8 800 550 54 53

Прием звонков: с 09:00 до 21:00 (мск).

Без выходных.

Заказать

Прием заказов:

круглосуточно.

Компьютерные атаки DDOS кибертерроризм

Статья создана: , обновлена:

Что же собой представляют DDoS атаки?

Что же собой представляют DDoS атаки
Что же собой представляют DDoS атаки

В начале 2000 годов большинство пользователей Интернет осознало масштабы угрозы, исходящей от распределенных атак типа «отказ в обслуживании» (DDoS), когда серия таких атак привела к блокированию таких популярных Веб-сайтов, как Yahoo, CNN и Amazon.

Прошло уже много лет со времени первого появления этих атак, однако и теперь их тяжело блокировать. В самом деле, если в их организацию было вложено достаточное количество ресурсов, некоторые DDoS атаки - включая SYN-атаки (названные по сокращенному названию символа синхронизации TCP) - невозможно остановить.

Ни для какого сервера, независимо от степени его защиты, нельзя дать гарантию, что он выдержит атаку тысяч машин. Компания Arbor Networks, лидер в области разработки средств по борьбе с DDoS атаками, сообщила, что в действительности армии DDoS зомби насчитывают до 50 000 систем. К счастью, мощные DDoS атаки тяжело организовать; но, к несчастью, небольшие атаки организовать, наоборот, легко.

Частично это объясняется тем, что имеется очень много типов DDoS атак, которые можно провести. Так, например, в январе 2005 года червь Slammer атаковал SQL Server 2000, однако такой непрямой эффект, как инфицирование SQL Server для распространения червя, привел к DDoS атаке на сетевые ресурсы, поскольку каждый бит полосы пропускания использовался этим червем.

Таким образом, ключевым в понимании сущности DDoS атак является тот факт, что это не столько разновидность какой-либо атаки, сколько эффект от сетевых атак разного рода. Иными словами, DDoS может стать следствием атаки с помощью вредоносного кода протокола TCP/IP либо атаки серверных ресурсов или же просто результатом такого совпадения, когда одновременно слишком много пользователей требуют слишком большой полосы.

Как правило, когда говорится о DDoS атаках, имеются в виду атаки на протокол TCP/IP. Существует три типа таких атак: одни нацелены на дыры в стеках TCP/IP; другие используют исконно присущие протоколу TCP/IP слабые места; и третьи, неинтересные, но эффективные - атаки с использованием грубой силы. Чтобы усугубить возникающие проблемы, атаки с помощью грубой силы успешно дополняются первыми двумя.

Типичная атака, реализующаяся на TCP/IP - Ping of Death. В этом случае атакующая сторона создает IP пакет, превышающий максимум для стандарта IP, который составляет 65 536 байт. Когда приходит этот большой пакет, он вызывает крах системы, использующей чувствительный к такому несоответствию стек TCP/IP. Ни одна операционная система и ни один стек в настоящее время не подвержены действию Ping of Death, однако для систем Unix эта проблема долго оставалась открытой.

Довольно старая атака Teardrop, встречающаяся и сегодня, использует несовершенство реализации протокола TCP/IP. Она вмешивается в порядок перегруппирования стеками фрагментов IP пакетов. Дело в том, что иногда IP пакеты разбиты на меньшие куски, но каждый фрагмент по-прежнему содержит заголовок IP пакета и поле, в котором указывается для TCP/IP стека, что за байты в нем содержатся. Когда все идет хорошо, эта информация используется для того, чтобы можно было снова собрать целый пакет.

Teardrop загружает стек IP фрагментами с дублирующими друг друга полями. Когда стек пробует их собрать, эта операция не удается и если он не настроен так, чтобы выбрасывать непригодные фрагменты пакетов, то произойдет немедленный сбой в его работе. Большинство систем теперь умеют справляться с Teardrop, а брандмауэр может блокировать пакеты Teardrop за счет небольшой задержки сетевого соединения, поскольку это позволяет проигнорировать все испорченные пакеты. Естественно, если завалить систему тонной испорченных Teardrop пакетов, это будет постоянно вызывать ее отказ.

И, наконец, есть SYN, против которого нет по-настоящему действенных лекарств. В случае атаки SYN Flood происходит генерирование лавины синхронизирующих импульсов, которые вырабатываются работающими с Интернет приложениями, когда они начинают рабочую сессию (work session). Первая программа посылает пакет TCP SYN (синхронизирующий), за которым следует подтверждающий пакет TCP SYN-ACK, отправляемый принимающим приложением. После этого первая программа отвечает пакетом ACK (подтверждения). После выполнения этих операций приложения готовы работать друг с другом.

SYN-атака попросту хоронит свою жертву, заваливая ее пакетами TCP SYN. Каждый пакет SYN требует выдачи ответа SYN-ACK и принуждает сервер ждать подтверждающего пакета ACK. Разумеется, атакующая сторона не генерирует ACK, или, чаще всего, использует неправильный IP адрес, поэтому на возвращение подтверждения ACK не остается шансов. По мере того, как сервер пытается отправлять пакеты SYN-ACK и ожидает пакетов ACK, он быстро теряет функциональность.

При заполнении очередей SYN-ACK сервер не может больше принимать входные пакеты SYN, и работа сервера останавливается, пока атака не прекратится. Атака Land еще хуже, чем SYN-атака, она использует пакеты SYN с фальсифицированными адресами Вашей собственной сети.

Существует множество способов уменьшения шансов подвергнуться SYN-атакам. Среди них - настройка брандмауэра для блокирования всех входящих пакетов, отправленных из плохих внешних IP адресов типа от 10.0.0.0 до 10.255.255.255, от 127.0.0.0 до 127.255.255.255, от 172.16.0.0 до 172.31.255.255, и от 192.168.0.0 до 192.168.255.255, а также из всех внутренних адресов. Однако, как выяснили сотрудники компании SCO, если отправлять достаточное количество пакетов SYN на сайт, то и теперь любой сайт таким образом можно изолировать от сети.

Атаки с помощью грубой силы

К атакам с помощью грубой силы относятся атака Smurf и атака User Datagram Protocol (UDP) flood. При атаке Smurf Ваш маршрутизатор перегружается специальным сигналом запроса отклика по протоколу управляющих сообщений Internet (протокол ICMP), определенным типом отправителя пакетов Интернета (ping packet). Что усугубляет ситуацию, вместо IP адреса назначения каждого пакета ставится Ваш локальный широковещательный адрес. Наверное, Вы уже поняли, что при этом получается. Поскольку Ваш маршрутизатор также включается в распространение ICMP пакетов, Ваша внутренняя будет очень быстро парализована.

Атака UDP flood начинается, когда кто-то имитирует вызов от одной из программ chargen Вашей системы, работающих по протоколу UDP. Эта тестовая программа генерирует полупроизвольные символы для другого echo сервиса с протоколом UDP, находящегося в Вашей сети. Как только эти наборы символов начинают возвращаться, ресурсы пропускной способности сети быстро истощаются.

К счастью, последние два вида атак можно всегда блокировать. Все, что нужно сделать для блокирования атак Smurfing - просто настроить маршрутизатор, чтобы он игнорировал широковещательную адресацию и настроить брандмауэр на игнорирование ICMP запросов.

Для предотвращения атак UDP flood нужно в Вашей сети заблокировать все запросы от незадействованных UDP служб. При этом программы, использующие UDP, будут продолжать работать. Если, конечно, из-за большого масштаба атаки Ваше Интернет-соединение не будет заблокировано.

Вот где используются программы для организации DDoS атак, такие как Tribe Force Network (TFN), Trin00, Trinity, и Stacheldraht. Эти программы используются для внедрения агентов DDoS атак в незащищенные системы. Когда достаточное количество таких агентов внедрено в незащищенные пользовательские компьютеры, их дистанционно активизируют, атакуя целевые сайты с помощью сотен и даже тысяч машин.

К сожалению, в условиях, когда все большее количество пользователей обзаводятся широкополосным подключением к Интернету, не имея ни малейшего представления о том, как соблюдать при этом меры безопасности, такие атаки будут происходить все чаще.

Как избежать DDoS атак

Какие меры нужно предпринять, чтобы защититься от DDoS-угроз? Начинающим могут помочь обычные меры безопасности. Рекомендуется соблюдать следующие правила: следует иметь брандмауэр, не пропускающий ничего, за исключением легального трафика, регулярно обновлять антивирусное программное обеспечение, чтобы в Ваших компьютерах не завелись DDoS-агенты наподобие TFN, а также иметь современное сетевое программное обеспечение со всеми внесенными обновлениями, касающимися безопасности. Это не остановит всех DDoS атак, однако остановит некоторые из них, такие как Smurfing.

Можно было бы посчитать, что Вам не нужны эти службы, поскольку в худшем случае Вы все равно будете отключены от сети. Но не всякая атака является массированной с тысячами атакующих. Эти службы могут помочь отразить большинство атак.

И давайте посмотрим правде в глаза, сегодня у нас персональный компьютер подключен к сети 24 часа в сутки и в течение всей недели. При все возрастающей опасности DDoS атак было бы умным решением по крайней мере познакомиться со службами, предотвращающими DDoS атаки. В конце концов, под угрозой не только Ваша сеть, но и Ваш бизнес.

Дополнительная информация по теме

Компьютерные глюки

Юморные истории из реальной жизни, касающиеся компьютерной тематики и различных компьютерных программ

Компьютерная зависимость

Статья вмещает в себе все самое интересное о компьютерной зависимости, о ее типах, причинах и способах лечения

Компьютерные программы на каждый день

Программы необходимые для начинающего пользователя компьютером, все советы даны в этой статье

Компьютерная помощь

Статья об оказании услуг в решении проблем связанных с программным обеспечением и неисправностями комплектующих

Ссылка для обмена:

Ссылка для форума:

Ссылка для сайта:

Есть вопросы, замечания, дополнения? Пишите в комментариях.
Заказать тексты для сайта (онлайн форма) - цена от 60 рублей, срок 24 часа
ddos, кибератаки, современные угрозы

Страница: Компьютерные атаки DDOS кибертерроризм

Дата публикации: 2011-07-14 12:32. Последние изменения: 2015-12-20 23:54

наверх