Немного о типах DDoS-атак и методах защиты
Согласно проведенным исследованиям, масштабы DDoS-атак выросли примерно в 50 раз за последние несколько лет. При этом злоумышленники «метят» как в локальные инфраструктуры, так и публичные облачные площадки, на которых сосредотачиваются решения клиентов.
«Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», – комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks, поставляющей решения для обеспечения безопасности в сетях.
При этом частота атак также увеличивается. В конце 2014 года их число составляло 83 тыс., а в первом квартале 2015 года цифра увеличилась до 126 тыс. Поэтому в нашем сегодняшнем материале мы бы хотели рассмотреть различные виды DDoS-атак, а также способы защиты от них.
/ Flickr / Kenny Louie / CC
DoS атака (Denial of Service – отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с подложным обратным адресом. Сбой в этом случае является результатом переполнения (забивания трафиком) арендуемой клиентом полосы либо повышенного расхода ресурсов на атакуемой системе.
Злоумышленники при этом маскируют обратный адрес, чтобы исключить возможность блокировки по IP. Если атака является распределённой и выполняется одновременно с большого количества компьютеров, говорят о DDoS-атаке. Давайте взглянем на несколько распространённых типов.
TCP SYN Flood
Цель атаки SYN Flood – вызвать перерасход ресурсов системы. На каждый входящий SYN-пакет система резервирует определенные ресурсы в памяти, генерирует ответ SYN+ACK, содержащий криптографическую информацию, осуществляет поиск в таблицах сессий и т. д. – то есть затрачивает процессорное время. Отказ в обслуживании наступает при потоке SYN Flood от 100 до 500 тыс. пакетов за секунду. А злоумышленник, имея хотя бы гигабитный канал, получает возможность направить поток до 1,5 млн пакетов в секунду.
Защита от типа атак SYN Flood осуществляется средствами DPI-систем, которые способны анализировать и контролировать проходящий через них трафик. Например, такой функционал предоставляет решение СКАТ от VAS Experts. Система сперва обнаруживает атаку по превышению заданного порога неподтвержденных клиентом SYN-запросов, а затем самостоятельно, вместо защищаемого сайта, на них отвечает. TCP-сессия организуется с защищаемых сайтов после подтверждения запроса клиентом.
Fragmented UDP Flood
Эта атака осуществляется фрагментированными UDP-пакетами небольшого размера, на анализ и сборку которых платформе приходится выделять ресурсы. Защиту от такого типа флуда тоже предоставляют системы глубокого анализа трафика, отбрасывая неактуальные для подзащитного сайта протоколы или ограничивая их по полосе. Например, для веб-сайтов рабочими протоколами являются HTTP, HTTPS – в этом случае неактуальные протоколы можно попросту исключить или ограничить по полосе.
Атака с использованием ботнета
Злоумышленники обычно стараются заполонить полосу жертвы большим количеством пакетов или соединений, перегружая сетевое оборудование. Такие объемные атаки проводятся с использованием множества скомпрометированных систем, являющихся частью боднет.
В этом примере (изображение выше), злоумышленник контролирует несколько «машин-зомби» для проведения атак. «Зомби» общаются с главной машиной по защищенному скрытому каналу, причем управление часто осуществляется по IRC, P2P-сетям и даже с помощью Twitter.
При проведении атаки такого типа пользователю нет нужды скрывать IP-адрес каждой машины, и благодаря большому числу участвующих в атаке компьютеров, такие действия ведут к значительной нагрузке на сайт. Причем обычно злоумышленники выбирают наиболее ресурсоемкие запросы.
Для защиты от ботнет-атак применяются различные поведенческие стратегии, задача которых – выявлять неожиданные отклонения и всплески трафика. Еще один вариант, который предлагает компания VAS Experts, – использование теста Тьюринга (странички с CAPTCHA).
В этом случае к работе с сайтом допускаются только те пользователи, которые удачно прошли проверку на «человечность». При этом страничка с капчей располагается на отдельном сервере, способном справиться с потоком запросов ботнета любого размера.
Также хотелось бы упомянуть об атаках, которые появились относительно недавно. Речь идет об атаках на IoT-устройства с целью их «захвата» и включения в ботнет для осуществления DDoS-атак.
Согласно отчету компании Symantec, 2015 год побил рекорды по числу атак на IoT, а в интернете появилось восемь новых семейств вредоносных программ. Атаки участились по ряду причин. Во-первых, многие умные устройства постоянно доступны из Сети, но при этом не обладают надежными средствами защиты – не позволяет вычислительная мощность. Более того, пользователи зачастую не обновляют программное обеспечение, только повышая риск взлома.
Злоумышленники используют простую тактику: сканируют все доступные IP-адреса и ищут открытые порты Telnet или SSH. Когда такие адреса найдены, они пытаются выполнить вход с помощью стандартного набора логинов и паролей. Если доступ к оборудованию получен, на него загружается файл скрипта (.sh), который подкачивает тело бота, запускает его и закрывает доступ к устройству, блокируя порты Telnet и внося изменения в iptables, чтобы исключить возможность перехвата системы другим червем.
Чтобы минимизировать риск или избежать взлома IoT-устройств, необходимо выполнить простых действий: отключить неиспользуемые сетевые функции устройства, отключить Telnet-доступ и обратиться к SSH, по возможности перейти на проводное соединение вместо Wi-Fi, а также регулярно проводить обновление программного обеспечения.
Smurf-атаки
Атакующий посылает поддельный пакет IСМР Echo по адресу широковещательной рассылки. При этом адрес источника пакета заменяется адресом жертвы, чтобы «подставить» целевую систему. Поскольку пакет Еcho послан по широковещательному адресу, все машины усиливающей сети возвращают жертве свои ответы. Послав один пакет IСМР в сеть из 100 систем, атакующий инициирует усиление DDoS-атаки в сто раз.
Чтобы предотвратить эффект усиления, специалисты по сетевой безопасности советуют запретить операции прямой широковещательной рассылки на всех граничных маршрутизаторах. Также дополнительно стоит установить в ОС режим «тихого» отбрасывания широковещательных эхо-пакетов IСМР.
DNS-атака с усилением
Атака с усилением – это наиболее распространенная DDoS-атака, использующая рекурсивные сервера имен. Она похожа на Smurf-атаку, только в этом случае злоумышленник посылает небольшие запросы на DNS resolver, как бы заставляя его отправлять ответы на подмененный адрес.
Что касается конкретного примера, то в феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всей Сети. Популярные практики защиты от этого типа атак можно найти на сайте Cisco.
TCP Reset
TCP Reset выполняется путем манипуляций с RST-пакетами при TCP-соединении. RST-пакет – это заголовок, который сигнализирует о том, что необходимо переподключение. Обычно это используется в том случае, если была обнаружена какая-либо ошибка или требуется остановить загрузку данных. Злоумышленник может прерывать TCP-соединение, постоянно пересылая RST-пакет с валидными значениями, что делает невозможным установление соединение между источником и приемником.
Предотвратить этот тип атаки можно – необходимо мониторить каждый передаваемый пакет и следить, что последовательность цифр поступает в нужном порядке. С этим справляются системы глубокого анализа трафика.
Сейчас основной целью взлома устройств является организация DDoS-атак или причинение ущерба путем ограничения доступа пользователей к сайту в интернете. Поэтому сами операторы связи, интернет-провайдеры и другие компании, в том числе VAS Experts, также предлагают и организуют решения по защите от DDoS – мониторинг трафика в реальном времени для отслеживания аномалий и всплесков загруженности полосы, функцию Carrier Grade NAT, которая позволяет «спрятать» устройство абонента от злоумышленников, закрыв к нему доступ из интернета, а также другие интеллектуальные и даже самообучающиеся системы.
Дополнительное чтение по теме DPI (Deep packet inspection):
Источник
Лучшая защита — это нападение (Александр Македонский)
2. Яндекс-картинка. «Чем ниже интеллект, тем громче оскорбления!» <(dav-angel) Анжела Давидович>. Примечания: а) в случае живого общения оппонентов мегафон в руках «нападающего» означает, что последний кричит нечеловеческим голосом; б) в случае виртуального общения мегафон означает, что «нападающий» вываливает на своего визави кучу словесного мусора постами-простынями.
Каждый прав и каждый виноват.
Все полны обидным снисхожденьем
И, мешая истину с глумленьем,
До конца обидеться спешит.
Эти споры — споры без исхода,
С правдой, с тьмой, с людьми, с самим собой,
Изнуряют тщетною борьбой
И пугают нищенством прихода.
По домам бессильно разбредаясь,
Мы нашли ли собственный ответ?
Что ж слепые наши «да» и «нет»
Разбрелись, убого спотыкаясь?
Или мысли наши — жернова?
Или спор — особое искусство,
Чтоб, калеча мысль и теша чувство,
Без конца низать случайные слова?
Если б были мы немного проще,
Если б мы учились понимать,
Мы могли бы в жизни не блуждать,
Словно дети в незнакомой роще.
Вновь забытый образ вырастает:
Притаилась Истина в углу,
И с тоской глядит в пустую мглу,
И лицо руками закрывает.
К означенной теме публикации меня планово вели предыдущие — о хамелеонстве, хамстве, зависти и злобности. Там уже затрагивалась тема взаимоотношений между людьми с разными взглядами на действительность, их окружающую.
Вот отрывок из работы «Хамелеоны. «. (Один очень знаменитый писатель назвал мои публикации «комиксами«).
Давайте же вместе посмеёмся!
Можно ль понять особу (м.р.), которая для отвода глаз от себя, любимого, нападает на оппонентов с отличными, как бы!, от его, взглядами, навешивает им ярлыки (антисоветчиков, к примеру). Сам же, публично прославляя тот строй, которого уже нет, прекрасно обустроился и в существующем. Не бедствует, одним словом. Он даже, от излишек благ, по-видимому, публично ропщет на то, что надо бы помогать нуждающимся материально. потом благополучно забывает о нечаянно вырвавшемся из груди порыве. Таковым надо порекомендовать носить камуфляжную армейскую форму, чтоб быть менее заметными в случае чего.
Картиночка справа на заставке разве не про таких нападающих? Попробуй такому возрази! Съест с потрохами, и в горле у него не застрянешь.
Не знаю, много ли таковыми, в реальной жизни, забито честных голов, а в виртуальной — бесчестно, уверена, много. Только принесли ли они таковым человеческой радости? Навряд ли. Думается, что им по ночам снятся кошмары.
Попытаемся разобраться с афоризмом заголовка и подзаголовка публикации.
I. Александр Македонский и его крылатая фраза (перетёкшая в последствии из истории в человеческие отношения) «Лучшая защита —это нападение».
Наверное, всем знакомо это выражение из курса истории древнего мира.
Но мне вдруг сейчас для этой публикации захотелось найти конкретный пример из многочисленных походов македонского войска во главе с Александром, сыном Филиппа II, где плановая оборона переросла бы в нападение.
Александр продолжал свой поход вдоль западного побережья Малой Азии.
Приближался холодный сезон, полководец разрешил части своей армии расквартироваться на зиму в побеждённом Галикарнасе, а сам с оставшимся войском двинулся в Ликию и Фригию, где его действия были в основном дипломатическими, направленными на то, чтобы склонить сатрапии на свою сторону.
Тем временем великий царь Дарий приближался к нему с большой армией. Эта армия и армия македонцев сошлись в октябре 333 г. до н.э. на берегах реки Пинар на равнине у города Исс. Персы заняли позицию. Они не в первый раз допускали оплошность, приняв чисто оборонительный план действий. У персов было не только огромное численное преимущество, но и преимущество позиции. Однако, Александр всё же принял решение наступать по открытой равнине, переправиться через реку и атаковать противника, выстроенного на высоком берегу. И грянул бой!
Персы оказали яростное сопротивление, в ходе которого Александр был ранен в ногу. В течение некоторого времени было неясно, кто берет верх, но внезапно сам великий царь в боевой колеснице развернулся и стал спасаться бегством.
Как считают историки, Александр разрабатывал хитроумные стратегические планы. И если был выбор между безопасным планом и рискованным, он выбирал дерзкий и полностью преодолевал сопротивление противника.
Вот и в выбранном примере определилось: Дарий от наступления перешёл к обороне. А Александр, должный обороняться, тактически переиграл противника. И подтвердил, что лучшая защита — это нападение.
II. Тактика лжи: Нападение — это лучшая «защита»!?
(Я благодарна психологам сайта https://psihologiyaotnoshenij.com/, помогшим мне, наконец, сформулировать для себя то, что так давно волновало)
Если кто-то называет тебя словом, которое ему кажется бранным, это вовсе не оскорбление. Это не обидно, а только показывает, какой этот человек жалкий.
Здесь небольшая цитата ещё из одной моей публикации, о хамстве.
«Уверена, я не одинока, и многие сталкиваются с хамством в жизненном пространстве. Хама можно встретить везде. В некоторых случаях, рядом с хамом приходится жить или работать. А общение в интернете? Стоит ли описывать на сколько это тяжкое испытание.
Наверное, чтоб научиться защищать себя от хамов, надо пройти определённый ликбез. « http://zavtra.ru/blogs/hamstvo_i_hamovatost_o_sinov_yah_sovremennih_nih
Теперешняя работа есть дополнение к выше названной. К рекомендованным учёными способам защиты от хамства добавляется использование скорости реакции человека на те или иные моменты межличностного общения. То бишь, «лучший способ защиты — нападение».
Здесь на первый план выступает фактор неожиданности. Нападение быстро собравшегося на некоторое время отвлечёт нападение соперника.
А в итоге, возможно, победит тот, у кого голосовые связки сильнее, кто сможет, не слыша оппонента, просто напросто переорать его.
Однако, чаще побеждает умный.
Не всегда нападение может быть лучшим методом защиты. (Несмотря на то, что тактика предупреждающего удара в большинстве случаев срабатывает). Это происходит тогда, когда нет времени на оценку ситуации и принятия решения. И человек вынужден действовать импульсивно. Вот тут уже играют роль личные качества человека, прежде всего уверенность в себе.
А нередко нападение как лучшая защита становится тактикой лжи.
В этом случае слово защита (за щитом) теряет смысл обороны и становится псевдозащитой, то есть прячется в кавычки — «защита». И эта псевдозащита, по сути, есть нападение.
Здесь на сайте, в нашем социуме, есть личности, которые присвоили себе право быть не только критиками всего и вся, но и судьями тех, кто с этой навязываемой критикой несогласный.
А на ответную реакцию критикуемых ими они реагируют по-разному, к примеру:
а) Как с гуся вода (непрошибаемого, равнодушного). Забежит на чужую ветку, как к себе домой, натопчет у порога (в смысле — нахамит) и улизнёт, как ни в чём не бывало. Ответа, сделает вид, что и не видел, хотя в его блоге на картинке в последней им прокомментированной статье добавится единичка к комментариям.
б) Как с цепи сорвался (в высшей степени агрессивное поведение). Такие надолго поселяются в чужой квартире, приходят со своим «уставом» и начитают учить хозяина уму-разуму. А если тот пытается противоречить, защищаясь (без кавычек), указывая на неправоту гостя, то этот включает псевдозащиту (защиту в кавычках), сродни тяжёлой артиллерии. И тут уж хозяин узнает о себе и своих родственниках, вплоть до десятого колена, такое, что и в страшном сне не приснится (ложь, домыслы, ярлыки). Сплошная демагогия! Ему приводишь конкретные факты и примеры негатива, а он гнет свою линию, полностью игнорируя собеседников и переводя на них же стрелки, порой вообще не «в ту степь». Вот оно настоящее нападение!
Моё мнение, не раз и не два высказанное, от таких гостей лучше держать дверь запертой, они пойдут по соседям, спустят там свой пар. (дойдут ли до вас сплетни, дело времени). А если уж пустили такого гостя, то лучше промолчите, выслушайте любезного, памятуя одну известную поговорку про ветер, который носит. http://dslov.ru/pos/p353.htm
P.S. И как сопутствующее к теме —
Небольшой экскурс в анналы сайта «Завтра».
1 сентября 2016г. Обращение А.А. Фефелова к авторам и читателям сайта:
«Поздравляю вас с запуском новейшей модели нашего сайта. Формируя электронный клуб авторов «Завтра», я рассчитываю, что помимо политики, идеологии, борьбы с монстрами здесь будут появляться личные впечатления, путевые заметки и сообщения о красивых и мощных местах нашего великого и мало исследованного русского пространства. «.
К личным впечатлениям, как понимают грамотные люди, наверное, можно отнести мнения о прочитанной книге, просмотренном фильме, спектакле. человеческие чувства к родной природе, уважаемым людям.
А путевыми заметками поделиться можно только тогда, когда путешествуешь не по географическому атласу и по страницам чужих впечатлений в интернете, а натурально, пешком, на автомобиле с остановками в намеченных пунктах.
А вот некоторые считают, что путешествия совершаются от безделия.
И самое главное, надо напомнить во времени забытый комментарий к обращению главного редактора сайта:
1 сентября 2016 в 19:32:
Ответные поздравления Андрею Фефелову и благодарность интеллектуальным работягам за новый сайт! К примеру, я рекомендовал своим воспитанникам, которые будучи гражданами России, зарегистрироваться на сайте «Завтра» и создать собственное сообщество с пилотным названием «Психологическая защита», сам тоже подумываю о сообществе с тестовым названием «Гипноз и общество».
С уважением, ТТ.
Как жаль, что популярный блогер Тимур Турсунов покинул сайт, и ничего о нём неизвестно. И здорово было бы, если бы в «Завтра» действовало то сообщество «Психологическая защита». Возможно, его члены могли кого-то защитить от грубых нападок недругов, а кого-то и просто поставить на место. Жаль, очень жаль!
Уважаемый Тимур! Откликнитесь!
Говорят, что в споре истина рождается,
Говорят, что в споре только суть.
Но кто спорит, часто ошибается,
Жалок он и вызывает грусть.
Избегая споров, избежишь проклятия,
Праздных слов на ветер не бросай.
Поищи другого для себя занятия –
Лучше в жизни бедным помогай.
Споря, убиваешь время ты бесценное,
Не имея пользы никакой.
В распрях наших нет общенья
драгоценного,
Споря, ты становишься глухой.
И не слышишь оппонента себе равного,
Думая, что лучше ты других.
Лучше помолчи, не упуская важного,
Мнений не высказывай пустых.
Нажмите «Подписаться на канал», чтобы читать «Завтра» в ленте «Яндекса»
Источник
