Dos и ddos-атаки: понятие, разновидности, методы выявления и защиты

Виды атак

Не всякая направленная на отказ обслуживания атака должна быть распределенной. Для некоторых способов нападения достаточно одного компьютера, тогда речь идет о простом Denial of Service (DoS, а не DDoS).

Классификация DoS-атак основывается на способах достижения отказа. Можно выделить следующие виды:

  • переполнение канала (флуд) — каналы мишени полностью заполняются бессмысленными запросами или ответами на них;
  • захват ресурсов — цель получает такие запросы, обработка которых занимает все процессорное время либо переполняет память;
  • использование ошибок в программном коде — в системе жертвы находят уязвимость, воздействие на которую приводит к ошибке программы и аварийному завершению работы.

Среди перечисленных видов к DDoS-атакам (то есть с использованием множества компьютеров) относятся такие виды флуда:

  • ICMP*-флуд (или smurf) — нападение с применением ICMP-пакета и усиливающей сети, где всем узлам(чем их больше, тем эффективнее атака) отправляется этот пакет с заменой адреса отправителя на адрес цели, по которому все узлы пришлют ответ на ping-запрос;
  • UDP**-флуд (или Fraggle) — атака по принципу аналогична предыдущей, но с применением UDP;
  • SYN-флуд — доведение до отказа путем исчерпания ресурсов, выделенных для установки TCP соединения, в этом случае цель получает с коротким интервалом SYN-пакеты с заменой IP адреса отправителя на несуществующий, куда атакуемый компьютер отправляет SYN/ACK запрос и будет ждать ответа, который никогда не придет, таким способом заполняется очередь потенциальных соединений.

Название протокола

Функция (все входят в стек TCP/IP)

*ICMP – Internet Control Message Protocol

Управляющие сообщения, передают информацию об ошибках или выполняют другие вспомогательные функции.

**UDP – User Datagram Protocol

Осуществляет обмен сообщениями без предшествующей установки канала или пути и без гарантии доставки.

Захват ресурсов также может проводиться с использованием ботнета, в этом случае цель бомбардируется либо пакетами, обработка которых тратит все процессорное время, либо большими по объему пакетами, которые записываются в лог-файлы и занимают пространство на жестком диске (последнее возможно лишь при отсутствии ограничений на сервере).

Можно ли уберечься

Универсальной защиты от всех ДДоС-атак нет. Им могут подвергаться как популярные порталы, так и огромные коммерческие площадки. К слову, чтобы противостоять киберпреступникам, и Amazon, например, тратят миллиарды на киберзащиту и миллионы на призовые в конкурсах на поиск уязвимостей.

Как защититься небольшому ресурсу? Прежде всего, нужно правильно выбирать хостера. Как правило, услуга защиты предоставляется за отдельную плату. Если во время атаки ваш сайт работает медленнее, провайдер с обязанностями не справляется. Будьте готовы и к тому, что в случае атаки хостер может отключить Ваш сайт, чтобы последствия последней не коснулись других его пользователей.

В то же время владелец атакованного ресурса не пострадает, если у хостинг-провайдера предусмотрена собственная система очистки трафика или он подключен к сторонней. Худший сценарий – если во время атаки на 1 сайт клиента сайт хостера стал недоступен: значит, у него проблемы с защитой и его лучше сменить.

Однако в идеале, важно задуматься о собственной защите еще на этапе проектирования веб-сайта. Для этого нужно оптимизировать память, потребление ресурсов, соединение с базой данных и т

д. или обратиться за помощью к специалистам, которые умеют отсекать паразитный трафик, предотвращать попадание вирусов на сайт.

Ярким примером такой компании является . Они представляют целый комплекс работ по защите веб-ресурсов от вирусов. Попутно предоставляется возможность настройки мониторинга работоспособности сайта (чтоб не пользоваться сторонними ресурсами). Причем если падает работоспособность вашего хостинга, компания подключает режим FixedWebsite, чтобы обеспечить полную либо частичную доступность к ресурсу во время проведения восстановительных работ.

Обо всех проблемах и вирусах система также уведомляет, дополнительно дает ценные советы относительно того, как сделать сайт надежнее и быстрее. И на этом ее преимущества не заканчиваются. Обо всех читайте на их сайте.

Сделать ДДоС-атаку не так дорого. Конечно, все зависит от степени защиты и популярности сайта, но цены стартуют от $20 в день. Поэтому не думайте, что Вас это не коснется, просто защищайте свои ресурсы сразу!

А также подписывайтесь на группу Вконтакте и на блог Start-luck.ru.

Как защититься?

Конечно, DDoS-атаки будут всегда, от них никуда не деться. В этом случае единственными эффективными мерами противодействия им являются постоянный мониторинг сетевой активности. А также наличие резервных мощностей (главным образом оборудования и ПО) для задействования на случай сбоя.

Ну а если же атака всё-же произошла, то необходимо в кратчайшие сроки увести её в сторону. Путём миграции серверов и задействования виртуальных техплощадок. Также очень эффективным приёмом в комплексе мер по предотвращению DDoS-атак является быстрая локализация объекта атаки. Как правило, целями таких атак практически всегда являются веб-сайты, а не целые хостинговые площадки например.

Для обычных же пользователей-владельцев компьютеров, мобильных устройств, роутеров и т. д. Следует соблюдать личную «гигиену» во время сёрфинга как в локальных сетях, так и в Интернет. Это существенно повышает шансы не оказаться в паутине ботнет-сети и невольным соучастником DDoS-атаки.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Как осуществляется ДДоС-атака своими руками

Осведомлён, значит вооружён – верный принцип. Но помните, что намеренная организация DDoS-атаки единолично или группой лиц – уголовно наказуемое преступление, поэтому данный материал предоставлен исключительно для ознакомления.

Американскими ИТ-деятелями по предотвращению угроз была разработана программа для проверки устойчивости к нагрузкам серверов и возможности проведения DDoS-атак злоумышленниками с последующей ликвидацией этого нападения.

Естественно, что «горячие» умы повернули это оружие против самих разработчиков и против того, с чем они боролись. Кодовое название продукта – LOIC. Эта программа находится в свободном доступе и, в принципе, не запрещена законом.

Интерфейс и функционал программы довольно прост, ею может воспользоваться любой, кого интересует ДДоС-атака.

Как сделать всё самому? В строчках интерфейса достаточно ввести IP-жертвы, затем установить потоки TCP и UDP и количество запросов. Вуаля — после нажатия заветной кнопки атака началась!

Какие-либо серьёзные ресурсы, естественно, не пострадают от этого софта, но мелкие могут испытывать некоторые проблемы.

DDoS атака – что это и в чем отличие от DoS?

Прежде чем перейти к рассказу о ДДоС атаках, стоит упомянуть об их младшем брате – DoS атаке (сокращение от Denial of Service – отказ в обслуживании). О ДоС атаках редко говорят и пишут, хотя, многие реальные ситуации должны интерпретироваться именно как DoS с одной буквой D. ДДоС, в свою очередь, является частным случаем первой и имеет существенные особенности.

Проще говоря, DoS атака – это навешивание на сервер никому не нужных задач, которые ведут к его зависанию или сбою.

Как правило, атакам подвергаются сайты (сервера, на которых они хостятся), поэтому оба термина употребляются в соответствующем контексте, и вы всегда будете сталкиваться с темами о том, как защитить сайт или сервер от DDoS, какие-то другие системы подвергаются подобным воздействиям редко.

Наличие дополнительной «D» означает Distributed Denial of Service – распределенный отказ в обслуживании.

Четкой границы в названиях нет, условно мы можем считать, что DoS атака – это хакерская атака, характеризующаяся всего парой атакующих IP адресов, а DDoS – это все что выше. вот выглядит архитектура DDoS атаки в упрощенном виде:

Принципиальное отличие в классификации этих типов становится понятным только на этапе формирования комплекса мер по защите – защищаться от DDoS значительно сложнее, об этом поговорим ниже.

Виды DoS атак по уровню воздействия

  1. Массовые спамные – это атаки, при которых система нагружается за счет огромного количества запросов. Даже на обработку простых действий тратится процессорное время сервера, и, при их большом, количестве сервер не справляется;
  2. Умные точечные – при такой атаке запросы шлются к тем элементам системы, которые являются наиболее уязвимыми (потребляют максимум процессорной мощности). Общее количество запросов может быть небольшим, а сервер виснет.

Как распознать DDoS атаку и определить ее источники?

Правильная постановка диагноза – это половина пути к выздоровлению, но лучше всего – профилактика. В отношении DDoS атак профилактика и лечение совпадают. Но, владельцы сайтов редко озадачиваются предотвращением проблемы, пока она не заявит о себе.

Симптомы DoS атак совпадают со многими другими проблемами, главный из них – это периодическая или полная потеря работоспособности сайта (вместо нужных страниц сервер выдает ошибки 50x или полную недоступность). В некоторых случаях, когда атака слабая сайт может работать, но жутко тормозить.

Подобные симптомы могут проявляться не только при атаках, они могут быть следствием плохой оптимизации скриптов самого сайта, высоким уровнем легитимного трафика (когда количество реальных пользователей превышает технические возможности сервера). Нередкой является картина, когда причиной тормозов является плохой хостинг. Поэтому, торможение или падение сайта еще не означает наличия DoS атаки.

Единственный 100% способ разобраться в причинах проблемы – это смотреть лог сервера. Если у вас он не ведется, то обязательно включите или обратитесь в техническую поддержку хостинга, чтобы они его включили.

Лог сайта – это файл, в который записывается информация о поступающих запросах. Бывает лог ошибок, он короткий и в нем отражаются только те запросы, в ответ на которые сервер был вынужден дать ошибку. Но нам нужен лог посещений, в него пишется каждый запрос поступающий сайту, фиксируется – время, IP адрес, с которого поступает запрос, тип запроса (GET, POST, HEAD) целевой URL, код выданного ответа, идентификатор пользователя (браузер, данные роботов и т.д.).

Пример одиночной записи лога доступа:

biznessystem.ru 104.194.196.238 - - [27/Nov/2016:11:01:26 +0300] "GET /2014/01/kak-otkryt-fajl-rar-kak-polzovatsa-winrar/ HTTP/1.1" 200 74658 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13" 0

Последовательно здесь указано: мой домен, IP адрес источника запроса, дата и время, тип запроса и адрес страницы, код ответа сервера (200), данные источника запроса (браузер, операционная система).

По одной такой строке понять, что вас атакуют невозможно, необходимо рассматривать в комплексе.

Признаки DoS атаки:

Большое число запросов с одного IP адреса, превышающее адекватные потребности живого человека (тысячи);
Интервал между запросами существенно меньше, чем нужен человеку

Например, живой человек не будет открывать новую страницу сайта каждую секунду (она даже загрузиться не успеет);
Повторение одинаковых запросов, как будто кто-то постоянно обновляет страницу.
Запросы к страницам, которых не существует или которые не предназначены для пользователей – это не всегда признак именно DoS атаки, но всегда должно обращать внимание, может быть вас пытаются взломать, ища уязвимые места.. В случае DDoS атакие признаки все те же, только многочисленные мусорные запросы будут идти  не с одного IP адреса, а с множества

В случае DDoS атакие признаки все те же, только многочисленные мусорные запросы будут идти  не с одного IP адреса, а с множества.

Интересно, что как раз в период написания статьи мой блог подвергся очередной атаке. DoS атака была не продолжительной и не очень сильной и не привела к отключению сайта, но суточная нагрузка в 3 раза превысила обычную норму.

При анализе лога было обнаружено 11253 запроса с IP 213.159.212.73. Причем, все эти запросы были отправлены в течение 40 минут.

В данном случае налицо были признаки: много запросов, маленькие интервалы (по 3-4 новых страницы в секунду), обращение к несуществующим страницам (404 ошибка), обращение к запрещенным страницам (403 ошибка).

Каковы распространенные типы DDoS-атак?

Различные типы DDoS-атак нацелены на различные компоненты сетевого подключения. Чтобы понять, как работают различные DDoS-атаки, необходимо знать, как осуществляется сетевое подключение. Сетевое подключение к интернету состоит из множества различных компонентов или “слоев”. Как и строительство дома с нуля, каждый шаг в модели имеет свое назначение. Модель OSI является концептуальной основой, используемой для описания сетевого подключения в 7 различных уровнях. В то время как почти все DDoS-атаки включают в себя целевое устройство или сеть с трафиком, атаки можно разделить на три категории. Злоумышленник может использовать один или несколько различных типов атаки или циклические атаки, основанные на мерах противодействия, принимаемых целью.

Атаки на уровне приложений

Цель атаки:

Иногда упоминается как уровень 7 DDoS-атак (в отношении 7-го уровня модели OSI), цель этих атак состоит в том, чтобы исчерпать ресурсы цели. Атаки нацелены на уровень, на котором веб-страницы создаются на сервере и доставляются в ответ на HTTP-запросы. Один HTTP-запрос дешев для выполнения на стороне клиента, и может быть дорогим для целевого сервера, чтобы ответить, поскольку сервер часто должен загрузить несколько файлов и выполнить запросы базы данных для создания веб-страницы. Атаки уровня 7 трудно защитить, поскольку трафик нелегко распознать как вредоносный.

Поток HTTP

Эта атака похожа на нажатие обновить в веб-браузере снова и снова на многих разных компьютерах одновременно – большое количество запросов HTTP наводняет сервер, что приводит к отказу в обслуживании. Этот тип атаки варьируется от простого к сложному. Более простые реализации могут обращаться к одному URL-адресу с одинаковым диапазоном атакующих IP-адресов, источников ссылок и агентов пользователей. Сложные версии могут использовать большое количество атакующих IP-адресов и целевых случайных URL-адресов с помощью случайных источников ссылок и агентов пользователей.

Атаки по протоколу

Цель атаки:

Атаки по протоколу, также известные как атаки с исчерпанием состояния, вызывают нарушение работы службы, потребляя всю доступную емкость таблицы состояний серверов веб-приложений или промежуточных ресурсов, таких как брандмауэры и подсистемы балансировки нагрузки. Атаки протокола используют слабые места в уровне 3 и уровне 4 стека протокола, чтобы сделать цель недоступной.

SYN Flood

Поток SYN аналогичен работнику на складе, получающему запросы от передней части магазина. Работник получает запрос, идет и получает пакет, и ждет подтверждения, прежде чем вынести пакет в магазин. Затем работник получает еще много запросов пакетов без подтверждения до тех пор, пока они не сможет нести больше пакетов, перегружается, и запросы начинают идти без ответа. Эта атака использует квитирование TCP, отправляя цели большое количество пакетов SYN «запрос начального соединения» TCP с поддельными IP-адресами источника. Целевой компьютер отвечает на каждый запрос на подключение, а затем ожидает последнего шага в квитировании, которое никогда не происходит, исчерпывая ресурсы целевого объекта в процессе.

Объемные атаки

Цель атаки:

Эта категория атак пытается создать перегрузку, потребляя всю доступную пропускную способность между целью и интернетом. Большие объемы данных отправляются цели с помощью усиления или другого средства создания массового трафика, например, запросов от ботнета.

Усиление DNS

Усиление DNS — это, как если бы кто-то позвонил в ресторан и сказал: «Мне все, пожалуйста, перезвоните мне и продиктуйте мне весь мой заказ», где номер телефона обратного вызова, который он дает, является номером цели. С очень небольшим усилием, выполняется длинный ответ.

Отправив запрос на открытый DNS-сервер с поддельным IP-адресом (реальным IP-адресом цели), целевой IP-адрес получает ответ от сервера. Злоумышленник структурирует запрос таким образом, что DNS-сервер отвечает цели с большим объемом данных. В результате целевой объект получает усиление исходного запроса злоумышленника.

Что значит «дудос» (DDoS)?

DDoS или distributed denial-of-service (разделенный отказ в обслуживании) — это атака на определенный компьютер в сети, которая заставляет его путем перегрузки не отвечать на запросы других пользователей.

Чтобы понять что значит ddos атака, давайте представим ситуацию: веб-сервер отдает пользователям страницы сайта, допустим на создание страницы и полную ее передачу компьютеру пользователя уходит полсекунды, тогда наш сервер сможет нормально работать при частоте два запроса в секунду. Если таких запросов будет больше, то они будут поставлены в очередь и обработаются как только веб-сервер освободиться. Все новые запросы добавляются в конец очереди. А теперь представим что запросов очень много, и большинство из них идут только для того, чтобы перегрузить этот сервер.

Если скорость поступления новых запросов превышает скорость обработки, то, со временем, очередь запросов будет настолько длинной, что фактически новые запросы уже не будут обрабатываться. Это и есть главный принцип ddos атаки. Раньше такие запросы отправлялись с одного IP адреса и это называлось атакой отказа в обслуживании — Dead-of-Service, по сути, это ответ на вопрос что такое dos. Но с такими атаками можно эффективно бороться, просто добавив ip адрес источника или нескольких в список блокировки, к тому же несколько устройство из-за ограничений пропускной способности сети не физически не может генерировать достаточное количество пакетов, чтобы перегрузить серьезный сервер.

DDoS — это атака на удаленный сервер, с целью сломать систему, чтобы пользователи не смогли получить доступ к целевому ресурсу. Взлом системы и удаленный доступ к серверу не будет доступен при DDoS атаке, однако в некоторых случаю возможен показ скрытой для обычных пользователей информации, либо заражению сервера. ДДоС атаки используются в разных случаях, в отношении больших компаний это протесты хакеров, либо заказ от конкурентов атакуемой фирмы. Иногда атаки такого типа могут иметь в последующем вымогательство, за остановку атаки.

Существует множество типов DDoS атак. Самые примитивные это ping и HTTP флуд, то есть, переполнение очереди запросов к серверу. Однако если атакующий профессионально занимается DDoS атаками, зачастую выбирают наиболее вероятно работающий алгоритм, они ищут ошибки в коде программы или операционной системы сервера (эксплойт). Классическим примером является обращение по нулевому адресу.

Все атаки этого типа проходят по похожей схеме, хакер распространяет вирус, не действующий пока не началась атака, соответственно пользователь может его даже не заметить, однако когда начинается атака с компьютера жертвы начинают отправляться данные на атакующий сервер, за счет большого количества таких компьютеров(зомби) получается перегрузка канала или сервера.

Защита от DDoS зависит от того какая атака используется, но в есть универсальные советы. Вы всегда должны быть готовы удаленно перезагрузить сервер, иметь к нему запасной вариант доступа, а так же иметь правильно настроенный брандмаузер.

Каков процесс смягчения DDoS-атаки?

Ключевой проблемой в смягчении DDoS-атаки является различие между атакой и обычным трафиком. Например, если при выпуске нового продукта веб-сайт компании завален нетерпеливыми клиентами, то отключение всего трафика является ошибкой. Если у этой компании внезапно возникает всплеск трафика, вероятно, необходимы усилия по смягчению атаки. Трудность заключается в том, что нельзя различить реального клиента и трафик атаки.

В современном интернете DDoS-трафик поступает во многих формах. Трафик может варьироваться от незамеченных атак с одним источником до сложных и адаптивных многовекторных атак. Многовекторная DDoS-атака использует несколько путей атаки, чтобы подавить цель по-разному, потенциально отвлекая усилия по смягчению на любой одной траектории. Примером многовекторных DDoS-атак является атака, нацеленная на несколько уровней стека протоколов одновременно, например, усиление DNS (целевые уровни 3/4) в сочетании с потоком HTTP (целевой уровень 7).

Смягчение многовекторной DDoS-атаки требует различных стратегий для противодействия различным траекториям. Вообщем говоря, чем сложнее атака, тем более вероятно, что трафик атаки будет трудно отделить от обычного трафика — цель атакующего — максимально смешаться с «толпой», сделав смягчение настолько неэффективным, насколько это возможно. Попытки смягчения, которые включают ограничение общего трафика, могут выбросить хороший трафик вместе с плохим, и атака может также измениться и адаптироваться к обходным контрмерам. Для того чтобы совершить попытку остановки ддос атаки, многоуровневое решение даст наибольшую пользу.

Black Hole запись в маршрутизации

Одним из решений, доступных практически всем администраторам сети, является создание маршрута «черной дыры» и направление трафика в этот маршрут. В своей простейшей форме, когда фильтрация «черных дыр» реализуется без определенных критериев ограничения, и хороший и вредоносный сетевой трафик маршрутизируется к нулевому маршруту (или черной дыре) и отбрасывается из сети. Если ресурс интернета испытывает DDoS-атаку, интернет-провайдер (ISP) ресурса может отправить весь трафик сайта в черную дыру в качестве защиты.

Ограничение скорости

Ограничение количества запросов, принимаемых сервером в течение определенного периода времени, также является способом смягчения атак типа «отказ в обслуживании». Хотя ограничение скорости полезно для замедления веб-скребков от кражи контента и для смягчения попыток входа в систему, одного этого, вероятно, будет недостаточно для эффективной остановки сложной DDoS-атаки. Тем не менее ограничение скорости является полезным компонентом эффективной стратегии смягчения последствий DDoS.

Брандмауэр приложений

Брандмауэр веб-приложений (WAF) — это инструмент, который может помочь в смягчении DDoS-атаки уровня 7. Размещая WAF между интернетом и исходным сервером, WAF может выступать в качестве обратного прокси-сервера, защищая целевой сервер от определенных типов вредоносного трафика. Фильтрация запросов на основе ряда правил, используемых для идентификации средств DDoS, может препятствовать атакам уровня 7. Одним из ключевых значений эффективного WAF является возможность быстрого внедрения пользовательских правил в ответ на атаку.

Anycast

Этот подход использует Anycast для рассеивания трафика атаки через сеть распределенных серверов до точки, где трафик поглощается сетью. Подобно направлению несущейся реки вниз по отдельным более мелким каналам, этот подход распространяет влияние распределенного трафика атаки до такой степени, что он становится управляемым, рассеивая любые разрушительные возможности. Надежность сети Anycast для смягчения DDoS-атаки зависит от размера атаки и эффективности сети

Важной частью смягчения DDoS атак является использование распределенной сети Anycast, реализованной Cloudflare. Cloudflare имеет сеть 25 Тбит/с, что на порядок больше, чем самая большая DDoS-атака

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий