Cel mai puternic atac DDOS din lume și care este Brian Krebs? Noile atacuri DDOS maesse au atacat atacurile DDOS

Atacul DOS și DDOS reprezintă un impact extern agresiv asupra resurselor de calcul ale serverului sau asupra unei stații de lucru efectuate pentru a aduce acest lucru din urmă la refuz. În cadrul refuzului, nu înțelegem producția fizică a mașinii în ordine, iar inaccesibilitatea resurselor sale pentru utilizatorii conștiincioși este de a eșec sistemul în întreținerea lor ( D.enial o.f. S.ervice, de la care abrevierea DOS este pliată).

Dacă un astfel de atac este realizat dintr-un singur computer, acesta este clasificat ca DOS (DOS) dacă din mai multe DDOS (DidoS sau DDOS), ceea ce înseamnă "D.istribuit D.enial o.f. S.ervice "- distribuit înainte de a refuza menținerea. Apoi, să vorbim, pentru care atacatorii efectuează efecte similare, ceea ce sunt, ce rău cauzează atacarea și ca ultimii să-și protejeze resursele.

Care poate suferi de atacurile DOS și DDOS

Serverele și site-urile de întreprinderi corporative sunt expuse la atacuri, mult mai rar - computere personale ale indivizilor. Scopul unor astfel de acțiuni este, de obicei, unul - pentru a aplica răul economic pentru a ataca și a rămâne la umbra. În unele cazuri, atacurile DOS și DDOS sunt unul dintre pașii de hacking de servere și vizează furtul sau distrugerea informațiilor. De fapt, victima atacatorilor poate fi o întreprindere sau un site aparținând oricui.

Diagrama care ilustrează esența atacurilor DDOS:

Atacurile DOS și DDOS sunt cele mai des desfășurate cu depunerea concurenților necinstiți. Deci, site-ul "Lumbering" al magazinului online, care oferă un produs similar, poate fi "monopolist" pentru o vreme și ia-ți clienții la tine însuți. "Punerea" unui server corporativ, puteți discerne activitatea unei companii concurente și, prin urmare, reducă poziția pe piață.

Atacurile la scară largă care pot aplica daune semnificative sunt de obicei efectuate de cibernetice profesionale pentru bani considerabili. Dar nu in totdeauna. Atacarea resurselor dvs. poate și iubitorii de hackeri de origine animală - de la interese și răzbunători din rândul angajaților concediați și doar cei care nu vă împărtășesc opiniile asupra vieții.

Uneori, impactul este efectuat în scopul extorcării, atacatorul în același timp necesită în mod deschis bani de la proprietarul resursei pentru încetarea atacului.

Serverele companiilor de stat și ale organizațiilor bine-cunoscute sunt adesea atacate de grupuri anonime de hackeri cu înaltă calificare în scopul expunerii la funcționari sau al apelului de rezonanță publică.

Cum se desfășoară atacurile

Principiul atacurilor DOS și DDOS va fi trimis la un server de flux mare, care este maxim (cât de mult permite capabilitățile hackerului) încarcă resursele procesorului de calcul, RAM, se blochează canalele de comunicație sau umple spațiul pe disc. Mașina atacată nu face față prelucrării datelor primite și nu mai răspunde la solicitările utilizatorilor.

Acesta este modul în care funcționează serverul normal vizualizat în programul Logstalgia:

Eficacitatea atacurilor unice DOS nu este prea mare. În plus, un atac de la un computer personal expune un atacator la risc de identificare și prins. Un profit mult mai mare oferă atacurilor distribuite (DDOS), efectuate cu așa-numitele rețele zombie sau botneturi.

Deci, afișează site-ul de activitate BatTNet nosse-corp.com:

Rețeaua zombie (botnet) este un grup de computere care nu au comunicații fizice între ele. Ele sunt unite de faptul că toate acestea sunt sub controlul atacatorului. Controlul este realizat prin programul troian, care până când timpul nu se poate arăta. Când țineți un atac, hackerul oferă computerelor infectate să trimită cereri către site sau pe serverul victimei. Și el, fără a rezista atacului, nu mai răspunde.

SO LOGSTALGIA arată un atac DDOS:

Introduceți BotNet poate absolut orice computer. Și chiar un smartphone. Este suficient să luați troianul și să nu îl detectați la timp. Apropo, cel mai mare botnet numerotat aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor nu aveau idee ce trebuiau să facă.

Metode de atac și protecție

Înainte de a începe atacul, hackerul constată cum să-l cheltuiți cu un efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica semnificativ opoziția. Prin urmare, fiecare administrator de server este important pentru a explora toate "blocajele" sale și pentru a le întări.

Potop.

Inundații, vorbind prin limbaj simplu, aceasta este informația care nu poartă încărcătura semantică. În contextul atacului DOS / DDOS, inundațiile sunt o avalanșă de solicitări goale, fără sens pentru unul sau altul pe care nodul de primire este obligat să proceseze.

Scopul principal al utilizării inundațiilor este de a marca complet canalele de comunicare, de saturarea lățimii de bandă la un maxim.

Tipuri de inundații:

  • MAC-Flood - Impactul asupra comunicatorilor de rețea (blocarea porturilor de fluxuri de date).
  • ICMP inundații - victima victimei de către Echoes cu ajutorul unei rețele zombie sau a cererilor de trimitere "în numele nodului atacat, astfel încât toți membrii botnet să-i trimită simultan un răspuns ecou (atac SMURF). Cazul privat ICMP-inundații de inundații (trimiterea la serverul de interogare PING).
  • Syn-Flood - Trimiterea unei victime a numeroaselor cereri SYN, copleșitorul coada de conexiune TCP prin crearea unui număr mare de jumătate de deschidere (așteptare pentru confirmarea clientului).
  • UDP Inundații - Lucrări în conformitate cu schema de atac SMURF, unde se trimite datagrama UDP în loc de pachete ICMP.
  • HTTP Flud - Serverul de sablare prin numeroase mesaje HTTP. O versiune mai sofisticată - HTTPS inundații, unde datele trimise sunt pre-criptate și înainte ca nodul atacat să se ocupe de acestea, va trebui să le descifreze.


Cum de a proteja împotriva inundațiilor

  • Configurarea comutatoarelor de rețea pentru a verifica valabilitatea și filtrarea adreselor Mac.
  • Să limiteze sau să interzică cererile ICMP ECHO.
  • Blocați pachetele provenite de la o anumită adresă sau domeniu, care dă motive să o suspecteze în fiabilitate.
  • Setați limita la numărul de conexiuni cu jumătate deschise cu o singură adresă, reduceți timpul de reținere, prelungiți coada de conectare TCP.
  • Dezactivați serviciile UDP de la primirea traficului din exterior sau limitarea numărului de conexiuni UDP.
  • Utilizați captcha, întârzieri și alte tehnici pentru protecția împotriva robotului.
  • Creșteți numărul maxim de conexiuni HTTP, configurați cache-ul interogării utilizând Nginx.
  • Extindeți lățimea de bandă a canalelor de rețea.
  • Dacă este posibil, selectați un server separat pentru procesarea criptografiei (dacă este utilizată).
  • Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

Supraîncărcarea resurselor hardware

Există soiuri de inundații care nu afectează canalul de comunicare, ci pe resursele hardware ale computerului au atacat, descărcându-le la plin și provocând finalizarea înghețării sau de urgență. De exemplu:

  • Crearea unui script care va fi plasat pe un forum sau pe un site web în care utilizatorii au posibilitatea de a lăsa comentarii, o cantitate imensă de informații de text fără sens până când tot spațiul pe disc va fi umplut.
  • Același lucru este doar pentru a umple serverul de server Drive.
  • Încărcarea site-ului în care se efectuează orice conversie a datelor introduse, procesarea continuă a acestor date (trimiterea așa-numitelor pachete "grele").
  • Încărcarea procesorului sau a memoriei pentru a executa codul prin interfața CGI (suportul pentru CGI vă permite să rulați orice program extern pe server).
  • Apelarea sistemului de securitate, ceea ce face ca serverul să fie inaccesibil din exterior etc.


Cum să vă protejați de supraîncărcarea hardware

  • Creșteți performanța echipamentului și spațiul pe disc. Când serverul funcționează, cel puțin 25-30% din resurse ar trebui să rămână liberi.
  • Introduceți analiza și filtrarea traficului înainte de al trimite la server.
  • Limitați utilizarea resurselor hardware pe componentele sistemului (cotele setate).
  • Stocați fișierele de jurnal ale serverului pe o unitate separată.
  • Resursele dispersate pe mai multe servere independent unul de celălalt. Astfel încât, cu eșecul unei părți alții să păstreze performanța.

Vulnerabilități în sistemele de operare, software, firmware de dispozitiv

Variantele de astfel de atacuri sunt incomensurabile mai mari decât utilizarea inundațiilor. Implementarea lor depinde de calificările și experiența unui atacator, abilitatea sa de a găsi erori în codul programului și de a le folosi pentru sine și în rău proprietarului resursei.

După ce hackerul detectează o vulnerabilitate (o eroare software folosind care puteți perturba funcționarea sistemului), va trebui să creeze și să lanseze un exploatat - un program care exploatează această vulnerabilitate.

Funcționarea vulnerabilităților nu are întotdeauna scopul de a provoca numai un refuz de întreținere. Dacă Khakura este norocoasă, el va putea să obțină control asupra resurselor și va dispune de acest "dar de soartă" la discreția sa. De exemplu, utilizați pentru a difuza programe rău intenționate, furați și distrugeți informațiile etc.

Metode de combatere a funcționării vulnerabilităților în soft

  • Instalați în timp util actualizările care încheie vulnerabilitatea sistemelor și aplicațiilor de operare.
  • Izolați de la accesul terț Toate serviciile concepute pentru a rezolva sarcinile administrative.
  • Utilizați instrumentele de monitorizare continuă a funcționării serverului și a sistemului de operare a programului (analiză comportamentală etc.).
  • Refuzați programele potențial vulnerabile (libere, auto-scrise, rareori actualizate) în favoarea dovedită și bine protejată.
  • Utilizați mijloace de protecție prelevate de sisteme de protecție din atacurile DOS și DDOS care există atât sub formă de complexe hardware și software.

Cum de a determina ce resursă a fost atacat hacker

Dacă atacatorul a reușit să atingă un scop, să nu observe atacul este imposibil, dar, în unele cazuri, administratorul nu poate determina cu precizie când a început. Asta este, de la începutul atacului la simptome vizibile, uneori trece câteva ore. Cu toate acestea, în timpul unui impact ascuns (până când serverul "se așeză") prezintă și anumite semne. De exemplu:

  • Comportamentul nenatural al aplicațiilor de servere sau al sistemului de operare (închidere, oprire cu erori etc.).
  • Încărcarea pe procesor, RAM și unitatea în comparație cu nivelul inițial crește brusc.
  • Volumul traficului pe unul sau mai multe porturi este crescut uneori.
  • Există mai mulți acces la clienți la aceleași resurse (deschiderea unei pagini a site-ului, descărcând același fișier).
  • Analiza bustei serverului, a firewall-ului și a dispozitivelor de rețea prezintă un număr mare de solicitări monotone din diferite adrese vizate adesea la un anumit port sau serviciu. Mai ales dacă site-ul este axat pe o audiență îngustă (de exemplu, vorbirea rusă), iar cererile merg din întreaga lume. O analiză calitativă a traficului arată în același timp că recursurile nu au un înțeles practic pentru clienți.

Toate cele de mai sus nu sunt un semn de atac de o sută la sută, dar este întotdeauna un motiv să acorde atenție problemei și să ia măsuri adecvate de protecție.

Care atacă?

Potrivit băncii centrale, în anul 2016 numărul organizațiilor financiare ruse a crescut aproape de două ori. În noiembrie, atacurile DDOS au vizat cinci mari bănci rusești. La sfârșitul anului trecut, banca centrală a informat atacurile DDOS privind organizațiile financiare, inclusiv banca centrală. "Scopul atacurilor a fost o încălcare a activității serviciilor și, ca urmare, o prezentare a încrederii în aceste organizații. Aceste atacuri au fost notabile pentru faptul că a fost prima utilizare la scară largă a internetului în Rusia. Practic, camerele video pe Internet și routerele interne au fost implicate în atac, "remarcat în serviciile de securitate ale băncilor mari.

În același timp, atacurile DDOS nu au adus daune substanțiale băncilor - nu sunt protejate rău, prin urmare astfel de atacuri, deși au dat probleme, dar nu erau critice și nu au încălcat niciun serviciu. Cu toate acestea, se poate afirma că activitatea antibankică a hackerilor a crescut semnificativ.

În februarie 2017, serviciile tehnice ale Ministerului Sănătății din Rusia au reflectat cel mai mare atac DDOS din ultimii ani, care în modul de vârf a ajuns la 4 milioane de solicitări pe minut. Atacurile DDOS au fost luate pe registrele de stat, dar au fost, de asemenea, nereușite și nu au condus la modificări ale datelor.

Cu toate acestea, victimele atacurilor DDOS devin ca numeroase organizații și companii de a poseda o astfel de "apărare" atât de puternică. În 2017, este de așteptat să sporească daunele de la programele de cibernetice - extorsionate, DDO-uri și atacuri pe internet de lucruri.


Dispozitivele IOT devin din ce în ce mai populare ca instrumente pentru implementarea atacurilor DDOS. Un eveniment semnificativ a fost atacul DDOS întreprins în septembrie 2016 utilizând codul malware Mirai. În ea, sute de mii de camere și alte dispozitive din sistemele de supraveghere video efectuate în ea.

A fost făcută împotriva furnizorului de găzduire franceză OVH. A fost cel mai puternic atac DDOS - aproape 1 Tbit / s. Hackerii cu un botnet au implicat 150 de mii de dispozitive IOT, majoritatea camerelor de supraveghere video. Atacurile care utilizează botnetul Mirai au pus începutul unei multitudini de botneturi de la dispozitive IOT. Potrivit experților, în 2017, IOT-Bootnets va continua să fie una dintre principalele amenințări la adresa spațiului cibernetic.


Potrivit rapoartelor privind incidentul Verizon Data Breach 2016 (DBIR), anul trecut numărul de atacuri DDOS a crescut semnificativ. Industria de divertisment din lume, organizațiile profesionale, educația, IT, cu amănuntul suferă în lume.

Tendința remarcabilă a atacurilor DDOS - extinderea "Listei de suprafețe". Acesta include acum reprezentanți ai aproape tuturor industriei. În plus, metodele de atac sunt îmbunătățite.
Potrivit lui NexuGuard, la sfârșitul anului 2016, numărul de atacuri DDOS de tip mixt a crescut considerabil - folosind mai multe vulnerabilități simultan. Cel mai adesea, au fost supuși organizațiilor financiare și de stat. Motivul principal al Kibemniki (70% din cazuri) - Furtul de date sau amenințarea distrugerii lor pentru a răscumpăra. Mai puțin adesea obiective politice sau sociale. De aceea, strategia de apărare este importantă. Se poate pregăti pentru atac și poate minimiza consecințele sale, reduce riscurile financiare și reputaționale.

Consecințele atacurilor

Care sunt consecințele atacurilor DDOS? În timpul atacului, victima pierde clienții din cauza muncii lente sau a inaccesibilității complete a site-ului, reputația afacerii suferă. Furnizorul de servicii poate bloca adresa IP a victimei pentru a minimiza daunele altor clienți. Pentru a restabili totul, veți avea nevoie de timp și, probabil, bani.
Potrivit sondajului companiei, atacurile DDOS sunt considerate jumătate organizații ca fiind una dintre cele mai grave amenințări cibernetice. Pericolul DDO-urilor este chiar mai mare decât pericolul accesului neautorizat, a virușilor, a fraudei și a phishingului, ca să nu mai vorbim de alte amenințări.

Pierderile medii ale atacurilor DDOS sunt estimate la 50 de mii de dolari pentru organizații mici și aproape 500 de mii de dolari pentru întreprinderile mari. Eliminarea consecințelor atacului DDOS va necesita ore suplimentare de lucru ale personalului, resursele distrage atenția de la alte proiecte de securitate, dezvoltând un plan de actualizare pentru actualizările software etc.


Reputația organizației atacate poate suferi nu numai din cauza lucrărilor slabe ale site-ului, ci și datorită furtului de date cu caracter personal sau informații financiare.
Potrivit sondajului companiei, numărul de atacuri DDOS crește anual cu 200%, în fiecare zi în raportul mondial privind 2 mii de atacuri de acest tip. Costul organizării atacurilor DDOS Durata săptămânală este de numai aproximativ 150 de dolari, iar pierderea victimei depășește 40 de mii de dolari pe oră.

Tipuri de atacuri DDOS

Principalele tipuri de atacuri DDOS: atacuri masive, atacuri la nivelul protocolului și atac la nivelul aplicațiilor. În orice caz, scopul este de a aduce site-ul pentru a fura datele. Un alt tip de criminalitate informatică este amenințarea unui atac DDOS pentru răscumpărare. Aceasta combină astfel de grupuri hacker ca Armada colectivă, lizard, reddoor și EZBTC.

Organizația DDOS-Atac a simplificat considerabil: acum există instrumente automate disponibile pe scară largă, care practic nu necesită cunoștințe speciale din partea ciberneticilor. Există, de asemenea, servicii DDOS plătite pentru un atac țintă anonim. De exemplu, serviciul VDOS oferă serviciile sale fără a verifica dacă clientul este proprietarul site-ului, care dorește să-l testeze "sub sarcină" sau acest lucru se face cu scopul de atac.


Atacurile DDOS sunt atacuri din mai multe surse care împiedică accesul utilizatorilor legitimi la locul atacat. Pentru a face acest lucru, o cantitate imensă de solicitări sunt trimise la sistemul atacat, care nu poate face față. De obicei, sistemele compromise sunt utilizate în acest scop.

Creșterea anuală a numărului de Atacks DDOS este estimată la 50% (conform informațiilor), dar aceste surse diferă, iar nu toate incidentele devin cunoscute. Puterea medie a stratului de atacuri DDOS 3/4 a crescut în ultimii ani de la 20 la câteva sute de GB / s. Deși atacurile și atacurile de masă la nivelul protocolului sunt deja în sine - lucrul este neplăcut, ciberneticul de cibernetic se combină din ce în ce mai mult cu atacurile DDOS din stratul 7, adică la nivelul aplicațiilor care vizează schimbarea sau furtul de date. Astfel de atacuri "multi-vector" pot fi foarte eficiente.


Atacurile multi-vector reprezintă aproximativ 27% din numărul total de atacuri DDOS.

În cazul unui atac DDOS masiv (bazat pe volum), se utilizează un număr mare de cereri, trimise adesea de la adresele IP legitime, astfel încât site-ul "sufocat" în trafic. Scopul unor astfel de atacuri este de a "scor" întreaga lățime de bandă accesibilă și de a suprapune traficul legitim.

În cazul unui atac la nivelul protocolului (de exemplu, UDP sau ICMP), obiectivul este epuizarea resurselor de sistem. Pentru aceasta, cererile deschise sunt trimise, de exemplu, cererile TCP / IP cu IP fals, și ca urmare a epuizării resurselor de rețea, devine imposibil să se proceseze interogări legitime. Reprezentanții tipici - atacurile DDOS cunoscute în cercuri înguste ca DDO-uri SMURF, ping de moarte și inundații Syn. Un alt tip de atacuri de protocol DDOS este de a trimite un număr mare de pachete fragmentate cu care sistemul nu face față.

Layer 7 DDOS Attack trimite inofensiv pentru tipul de solicitări care arată ca rezultatul acțiunilor obișnuite ale utilizatorilor. De obicei, pentru implementarea lor, utilizați botnetele și instrumentele automate. Exemple renumite - Slowloris, Killer Apache, Scripting Cross-site, SQL-Injection, injecție de la distanță.

În perioada 2012-2014, majoritatea atacurilor DDOS masive au fost atacate ale tipului de apatrid (fără a memora state și sesiuni de urmărire) - au folosit protocolul UDP. În cazul apatrizilor într-o singură sesiune (de exemplu, deschiderea paginii) circulă o mulțime de pachete. Cine a început sesiunea (a solicitat o pagină), dispozitivul apatrid, de regulă, nu știu.

Protocolul UDP este supus unui pachet - înlocuirea adresei. De exemplu, dacă aveți nevoie să atacați serverul DNS la 56.26.56.26, utilizând atacul de amplificare DNS, puteți crea un set de pachete cu adresa expeditorului 56.26.56.26 și să le trimiteți la serverele DNS din întreaga lume. Aceste servere vor trimite răspunsul la adresa 56.26.56.26.

Aceeași metodă funcționează pentru serverele NTP, dispozitive de suport SSDP. Protocolul NTP nu este greu metoda cea mai populară: în a doua jumătate a anului 2016, a fost utilizat în 97,5% din atacurile DDOS.
Cea mai bună regulă de practică curentă (BCP) 38 recomandă furnizorilor să configureze gateway-urile pentru a preveni spoofing - controlează adresa expeditorului, rețeaua sursă. Dar această practică nu este urmată de toate țările. În plus, atacatorii bypass BCP 38 control, transformând atacurile tipului de vârf, la nivelul TCP. Potrivit Centrului de operațiuni de securitate F5 (SOC), în ultimii cinci ani, astfel de atacuri domină. În 2016, atacurile TCP au fost de două ori mai mari decât atacurile care utilizează UDP.

Atacurile Layer 7 sunt în mare parte hackeri profesioniști. Principiul este după cum urmează: o adresă URL "greoaie" (cu un fișier PDF sau o cerere către o bază de date mare) și zeci sau sute de ori pe secundă repetă. Stratul 7 Atacurile au consecințe grave și sunt greu de recunoscut. Acum reprezintă aproximativ 10% din atacurile DDOS.


Raportul diferitelor tipuri de Atacuri DDOS, în conformitate cu raportul raportului de investigații privind verificarea datelor Verizon (DBIR) (2016).

Adesea, atacurile DDOS sunt programate până la perioadele de trafic de vârf, de exemplu, până în zilele vânzărilor pe Internet. Curenți mari de date personale și financiare atrag în acest moment hackeri.

Atacurile DDOS asupra DNS

Sistemul de nume de domeniu (sistemul de nume de domeniu, DNS) joacă un rol fundamental în performanța și disponibilitatea site-ului. În cele din urmă - în succesul afacerii dvs. Din păcate, infrastructura DNS devine adesea scopul atacurilor DDOS. Suprimarea infrastructurii DNS, atacatorii vă pot deteriora site-ul, reputația companiei dvs. și influențează indicatorii săi financiari. Pentru a rezista amenințărilor moderne, infrastructura DNS ar trebui să fie foarte stabilă și scalabilă.
În esență, DNS este o bază de date distribuită, care, printre altele, este configurată să citească numele site-urilor de adrese IP, ceea ce permite utilizatorului să ajungă la site-ul dorit după introducerea URL-ului. Prima interacțiune a utilizatorului cu site-ul începe cu cererile DNS trimise la serverul DNS cu o adresă de domeniu Internet a site-ului dvs. Prelucrarea acestora poate avea la 50% din timpul de încărcare a paginii web. Astfel, reducerea performanței DNS poate duce la îngrijirea utilizatorului de pe site și pierderi pentru afaceri. Dacă serverul dvs. DNS încetează să răspundă ca urmare a unui atac DDOS, atunci nimeni nu poate ajunge la site.

Atacurile DDOS sunt dificil de detectat, mai ales la început, când traficul arată normal. Infrastructura DNS poate fi supusă diferitelor tipuri de atacuri DDOS. Uneori este un atac direct asupra serverelor DNS. În alte cazuri, exploatarea utilizează sistemul DNS pentru a ataca alte elemente ale infrastructurii sau serviciilor IT.


Atunci când atacă reflecția DNS, scopul este supus unor răspunsuri masive de substanță DNS. Pentru aceasta folosiți botnetele, infectarea a sute și mii de computere. Fiecare bot dintr-o astfel de rețea generează mai multe solicitări DNS, dar, deoarece o sursă IP utilizează aceeași adresă IP a țintei (spoofing). Serviciul DNS răspunde la această adresă IP.

Acest lucru realizează un efect dublu. Sistemul țintă bombardați mii și milioane de respondenți DNS, iar serverul DNS poate "minciuna" fără a cita sarcina. Cererea DNS în sine este de obicei mai mică de 50 octeți, răspunsul este de zece ori mai mare. În plus, mesajele DNS pot conține multe alte informații.

Să presupunem că atacatorul a emis 100.000 de interogări DNS scurte la 50 de octeți (doar 5 MB). Dacă fiecare răspuns conține 1 KB, atunci în suma este deja de 100 MB. Prin urmare, numele - amplificarea. O combinație de atacuri de reflecție și amplificare DNS poate avea consecințe foarte grave.


Solicitările arată ca traficul obișnuit, iar răspunsurile sunt un set de mesaje de dimensiuni mari trimise sistemului țintă.

Cum de a proteja împotriva atacurilor DDOS?

Cum de a proteja împotriva atacurilor DDOS, ce măsuri de făcut? În primul rând, nu ar trebui să o amânați "pentru mai târziu". Unele măsuri ar trebui luate în considerare la configurarea rețelei, lansarea serverelor și implementarea software-ului. Și fiecare schimbare ulterioară nu ar trebui să crească vulnerabilitatea atacurilor DDOS.
  • Codul programului de siguranță. La scrierea software-ului, ar trebui luate în considerare considerentele de securitate. Se recomandă să urmați standardele "codificare securizată" și să testați bine software-ul pentru a evita erorile și vulnerabilitățile tipice, cum ar fi scripturile de tip încrucișat și injecțiile SQL.

  • Dezvoltați un plan de acțiune atunci când actualizați software-ul. Ar trebui să existe întotdeauna o oportunitate "Rollback" dacă ceva nu merge bine.

  • Actualizați software-ul în timp util. Dacă gestionați actualizările gestionate, dar au apărut probleme, a se vedea paragraful 2.

  • Nu uitați de restricționarea accesului. Conturile de administrare și / sau trebuie să fie protejate parole puternice și regulate conectate. Există, de asemenea, un audit periodic al drepturilor de acces, eliminarea în timp util a conturilor celor care au stins angajații.

  • Interfața de admin trebuie să fie disponibilă numai din rețeaua internă sau prin VPN. În timp util, închideți accesul VPN pentru cei care au renunțat și au respins în special angajații.

  • Porniți eliminarea consecințelor atacurilor DDOS la planul de recuperare de urgență. Planul ar trebui să ofere modalități de identificare a acestui atac, contacte pentru comunicarea cu furnizorul de internet sau de găzduire, copacul "escaladării" copac pentru fiecare departament.

  • Scanarea pentru vulnerabilități va ajuta la identificarea problemelor din infrastructura și software-ul dvs., reduceți riscurile. Testul simplu Owasp Top 10 Vulnerabilitate va identifica cele mai critice probleme. Testele de penetrare vor fi, de asemenea, utile - acestea vor ajuta la găsirea unor puncte slabe.

  • Protecția hardware împotriva atacurilor DDOS poate fi tăcută. Dacă bugetul dvs. nu prevede acest lucru, adică o bună alternativă - protecția împotriva DDOS "la cerere". Acest serviciu poate fi inclus printr-o simplă schimbare a schemei de rutare a traficului într-o situație de urgență sau este în mod constant sub protecție.

  • Utilizați partenerul CDN. Rețeaua de livrare a conținutului (rețeaua de livrare a conținutului) vă permite să furnizați conținut de conținut printr-o rețea distribuită. Traficul este distribuit pe o varietate de servere, întârzierea accesului utilizatorilor este redusă, inclusiv telecomanda geografică. Astfel, deși principalul avantaj al CDN este viteza, acesta servește și ca o barieră între serverul principal și utilizatori.

  • Utilizați firewall-ul aplicației Web - firewall pentru aplicații web. Acesta monitorizează traficul între site sau aplicație și browser, verificând legitimitatea cererilor. Lucrul la nivel de aplicare, WAF poate identifica atacurile asupra șabloanelor stocate și poate identifica comportamentul neobișnuit. Atacurile la nivelul aplicațiilor nu sunt neobișnuite în comerțul electronic. Ca și în cazul CDN, puteți utiliza serviciile WAF în nor. Cu toate acestea, configurația regulilor necesită o anumită experiență. În mod ideal, toate aplicațiile de bază trebuie să fie prevăzute cu WAF.

    • Protecția DNS.

    Și cum să protejați infrastructura DNS de la atacurile DDOS? Firewall-urile obișnuite și IPS aici nu vor ajuta, sunt neputincioși împotriva atacului DDOS complex asupra DNS. De fapt, sistemele de firewall-uri și de prevenire a intruziunilor sunt vulnerabile la atacurile DDOS.
    Serviciile de curățenie a serviciilor cloud pot veni la venituri: este trimis unui anumit centru în care este verificat și redirecționat înapoi în scopul dorit. Aceste servicii sunt utile pentru traficul TCP. Cei care își administrează înșiși infrastructura DNS pot, pentru slăbirea consecințelor atacurilor DDOS, să ia următoarele măsuri.
  • Serverele DNS Monitorizarea pentru activități suspecte este primul pas în protejarea infrastructurii DNS. Soluțiile comerciale DNS și produsele open source, cum ar fi legarea, furnizează statistici în timp real care pot fi utilizate pentru detectarea atacurilor DDOS. Monitorizarea DDO-ACK poate fi o sarcină intensivă a resurselor. Cel mai bine este să creați un profil de infrastructură de bază în condiții normale de funcționare și apoi să îl actualizați din când în când ca infrastructură și modificări ale modelelor de trafic.

  • Resursele suplimentare ale serverului DNS vor contribui la combaterea atacurilor la scară mică datorită redundanței infrastructurii DNS. Resursele de server și de rețea nu ar trebui să fie suficiente pentru a gestiona mai multe interogări. Desigur, redundanța costă bani. Plătiți pentru resursele de server și de rețea, care de obicei nu sunt utilizate în condiții normale. Și cu o "rezervă" semnificativă a puterii, această abordare este puțin probabil să fie eficientă.

  • Includerea limiterii ratei de răspuns DNS (RRL) va reduce probabilitatea ca serverul să fie implicat în atacul de reflecție DDOS - viteza răspunsului la cererile repetate va scădea. RRL sprijină multe implementări DNS.

  • Utilizați configurații de înaltă disponibilitate. Puteți proteja împotriva atacului DDOS prin implementarea serviciului DNS pe un server de înaltă disponibilitate (HA). Dacă atacul "Falls" un server fizic, serviciul DNS poate fi restabilit pe serverul de rezervă.

    • Cea mai bună modalitate de a proteja DNS de atac DDOS va fi utilizarea unei rețele distribuite din punct de vedere geografic. Rețelele distribuite DNS pot fi implementate utilizând două abordări diferite: adresarea unicast sau oricăreia. Prima abordare este mult mai ușor de implementat, dar al doilea este mult mai rezistent la atacurile DDOS.

    În cazul Unicast, fiecare dintre serverele DNS compania dvs. primește o adresă IP unică. DNS acceptă tabelul server DNS din domeniul dvs. și adresele IP corespunzătoare. Când utilizatorul introduce adresa URL, una dintre adresele IP în ordine aleatorie este selectată pentru a executa interogarea.

    Cu diagrama de adresare Anycast, diferite servere DNS utilizează o adresă IP comună. La intrarea în utilizatorul URL, adresa colectivă a serverelor DNS este returnată. Rețeaua IP trasează o cerere către cel mai apropiat server.

    Anycast oferă avantaje fundamentale față de unicast în ceea ce privește securitatea. Unicast oferă adresele IP ale serverelor individuale, astfel încât atacatorii pot iniția atacuri vizate asupra anumitor servere fizice și mașini virtuale, iar atunci când resursele acestui sistem sunt epuizate, serviciul eșuează. AnyCast poate ajuta la înmuiați atacul DDOS prin distribuirea cererilor între grupul de servere. Anycast este, de asemenea, utilă pentru a utiliza consecințele atacului pentru izolație.

    Atacurile DDOS furnizate de furnizor

    Proiectarea, desfășurarea și funcționarea rețelei globale Anycast necesită timp, bani și know-how. Majoritatea organizațiilor IT nu au specialiști și finanțe pentru acest lucru. Puteți încredința oferirea funcționării furnizorului de infrastructură DNS - un furnizor de servicii gestionate care să fie specializat în DNS. Ei au cunoștințele necesare pentru a proteja DNS de la atacurile DDOS.

    Furnizorii de servicii DNS gestionați exploatează rețele de orizont la scară largă și au puncte de prezență în întreaga lume. Experții în domeniul siguranței rețelei efectuează monitorizarea rețelei în 24/7/365 și aplică mijloace speciale pentru a atenua efectele atacurilor DDOS.


    Serviciile oferă unor furnizori de servicii de găzduire: analiza traficului de rețea se efectuează în modul 24/7, astfel încât site-ul dvs. va fi în siguranță relativă. O astfel de protecție este capabilă să reziste atacurilor puternice - până la 1500 GB / s. Plătibile la trafic.

    O altă opțiune este de a proteja adresele IP. Furnizorul plasează adresa IP pe care clientul a ales-o ca protejat, la o rețea specială de analiză. Atunci când atacă traficul către client este comparat cu șabloanele bine cunoscute de atac. Ca urmare, clientul primește numai trafic curat și filtrat. Astfel, utilizatorii site-ului nu s-ar putea să știe că a fost luat un atac asupra lui. Pentru a organiza acest lucru creează o rețea distribuită de noduri de filtrare, astfel încât pentru fiecare atac puteți selecta cel mai apropiat nod și puteți minimiza întârzierea în transmiterea traficului.

    Rezultatul utilizării serviciilor de protecție împotriva atacurilor DDOS va fi detectarea și prevenirea în timp util a atacurilor DDOS, continuitatea funcționării site-ului și disponibilitatea constantă a acestora pentru utilizatori, minimizând pierderile financiare și reputaționale de la întreruperea site-ului sau portalul.

    Qurator laboratoare, specializată în atacurile DDOS și accesarea resurselor Internet, au înregistrat faptul că ADO-urile de mare viteză asupra celor mai mari resurse web utilizând tehnici de amplificare bazate pe memcache (software care implementează serviciul de cache a datelor în memoria RAM bazată pe mese hash).

    În perioada 23-27 februarie 2018, valul de memkache a fost laminat pe tot parcursul Europei atacurile DDOS amplificate. Tehnica unui astfel de atac este de a asculta atacatorii de trafic UDP supuși instalării parametrilor Memcache implicit, adică inundațiile UDP este de fapt utilizat - trimiterea setului de pachete FAKE UDP pe unitate de timp dintr-o gamă largă de IP adrese.

    Problemele de securitate MEMCache sunt cunoscute cel puțin din 2014, însă, în 2018, această vulnerabilitate sa manifestat deosebit de intens: în noaptea de 25-26 februarie, specialiștii de laboratoare Qrator au observat o serie de atacuri DDOS amplificate pe tot parcursul Internetului, inclusiv atacurile Rusia cea mai mare resurse de rețea.

    În 2017, un grup de cercetători de la echipa chineză Okee a vorbit despre posibilitatea de a organiza astfel de atacuri, indicând puterea lor potențial distructivă.

    În ultimele zile, multe surse au confirmat faptul că atacul de răspunsuri amplificate din resursele MEMCache, cu atacuri de răspunsuri de la DNS și NTP. Sursele acestor atacuri spofed au fost un furnizor major OVH și un număr mare de furnizori de internet mai mici și gazde.

    Unul dintre clienții companiei Quras Labs este sistemul de plată QIWI confirmă faptul că un atac neutralizat cu succes al unui trafic UDP de 480 Gbit / SEC în resursele sale de la amplificatoarele memcache compromise.

    "Tehnicile moderne de implementare a atacurilor DDOS nu stau în picioare. Din ce în ce mai mult, am stabilit apariția unor noi "broși" în infrastructura internetului, care sunt utilizate cu succes de atacatori pentru a implementa atacuri. Atacurile care folosesc memcache, viteza a ajuns la câteva sute de GB / s, a devenit confirmată, - comentarii privind directorul general și fondatorul Qurator Labs Alexander Lyamin. - Resursele de memorie vulnerabile pe Internet o sumă imensă și recomandăm cu insistență specialiștii tehnici pentru a face configurația corectă a memcache-ului, fără a uita de instalațiile implicite. Acest lucru va ajuta la evitarea ascultării întregului trafic UDP trimis către server și reduce probabilitatea atacurilor DDOS ".

    Despre Qurator Labs.

    Laboratoarele Qrator - numărul unu în DDOS Countering în Rusia (conform IDC RUSIA Anti-DDOS Piața serviciilor 2016-2020 Prognoza și analiza 2015). Compania a fost înființată în 2009 și oferă serviciile de a contracara atacurile DDOS într-un complex cu soluții WAF (Web Application Firewall) organizate de tehnologia partenerului Wallarm. Pentru a contracara eficient atacurile DDOS, Qurator Labs utilizează propriile servicii de monitorizare globale ale Qurator.radar. Rețeaua de filtrare Qrator este construită pe nodurile situate în SUA, Rusia, UE și Asia, care, împreună cu algoritmi proprii de filtrare, este un avantaj competitiv al companiei.

    Situația economică instabilă din ultimii doi ani a condus la o creștere semnificativă a nivelului luptei competitive pe piață, ca rezultat al popularității atacurilor DDOS - o metodă eficientă de aplicare a daunelor economice.

    În 2016, numărul de ordine comerciale pentru organizarea atacurilor DDOS a crescut de mai multe ori. Atacurile Masive DDOS au trecut din zona influențelor politice punct, cum ar fi, de exemplu, în 2014, într-un segment de afaceri masiv. Sarcina principală a atacatorilor este cât mai repede posibil și cu costuri minime pentru a face o resursă inaccesibilă pentru a obține bani de la concurenți pentru acest lucru, pentru a se asigura că condițiile de extorcare etc. Atacurile DDOS sunt folosite din ce în ce mai activ, ceea ce stimulează căutarea pentru instrumentele din ce în ce mai mari de protecție a afacerilor.

    În același timp, numărul de atacuri continuă să crească, chiar și în ciuda succesului vizibil în lupta împotriva DDOS. Potrivit lui Quras Labs, în 2015, cantitatea de atacuri DDOS a crescut cu 100%. Și nu este surprinzător, deoarece costul lor a scăzut la aproximativ 5 dolari pe oră, iar instrumentele lor de implementare au mers pe o piață neagră masivă. Indicăm câteva tendințe de bază ale atacurilor distribuite care vizează refuzul de a menține, care sunt proiectate pentru următorii câțiva ani.

    Atac Amplificarea UDP

    Atacurile destinate epuizării capacității canalului includ amplificarea UDP. Astfel de incidente au fost cele mai frecvente în 2014 și au devenit o tendință strălucitoare din 2015. Cu toate acestea, numărul lor a atins deja vârful său și se duce treptat la o scădere - o resursă pentru realizarea unor astfel de atacuri nu este doar finală, ci și scade brusc.

    Sub amplificator se înțelege un serviciu public UDP care funcționează fără autentificare, care într-o mică interogare poate fi trimisă mai mult decât un răspuns mai mare. Atacând, trimiterea unor astfel de solicitări, înlocuiește adresa IP la adresa IP a victimei. Ca rezultat, traficul invers, mult mai mult de lățimea de bandă a canalului atacatorului, este redirecționat către resursa Web a victimei. Pentru participarea nevalidă la atacuri, sunt utilizate serverele DNS, NTP-, SSDP și alte servere.

    Atacurile asupra aplicațiilor web la L7

    Datorită reducerii numărului de amplificatoare în prim plan, organizarea de atacuri asupra aplicațiilor web la nivelul L7 folosind botnetele clasice. După cum știți, BotNet este capabil să efectueze atacuri de rețea pe comenzile de la distanță, iar proprietarii de computere infectate nu pot să suspecteze despre asta. Ca urmare a supraîncărcării cererilor de "coș de gunoi" pentru recursul utilizatorilor legitimi, nu există niciun răspuns fără răspuns sau răspunsurile necesită un inutil decât un timp mare de timp.

    Astăzi, botnetele devin mai inteligente. Atunci când se organizează atacurile corespunzătoare, este acceptată tehnologia de stivă de browser complet, adică emularea completă a unui computer personalizat, browser, script Java care lucrează. Astfel de tehnici vă permit să ascundeți perfect atacurile L7. Distingerea manuală a botului de la utilizator este aproape imposibil. Acest lucru necesită sisteme care utilizează tehnologia de învățare a mașinilor, datorită căruia crește nivelul de combatere a atacurilor, mecanismele sunt îmbunătățite, iar precizia testelor crește.

    Problemele BGP

    În 2016, a apărut o nouă tendință - atacuri asupra infrastructurii rețelei, inclusiv pe baza utilizării vulnerabilităților BGP. Problemele protocolului de rutare a BGP, care se bazează pe întregul internet, au fost cunoscute de mai mulți ani, dar în ultimii ani se duc din ce în ce mai mult la consecințe negative grave.

    Anomaliile de rețea asociate cu rutarea pe un nivel de rețea interdomenului sunt capabile să afecteze un număr mare de gazde, rețele și chiar conectivitate globală și accesibilitate la internet. Cel mai tipic tip de probleme este scurgerile de rute - "scurgeri" ale traseului, care apare ca urmare a anunțului său în direcția greșită. În timp ce vulnerabilitățile BGP sunt rareori utilizate în mod intenționat: costul organizării unui astfel de atac este destul de ridicat, iar incidentele apar în principal datorită erorilor banale din setările de rețea.

    Cu toate acestea, în ultimii ani, amploarea grupurilor criminale organizate pe internet a crescut semnificativ, prin urmare, potrivit laboratoarelor Qrator, atacurile legate de problemele BGP vor fi deja populare în viitorul previzibil. Un exemplu luminos este "deturnarea" adreselor IP (deturnare) de către o binecunoscută echipă de hacking cybergroup, realizată sub comanda de stat: Poliția italiană trebuia să controleze mai multe computere, cu privire la proprietarii de acțiuni de investigație.

    IncidenteTCP.

    Stack-ul de rețea al sistemului TCP / IP are o serie de probleme care deja în anul curent vor fi deosebit de acute. Pentru a menține creșterea rapidă a vitezei, infrastructura Internet trebuie actualizată în mod constant. Viteza conexiunii fizice la Internet crește la fiecare câțiva ani. La începutul anilor 2000. Standardul a fost de 1 Gbit / s, astăzi cea mai populară interfață fizică este de 10gbit / s. Cu toate acestea, introducerea în masă a unui nou standard de îmbinare fizică, 100 Gbit / s, care generează probleme cu un protocol TCP / IP depășit, care nu este conceput pentru astfel de viteze mari.

    De exemplu, devine posibil în câteva minute pentru a selecta un număr de secvență TCP - un identificator numeric unic, care permite partenerilor TCP / IP (sau mai degrabă) pentru a efectua autentificarea reciprocă în momentul instalării conexiunii și a datelor de schimb , menținând în același timp ordinea și integritatea. La viteza liniei de 100 GB / s în fișierele jurnal de server TCP despre conexiunea deschisă și / sau datele trimise peste aceasta, nu se asigură că adresa IP fixă \u200b\u200ba instalat cu adevărat conexiunea și a transmis aceste date. În consecință, se deschide posibilitatea de a organiza atacuri de clasă noi, iar eficiența firewall-urilor poate reduce semnificativ.

    Vulnerabilitățile TCP / IP atrag atenția multor cercetători. Ei cred că în 2016 vom auzi despre atacurile "puternice" legate de funcționarea acestor "găuri".

    Viitorul în apropiere

    Astăzi, dezvoltarea tehnologiilor și a amenințărilor nu apare pe spirala "clasică", deoarece sistemul nu este închis - există mulți factori externi. Ca rezultat, se obține o spirală cu o amplitudine extinsă - se ridică, complexitatea atacului este în creștere, iar acoperirea tehnologiei se extinde semnificativ. Observăm mai mulți factori care au un impact grav asupra dezvoltării sistemului.

    Principalul ele este cu siguranță - migrația la noul protocol de transport IPv6. La sfârșitul anului 2015, protocolul IPv4 a fost recunoscut ca fiind depășită, iar IPv6 vine în prim plan, ceea ce aduce cu noi provocări noi: acum fiecare dispozitiv are o adresă IP și se pot conecta direct unul la celălalt. Da, apar noi recomandări cu privire la modul în care dispozitivele finale ar trebui să funcționeze, dar, deoarece industria va face față tuturor acestora, în special operatorilor de telecomunicații, segmentului de produse de masă și furnizorilor chinezi, este o întrebare deschisă. IPv6 schimbă radical regulile jocului.

    O altă provocare este o creștere semnificativă a rețelelor mobile, a vitezei lor și a "rezistenței". Dacă botnetul mobil a creat probleme, în primul rând, operatorul de comunicare în sine, acum, când conexiunea 4G devine mai rapidă decât internetul cu fir, rețelele mobile cu un număr mare de dispozitive, inclusiv producția chineză, sunt transformate într-o platformă excelentă pentru atacurile DDO și Hacker. Și problemele apar nu numai la operatorul de telecomunicații, ci și printre alți participanți la piață.

    O amenințare serioasă este lumea emergentă a internetului lucrurilor. Se deschid noi vectori de atac, deoarece sunt deschise un număr mare de dispozitive și utilizarea tehnologiei de comunicații fără fir pentru hackeri cu adevărat nelimitat perspective. Toate dispozitivele conectate la Internet pot deveni parte din infrastructura intrușilor și pot fi implicați în atacurile DDOS.

    Din păcate, producătorii de toate tipurile de aparate de uz casnic conectate la rețea (cazane, televizoare, mașini, multi-valute, scale, prize "inteligente" etc.) nu asigură întotdeauna nivelul adecvat al protecției lor. Adesea, versiunile mai vechi ale sistemelor de operare populare sunt folosite în astfel de dispozitive, iar furnizorii nu-și pasă de actualizarea lor regulată - înlocuirea versiunilor în care vulnerabilitățile sunt eliminate. Și dacă dispozitivul este popular și utilizat pe scară largă, hackerii nu vor pierde ocazia de a-și exploata vulnerabilitățile.

    Harbangerii de probleme IOT au apărut deja în 2015 Conform datelor preliminare, ultimul atac asupra divertismentului Blizzard a fost efectuat utilizând dispozitivele de clasă IOT. Codul rău intenționat a fost înregistrat, funcționând pe ceainicule moderne și becurile luminoase. Sarcina hackerilor simplifică chipset-urile. Nu cu mult timp în urmă, a fost eliberat un chipset ieftin, destinat diferitelor echipamente, care pot "comunica" cu Internetul. Astfel, atacatorii nu au nevoie pentru a hack 100 mii de firmware personalizat - este suficient pentru a "sparge" un chipset și a accesa toate dispozitivele care se bazează pe ea.

    Se preconizează că toate smartphone-urile bazate pe versiunile vechi Android vor fi foarte curând compuse dintr-un singur botnet. Acestea vor urma toate prizele, frigiderele inteligente ", frigiderele și alte aparate de uz casnic. După câțiva ani, așteaptă un botnet de fierbere, radionii și multicurok. "Internetul lucrurilor" ne va aduce nu numai comoditatea și oportunitățile suplimentare, ci și o mulțime de probleme. Când lucrurile din Iot vor avea multe și fiecare PIN va fi capabil să trimită 10 octeți, vor trebui rezolvate noi provocări de securitate. Și acest lucru ar trebui să fie pregătit astăzi.