DDoS-атаки

DDoS-атака

DDoS-атаки – это одновременное, массированное направление сетевых пакетов с данными, что не несут никакой полезной информации, через множество устройств в сети на одно-единственное, выступающее в роли жертвы. Цели атак довольно просты – забить канал «мусорными пакетами данных», не позволить пользовательскому трафику дойти до адресата. Это позволяет привести «жертву» во временное неработоспособное состояние, что само по себе подрывает авторитет этого веб-ресурса, а также есть шанс перехватить пользовательский трафик и использовать его в корыстных целях.

Происхождение DDoS-атак

Такое странное название DDoS имеет расшифровку Distributed Denial of Service, что в дословном переводе значит «распределенный отказ в обслуживании». Самое интересное то, что DDoS не был придуман изначально как инструмент, а модифицировался из DoS, в силу его скорой неэффективности.

DoS – это основа современных атак на вычислительные системы, что представляет собой генерацию «мусорного» трафика с одного устройства (зарегистрированного в сети с одного IP-адреса) на ресурс, находящийся в сети (на сайт, атака на телефон или распределительный узел в сети). Такие атаки были успешными и приводили к блокировке работы жертвы, пока не стали слишком слабыми, из-за стремительного роста вычислительной техники.

Чтобы использовать успешные наработки по блокированию мощностей, хакеры пошли по пути наименьшего сопротивления и стали «распределять» обязанности атаки между несколькими машинами. То есть, в атаке стали принимать участие не одна, а несколько сетевых машин. Этот факт позволил DoS атакам переименоваться в DDoS.

Самое интересное в том, что впервые DDoS-атака применялась в 1996 году, но только в 1999 смогла привлечь к себе внимание после инцидента, в котором были выведены из строя мощности таких корпораций, как Amazon, eBay, E-Trade, CNN, Yahoo. Все были обеспокоены тем, что случилось, но надеялись, что такое больше не повторится. Но повторная атака в 2000 году вынудила корпорации искать защиту от этой напасти.

И эта гонка между модернизацией DDoS и защитой от них привела к развитию множеств видов хакерских атак, которые имеются у нас сегодня.

Виды DDoS-атак

Виды DDoS-атак

Если видов распределительных атак достаточно много, то методов выполнения есть как минимум три:

  1. По полосе пропускания – посылаются по протоколам TCP, UDP и ICMP запросы на веб-сайт (или другой ресурс сети), которые забивают его пропускную способность. При этом, сайт «не справляется с нагрузкой» и просто падает, выдавая окно заглушки 503 Timeout или 404.
  2. По протоколу сервера – посылаются по протоколам TCP, UDP и ICMP и направлены на конкретные сервисы сервера. Смысл в том, чтобы отправлять на сервер запросы, на которые он должен ответить. Из-за наводнения сервера такими запросами, он попросту не справляется и отказывает в обслуживании.
  3. Через выявленные ошибки на конкретном веб-ресурсе – если на сайте обнаружена брешь, ею можно воспользоваться для проведения атаки. С помощью эксплоита уязвимости, создается нагрузка на сервер, из-за которой он «падает».

Атака может основываться на одном или нескольких методах с применением одного или нескольких видов ДДос атак на сервер.

Чаще всего хакеры используют комбинированные атаки с применение протоколов 3/4 уровня, с использованием протоколов 7 уровня OSI с целью дестабилизации сетевого ресурса и кражи данных.

HTTP GET

Так называемый запрос по http протоколу. В своей основе использует http заголовок с присвоенными свойствами. Посылать их можно сколько угодно, и они трудно вычислимы, так как изменять их можно бесконечное количество раз. Подразделяется на:

  1. HTTP(S) GET-запрос – запрашиваются данные на сервере. То есть с помощью запроса можно дать команду серверу переслать файлы, изображения, страницы или скрипт, чтобы это отобразилось в веб-браузере.
  2. HTTP(S) GET-flood – использование протоколов 7 уровня (прикладного) для посылания мощного потока информации, чтобы переполнить используемые им ресурсы и вывести его из строя.

HTTP POST

Во втором случае используются запросы с используемой информацией в теле, которую сервер должен обрабатывать. Также есть два направления:

  1. HTTP(S) POST-запрос кодирует информацию, находящуюся в теле запроса, и отправляет на сервер для дальнейшей обработки с его стороны. Применяется для передачи огромных данных.
  2. HTTP(S) POST-флуд – полностью заваливает сервер подобными данными до состояния, когда мощностей попросту не хватает для ответа всем. Из-за этого сервер попросту выводится из строя и перестает работать в штатном режиме.

Протокол с шифрованием https может сыграть на руку злоумышленникам. Передача данных через него создаст дополнительную нагрузку на сервер, так как каждый запрос перед обработкой нужно будет расшифровать.

Smurf-атака

Или ICMP-флуд, считается опасным типом хакерской атаки. С помощью поддельного ICMP-пакета IP-адрес атакующего меняется на айпишник атакованного. Задействованные в атаке сетевые узлы отвечают на посланные на них ping-запросы и перенаправляются на адрес жертвы. Если задействована огромная сеть, то у атакованного нулевые шансы без защиты.

Атака Fraggle

Или UDP флуд. Этот вид сродни смурфу с тем лишь различием, что применяются UDP пакеты. Ими насыщается полоса (или полосы) пропускания трафика и дестабилизируется работа адресата.

SYN-флуд

Посылается поддельный SYN-пакет без обратного адреса с запуском множества одновременных TCP-соединений. Предельная нагрузка + сервер = отказ.

Тяжелые пакеты

Чтобы «положить» сервер, не обязательно заполнять мусором полосу пропускания до отказа. Можно попросту отправить тяжелые пакеты, которые будут тратить процессорное время впустую.

Заполнение пространства лог-файлами

Отказать система может и при полном заполнении пространства в памяти компьютера при ДДос атаке. Заполнить ее можно объемными пакетами данных, если хакер найдет лазейку в системе ротации лог-файлов и поставит некорректное генерирование на поток.

Ошибки программного кода

Излюбленная часть атаки хакеров, когда по программе Bug Bounty от корпораций они не получают вознаграждение за поиск уязвимости на конкретном сайте. Эту информацию применяют сами или продают третьим лицам.

Уязвимости или бреши в сайтах позволяют создавать эксплоиты, атакующие сложные системы корпораций и фирм. Уязвимости выявляются при тщательном анализе стрессоустойчивости кода. В основном, необходима уязвимость, приводящая к завершению работы системы.

Механизмы запуска DDoS-атак

Если ранее для проведения подобной атаки требовались отличные знания и понимания всего процесса, то сегодня достаточно нажать несколько кнопок, для проведения кибератаки. Более того, в интернете широко распространились сервисы по предоставлению проверки сайтов и других веб-ресурсов на «стрессоустойчивость» от DDoS атак. При этом эти ресурсы не требовали подтверждения того, вы владеете этим ресурсом или нет.

В конце 2018 года правоохранительные органы США и ряда других стран прикрыли 15 крупных сервисов по оказанию услуг DDoS по найму, чем сократили проведение кибернападений на 85%.

Также, в интернете существует ряд программ (даже с графическим интерфейсом), позволяющих после прочтения инструкции совершить данные действия. Среди них можно выделить несколько популярных:

  • Kali Linux – дистрибутив линукс с огромным арсеналом инструментов, для DDoS.

Kali Linux

  • LOIC (The Low Orbit Ion Cannon) – конкурент первому ПО по популярности. Работает по протоколам ICMP, UDP, забивая канал потенциальной жертвы. В 2009 году группа хакеров Anonymous совершила кибератаку с ее помощью на сервисы PayPal, Visa, MasterCard из-за того, что те перед этим отключили сайт WikiLeaks от сбора пожертвований.

LOIC

  • HOIC – аналог LOIC лишь с тем отличием, что вместо низкоуровневых протоколов используются для ДДос атак на сайт через http GET и POST.

HOIC

  • XOIC – в этом случае утилита упрощает взаимодействие пользователя с проведением «нападения», позволяя выбрать протокол (HTTP, UDP, ICMP, TCP), указать IP-адрес и жать на запуск.

XOIC

  • HULK – в программе применяются различные методики обхода защиты от DDoS, что дополнительно создает провайдерам головную боль.

HULK

  • OWASP Switchblade – тест приложений на стрессоустойчивость перед ДДос. Работает в трех режимах:SSL Half-Open, HTTP Post и Slowloris.

OWASP Switchblade

 

Программ на самом деле очень много. С каждым годом они модернизируются, появляется все больше новых, с соответствующим функционалом. Чтобы как-то выкрутиться из такого нашествия, используют соответствующую защиту.

Средства защиты от DDoS-атак

Их на самом деле очень много, разработаны целые алгоритмы для защиты данных, как в маленьких фирмах, так и в целых корпорациях. Также, методы защиты можно поделить на активные и пассивные (предотвращение). Детальнее об этом читайте в статье «Защита от DDoS-атак».

Вкратце можно указать несколько основных способов информационной безопасности:

  1. Пропускание трафика через фильтр – позволяет снизить или вовсе устранить нападение.
  2. Обратный DDoS – если в вашем распоряжении большие серверные мощности, можно поразить хакера его же оружием, перенаправив атаку по насыщению канала связи обратно, адресату.
  3. Устранение ошибок и уязвимостей кода – тестирование системного программного обеспечения, выявление неисправностей и их устранение.
  4. Покупка (аренда) сервиса по защите от хакерских нападений – разработаны целые комплексы оборудований, направленных на защиту своих клиентов от DDoS. У них можно арендовать услуги по защите или купить это дорогостоящее оборудование, настроить и с помощью технических специалистов обслуживать самостоятельно.

Защита от DDoS-атак

Цели DDoS-атак

Массированная, хорошо спланированная и подготовленная DDoS-атака всегда преследует какую-то цель. Она может быть:

  1. С политическим контекстом.
  2. В качестве шантажа или вымогательства.
  3. Вызвана личной неприязнью.
  4. Недобросовестной конкуренцией.

Иногда ее проводят чисто ради забавы, а после возвращаются на «место преступления», чтобы увидеть «плоды своих стараний». Но у всех действий есть последствия, и об этом нужно думать в первую очередь, чтобы не лишиться свободы.

Правовой аспект

В России давно применяется практика наказания ушлых ДДосеров. Например:

  1. По статье 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации – лишение свободы на 7 лет или выплата штрафа в размере 500 тысяч рублей, если злоумышленник провел DDoS-атаку, в ходе которой украл персональные данные и продавал их третьим лицам (коллекторы, банкиры и т.д.).
  2. По статье 273 УК РФ – создание, использование и распространение вредоносных компьютерных программ – лишение свободы на 7 лет плюс штраф 200 тысяч рублей. Был прецедент со студентом из Тольятти, получившим 2,5 года условного срока и штраф на 12 миллионов рублей за кибератаку на структуры банков с последующим вымоганием денег.
  3. По статье 274 УК РФ – нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации –лишение свободы на 5 лет или штраф до 500 тысяч рублей. Статья применяется: если с помощью DDoS был получен доступ к данным, не принадлежащим хакерам; если был получен доступ к данным о деньгах, и они были похищены, подсудимый может пойти по статье 159.6 УК РФ.
  4. За кибернападение на СМИ можно получить до 6 лет лишения свободы или штраф в 800 тысяч рублей по статье 144 УК РФ.

Заключение

DDoS атака – это неправомерные действия, если они направлены на порчу имущества или кражу информации и использование краденного в корыстных целях. Хакеры применяют современные методы нападения, обычно комбинируя способы DDoS, используя несколько видов нападения одновременно.

future2day.ru