Слабые и сильные DDoS-атаки

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд. УРА! (1 votes, average: 5,00 out of 5)
Загрузка...
DDoS-атаки

DDoS (Distributed Denial of Service) - самый распространенный тип атаки на интернет-ресурсы и сервисы. Это не взлом, а попытка занять мощности сервиса ненужными запросами, чтобы он не успевал обрабатывать значимые, временно "выходя из строя". Распределенными (distributed) атаки называются потому, что ведутся "ботнетами", то есть сетями, состоящими из большого числа инфицированных машин (вплоть до нескольких сот тысяч). Создавать ботнеты злоумышленникам сейчас нетрудно, учитывая широкое распространение уязвимостей и слабую защиту пользовательских компьютеров, серверов и другого оборудования -например, на домашние Wi-Fi-роутеры производители сами устанавливают бэкдоры (от англ. back door, черный ход) - программы, дающие доступ к системе и выставленные во внешнюю сеть.

Ботнеты в большинстве своем состоят из пользовательских компьютеров с ОС Windows, но зарегистрированы также ботнеты из домашних роутеров, компьютеров с ОС Mac OS, WordPress-сайтов, Linux-серверов. Ботнет не обязательно проводит атаку непосредственно сам. Существуют amplification-атаки (атаки с усилением), заключающиеся в том, что на публичные серверы с уязвимой конфигурацией ПО отправляются маленькие запросы, заставляющие их отправлять гораздо большие ответы, но не обратно, а на атакуемый сервер. Это позволяет, имея канал относительно небольшой емкости, генерировать огромный трафик и полностью занимать канал оператора связи.

В последние годы пользуется популярностью усиление атак через UDP-протоколы (DNS, NTP и подобные) с подделкой IP-адреса отправителя (англ. spoofing, мистификация, подмена). В теории правильно настроенная сетевая инфраструктура должна отсекать пакеты с подделанными адресами, однако далеко не все сети настроены правильно, и за 2013-2014 гг. больше половины атак были именно этой разновидности.

DDoS распределяются по объектам атаки, то есть атакуемым уровням инфраструктуры: они могут быть направлены на приложения, FITTP-серверы, сетевой стек операционной системы, исчерпание канала или сетевую инфраструктуру. Легче всего атаковать приложение как самый медленный элемент конструкции; сложнее всего - затруднить работу сетевой инфраструктуры или исчерпать канал. Сложность атак на FITTP-cep-веры и сетевой стек находится примерно посередине. Однако для их осуществления в основном используются специфические особенности реализаций различных сетевых протоколов (медленная отправка PITTP-запросов, переустановка SSL-соединений, SYN-flood), поэтому многие подобные атаки отражаются путем установки и настройки правильного ПО - например, медленных PITTP-запросов боятся серверы Apache и IIS, но абсолютно не боится nginx. Встречаются и комбинированные атаки - сразу на несколько уровней инфраструктуры.

Что делать?

Заранее устанавливать, а затем обновлять и поддерживать продуманную систему фильтрации трафика экономически целесообразно только в случае частых, постоянно повторяющихся DDoS-атак. Высокая стоимость будет обусловлена еще и необходимостью широкого сетевого канала, так как если канал будет узкий, его емкость будет исчерпана запросами еще перед системой фильтрации. В остальных случаях следует определить мощность атаки, изучив количество и тип запросов, ситуацию с трафиком и другие показатели, и действовать в зависимости от силы нападения. Если атака направлена на приложения или ОС, а ботнет небольшой, ее вполне реально отразить силами грамотного системного администратора (настроив черные списки и др.). Если же цель атаки - исчерпание канала или сетевая инфраструктура, крайне желательно отражать ее за пределами дата-центра и лучше сразу привлекать компании, специализирующиеся на защите от DDoS.

Оставить комментарий

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: