DDoS-атаки против вас: что такое, чем опасны, как бороться

DDoS-атаки со стороны хакеров угрожают не только веб-сайтам, но и персональным компьютерам. Что это такое, чем они опасны, с какой целью выполняются и как защититься.

DDoS-атаки против вас: что такое, чем опасны, как бороться

«Хакеры — серьезные люди и охотятся крупно, но их не интересуют« рыбки », такие как сайт разведения хомяков или скромный интернет-магазин китайской одежды. DDoS-атаки? Нет, не слышал. А зачем, ведь мой сайт очень маленький »- так думают некоторые владельцы небольших интернет-проектов.

Ну, спите, багдадцы. Все спокойно, если не учитывать то, что хакерской атакой угрожает любой сетевой ресурс, не только сайт или веб-приложение, но и . обычный домашний компьютер, смартфон, телевизор с выходом в Интернет Итак, что такое DDoS-атака и чем она может навредить лично вам.

Простыми словами, что такое DoS- и DDoS-атаки? Практически все веб-ресурсы, будь то сайт или сервис, открыты для доступа обычным пользователям. Просто откройте браузер и введите желаемый адрес.

Что такое атака Отказ в обслуживании (DoS)?

Прежде чем ответить на вопрос «что такое атака типа« отказ в обслуживании »(DoS)», необходимо изучить, как происходит обмен данными через Интернет и какие возможности предоставляются веб-ресурсам. Для облегчения понимания рассмотрим наиболее распространенный вариант.

Веб-сайты и сервисы (далее веб-сайт или сайт) расположены на отдельных компьютерах, также называемых серверами. На этих серверах для работы выделяется определенная часть ресурсов (дисковое пространство, оперативная память, процессорное время). Когда пользователь открывает веб-страницу в браузере, для веб-сайта это означает, что он должен занять определенную часть этих ресурсов для формирования этой страницы. Следовательно, в течение определенного периода времени сайт может генерировать только ограниченное количество страниц. Это означает, что если сайт открывается большим количеством пользователей, чем то количество, для которого сайт разработан, некоторые пользователи в ответ получат ошибку о невозможности открытия сайта (например, сайт недоступен) или предупреждение о перегрузке сайта с просьбой подождать (например, сайт временно недоступен, попробуйте открыть его через 5-10 минут).

Суть атаки типа «отказ в обслуживании» (DoS) заключается в ее названии, что означает, что атака делает сайт недоступным для пользователей. Технически это достигается за счет того, что злоумышленник постоянно открывает большое количество веб-страниц, которые занимают практически все ресурсы сайта и не позволяют другим пользователям получить доступ к сайту. Этот процесс можно сравнить с ловлей рыбы рядом с человеком, который бросает корм для рыбы горстями. В этом случае, сколько бы вы ни бросили удочку в реку, шансы поймать рыбу будут практически нулевыми.

Сегодня этот вид атак встречается редко, так как злоумышленника очень легко найти и идентифицировать — именно от него постоянно поступает большое количество запросов на открытие страницы. Поэтому очень часто, когда вы слышите слово «DOS-атака» или читаете текст, в котором используется слово «DoS», это называется DDoS-атакой.

Развитие информационных технологий и растущая популярность Интернета привели к тому, что компьютеры стали важной частью жизни людей. Мы используем их для работы, поиска нужной информации в совершенно разных областях, взаимодействия с людьми в разных местах и ​​многого другого, поэтому зачастую невозможность использовать компьютер в нужное время иногда приводит к критическим последствиям.

Основные типы DoS-атак

Существует несколько типов атак типа «отказ в обслуживании», основанных на спецификации стека протоколов TCP / IP. Перечислим самые известные.

Атака Ping-of-Death использует уязвимость TCP / IP, такую ​​как фрагментация пакетов данных. В процессе передачи по сети пакеты данных разделяются на фрагменты, которые собираются в единое целое по прибытии на компьютер назначения. Атака происходит следующим образом: на компьютер жертвы отправляется сильно фрагментированный ICMP-пакет, размер которого превышает разрешенный в протоколе размер (более 64 КБ). Когда атакованное устройство получает фрагменты и пытается восстановить пакет, операционная система полностью зависает, а также перестают работать мышь и клавиатура. Таким атакам могут быть подвержены Windows, Mac и некоторые версии операционных систем Unix.

Атака SYN-flooding использует функцию TCP / IP, называемую механизмом тройного рукопожатия. Для передачи данных клиент отправляет пакет с установленным флагом SYN (синхронизация). В ответ сервер ДОЛЖЕН ответить комбинацией флагов SYN + ACK (подтверждения). Затем клиент должен ответить пакетом ACK, после чего соединение считается установленным.

Суть этой атаки заключается в создании большого количества не полностью установленных TCP-соединений. Отправляя жертве огромное количество TCP SYN-пакетов, злоумышленник заставляет жертву открывать и отвечать на соответствующее количество TCP-соединений, не завершая, таким образом, процесс соединения. Либо он не отправляет ответный пакет ACK, либо подделывает заголовок пакета, так что ответ ACK отправляется на несуществующий адрес. Следовательно, требования механизма «тройного рукопожатия» не выполняются. Соединения продолжают ждать своей очереди, оставаясь в полуоткрытом состоянии. При этом атакованный сервер выделяет ресурсы для каждого полученного SYN-пакета, которые вскоре будут исчерпаны. Через определенный промежуток времени полуоткрытые соединения прерываются. Злоумышленник пытается заполнить очередь, чтобы предотвратить новые подключения от легальных клиентов. Следовательно, установление связи происходит с большими задержками или не происходит вовсе.

Атака Land также использует функциональность TCP / IP, при которой необходимо ответить на запрос соединения. Суть этой атаки заключается в том, что компьютер жертвы в результате действий киберпреступников пытается установить соединение с самим собой, что перегружает процессор и приводит к зависанию или сбою системы.

Пакетная фрагментация. Этот тип атаки использует вышеупомянутый механизм передачи данных TCP / IP, при котором пакеты данных разбиваются на фрагменты. Фрагментация используется, когда необходимо передать дейтаграмму IP, то есть блок информации, передаваемый с использованием протокола IP, по сети, где максимально допустимая единица передачи данных меньше размера дейтаграммы. Этот тип атаки вызывает отказ в обслуживании за счет использования уязвимостей в некоторых стеках TCP / IP, связанных со сборкой IP-фрагментов.

Одним из примеров является атака TearDrop, в результате которой фрагменты перемещаются во время передачи, что приводит к их перекрытию при сборке пакета. Попытка атакуемого компьютера восстановить правильную последовательность фрагментов приводит к сбою системы.

Атака DNS-наводнения включает отправку огромного количества DNS-запросов. Это приводит к перегрузке DNS-сервера и делает невозможным вход в систему для других пользователей.

Если атака отказа в обслуживании выполняется одновременно большим количеством компьютеров, это называется DDoS-атакой.

Распределенная атака типа «отказ в обслуживании» (DDoS) — это тип DoS-атаки, которая выполняется с использованием очень большого количества компьютеров, так что даже серверы с очень высокой пропускной способностью интернет-каналов могут быть атакованы.

Для организации DDoS-атак злоумышленники используют ботнет — особую сеть компьютеров, зараженных особым типом вируса. Злоумышленник может управлять каждым из этих компьютеров удаленно, без ведома владельца. С помощью вируса или программы, которая ловко маскируется под легальную, на компьютер жертвы устанавливается вредоносный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активируется и начинает отправлять запросы на атакованный сервер, в результате чего канал связи между атакованным сервисом и интернет-провайдером заполняется и сервер останавливается работающий.

Распределенная атака может осуществляться не только с помощью ботнета, но и с помощью механизма отражения. Эти атаки называются DoS-атаками с распределенным отражением (DrDOS). Они осуществляются не напрямую, а через посредников. Чаще всего DrDoS-атаки происходят следующим образом: TCP-пакет отправляется не на атакованный компьютер, а на любой сервер в сети Интернет, но в качестве обратного адреса указывается адрес компьютера-жертвы. Поскольку любой сервер отвечает на TCP-пакет с флагом SYN с помощью пакета TCP с флагом SYN + ACK, случайно выбранный, ничего не подозревающий компьютер отвечает на ложные запросы и автоматически передает пакеты на компьютер-жертву.

Есть 4 основных момента, которые помогут вам защитить свой актив от DDoS-атак. Прежде всего, давайте злоумышленнику как можно меньше информации.

Способы защиты от DDoS-атак

Прежде чем приступить к использованию сервисов защиты от DDoS-атак, следует позаботиться о повышении степени безопасности интернет-сервиса — его способности эффективно отражать атаки с минимальным потреблением ресурсов. В противном случае для защиты интернет-сервиса от воздействий придется потратить много сил и денег. Короче говоря, для повышения безопасности вам необходимо:

  • 1) предоставлять злоумышленнику как можно меньше информации;
  • 2) предоставить как можно больше информации защитнику DDoS-атак;
  • 3) обеспечить четкую фильтрацию атак;
  • 4) обеспечить надежность атакуемой службы.

Возможности защиты от DDoS-атак можно и нужно предусмотреть в интернет-ресурсе на этапе проектирования его архитектуры: удачный дизайн повысит доступность ресурса и снизит затраты на защиту от атак. Вы можете узнать больше о защите и о том, что это такое, здесь:

Что касается средств безопасности, их можно разделить на локальные (on-premise), облачные и гибридные. Локальные решения и инструменты защиты от DDoS доступны как в программном, так и в аппаратном виде (специализированные сетевые устройства) и могут быть установлены как самими клиентами, так и их поставщиками. Основными пользователями локальных решений для защиты от DDoS-атак являются крупные операторы связи (облачные и интернет-провайдеры) и центры обработки данных, которые могут позволить себе иметь собственную службу реагирования, способны противостоять мощным атакам (сотни гигабит) и предлагают услуги защиты от DDoS-атак своим клиентам.

Облачные решения реализуют почти те же функции безопасности, что и локальные решения. Помимо защиты пакетов, поставщики облачных услуг для защиты от DDoS часто предлагают услуги по защите сайтов от атак ботов (злоумышленники используют внутри них протокол HTTP), а также техническую поддержку и поддержку во время DDoS-атаки. Облачные решения кажутся лучшим вариантом для большинства предприятий.

Гибридное решение — это комбинация локального решения и подписки на облачный сервис защиты от DDoS-атак, который автоматически подключается при инициировании атаки. Гибридный подход снимает ограничения объема атаки локальных решений и использует как облачные, так и локальные решения. Гибридные решения можно рекомендовать для крупных предприятий с упором на взаимодействие с клиентами через онлайн-каналы, а также для небольших поставщиков услуг.

В зависимости от типа защищаемых интернет-ресурсов выбираются инструменты и сервисы для защиты от DDoS-атак, которые обладают тем или иным набором функций защиты:

  • защита от лавинной рассылки пакетов на основе фильтрации пакетов на транспортном и сетевом уровнях (L3 и L4): этого достаточно для защиты сетевых устройств;
  • защита от флуда и флуда пакетов на уровне приложений (L3 — L7) — это необходимо, в частности, для обеспечения работоспособности сайтов, так как большинство атак на них осуществляется именно на уровне L7;
  • защита не только от флуда на уровне L3 — L7, но и от «интеллектуальных» DDoS-атак с помощью «интеллектуальных» ботов, которые атакуют те части веб-приложений, которым требуется больше ресурсов при обработке входящих запросов, с использованием функций веб-приложения Брандмауэр (WAF) — необходим для защиты критически важных интернет-ресурсов.

Формат подключения различает симметричную и асимметричную защиту от DDoS-атак. Первый вариант предполагает установку фильтра в симметричном режиме: как входящий, так и исходящий трафик с защищаемого сервера (или служебная информация об этом трафике) всегда проходит через фильтр. Асимметричные алгоритмы анализируют только входящий трафик. В целом, симметричные протекторы более эффективны, но стоимость владения выше, а задержка сигнала выше. Асимметричные инструменты часто более сложны, но поскольку они не сканируют исходящий трафик, некоторые атаки невозможно полностью отфильтровать в асимметричном режиме.

Кроме того, особое внимание следует уделять правильной реализации защиты от DDoS-атак — количество уязвимостей, которые может использовать злоумышленник, должно быть сведено к нулю.

И, конечно же, вы должны быть очень осторожны при выборе поставщика защиты, поскольку истинное качество его услуг, а также уровень его опыта в области защиты от DDoS-атак могут охватывать широкий диапазон.

Ddos-атака, что это такое и как защитить свой сайт / блог от DDOS-атак Как обнаружить атаку до того, как ваш ресурс перестанет работать?

Как понять, что идет ddos атака на сайт?

Как правило, никаких программ для этого не требуется, все видно невооруженным глазом. Тем не менее, это не всегда так. Иногда вы авторизуетесь и уже весь сайт отказывается работать.

Чтобы этого не произошло, нужно заранее позаботиться об обнаружении ddos-атак на свой блог.

В первую очередь следует отслеживать посещаемость вашего ресурса. Анализ можно сделать с панели управления счетчиком из liveinternet. Не устаю понимать, что сервис действительно уникальный, других нет.

Вы можете видеть, откуда люди приходят на ваш сайт, из каких стран. Но здесь, конечно, все может показаться правдоподобным, однако эти IP-адреса уже могут быть в руках злоумышленников. Поэтому мы используем [urlspan] Scrutinize [/ urlspan]. С его помощью вы можете анализировать сетевой трафик.

Надеюсь, вы сможете защитить свой блог от DDoS-атак. Применяйте практически все методы борьбы, которые я описал в статье, и тогда вы сможете обезопасить свой веб-ресурс.

Оцените статью
club-cs.ru