Kolibri | Дата: Воскресенье, 21.10.2012, 18:07 | Сообщение # 1 |
|
Сообщений: 446 |
Репутация: 71 ± |
Награды: 24 +
|
|
|
[c] Терроризм - это, пожалуй, самая большая проблема человечества на сегодняшний день. И виртуальное сообщество здесь мало чем отличается от реального мира. Ушли те романтические времена, когда собирательным образом хакера являлся хитрый тип, взломавший защиту банка и перекачавший на свой счет кругленькую сумму. Жесткие времена - жесткие нравы. Теперь хакеры с помощью атаки на сервер блокируют его работу, а затем выставляют хозяевам свои требования. Виртуальный террор в чистом виде. Редкий месяц обходится без сенсационных сообщений в прессе о том, что тот или иной сервер подвергся DDoS-атаке. В данном обзоре попытаемся разобраться в том, что такое DDoS-атака и что можно предпринять, чтобы снизить ее опасность. DDoS-атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной.
DDoS-атака (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании») — атака на систему с целью вывести ее из строя, другими словами, создание условий, при которых пользователи не могут получить доступ к сервисам, которые им необходимы. DDos атака в своем настоящем проявлении - это непрерывные обращения к сайту со многих компьютеров, расположенных в разных частях мира. В основном это так называемые "зазомбированные" компьютеры обыкновенных пользователей (которые даже не подозревают об этом). Эти компьютеры заражены вирусами, которые управляются злоумышленником централизованно. Именно эти компьютеры и рассылают спам, участвуют в DDos атаках, именно с этих компьютеров злоумышленники воруют персональную информацию. В интернет существует целая индустрия ("подпольная" индустрия), над этим работают целые команды программистов, которые ищут уязвимости в операционных системах, что бы использовать их в своих целях. В этом случае соотношение трафика у канального оператора, который обслуживает хостинг провайдера резко меняется: размер входящего трафика на канале резко увеличивается и, порой, достигает максимального значения пропускной способности канала, при этом исходящий трафик с сервера становится мизерным, потому как входящие соединения буквально "забивают" канал своими запросами. В наших суровых реалиях, данный способ выведения сайта из строя, стал очень распространен, в связи с острой конкуренцией между сайтами в так называемом "ТОПе" поисковых систем Yandex, Google, Rambler. Ведь если вывести из строя сайт, то он будет исключен поисковой системой из выдачи, и его место станет вакантным. Так же эти методы используют люди, которые готовы заплатить деньги, за то, что бы какой либо сайт перестал функционировать (личная неприязнь у злоумышленника к администратору сайта и т.д.)
Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Пожалуй, этот подготовительный этап является для злоумышленника наиболее трудоемким.
Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:
- управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;
- главные компьютеры. Это те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". На одну управляющую консоль в зависимости от масштабности атаки может приходиться до нескольких сотен главных компьютеров;
- агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень. [c]
Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку.
Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети.
Дело в том, что изначально программное обеспечение DDoS создавалось в "мирных" целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Наиболее эффективным в этом случае является использование так называемых ICMP-пакетов (Internet control messaging protocol), т.е. пакетов, имеющих ошибочную структуру. На обработку такого пакета требуется больше ресурсов, после решения об ошибочности пакет отправляется посылающему, следовательно достигается основная цель - "забивается" трафик сети.
За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак:
UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol). Этот метод использовался в ранних атаках и в настоящее время считается наименее опасным. Программы, использующие этот тип атаки легко обнаруживаются, так как при обмене главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов. TCP SYN flood - посылка большого количества запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения. Smurf-атака - пинг-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки с использованием в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. ICMP flood - атака, аналогичная Smurf, но без использования рассылки. Естественно, наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки.
Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами.
Конечно же, в этом обзоре указаны только наиболее известные программы и методики DDoS. На самом деле спектр программ намного шире и постоянно дополняется. По этой же причине достаточно наивным было бы описание универсальных надежных методов защиты от DDoS-атак. Универсальных методов не существует, но к общим рекомендациям для снижения опасности и уменьшения ущерба от атак можно отнести такие меры, как грамотная конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему.
На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса.
Весьма важным делом в этом направлении является профилактика - программное обеспечение должно быть "отпатчено" от всевозможных "дыр".
Как уже отмечалось, обнаружить виртуальных террористов, организовавших DDoS-атаку, задача очень сложная. Поэтому для борьбы с данным видом угроз необходимо тесное сотрудничество администраторов серверов и с интернет-провайдерами, а также провайдеров с операторами магистральных сетей. Потому что, как и в реальной жизни, бороться с терроризмом возможно только объединением законопослушных граждан.
Правила сайта!
|
|
| |
Kolibri | Дата: Пятница, 03.10.2014, 22:02 | Сообщение # 2 |
|
Сообщений: 446 |
Репутация: 71 ± |
Награды: 24 +
|
|
|
Владелец сайта "заснял" DDoS-атаку на свой ресурс
Визуализация DDoS-атаки была осуществлена с помощью инструмента Logstalgia. Наблюдение за DDoS-атакой и попытками сервера отразить её — это очень зрелищное явление. Программа Logstalgia позволяет взять логи с сервера и сгенерировать видеоролик с визуализацией сетевого трафика.
Сетевые пакеты выполнены в виде разноцветных шариков, которые летят в сервер. Тот должен отбить каждый из них, поэтому мечется, как платформа в игре Arkanoid.
Каждый шарик летит с определённого IP-адреса, список находится в левой части экрана. Каждому запросу соответствует определённый ресурс, который нужно отдать: список находится в правой части экрана. Владельцу Videolan.com (сайт-поставщик мультимедиа проигрывателя VLC) Людовик Фаувет (Ludovic Fauvet) заснял DDoS-атаку на свой ресурс.
Атака на сайт была зарегистрирована 23 апреля. Частота нападения достигала 400 запросов в секунду, но сайту удалось выстоять.
Правила сайта!
|
|
| |