Недаступнасць службы ў інфарматыцы называецца адмовай у абслугоўванні (DoS). Такія блакіроўкі сэрвісаў звычайна з'яўляюцца пабочнымі эфектамі перагрузкі асобных кампанентаў ІТ-інфраструктуры. Калі гэты стан наўмысна выклікана вонкавымі суб'ектамі, кажуць пра DoS-атацы. Зламыснік спецыяльна накіроўвае мэтавай сістэме больш запытаў, чым яна можа апрацаваць. Сеткавыя прылады, аперацыйныя сістэмы ці асобныя серверныя службы могуць выкарыстоўвацца такім чынам, што яны не могуць наогул ці толькі з затрымкай рэагаваць на рэгулярныя запыты. Такая працэдура асабліва эфектыўная, калі сістэма сутыкаецца з запытамі з розных кампутараў. У адрозненне ад DoS-нападаў, такія DDoS-напады засноўваюцца на шырокіх ботнетах.
DDoS / DoS-напады ў вялікім маштабе
Распаўсюджаная форма DoS называецца «размеркаваная адмова ў абслугоўванні» (DDoS). У гэтым варыянце кіберзлачынцы дзейнічаюць не з аднаго атакавалага кампутара, а загружаюць мэтавыя сістэмы запытамі з некалькіх кампутараў, якія можна аб'яднаць у гіганцкія ботнеты.
Такая сетка кампутараў можа генераваць значна больш трафіку дадзеных, чым пры простых DoS-нападах, якія выконваюцца толькі з адной сістэмы. Такім чынам, DDoS-напады аказваюць сур'ёзнае ўздзеянне на пацярпелых, у якіх, як правіла, мала шанцаў выявіць фактычную крыніцу нападу. Таму што зламыснікі, якія настройваюць ботнэты гэтага тыпу, выкарыстоўваюць спецыяльныя праграмныя агенты, якія размешчаны на недастаткова абароненых кампутарах у інтэрнэце і цэнтралізавана кантралююцца без ведама аператара. Такое "заражэнне" часта адбываецца за некалькі месяцаў да фактычнай DDoS-напады.
Як выглядае DDoS-напад?
кожная DDoS-атака заснавана на буйнейшай кампутарнай сетцы. Тэарэтычна гэтая сетка можа фактычна належаць зламысніку – аднак на практыцы гэта амаль усе без выключэння сеткі робатаў, якія часта складаюцца з сотняў тысяч кампутараў. Якія адпавядаюць кампутары заражаныя шкоднасным ПА, якое дазваляе кіберзлачынцам атрымліваць да іх выдалены доступ, не будучы заўважанымі. Тут задзейнічаны прылады, такія як маршрутызатары, камеры відэаназірання і г.д.
Маючы за спіной правільную кампутарную сетку, зламысніку часта лёгка рэалізаваць запланаваны DDoS. Таму што для выканання сваёй мэты - прыпынку мэтавай службы - яму зараз патрэбна толькі адпаведная кропка нападу ў сістэме або сеткі ахвяры. Як толькі ён выявіць такі бэкдор, ён можа адправіць неабходныя каманды сваёй арміі ботаў, каб пачаць хвалю DDoS-нападаў у жаданы час.
Якія тыпы DoS- і DDoS-нападаў існуюць?
У адрозненне ад іншых нападаў кіберзлачынцаў, DoS-і DDoS-напады не накіраваныя на пранікненне ў сістэму. Аднак яны могуць быць часткай такога хакерскага нападу. Напрыклад, калі сістэма паралізаваная, каб адцягнуць увагу ад нападу на іншую сістэму. Калі рэакцыя сервера затрымоўваецца з-за DDoS- або DDoS-нападаў, у хакераў таксама ёсць магчымасць маніпуляваць запытамі да перагружанай сістэмы з дапамогай фальсіфікаваных адказаў. У стратэгіі, якія ляжаць у аснове такіх нападаў можна падзяліць на тры катэгорыі:
- перагрузка паласы прапускання
- перагрузка сістэмных рэсурсаў
- выкарыстанне праграмных памылак і шчылін у бяспецы.
Перагрузка паласы прапускання
Мэта перагрузкі паласы прапускання - зрабіць кампутар недаступным. У гэтым выпадку DoS- і DDoS-напады нацэлены непасрэдна на сетку і адпаведныя якія падключаюцца прылады.
Напрыклад, маршрутызатар можа адначасова апрацоўваць толькі вызначаны аб'ём дадзеных. Калі гэтая ёмістасць цалкам скарыстана нападам, якія адпавядаюць службы больш не будуць даступныя іншым карыстачам. Класічная DDoS-напад з мэтай перагрузкі шырокапалоснага доступу – гэта атака Smurf.
Smurf-атака – гэтая DDoS-напад выкарыстоўвае пратакол кіраўнікоў паведамленняў інтэрнэту (ICMP), які выкарыстоўваецца для абмену інфармацыяй і паведамленнямі пра памылкі ў кампутарных сетках. Зламыснік адпраўляе падробленыя ICMP-пакеты тыпу "рэха-запыт" (ping) на шырокавяшчальны адрас кампутарнай сеткі і выкарыстоўвае IP-адрас мэты нападу ў якасці адрасу адпраўніка.
Сеткавы маршрутызатар перасылае шырокавяшчальны запыт усім падлучаным прыладам, прымушаючы кожнае з іх адпраўляць адказ на адрас адпраўніка (pong). Вялікая сетка з вялікай колькасцю падлучаных прылад можа значна зменшыць прапускную здольнасць аб'екта нападу.
Перагрузка сістэмных рэсурсаў
Калі DoS- або DDoS-напад нацэлены на рэсурсы сістэмы, зламыснікі выкарыстоўваюць той факт, што вэб-серверы могуць усталёўваць толькі абмежаваную колькасць падлучэнняў.
Калі яны запоўненыя бессэнсоўнымі ці несапраўднымі запытамі, серверныя службы для звычайных карыстачоў могуць быць эфектыўна заблакаваныя. Класічнымі шаблонамі DDoS-атак на сістэмныя рэсурсы з'яўляюцца HTTP-флуд, ping-флуд, SYN-флуд і UDP-флуд.
HTTP-флуд. У гэтым найпростым варыянце DDoS-напады для перагрузкі рэсурсаў зламыснік запаўняе мэтавай вэб-сервер вялікай колькасцю HTTP-запытаў. Для гэтага яму дастаткова выклікаць любыя старонкі мэтавага праекта, пакуль сервер не абрынецца пад нагрузкай запытаў.
Ping flood. Кіберзлачынцы таксама выкарыстаюць ICMP-пакеты тыпу "Echo Request" для гэтага шаблону нападу. Звычайна яны масава рассылаюцца ботнетамі для нападу цэляў. Паколькі на кожны з гэтых запытаў (ping) мэтавая сістэма павінна адказваць пакетам дадзеных (pong), павольныя сістэмы могуць моцна запавольвацца з-за ping-флуду.
SYN-флуд. Гэты шаблон нападу ўяўляе сабой злоўжыванне трохбаковым квітаваннем TCP. TCP (Пратакол кіравання перадачай) - гэта сеткавы пратакол, які разам з IP забяспечвае перадачу дадзеных праз інтэрнэт без страт. Усталяванне TCP-злучэнні заўсёды адбываецца пры трохэтапнай аўтэнтыфікацыі. Для гэтага кліент адпраўляе на сервер пакет сінхранізацыі (SYN). Ён прымаецца серверам і таксама адказвае пакетам сінхранізацыі (SYN) і пацверджаннем (ACK). Устанаўленне злучэння завяршаецца пацвярджэннем на баку кліента (ACK). Калі гэтага не адбываецца, сістэмы могуць быць эфектыўна паралізаваны, паколькі сервер не захоўвае ў памяці канчаткова пацверджаныя злучэнні. Калі вялікая колькасць гэтых так званых паўадкрытых злучэнняў аб'ядноўваецца ў выніку лавіннага рассылання SYN, даступныя рэсурсы сервера пры вызначаных абставінах могуць быць цалкам занятыя.
UDP-флуд. У гэтым нападзе кіберзлачынцы належаць на пратакол карыстацкіх дейтаграмм (UDP) без усталявання злучэння. У адрозненне ад перадачы праз TCP, дадзеныя таксама могуць перадавацца праз UDP без устанаўлення злучэння. Таму ў кантэксце DoS- і DDoS-нападаў пакеты UDP у вялікай колькасці адпраўляюцца на выпадкова абраныя парты мэтавай сістэмы. Сістэма беспаспяхова спрабуе вызначыць, якое прыкладанне чакае перададзеных дадзеных, а затым адпраўляе пакет ICMP зваротна адпраўніку з паведамленнем "адрас прызначэння недаступны". Калі сістэма загружана шматлікімі запытамі гэтага тыпу, выкарыстанне рэсурсаў можа прывесці да сур'ёзнага абмежавання даступнасці для звычайных карыстальнікаў.
Выкарыстанне праграмных памылак і шчылін у бяспецы
Калі зламыснік ведае пра пэўныя прабелы ў бяспецы ў аперацыйнай сістэме або праграме, DoS-і DDoS-напады могуць быць спраектаваны такім чынам, каб запыты выклікалі праграмныя памылкі ці нават збоі сістэмы. Прыкладамі патэрнаў нападаў гэтага тыпу з'яўляюцца "пінг смерці" і атакай Лэнда.
Пінг смерці. Мэта гэтага нападу - выклікаць збой здзіўленай сістэмы. Для гэтага зламыснікі выкарыстоўваюць памылкі рэалізацыі ў інтэрнет-пратаколе (IP). IP-пакеты звычайна адпраўляюцца ў выглядзе фрагментаў. Калі разам са зборкай пакетаў адпраўляецца няправільная інфармацыя, некаторыя аперацыйныя сістэмы могуць быць ашуканы ў стварэнні IP-пакетаў, памер якіх перавышае максімальна дазволеныя 64 КБ. Гэта можа прывесці да "перапаўнення буфера", пры якім празмеру вялікія аб'ёмы дадзеных выклікаюць перазапіс суседніх ячэек памяці ў мэтавай вобласці памяці.
Land-Attack. У гэтым выпадку зламыснік адпраўляе SYN-пакет як частка трохбаковага поціску рукі TCP, адрасы прызначэння і адпраўніка якія адпавядаюць атакаванаму серверу. Гэта прыводзіць да таго, што сервер адпраўляе адказ на запыт у форме пакета SYN/ACK самому сабе. Гэта можна інтэрпрэтаваць як новы запыт на злучэнне, на які, у сваю чаргу, павінен быць дадзены адказ пакетам SYN/ACK. Гэта стварае сітуацыю, у якой сістэма ўвесь час адказвае на ўласныя запыты, што можа прывесці да збою.
Як прадухіліць і паменшыць колькасць нападаў?
Распрацаваны розныя меры бяспекі для процідзеяння перагрузцы ІТ-сістэм з дапамогай DoS-і DDoS-нападаў. Адпраўныя кропкі прапануюць ідэнтыфікацыю крытычных IP-адрасоў і ўхіленне вядомых праломаў у бяспецы. Таксама важна падаць апаратныя і праграмныя рэсурсы, якія можна выкарыстаць для кампенсавання малаважных нападаў.
Чорныя спісы IP
Чорныя спісы дазваляюць ідэнтыфікаваць крытычныя IP-адрасы і наўпрост адкідаць пакеты дадзеных. Гэтая мера бяспекі можа быць рэалізавана ўручную ці аўтаматычна з дапамогай дынамічна ствараных чорных спісаў праз міжсеткавы экран.
фільтраванне
Каб адфільтраваць прыкметныя пакеты дадзеных, можна вызначыць гранічныя значэнні для аб'ёмаў дадзеных у пэўны перыяд часу. Аднак варта адзначыць, што проксі-серверы часам прыводзяць да таго, што многія кліенты з адным і тым жа IP-адрасам рэгіструюцца на серверы і, магчыма, блакуюцца без уважлівай прычыны.
Файлы cookie SYN
Файлы cookie SYN прызначаны для ўхілення прабелаў у бяспецы пры ўсталяванні TCP-злучэнні. Калі гэтая мера бяспекі выкарыстоўваецца, інфармацыя аб SYN-пакетах больш не захоўваецца на серверы, а адпраўляецца кліенту ў выглядзе крыптаграфічных файлаў cookie. Напады SYN flood выкарыстоўваюць вылічальныя магутнасці, але не нагружаюць памяць мэтавай сістэмы.
Балансіроўка нагрузкі
Эфектыўны сродак процідзеяння перагрузцы - гэта размеркаванне нагрузкі паміж рознымі сістэмамі, што стала магчымым дзякуючы балансіроўцы нагрузкі. Апаратная нагрузка якія прадстаўляюцца паслуг размяркоўваецца па некалькіх фізічным машынам. Такім чынам можна ў вызначанай ступені перахапіць DoS-і DDoS-напады.
