DoS-angreb

DoS ( forkortelse engelsk  Denial of Service "denial of service") - et hackerangreb på et computersystem for at bringe det til at mislykkes, dvs. skabelsen af ​​sådanne forhold, hvorunder samvittighedsfulde brugere af systemet ikke vil være i stand til at få adgang til de leverede systemressourcer (servere), ellers bliver denne adgang vanskelig. Fejlen i det "fjende"-system kan også være et skridt i retning af at mestre systemet (hvis softwaren i en nødsituation udsender kritisk information - for eksempel version, del af programkoden osv.). Men oftere er det et mål for økonomisk pres: tabet af en simpel tjeneste, der genererer indtægter, regninger fra udbyderen og foranstaltninger til at undgå angrebet rammer målets lomme markant. [1] I øjeblikket er DoS- og DDoS-angreb de mest populære, da de kan bringe næsten ethvert dårligt skrevet system til at fejle uden at efterlade juridisk væsentlige beviser.

Distribueret DoS-angreb

Hvis et angreb udføres samtidigt fra et stort antal computere, taler de om et DDoS-angreb [2] (fra engelsk.  Distributed Denial of Service , et distribueret denial of service-angreb ). Et sådant angreb udføres, hvis det er nødvendigt for at forårsage et lammelsesangreb til en velbeskyttet stor virksomhed eller statslig organisation.

Først og fremmest scanner angriberen et stort netværk ved hjælp af specielt forberedte scripts, der identificerer potentielt svage noder. De udvalgte værter angribes, og angriberen får administrative rettigheder til dem. Trojanske heste installeres på fangede værter og kører i baggrunden . [3] Nu kaldes disse computere for zombiecomputere , deres brugere har ikke engang mistanke om, at de er potentielle deltagere i et DDoS-angreb. Dernæst sender angriberen bestemte kommandoer til de indfangede computere, og de udfører til gengæld et kollektivt DoS-angreb på målcomputeren.

Der er også programmer for frivillig deltagelse i DDoS-angreb.

I nogle tilfælde fører en utilsigtet handling til et faktisk DDoS-angreb, for eksempel ved at placere et link på en populær internetressource til et websted, der er hostet på en ikke særlig produktiv server ( skråstreg-effekt ). En stor tilstrømning af brugere fører til overskridelse af den tilladte belastning på serveren og følgelig et lammelsesangreb for nogle af dem.

Forsvar

For at beskytte mod netværksangreb anvendes en række filtre, der er forbundet til internetkanalen med stor båndbredde. Filtrene fungerer på en sådan måde, at de sekventielt analyserer den passerende trafik og afslører ikke-standard netværksaktivitet og fejl. De analyserede mønstre for ikke-standard trafik inkluderer alle aktuelt kendte angrebsmetoder, inklusive dem implementeret ved hjælp af distribuerede botnets. Filtre kan implementeres både på niveau med routere , administrerede switches og specialiseret hardware.

Årsager til at bruge DDoS-angreb

Informationssikkerhedseksperter identificerer flere årsager til at bruge DDoS-angreb. [fire]

Personlig fjendskab

Denne grund tjener ofte som påskud for angreb på store kommercielle og statslige organisationer og virksomheder. Så i 1999 blev FBI's websteder angrebet, som efterfølgende var utilgængelige i flere uger. Motivet var et nyligt FBI-razzia mod hackere. [5]

Underholdning

I dag er flere og flere mennesker interesserede i DoS-angreb, og alle vil gerne prøve sig frem i denne forretning. Derfor udfører mange nybegyndere angribere DoS-angreb for sjov. Efter et vellykket angreb ser de på omfanget af deres ødelæggelse. [6]

Politisk protest

De mest berømte DDoS-angreb rettet mod politisk protest var aktioner til støtte for Monument to the Liberator Soldier i Estland (2007) [7] , Sydossetien (2008), Wikileaks (2011), Megaupload (2012) og EX.UA (2012 ) ), og også mod Ruslands invasion af Ukraine [8] .

Unfair konkurrence

DDoS-angreb kan udføres på ordre fra en skruppelløs konkurrent .

Afpresning eller afpresning

DDoS-angreb kan udføres med henblik på afpresning eller afpresning , i hvilket tilfælde angriberen først kontakter webstedsejeren.

Klassifikation af DoS-angreb

Det er meget nemmere for hackere at udføre et DoS-angreb på et system end at få fuld adgang til det. Der er forskellige årsager til, at en DoS-tilstand kan opstå, det vil sige en situation, hvor brugere ikke kan få adgang til de ressourcer, som serveren leverer, eller adgang til dem er betydeligt vanskelig: [9]

Båndbreddemætning

I øjeblikket er næsten alle computere forbundet til internettet eller til et lokalt netværk. Dette er en glimrende mulighed for at udføre et DoS-angreb ved at overfylde båndbredden. Typisk bruger angribere en oversvømmelse ( eng.  flood  - "flood", "overflow") - et angreb forbundet med et stort antal sædvanligvis meningsløse eller forkert formaterede anmodninger til et computersystem eller netværksudstyr, som har som mål eller ført til en fejl i systemet fra - for udtømning af systemressourcer - processor, hukommelse eller kommunikationskanaler. Der er flere varianter af oversvømmelser. [ti]

HTTP-oversvømmelse og ping-flod

Dette er den mest primitive type DoS-angreb. Båndbreddemætning kan kun udføres med almindelige pings, hvis angriberens kanal er meget bredere end offerets computers kanal. Men et sådant angreb er ubrugeligt mod serveren, da sidstnævnte til gengæld har en ret bred båndbredde. En HTTP-flod bruges normalt til at angribe en server. Angriberen sender en lille HTTP-pakke, men sådan at serveren reagerer på den med en pakke, der er hundredvis af gange større. Selvom serverens kanal er ti gange bredere end angriberens, er der stadig en god chance for at mætte offerets båndbredde. Og for at forhindre respons-HTTP-pakker i at forårsage et lammelsesangreb fra en angriber, erstatter han hver gang sin ip-adresse med ip-adresserne på noder på netværket. [elleve]

Smølfeangreb (ICMP oversvømmelse)

Smølfeangrebet eller ICMP-floden  er en af ​​de farligste typer af DoS-angreb, da offercomputeren vil opleve et lammelsesangreb efter et sådant angreb med næsten 100% garanti. En angriber bruger en udsendelse til at tjekke for live-værter på systemet ved at sende en ping-anmodning . Det er klart, at angriberen alene ikke vil være i stand til at deaktivere offerets computer, så der kræves en deltager mere - dette er et forstærkende netværk. I den sender angriberen en falsk ICMP-pakke til udsendelsesadressen . Derefter ændres angriberens adresse til offerets adresse. Alle noder vil sende hende et svar på ping-anmodningen. Derfor vil en ICMP-pakke sendt af en angriber gennem et forstærkende netværk indeholdende 200 noder blive forstærket med en faktor 200. Til et sådant angreb vælges normalt et stort netværk, så offerets computer ikke har nogen chance. [12]

Fraggle angreb (UDP oversvømmelse)

Fraggle-angrebet (fragmenteringsgranaten) (fra engelsk.  Fraggle attack ) er en komplet analog til Smurf-angrebet, hvor der bruges UDP - pakker i stedet for ICMP-pakker , så det kaldes også UDP flood. Princippet for driften af ​​dette angreb er enkelt: ekkokommandoer sendes til offerets syvende port på en udsendelsesanmodning. Derefter erstattes angriberens IP-adresse med offerets IP-adresse, som hurtigt modtager en masse svarbeskeder. Deres antal afhænger af antallet af noder i netværket. Dette angreb resulterer i båndbreddemætning og fuldstændig lammelsesangreb for offeret. I dette tilfælde, hvis ekkotjenesten er deaktiveret, vil ICMP-meddelelser blive genereret, hvilket også vil føre til båndbreddemætning. [12]

SYN-pakkeoversvømmelsesangreb (SYN-oversvømmelse)

Før fremkomsten af ​​smølfeangrebet var et SYN-oversvømmelsesangreb, også kendt som en SYN-oversvømmelse , udbredt . [13] For at beskrive dens funktion kan vi dvæle ved overvejelserne om to systemer A og B, som ønsker at etablere en TCP-forbindelse indbyrdes , hvorefter de kan udveksle data med hinanden. En vis mængde ressourcer er allokeret til at etablere en forbindelse, og DoS-angreb bruger dette. Ved at sende flere falske anmodninger kan du bruge alle de systemressourcer, der er allokeret til at etablere en forbindelse. [14] Lad os se nærmere på, hvordan dette sker. En hacker fra system A sender en SYN-pakke til system B, men efter at have ændret sin IP-adresse til en ikke-eksisterende. Derefter, ubevidst, sender computer B et SYN/ACK-svar til en ikke-eksisterende IP-adresse og går ind i tilstanden SYN MODTAGET. Da SYN/ACK-meddelelsen ikke når system A, vil computer B aldrig modtage en pakke med ACK-flaget. [15] [16] Denne potentielle forbindelse vil blive sat i kø. Den forlader først køen efter 75 sekunder. [17] Angribere bruger dette til at sende flere SYN-pakker til ofrets computer på én gang med et interval på 10 sekunder for fuldstændigt at udtømme systemressourcerne. Det er meget vanskeligt at bestemme kilden til et angreb, da angriberen konstant ændrer kildens IP-adresse. [atten]

Mangel på ressourcer

Angribere bruger denne type DoS-angreb til at fange systemressourcer, såsom RAM og fysisk hukommelse, processortid og andre. Typisk udføres sådanne angreb under hensyntagen til det faktum, at hackeren allerede har en vis mængde systemressourcer. Formålet med angrebet er at fange yderligere ressourcer. For at gøre dette er det ikke nødvendigt at mætte båndbredden, men blot overbelaste ofrets processor, det vil sige tage al den tilladte processortid. [19]

Sender "tunge" anmodninger

Angriberen sender pakker til serveren, der ikke mætter båndbredden (kanalen er normalt ret bred), men spilder al sin CPU-tid. Serverprocessoren, når den behandler dem, er muligvis ikke i stand til at klare komplekse beregninger. På grund af dette vil der opstå en fejl, og brugerne vil ikke kunne få adgang til de nødvendige ressourcer.

Server fuld af logfiler

Serverlogfiler er filer , der registrerer netværks- eller programbrugeres handlinger. En ukvalificeret administrator kan fejlkonfigurere systemet på sin server uden at sætte en vis grænse. Hackeren vil udnytte denne fejl og sende store pakker, som snart vil optage al den ledige plads på serverens harddisk. Men dette angreb virker kun i tilfælde af en uerfaren administrator, kvalificerede gemmer logfiler på et separat systemdrev. [elleve]

Dårligt kvotesystem

Nogle servere har et såkaldt CGI-program , der kobler et eksternt program til webserveren. Hvis en hacker får adgang til CGI, kan han skrive et script ( eng.  scripting language ), som bruger mange serverressourcer, såsom RAM og processortid. For eksempel kan et CGI-script involvere looping gennem oprettelse af store arrays eller beregning af komplekse matematiske formler. I dette tilfælde kan den centrale processor få adgang til et sådant script flere tusinde gange. Deraf konklusionen: Hvis kvotesystemet er konfigureret forkert, vil et sådant script fjerne alle systemressourcer fra serveren på kort tid. Selvfølgelig er vejen ud af denne situation indlysende - at sætte en vis grænse for hukommelsesadgang, men i dette tilfælde vil scriptprocessen, efter at have nået denne grænse, vente, indtil den aflæser alle de gamle data fra hukommelsen. Derfor vil brugerne opleve mangel på systemressourcer. [tyve]

Utilstrækkelig validering af brugerdata

Utilstrækkelig validering af brugerdata fører også til en uendelig eller lang cyklus eller øget langsigtet forbrug af processorressourcer (op til udtømning af processorressourcer) eller tildeling af en stor mængde RAM (op til udtømning af tilgængelig hukommelse). [fjorten]

Angreb af anden art

Dette er et angreb, der søger at udløse et sikkerhedssystem og dermed gøre en ressource utilgængelig.

Programmeringsfejl

Professionelle DoS-angribere bruger ikke en så primitiv angrebsmetode som båndbreddemætning. Efter fuldt ud at have forstået strukturen af ​​ofrets system, skriver de programmer ( exploits ), der hjælper med at angribe de komplekse systemer i kommercielle virksomheder eller organisationer. Oftest er disse fejl i programkoden , der fører til adgang til et ubrugt fragment af adresserummet, udførelse af en ugyldig instruktion eller anden ubehandlet undtagelse, når serverprogrammet går ned - serverprogrammet. Et klassisk eksempel er adressering af nuladressen ( eng.  null ). [21]

Svagheder i programkoden

Håndtering af undtagelser har altid været en hovedpine for udviklere af operativsystemer. Angribere leder efter fejl i programkoden for et program eller operativsystem, hvilket tvinger det til at håndtere undtagelser, som det ikke kan håndtere. Dette resulterer i fejl. Et simpelt eksempel er den hyppige transmission af pakker, som ikke respekterer specifikationerne og standarderne for RFC-dokumenter . [22] Angribere holder øje med, om netværksstakken kan håndtere undtagelser. Hvis ikke, så vil transmissionen af ​​sådanne pakker føre til en kernepanik ( kernepanik ) eller endda til kollaps af hele systemet som helhed. [23]

Denne klasse inkluderer Ping of death error , almindelig i 1990'erne. RFC 791 IPv4 IPv4 pakkelængde må ikke overstige 65.535 bytes; en større ICMP -pakke sendes til offerets computer , tidligere opdelt i dele; offeret har et bufferoverløb fra sådan en pakke . En anden fejl på den tid er WinNuke ( Windows 95 håndterede ikke den sjældne del af URG TCP-pakken korrekt).

Bufferoverløb

Et bufferoverløb opstår, når et program skriver data uden for bufferen på grund af en programmørs fejl. Lad os sige, at en programmør har skrevet en applikation til udveksling af data over et netværk, der fungerer på en eller anden protokol. Denne protokol angiver strengt, at et bestemt felt af en pakke maksimalt kan indeholde 65536 bytes data. Men efter at have testet applikationen viste det sig, at der i dens klientdel ikke er behov for at lægge data i dette felt, der er større end 255 bytes. Derfor vil serverdelen ikke acceptere mere end 255 bytes. Dernæst ændrer angriberen applikationskoden, så klientdelen nu sender alle 65536 bytes tilladt af protokollen, men serveren er ikke klar til at modtage dem. Dette forårsager et bufferoverløb og forhindrer brugere i at få adgang til applikationen. [elleve]

Routing og DNS-angreb

Alle angreb på DNS-servere kan opdeles i to typer: [24]

DoS-angreb på softwaresårbarheder i DNS-servere

De kaldes også cache-angreb. Under dette angreb erstatter angriberen IP-adressen på DNS-serveren på offerets domæne. Derefter falder den angrebne person, når den anmoder om en HTML-side, enten i et "sort hul" (hvis IP-adressen blev erstattet med en ikke-eksisterende), eller går direkte til angriberens server. Det andet tilfælde er mere beklageligt, da en angriber nemt kan få adgang til et intetanende offers personlige data. Lad os se på et eksempel på, hvordan dette sker. Lad os sige, at en kunde ønsker at gå til Microsoft.com-webstedet. Men ved at bruge en sårbarhed i virksomhedens DNS-server ændrede angriberen IP-adressen på microsoft.com-værten til sin egen. Nu omdirigeres offeret automatisk til noden til angriberen.

DDoS-angreb på DNS-servere

Yderligere vil vi tale om DDoS-angreb, da deltagelse af DNS-servere altid indebærer tilstedeværelsen af ​​et stort antal computere. Angreb på DNS-servere er de mest almindelige angreb, der fører til et lammelsesangreb for en DNS-server, både ved at mætte båndbredden og ved at gribe systemressourcer. Men sådan et angreb kræver et stort antal zombiecomputere . Efter dens succesfulde implementering kan brugerne ikke komme til den side, de har brug for på internettet, fordi DNS-serveren ikke kan omsætte domænenavnet til webstedets IP-adresse. Men på nuværende tidspunkt er angreb på DNS-servere, der bruger et stort antal zombiecomputere (sådan et system kaldes et " botnet "), mindre relevante, da internetudbydere nemt bemærker en stor mængde udgående trafik og blokerer den. Malefactors klarer sig nu med små botnets eller bruger dem slet ikke. Hovedideen er, at hackere bruger DNS-servere [26] baseret på DNSSEC- teknologi . [27] Angrebsstyrken øges på grund af stigningen i DNS-forespørgselsrefleksioner. Ideelt set bør en bestemt udbyders DNS-servere kun behandle anmodninger, der kommer til dem fra brugere af denne udbyder, men det er langt fra virkeligheden. Der er mange fejlkonfigurerede servere rundt om i verden, der kan acceptere en anmodning fra enhver bruger på internettet. CloudFlare- medarbejdere hævder, at der i øjeblikket er mere end 68 tusind forkert konfigurerede DNS-servere på internettet, mere end 800 af dem er i Rusland. [28] Disse DNS-servere bruges til DDoS-angreb. Grundtanken er, at næsten alle DNS-forespørgsler sendes over UDP, hvor det er relativt nemt at ændre returadressen til adressen på offeret. Derfor sender angriberen via forkert konfigurerede DNS-servere en sådan anmodning, så svaret på den er så stor som muligt i volumen (det kan for eksempel være en liste over alle poster i DNS-tabellen), hvor den omvendte IP adresse erstattes med IP-adressen på offeret. Som regel har udbydernes servere en ret stor båndbredde, så det er ikke svært at lave et angreb på flere titusvis af Gb/s. [29]

Liste over autonome systemer med det højeste antal fejlkonfigurerede DNS-servere pr. 11/10/2013. [28]

Antal DNS-servere Autonomt systemnavn Beliggenhed
2108 BELPAK-AS republikanske enhedstelekommunikationsvirksomhed Be Hviderusland
1668 HINET Data Communication Business Group
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Korea
965 Telefonica Argentina Argentina
894 ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information C Taiwan
827 KDDI KDDI CORPORATION
770 Compa Dominicana de Telefonos, C. por A. — CODETEL
723 CHINANET-RYGGLÆN No.31, Jin-rong Street Kina
647 LGDACOM LG DACOM Corporation
606 UUNET - MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonesien Indonesien
601 COLOMBIA TELECOMUNICACIONES SA ESP Colombia

Detektion af DoS/DDoS-angreb

Der er en opfattelse af, at specielle værktøjer til at opdage DoS-angreb ikke er påkrævet, da kendsgerningen af ​​et DoS-angreb ikke kan overses. I mange tilfælde er dette sandt. Imidlertid blev vellykkede DoS-angreb observeret ret ofte, som først blev bemærket af ofrene efter 2-3 dage. Det skete , at de negative konsekvenser af et angreb ( oversvømmelsesangreb ) resulterede i for store omkostninger til betaling for overskydende internettrafik, hvilket først blev tydeligt ved modtagelse af en faktura fra en internetudbyder. Derudover er mange metoder til registrering af indtrængen ineffektive i nærheden af ​​målet for angrebet, men er effektive på netværks backbones. I dette tilfælde er det tilrådeligt at installere detektionssystemer præcis der, og ikke vente til den bruger, der er blevet angrebet, selv bemærker det og søger hjælp. For effektivt at imødegå DoS-angreb er det desuden nødvendigt at kende typen, arten og andre karakteristika af DoS-angreb, og det er sikkerhedstjenester, der giver dig mulighed for hurtigt at få disse oplysninger. De hjælper med at lave nogle systemindstillinger. Men for at afgøre, om dette angreb blev foretaget af en angriber, eller om lammelsesangrebet var resultatet af en unormal begivenhed, kan de ikke. I overensstemmelse med reglerne i sikkerhedspolitikken, hvis et DoS- eller DDoS-angreb detekteres, skal det registreres til yderligere revision. Når et angreb er blevet opdaget, kan sikkerhedstjenesterne være forpligtet til at foretage nogle justeringer af systemet og returnere det til dets tidligere driftsniveau. Tjenester, der ikke er relateret til sikkerhed, kan også bruges til at detektere et DDoS-angreb, for eksempel ved at omdirigere trafik gennem andre kommunikationskanaler, tænde for backupservere for at kopiere information. Midlerne til at opdage og forhindre DDoS-angreb kan således variere meget afhængigt af typen af ​​system, der beskyttes. [tredive]

DoS-angrebsdetekteringsmetoder kan opdeles i flere store grupper:

  • signatur - baseret på en kvalitativ analyse af trafikken.
  • statistisk - baseret på en kvantitativ analyse af trafikken.
  • hybrid (kombineret) - kombinerer fordelene ved begge de ovennævnte metoder.

Notoriske DDoS-angreb

For eksempel var der i 2012 flere store DDoS-angreb på DNS-servere. Den første af dem var planlagt til 31. marts, men fandt aldrig sted. Målet for angriberne fra Anonymous -gruppen [32] var at bringe hele det globale internetnetværk til at gå i stykker. De ønskede at gøre dette med et DDoS-angreb på 13 root DNS-servere [33] . Angriberne udgav et særligt Ramp -værktøj , som var beregnet til at kombinere mindre DNS-servere og internetudbydere . Med hjælp fra dem var det planlagt at deaktivere det globale netværk.

Præcis det samme angreb blev udført i november 2002. Det betragtes stadig som det mest globale DDoS-angreb på DNS-servere, da angribere som følge heraf var i stand til at deaktivere 7 rodservere. Det næste angreb fandt sted i august mod AT&T , det største amerikanske teleselskab. Som følge heraf svigtede virksomhedens DNS-servere efter angrebet, som varede i 8 timer. I nogen tid kunne brugerne ikke kun få adgang til AT&T-webstedet, men også kommercielle websteder på dets netværk.

Endnu et angreb fandt sted den 10. november 2012 mod Go Daddy , som er verdens største hostingudbyder. Konsekvenserne af angrebet var ødelæggende: Ikke kun selve www.godaddy.com-domænet blev berørt, men også mere end 33 millioner internetdomæner, der blev registreret af virksomheden. [34]

Meget tidligere, den 22. august 2003, brugte cyberkriminelle Mydoom -virussen til at deaktivere webstedet for SCO , et systemsoftwarefirma. I 3 hele dage kunne brugerne ikke komme til virksomhedens hjemmeside. [35]

Den 15. september 2012 ramte et massivt 65 Gbps DDoS-angreb CloudFlare , et indholdsleveringsnetværk dedikeret til delt hosting. Dette firmas servere er placeret over hele verden. [29] Dette hjælper brugeren med at indlæse en side på internettet fra den nærmeste (geografisk set) CloudFlare-server meget hurtigere. Tidligere modstod dette firma DDoS-angreb med en kapacitet på flere tiere af Gb/s, men kunne ikke klare et angreb på 65 Gb/s. Dette højdepunkt fandt sted lørdag den 15. september kl. 13:00. De ansatte, der arbejdede hos CloudFlare på det tidspunkt, var tidligere hackere, der var interesserede i at finde ud af, præcis hvilken metode dette DDoS-angreb blev udført, og hvordan angriberne var i stand til at udføre det med en sådan kraft. Det viste sig, at et sådant angreb ville kræve 65.000 bots, der skaber trafik på 1 Mbps hver. Men dette er ikke muligt, da internetudbydere nemt kan opdage og blokere så stor en mængde trafik. Samtidig er det meget dyrt at leje et stort botnet. Derfor viste det sig, at til et sådant angreb blev metoden til at multiplicere DNS-forespørgsler gennem åbne DNS-servere brugt.

Omtrent seks måneder senere, den 18. marts, begyndte det største DDoS-angreb i historien ifølge The New York Times , hvis offer var Spamhaus , et firma, der var involveret i at sortliste spamkilder . [36] Årsagen til angrebet var, at Spamhaus sortlistede den hollandske værtsudbyder CyberBunker for at sende spam . Den anden udtrykte sin utilfredshed ved hjælp af et DDoS-angreb med en spidseffekt på 300 Gb/s gennem åbne DNS-servere. Den 19. marts nåede strømmen 90 Gb/s, hvilket ændrede dens værdi fra 30 Gb/s. [37] Derefter kom der en pause, men den varede ikke længe og angrebet genoptog med fornyet kraft og den 22. marts nåede dets kapacitet 120 Gb/s. For at afværge angrebet distribuerede CloudFlare trafik mellem sine datacentre , hvorefter Cyberbunker indså, at det ikke kunne "lægge ned" CloudFlare og begyndte en ny bølge af angreb på sine upstream -kammerater . Nogle af pakkerne blev filtreret på Tier2-niveauet, resten af ​​trafikken kom til Tier1-niveauet, hvor effekten nåede sit maksimum på 300 Gb/s. I det øjeblik følte millioner af internetbrugere den fulde kraft af dette angreb, nogle websteder blev bremset af dem. I sidste ende modstod udbyderne dette angreb, men i Europa var der en lille stigning i ping ved adgang til forskellige sider. Eksempelvis faldt dataudvekslingskursen i Londons LINX trafikudvekslingscenter den 23. marts på grund af et angreb med mere end det halve. Den gennemsnitlige hastighed på 1,2 Tbps faldt til 0,40 Tbps. [38]

DDoS-beskyttelse

Citere

Kun amatører angriber biler. Professionelle angreb retter sig mod mennesker.

B. Schneier [39]

Det er i øjeblikket umuligt helt at beskytte dig selv mod DDoS-angreb, da absolut pålidelige systemer ikke eksisterer. Den menneskelige faktor spiller også en stor rolle her, fordi enhver fejl fra en systemadministrator, der konfigurerede routeren forkert, kan føre til meget katastrofale konsekvenser. Men på trods af alt dette er der i øjeblikket en masse både hardware- og softwarebeskyttelsesværktøjer og organisatoriske metoder til konfrontation.

Foranstaltninger til at imødegå DDoS-angreb kan opdeles i passive og aktive samt forebyggende og reaktive. Nedenfor er en kort liste over de vigtigste metoder.

  • Forebyggelse. Forebyggelse af årsager, der tilskynder visse individer til at organisere og udføre DDoS-angreb. (Meget ofte er cyberangreb generelt resultatet af personlige klager, politiske, religiøse og andre uenigheder, provokerende adfærd hos ofret osv.). Det er nødvendigt at eliminere årsagerne til DDoS-angreb i tide og derefter drage konklusioner for at undgå sådanne angreb i fremtiden.
  • reaktionsforanstaltninger. Ved at anvende tekniske og juridiske foranstaltninger er det nødvendigt at påvirke kilden og arrangøren af ​​DDoS-angrebet så aktivt som muligt. I øjeblikket er der endda specielle firmaer, der hjælper med at finde ikke kun den person, der udførte angrebet, men endda arrangøren selv.
  • Software. På markedet for moderne software og hardware er der en, der kan beskytte små og mellemstore virksomheder mod svage DDoS-angreb. Disse værktøjer er normalt en lille server.
  • Filtrering og sorthulling. Blokering af trafik fra angribende maskiner. Effektiviteten af ​​disse metoder falder, når du kommer tættere på angrebsobjektet og øges, når du kommer tættere på den angribende maskine. I dette tilfælde kan filtrering være af to typer: brugen af ​​firewalls og ACL'er . Brugen af ​​firewalls blokerer for en bestemt trafikstrøm, men giver dig ikke mulighed for at adskille "god" trafik fra "dårlig" trafik. ACL'er bortfiltrerer mindre protokoller og påvirker ikke TCP-protokoller. Dette sænker ikke serveren, men er ubrugeligt, hvis angriberen bruger prioritetsanmodninger. [40]
  • Omvendt DDOS  - omdirigerer den trafik, der blev brugt til angrebet, til angriberen. Med tilstrækkelig kraft fra den angrebne server tillader den ikke kun at afvise angrebet med succes, men også at deaktivere den angribende server.
  • Eliminering af sårbarheder. Virker ikke mod oversvømmelsesangreb , hvor " sårbarheden " er begrænsetheden af ​​visse systemressourcer. Denne foranstaltning har til formål at eliminere fejl i systemer og tjenester.
  • Øge ressourcer. Det giver naturligvis ikke absolut beskyttelse, men det er en god baggrund for at anvende andre former for beskyttelse mod DDoS-angreb.
  • Spredning. Opbygning af distribuerede og duplikerende systemer, der ikke stopper med at betjene brugere, selvom nogle af deres elementer bliver utilgængelige på grund af et DoS-angreb.
  • Omgåelse. Flytning af det umiddelbare mål for angrebet ( domænenavn eller IP-adresse ) væk fra andre ressourcer, der ofte også er berørt sammen med det umiddelbare mål for angrebet.
  • Aktiv respons. Indvirkning på kilderne, arrangøren eller kontrolcentret af angrebet, både af menneskeskabte og organisatoriske og juridiske midler.
  • Brug af udstyr til at afvise DDoS-angreb. For eksempel DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore og andre producenter. Enheder installeres foran servere og routere og filtrerer indgående trafik.
  • Anskaffelse af en DDoS-beskyttelsestjeneste. Faktisk i tilfælde af oversvømmelse af netværkskanalens båndbredde.

Google er også klar til at levere sine ressourcer til at vise indholdet på dit websted, hvis webstedet er under et DDoS-angreb. I øjeblikket er Project Shield-tjenesten på teststadiet, men nogle steder kan blive accepteret der [41] . Formålet med projektet er at beskytte ytringsfriheden.

Statistik

Kaspersky Labs eksperter gennemførte en undersøgelse og fandt ud af, at hver sjette russiske virksomhed i 2015 blev udsat for et DDoS-angreb. Ifølge eksperter var der i løbet af året omkring 120.000 angreb, der var rettet mod 68.000 ressourcer rundt om i verden. I Rusland valgte cyberkriminelle oftest store virksomheder som deres mål - 20 % af tilfældene, mellemstore og små virksomheder - 17 %. DDoS-angreb var rettet mod at skabe problemer i arbejdet med hovedsiden på virksomhedens hjemmeside (55% af angrebene), deaktivere kommunikationstjenester og mail (34%), funktioner, der tillader brugeren at logge ind på systemet (23%) . Eksperterne fandt også, at 18 % af DDoS-angrebene blev registreret på filservere og 12 % på finansielle transaktionstjenester. Rusland ligger på en femteplads i verden med hensyn til antallet af DDoS-angreb på deres hjemmesider. De fleste cyberkriminalitet begås i Kina, USA, Korea og Canada. Dog udføres angreb oftest af kinesiske og russiske hackere [42] .

Se også

Noter

  1. Internet Denial of Service, 2004 .
  2. Denial of Service-angreb, 2004 .
  3. Computervirus inde og ude, 2006 .
  4. Illustreret vejledning om internetsikkerhed, 2004 , s. 2.
  5. Praktisk kryptografi, 2005 .
  6. The philosophy of Anonymous, 2013 .
  7. Lenta.ru: Medier: Hackere angriber estiske regerings websteder . Hentet 28. februar 2014. Arkiveret fra originalen 3. maj 2007.
  8. Systemet med frivilligt cyberforsvar i Ukraine skabte et program til at hjælpe i kampen mod informationskrigen ... . Hentet 11. marts 2022. Arkiveret fra originalen 1. marts 2022.
  9. Illustreret vejledning om internetsikkerhed, 2004 , s. 3.
  10. Illustreret vejledning om internetsikkerhed, 2004 , s. fire.
  11. 1 2 3 Hacker, 2003 .
  12. 1 2 Illustreret vejledning om internetsikkerhed, 2004 , s. otte.
  13. RFC 4987, 2007 .
  14. 12 Sikkerhedsproblemer i TCP/IP-protokollen Suite, 1989 .
  15. "Projekt Neptun", 07.1996 .
  16. En svaghed i 4.2BSD Unix TCP/IP-softwaren, 1985 .
  17. IP-spooling Demystified, 1996 .
  18. Illustreret vejledning om internetsikkerhed, 2004 , s. 9.
  19. Illustreret vejledning om internetsikkerhed, 2004 , s. 5.
  20. Hacker, 2005 .
  21. Illustreret vejledning om internetsikkerhed, 2004 , s. 6.
  22. RFC-dokumenter, 2004 .
  23. Analyse af typiske sikkerhedsbrud i netværk, 2001 .
  24. Illustreret vejledning om internetsikkerhed, 2004 , s. 7.
  25. CloudFlare, 30/10/2012 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hacker, 31/10/2012 .
  29. 1 2 Hacker, 18/09/2012 .
  30. Informationssikkerhed i åbne systemer, 2012 , s. 39.
  31. Hacker, 28/04/2013 .
  32. Anonym IRC-server, 2011 .
  33. Rodnavneserver, 2013 .
  34. GoDaddy DNS-servere går ned, 09/11/2012 .
  35. MyDoom er tiårets dyreste malware, 26/01/2011 .
  36. Sådan forløb cyberangrebet på Spamhaus, 2013 .
  37. DDoS That Almost Broke the Internet, 2013 .
  38. 300 Gbps DDoS-angreb, 27/03/2013 .
  39. Semantiske angreb: Den tredje bølge af netværksangreb . Hentet 6. december 2013. Arkiveret fra originalen 30. oktober 2013.
  40. DDoS-reduktion via regionale rengøringscentre, 2011 .
  41. DDoS-beskyttelse med Project Shield . Dato for adgang: 28. juni 2015. Arkiveret fra originalen 1. juli 2015.
  42. TASS: Økonomi og forretning - Kaspersky Lab: hver sjette virksomhed i Den Russiske Føderation blev i 2015 udsat for et DDoS-angreb . Dato for adgang: 27. januar 2016. Arkiveret fra originalen 28. januar 2016.

Litteratur

Links