Najmoćniji DDoS napad na svijetu i tko je Brian Krebs? Novi masivni DDoS napadi Masivni DDoS napadi
DoS i DDoS napadi agresivni su vanjski utjecaji na računalne resurse poslužitelja ili radne stanice čiji je cilj da potonji dovedu do kvara. Pod kvarom ne mislimo na fizički kvar stroja, već na nedostupnost njegovih resursa za savjesne korisnike - neuspjeh sustava da ih servisira ( D enijalan o f S ervice, od čega se sastoji kratica DoS).
Ako se takav napad izvrši s jednog računala, klasificira se kao DoS (DoS), ako s više - DDoS (DDoS ili DDoS), što znači "D raspodijeljeno D enijalan o f S ervice "- distribuirano uskraćivanje usluge. Dalje, razgovarajmo o tome zašto napadači izvode takve radnje, koje su, kakvu štetu nanose napadnutom i kako potonji mogu zaštititi svoje resurse.
Tko može patiti od DoS i DDoS napada
Napadi ciljaju korporativne poslužitelje poduzeća i web stranice, mnogo rjeđe - osobna računala pojedinaca. Svrha je takvih radnji u pravilu jedna - nanijeti ekonomsku štetu napadnutom i ostati u sjeni. U nekim slučajevima, DoS i DDoS napadi jedna su od faza hakiranja poslužitelja i imaju za cilj krađu ili uništavanje informacija. Zapravo, tvrtka ili web stranica u vlasništvu bilo koga mogu postati žrtvom kibernetičkih kriminalaca.
Dijagram koji ilustrira bit DDoS napada:
DoS i DDoS napadi najčešće se izvode na poticaj nepoštenih konkurenata. Dakle, "popunjavanjem" web stranice internetske trgovine koja nudi sličan proizvod, možete privremeno postati "monopolist" i sami pokupiti njegove kupce. "Spuštanjem" korporacijskog poslužitelja moguće je poremetiti rad konkurentske tvrtke i time smanjiti njezinu poziciju na tržištu.
Napadi velikih razmjera koji mogu nanijeti značajnu štetu obično provode profesionalni kibernetički kriminalci za mnogo novca. Ali ne uvijek. Domaći amaterski hakeri također mogu napasti vaše resurse - iz interesa, i osvetnike među otpuštenim zaposlenicima, i jednostavno one koji ne dijele vaše poglede na život.
Ponekad se utjecaj vrši s ciljem iznude, dok napadač otvoreno traži novac od vlasnika resursa da zaustavi napad.
Poslužitelje državnih tvrtki i poznatih organizacija često napadaju anonimne skupine visokokvalificiranih hakera s ciljem utjecaja na dužnosnike ili izazivanja negodovanja javnosti.
Načini izvođenja napada
Princip rada DoS i DDoS napada je slanje velikog toka informacija na poslužitelj, koji maksimalno (koliko to hakerske mogućnosti dopuštaju) opterećuje računalne resurse procesora, RAM -a, začepljuje komunikacijske kanale ili popunjava prostor na disku. Napadnuti stroj ne može obraditi dolazne podatke i prestaje odgovarati na zahtjeve korisnika.
Ovako izgleda normalan rad poslužitelja, vizualiziran u programu Logstalgia:
Učinkovitost pojedinačnih DOS napada nije jako visoka. Osim toga, napad s osobnog računala dovodi u opasnost da napadač bude identificiran i uhvaćen. Distribuirani napadi (DDoS) iz takozvanih zombi mreža ili botnetova pružaju mnogo veći profit.
Ovako web stranica Norse-corp.com prikazuje aktivnost u botnetu:
Zombi mreža (botnet) je skupina računala koja nemaju međusobno fizičku vezu. Ujedinjuje ih činjenica da su svi pod kontrolom napadača. Kontrola se provodi pomoću trojanskog programa, koji se zasad ne može nikako očitovati. Prilikom izvođenja napada, haker upućuje zaražena računala da šalju zahtjeve na žrtvinu web stranicu ili poslužitelj. I on, nesposoban izdržati navalu, prestaje odgovarati.
Ovako Logstalgia prikazuje DDoS napad:
Bilo koje računalo može se pridružiti botnetu. Pa čak i pametni telefon. Dovoljno je uloviti trojanca i ne otkriti ga na vrijeme. Inače, najveći botnet imao je gotovo 2 milijuna strojeva diljem svijeta, a njihovi vlasnici nisu imali pojma što rade.
Metode napada i obrane
Prije početka napada, haker smisli kako ga izvesti s maksimalnim učinkom. Ako napadnuti čvor ima nekoliko ranjivosti, utjecaj se može provesti u različitim smjerovima, što će značajno zakomplicirati odgovor. Stoga je važno da svaki administrator poslužitelja ispita sva njegova uska grla i, ako je moguće, ojača ih.
Poplava
Poplava je, jednostavno rečeno, informacija koja nema semantičko opterećenje. U kontekstu DoS / DDoS napada, poplava je lavina praznih, besmislenih zahtjeva jedne ili druge razine, koje je čvor primatelj prisiljen obraditi.
Glavna svrha korištenja poplava je potpuno začepiti komunikacijske kanale, maksimalno zasititi propusnost.
Vrste poplava:
- MAC poplava - utjecaj na mrežne komunikatore (blokiranje portova sa protocima podataka).
- ICMP poplava - preplavljivanje žrtve zahtjevima za eho usluge korištenjem zombi mreže ili slanjem zahtjeva "u ime" napadnutog domaćina, tako da mu svi članovi botneta u isto vrijeme šalju eho odgovor (napad Štrumfova). Poseban slučaj ICMP poplave je ping poplava (slanje ping zahtjeva poslužitelju).
- SYN poplava - Slanje više SYN zahtjeva žrtvi, ispunjavanje TCP reda povezivanja stvaranjem velikog broja poluotvorenih (na čekanju potvrde klijenta) veza.
- UDP poplava - radi prema shemi Smrf napada, gdje se UDP datagrami šalju umjesto ICMP paketa.
- HTTP poplava - preplavljivanje poslužitelja brojnim HTTP porukama. Sofisticiranija opcija je HTTPS poplava, gdje se preneseni podaci unaprijed kriptiraju, a prije nego što ih napadnuti host obradi, mora ih dešifrirati.
Kako se zaštititi od poplava
- Konfigurirajte provjeru MAC adrese i filtriranje na mrežnim sklopkama.
- Ograničite ili odbijte obradu ICMP echo zahtjeva.
- Blokirajte pakete koji dolaze s određene adrese ili domene, što izaziva sumnju u nepouzdanost.
- Postavite ograničenje na broj poluotvorenih veza s jednom adresom, smanjite njihovo vrijeme zadržavanja, produžite red TCP veza.
- Onemogućite UDP uslugama prijem prometa izvana ili ograničite broj UDP veza.
- Koristite CAPTCHA-e, odgode i druge tehnike zaštite od robota.
- Povećajte maksimalni broj HTTP veza, konfigurirajte predmemoriranje zahtjeva pomoću nginxa.
- Proširite propusnost mrežnog kanala.
- Ako je moguće, dodijelite zasebni poslužitelj za obradu kriptografije (ako je primjenjivo).
- Izradite rezervni kanal za administrativni pristup poslužitelju u hitnim situacijama.
Preopterećenje hardverskih resursa
Postoje vrste poplava koje ne utječu na komunikacijski kanal, već na hardverske resurse napadnutog računala, učitavaju ih do kraja i uzrokuju njihovo zamrzavanje ili rušenje. Na primjer:
- Izrada skripte koja će objaviti ogromnu količinu besmislenih tekstualnih informacija na forumu ili web mjestu gdje korisnici imaju priliku ostavljati komentare dok se cijeli prostor na disku ne napuni.
- Ista stvar, samo će zapisnici poslužitelja ispuniti pogon.
- Učitavanje stranice na kojoj se neka transformacija unesenih podataka vrši stalnom obradom ovih podataka (slanjem takozvanih "teških" paketa).
- Učitavanje procesora ili memorije izvršavanjem koda putem CGI sučelja (CGI podrška omogućuje vam pokretanje bilo kojeg vanjskog programa na poslužitelju).
- Pokretanje sigurnosnog sustava, što poslužitelju čini nedostupnim izvana itd.
Kako se zaštititi od preopterećenja hardverskih resursa
- Povećajte performanse hardvera i prostor na disku. Kad poslužitelj radi u normalnom načinu rada, najmanje 25-30% resursa mora ostati slobodno.
- Koristite sustave za analizu i filtriranje prometa prije nego ga pošaljete poslužitelju.
- Ograničite korištenje hardverskih resursa komponentama sustava (postavite kvote).
- Spremite datoteke dnevnika poslužitelja na zasebni pogon.
- Raspodijelite resurse na nekoliko neovisnih poslužitelja. Tako da ako jedan dio ne uspije, drugi ostaju funkcionalni.
Ranjivosti u operacijskim sustavima, softveru, firmveru uređaja
Postoji nemjerljivo više mogućnosti za izvođenje takvih napada nego za korištenje poplava. Njihova provedba ovisi o vještinama i iskustvu napadača, njegovoj sposobnosti da pronađe pogreške u programskom kodu i da ih koristi u svoju korist i na štetu vlasnika resursa.
Nakon što haker otkrije ranjivost (softverska pogreška koja se može koristiti za ometanje sustava), sve što treba učiniti je stvoriti i pokrenuti exploit - program koji iskorištava tu ranjivost.
Iskorištavanje ranjivosti nije uvijek uzrokovano samo uskraćivanjem usluge. Ako haker bude imao sreće, moći će steći kontrolu nad resursima i po vlastitom nahođenju raspolagati tim "darom sudbine". Na primjer, može se koristiti za širenje zlonamjernog softvera, krađu i uništavanje informacija itd.
Metode za suzbijanje iskorištavanja ranjivosti u softveru
- Pravovremeno instalirajte ažuriranja koja zatvaraju ranjivosti u operativnim sustavima i aplikacijama.
- Izolirajte sve administrativne usluge od pristupa trećih strana.
- Koristite sredstva za stalno praćenje rada OS -a poslužitelja i programa (analiza ponašanja itd.).
- Odustati od potencijalno ranjivih programa (besplatnih, sami napisanih, rijetko ažuriranih) u korist provjerenih i dobro zaštićenih.
- Koristite gotova sredstva za zaštitu sustava od DoS i DDoS napada, koji postoje i u obliku hardverskih i softverskih sustava.
Kako utvrditi je li haker napao resurs
Ako napadač uspije postići cilj, nemoguće je ne primijetiti napad, ali u nekim slučajevima administrator ne može točno odrediti kada je započeo. Odnosno, ponekad prođe nekoliko sati od početka napada do primjetnih simptoma. Međutim, tijekom latentne izloženosti (sve dok poslužitelj "ne legne") postoje i određeni znakovi. Na primjer:
- Neprirodno ponašanje poslužiteljskih aplikacija ili operacijskog sustava (zamrzavanje, gašenje s greškama itd.).
- Opterećenje procesora, memorije i pohrane dramatično se povećava od osnovne linije.
- Količina prometa na jednoj ili više luka značajno se povećava.
- Postoji više poziva klijenata na iste resurse (otvaranje jedne stranice web stranice, preuzimanje iste datoteke).
- Analiza zapisnika poslužitelja, vatrozida i mrežnih uređaja pokazuje veliki broj monotonih zahtjeva s različitih adresa, često usmjerenih na određeni port ili uslugu. Pogotovo ako je web mjesto namijenjeno uskoj publici (na primjer, ruskom govornom području), a zahtjevi dolaze iz cijelog svijeta. Istodobno, kvalitativna analiza prometa pokazuje da zahtjevi nemaju praktično značenje za kupce.
Sve navedeno nije 100% znak napada, ali je uvijek razlog da obratite pozornost na problem i poduzmete odgovarajuće zaštitne mjere.
Tko se napada?
Prema podacima Centralne banke, 2016. godine broj ruskih financijskih institucija gotovo se udvostručio. U studenom su DDoS napadi ciljali pet velikih ruskih banaka. Krajem prošle godine Središnja banka prijavila je DDoS napade na financijske institucije, uključujući i Središnju banku. “Svrha napada bila je ometanje usluga i, kao rezultat toga, narušavanje vjerodostojnosti ovih organizacija. Ovi napadi bili su značajni po tome što je to bila prva velika upotreba Interneta stvari u Rusiji. U osnovi, napad je uključivao internetske kamere i usmjerivače za kućanstvo ”, priopćile su sigurnosne službe velikih banaka.Istodobno, DDoS napadi nisu donijeli značajnu štetu bankama - dobro su zaštićeni, pa takvi napadi, iako su uzrokovali probleme, nisu bili kritični i nisu prekršili nijednu uslugu. Ipak, može se konstatirati da se antibankarska aktivnost hakera značajno povećala.
U veljači 2017. tehničke službe ruskog Ministarstva zdravstva odbile su najveći DDoS napad posljednjih godina, koji je dosegao vrhunac od 4 milijuna zahtjeva u minuti. Bilo je DDoS napada na državne registre, ali i oni su bili neuspješni i nisu doveli do promjena podataka.
Međutim, žrtve DDoS napada su isto toliko organizacija i tvrtki koje imaju tako snažnu "obranu". U 2017. se očekuje povećanje štete od cyber prijetnji - ransomwarea, DDoS -a i napada na IoT uređaje.
IoT uređaji dobivaju popularnost kao alat za izvođenje DDoS napada. Značajan događaj bio je DDoS napad pokrenut u rujnu 2016. pomoću zlonamjernog koda Mirai. U njemu su stotine tisuća kamera i drugih uređaja iz sustava video nadzora djelovale kao sredstvo napada.
Provedeno je protiv francuskog pružatelja usluga hostinga OVH. Bio je to najmoćniji DDoS napad - gotovo 1 Tbit / s. Hakeri su koristili botnet za korištenje 150.000 IoT uređaja, uglavnom CCTV kamera. Napadi koji koriste botnet Mirai doveli su do pojave mnogih botnetova s IoT uređaja. Prema riječima stručnjaka, 2017. godine IoT botneti će i dalje biti jedna od glavnih prijetnji u cyberspaceu.
Prema Verizon -ovom izvješću o incidentu zbog povrede podataka (DBIR) iz 2016., broj DDoS napada značajno se povećao u prošloj godini. U svijetu su najviše pogođene industrija zabave, profesionalne organizacije, obrazovanje, IT i maloprodaja.
Značajan trend u DDoS napadima je proširenje "popisa žrtava". Sada uključuje predstavnike iz gotovo svih industrija. Osim toga, poboljšavaju se metode napada.
Prema Nexusguardu, krajem 2016. došlo je do značajnog povećanja broja mješovitih DDoS napada koji uključuju višestruke ranjivosti. Najčešće su bili izloženi financijskim i državnim organizacijama. Glavni motiv kibernetičkih kriminalaca (70% slučajeva) je krađa podataka ili prijetnja uništavanjem u svrhu otkupnine. Rjeđe, politički ili društveni ciljevi. Zbog toga je važna obrambena strategija. Može se pripremiti za napad i minimizirati njegove posljedice, smanjiti financijske i reputacijske rizike.
Posljedice napada
Koje su posljedice DDoS napada? Tijekom napada žrtva gubi klijente zbog sporog rada ili potpune nepristupačnosti web stranice, a reputacija poslovanja pati. Davatelj usluga može blokirati IP adresu žrtve kako bi umanjio štetu drugim korisnicima. Trebat će vremena, a možda i novca, da se sve obnovi.Prema istraživanju jedne tvrtke, DDoS napade polovica organizacija smatra jednom od najozbiljnijih cyber prijetnji. Prijetnja DDoS -om čak je veća od prijetnje neovlaštenog pristupa, virusa, prijevare i krađe identiteta, a da ne govorimo o drugim prijetnjama.
Prosječni gubici od DDoS napada širom svijeta procjenjuju se na 50.000 USD za male organizacije i gotovo 500.000 USD za velika poduzeća. Uklanjanje posljedica DDoS napada zahtijevat će dodatno radno vrijeme za zaposlenike, preusmjeravanje resursa s drugih projekata radi osiguranja sigurnosti, razvoj plana ažuriranja softvera, nadogradnja opreme itd.
Ugled napadnute organizacije može biti narušen ne samo zbog loše izvedbe web stranice, već i zbog krađe osobnih podataka ili financijskih podataka.
Prema istraživanju tvrtke, broj DDoS napada godišnje raste za 200%, a svakodnevno se u svijetu prijavljuje 2.000 napada ove vrste. Cijena organiziranja tjednog DDoS napada iznosi samo oko 150 USD, a prosječni gubici žrtve su više od 40.000 USD po satu.
Vrste DDoS napada
Glavne vrste DDoS napada su masivni napadi, protokolarni napadi i napadi aplikacija. U svakom slučaju, cilj je onemogućiti web mjesto ili ukrasti podatke. Druga vrsta kibernetičkog kriminala je prijetnja DDoS napadom otkupnine. Po tome su poznate hakerske skupine poput Armada Collective, Lizard Squad, RedDoor i ezBTC.Organizacija DDoS napada postala je mnogo lakša: sada postoje široko dostupni automatizirani alati koji praktički ne zahtijevaju posebno znanje od cyber kriminalaca. Postoje i plaćene DDoS usluge za anonimne ciljne napade. Na primjer, usluga vDOS nudi svoje usluge bez provjere je li kupac vlasnik stranice, želi li je testirati "pod opterećenjem" ili je li to učinjeno s ciljem napada.
DDoS napadi su napadi iz mnogih izvora koji sprječavaju legitimne korisnike u pristupu napadnutoj web lokaciji. U tu svrhu napadnutom sustavu šalje se ogroman broj zahtjeva s kojima se ne može nositi. Obično se u tu svrhu koriste kompromitirani sustavi.
Godišnji rast broja DDoS napada procjenjuje se na 50% (prema informacijama), ali se podaci iz različitih izvora razlikuju i ne postaju poznati svi incidenti. Prosječna snaga DDoS napada Layer 3/4 porasla je posljednjih godina sa 20 na nekoliko stotina GB / s. Iako su masivni DDoS napadi i napadi na razini protokola gadni sami po sebi, kibernetički kriminalci ih sve češće kombiniraju s DDoS napadima sloja 7, to jest na razini aplikacije, čiji je cilj izmjena ili krađa podataka. Takvi napadi s više vektora mogu biti vrlo učinkoviti.
Viševektorski napadi čine oko 27% ukupnog broja DDoS napada.
U slučaju masovnog DDoS napada (temeljen na količini), koristi se veliki broj zahtjeva, često poslanih s legitimnih IP adresa, tako da se web mjesto "utapa" u prometu. Svrha takvih napada je "začepiti" svu dostupnu propusnost i blokirati legitiman promet.
U slučaju napada na protokolarni sloj (na primjer, UDP ili ICMP), cilj je iscrpiti sistemske resurse. U tu svrhu šalju se otvoreni zahtjevi, na primjer, TCP / IP zahtjevi s lažnim IP -ovima, a zbog iscrpljenosti mrežnih resursa postaje nemoguće obraditi legitimne zahtjeve. Tipični predstavnici su DDoS napadi, u uskim krugovima poznati kao Smurf DDos, Ping of Death i SYN flood. Druga vrsta DDoS napada na sloju protokola uključuje slanje velikog broja fragmentiranih paketa s kojima sustav ne može rukovati.
DDoS napadi sloja 7 slanje su naizgled bezopasnih zahtjeva za koje se čini da su rezultat uobičajenih aktivnosti korisnika. Obično se za njihovu implementaciju koriste botneti i automatizirani alati. Značajni primjeri su Slowloris, Apache Killer, skriptiranje na više mjesta, SQL-ubrizgavanje, daljinsko ubrizgavanje datoteka.
U razdoblju 2012. - 2014. većina masivnih DDoS napada bili su napadi bez državljanstva (bez državljanstva i bez sesije) - koristili su UDP protokol. U slučaju stanja bez državljanstva, mnogi paketi kruže u jednoj sesiji (na primjer, otvaranje stranice). Tko je započeo sesiju (zatražio stranicu), uređaji bez državljanstva u pravilu ne znaju.
UDP je osjetljiv na lažiranje - zamjenu adrese. Na primjer, ako želite napasti DNS poslužitelj na 56.26.56.26 napadom DNS pojačanja, možete stvoriti skup paketa s adresom pošiljatelja 56.26.56.26 i poslati ih na DNS poslužitelje širom svijeta. Ovi poslužitelji će poslati odgovor na 56.26.56.26.
Ista metoda funkcionira za NTP poslužitelje, uređaje s omogućenim SSDP-om. NTP je možda najpopularnija metoda: u drugoj polovici 2016. korišten je u 97,5% DDoS napada.
Najbolja trenutna praksa (BCP) 38 preporučuje ISP -ovima da konfiguriraju pristupnike kako bi spriječili lažiranje - adresa pošiljatelja, nadzire se izvorna mreža. No ovu praksu ne slijede sve zemlje. Osim toga, napadači zaobilaze kontrole BCP 38 prebacivanjem na napade sa statusom na TCP sloju. Prema sigurnosnom operativnom centru F5 (SOC), takvi su napadi dominirali u posljednjih pet godina. U 2016. bilo je dvostruko više TCP napada nego UDP napada.
Napaje sloja 7 uglavnom koriste profesionalni hakeri. Princip je sljedeći: uzima se "težak" URL (s PDF datotekom ili zahtjevom za veliku bazu podataka) koji se ponavlja desetke ili stotine puta u sekundi. Napadi sloja 7 strašni su i teško ih je prepoznati. Oni sada čine oko 10% DDoS napada.
Korelacija različitih vrsta DDoS napada prema Verizon izvješću o istraživanju kršenja podataka (DBIR) (2016).
Često se DDoS napadi usklađuju s razdobljima najvećeg prometa, kao što su dani internetske prodaje. Veliki tokovi osobnih i financijskih podataka u ovom trenutku privlače hakere.
DDoS napadi na DNS
Sustav imena domena (DNS) igra temeljnu ulogu u izvedbi i dostupnosti web mjesta. U konačnici - u uspjehu vašeg posla. Nažalost, DNS infrastruktura često je meta DDoS napada. Potiskivanjem vaše DNS infrastrukture napadači mogu naštetiti vašoj web stranici, ugledu vaše tvrtke i vašim financijskim rezultatima. Kako bi se suprotstavile današnjim prijetnjama, DNS infrastruktura mora biti vrlo otporna i skalabilna.U osnovi, DNS je distribuirana baza podataka koja, između ostalog, preslikava lako čitljive nazive web mjesta u IP adrese, dopuštajući korisniku da dođe na web mjesto nakon unosa URL-a. Prva interakcija korisnika s web lokacijom započinje DNS zahtjevima koji se šalju na DNS poslužitelj s adresom internetske domene vaše web stranice. Njihova obrada može činiti do 50% vremena učitavanja web stranice. Dakle, smanjenje performansi DNS -a može dovesti do napuštanja web mjesta od strane korisnika i gubitka u poslu. Ako vaš DNS poslužitelj prestane reagirati kao rezultat DDoS napada, nitko neće moći doći na web mjesto.
DDoS napade je teško otkriti, osobito na početku kada promet izgleda normalno. DNS infrastruktura može biti podložna raznim vrstama DDoS napada. Ponekad je ovo izravan napad na DNS poslužitelje. U drugim se slučajevima koriste eksploati koji koriste DNS sustave za napad na druge elemente IT infrastrukture ili usluga.
Napadi refleksije DNS -a izlažu cilj masivnim lažnim DNS odgovorima. Za to se koriste botneti koji inficiraju stotine i tisuće računala. Svaki bot u takvoj mreži generira nekoliko DNS zahtjeva, ali koristi istu ciljnu IP adresu kao izvorni IP (lažiranje). DNS usluga odgovara na ovu IP adresu.
Time se postiže dvostruki učinak. Ciljni sustav bombardiran je tisućama i milijunima DNS odgovora, a DNS poslužitelj može "leći" bez podnošenja opterećenja. Sam DNS upit obično je manji od 50 bajtova, a odgovor je deset puta duži. Osim toga, DNS poruke mogu sadržavati mnogo drugih podataka.
Pretpostavimo da napadač izda 100.000 kratkih 50-bajtnih DNS upita (ukupno 5 MB). Ako svaki odgovor sadrži 1 KB, tada je ukupan iznos već 100 MB. Otuda i naziv Amplification. Kombinacija napada DNS refleksije i pojačanja može imati vrlo ozbiljne posljedice.
Zahtjevi izgledaju kao redovan promet, a odgovori su puno velikih poruka usmjerenih na ciljani sustav.
Kako se zaštititi od DDoS napada?
Kako se zaštititi od DDoS napada, koje korake poduzeti? Prije svega, nemojte odgađati "za kasnije". Neka se pitanja moraju uzeti u obzir pri konfiguriranju mreže, pokretanju poslužitelja i implementaciji softvera. I svaka sljedeća promjena ne bi trebala povećati ranjivost na DDoS napade.DNS zaštita
Kako zaštititi svoju DNS infrastrukturu od DDoS napada? Obični vatrozidi i IPS ovdje neće pomoći, nemoćni su protiv složenog DDoS napada na DNS. Zapravo, vatrozidovi i sustavi za sprječavanje upada sami su osjetljivi na DDoS napade.U pomoć mogu priskočiti oblačne usluge za čišćenje prometa: one se šalju u određeni centar, gdje se provjeravaju i preusmjeravaju natrag na odredište. Ove su usluge korisne za TCP promet. Oni koji upravljaju vlastitom DNS infrastrukturom mogu poduzeti sljedeće mjere kako bi umanjili utjecaj DDoS napada.
Najbolji način zaštite DNS -a od DDoS napada je korištenje geografski raspršene Anycast mreže. Distribuirane DNS mreže mogu se implementirati pomoću dva različita pristupa: Unicast ili Anycast adresiranje. Prvi pristup je mnogo lakše implementirati, ali drugi je mnogo otporniji na DDoS napade.
U slučaju Unicast -a, svakom od DNS poslužitelja vaše tvrtke dodjeljuje se jedinstvena IP adresa. DNS održava tablicu DNS poslužitelja vaše domene i odgovarajućih IP adresa. Kada korisnik unese URL, jedna od IP adresa nasumično se bira za izvršavanje zahtjeva.
S shemom adresiranja Anycast različiti DNS poslužitelji dijele zajedničku IP adresu. Kad korisnik unese URL, vraća se zbirna adresa DNS poslužitelja. IP mreža usmjerava zahtjev do najbližeg poslužitelja.
Anycast pruža temeljne sigurnosne prednosti u odnosu na Unicast. Unicast otkriva IP adrese pojedinih poslužitelja, pa napadači mogu pokrenuti ciljane napade na određene fizičke poslužitelje i virtualne strojeve, a kada se resursi tog sustava iscrpe, dolazi do kvara usluge. Anycast može pomoći u ublažavanju DDoS napada distribucijom zahtjeva po grupi poslužitelja. Anycast je također koristan za izolaciju učinaka napada.
DDoS zaštita koju pruža pružatelj
Za projektiranje, implementaciju i rad globalne Anycast mreže potrebno je vrijeme, novac i znanje. Većina IT organizacija nema vještine i financije za to. Svoju DNS infrastrukturu možete povjeriti upravljanom davatelju usluga koji je specijaliziran za DNS. Imaju potrebno znanje za zaštitu DNS -a od DDoS napada.Davatelji usluga DNS-a kojima upravlja upravljaju velikim mrežama Anycast i prisutni su diljem svijeta. Stručnjaci za mrežnu sigurnost nadziru mrežu 24 sata dnevno, 7 dana u tjednu 365 dana u tjednu i primjenjuju posebne alate za ublažavanje utjecaja DDoS napada.
Usluge nude i neki pružatelji usluga hostinga: mrežni promet se analizira 24 sata dnevno, pa će vaša web stranica biti relativno sigurna. Takva zaštita može izdržati snažne napade - do 1500 Gbps. U isto vrijeme promet se plaća.
Druga je mogućnost zaštita IP adresa. Davatelj postavlja IP adresu, koju je klijent odabrao kao zaštićenu, u posebnu mrežu analizatora. Napad podudara promet s klijentom prema poznatim obrascima napada. Kao rezultat toga, klijent prima samo čist, filtriran promet. Stoga korisnici web mjesta možda ne znaju da je na njih izvršen napad. Kako bi se to organiziralo, stvorena je distribuirana mreža čvorova za filtriranje tako da je za svaki napad moguće odabrati najbliži čvor i smanjiti kašnjenje u prijenosu prometa.
Rezultat korištenja usluga zaštite od DDoS napada bit će pravodobno otkrivanje i sprječavanje DDoS napada, kontinuitet stranice i njezina stalna dostupnost korisnicima, smanjenje financijskih gubitaka i gubitaka ugleda zbog zastoja stranice ili portala.
Qrator Labs, tvrtka specijalizirana za suzbijanje DDoS napada i osiguravanje dostupnosti internetskih resursa, zabilježila je činjenicu DDoS napada velike brzine na najveće web resurse pomoću tehnike pojačanja zasnovane na memcacheu (softver koji implementira uslugu predmemorije podataka u RAM-u na raspršenim tablicama).
Od 23. do 27. veljače 2018. Europom je zahvatio val memorijskih pojačanih DDoS napada. Tehnika takvog napada sastoji se u tome da uljezi slušaju UDP promet pod uvjetom da su parametri memcache postavljeni prema zadanim postavkama, odnosno da se zapravo koristi UDP poplava - šaljući mnogo lažnih UDP paketa po jedinici vremena s širokog raspona IP adresa adresama.
Sigurnosni problemi Memcachea poznati su najmanje od 2014. godine, ali 2018. ta se ranjivost očitovala osobito jasno: u noći s 25. na 26. veljače stručnjaci Qrator Labsa uočili su niz memoriranih DDoS napada po cijelom internetu, uključujući napade na Rusiju najveći mrežni resursi ...
2017. grupa istraživača iz kineskog OKee tima govorila je o mogućnosti organiziranja takvih napada, ukazujući na njihovu potencijalno razornu moć.
U posljednjih nekoliko dana mnogi su izvori potvrdili činjenicu napada pojačanim odgovorima iz memcache resursa, ispresijecanima odgovorima DNS -a i NTP -a. Izvori ovih lažnih napada bili su veliki pružatelji usluga OVH i veliki broj manjih ISP -ova i hostera.
Jedan od klijenata Qrator Labs -a, QIWI platnog sustava, potvrđuje činjenicu uspješno neutraliziranog napada s propusnošću od 480 Gbps UDP prometa na svojim resursima s kompromitiranih memcache pojačala.
“Suvremene tehnike izvođenja DDoS napada ne miruju. Sve češće vidimo pojavu novih "praznina" u internetskoj infrastrukturi, koje kibernetički kriminalci uspješno koriste za izvođenje napada. Napadi pomoću memcachea, čija je brzina dosegla nekoliko stotina Gb / s, postali su potvrda toga, - komentira Alexander Lyamin, izvršni direktor i osnivač Qrator Labs. - Na Internetu postoji mnogo ranjivih resursa memcachea, a mi toplo preporučujemo tehničarima da ispravno konfiguriraju memcache, ne zaboravljajući zadane postavke. To će pomoći u izbjegavanju prisluškivanja cjelokupnog UDP prometa poslanog na poslužitelj i smanjiti vjerojatnost DDoS napada. "
O Qrator laboratoriju
Qrator Labs prva je DDoS protumjera u Rusiji (prema IDC Russia Anti-DDoS Services Market 2016–2020 prognozi i analizi 2015). Tvrtka je osnovana 2009. godine i pruža usluge za suzbijanje DDoS napada u kombinaciji s rješenjima WAF (Web Application Firewall), organiziranim korištenjem tehnologije partnerske tvrtke Wallarm. Kako bi se učinkovito suprotstavili DDoS napadima, Qrator Labs koristi podatke iz vlastite globalne usluge internetskog praćenja Qrator.Radar. Mreža za filtriranje Qrator izgrađena je na čvorovima koji se nalaze u SAD -u, Rusiji, EU -u i Aziji, što je, uz vlastite algoritme filtriranja, konkurentska prednost tvrtke.
Nestabilna ekonomska situacija u posljednje dvije godine dovela je do značajnog povećanja razine tržišnog natjecanja, zbog čega je popularnost DDoS napada - učinkovite metode izazivanja ekonomske štete - porasla.
U 2016. nekoliko se puta povećao broj komercijalnih narudžbi za organiziranje DDoS napada. Masivni DDoS napadi prešli su iz područja ciljanog političkog utjecaja, kao što je to, na primjer, bilo 2014. godine, u segment masovnog poslovanja. Glavni zadatak kibernetičkih kriminalaca je učiniti resurs nedostupnim što je brže moguće i uz minimalne troškove kako bi za to dobili novac od konkurenata, osigurali si uvjete za iznudu itd. DDoS napadi se sve aktivnije koriste, što potiče potragu za sve većim sredstvima zaštite poslovanja.
Istodobno, broj napada nastavlja rasti, čak i unatoč značajnim uspjesima u borbi protiv DDoS -a. Prema Qrator Labs -u, 2015. broj DDoS napada povećan je za 100%. I to ne čudi, jer su im troškovi pali na oko 5 USD po satu, a alati za njihovu implementaciju ušli su na masivno crno tržište. Evo nekih od glavnih trendova u distribuiranim napadima uskraćivanja usluge koji su predviđeni za sljedećih nekoliko godina.
Napad pojačanja UDP -om
Napadi namijenjeni iscrpljivanju kapaciteta kanala uključuju UDP pojačanje. Takvi su incidenti bili najčešći u 2014., a postali su svijetli trend u 2015. Međutim, njihov je broj već dosegao vrhunac i postupno se smanjuje - resursi za izvođenje takvih napada ne samo da su ograničeni, već se i naglo smanjuju.
Pojačalo je javna UDP usluga koja radi bez provjere autentičnosti, koja može poslati mnogo veći odgovor na mali zahtjev. Napadač slanjem takvih zahtjeva svoju IP adresu zamjenjuje IP adresom žrtve. Kao rezultat toga, povratni promet, koji znatno premašuje propusnost kanala napadača, preusmjerava se na web resurs žrtve. DNS, NTP, SSDP i drugi poslužitelji koriste se za nenamjerno sudjelovanje u napadima.
L7 napadi na web aplikacije
U vezi sa smanjenjem broja pojačala, ponovno dolazi do izražaja organizacija napada na web aplikacije na razini L7 pomoću klasičnih botneta. Kao što znate, botnet je sposoban izvesti mrežne napade pomoću udaljenih naredbi, a vlasnici zaraženih računala toga možda nisu ni svjesni. Kao rezultat preopterećenja usluge zahtjevima za "smeće", zahtjevi legitimnih korisnika općenito ostaju bez odgovora ili je za odgovore potrebno nerazumno veliko vrijeme.
Botneti danas postaju inteligentniji. Prilikom organizacije odgovarajućih napada podržana je tehnologija Full-browser stack, odnosno potpuna emulacija razvoja korisnikovog računala, preglednika i Java skripte. Ovakve tehnike izvrsne su u prikrivanju napada L7. Gotovo je nemoguće ručno razlikovati robota od korisnika. To zahtijeva sustave koji koriste tehnologiju strojnog učenja, zahvaljujući kojoj se povećava razina otpornosti na napade, poboljšavaju mehanizmi i povećava točnost testiranja.
Problemi s BGP -om
Godine 2016. pojavio se novi trend - napadi na mrežnu infrastrukturu, uključujući one koji se temelje na iskorištavanju ranjivosti u BGP protokolu. Problemi BGP protokola usmjeravanja, na kojem se temelji cijeli Internet, poznati su već nekoliko godina, no posljednjih su godina sve više dovodili do ozbiljnih negativnih posljedica.
Mrežne anomalije povezane s usmjeravanjem na sloju mreže između domena mogu utjecati na veliki broj hostova, mreža, pa čak i na globalnu povezanost i dostupnost Interneta. Najčešći tip problema je Route Leaks - "curenje" rute koje se javlja kao rezultat njezinog oglašavanja u pogrešnom smjeru. Do sada se BGP ranjivosti rijetko koriste namjerno: troškovi organizacije takvog napada prilično su visoki, a incidenti uglavnom nastaju zbog banalnih pogrešaka u mrežnim postavkama.
Međutim, posljednjih godina razmjeri organiziranih kriminalnih skupina na internetu značajno su porasli, pa će, prema prognozi Qrator Labsa, napadi povezani s problemima BGP -a u dogledno vrijeme postati popularni. Upečatljiv primjer je otmica IP adresa poznate cyber grupe Hacking Team, provedena po državnom nalogu: talijanska policija morala je preuzeti kontrolu nad nekoliko računala, u odnosu na čije su vlasnike poduzete istražne radnje.
IncidentiTCP
Mrežni stog TCP / IP ima niz problema koji će ove godine postati posebno akutni. Kako bi se održao aktivan rast brzina, internetsku infrastrukturu potrebno je stalno ažurirati. Fizičke brzine internetske veze povećavaju se svakih nekoliko godina. Početkom 2000 -ih. 1 Gbps postao je standard, danas je najpopularnije fizičko sučelje 10 Gbps. Međutim, masovno uvođenje novog standarda za fizičko sučelje, 100 Gbit / s, već je počelo, što uzrokuje probleme sa zastarjelim TCP / IP protokolom, koji nije dizajniran za tako velike brzine.
Na primjer, postaje moguće u nekoliko minuta pokupiti TCP redni broj - jedinstveni numerički identifikator koji omogućuje (ili bolje rečeno, dopuštenim) partnerima na TCP / IP vezi da izvrše međusobnu provjeru autentičnosti u vrijeme uspostave veze i razmjenjivati podatke, čuvajući njihov red i integritet. Pri brzinama od 100 Gbit / s, redak u datotekama dnevnika TCP poslužitelja o otvorenoj vezi i / ili podacima koji se šalju preko nje više ne jamči da je fiksna IP adresa zapravo uspostavila vezu i prenijela te podatke. U skladu s tim, otvara se prilika za organiziranje napada nove klase, a učinkovitost vatrozida može se značajno smanjiti.
TCP / IP ranjivosti privukle su pozornost mnogih istraživača. Smatraju da ćemo već 2016. čuti za napade "visokog profila" vezane uz iskorištavanje ovih "rupa".
Bliska budućnost
Danas se razvoj tehnologija i prijetnji ne odvija po "klasičnoj" spirali, budući da sustav nije zatvoren - na njega utječu mnogi vanjski čimbenici. Rezultat je spirala s rastućom amplitudom - diže se prema gore, složenost napada raste, a doseg tehnologije značajno se širi. Napomenimo nekoliko čimbenika koji imaju ozbiljan utjecaj na razvoj sustava.
Naravno, glavna je migracija na novi transportni protokol IPv6. Krajem 2015. IPv4 je zastario, a IPv6 dolazi do izražaja, što sa sobom nosi i nove izazove: sada svaki uređaj ima IP adresu i svi mogu izravno komunicirati međusobno. Da, postoje nove preporuke o tome kako bi krajnji uređaji trebali funkcionirati, ali kako će se industrija nositi sa svim tim, posebno telekomunikacijski operateri, segment masovnih proizvoda i kineski dobavljači, otvoreno je pitanje. IPv6 mijenja igru.
Drugi izazov je značajan rast mobilnih mreža, njihove brzine i izdržljivosti. Ako je ranije mobilni botnet stvarao probleme, prije svega, samom telekomunikacijskom operateru, sada, kada 4G komunikacija postaje brža od žičanog interneta, mobilne mreže s ogromnim brojem uređaja, uključujući i one proizvedene u Kini, pretvaraju se u izvrsna platforma za izvođenje DDoS -a i hakerskih napada. Problemi nastaju ne samo za telekomunikacijskog operatera, već i za ostale sudionike na tržištu.
Svijet "Interneta stvari" u nastajanju predstavlja ozbiljnu prijetnju. Novi vektori napada pojavljuju se s obzirom na to da veliki broj uređaja i upotreba bežične tehnologije otvaraju doista neograničene mogućnosti hakerima. Svi uređaji povezani s internetom potencijalno mogu postati dio napadačeve infrastrukture i biti uključeni u DDoS napade.
Nažalost, proizvođači svih vrsta kućanskih aparata spojenih na mrežu (kuhala za vodu, televizori, automobili, multikuhači, vage, pametne utičnice itd.) Ne osiguravaju uvijek odgovarajuću razinu svoje zaštite. Često takvi uređaji koriste stare verzije popularnih operacijskih sustava, a dobavljači ne brinu o redovitom ažuriranju - zamjenjujući ih verzijama koje su uklonile ranjivosti. A ako je uređaj popularan i naširoko se koristi, hakeri neće propustiti priliku iskoristiti njegove ranjivosti.
Predznaci problema IoT -a pojavili su se već 2015. Prema preliminarnim podacima, posljednji napad na Blizzard Entertainment izveden je pomoću IoT uređaja. Zlonamjerni kôd otkriven je na modernim čajnicima i žaruljama. Čipovi također olakšavaju hakerima. Ne tako davno objavljen je jeftin čipset, dizajniran za različitu opremu koja može "komunicirati" s internetom. Dakle, napadači ne moraju hakirati 100 tisuća prilagođenih firmvera - samo trebaju "razbiti" jedan čipset i dobiti pristup svim uređajima koji se na njemu temelje.
Predviđa se da će vrlo brzo svi pametni telefoni temeljeni na starijim verzijama Androida biti članovi barem jednog botneta. Za njima će doći svi "pametni" utikači, hladnjaci i ostali kućanski aparati. Za par godina čekaju nas botneti iz čajnika, baby monitora i multicookera. Internet stvari donijet će nam ne samo praktičnost i dodatne mogućnosti, već i mnogo problema. Kad postoji mnogo stvari u IoT -u i svaki pin može poslati 10 bajta, pojavit će se novi sigurnosni izazovi na koje će se morati obratiti pozornost. I za to bismo se trebali pripremiti danas.