Dos и DDoS атаки, их виды и методы защиты
Наверное, каждый пользователь хостинга, выделенного сервера и VPS хоть раз слышал о DDoS-атаках или даже становился их жертвой. Эта атака приводит к перегрузке серверов и истощению их ресурсов, в результате чего они перестают отвечать.
Что это за атаки, как они работают и как от них защититься? Мы ответим на эти вопросы в этой статье.
Атака DoS (отказ в обслуживании) вызывают сбой сервера. Может использовать один из методов описанных ниже и в отличие от DDoS требует всего один компьютер для осуществления атаки.
DDoS (распределенный отказ в обслуживании) - это расширенная DoS-атака, в которой участвует множество машин. Обычно пользователи этих машин не знают, что их компьютеры используются для атак.
Объемные атаки - это разновидность DDoS-атак, которые основываются на большом количестве запросов, отправленных на сервер. Перегрузка сервера истощает его ресурсы до тех пор, пока он не становится неспособным обслуживать новые.
Ботнет - это сеть компьютеров, зараженных вредоносным ПО, не обнаруженным пользователем. Эти компьютеры работают нормально, однако они выполняют действия, запрошенные хакером, в фоновом режиме. Такие компьютеры чаще всего используются для вредоносной активности, подмены IP-адресов и DDoS-атак.
DoS- и DDoS-атаки могут быть симметричными - количество отправленных пакетов равно количеству пакетов, полученных жертвой, - или асимметричными (т.е. усиленными) - жертва получает больше данных, чем отправил злоумышленник. Второй тип атак обычно выполняется со сторонними серверами, например DNS-серверами. Серверы, используемые в атаках, обычно неправильно настроены или скомпрометированы (т.е. к ним получил доступ неавторизованный человек).
IP-спуфинг, то есть возможность выдать себя за другой IP-адрес, часто используется для DDoS-атак. Злоумышленник отправляет пакеты с IP-адресом своей жертвы, на которые будут отправляться пакеты с перегрузкой. В качестве альтернативы можно использовать подмену IP-адреса, чтобы избежать обнаружения. Например, возможны атаки с усилением из-за подмены IP-адреса.
Виды DoS и DDoS атак
Атаки протокола / атаки уровня протокола
Атаки протоколов злоупотребляют третьим и четвертым уровнями протоколов модели OSI. Третий - сетевой уровень, отвечающий за связь между компьютерами из отдельных сетей с использованием протокола IP, который отвечает за адресацию и упаковку данных. Четвертый уровень - это транспортный уровень, на котором работают протоколы TCP и UDP, отвечающие за транспортировку пакетов.
Ping Flood / ICMP Flood
Объемная атака третьего уровня, во время которой злоумышленник, используя собственный компьютер или ботнет, отправляет большое количество запросов ECHO из протокола ICMP. Атакуемая машина занята ответами на бесконечные эхо-запросы (небольшие пакеты, обычно используемые для проверки скорости полосы пропускания и эффективности сервера), и в какой-то момент ее все ресурсы истощаются и, по сути, она далее не может обслуживать аутентичных пользователей.
SYN flood и ACK flood
SYN flood и ACK flood это атаки четвертого уровня - транспортного уровня. Они выполняются путем отправки пакетов атакованному серверу.
Пакет SYN (синхронизация) запускает обмен данными в рамках модели TCP/IP. Получатель отвечает SYN-ACK (подтверждение), на которое отправитель отвечает ACK.
Злоумышленник обычно использует пакеты со случайным поддельным адресом источника и не получает данных обратной связи, в то время как жертва использует свои ресурсы для ответа на SYN.
Атака также может быть выполнена с использованием пакета ACK; поддельные пакеты практически неотличимы от подлинных, к тому же они используют вычислительную мощность.
В случае SYN-флуда эти атаки были хорошо известной проблемой в течение года, и есть много методов ее смягчения, например, SYN cookie: после того, как резервный SYN-файл сервера будет заполнен, сервер начнет отвечать с пакетами SYN-ACK, содержащими cookie, а затем удалите запрос SYN из памяти, освободив его ресурсы. Если клиент продолжает обмен данными, сервер будет использовать файл cookie для восстановления пакета SYN.
Атаки ACK можно предотвратить, отфильтровав пакеты ACK, которые не привязаны к текущему обмену данными TCP / IP.
Усиленные атаки
Усиленные атаки используют протокол UDP транспортного уровня.
В отличие от TCP / IP, он не требует подтверждения связи с обеих сторон (данные могут быть отправлены без согласия получателя). Во время атаки злоумышленник связывается с сервером и запрашивает много данных, используя поддельный IP-адрес для выдачи себя за жертву. В ответ сервер отправляет большой объем данных по указанному адресу, не гарантируя готовности получателя их принять.
Например, запрос «пришлите мне адреса всех людей, проживающих в Польше» сам по себе довольно короткий, однако ответ будет намного дольше.
Серверы DNS (системы доменных имен) - «информационная загрузка» Интернета - это пример серверов, используемых в атаках с усилением. Они сообщают, какое доменное имя отвечает на какой IP-адрес. Другой способ выполнить атаку с усилением - использовать NTP (сетевой протокол времени), протокол, используемый для синхронизации времени между двумя компьютерами. В этой атаке используется команда monlist, которая может быть отключена администраторами серверов, что делает невозможным их использование в атаке этого типа.
Очень эффективная атака - это атака memcached (memcache - кэширование памяти, решение, позволяющее ускорить загрузку страниц). Используя memcached-атаку, 1 Мбит/с интернет-трафика может быть увеличен с 10 до 51 Гбит/с при DDoS-атаке.
Атаки на приложения / атаки на уровне приложений
Атака на уровне приложений использует слабые места программного обеспечения на высших (шестом и седьмом) уровнях модели OSI. Это может, например, вызвать программные ошибки или заразить жертву вредоносным ПО.
Низкий и медленный / R.U.D.Y.
R.U.D.Y. (аббревиатура от R U Dead Again), также называемая низкой и медленной, представляет собой тип атаки на уровне приложений. Чтобы выполнить это, злоумышленник находит формы на веб-странице и отправляет на них ответы - фрагментированные на множество небольших пакетов, отправляемых с большими интервалами (но недостаточно большими для тайм-аута соединения). Ресурсы ожидающего сервера истощаются и остаются занятыми этим процессом.
Из-за того, как выполняется эта атака, ее довольно сложно обнаружить, поскольку она не генерирует большого трафика. Один из способов защиты от этого - уменьшение максимального времени ожидания, однако это может сделать сервер непригодным для использования пользователями с более медленными соединениями или вызвать отклонение неполных HTTP-запросов.
Slowloris
«Slowloris» происходит от «медленного лориса» - названия медлительного азиатского млекопитающего. Он похож на R.U.D.Y. атака, однако, вместо отправки пакетов HTTP POST, она просто отправляет заголовки HTTP. Как и медленная и низкая атака, она истощает ресурсы сервера, делая далее обслуживание других пользователей сложнее или невозможным вовсе.
Fork-бомба
Fork bomb атака реализует сценарий, который запускает новые сценарии, который запускает другие сценарии и т. д. - другими словами, бесконечный цикл. Новые скрипты используют ресурсы машины, поэтому она не может обрабатывать запросы обычных пользователей.
Машину можно защитить от такой атаки, с помощью ограничения количества процессов, которые может иметь пользователь, или количество ресурсов, которые может использовать один процесс.
Злоупотребление SSL
В этой атаке используется протокол SSL шестого уровня - сеансового уровня. Злоумышленник использует «SSL-рукопожатие» (инициирование SSL-соединения) для наводнения сервера ложными запросами или злоупотреблением самим протоколом. Другой способ выполнить атаку со злоупотреблением SSL - продолжить повторное согласование соединения или, если это невозможно, разорвать его после подтверждения и начать заново.
SSL использует вычислительную мощность и энтропию, набор случайных данных, используемых, среди прочего, для SSL-соединений. Исчерпание энтропии задерживает новые соединения SSL, так как им приходится ждать, пока генерируется новая энтропия.
HTTP-флуд
Эта объемная атака происходит на седьмом уровне и выполняется с помощью ботнета. Во время этого сервер заполняется HTTP-командами - GET и POST, эффективно истощая его ресурсы. Атаки этих типов не используют искаженные пакеты или методы усиления, они генерируют меньший объем интернет-трафика, и поэтому их необходимо лучше понимать, чтобы их остановить.(чтобы знать как их остановить)
Исторический: Ping of death
Это устаревший и в настоящее время не используемый метод DoS-атаки. Злоумышленник отправит на сервер ping-пакет больше 65 535 (2 в степени 16 минус 1). Это протокол IPv4 с самым большим размером пакета. Подобный эхо-запрос может быть отправлен со старыми системами Windows (3.1, 95, NT) и новым Netware, где уязвимость программного обеспечения позволяет отправить пакет размером 65 538 байт. Это вызывало сбой принимающей машины или запущенного на ней приложения. Современное программное обеспечение невосприимчиво к атакам этого типа.
Это всего лишь несколько DDoS-атак. Ежедневно совершается около 30 000 DDoS-атак, при этом используются десятки миллионов зараженных машин. Эти цифры увеличиваются по мере развития Интернета, как и количество возможных DDoS-атак.
Методы защиты от DDoS-атак
Фильтрация входящих пакетов
Одним из широко используемых методов Anti-DDoS является фильтрация входящих пакетов. например, разрешение только тех пакетов, которые отправляются в рамках текущего соединения TCP/IP. Некоторые флуды (например, HTTP) могут быть остановлены аутентификацией клиента, например, с помощью программного обеспечения Captcha.
Обратный прокси-сервер (reverse proxy)
Обратный прокси-сервер предполагает установку прокси-серверов, которые будут получать входящий трафик и фильтровать его, поэтому на серверы отправляются только законные запросы.
Чрезмерный размер инфраструктуры
Один из способов защиты от DDoS-атак - увеличить размер вашей инфраструктуры. После оснащения избыточными ресурсами он сможет обслуживать больше запросов. Инфраструктуру также можно улучшить, установив аппаратные и программные модули защиты. Правильная конфигурация программного обеспечения,например, реализация брандмауэра и решений Captcha, также повышает устойчивость системы к DDoS-атакам.
Черные дыры (Blackholing)
«Черные дыры» в основном используется в качестве «последнего средства» защиты от объемных атак. Он игнорирует входящие запросы, отправляя их «в никуда» (в «черную дыру», как следует из названия), оставляя их без ответа. Обычно он полностью отключает сервер от сети, однако при правильной настройке он может ограничить отклоненные запросы определенными континентами или странами.
История DoS и DDoS атак
Первая DDoS-атака произошла в конце июня - начале июля 1999 года. Лучше всего описана атака, произошедшая против компьютера Университета Миннесоты, в которой было задействовано 114 машин, зараженных программным обеспечением tainoo.
Первая «медиа-атака» произошла в феврале 2000 года, когда 15-летний канадец под ником mafiaboy атаковал серверы многих популярных сервисов, таких как Amazon, eBay или Yahoo! (самая популярная поисковая система в то время), также использующая tainoo.
Интересным в этой вредоносной программе является то, что злоумышленник мог оставлять сообщения пользователям зараженной машины в папке cry_baby.
Интересный факт: крупнейшая DDoS-атака
Интересный факт: крупнейшая DDoS-атака В настоящее время самая крупная известная атака - это один отчет Amazon Web Services. Он прошел в феврале 2020 года и достиг 2,3 Тбит/с (или 2 300 Гбит/с) трафика.
Блэкхолинг (метод защиты «черные дыры») вышел из-под контроля, или как Пакистан заблокировал YouTube
Интересным примером уязвимости системы безопасности является всемирная блокировка YouTube Пакистаном в феврале 2008 года.
Министерство связи Пакистана приказало местным интернет-провайдерам заблокировать доступ к YouTube, и таким образом пакистанские интернет-провайдеры начали блокировать все запросы, отправленные на эту платформу. Один из них, «Пакистан Телеком», также отправил «предупреждение» о YouTube своему интернет-провайдеру из Гонконга, который, в свою очередь, не заблокировал его. Фактически, интернет-провайдеры по всему миру получили предупреждение от пакистанского провайдера и начали блокировать запросы, отправленные туда, что сделало его недоступным во всем мире в течение двух часов.
Защита от DDoS-атак в Mevspace
Mevspace предлагает защиту от объемных атак. Мы защищаем с помощью оборудования Juniper и программного обеспечения Wanguard. После превышения пакета защиты сервера автоматически включается «черная дыра», отключающая сервер от Интернета во время атаки.
Выделенные серверы имеют бесплатную защиту от интернет-трафика до 2 Гбит/с; за дополнительную плату мы предлагаем бо́льшие пакеты защиты.