Короткий опис DDoS-атак

KrotReal

Ви всі напевно чули про отримала
Останнім часом величезну
поширеність DDoS атаці (Distributed Denial Of
Service Attack), і в цій статті я хотів би повідати
вам саме про неї. За допомогою цієї атаки загинули
найбільші і найвідоміші компанії, такі
як Yahoo!, eBay, Buy.com, Amazon.com, CNN.com і цілий ряд
менш відомих.

Наслідок такої атаки є
неможливість з'єднання користувача з
сервером на якому викладений той чи інший
сайт. Особливістю цієї атаки є те,
що атакують зазвичай дуже потужні сервера,
базуються на потужних комп'ютерах і
володіють <широким> каналом.

Технологія DDoS атак на увазі метод
грубої сили – ви тим або іншим способом
намагаєтеся "забити" канал, відкриваючи
максимально можливу кількість
сполук на той чи інший сервіс. Також ви
може посилати велику кількість
певного типу пакетів на хост, і тим
самим спробувати вивести з ладу стоїть
на ньому ОС. Як правило, в такому випадку
система на тому хості не встигає обробити
всі пакети, відбувається переповнювання буфера
і ОС перевантажується або висне.

Власне відмова в обслуговуванні є
типової атакою і досліджено досить
докладно. Сутність DoS-атаки полягає в
тому, щоб позбавити користувачів будь-якого
сервісу або служби можливості звернутися
до цього сервісу. Технічно це можна
здійснити кількома способами. Ось
деякі з них:

шляхом перевантаження мережі за рахунок передачі
"Сміття" та іншого паразитного трафіку,
перешкоджаючи тим самим передачі законного
мережевого трафіку;

шляхом прямого руйнації зв'язку між
двома машинами, таким чином
запобігає доступ до служби;

шляхом позбавлення доступу до служби
конкретного користувача (як правило, за
рахунок позбавлення цього користувача привілеїв
доступу);

нарешті, шляхом прямого виведення
сервісу з ладу (коли сам сервіс
повністю доступний, але виконувати свої
функції він не може).

Тут перераховані не всі можливі
варіанти виникнення відмови у
обслуговуванні. Тим більше, що типова атака
відмови в обслуговуванні може використовуватися
і як компонент багатоступінчастої атаки.
Незаконне використання ресурсів також
може призвести до відмови в обслуговуванні. До
Наприклад якщо хацкер використовує анонімну FTP
(File Transfer Protocol) область закидаючи туди багато
всякої інформації, програмного забезпечення та
всякого іншого сміття, споживаючи цим
місце на сервері і забиваючи трафік. У підсумку,
можна так завантажити ftp-сервер, що той
стане недоступний легальним користувачам.
Нещодавно натрапив на цікаву статейку
по "вбивання" SMTP (Simple Mail Transfer Protocol), так
що люди придумують все більш цікаві
способи DoS-атак.

DDoS-це не інструмент злому системи!
Розподілені інструментальні засоби
DoS-це кошти, перш за все,
несанкціонованого проникнення. Вони не
експлуатують уразливість захисту, але можуть
демонструвати те, яка кількість
трафіку головний комп'ютер може або не
може обробляти. Інструментарій DDoS
використовувався довгий час
професійними консультантами захисту
для випробування стійкості систем до
зовнішніх впливів. Перш ніж з'явилися
програмні засоби для розподілених DOS-атак,
існували комерційні "закриті"
програми, здатні керувати
розподіленими пересилками пакетів з
безлічі машин на один певний адресу
з тим, щоб визначити, скільки трафіку
мережа може обробляти, бачити, чи повинна
пропускна здатність адресатів бути
поліпшена або, якщо пропускна здатність
мережі задовільна, наскільки надійно
буде функціонувати мережа при даній
завантаженні.

Отже, спочатку програмне забезпечення
DDoS використовувалося для завантаження мережі у
експериментальних цілях. Зазвичай перевантаження
досягалася шляхом посилки безглуздих
пакетів у кількості більшій, ніж щось,
яке мережа може обробляти. При
подальшій розробці інструментарію DDoS
виявилося, що найбільш ефективною
виявляється пересилання пакетів, що мають
помилкову структуру. Особливо (для випадку
Інтернету) так званих ICMP-пакетів (Internet
control messaging protocol). Ці пакети призначені
для управління конфігурацією мережі. У випадку,
якщо подібний пакет виявляється помилковим,
зазвичай досить великий час витрачається на
його обробку та, після прийняття рішення про
його помилковості, на повернення пакету
посилає. Тобто, у порівнянні зі звичайним
мережевим пакетом, зростає як час
обробки пакета, так і загальний трафік мережі.
Пізніше цей же підхід став використовуватися
і при віддалених DDoS-атаки на сервери жертв.
Тільки інструментарій DDoS використовувався вже
не з метою аналізу стійкості системи до
зовнішніх навантажень, а з метою викликати саме
відмова в обслуговуванні.

В основі розподіленої DDoS-атаки лежить
установка величезної кількості серверів DoS
на різних комп'ютерах. Вони будуть чекати
команди від центрального клієнта. У
певний момент часу центральний
клієнт посилає на всі сервери повідомлення,
містить інструкцію посилати як можна
більшу кількість трафіку одному адресату.
Центральний клієнт розподіляє роботу з
посилці пакетів адресату серед всіх
доступних серверів DoS, тому DDoS і
називається розподіленою атакою.

Після тріумфальної ходи по Інтернету
троянів, можна говорити про те, що DoS-сервер
може працювати непомітно для користувача.
Тобто ваш комп'ютер може брати участь у
розподіленої DoS-атаці, а ви навіть не будете
про це підозрювати.

Головною особливістю DDoS-атаки є те,
що для неї немає занадто потужного комп'ютера-жертви.
Для сервера будь-якої потужності завжди можна
підібрати потрібну кількість беруть участь у
атаці комп'ютерів, які "затоплять"
атакується сервер своїми пакетами. До речі,
більшість Інтернет-хробаків,
поширюють своє тіло за допомогою
електронної пошти, також є
засобом DDoS-атаки, що виводить з ладу
поштові сервери. Сумний досвід хробака
Моріссона і вірусу Melissa свідчить:
вивести з ладу можна поштовий сервер
будь-якої потужності.

Другою особливістю DDoS-атаки є
вкрай утруднена локалізація
зловмисників. Мало того, що атака йде
з безлічі адрес (що ускладнює
протидія шляхом простого
блокування вихідного з цих адрес
трафіку), ці адреси цілком можуть
належати нічого не підозрюють
користувачам. Зловмисника можна
відстежити лише за повідомленням про початок атаки,
а шлях цього повідомлення простежити не так-то
легко. Під вся кому разі, після
місяця хацкери, які здійснили
згадувані вище атаки, так і не були
виявлені.

Нарешті, третьою, не менш грізною,
особливістю DDoS-атаки є
відносна простота використання
розподіленого інструментарію. Алгоритм
DDoS широко відомий. Наприклад, німецьким
хацкери "Мікстер" була написана
програма Tribe Flood Network, яку можна
використовувати для проведення атак типу DDoS. З
використанням готового програмного
забезпечення розподілену атаку може
організувати група осіб, котра має дуже
слабке уявлення про внутрішню
організації обчислювальних систем і
діюча лише з хуліганських спонукань.

На даний момент немає так такою захисту від
цього роду атак. Деякі сервера просто
блокують ICMP пакети передача яких
триває протягом декількох годин, але
і це не дуже допомагає. Нові методи
здатні обійти і такий захист. Приміром
Stream посилає помилкові пакети TCP / IP, які
звичайний маршрутизатор переадресує на
сервер призначення. Пакети можуть бути
скомпоновані так, щоб зайняти дорогоцінний
машинний час ще до виявлення їх
зловмисності. Їх дуже важко виявити і
відфільтрувати.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*