi în funcționarea rețelei. Cele mai bune practici pentru securizarea planului de control sunt descrise mai jos.

Poliția avionului de control

Constă în folosirea mecanismelor QoS (Quality of Service) pentru a acorda o prioritate mai mare controlului traficului din avion decât traficului utilizatorilor (din care atacurile fac și parte). Acest lucru va asigura funcționarea protocoalelor de serviciu și a procesorului de rutare, adică pentru a păstra topologia și conectivitatea rețelei, precum și rutarea reală și comutarea de pachete.

ACL de primire IP

Această funcționalitate vă permite să filtrați și să controlați traficul de servicii destinat ruterului și procesorului de rută.

  • sunt aplicate deja direct pe echipamentul de rutare înainte ca traficul să ajungă la procesorul de rută, asigurând protecție „personală” a echipamentului;
  • sunt aplicate după ce traficul a trecut de listele obișnuite de control acces - sunt ultimul nivel de protecție pe drumul către procesorul de rută;
  • se aplică întregului trafic (atât intern, cât și extern și tranzit în raport cu rețeaua operatorului de telecomunicații).

ACL de infrastructură

În mod normal, numai gazdele din rețeaua proprie a operatorului au nevoie de acces la adresele proprii ale routerului, dar există excepții (de exemplu, eBGP, GRE, tuneluri IPv6 peste IPv4 și ICMP). Liste de control al accesului la infrastructură:

  • sunt instalate de obicei la marginea rețelei operatorului de telecomunicații („la intrarea în rețea”);
  • sunt menite să împiedice gazdele externe să acceseze adresele infrastructurii operatorului;
  • asigura tranzitul nestingherit al traficului peste granita rețelei operatorului;
  • furnizează mecanisme de protecție de bază împotriva activității neautorizate în rețea, descrise în RFC 1918, RFC 3330, în special, protecție împotriva falsării (spoofing, utilizarea adreselor IP surse false pentru a masca la lansarea unui atac).

Autentificarea vecinului

Scopul principal al autentificării ruterului vecin este de a preveni atacurile care trimit mesaje falsificate de protocol de rutare pentru a schimba rutarea rețelei. Astfel de atacuri pot duce la acces neautorizat la rețea, la utilizarea neautorizată a resurselor rețelei și la faptul că un atacator interceptează traficul pentru a analiza și obține informațiile necesare.

Configurarea BGP

  • filtrarea prefixelor BGP (filtre de prefix BGP) - folosită pentru a se asigura că informațiile despre rutele rețelei interne a operatorului de telecomunicații nu sunt distribuite pe Internet (uneori aceste informații pot fi foarte utile pentru un atacator);
  • limitarea numărului de prefixe care pot fi primite de la un alt router (prefix limiting) - folosit pentru a proteja împotriva atacurilor DDoS, anomaliilor și defecțiunilor în rețelele partenerilor de peering;
  • utilizarea și filtrarea parametrilor comunitari BGP pot fi utilizate și pentru a limita distribuirea informațiilor de rutare;
  • Monitorizarea BGP și corelarea datelor BGP cu traficul observat este unul dintre mecanismele de detectare timpurie a atacurilor și anomaliilor DDoS;
  • filtrarea după parametrul TTL (Time-to-Live) - folosit pentru a verifica partenerii BGP.

Dacă un atac BGP este lansat nu din rețeaua partenerului de peering, ci dintr-o rețea mai îndepărtată, atunci parametrul TTL al pachetelor BGP va fi mai mic de 255.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Protecția planului de date în rețea

În ciuda importanței protejării nivelurilor de administrare și control, cea mai mare parte a traficului din rețeaua unui operator de telecomunicații este date care se află în tranzit sau sunt destinate abonaților acestui operator.

Redirecționare inversă a căii unicast (uRPF)

Adesea atacurile sunt lansate folosind tehnologia de falsificare - adresele IP sursă sunt falsificate, astfel încât sursa atacului să nu poată fi urmărită. Adresele IP falsificate pot fi:

  • din spațiul de adrese efectiv utilizat, dar într-un alt segment de rețea (în segmentul din care a fost lansat atacul, aceste adrese false nu sunt direcționate);
  • dintr-un spațiu de adrese neutilizat în rețeaua de transmisie a datelor dată;
  • dintr-un spațiu de adrese care nu este rutabil pe Internet.

Implementarea mecanismului uRPF pe routere va împiedica rutarea pachetelor cu adrese sursă care sunt incompatibile sau neutilizate în segmentul de rețea de la care au ajuns la interfața routerului. Această tehnologie face uneori posibilă filtrarea traficului nedorit destul de eficient, cât mai aproape de sursa sa, adică cel mai eficient. Multe atacuri DDoS (inclusiv binecunoscuta Rețea Smurf și Tribal Flood) folosesc mecanismul de falsificare și modificarea constantă a adreselor sursă pentru a înșela instrumentele standard de protecție și filtrare a traficului.

Utilizarea mecanismului uRPF de către operatorii de telecomunicații care oferă acces la Internet abonaților va preveni în mod eficient atacurile DDoS folosind tehnologia de falsificare direcționată de proprii abonați împotriva resurselor de internet. Astfel, un atac DDoS este suprimat cel mai aproape de sursa sa, adică cel mai eficient.

Găuri negre declanșate de la distanță (RTBH)

Găurile negre controlate (Găuri negre declanșate de la distanță) sunt folosite pentru a „elimina” (distruge, trimite „nicăieri”) traficul care intră în rețea prin direcționarea acestui trafic către interfețe speciale Null 0. Această tehnologie este recomandată pentru a fi utilizată la marginea rețelei pentru a reduce care conține trafic care atacă DDoS atunci când intră în rețea. O limitare (și una semnificativă) a acestei metode este că se aplică întregului trafic destinat unei anumite gazde sau gazde care sunt ținta atacului. Astfel, această metodă poate fi utilizată în cazurile în care una sau mai multe gazde sunt supuse unui atac masiv, care provoacă probleme nu numai gazdelor atacate, ci și altor abonați și rețelei operatorului de telecomunicații în ansamblu.

Găurile negre pot fi controlate atât manual, cât și prin protocolul BGP.

Propagarea politicii QoS prin BGP (QPPB)

QoS Control over BGP (QPPB) vă permite să controlați politicile prioritare pentru traficul destinat unui anumit sistem autonom sau unui bloc de adrese IP. Acest mecanism poate fi foarte util pentru operatorii de telecomunicații și întreprinderile mari, inclusiv pentru gestionarea nivelului de prioritate pentru traficul nedorit sau traficul care conține un atac DDoS.

Găuri pentru chiuvetă

În unele cazuri, este necesar să nu eliminați complet traficul folosind găurile negre, ci să îl deviați de la principalele canale sau resurse pentru monitorizare și analiză ulterioară. Pentru asta sunt Sink Holes.

Găurile pentru chiuvetă sunt folosite cel mai des în următoarele cazuri:

  • să devieze și să analizeze traficul cu adrese de destinație care aparțin spațiului de adrese al rețelei operatorului de telecomunicații, dar nu sunt efectiv utilizate (nu au fost alocate nici echipamentelor, nici utilizatorilor); un astfel de trafic este a priori suspect, deoarece indică adesea încercări de scanare sau pătrundere în rețeaua dvs. de către un atacator care nu deține informații detaliate despre structura acesteia;
  • să redirecționeze traficul de la ținta atacului, care este o resursă care funcționează efectiv în rețeaua operatorului de telecomunicații, pentru monitorizarea și analiza acestuia.

Protecție DDoS folosind instrumente speciale

Conceptul Cisco Clean Pipes - strămoșul industriei

Conceptul modern de protecție împotriva atacurilor DDoS a fost dezvoltat (da, da, nu veți fi surprinși! :)) de către Cisco Systems. Conceptul dezvoltat de Cisco se numește Cisco Clean Pipes („canale curățate”). Conceptul, care a fost dezvoltat în urmă cu aproape 10 ani în detaliu, a descris în detaliu principiile și tehnologiile de bază pentru protejarea împotriva anomaliilor din trafic, dintre care majoritatea sunt utilizate și astăzi, inclusiv de către alți producători.

Conceptul Cisco Clean Pipes presupune următoarele principii pentru detectarea și suprimarea atacurilor DDoS.

Sunt selectate puncte (secțiuni ale rețelei), traficul în care este analizat pentru a detecta anomalii. În funcție de ceea ce protejăm, astfel de puncte pot fi conexiuni de peering ale operatorului de telecomunicații cu operatorii din amonte, puncte de conectare ale operatorilor sau abonaților din aval, canalele de conectare a centrelor de date la rețea.

Detectoare speciale analizează traficul în aceste puncte, construiesc (studiază) un profil de trafic în starea sa normală, iar atunci când are loc un atac DDoS sau o anomalie, îl detectează, îl studiază și îi formează dinamic caracteristicile. În continuare, informațiile sunt analizate de către operatorul de sistem, iar procesul de suprimare a atacurilor este pornit în modul semi-automat sau automat. Suprimarea constă în faptul că traficul destinat „victimei” este redirecționat dinamic prin intermediul dispozitivului de filtrare, pe care se aplică acestui trafic filtre generate de detector și care reflectă natura individuală a acestui atac. Traficul curățat este injectat în rețea și trimis destinatarului (de aceea a apărut numele Clean Pipes - abonatul primește un „canal curat” care nu conține un atac).

Astfel, întregul ciclu de protecție împotriva atacurilor DDoS include următoarele etape principale:

  • Instruire privind caracteristicile controlului traficului (profilare, învățare de bază)
  • Detectarea atacurilor și anomaliilor (Detecție)
  • Redirecționarea traficului pentru a-l trece prin dispozitivul de curățare (Deviere)
  • Filtrarea traficului pentru a suprima atacurile (atenuare)
  • Introducerea traficului înapoi în rețea și trimiterea acestuia către destinatar (Injecție).

N câteva caracteristici.
Două tipuri de dispozitive pot fi utilizate ca detectoare:

  • Detectoarele fabricate de Cisco Systems sunt module Cisco Traffic Anomaly Detector Services concepute pentru instalare în șasiul Cisco 6500/7600.
  • Detectoarele fabricate de Arbor Networks sunt dispozitive Arbor Peakflow SP CP.

Mai jos este un tabel de comparație între detectoarele Cisco și Arbor.

Parametru

Detector de anomalii de trafic Cisco

Arbor Peakflow SP CP

Obțineți informații despre trafic pentru analiză

Se folosește o copie a traficului alocat șasiului Cisco 6500/7600

Utilizează datele de trafic Netflow primite de la routere, eșantionarea poate fi ajustată (1: 1, 1: 1.000, 1: 10.000 etc.)

Principii de detectare utilizate

Analiza semnăturii (detecția utilizării greșite) și detectarea anomaliilor (dinamicprofilare)

În primul rând, detectarea anomaliilor; Se utilizează analiza semnăturilor, dar semnăturile sunt generice

Factor de formă

module de service în șasiul Cisco 6500/7600

dispozitive separate (servere)

Performanţă

Trafic analizat până la 2 Gbps

Practic nelimitat (puteți reduce rata de eșantionare)

Scalabilitate

Instalarea a până la 4 moduleCiscoDetectorSMîntr-un singur șasiu (cu toate acestea, modulele funcționează independent unul de celălalt)

Abilitatea de a utiliza mai multe dispozitive într-un singur sistem de analiză, dintre care unuia i se atribuie statutul de lider

Monitorizarea traficului în rețea și a rutare

Funcționalitatea este aproape inexistentă

Functionalitatea este foarte avansata. Mulți operatori de telecomunicații cumpără Arbor Peakflow SP datorită funcționalității profunde și bine dezvoltate pentru monitorizarea traficului și rutarea în rețea

Furnizarea unui portal (o interfață individuală pentru un abonat care permite monitorizarea doar a părții din rețea direct legată de acesta)

Nu e disponibil nu e asigurat nu e prevazut

Prevăzut. Este un avantaj serios al acestei soluții, deoarece operatorul de telecomunicații poate vinde servicii individuale de protecție DDoS abonaților săi.

Dispozitive compatibile pentru curățarea traficului (suprimarea atacurilor)

Cisco Modulul Servicii de pază

 Arbor Peakflow SP TMS; Modulul Cisco Guard Services.
Protecția centrelor de date (Data Center) atunci când sunt conectate la Internet Monitorizarea conexiunilor în aval ale rețelelor de abonați la rețeaua unui operator de telecomunicații Detectarea atacurilor asupraîn amonte-conexiuni ale rețelei operatorului de telecomunicații la rețelele furnizorilor din amonte Monitorizarea coloanei vertebrale a operatorului de telecomunicații
Ultimul rând al tabelului prezintă scenarii pentru utilizarea detectorilor de la Cisco și de la Arbor, care au fost recomandate de Cisco Systems. Aceste scenarii sunt prezentate în diagrama de mai jos.

Ca dispozitiv de curățare a traficului, Cisco recomandă utilizarea modulului de serviciu Cisco Guard, care este instalat în șasiul Cisco 6500/7600 și, la o comandă primită de la Cisco Detector sau de la Arbor Peakflow SP CP, traficul este redirecționat dinamic, curățat, și reinjectat în rețea. Mecanismele de redirecționare sunt fie actualizări BGP către routerele din amonte, fie comenzi de control direct către supervizor folosind un protocol proprietar. Când se utilizează actualizări BGP, routerul din amonte primește o nouă valoare nex-hop pentru traficul care conține atacul - astfel încât acest trafic să ajungă la serverul de curățare. În același timp, trebuie avut grijă ca aceste informații să nu conducă la organizarea unei bucle (astfel încât routerul din aval, atunci când îi injectează trafic curățat, să nu încerce să împacheteze acest trafic înapoi la dispozitivul de curățare). Pentru a face acest lucru, mecanismele pot fi utilizate pentru a controla distribuția actualizărilor BGP prin parametrul comunității sau utilizarea tunelurilor GRE la intrarea în traficul eliberat.

Această stare de lucruri a existat până când Arbor Networks și-a extins semnificativ linia de produse Peakflow SP și a intrat pe piață cu o soluție de protecție DDoS complet autonomă.

Introducerea Arbor Peakflow SP TMS

În urmă cu câțiva ani, Arbor Networks a decis să-și dezvolte linia de produse de protecție DDoS pe cont propriu și indiferent de ritmul și politica de dezvoltare în această direcție de la Cisco. Soluțiile Peakflow SP CP au avut avantaje fundamentale față de Cisco Detector, deoarece analizau informațiile de flux cu capacitatea de a controla rata de eșantionare și, prin urmare, nu aveau restricții privind utilizarea în rețelele de transport și canalele backbone (spre deosebire de Cisco Detector, care analizează o copie a traficului) . În plus, un avantaj serios al Peakflow SP a fost posibilitatea operatorilor de a vinde servicii individuale abonaților pentru monitorizarea și protejarea segmentelor lor de rețea.

Având în vedere aceste și alte considerente, Arbor și-a extins semnificativ linia de produse Peakflow SP. Au apărut o serie de dispozitive noi:

Peakflow SP TMS (Sistem de management al amenințărilor)- Efectuează suprimarea atacurilor DDoS prin filtrare în mai multe etape pe baza datelor primite de la Peakflow SP CP și laboratorul ASERT al Arbor Networks, care monitorizează și analizează atacurile DDoS pe Internet;

Peakflow SP BI (Business Intelligence)- dispozitive care asigură scalarea sistemului prin creșterea numărului de obiecte logice care trebuie monitorizate și asigurarea redundanței datelor colectate și analizate;

Peakflow SP PI (Interfață portal)- dispozitive care asigură o creștere a abonaților cărora li se oferă o interfață individuală pentru a-și gestiona propria securitate;

Peakflow SP FS (Cenzor de debit)- dispozitive care asigură monitorizarea routerelor abonaților, conexiunile la rețelele din aval și centrele de procesare a datelor.

Principiile de funcționare ale sistemului Arbor Peakflow SP au rămas practic aceleași cu Cisco Clean Pipes, cu toate acestea, Arbor își dezvoltă și își îmbunătățește în mod regulat sistemele, astfel încât în ​​prezent funcționalitatea produselor Arbor este mai bună în multe privințe decât Cisco, inclusiv performanța. .

Până în prezent, performanța maximă a Cisco Guard poate fi atinsă prin crearea unui cluster de 4 module Guard într-un șasiu Cisco 6500/7600, în timp ce gruparea cu drepturi depline a acestor dispozitive nu este implementată. În același timp, modelele de top ale Arbor Peakflow SP TMS au o performanță de până la 10 Gb/s, iar la rândul lor pot fi grupate.

După ce Arbor a început să se poziționeze ca un jucător independent pe piața sistemelor de detectare și suprimare a atacurilor DDoS, Cisco a început să caute un partener care să-i asigure monitorizarea atât de necesară a datelor privind fluxul de trafic din rețea, dar nu ar fi o soluție directă. concurent. O astfel de companie a fost Narus, care produce sisteme de monitorizare a traficului bazate pe date de flux (NarusInsight) și a încheiat un parteneriat cu Cisco Systems. Cu toate acestea, acest parteneriat nu a primit o dezvoltare serioasă și prezență pe piață. Mai mult, potrivit unor rapoarte, Cisco nu intenționează să investească în soluțiile sale Cisco Detector și Cisco Guard, de fapt, lăsând această nișă la cheremul Arbor Networks.

Câteva caracteristici ale soluțiilor Cisco și Arbor

Este demn de remarcat câteva caracteristici ale soluțiilor Cisco și Arbor.

  1. Cisco Guard poate fi utilizat atât cu detectorul, cât și independent. În acest ultim caz, este setat în modul în linie și îndeplinește funcțiile unui detector, analizând traficul și, dacă este necesar, pornește filtrele și curăță traficul. Dezavantajul acestui mod este că, în primul rând, se adaugă un punct suplimentar de potențial eșec și, în al doilea rând, o întârziere suplimentară a traficului (deși este mică până când mecanismul de filtrare este pornit). Modul recomandat pentru Cisco Guard este de a aștepta o comandă de redirecționare a traficului care conține un atac, de a-l filtra și de a-l introduce înapoi în rețea.
  2. Unitățile Arbor Peakflow SP TMS pot funcționa, de asemenea, atât în ​​modul în afara rampei, cât și în modul în linie. În primul caz, dispozitivul așteaptă pasiv o comandă de redirecționare a traficului care conține atacul pentru a-l curăța și a-l introduce înapoi în rețea. În al doilea, trece tot traficul prin el însuși, generează date în formatul Arborflow pe baza sa și le transferă către Peakflow SP CP pentru analiză și detectarea atacurilor. Arborflow este un format similar cu Netflow, dar modificat de Arbor pentru sistemele lor Peakflow SP. Monitorizarea traficului și detectarea atacurilor sunt efectuate de Peakflow SP CP pe baza datelor Arborflow primite de la TMS. Când este detectat un atac, operatorul Peakflow SP CP emite o comandă pentru a-l suprima, după care TMS activează filtrele și șterge traficul de atac. Spre deosebire de Cisco, serverul Peakflow SP TMS nu poate funcționa singur; necesită un server Peakflow SP CP pentru a efectua analiza traficului.
  3. Astăzi, majoritatea experților sunt de acord că sarcinile de protecție a secțiunilor rețelei locale (de exemplu, conectarea centrelor de date sau conectarea rețelelor din aval) sunt eficiente.

Această organizație, pe lângă înregistrarea numelor de domenii în zona .tr, oferă și comunicații de bază către universitățile turcești. Hacktiviști anonimi au revendicat atacul, acuzând conducerea turcă că sprijină ISIS.

Primele semne de DDoS au apărut în dimineața zilei de 14 decembrie, până la prânz cinci servere NIC.tr au renunțat sub asaltul traficului nedorit cu o capacitate de până la 40 Gbps. Problema a afectat și centrul de coordonare RIPE, care oferă o infrastructură alternativă NS NIC.tr. Reprezentanții RIPE au remarcat că atacul a fost modificat în așa fel încât să ocolească apărarea RIPE.

Atacurile DDoS la scară largă devin cea mai eficientă modalitate de a întrerupe serviciile web - costul atacurilor este în scădere constantă, ceea ce vă permite să creșteți puterea: în doar doi ani, puterea medie de atac DDoS a crescut de patru ori la 8 Gb/s. În ceea ce privește valorile medii, un atac asupra zonei de domeniu național a Turciei pare impresionant, dar experții subliniază că atacurile DDoS de 400 Gbps vor deveni în curând norma.

Unicitatea atacului turc constă în faptul că atacatorii au ales ținta potrivită: concentrându-se pe un număr relativ mic de adrese IP, au putut să dezactiveze practic infrastructura unei țări întregi cu doar un atac de 40 de gigabiți.

Centrul național de răspuns la incidente cibernetice din Turcia a blocat tot traficul către serverele NIC.tr din alte țări, ceea ce a făcut ca toate cele 400.000 de site-uri turcești să devină inaccesibile și toate mesajele de e-mail returnate expeditorilor. Ulterior, centrul a decis să schimbe tactica, efectuând blocarea selectivă a adreselor IP suspecte. Serverele DNS ale domeniilor din zona .tr au fost reconfigurate pentru a distribui cererile între serverele publice și private, cu ajutorul ISP-urilor turcești Superonline și Vodafone.

Domeniile atacate au revenit online în aceeași zi, cu toate acestea, multe site-uri și servicii de e-mail au funcționat intermitent încă câteva zile. Nu doar companiile locale și organizațiile guvernamentale au fost afectate, ci și multe resurse web naționale care au ales un nume de domeniu în zona .tr; în total este vorba de aproximativ 400 de mii de site-uri web, dintre care 75% sunt corporative. Domeniul național turc este folosit și de instituțiile de învățământ, municipalități și armată.

Până când „anonimul” a făcut o declarație, mulți au dat vina pe ruși pentru atacul DDoS – din cauza relațiilor tensionate dintre Turcia și Rusia. La un moment dat, hackerii ruși au fost suspectați de implicare în atacuri cibernetice la scară largă asupra Estoniei (2007), Georgiei (2008) și Ucrainei (2014) din motive similare. Unii experți au considerat că DDoS turcesc răspunsul rușilor la un atac DDoS al unor grupuri cibernetice turce pe site-ul rus de știri Sputnik.

Declarația Anonymous a privat ipoteza unei „urme rusești” de fundație. De asemenea, hacktiviștii amenință că vor ataca aeroporturile turcești, băncile, serverele structurilor guvernamentale și organizațiile militare dacă Turcia nu încetează să ajute ISIS.

FSB investighează în toamna anului 2016 un caz penal privind un atac de hackeri în masă folosind Internetul obiectelor (IoT) asupra facilităților din sectorul financiar, care a vizat Sberbank, Rosbank, Alfa-Bank, Bank of Moscow, Moscow Exchange și altele.

După cum scrie Kommersant, directorul adjunct al FSB Dmitri Shalkov a vorbit despre acest lucru, vorbind în Duma de Stat la prezentarea unui pachet de proiecte de lege guvernamentale privind securitatea infrastructurii informaționale critice (CII) a Federației Ruse.

În 2016, au fost înregistrate aproximativ 70 de milioane de atacuri DDoS asupra resurselor informaționale oficiale ale Rusiei, adică de trei ori mai mult decât cu un an în urmă. Cu toate acestea, hack-urile din noiembrie sunt diferite de cele mai multe dintre ele, a remarcat Shalkov.

Potrivit acestuia, în perioada 8-14 noiembrie, au fost efectuate atacuri DDoS de putere medie asupra a opt organizații. Au implicat așa-numitele rețele bot (calculatoare cu acces la Internet piratate și luate sub control de către hackeri), folosind dispozitive IoT conectate la rețea și în special camere web. Directorul adjunct al FSB a remarcat asemănarea unui atac coordonat asupra structurilor rusești cu un atac de șase ore în Statele Unite în octombrie împotriva serviciilor furnizorului de internet Dyn, care a dus la o serie de resurse americane mari (Twitter, CNN , Spotify, The New York Times și Reddit) pentru o lungă perioadă de timp nu au fost disponibile.

Totodată, atacurile nu au fost însoțite de furt de fonduri, iar băncile atacate nu au înregistrat întreruperi ale serviciului. După atacurile din noiembrie, astfel de incidente nu s-au mai repetat, a informat Banca Centrală a Federației Ruse.

Kommersant notează că atacurile DDoS în sine nu sunt concentrate pe furtul de finanțe, ele sunt folosite, de regulă, pentru a bloca site-urile web și serviciile bancare online. Gleb Cherbov, șeful adjunct al Departamentului de Audit al Securității Securității Digitale, a explicat că „dispozitivele și serverele controlate de atacatori sunt combinate în rețele botnet gata să genereze trafic de rețea care devine fatal pentru sistemul atacat”. Cu toate acestea, atacurile masive DDoS pot aduce pierderi grave băncilor. De exemplu, indisponibilitatea serviciilor poate provoca panică în rândul deponenților care vor începe să retragă masiv depozite. În plus, atacurile masive DDoS sunt adesea folosite pentru a masca alte activități. În special, în timp ce experții în securitate remediază vulnerabilitatea, atacatorii pot pătrunde în infrastructura bancară.

Potrivit publicației, deschiderea unui dosar penal de către FSB pe faptul atacurilor hackerilor din noiembrie 2016 înseamnă că suspecții au fost deja identificați de anchetă. Ancheta este angajată în astfel de cazuri de cel puțin șase luni, dar în realitate perioada este prelungită pe doi-trei ani, notează sursa publicației.

Astăzi, să încercăm să clarificăm situația în jurul atacurilor Ddos pe server. Cu toate acestea, această problemă chiar se intersectează cu subiectul găzduirii ca atare.

Chestia este destul de urâtă. Imaginați-vă, ieri am instalat un plugin nou-nouț pe wordpress-ul meu și brusc, după ceva timp, bam! - blogul din browser nu se mai deschide. Mai mult, alte site-uri navighează perfect în același timp. Gândurile urcă - ceva s-a încurcat cu pluginul. Dau click pentru a reincarca pagina de multe ori si nimic! Apoi, chiar a funcționat, dar a trebuit să suport câteva minute neplăcute.

Și astăzi văd o scrisoare de la asistența tehnică TimeWeb. Nu mă voi ascunde, iau găzduire acolo. Și de ce să te ascunzi, trebuie doar să introduci adresa site-ului web în Whois.
Scrisoarea este:

„Dragi utilizatori.
Astăzi, 02 decembrie 2011 la 16:32 ora Moscovei, a început un atac masiv DDOS pe platforma tehnologică TIMEWEB, care a perturbat funcționarea unor site-uri și servere.
Inginerii TIMEWEB au preluat controlul asupra situației și până la ora 18:45 funcționarea stabilă a șantierului a fost complet restabilită..."

Am decis să-mi dau seama de unde vin Atacurile Ddos pe serverși ce este, în general, așa. Și iată ce am dezgropat.

Atacurile Ddos pe server - ce este?

Mai întâi, să ne uităm la Wiki, unde am fi fără el:

ATAC DOS Refuzarea serviciului, refuzul serviciului) - un atac asupra unui sistem informatic pentru a-l duce la eșec, adică într-o astfel de stare încât utilizatorii legitimi (legali) ai sistemului să nu poată accesa resursele (servere, servicii) furnizate de sistem, sau acest acces este dificil. Eșecul sistemului „inamic” poate fi atât un scop în sine (de exemplu, a face un site popular inaccesibil), cât și unul dintre pașii pentru a prelua controlul asupra sistemului (dacă în caz de urgență software-ul oferă informații critice - de exemplu, versiunea, o parte a codului programului etc. d.).

Dacă atacul se efectuează simultan de la un număr mare de computere, se vorbește de un ATAC DDOS (din engleză. Refuzarea serviciului distribuit, atac distribuit de denial of service). În unele cazuri, o acțiune legitimă duce la un atac DDoS real, de exemplu, plasarea unui link pe o resursă populară de Internet către un site găzduit pe un server nu foarte productiv. Un aflux mare de utilizatori duce la depășirea sarcinii permise pe server și, în consecință, la refuzul serviciului pentru unii dintre ei.

Deci, pe de o parte, există un obiect de atac - un anumit server sau site și, pe de altă parte, un grup de atacatori care organizează un atac Ddos asupra obiectului atacului.

Care sunt scopurile organizatorilor unui atac Ddos?

Unul dintre cele mai inofensive motive este huliganismul cibernetic banal. Problema este agravată de faptul că majoritatea programelor de atac sunt disponibile gratuit pe Internet.

Atacurile DDoS mai grave sunt generate de concurența neloială. Obiectivele aici sunt diferite - să doboare serverul concurentului, perturbând astfel munca rivalului și, în plus, să creeze o imagine negativă pentru concurent pe piață. De asemenea, este posibil să piratați serverul, deoarece în timpul unui atac masiv, informațiile sub formă de coduri de program pot scăpa publicului.

De asemenea, folosind metoda de atac Ddos, diverse grupuri Ddos își pot declara existența sau pot face cereri, ultimatumuri proprietarilor de servere.

Aici sunt cateva exemple Atacurile Ddos pe server, pe care l-am găsit în Lurkomorye:

  • OOFR (Organizația United Phages of Russia), care include următoarele grupuri de meme: Leprosarium Superstitious, The Fallen din LiveJournal și, desigur, Upyachka este în frunte.

Principalele victime ale OOFR au fost:

  1. www.mail.ru (pentru proiectul BEETLE),
  2. www.gay.com (pentru a fi gay),
  3. www.4chan.org (pentru insultarea zeului „Onotole”),
  4. www.wikipedia.org (pentru un articol despre UPCHK, în care a existat o insultă la adresa pisicilor (Kote), neeliminat de moderator timp de o lună)

Multe organizații care lucrează în domeniul protecției împotriva atacurilor DDoS, în ciuda realizărilor în acest domeniu, recunosc în continuare pericolul tot mai mare al amenințării, în principal din cauza ușurinței de organizare a atacurilor.

PENTRU REZUMAT UN MIC REZUMAT:

Noi, utilizatorii obișnuiți de internet, ar trebui să fim cel mai interesați de modul în care afacerea de protecție împotriva atacurilor cibernetice este furnizată de acei furnizori de găzduire unde închiriem găzduire pentru creierul nostru - site-uri. După cum putem vedea într-un caz particular, TimeWeb a făcut față problemei și destul de repede. Ii dau al doilea plus pentru ca m-a anuntat prin posta.

Apropo, recent am dat TimeWeb un alt test simplu.

Asta e tot pentru azi despre atacurile Ddos.

În curând vom vorbi despre ce sunt acestea și despre cum este organizată protecția împotriva atacurilor cibernetice.