Недаступнасць службы ў інфарматыцы называецца адмовай у абслугоўванні (DoS). Такія блакіроўкі сэрвісаў звычайна з'яўляюцца пабочнымі эфектамі перагрузкі асобных кампанентаў ІТ-інфраструктуры. Калі гэты стан наўмысна выклікана вонкавымі суб'ектамі, кажуць пра DoS-атацы. Зламыснік спецыяльна накіроўвае мэтавай сістэме больш запытаў, чым яна можа апрацаваць. Сеткавыя прылады, аперацыйныя сістэмы ці асобныя серверныя службы могуць выкарыстоўвацца такім чынам, што яны не могуць наогул ці толькі з затрымкай рэагаваць на рэгулярныя запыты. Такая працэдура асабліва эфектыўная, калі сістэма сутыкаецца з запытамі з розных кампутараў. У адрозненне ад DoS-нападаў, такія DDoS-напады засноўваюцца на шырокіх ботнетах.

DDoS / DoS-напады ў вялікім маштабе

Распаўсюджаная форма DoS называецца «размеркаваная адмова ў абслугоўванні» (DDoS). У гэтым варыянце кіберзлачынцы дзейнічаюць не з аднаго атакавалага кампутара, а загружаюць мэтавыя сістэмы запытамі з некалькіх кампутараў, якія можна аб'яднаць у гіганцкія ботнеты.

DDoS і DoS-напады - што гэта і як змагацца?

Такая сетка кампутараў можа генераваць значна больш трафіку дадзеных, чым пры простых DoS-нападах, якія выконваюцца толькі з адной сістэмы. Такім чынам, DDoS-напады аказваюць сур'ёзнае ўздзеянне на пацярпелых, у якіх, як правіла, мала шанцаў выявіць фактычную крыніцу нападу. Таму што зламыснікі, якія настройваюць ботнэты гэтага тыпу, выкарыстоўваюць спецыяльныя праграмныя агенты, якія размешчаны на недастаткова абароненых кампутарах у інтэрнэце і цэнтралізавана кантралююцца без ведама аператара. Такое "заражэнне" часта адбываецца за некалькі месяцаў да фактычнай DDoS-напады.

Як выглядае DDoS-напад?

кожная DDoS-атака заснавана на буйнейшай кампутарнай сетцы. Тэарэтычна гэтая сетка можа фактычна належаць зламысніку – аднак на практыцы гэта амаль усе без выключэння сеткі робатаў, якія часта складаюцца з сотняў тысяч кампутараў. Якія адпавядаюць кампутары заражаныя шкоднасным ПА, якое дазваляе кіберзлачынцам атрымліваць да іх выдалены доступ, не будучы заўважанымі. Тут задзейнічаны прылады, такія як маршрутызатары, камеры відэаназірання і г.д.

hacker hacking GIF

Маючы за спіной правільную кампутарную сетку, зламысніку часта лёгка рэалізаваць запланаваны DDoS. Таму што для выканання сваёй мэты - прыпынку мэтавай службы - яму зараз патрэбна толькі адпаведная кропка нападу ў сістэме або сеткі ахвяры. Як толькі ён выявіць такі бэкдор, ён можа адправіць неабходныя каманды сваёй арміі ботаў, каб пачаць хвалю DDoS-нападаў у жаданы час.

Якія тыпы DoS- і DDoS-нападаў існуюць?

У адрозненне ад іншых нападаў кіберзлачынцаў, DoS-і DDoS-напады не накіраваныя на пранікненне ў сістэму. Аднак яны могуць быць часткай такога хакерскага нападу. Напрыклад, калі сістэма паралізаваная, каб адцягнуць увагу ад нападу на іншую сістэму. Калі рэакцыя сервера затрымоўваецца з-за DDoS- або DDoS-нападаў, у хакераў таксама ёсць магчымасць маніпуляваць запытамі да перагружанай сістэмы з дапамогай фальсіфікаваных адказаў. У стратэгіі, якія ляжаць у аснове такіх нападаў можна падзяліць на тры катэгорыі:

  • перагрузка паласы прапускання
  • перагрузка сістэмных рэсурсаў
  • выкарыстанне праграмных памылак і шчылін у бяспецы.

Перагрузка паласы прапускання

Мэта перагрузкі паласы прапускання - зрабіць кампутар недаступным. У гэтым выпадку DoS- і DDoS-напады нацэлены непасрэдна на сетку і адпаведныя якія падключаюцца прылады.

Напрыклад, маршрутызатар можа адначасова апрацоўваць толькі вызначаны аб'ём дадзеных. Калі гэтая ёмістасць цалкам скарыстана нападам, якія адпавядаюць службы больш не будуць даступныя іншым карыстачам. Класічная DDoS-напад з мэтай перагрузкі шырокапалоснага доступу – гэта атака Smurf.

Smurf-атака – гэтая DDoS-напад выкарыстоўвае пратакол кіраўнікоў паведамленняў інтэрнэту (ICMP), які выкарыстоўваецца для абмену інфармацыяй і паведамленнямі пра памылкі ў кампутарных сетках. Зламыснік адпраўляе падробленыя ICMP-пакеты тыпу "рэха-запыт" (ping) на шырокавяшчальны адрас кампутарнай сеткі і выкарыстоўвае IP-адрас мэты нападу ў якасці адрасу адпраўніка.

Сеткавы маршрутызатар перасылае шырокавяшчальны запыт усім падлучаным прыладам, прымушаючы кожнае з іх адпраўляць адказ на адрас адпраўніка (pong). Вялікая сетка з вялікай колькасцю падлучаных прылад можа значна зменшыць прапускную здольнасць аб'екта нападу.

Перагрузка сістэмных рэсурсаў

Калі DoS- або DDoS-напад нацэлены на рэсурсы сістэмы, зламыснікі выкарыстоўваюць той факт, што вэб-серверы могуць усталёўваць толькі абмежаваную колькасць падлучэнняў.

Coding Looney Tunes GIF by Looney Tunes World of Mayhem

Калі яны запоўненыя бессэнсоўнымі ці несапраўднымі запытамі, серверныя службы для звычайных карыстачоў могуць быць эфектыўна заблакаваныя. Класічнымі шаблонамі DDoS-атак на сістэмныя рэсурсы з'яўляюцца HTTP-флуд, ping-флуд, SYN-флуд і UDP-флуд.

HTTP-флуд. У гэтым найпростым варыянце DDoS-напады для перагрузкі рэсурсаў зламыснік запаўняе мэтавай вэб-сервер вялікай колькасцю HTTP-запытаў. Для гэтага яму дастаткова выклікаць любыя старонкі мэтавага праекта, пакуль сервер не абрынецца пад нагрузкай запытаў.

Ping flood. Кіберзлачынцы таксама выкарыстаюць ICMP-пакеты тыпу "Echo Request" для гэтага шаблону нападу. Звычайна яны масава рассылаюцца ботнетамі для нападу цэляў. Паколькі на кожны з гэтых запытаў (ping) мэтавая сістэма павінна адказваць пакетам дадзеных (pong), павольныя сістэмы могуць моцна запавольвацца з-за ping-флуду.

SYN-флуд. Гэты шаблон нападу ўяўляе сабой злоўжыванне трохбаковым квітаваннем TCP. TCP (Пратакол кіравання перадачай) - гэта сеткавы пратакол, які разам з IP забяспечвае перадачу дадзеных праз інтэрнэт без страт. Усталяванне TCP-злучэнні заўсёды адбываецца пры трохэтапнай аўтэнтыфікацыі. Для гэтага кліент адпраўляе на сервер пакет сінхранізацыі (SYN). Ён прымаецца серверам і таксама адказвае пакетам сінхранізацыі (SYN) і пацверджаннем (ACK). Устанаўленне злучэння завяршаецца пацвярджэннем на баку кліента (ACK). Калі гэтага не адбываецца, сістэмы могуць быць эфектыўна паралізаваны, паколькі сервер не захоўвае ў памяці канчаткова пацверджаныя злучэнні. Калі вялікая колькасць гэтых так званых паўадкрытых злучэнняў аб'ядноўваецца ў выніку лавіннага рассылання SYN, даступныя рэсурсы сервера пры вызначаных абставінах могуць быць цалкам занятыя.

UDP-флуд. У гэтым нападзе кіберзлачынцы належаць на пратакол карыстацкіх дейтаграмм (UDP) без усталявання злучэння. У адрозненне ад перадачы праз TCP, дадзеныя таксама могуць перадавацца праз UDP без устанаўлення злучэння. Таму ў кантэксце DoS- і DDoS-нападаў пакеты UDP у вялікай колькасці адпраўляюцца на выпадкова абраныя парты мэтавай сістэмы. Сістэма беспаспяхова спрабуе вызначыць, якое прыкладанне чакае перададзеных дадзеных, а затым адпраўляе пакет ICMP зваротна адпраўніку з паведамленнем "адрас прызначэння недаступны". Калі сістэма загружана шматлікімі запытамі гэтага тыпу, выкарыстанне рэсурсаў можа прывесці да сур'ёзнага абмежавання даступнасці для звычайных карыстальнікаў.

Выкарыстанне праграмных памылак і шчылін у бяспецы

Калі зламыснік ведае пра пэўныя прабелы ў бяспецы ў аперацыйнай сістэме або праграме, DoS-і DDoS-напады могуць быць спраектаваны такім чынам, каб запыты выклікалі праграмныя памылкі ці нават збоі сістэмы. Прыкладамі патэрнаў нападаў гэтага тыпу з'яўляюцца "пінг смерці" і атакай Лэнда.

Пінг смерці. Мэта гэтага нападу - выклікаць збой здзіўленай сістэмы. Для гэтага зламыснікі выкарыстоўваюць памылкі рэалізацыі ў інтэрнет-пратаколе (IP). IP-пакеты звычайна адпраўляюцца ў выглядзе фрагментаў. Калі разам са зборкай пакетаў адпраўляецца няправільная інфармацыя, некаторыя аперацыйныя сістэмы могуць быць ашуканы ў стварэнні IP-пакетаў, памер якіх перавышае максімальна дазволеныя 64 КБ. Гэта можа прывесці да "перапаўнення буфера", пры якім празмеру вялікія аб'ёмы дадзеных выклікаюць перазапіс суседніх ячэек памяці ў мэтавай вобласці памяці.

Land-Attack. У гэтым выпадку зламыснік адпраўляе SYN-пакет як частка трохбаковага поціску рукі TCP, адрасы прызначэння і адпраўніка якія адпавядаюць атакаванаму серверу. Гэта прыводзіць да таго, што сервер адпраўляе адказ на запыт у форме пакета SYN/ACK самому сабе. Гэта можна інтэрпрэтаваць як новы запыт на злучэнне, на які, у сваю чаргу, павінен быць дадзены адказ пакетам SYN/ACK. Гэта стварае сітуацыю, у якой сістэма ўвесь час адказвае на ўласныя запыты, што можа прывесці да збою.

Як прадухіліць і паменшыць колькасць нападаў?

Распрацаваны розныя меры бяспекі для процідзеяння перагрузцы ІТ-сістэм з дапамогай DoS-і DDoS-нападаў. Адпраўныя кропкі прапануюць ідэнтыфікацыю крытычных IP-адрасоў і ўхіленне вядомых праломаў у бяспецы. Таксама важна падаць апаратныя і праграмныя рэсурсы, якія можна выкарыстаць для кампенсавання малаважных нападаў.

Чорныя спісы IP

Чорныя спісы дазваляюць ідэнтыфікаваць крытычныя IP-адрасы і наўпрост адкідаць пакеты дадзеных. Гэтая мера бяспекі можа быць рэалізавана ўручную ці аўтаматычна з дапамогай дынамічна ствараных чорных спісаў праз міжсеткавы экран.

Траянскі вірус - гісторыя ўзнікнення, як пазбягаць, віды

фільтраванне

Каб адфільтраваць прыкметныя пакеты дадзеных, можна вызначыць гранічныя значэнні для аб'ёмаў дадзеных у пэўны перыяд часу. Аднак варта адзначыць, што проксі-серверы часам прыводзяць да таго, што многія кліенты з адным і тым жа IP-адрасам рэгіструюцца на серверы і, магчыма, блакуюцца без уважлівай прычыны.

купіць наўтбук у менску нядорага

Файлы cookie SYN

Файлы cookie SYN прызначаны для ўхілення прабелаў у бяспецы пры ўсталяванні TCP-злучэнні. Калі гэтая мера бяспекі выкарыстоўваецца, інфармацыя аб SYN-пакетах больш не захоўваецца на серверы, а адпраўляецца кліенту ў выглядзе крыптаграфічных файлаў cookie. Напады SYN flood выкарыстоўваюць вылічальныя магутнасці, але не нагружаюць памяць мэтавай сістэмы.

Траянскі вірус - што гэта, кароткая гісторыя, хто прыдумаў

Балансіроўка нагрузкі

Эфектыўны сродак процідзеяння перагрузцы - гэта размеркаванне нагрузкі паміж рознымі сістэмамі, што стала магчымым дзякуючы балансіроўцы нагрузкі. Апаратная нагрузка якія прадстаўляюцца паслуг размяркоўваецца па некалькіх фізічным машынам. Такім чынам можна ў вызначанай ступені перахапіць DoS-і DDoS-напады.

ПАКІНЦЕ АДКАЗ

Увядзіце ваш каментар
Ваша імя