Что такое ddos. Как определить, что ресурс подвергся нападению хакера. Занимательное хакерство или механика DDoS
По всей видимости, большинство современных пользователей компьютерных систем слышали о таком понятии, как DDoS-атака. Как сделать ее самому, конечно, сейчас рассматриваться не будет (разве что в ознакомительных целях), поскольку такие действия в соответствии с любым законодательством являются противоправными. Тем не менее, можно будет узнать, что это такое вообще, и как это все работает. Но заметим сразу: не стоит воспринимать ниже поданный материал, как некую инструкци или руководство к действию. Информация приводится исключительно с целью общего понимания проблемы и только для теоретических познаний. Применение некоторых программных продуктов или организация противоправных действий может повлечь за собой уголовную ответственность.
Вызванное падение трафиком или атаками, предназначенными для приложения. Наша система мониторинга имеет более 50 датчиков, установленных на каждом из наших серверов, для большей точности и частоты обновления данных в режиме реального времени. Таким образом, имея лучшее время для обнаружения сбоев или аномалий и сокращения нашего времени простоя.
В настоящий момент наша система обнаруживает атаку, наш профиль смягчения отправляется на наш маршрутизатор, который должен соблюдаться, поэтому мы только фильтруем вредоносный трафик и оставляем законный трафик чистым и не блокируем или аномалии, вызванные фактической атакой.
Что такое DDoS-атака на сервер?
Само понятие DDoS-атаки можно трактовать, исходя из расшифровки английского сокращения. Аббревиатура расшифровывается, как Distributed Denial of Service, то есть, грубо говоря, отказ в обслуживании или работоспособности.
Если разбираться в том, что такое DDoS-атака на сервер, в общем случае это нагрузка на ресурс посредством увеличенного количества пользовательских обращений (запросов) по определенному каналу связи, который, естественно, имеет ограничения по объему трафика, когда сервер просто не в состоянии их обработать. Из-за этого и происходит перегрузка. Фактически у программной и аппаратной части сервера банально не хватает вычислительных ресурсов, чтобы справиться со всем запросами.
Таким образом, если пользователи уже вошли в систему онлайн без ущерба для соединения или потери пакетов, пока один из наших техников не сможет лично проанализировать трафик атаки и изолировать его окончательно. 
Наш брандмауэр настроен на несколько уровней, каждый из которых имеет важное значение в процессе смягчения.
Сетевой экран
Кэшированная маршрутизация
После того, как вы заключили контракт с вашим сервисом, обратитесь в отдел продаж, чтобы настроить брандмауэр для определенного приложения или игры. Виртуальные атаки не ограничиваются вторжениями в системы, и различные виды киберпреступлений становятся все более популярными.Принципы организации атак
ДДоС-атака принципиально строится на нескольких базовых условиях. Самое главное - на первом этапе получить доступ к какому-то пользовательскому компьютеру или даже серверу, внедрив в него вредоносный код в виде программ, которые сегодня принято называть троянами.
Целью этого типа атаки является использование границ трафика или полосы пропускания и одновременных подключений и, следовательно, выведение сайтов или серверов из эфира с помощью большого количества одновременных доступов и операций с целью. Эта стратегия основана на использовании большого количества компьютеров для атаки, распространяя действие между машинами. Сначала компьютеры, «порабощенные» атаками, были захвачены серверами в Интернете. Однако с популяризацией бытовых и персональных устройств интерес к вторжениям в это оборудование стал более популярным - часто потому, что это менее безопасная среда.
Как устроить DDoS-атаку самому именно на этом этапе? Совершенно просто. Для заражения компьютеров можно использовать так называемые снифферы. Достаточно прислать жертве письмо на электронный адрес с вложением (например, картинкой, содержащей исполняемый код), при открытии которой злоумышленник получает доступ к чужому компьютеру через его IP-адрес.
Кроме того, отличать законных пользователей от «нападавших» очень сложно. Это система, используемая практически всеми системами, которые подключены в Интернете. Но прежде чем вы узнаете, как защитить свой сервер, вам нужно узнать, как происходят атаки и где они происходят. Проверьте список основных атак, которые выполняются в настоящее время.
При этом серверы напрямую реагируют на жертву. Эти запросы в больших масштабах могут легко сбить серверы. Перечисление зон: при таком типе атаки можно собрать информацию и архитектуру цели. Это позволяет злоумышленнику находить дополнительные серверы и даже прямо и лучше планировать атаку.
Теперь несколько слов о том, что подразумевает собой второй этап, который задействует DDoS-атака. Как сделать следующее обращение? Нужно, чтобы на сервер или интернет-ресурс было отправлено максимальное количество обращений. Естественно, с одного терминала сделать это невозможно, поэтому придется задействовать дополнительные компьютеры. Вывод напрашивается сам собой: необходимо, чтобы внедренный вирус их заразил. Как правило, такие скрипты, готовые версии которых можно найти даже в интернете, являются самокопирующимися и заражают другие терминалы в сетевом окружении при наличии активного подключения или через интернет.
В какой-то момент сервер не сможет обрабатывать все подключения, что приведет к сбою или блокировке новых подключений. Эта атака часто используется ботнетами для скрытия фишинговых или вредоносных атак, поскольку многие хосты действуют как прокси. Этот метод широко используется для утечки внутренних данных из сети, а также для использования в качестве канала связи между злоумышленником и уязвимой машиной.
Эта атака широко используется вредоносными программами на компьютерах или в случае домашних сетей непосредственно на маршрутизаторах. Когда кеш станет полным, пользователи начнут ощущать влияние на разрешение имен и, следовательно, большее потребление машинных ресурсов.
Виды DDoS-атак
ДДоС-атака в общем смысле называется так только условно. На самом деле существует как минимум четыре ее разновидности (хотя сегодня насчитывают целых 12 модификаций):
- обвал сервера путем отсылки некорректных инструкций, подлежащих выполнению;
- массовая отсылка пользовательских данных, приводящая к циклической проверке;
- флуд - некорректно сформированные запросы;
- нарушение функционирования канала связи путем переполнения ложными адресами.
История появления
Впервые об атаках такого рода заговорили еще в 1996 году, однако тогда особо значения этому никто не придал. Серьезно проблему начали осуждать только в 1999 году, когда были атакованы крупнейшие мировые серверы вроде Amazon, Yahoo, E-Trade, eBay, CNN и др.
Вот основные действия, которые вы можете предпринять для предотвращения описанных выше атак. Управление учетной записью домена. Если вы используете компанию для управления настройками своего домена, вам рекомендуется предпринять несколько шагов для повышения безопасности вашей учетной записи, включая включение токена и создание кодов безопасности.
Эта защита происходит путем проверки подписи записей, созданных с использованием открытых ключей. Отключите дополнительную информацию. Чтобы служба не возвращала версию используемого программного обеспечения, сервер должен отказаться от запросов, которые хотят узнать его версию.
Последствия вылились в значительные убытки в связи с нарушением работы этих сервисов, хотя на тот момент это были всего лишь частичные случаи. О широком распространении угрозы речь пока еще не шла.
Самый известный случай DDoS-атаки
Однако, как оказалось впоследствии, только этим дело не ограничилось. Крупнейшая DDoS-атака за всю историю существования компьютерного мира была зафиксирована в 2013 году, когда возник спор между компанией Spamhaus и голландским провайдером Cyberbunker.
Атаки на отказ в обслуживании - это, как следует из названия, тип атаки, направленной на прерывание или повреждение предоставления услуги. При таких атаках уязвимости используются операционными системами и сетевыми протоколами, используемыми целевой машиной для перегрузки ее цели. Таким образом, законным пользователям запрещается доступ к службе, поскольку сервер не может обрабатывать их запросы.
Один из них - атака прямой формы, то есть без маскировки. Эта атака использует процесс, используемый для инициирования соединения. Однако даже при этом атака препятствует формированию новых соединений, поскольку предел достигается. 
Эта атака использует протокол управления интернет-протоколом, используемый для обмена управляющими сообщениями, обработки ошибок и диагностики сети. Этот протокол может использоваться, чтобы проверить, отвечает ли интернет-машина, отправив пакет «эхо-запрос». После приема этого пакета машина отвечает пакетом ответа эха.
Первая организация без объяснения причин включила провайдера в список спамеров, несмотря на то, что его серверами пользовались многие уважаемые (и не очень) организации и службы. К тому же серверы провайдера, как ни странно это выглядит, были расположены в здании бывшего бункера НАТО.
Пакет, отправленный на этот адрес, принимается коммутатором локальной сети и ретранслируется на все компьютеры в локальной сети, определенные этим адресом, и это может быть сделано машиной внутри или вне локальной сети. После получения пакетов запроса эха все компьютеры в локальной сети отвечают другим пакетом ответа эха. Поскольку выполняется несколько запросов, сеть становится перегруженной.
Работа системы показана на рисунке ниже. 
После получения этого пакета коммутатор локальной сети повторно передает пакет запроса всем узлам сети и ответы отправляются жертве. Атака с пингом смерти использует функцию фрагментации пакетов и повторной сборки, используемую при передаче данных.
В ответ на такие действия Cyberbunker начал атаку, которую на себя приняла CDN CloudFlare. Первый удар пришелся на 18 марта, на следующий день скорость обращений возросла до 90 Гбит/с, 21-го числа наступило затишье, но 22 марта скорость составила уже 120 Гбит/с. Вывести из строя CloudFlare не удалось, поэтому скорость была увеличена до 300 Гбит/с. На сегодняшний день это является рекордным показателем.
В то время многие операционные системы не запрограммировали реакцию на пакет, превышающий лимит, поэтому многие компьютеры были уязвимы. В настоящее время в большинстве операционных систем уже есть меры по предотвращению этой атаки, как для предотвращения вредоносного пинга, вызванного сбоем в системе, так и для предотвращения отправки таких пакетов.
Рисунок: Атака на смертельный удар. Цель атаки - отправить несколько запросов обработки контента на сервер, чтобы истощить ресурсы цели. Эти ответы больше по размеру, чем заявки. Таким образом, даже если злоумышленники имеют низкую пропускную способность, они могут вызвать серьезные воздействия на целевую машину и используемую ею сеть.
Что представляют собой программы для DDoS-атак?
В плане используемого ныне программного обеспечения наиболее часто используемым приложением считается программа LOIC, которая, правда, позволяет производить атаки только на серверы с уже известными IP- и URL-адресами. Что самое печальное, она выложена в интернете для свободного скачивания.
Когда жертва получает эти пакеты, она ищет приложения, которые контролируют эти порты. Посылая большое количество пакетов, жертва исчерпывает свои ресурсы приема, ищет приложения, используя порты, и отправляет ответы. Кроме того, некоторые такие атаки используют усиление, используя ответные сообщения от других машин, направленных на жертву.
Это число свидетельствует о том, что тревожное число компаний было привлечено преступниками, активистами и хакерами по причинам, не зависящим от статистики. Когда серверы заливаются этими ошибочными запросами, доступные ресурсы для ответа на запросы, независимо от того, действительны они или нет, исчерпаны. Это автоматически перезагружает сервер, замедляет или истощает доступную пропускную способность.
Но, как уже понятно, данное приложение может использоваться только в паре с программным обеспечением, позволяющим получить доступ к чужому компьютеру. По понятным соображениям, названия и полные инструкции по их применению здесь не приводятся.
Как произвести атаку самостоятельно?
Итак, нужна DDoS-атака. Как сделать ее самостоятельно, сейчас кратко и рассмотрим. Предполагается, что сниффер сработал, и у вас есть доступ к чужому терминалу. При запуске исполняемого файла программы Loic.exe в окне просто вписываются нужные адреса и нажимается кнопка блокировки (Lock On).
Когда это происходит, запросы кажутся законными и их трудно обнаружить при мониторинге. Некоторые средства обеспечения безопасности, например, направлены на предотвращение таких атак. Большие пакеты делятся на фрагменты и, после сборки, создают пакеты, превышающие эту сумму.
В результате пакет приводит к сбою или перезагрузке серверов. Именно через них хакер устанавливает связь, чтобы исчерпать свои возможности, монополизируя процессы и транзакции. Более сложную угрозу, чем атаки наводнений, сложнее обнаружить только потому, что ей нужно столько машин для завершения. Это создает низкий уровень трафика, который для большинства мониторинга кажется легитимным.
После этого в регулировке скорости передачи по протоколам HTTP/UDF/TCP фейдером устанавливается максимальное значение (10 в минимуме по умолчанию), после чего используется кнопка IMMA CHARGIN MAH LAZER для старта атаки.
Как защититься от атак?
Говоря о том, какие можно встретить программы для DDoS-атак, нельзя обойти и средства зашиты. Ведь даже третий закон Ньютона гласит, что любое действие вызывает противодействие.
Чтобы защитить от атак уровня 7, компаниям необходимо найти способ различать законный трафик и вредоносные атаки. Вам нужно идентифицировать повторяющиеся сигнатуры шаблонов и блокировать эти удары. Когда эти атаки успешны, каждый, кто использует определенный концентратор обмена файлами, автоматически отправляет запросы на целевой сайт до перегрузки.
Атаки с исчерпанием сосредоточены на веб-серверах, брандмауэрах и балансировщиках нагрузки для прерывания соединений. Результатом является истощение конечного числа параллельных соединений, которые может поддерживать данное устройство. Для этого вы определили стратегии, которые могут быть реализованы на вашем сервере. Вместо того, чтобы использовать один метод для их выполнения, хакер объединяет несколько инструментов и стратегий, чтобы перегрузить вашу цель. Чаще всего многовекторные атаки предназначены для определенных приложений на целевом сервере или служат для наводнения цели с большим объемом вредоносного трафика.
В самом простом случае используются антивирусы и файрволы (так называемые межсетевые экраны), которые могут представлены либо в программном виде, либо в качестве компьютерного «железа». Кроме того, многие провайдеры, обеспечивающие защиту, могут устанавливать перераспределение запросов между нескольким серверами, фильтрацию входящего траффика, установку дублируемых систем защиты и т.д.
Эти типы атак трудно смягчить, потому что они происходят по-разному и направляют разные ресурсы одновременно. Хотя они становятся популярными, можно уменьшить большинство из них с помощью правильного. Это атака, проводимая анонимным лицом, как правило, с целью сбить веб-сайты и серверы.
Благодаря такому типу действий хакеры перегружают сервер множеством запросов, с которыми сервер не справляется и заканчивается падением. Высокий поток трафика намеренно отправляется зараженными компьютерами, заставляя сервер перестать отвечать на запросы.
Одним из методов проведения атак является методика DNS Amplification - технология рассылки DNS-серверам рекурсивных обращений с несуществующими обратными адресами. Соответсвенно, в качестве защиты от таких напастей можно смело использовать универсальный пакет fail2ban, который на сегодняшний день позволяет установить достаточно мощный барьер для рассылок подобного рода.
Короче говоря, атака делает все компьютеры и интеллектуальные устройства в сети под контролем хакеров. Пользователи этих машин даже не знают, что они были взломаны. В этом методе линии связи открываются сотнями взломанных компьютеров. Хакер, имеющий доступ к нескольким машинам, может отправлять запросы на сервер в любое время, чтобы сбить его с ног.
Таким образом, метод называется распределенным отказом, поскольку в атаке задействовано несколько компьютеров, пока сервер не сможет удовлетворить все требования и упасть. Рукопожатие - это действия, которые происходят между компьютером и сервером до начала передачи данных.
Что нужно знать еще?
По большому счету, при желании доступ к вашему компьютеру может получить даже ребенок. При этом даже какое-то особо сложное специализированное программное обеспечение не потребуется, а в последствии с вашего «зомби»-компьютера и может быть произведена DDoS-атака. Как сделать ее самостоятельно, в общих чертах уже понятно.
Но заниматься подобными вещами, думается, не стоит. Правда, некоторые начинающие пользователи и программисты пытаются производить такие действия, так сказать, из чисто спортивного интереса. Запомните: любой знающий админ вычислит, если не вас, то местонахождение провайдера, элементарно, даже если на каком-то этапе использовался анонимный прокси-сервер в интернете. Далеко ходить не нужно. Тот же ресурс WhoIs может предоставить достаточно много информации, о которой вы даже не догадываетесь. Ну а дальше, как говорится, дело техники.
Останется только обратиться к провайдеру с соответствующим запросом с указанием внешнего IP, и он (согласно международным нормам) предоставит данные о вашем местонахождении и личных данных. Поэтому, материал, представленный выше, расценивать как побуждение к противоправным действиям не стоит. Это чревато достаточно серьезными последствиями.
Но что касается самих атак, отдельно стоит сказать, что и самому стоит предпринимать некоторые меры по защите системы, ведь вредоносные коды могут содержаться даже в интернет-баннерах, при клике на которых может производиться загрузка трояна на компьютер. И не все антивирусы способны фильтровать такие угрозы. А то, что компьютер может превратиться в такой себе зомбо-ящик, не обсуждается вообще. Пользователь этого может даже не заметить (разве что исходящий траффик будет повышенным). Установка и настройка пакета fail2ban является достаточно сложной, поэтому в качестве самых примитивных средств стоит использовать серьезный антивирус (Eset, Kaspersky), а не бесплатные программные продукты, а также не отключать собственные средства защиты Windows вроде брэндмауэра.
| 8.09.2013
Многие веб-мастера за время работы со своими ресурсами сталкивались с DDOS - атаками на них. Это приводило либо к потере данных, либо к другим неприятностям с сайтом. Сегодня мы попытаемся разъяснить, что собой представляет DDOS - атака, для чего она нужна и как происходит организация этого акта терроризма, иначе назвать такие действия нельзя. Такого рода деяние представляет угрозу и наносит огромный вред, поэтому в современном мире за это карают по закону и поверьте, очень строго.
Многие веб-мастера за время работы со своими ресурсами сталкивались с DDOS - атаками на них. Это приводило либо к , либо к другим неприятностям с сайтом. Сегодня мы попытаемся разъяснить, что собой представляет DDOS - атака, для чего она нужна и как происходит организация этого акта терроризма, иначе назвать такие действия нельзя. Такого рода деяние представляет угрозу и наносит огромный вред, поэтому в современном мире за это карают по закону и поверьте, очень строго.
Конечно мы немного занизили планку, сказав о том, что страдают только веб-мастера. На самом деле под раздачу попадают огромные корпорации, правительственные организации, хостинг-провайдеры, мега-порталы и т.д. Список жертв можно продолжать бесконечно. Вы спросите, а как же закон и наказание? Все дело в том, что механизм и организация DDOS - атак сложно-отслеживаемый и зачастую вредителя не так-то просто найти, но об этом чуть позже.
Что же такое DDOS - атака? Аббревиатура DDOS звучит так - «Distributed Denial Of Service Attack», что означает — «Распределенная атака с целью отказа оборудования». Из этих слов становится понятным, какая цель преследуется - это обрушение системы и зачастую дальнейшее завладение ею. Теперь немного об истории DDOS. Первые упоминания о DDOS - атаках уходят в 1996 год. Но в то время угроза была не до оценена и не получила широкой огласки. Спустя время в 1999 году ситуация в корне изменилась, поводом послужила атака на таких гигантов, как Amazon, CNN, eBay, E-Trade и ряда других. Сервера этих корпораций были полностью выведены из строя, что ощутимо ударило по карману владельцев вышеперечисленных структур. Но и этого оказалось не достаточно для того, чтобы заняться такой проблемой вплотную. В 2000 году атака повторилась, при этом сетевые администраторы оказались бессильны в предотвращении ее, они лишь с горечью наблюдали, как рушатся их сервера. Только после этого об угрозе заговорили всерьез.
Теперь давайте рассмотрим схему организации DDOS - атак. Перед началом проведения атаки существует подготовительный этап, то есть когда злоумышленник подготавливает ресурсы для начала масштабных действий. На этом этапе необходимо установить как можно больше программ «зомби» на компьютеры других пользователей. Это очень трудоемкий процесс, для его реализации требуется либо проникновение в не защищенные сети, либо распространение и внедрение вредоносного кода - троянов, которые впоследствии и зомбируют компьютеры для дальнейшего посыла ложных запросов. В этой ситуации пользователь персонального компьютера может даже и не подозревать, что его машина участвует в атаке на какой-либо сервер.
После подготовительного этапа выстраивается специальная архитектура, обычно это трехуровневая иерархическая структура, которая называется - «Кластером DDOS». Из чего состоит кластер DDOS?
- Управляющая консоль, их может быть несколько, проще говоря это тот компьютер, с которого подается команда для начала атаки.
- Главные компьютеры. Это те компьютеры, которые получают команду о начале атаки с управляющей консоли и передают ее компьютерам-зомби. Таких компьютеров может быть несколько сотен, все зависит от масштабности самой атаки. Помимо этого, если используется несколько управляющих консолей, то количество главных компьютеров увеличивается кратно.
- Агенты - это те компьютеры, которые были зомбированы, они же и обрушают атакуюемый узел своими запросами, как говорилось выше управляют ими главные компьютеры.
Такова структура построения DDOS атаки. Теперь вернемся к вопросу наказания. Проследить откуда началась атака, практически невозможно. При попытке определить узел, с которого она произошла, удается выявить лишь компьютеры зомби и главные компьютеры, но эти машины сами были скомпрометированы и являются пострадавшей стороной. Организатор этого деяния, который дал команду для начала атаки, остается недосягаем, так как он постоянно подменял свой IP адрес. И еще один неприятный момент, для проведения атаки не нужно иметь определенных знаний и специальных программ. Все программы находятся в свободном доступе в сети Интернет. Изначально это программное обеспечение было создано для проверки устойчивости и стабильности работы серверов, но в дальнейшем его стали применять именно для организации DDOS-атак.
Специалисты по сетевой безопасности выделяют несколько видов DDOS-атак:
- Флуд (flood — наводнение). Переполнение полосы пропускания. Что это такое? Это шквал бессмысленных и зачастую неправильных запросов к компьютеру или сетевому оборудованию (серверу) с помощью которых лимит ресурсов исчерпывается и «ложится», то есть происходит отказ в работе. Эти запросы направлены на перегрузку процессора, памяти и каналов связи.
- Так же существуют самые простые и примитивные виды DDOS-атак - это ping flood и http - flood. Здесь, как и в первом случае происходит переполнение полосы пропускания с единственным отличаем. Злоумышленник отсылает ping - запросы жертве и если у атакуемой стороны полоса пропускания меньше чем у атакующего, то атака будет удачной. Например, ширина пропускного канала жертвы составляет 512 Кбит/с, а злоумышленника 5Мбит/c, здесь понятно и без объяснений, что более мощный канал без труда забьет запросами слабый. С сетевым оборудованием такой номер не пройдет, поэтому существует http — flood. При атаке на сервер посылается крошечный http - пакет, но такой, на который сервер даст ответ пакетом объемом в сотни раз больше полученного. При этом есть неплохие шансы у злоумышленника забить полосу пропускания сервера, которая по своей ширине может кратно превышать полосу пропускания злоумышленника. И еще один момент, для того чтобы атака оказалась успешной атакующей стороне необходимо постоянно подменять IP - адрес, иначе атака захлебнется.
- Удаленная сетевая атака — Smurf или ICMP-флуд (Internet Control Message Protocol — межсетевых управляющих сообщений). Одна из самых грозных и опасных атак. При помощи этой атаки компьютер жертвы со 100% гарантией отправится в аут. Реализовать ее в одиночку невозможно, здесь потребуется усиливающая сеть. Как это работает? Сначала отправляется пинг - запрос для проверки работающих узлов в сети. После этого злоумышленник отправляет поддельный ICMP - пакет в сеть и подменяет свой IP - адрес на адрес жертвы. Компьютеры сети дают ответ на посланный пинг - запрос и эта волна захлестывает атакуемый компьютер. Для проведения такого рода атаки используются большие сети. Если в сети, например, 1000 узлов, то посланный запрос будет усилен в 1000 раз. Шансов на выживание у атакуемого узла не остается никаких!
- Существует атака второго рода или пропуск запрещенного предмета. В этих условиях злоумышленник пытается вызвать ложное срабатывание системы защиты, что в дальнейшем приводит к самопроизвольному блокированию и недоступности ресурса.
- Fraggle - атака (осколочная граната). Этот вид атаки является полным аналогом Smurf или ICMP-флуду. Исключением является используемый протокол, вместо ICMP используют UDF — User Datagram Protocol — протокол пользовательских датаграмм. Название «датаграмма» было применено, как аналог слова телеграмма. Протокол UDF является ключевым элементом набора сетевых протоколов Интернет — TCP/IP. С его помощью компьютеры могут посылать сообщения другим хостам по IP. Принцип действия прост, на 7-ой порт жертвы отсылается echo - команда (команда Unix, с ее помощью выводится текст). После этого, как и в случае с ICMP - флудом злоумышленник подменяет свой IP адрес на IP адрес жертвы. Жертва получает шквал ответов, которые перенасыщают полосу пропускания, их количество зависит от количества узлов в сети. В случае если служба echo отключена, генерируются ICMP - пакеты, что в конечном счете приведет к одному и тому же результату - перенасыщению полосы пропускания.
- Уязвимость в программном обеспечении. Специалисты по организации DDOS - атак, практически, не используют метод перенасыщения полосы пропускания. Они исследуют систему жертвы и после этого пишут специальные программы - эксплойты (exploit, эксплуатировать). Эти программы помогают атаковать сложнейшие системы коммерческих организаций и предприятий. Программы эксплойты заставляют систему выполнять необрабатываемые ситуации, недопустимые инструкции, обращаться к нулевым адресам и т.д. После чего система впадает в ступор и происходит аварийное завершение работы. Так же целью атаки с использованием эксплойтов может быть не только подрыв работоспособности, но и получение «повышенных привилегий», что приведет к захвату контроля над системой.
Существует еще множество видов DDOS - атак - это SYN-флуд, переполнение сервера лог-файлами, отправка тяжелых пакетов, уязвимости в системе квотирования (CGI), использование недостаточной проверки данных пользователя, переполнение буфера, атаки DNS, атака Каминского и т.д. На сегодняшний день есть действенные методы по предотвращению DDOS - атак, хотя универсального способа не существует. Злоумышленники это отлично понимают и при организации таких актов стараются использовать одновременно несколько видов описанных выше атак, что значительным образом затрудняет защиту от них. Такие атаки называются - гибридными. Читатель может задаться вопросом: «Кто эти люди, которые совершают DDOS - атаки и для чего они это делают?». К первой категории таких людей можно отнести тех, которые испытывают личную неприязнь к тем или иным правительственным организациям, коммерческим структурам и даже к владельцам небольших Интернет-ресурсов. Вторая категория - это категория любопытных граждан, которые ради забавы и развлечения пробуют себя в организации DDOS - атак и в случае удачного исхода наслаждаются масштабами разрушений и нанесенного ущерба. Третья категория - это террористы. Здесь все понятно, они организуют акты против неугодных им стран, что в нынешнем свете выглядит достаточно актуально. При этом спецслужбы пока считают эту угрозу надуманной и не способной подорвать уклад и структуру государственного строя.
Раз мы упомянули о средствах защиты от DDOS - атак, давайте рассмотрим несколько таких способов. Самым основным и действенным методом является профилактика, то есть устраняются причины, которые могут побуждать к совершению этого акта. Причины могут быть следующие - это личные обиды и неприязнь, религиозные и иные разногласия, политические и финансовые составляющие, а так же банальная зависть и желание навредить. Если профилактика не помогла и атака все же произошла, то вступают в действие другие способы:
- Фильтрация - попытка блокирования трафика, который исходит от атакующего компьютера. Если блокировка произошла на подступах к атакуемому объекту, то эффективность этого способа низкая и напротив, если трафик блокируется вблизи атакующей машины результат повышается.
- Обратная DDOS - атака. В этом случае поток трафика от источника нападения перенаправляется на него же, тем самым сковывая действия атакующего.
- Метод рассредоточения. При таком способе защиты создаются дублирующие системы и если одна из них будет полностью выведена из строя, то другие смогут обеспечить работоспособность и продолжат обслуживание пользователей без каких-либо сбоев.
- Уклонение от атаки. Здесь атакуемая сторона пытается увести, спрятать непосредственную цель — доменное имя или IP-адреса. Этот метод достаточно эффективен.
- Инфокоммуникационные решения - оборудование для отражения DDOS - атак. Не каждый может себе позволить такое решение сетевой безопасности из-за цены вопроса. При этом такое оборудование достаточно хорошо отсекает атаки основываясь на поведенческом анализе клиентов.
- Увеличение ресурсов системы. Панацеей от атак не является, но в свою очередь это хорошее подспорье для применения других видов защиты от DDOS вторжения.
Сколько по времени может длиться DDOS - атака? Могу сказать сразу, достаточно продолжительный срок. Приведу пример, совсем недавно на моего у которого я арендую площадку под сайт была совершена массированная атака. Это действо продолжалось более двух недель, беспрерывно. Хостинг-провайдер вовремя распознал нападение и принял все меры для устранения причин и последствий, при этом были определены даже цели злоумышленников. Они пытались получить контроль над сайтами под управлением CMS WordPress и Joomla. Радует одно, что оборудование и профессионализм сотрудников компании помогли выйти из этой ситуации с высоко поднятой головой. Злоумышленникам несколько раз удавалось лишь кратковременно 1-2 минуты положить сервера, после чего работоспособность полностью восстанавливалась. Хотелось бы отметить тот факт, что не будь готов хостинг-провайдер к такому повороту дел, все могло бы закончиться плачевно.
В заключении хотелось бы сказать, что на сегодняшний день DDOS - атаки широко распространены и борьба с этим злом является делом не только сильных мира сего, но и обычных пользователей. Общими усилиями необходимо пресекать такого рода деяния, ведь от этого страдают все без исключения. И если у вас возникнет желание поэкспериментировать и уложить ради интереса какой-нибудь сервер, подумайте о последствиях, во-первых, — это противозаконно, во-вторых, вы нанесете вред ни в чем не повинным людям, а это не хорошо! Удачи Вам.
