DoS támadás

DoS ( rövidítve : Szolgáltatásmegtagadás "  szolgáltatásmegtagadás") - hackertámadás egy számítógépes rendszer ellen, hogy meghibásodjon, vagyis olyan feltételeket teremtsen, amelyek mellett a rendszer lelkiismeretes felhasználói nem lesznek képesek elérheti a biztosított rendszererőforrásokat (szervereket), különben ez a hozzáférés nehézkes lesz. Az "ellenséges" rendszer meghibásodása is egy lépés lehet a rendszer elsajátítása felé (ha vészhelyzetben a szoftver bármilyen kritikus információt közöl – pl. verzió, programkód egy része stb.). De gyakrabban ez a gazdasági nyomás mértéke: egy egyszerű szolgáltatás elvesztése, amely bevételt generál, a szolgáltató számláit és a támadás elkerülését célzó intézkedéseket jelentősen érinti a célpont zsebében. [1] Jelenleg a DoS és a DDoS támadások a legnépszerűbbek, mivel szinte minden rosszul megírt rendszert tönkretehetnek anélkül, hogy jogilag jelentős bizonyítékot hagynának hátra.

Elosztott DoS támadás

Ha egy támadást egyszerre hajtanak végre nagyszámú számítógépről, akkor DDoS támadásról beszélnek [2] (az angolból.  Distributed Denial of Service , elosztott szolgáltatásmegtagadási támadás ). Ilyen támadást akkor hajtanak végre, ha egy jól védett nagyvállalat vagy kormányzati szervezet szolgáltatásmegtagadása szükséges.

Mindenekelőtt a támadó egy nagy hálózatot vizsgál meg speciálisan előkészített szkriptekkel, amelyek azonosítják a potenciálisan gyenge csomópontokat. A kiválasztott gazdagépeket megtámadják, és a támadó rendszergazdai jogokat szerez rajtuk. A trójai programokat a rögzített gépekre telepítik, és a háttérben futnak . [3] Manapság ezeket a számítógépeket zombi számítógépeknek hívják , felhasználóik nem is sejtik, hogy potenciális résztvevői egy DDoS-támadásnak. Ezt követően a támadó bizonyos parancsokat küld az elfogott számítógépeknek, és azok kollektív DoS támadást hajtanak végre a célszámítógépen.

Vannak programok a DDoS támadásokban való önkéntes részvételre is.

Egyes esetekben egy nem szándékos művelet tényleges DDoS-támadáshoz vezet, például elhelyez egy hivatkozást egy népszerű internetes erőforráson egy nem túl produktív szerveren tárolt webhelyre ( perjeles pont effektus ). A felhasználók nagy beáramlása a szerver megengedett terhelésének túllépéséhez vezet, és ennek következtében egyesek szolgáltatásmegtagadáshoz vezetnek.

Védekezés

A hálózati támadások elleni védelem érdekében számos szűrőt használnak, amelyek nagy sávszélességgel csatlakoznak az internetes csatornához. A szűrők úgy működnek, hogy szekvenciálisan elemzik az áthaladó forgalmat , feltárva a nem szabványos hálózati tevékenységet és hibákat. A nem szabványos forgalom elemzett mintái az összes jelenleg ismert támadási módszert tartalmazzák, beleértve az elosztott botnetekkel megvalósítottakat is. A szűrők az útválasztók , a felügyelt kapcsolók és a speciális hardverek szintjén egyaránt megvalósíthatók .

A DDoS támadások használatának okai

Az információbiztonsági szakértők számos okot azonosítanak a DDoS támadások használatára. [négy]

Személyes ellenségeskedés

Ez az ok gyakran ürügyül szolgál a nagy kereskedelmi és kormányzati szervezetek és vállalatok elleni támadásokhoz. Így 1999-ben megtámadták az FBI webhelyeit, amelyek később néhány hétig elérhetetlenek voltak. Az indíték az FBI nemrégiben hackerek elleni razziája volt. [5]

Szórakozás

Manapság egyre többen érdeklődnek a DoS támadások iránt, és mindenki ki akarja próbálni magát ebben az üzletben. Ezért sok kezdő támadó hajt végre DoS-támadásokat szórakozásból. Sikeres támadás után megnézik a pusztításuk mértékét. [6]

Politikai tiltakozás

A leghíresebb politikai tiltakozást célzó DDoS-támadások a Felszabadító Katona emlékművét támogató akciók voltak Észtországban (2007) [7] , Dél-Oszétiában (2008), Wikileaksben (2011), Megaupload (2012) és EX.UA (2012 ). ), valamint Oroszország ukrajnai inváziója ellen is [8] .

Tisztességtelen verseny

A DDoS támadásokat gátlástalan versenytárs parancsára lehet végrehajtani .

Zsarolás vagy zsarolás

A DDoS támadások végrehajthatók zsarolás vagy zsarolás céljából , ilyenkor a támadó először a webhely tulajdonosával lép kapcsolatba.

DoS támadások osztályozása

A hackerek számára sokkal könnyebb DoS támadást végrehajtani egy rendszer ellen, mint teljes hozzáférést szerezni ahhoz. Különböző okok miatt fordulhat elő a DoS feltétel, vagyis olyan helyzet, amikor a felhasználók nem férhetnek hozzá a szerver által biztosított erőforrásokhoz, vagy a hozzáférésük jelentősen nehézkes: [9]

Sávszélesség telítettség

Jelenleg szinte minden számítógép csatlakozik az internethez vagy helyi hálózathoz. Ez egy kiváló lehetőség DoS támadás végrehajtására a sávszélesség túlcsordulásával. A támadók jellemzően elárasztást alkalmaznak ( eng.  flood  - "Flood", "overflow") – olyan támadást, amely nagyszámú, általában értelmetlen vagy helytelenül formázott kéréssel kapcsolódik egy számítógépes rendszerhez vagy hálózati berendezéshez, és amelynek célja vagy a rendszer meghibásodása - a rendszererőforrások kimerülése miatt - processzor, memória vagy kommunikációs csatornák. Az árvíznek több fajtája létezik. [tíz]

HTTP flood és ping flood

Ez a DoS támadás legprimitívebb típusa. A sávszélesség telítettségét csak akkor lehet rendszeres pingekkel elérni, ha a támadó csatornája sokkal szélesebb, mint az áldozat számítógépének csatornája. De egy ilyen támadás haszontalan a szerver ellen, mivel az utóbbi viszont meglehetősen széles sávszélességgel rendelkezik. A HTTP-áradást általában egy szerver megtámadására használják. A támadó kisméretű HTTP-csomagot küld, de olyan, hogy a szerver több százszor nagyobb csomaggal válaszol rá. Még ha a szerver csatornája tízszer szélesebb is, mint a támadóé, akkor is jó eséllyel telítődik az áldozat sávszélessége. Annak elkerülése érdekében, hogy a válasz HTTP-csomagok szolgáltatásmegtagadást okozzanak a támadó részéről, minden alkalommal, amikor az IP-címét lecseréli a hálózat csomópontjainak IP-címére. [tizenegy]

Törptámadás (ICMP flood)

A Smurf támadás vagy ICMP áradat  a DoS támadások egyik legveszélyesebb típusa, mivel az áldozat számítógép egy ilyen támadás után szolgáltatásmegtagadást tapasztal majd, majdnem 100%-os garanciával. A támadó egy üzenetszórás segítségével ping kérés elküldésével ellenőrzi, hogy vannak-e élő gazdagépek a rendszeren . Nyilvánvaló, hogy a támadó önmagában nem tudja letiltani az áldozat számítógépét, ezért még egy résztvevőre van szükség - ez egy erősítő hálózat. Ebben a támadó hamis ICMP-csomagot küld a szórási címre . Ezután a támadó címe megváltozik az áldozat címére. Minden csomópont választ küld neki a ping kérésre. Ezért a támadó által 200 csomópontot tartalmazó erősítő hálózaton keresztül küldött ICMP-csomag 200-szorosára erősödik. Egy ilyen támadáshoz általában nagy hálózatot választanak, hogy az áldozat számítógépének esélye se legyen. [12]

Fraggle attack (UDP flood)

A Fraggle attack (fragmentation grenade) (az angol  Fraggle attack ) teljes analógja a Smurf támadásnak, ahol az ICMP csomagok helyett UDP csomagokat használnak , ezért UDP floodnak is nevezik. Ennek a támadásnak a működési elve egyszerű: adáskérésre visszhangparancsokat küldenek az áldozat hetedik portjára . Ezután a támadó IP-címét lecserélik az áldozat IP-címére, amely hamarosan sok válaszüzenetet kap. Számuk a hálózat csomópontjainak számától függ. Ez a támadás a sávszélesség telítettségét és az áldozat teljes szolgáltatásmegtagadását eredményezi. Ebben az esetben, ha az echo szolgáltatás le van tiltva, akkor ICMP üzenetek generálódnak, ami szintén a sávszélesség telítettségéhez vezet. [12]

SYN csomag árvíz támadás (SYN flood)

A Törpök támadása előtt széles körben elterjedt volt a SYN árvíztámadás, más néven SYN áradás . [13] Működésének ismertetéséhez elidőzhetünk két A és B rendszer mérlegelésében, amelyek TCP-kapcsolatot akarnak létesíteni egymás között , ezt követően pedig adatokat cserélhetnek egymással. A kapcsolat létrehozásához bizonyos mennyiségű erőforrás van lefoglalva, és a DoS támadások ezt használják ki. Több hamis kérés elküldésével a kapcsolat létrehozásához lefoglalt összes rendszererőforrást felhasználhatja. [14] Nézzük meg közelebbről, hogyan történik ez. Az A rendszer hackere SYN-csomagot küld a B rendszernek, de miután megváltoztatta az IP-címét egy nem létezőre. Ezután a B számítógép tudtán kívül SYN/ACK választ küld egy nem létező IP-címre, és SYN-RECEIVED állapotba lép. Mivel a SYN/ACK üzenet nem éri el az A rendszert, a B számítógép soha nem kap ACK jelzővel ellátott csomagot. [15] [16] Ez a potenciális kapcsolat sorba kerül. Csak 75 másodperc múlva hagyja el a sort. [17] A támadók ezt arra használják, hogy egyszerre több SYN-csomagot küldjenek az áldozat számítógépére 10 másodperces időközönként, hogy teljesen kimerítsék a rendszer erőforrásait. A támadás forrásának meghatározása nagyon nehéz, mivel a támadó folyamatosan változtatja a forrás IP-címét. [tizennyolc]

Erőforrások hiánya

A támadók ezt a típusú DoS támadást használják a rendszererőforrások, például a RAM és a fizikai memória, a processzoridő és egyebek rögzítésére. Az ilyen támadásokat általában annak figyelembevételével hajtják végre, hogy a hacker már rendelkezik bizonyos mennyiségű rendszererőforrással. A támadás célja további erőforrások megszerzése. Ehhez nem kell telíteni a sávszélességet, hanem egyszerűen túlterhelni az áldozat processzorát, vagyis le kell venni az összes megengedett processzoridőt. [19]

"Nehéz" kérések küldése

A támadó olyan csomagokat küld a szervernek, amelyek nem telítik át a sávszélességet (a csatorna általában elég széles), de elpazarolja a CPU teljes idejét. A szerver processzora, amikor feldolgozza őket, nem biztos, hogy képes megbirkózni az összetett számításokkal. Emiatt hiba lép fel, és a felhasználók nem férhetnek hozzá a szükséges erőforrásokhoz.

A szerver tele van naplófájlokkal

A szervernaplófájlok olyan fájlok , amelyek rögzítik a hálózati vagy programfelhasználók műveleteit. A nem képesítéssel rendelkező adminisztrátor hibásan konfigurálhatja a rendszert a szerverén anélkül, hogy bizonyos korlátot állítana be. A hacker kihasználja ezt a hibát, és nagy csomagokat küld, amelyek hamarosan elfoglalják az összes szabad helyet a szerver merevlemezén. De ez a támadás csak tapasztalatlan rendszergazda esetén működik, a képzettek külön rendszermeghajtón tárolják a naplófájlokat. [tizenegy]

Rossz kvótarendszer

Egyes szervereken van egy úgynevezett CGI program , amely egy külső programot kapcsol a webszerverhez. Ha egy hacker hozzáfér a CGI-hez, akkor írhat egy szkriptet ( eng.  scripting language ), amely sok szerver erőforrást használ, például RAM-ot és processzoridőt. Például egy CGI-szkript tartalmazhat nagy tömbök létrehozását vagy összetett matematikai képletek kiszámítását. Ebben az esetben a központi processzor több ezer alkalommal tud hozzáférni egy ilyen szkripthez. Innen a következtetés: ha a kvótarendszer rosszul van beállítva, akkor egy ilyen szkript rövid időn belül elveszi az összes rendszererőforrást a szervertől. Természetesen a kiút ebből a helyzetből nyilvánvaló - a memória-hozzáférés bizonyos korlátjának beállítása, de ebben az esetben a szkriptfolyamat, miután elérte ezt a határt, megvárja, amíg az összes régi adatot eltávolítja a memóriából. Ezért a felhasználók rendszererőforrások hiányát tapasztalják majd. [húsz]

A felhasználói adatok nem megfelelő érvényesítése

A felhasználói adatok elégtelen validálása szintén a processzor erőforrásainak végtelen vagy hosszú ciklusához, illetve megnövekedett hosszú távú felhasználásához (a processzorerőforrások kimerüléséig), vagy nagy mennyiségű RAM lefoglalásához (a rendelkezésre álló memória kimerüléséig) vezet. [tizennégy]

Második típusú támadás

Ez egy olyan támadás, amelynek célja egy biztonsági rendszer hamis elindítása , és ezáltal egy erőforrás elérhetetlenné tétele.

Programozási hibák

A professzionális DoS támadók nem használnak olyan primitív támadási módszert, mint a sávszélesség-telítettség. Miután teljesen megértették az áldozat rendszerének felépítését, programokat ( exploitokat ) írnak, amelyek segítenek megtámadni a kereskedelmi vállalkozások vagy szervezetek összetett rendszereit. Leggyakrabban ezek a programkód hibái , amelyek a címtér egy nem használt töredékéhez való hozzáféréshez, érvénytelen utasítás végrehajtásához vagy más kezeletlen kivételhez vezetnek, amikor a kiszolgálóprogram összeomlik - a kiszolgálóprogram. Klasszikus példa a nulla ( eng.  null ) cím megcímzése. [21]

Gyengeségek a programkódban

A kivételkezelés mindig is fejfájást okozott az operációs rendszer fejlesztőinek. A támadók egy program vagy operációs rendszer programkódjában keresik a hibákat, és olyan kivételek kezelésére kényszerítik, amelyeket nem tud kezelni. Ez hibákhoz vezet. Egy egyszerű példa a csomagok gyakori továbbítása, amely nem tartja tiszteletben az RFC dokumentumok specifikációit és szabványait . [22] A támadók figyelik, hogy a hálózati verem képes-e kezelni a kivételeket. Ha nem, akkor az ilyen csomagok továbbítása kernelpánikhoz ( kernel pánik ) vagy akár az egész rendszer összeomlásához vezet. [23]

Ebbe az osztályba tartozik az 1990-es években gyakori Ping of death hiba. RFC 791 IPv4 Az IPv4 csomag hossza nem haladhatja meg a 65 535 bájtot; egy nagyobb ICMP -csomagot küldenek az áldozat számítógépére , korábban részekre bontva; az áldozatnak puffertúlcsordulása van egy ilyen csomagból . Egy másik hiba akkoriban a WinNuke ( a Windows 95 nem kezelte megfelelően az URG TCP-csomag ritka részét).

Puffer túlcsordulás

Puffertúlcsordulás akkor következik be, amikor egy program programozói hiba miatt a pufferen kívülre ír adatokat. Tegyük fel, hogy egy programozó írt egy alkalmazást adatcserére egy hálózaton keresztül, amely valamilyen protokollon működik. Ez a protokoll szigorúan kimondja, hogy egy csomag egy bizonyos mezője legfeljebb 65536 bájt adatot tartalmazhat. De az alkalmazás tesztelése után kiderült, hogy a kliens részében ebbe a mezőbe nem kell 255 bájtnál nagyobb adatot rakni. Ezért a szerver rész legfeljebb 255 bájtot fogad el. Ezután a támadó megváltoztatja az alkalmazás kódját, így a kliens rész elküldi a protokoll által engedélyezett összes 65536 bájtot, de a szerver nem áll készen ezek fogadására. Ez puffertúlcsordulást okoz, és megakadályozza, hogy a felhasználók hozzáférjenek az alkalmazáshoz. [tizenegy]

Útválasztás és DNS-támadások

A DNS-kiszolgálókat ért támadások két típusra oszthatók: [24]

DoS-támadások a DNS-kiszolgálók szoftveres sebezhetősége ellen

Ezeket gyorsítótár-támadásoknak is nevezik. A támadás során a támadó lecseréli az áldozat tartomány DNS-kiszolgálójának IP-címét. Ezt követően egy HTML oldal kérésekor a támadott vagy "fekete lyukba" esik (ha az IP-címet nem létezőre cserélték), vagy egyenesen a támadó szerverére megy. A második eset sajnálatosabb, mivel a támadó könnyen hozzáférhet egy gyanútlan áldozat személyes adataihoz. Nézzünk egy példát, hogyan történik ez. Tegyük fel, hogy egy ügyfél a Microsoft.com webhelyet szeretné felkeresni. A támadó azonban a vállalat DNS-szerverének egy sebezhetőségét felhasználva megváltoztatta a microsoft.com gazdagép IP-címét a sajátjára. Most az áldozatot automatikusan átirányítják a támadó csomópontjához.

DDoS támadások DNS-kiszolgálók ellen

Továbbá beszélni fogunk a DDoS támadásokról, mivel a DNS-kiszolgálók részvétele mindig nagyszámú számítógép jelenlétét jelenti. A DNS-kiszolgálók elleni támadások a leggyakoribb támadások, amelyek a DNS-kiszolgáló szolgáltatásmegtagadásához vezetnek, mind a sávszélesség telítésével, mind a rendszererőforrások megragadásával. De egy ilyen támadáshoz hatalmas számú zombi számítógépre van szükség . Sikeres megvalósítása után a felhasználók nem juthatnak el az interneten a kívánt oldalra, mert a DNS szerver nem tudja feloldani a domain nevet az oldal IP címére. Jelenleg azonban a DNS-kiszolgálók elleni, nagyszámú zombiszámítógépet használó támadások (az ilyen rendszert " botnetnek " nevezik) kevésbé relevánsak, mivel az internetszolgáltatók könnyen észreveszik a nagy mennyiségű kimenő forgalmat, és blokkolják azt. A gonosztevők ma már kis botnetekkel kezelik, vagy egyáltalán nem használják őket. A fő gondolat az, hogy a hackerek DNSSEC technológián alapuló DNS-kiszolgálókat [26] használnak . [27] A DNS-lekérdezések tükröződésének növekedése miatt megnő a támadási teljesítmény. Ideális esetben egy adott szolgáltató DNS-kiszolgálóinak csak az adott szolgáltató felhasználóitól érkező kéréseket kellene feldolgozniuk, de ez távol áll a valóságtól. Világszerte rengeteg rosszul konfigurált szerver létezik, amely az internet bármely felhasználójának kérését képes fogadni. A CloudFlare alkalmazottai azt állítják, hogy jelenleg több mint 68 ezer helytelenül konfigurált DNS-kiszolgáló található az interneten, ezek közül több mint 800 Oroszországban található. [28] Ezeket a DNS-kiszolgálókat DDoS-támadásokhoz használják. Az alapötlet az, hogy szinte minden DNS-lekérdezés UDP-n keresztül történik, ahol viszonylag egyszerű a visszatérési cím megváltoztatása az áldozat címére. Ezért a helytelenül konfigurált DNS-kiszolgálókon keresztül a támadó ilyen kérést küld, hogy a válasz a lehető legnagyobb mennyiségben legyen (például ez lehet a DNS-tábla összes bejegyzésének listája), amelyben a fordított IP-cím címét az áldozat IP-címe váltja fel. Általános szabály, hogy a szolgáltatók szerverei meglehetősen nagy sávszélességgel rendelkeznek, így nem nehéz több tíz Gb / s-os támadást létrehozni. [29]

A legtöbb rosszul konfigurált DNS-kiszolgálót tartalmazó autonóm rendszerek listája 2013.11.10. [28]

DNS-kiszolgálók száma Autonóm rendszernév Elhelyezkedés
2108 BELPAK-AS Republikánus Egységes Távközlési Vállalat Be Fehéroroszország
1668 HINET adatkommunikációs üzletcsoport
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Korea
965 Telefonica Argentina Argentína
894 ERX-TANET-ASN1 Tiawan Akadémiai Hálózat (TANet) információi C Tajvan
827 KDDI KDDI CORPORATION
770 Compa Dominicana de Telefonos, C. por A. – CODETEL
723 CHINANET-BACKBONE No.31, Jin-rong Street Kína
647 LGDACOM LG DACOM Corporation
606 UUNET – MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonesia Indonézia
601 COLOMBIA TELECOMUNICACIONES SA ESP Colombia

DoS/DDoS támadások észlelése

Az a vélemény, hogy a DoS támadások észleléséhez nincs szükség speciális eszközökre, mivel a DoS támadás tényét nem lehet figyelmen kívül hagyni. Sok esetben ez igaz. Azonban elég gyakran figyeltek meg sikeres DoS támadásokat, amelyeket csak 2-3 nap múlva vettek észre az áldozatok. Előfordult, hogy egy támadás negatív következményei ( árvízi támadás) túlzott költségeket eredményeztek a túlzott internetes forgalom kiegyenlítésében, ami csak az internetszolgáltatótól kapott számla megérkezésekor derült ki. Ezenkívül számos behatolásészlelési módszer nem hatékony a támadás célpontja közelében, de hatékonyak a hálózati gerinchálózaton. Ilyenkor célszerű az észlelőrendszereket pontosan oda telepíteni, és nem megvárni, amíg a megtámadott felhasználó maga is észreveszi és segítséget kér. Ezenkívül a DoS támadások hatékony leküzdéséhez ismerni kell a DoS támadások típusát, természetét és egyéb jellemzőit, és a biztonsági szolgáltatások teszik lehetővé ezen információk gyors megszerzését. Segítenek bizonyos rendszerbeállítások elvégzésében. De nem tudják megállapítani, hogy ezt a támadást támadó követte-e el, vagy a szolgáltatás megtagadása egy rendellenes esemény eredménye. A biztonsági szabályzat szabályai szerint, ha DoS vagy DDoS támadást észlel, azt további ellenőrzés céljából regisztrálni kell. A támadás észlelése után előfordulhat, hogy a biztonsági szolgálatoknak bizonyos módosításokat kell végrehajtaniuk a rendszeren, és vissza kell állítaniuk a korábbi működési szintjére. A nem biztonsággal kapcsolatos szolgáltatások is felhasználhatók a DDoS támadások észlelésére, például a forgalom más kommunikációs csatornákon való átirányítása, a biztonsági mentési szerverek bekapcsolása az információk másolására. Így a DDoS-támadások észlelésének és megelőzésének módjai nagymértékben változhatnak a védett rendszer típusától függően. [harminc]

A DoS támadásészlelési módszerek több nagy csoportra oszthatók:

  • aláírás - a forgalom kvalitatív elemzése alapján.
  • statisztikai - a forgalom mennyiségi elemzésén alapul.
  • hibrid (kombinált) - a fenti két módszer előnyeit egyesíti.

Hírhedt DDoS támadások

Például 2012-ben számos nagyszabású DDoS-támadás érte a DNS-kiszolgálókat. Az elsőt március 31-re tervezték, de nem valósult meg. Az Anonymous csoport támadóinak [32] célja az volt, hogy a teljes globális internetes hálózatot tönkretegyék. Ezt egy 13 gyökér DNS-kiszolgáló elleni DDoS-támadással akarták megtenni [33] . A támadók egy speciális Ramp segédprogramot adtak ki, amely a kisebb DNS-kiszolgálókat és az internetszolgáltatókat hivatott kombinálni . Segítségükkel a globális hálózat letiltását tervezték.

Ugyanezt a támadást követték el 2002 novemberében is. Még mindig a DNS-kiszolgálók elleni legglobálisabb DDoS-támadásnak számít, mivel ennek eredményeként a támadók 7 gyökérkiszolgálót tudtak letiltani. A következő támadás augusztusban történt az AT&T , a legnagyobb amerikai távközlési vállalat ellen. Ennek eredményeként a 8 órán át tartó támadást követően a cég DNS-kiszolgálói meghibásodtak. A felhasználók egy ideig nem csak az AT&T weboldalát, hanem a hálózatának kereskedelmi oldalait sem tudták elérni.

Újabb támadás történt 2012. november 10-én a Go Daddy ellen , amely a világ legnagyobb tárhelyszolgáltatója. A támadás következményei pusztítóak voltak: nemcsak magát a www.godaddy.com domaint érintette, hanem több mint 33 millió internetes domaint is, amelyeket a cég regisztrált. [34]

Sokkal korábban, 2003. augusztus 22-én a kiberbűnözők a Mydoom vírus segítségével letiltották az SCO rendszerszoftver-cég webhelyét. A felhasználók 3 teljes napig nem tudták elérni a cég weboldalát. [35]

2012. szeptember 15-én egy hatalmas, 65 Gbps sebességű DDoS támadás érte a CloudFlare -t, a megosztott tárhelyszolgáltatásnak szentelt tartalomszolgáltató hálózatot . Ennek a cégnek a szerverei a világ minden táján találhatók. [29] Ez segít a felhasználónak sokkal gyorsabban betölteni egy oldalt az interneten a legközelebbi (földrajzilag) CloudFlare szerverről. Korábban ez a cég több tíz Gb / s kapacitású DDoS-támadásokat is kiállt, de nem tudott megbirkózni a 65 Gb / s-os támadással. Ez a csúcs szeptember 15-én, szombaton 13:00 órakor következett be. Az akkoriban a CloudFlare-nél dolgozó alkalmazottak egykori hackerek voltak, akiket érdekelt, hogy pontosan milyen módszerrel hajtották végre ezt a DDoS-támadást, és hogyan tudták a támadók ilyen erővel végrehajtani. Kiderült, hogy egy ilyen támadáshoz 65 000 robotra lenne szükség, amelyek egyenként 1 Mbps-os forgalmat generálnak. Ez azonban nem lehetséges, mivel az internetszolgáltatók könnyen észlelik és blokkolják az ilyen nagy mennyiségű forgalmat. Ugyanakkor egy nagy botnet bérlése nagyon drága. Ezért kiderült, hogy egy ilyen támadáshoz a DNS-lekérdezések nyílt DNS-kiszolgálókon keresztül történő megsokszorozásának módszerét használták.

Körülbelül hat hónappal később, március 18-án a The New York Times szerint a történelem legnagyobb DDoS-támadása kezdődött, melynek áldozata a Spamhaus , a spamforrások feketelistájával foglalkozó cég lett . [36] A támadás oka az volt, hogy a Spamhaus feketelistára tette a holland CyberBunker szolgáltatót spam küldéséért . A második kifejezte elégedetlenségét egy 300 Gb / s csúcsteljesítményű DDoS-támadás segítségével, nyílt DNS-kiszolgálókon keresztül. Március 19-én a teljesítmény elérte a 90 Gb / s-ot, értéke 30 Gb / s-ról változott. [37] Ezt követően szünet következett, de nem tartott sokáig, és a támadás újult erővel folytatódott, és március 22-én a kapacitása elérte a 120 Gb/s-ot. A támadás visszaszorítása érdekében a CloudFlare megosztotta a forgalmat adatközpontjai között , ami után a Cyberbunker rájött, hogy nem tudja „letenni” a CloudFlare-t, és új támadási hullámot indított a upstream társai ellen . A csomagok egy részét Tier2 szinten szűrtük, a forgalom többi része a Tier1 szintre került, ahol a teljesítmény elérte a maximumot, a 300 Gb/s-ot. Abban a pillanatban internetezők milliói érezték meg a támadás teljes erejét, egyes oldalakat lelassítottak. A szolgáltatók végül ellenálltak ennek a támadásnak, de Európában enyhén megnövekedett a ping a különböző oldalak elérésekor. Például a londoni LINX forgalmi központban március 23-án egy támadás miatt több mint felére esett az adatcsere. Az 1,2 Tbps-os átlagsebesség 0,40 Tbps-re csökkent. [38]

DDoS védelem

Idézet

Csak amatőr támadások céloznak autókat. A professzionális támadások embereket céloznak meg.

B. Schneier [39]

Jelenleg lehetetlen teljesen megvédeni magát a DDoS támadásoktól, mivel abszolút megbízható rendszerek nem léteznek. Az emberi tényező is nagy szerepet játszik itt, mert a rendszergazda bármilyen hibája, aki rosszul konfigurálta az útválasztót, nagyon katasztrofális következményekkel járhat. Azonban mindezek ellenére jelenleg nagyon sok hardveres és szoftveres védelmi eszköz és szervezeti módszer létezik a szembenézésre.

A DDoS támadások elleni intézkedések passzív és aktív, valamint megelőző és reaktív intézkedésekre oszthatók. Az alábbiakban a fő módszerek rövid listája található.

  • Megelőzés. Olyan okok megelőzése, amelyek bizonyos személyeket DDoS-támadások szervezésére és végrehajtására ösztönöznek. (Nagyon gyakran a kibertámadások általában személyes sérelmek, politikai, vallási és egyéb nézeteltérések, az áldozat provokatív viselkedésének következményei stb.). A DDoS támadások okait időben meg kell szüntetni, majd következtetéseket levonni az ilyen támadások jövőbeni elkerülése érdekében.
  • válaszintézkedések. Technikai és jogi intézkedésekkel a lehető legaktívabban kell befolyásolni a DDoS támadás forrását és szervezőjét. Jelenleg még olyan speciális cégek is működnek, amelyek nemcsak a támadást végrehajtó személyt, hanem magát a szervezőt is megtalálják.
  • Szoftver. A modern szoftverek és hardverek piacán van olyan, amely megvédheti a kis- és középvállalkozásokat a gyenge DDoS támadásoktól. Ezek az eszközök általában egy kis szerver.
  • Szűrés és feketelyuk. A forgalom blokkolása a támadó gépek elől. Ezeknek a módszereknek a hatékonysága csökken, ha közelebb kerül a támadás tárgyához, és növekszik, ha közelebb kerül a támadó gépezethez. Ebben az esetben a szűrés kétféle lehet: tűzfalak és ACL -ek használata . A tűzfalak használata blokkol egy adott forgalmi folyamatot, de nem teszi lehetővé a "jó" és a "rossz" forgalom elkülönítését. Az ACL-ek kiszűrik a kisebb protokollokat, és nincsenek hatással a TCP-protokollokra. Ez nem lassítja le a szervert, de haszontalan, ha a támadó prioritási kéréseket használ. [40]
  • Reverse DDOS  – a támadáshoz használt forgalom átirányítása a támadóhoz. A megtámadott szerver elegendő teljesítményével nemcsak a támadás sikeres visszaverését, hanem a támadó szerver letiltását is lehetővé teszi.
  • Sebezhetőségek megszüntetése. Nem működik az árvízi támadások ellen, amelyeknél a „ sebezhetőség ” bizonyos rendszererőforrások végessége. Ennek az intézkedésnek a célja a rendszerek és szolgáltatások hibáinak kiküszöbölése.
  • Erőforrások növelése. Természetesen nem nyújt abszolút védelmet, de jó hátteret biztosít más típusú védelem alkalmazásához a DDoS támadások ellen.
  • Szétszóródás. Elosztott és duplikált rendszerek építése, amelyek akkor sem hagyják abba a felhasználók kiszolgálását, ha egyes elemeik elérhetetlenné válnak egy DoS támadás miatt.
  • Kijátszás. A támadás közvetlen célpontjának ( domainnév vagy IP-cím ) elmozdítása más erőforrásoktól, amelyek gyakran szintén érintettek a támadás közvetlen célpontjával együtt.
  • Aktív válasz. A támadás forrásaira, szervezőjére vagy irányító központjára gyakorolt ​​hatás mind emberalkotta, mind szervezeti és jogi eszközökkel.
  • Berendezések használata a DDoS támadások visszaszorítására. Például DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore és más gyártók. Az eszközöket a szerverek és útválasztók elé telepítik, szűrve a bejövő forgalmat.
  • DDoS védelmi szolgáltatás beszerzése. Aktuális, ha az árvíz túllépi a hálózati csatorna sávszélességét.

A Google készen áll arra is, hogy forrásokat biztosítson webhelye tartalmának megjelenítéséhez, ha a webhelyet DDoS-támadás éri. Jelenleg a Project Shield szolgáltatás tesztelési stádiumban van, de előfordulhat, hogy néhány oldalt ott is elfogadnak [41] . A projekt célja a szólásszabadság védelme.

Statisztika

A Kaspersky Lab szakértői tanulmányt végeztek, és megállapították, hogy 2015-ben minden hatodik orosz vállalatot DDoS támadás érte. Szakértők szerint az év során körülbelül 120 000 támadást hajtottak végre, amelyek 68 000 erőforrás ellen irányultak szerte a világon. Oroszországban a kiberbűnözők leggyakrabban a nagyvállalkozásokat választották célpontnak - az esetek 20%-a, a közép- és kisvállalkozások - 17%. A DDoS támadások célja a cég honlapjának főoldalának (a támadások 55%-a) működési zavarok, a kommunikációs szolgáltatások és a levelezés letiltása (34%), a rendszerbe való bejelentkezést lehetővé tevő funkciók (23%) volt. . A szakértők azt is megállapították, hogy a DDoS támadások 18%-át fájlszervereken, 12%-át pedig pénzügyi tranzakciós szolgáltatásokon rögzítették. Oroszország az ötödik helyen áll a világon a weboldalait érő DDoS-támadások számát tekintve. A legtöbb kiberbűnözést Kínában, az Egyesült Államokban, Koreában és Kanadában követik el. A támadásokat azonban leggyakrabban kínai és orosz hackerek hajtják végre [42] .

Lásd még

Jegyzetek

  1. Internetes szolgáltatásmegtagadás, 2004 .
  2. Szolgáltatásmegtagadási támadások, 2004 .
  3. Számítógépes vírusok kívül-belül, 2006 .
  4. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 2.
  5. Gyakorlati kriptográfia, 2005 .
  6. Az Anonymous filozófiája, 2013 .
  7. Lenta.ru: Média: Hackerek támadják meg az észt kormányzati webhelyeket . Letöltve: 2014. február 28. Az eredetiből archiválva : 2007. május 3..
  8. Ukrajna önkéntes kibervédelmi rendszere programot hozott létre az információs háború elleni küzdelem segítésére .... Letöltve: 2022. március 11. Az eredetiből archiválva : 2022. március 1..
  9. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 3.
  10. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. négy.
  11. 1 2 3 Hacker, 2003 .
  12. 1 2 Illusztrált oktatóanyag az internetes biztonságról, 2004 , p. nyolc.
  13. RFC 4987, 2007 .
  14. 12 Biztonsági problémák a TCP/IP protokollcsomagban, 1989 .
  15. "Neptun projekt", 1996.07 .
  16. Gyengeség a 4.2BSD Unix TCP/IP szoftverben, 1985 .
  17. IP-spooling Demystified, 1996 .
  18. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 9.
  19. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 5.
  20. Hacker, 2005 .
  21. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 6.
  22. RFC dokumentumok, 2004 .
  23. A hálózatok tipikus biztonsági megsértésének elemzése, 2001 .
  24. Illusztrált oktatóanyag az internetbiztonságról, 2004 , p. 7.
  25. CloudFlare, 2012.10.30 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hacker, 2012.10.31 .
  29. 1 2 Hacker, 2012.09.18 .
  30. Nyílt rendszerek információbiztonsága, 2012 , p. 39.
  31. Hacker, 2013.04.28 .
  32. Anonymous IRC szerver, 2011 .
  33. Root névszerver, 2013 .
  34. A GoDaddy DNS-kiszolgálók összeomlanak, 2012.09.11 .
  35. A MyDoom az évtized legdrágább kártevője, 2011.01.26 .
  36. Hogyan bontakozott ki a kibertámadás a Spamhaus ellen, 2013 .
  37. A DDoS, amely majdnem megtörte az internetet, 2013 .
  38. 300 Gbps DDoS támadás, 2013.03.27 .
  39. Szemantikus támadások: A hálózati támadások harmadik hulláma . Letöltve: 2013. december 6. Az eredetiből archiválva : 2013. október 30.
  40. DDoS mérséklése regionális tisztítóközpontokon keresztül, 2011 .
  41. DDoS védelem Project Shielddel . Hozzáférés dátuma: 2015. június 28. Az eredetiből archiválva : 2015. július 1.
  42. TASS: Gazdaság és üzlet – Kaspersky Lab: 2015-ben az Orosz Föderációban minden hatodik céget DDoS támadás érte . Hozzáférés dátuma: 2016. január 27. Az eredetiből archiválva : 2016. január 28.

Irodalom

Linkek