Top-office11.ru

IT и мир ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Атака на сеть это

Немного о типах DDoS-атак и методах защиты

Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.

«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.

При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.


/ Flickr / Kenny Louie / CC

DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.

Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.

TCP SYN Flood

Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.

Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.

Fragmented UDP Flood

Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.

Атака с использованием ботнета

Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.

В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.

При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.

Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).

В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.

Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.

Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.

Читать еще:  Как поставить вай фай роутер

Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.

Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.

Smurf-атаки

Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.

Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.

DNS-атака с усилением

Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.

Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.

TCP Reset

TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.

Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.

Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.

Дополнительное чтение по теме DPI (Deep packet inspection):

Защита от сетевых атак

Главные цели киберпреступников — дестабилизация работы сайтов и серверов либо их полный вывод из строя, добыча скрытой информации (конфиденциальные данные пользователей, тексты документов).

Разновидности сетевых атак и методики защиты от них

На сегодняшний день известны следующие виды сетевых атак:

  • mailbombing;
  • применение специализированных приложений;
  • переполнение буфера;
  • сетевая разведка (сбор сведений при помощи приложений, находящихся в свободном доступе);
  • IP-спуфинг (хакер выдает себя за законного пользователя);
  • DDOS-атака (путем перегрузки обслуживание обычных пользователей делается невозможным);
  • Man-in-the-Middle (внедрение с целью получения пакетов, передаваемых внутри системы);
  • XSS-атака (ПК клиента подвергаются атаке через уязвимости на сервере);
  • фишинг (обман жертвы путем отправки сообщений с якобы знакомого адреса).

О первых трех вариантах стоит рассказать отдельно, так как они самые сложные и самые распространенные.

Читать еще:  Пропадает сеть после перезагрузки появляется

Mailbombing

Суть действия в том, что e-mail пользователя буквально заваливается письмами. Для этого используется массовая рассылка. Цель — отказ работы почтового ящика или всего почтового сервера.

Для проведения этой атаки не нужны особые навыки. Достаточно знать электронный адрес потенциальной жертвы и адрес сервера, с которого можно отправлять сообщения анонимно.

Первое правило защиты, к которому может прибегнуть каждый, — не давать адрес своего почтового адреса сомнительным источникам. Специалисты задают определенные настройки на web-сайте провайдера. Лимит количества писем, поступающих с определенного IP, ограничен. Когда приложение «видит», что число сообщений перевалило предел нормы, письма «на автомате» отправляются в корзину. Но ничто не мешает преступнику проводить рассылку с разных адресов.

Специальные программы

Использование особых приложений — самый распространенный способ вывода серверов из строя. В ход идут вирусы, трояны, руткиты, снифферы.

Вирус — вредоносный софт, заточенный на выполнение определенной функции. Внедряется в другие программы (легальные в том числе) на ПК жертвы. После встраивания приступает к осуществлению прописанной «миссии». Например, проводит шифровку файлов, блокирует загрузку компьютерной платформы, прописав себя в BIOS, и т.д.

«Троянский конь» — это уже не программная вставка, а полноценное вредоносное приложение, которое маскируется под безобидное. Троян может выглядеть, к примеру, как игра. Если пользователь ее запустит, начнется распространение файла. Программа рассылает свои копии по всем электронным адресам, которые есть на ПК жертвы. Чаще всего «троянский конь» похищает данные банковских карт, электронных кошельков — словом, стремится получить доступ к финансовым ресурсам.

Сниффер ворует пакеты данных, переправляемых ПК на разные сайты. Для этого используется сетевая плата, функционирующая в режиме promiscuous mode. В таком режиме все пакеты, переправленные через карту, отправляются на обработку приложению. Таким образом, может быть открыт доступ к конфиденциальным сведениям — например, списку паролей и логинов от банковских счетов.

Руткит скрывает следы преступлений злоумышленников, маскирует вредоносную деятельность, из-за чего администратор не замечает происходящего.

Переполнение буфера

Злоумышленник занят поиском программных или системных уязвимостей. При обнаружении таковых провоцируется нарушение границ оперативной памяти, работа приложения завершается в аварийном режиме, выполняется любой двоичный код.

Защита состоит в том, чтобы обнаружить и устранить уязвимости. Также используются неисполнимые буфера, но этот метод способен предотвратить только те атаки, в которых применяется код.

Способы защиты от сетевых атак:

  1. Шифрование данных. Не является защитой как таковой, но в случае утечки информации злоумышленник не прочитает ее.
  2. Установка антивирусов и их своевременное обновление.
  3. Применение программ, блокирующих действие снифферов и руткитов.
  4. Использование межсетевого экрана. Этот элемент выполняет роль фильтра всего проходящего через него трафика.

Комплексная защита от сетевых атак

Наша компания выпускает комплексный продукт ИКС, способный обеспечить защиту Вашего компьютера «по всем фронтам». В функционал входит:

и многое другое.

Интернет Контроль Сервер — это универсальное и эффективное средство контроля над внутренними сетями любой организации вне зависимости от ее сферы деятельности. ИКС позволит защитить данные корпоративной сети.

Настройка программы проста в исполнении, с помощью документации и видеоуроков с ней справится даже начинающий пользователь.

Расширенная защита от DDoS

Любая DDoS-атака ведет к потере легитимного трафика, иными словами — пользователей, поэтому зачастую используется недобросовестными конкурентами. От DDoS-атак часто страдают в том числе интернет-магазины, онлайн-игры и системы электронных платежей.

В 2015 году Selectel запустил услугу Защита от DDoS, успешно справляющуюся с основными типами атак, в том числе с L2-атаками.

Каждый сервер может принадлежать независимому заказчику. Мы не знаем, какие ip-адреса он себе поставит, какую конфигурацию и профиль трафика выберет. В одной серверной стойке могут находиться до 40 различных проектов, каждый из которых может быть подвержен DDoS, который может прилететь в любой момент. На практике мы отбиваем 12-20 атак в день. Если из строя выходит сервер, то это очень огорчительно и надо поправить моментально, поэтому важно резервирование всех каналов связи ( подробнее ).

Типы атак

Если в качестве отсчетной точки для классификации типов атак выбрать объект, который выводится из строя, то можно выделить четыре основных класса атак, осуществляемых на разных уровнях согласно модели OSI:

Читать еще:  Большой пинг до роутера
Тип атакиОбъект атакиСпособ отражения
Первый класс (L2)«Забивание» канала (Amplification)Поддержка доступа к внешней сети за счет увеличения емкости канала
Второй класс (L3)Нарушение функционирования сетевой инфраструктурыПродвинутая аналитика сетевой инфраструктуры, отслеживание проблем на транзитном сетевом оборудовании
Третий класс (L4)Эксплуатация слабых мест TCP-стекаАнализ поведения TCP-клиентов и TCP-пакетов на сервере, в том числе эвристический анализ
Четвёртый класс (L7)Деградация Web-приложения (извлечение конкретной информации из БД, памяти или с диска, банальное исчерпание ресурсов сервера)Поведенческий и корреляционный анализ, использование инструментов мониторинга

Увы, универсальных мер защиты от DDoS-атак не существует, так как злоумышленники постоянно находят новые уязвимости и спешат ими воспользоваться.

Пример L2

Рассмотрим пример амплификации DNS-атаки.

Алгоритм поражения жертвы заключается в том, что атакующий посылает сигнал ботам на начало цикла запросов к DNS. Все зомби-компьютеры начинают выполнять запросы каждый к своему DNS-серверу с поддельным обратным IP-адресом, который указывает на компьютер жертвы.

В результате пакет с IP-адресом должен быть доставлен клиенту ботнета, но в действительности его «усиленный» вариант будет отправлен на заранее указанный IP-адрес жертвы.

Пример L3

Классический пример L3-атаки— в 2008 году Пакистан из-за собственной ошибки перехватывал префиксы у YouTube посредством BGP Hijacking, то есть значительная часть трафика этого видеохостинга перенаправлялась в Пакистан.

К сожалению, автоматически с подобной напастью бороться невозможно. Предварительно нужно определить, что данная проблема (кража префикса) вообще возникла. Далее нужна продвинутая аналитика сетевой инфраструктуры, потому что признаком Hijacking служит, в общем случае, только то, что, начиная с какого-то момента, анонсы данной сети в интернете пошли «нетипичные». То есть для своевременного обнаружения необходимо иметь, как минимум, историю анонсов.

Если у вас своей автономной системы (AS) нет, то можно считать, что борьба с атаками на этом уровне более-менее является долгом вашего дата-центра или провайдера.

Немного истории

Технический прогресс идет семимильными шагами и популярность набирают сложно-организованные атаки (уровня приложений, HTTPS) атаки, как и было спрогнозировано в Лаборатории Касперского еще в конце 2016 года.

В качестве примера можно привести смешанную (SYN + TCP Connect + HTTP-flood + UDP flood) атаку на «Национальную электронную площадку». Для отражения подобной атаки необходимо применять современные и сложные механизмы защиты.

Отчеты за 2 квартал 2017 года с подробными графиками можно посмотреть тут .

Услуги по защите от DDoS

С развитием IT-технологий и на фоне снижения стоимости вычислительных ресурсов базовой защиты уже недостаточно, так как фокус DDoS-атак смещается от простых к сложноорганизованным.

Мы также расширили наши услуги по профессиональной защите серверов и приложений от DDoS‑атак любой мощности:

  • Базовая защита — для очистки трафика предоставляются защищенные IP-адреса (один входит в базовый тариф, а дополнительные адреса можно заказать в панели управления) и выделяем специальный канал, в котором весь нелегитимный трафик отбрасывается. Подробнее об очистке трафика можно прочитать в нашей базе знаний.
  • Расширенная защита — защита от L7-атак осуществляется путём проксирования запросов к клиентским приложениям через комплекс фильтрации, на базе которого осуществляется анализ и очистка трафика на уровне протоколов приложений: HTTP, DNS, SIP, игровые протоколов и так далее. Подробнее о расширенной защите вы можете прочитать в нашей базе знаний.
  • Балансировщик нагрузки — в состав комплекса фильтрации входят инструменты не только для защиты от атак, но также для балансировки нагрузки и обеспечения отказоустойчивости. Подробнее о работе можете прочитать в нашей базе знаний.

Преимущества защиты, предоставляемой Selectel:

  • Оплачивается только очищенный входящий трафик.
  • Предоставляется по запросу доступ в систему отчетов об очистке, включая величину и длительность атак.
  • Подбираются параметры очистки специально под требования проекта.

Услуга «Защита от DDoS» от Selectel позволяет защитить бизнес от финансовых и репутационных потерь.

При выборе расширенной защиты от DDoS вы платите только за подключение фильтра.

Ознакомиться с ценами можно на странице услуги.

Ссылка на основную публикацию
Adblock
detector