DDoS-атаки — самая серьезная угроза сети


Оглавление (нажмите, чтобы открыть):

Статьи

Угрозы в сети Интернет

Материалы по теме

Содержание статьи:

Технические угрозы

Угроза – это потенциально возможное событие, действие, которое посредством воздействия на объект защиты может привести к нанесению ущерба.

Вредоносные программы

Черви – это разновидность вирусов. Они полностью оправдывают свое название, поскольку распространяются путем «переползания» из устройства в устройство. Так же, как и вирусы, они представляют собой саморазмножающиеся программы, но в отличие от вирусов, червю не нужна помощь пользователя, чтобы распространиться. Он сам находит лазейку.

Троянские программы – вредоносные программы, которые целенаправленно внедряются злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Внешне троянские программы выглядят как легальные программные продукты и не вызывают подозрений. В отличие от вирусов, они полностью готовы к выполнению своих функций. На это и делается расчет злоумышленников: их задача – сделать такую программу, которую пользователи не побоятся запускать и использовать.

Злоумышленники могут заражать компьютер, чтобы сделать его частью ботнета – сети из зараженных устройств, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи часто даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносных программ, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-ботов по атаке других устройств и ресурсов.

DoS и DDoS атаки

DoS-атака (отказ в обслуживании) – это атака, приводящая к парализации работы сервера или персонального компьютера вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс.

Суть DoS-атаки заключается в том, что злоумышленник пытается сделать временно недоступным конкретный сервер, перегрузить сеть, процессор или переполнить диск. Цель атаки – просто вывести компьютер из строя, а не получить информацию, захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т. д.

Осуществить DoS-атаку можно двумя способами.

При первом способе для DoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.

Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.

DDoS-атака (распределенный отказ в обслуживании) – это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет – специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Более подробная информация — в статье «Атаки DoS и DDoS».

Социальная инженерия

Фишинг

Фишинг является наиболее популярным способом атаки на пользователей и одним из методов социальной инженерии. Он представляет собой особый вид Интернет-мошенничества. Цель фишинга – получение доступа к конфиденциальным данным, таким как адрес, телефон, номера кредитных карт, логины и пароли, путем использования поддельных веб-страниц. Часто фишинговая атака происходит следующим образом: на электронную почту приходит письмо с просьбой войти в систему Интернет-банкинга от имени якобы сотрудника банка. Письмо содержит ссылку на ложный сайт, который трудно отличить от настоящего. Пользователь вводит личные данные на поддельном сайте, а злоумышленник перехватывает их. Завладев персональными данными, он может, например, получить кредит на имя пользователя, вывести деньги с его счета и расплатиться его кредитными картами, снять деньги с его счетов или создать копию пластиковой карты и с ее помощью снять деньги в любом месте мира.

Способы защиты от угроз в Интернете

Существует много видов и способов атак, но также есть и достаточное количество способов защиты от них. При работе в Интернете рекомендуется выполнять следующие требования:

Как изменились DDoS атак и каких угроз ждать в будущем

В начале 2015 года, президент США, Барак Обама, объявил, что кибер-угрозы являются одной из самых серьезных проблем, как экономических, так и связанных с безопасностью страны. Эта проблема, однако, всего мира.

Статистика компании Akamai, одной из крупнейших в мире, занимающейся хранением данных и ускорением работы в сети, показывает, что источником DDoS атак является Китай (37,01%) и США (18%). На последующих местах находятся Великобритания (10,21%), Индия (7,43%) и Испания (6,03%).

Цифры атак всё время растут

Последние статистические данные показывают, что количество атак DDoS увеличилось на 7,13 процента только за прошедшую часть 2015 года. Сравнивая эти данные с аналогичным периодом 2014 года, получается, что количество атак увеличилось. на 132,43%.

Удвоилось также количество инцидентов, во время которых генерируемый трафик превышал 100 ГБ/сек, что означает, что защита должна быть гораздо более мощной, чем один инструмент, контролирующий доступ к ИТ-инфраструктуре.

Опираясь на отчеты предыдущих лет, можно сказать, что восходящая тенденция сохраняется. Это однозначно указывает, что злоумышленники из года в год набирают силу, а увеличение этих чисел тесно связано с технологической революцией, которая произошла на протяжении последних лет.

От поиска уязвимостей до рассеянной атаки

Первые атаки, с которыми столкнулись ИТ-отделы, произошли в 90-е годы XX века. Цена за использование интернета была в то время высокая, и более того, сеть не была доступна для всех.

– Первые киберпреступники сосредоточились на поиске уязвимостей в сетевом программном обеспечении для того, чтобы отправить поддельные пакеты данных с одного устройства, что приводило к парализации обработки их систем. — говорит представитель Grey Wizard.

Например, одним из громких дел в 2000 г. была атака хакера под ником Mafiaboy, который превращал компьютеры в зомби.

Среди взломанных серверов оказались такие гиганты, как Yahoo!, eBay, CNN, Amazon.com и ZDNet.com. Пикантности добавил тот факт, что преступником оказался пятнадцатилетний ученик средней школы.

Начало XXI века ознаменовалось всё большим числом нападений на уязвимости в веб-приложениях и связанные с ними услуги.

– Снижение цен за использование Интернета и его большая доступность, привели к тому, что киберпреступники начали искать более «силовые» методы. Началась эра рассеянных атак, т.е. с помощью нескольких машин одновременно. Для их проведения используются, так называемые, бот-сети, благодаря которым преступник имеет возможность контроля зараженных устройств без ведома пользователя, – добавляет Кирилл.

Атаки DDoS и сегодня не потеряли своей популярности, а их выполнение можно организовать уже за несколько десятков долларов. Пример такой атаки можно взять из 2014 года, когда удару подверглись Apple Daily и PopVote.

Обе компании испытали силу атаки в 500 Гб/сек, что побило все предыдущие рекорды. Как установили ученые из университетов Беркли и Торонто за атакой стоит, скорее всего, китайское правительство.

Американский провайдер подвергся самой мощной DDoS-атаке в истории

Uplink / Introversion Software, 2001

Компания Arbor Networks обнаружила крупнейшую DDoS-атаку на одного из американских провайдеров, трафик которой достигал 1,7 терабит в секунду. В ней использовался механизм, открытый в конце февраля, и использованный в предыдущей самой сильной DDoS-атаке, которая произошла 28 февраля, сообщает Ars Technica. Специалисты опасаются, что обнаруженный механизм будет часто использоваться для таких мощных атак в ближайшем будущем.

Во время DDoS-атаки злоумышленники направляют с множества компьютеров на серверы жертвы так много запросов, что серверы перестают справляться и становятся недоступными для пользователей. Помимо этого их опасность заключается в том, что сервер может повести себя нештатно и, к примеру, выдать злоумышленникам часть данных.

Существует множество методов DDoS-атаки, в том числе атаки, при которых злоумышленник обращается к публичным серверам и подменяет свой адрес на адрес жертвы. В результате эти серверы посылают ответные пакеты уже не злоумышленнику, а жертве. Этот вид атаки может использоваться вместе с усилением — это значит, что на каждый посланный запрос сервер посылает жертве пакет большего размера. В зависимости от метода коэффициент усиления может достигать десятков и даже сотен раз.

В конце февраля несколько интернет-компаний обнаружили новый, еще более мощный вариант этого механизма. На этот раз злоумышленники стали использовать незащищенные Memcached-серверы, используемые для кэширования и ускорения загрузки некоторых данных. Главное отличие заключалось в коэффициенте усиления — в некоторых случаях он достигал уже более пятидесяти тысяч раз. К примеру, исследователи воспроизвели атаку и смогли добиться 750-килобайтного ответа на 15-байтный запрос. Стоит отметить, что такой способ атаки был описан китайскими исследователями еще в 2020 году.

В конце февраля сервис GitHub подвергся атаке по такому механизму, и эта DDoS-атака стала крупнейшей в истории — на пике трафик достигал 1,35 терабит в секунду. Теперь, всего через несколько дней после этого, компания Arbor Networks, специализирующаяся на защите сайтов, заявила о новой рекордной атаке на одного из американских интернет-провайдеров. На этот раз трафик достигал уже 1,7 терабит в секунду. Для сравнения, в 2020 году интернет-трафик всей России в среднем составлял около семи терабит в секунду. Компания заявляет, что ей удалось справиться с атакой и провайдер функционировал без серьезных перебоев.

Arbor Networks заявляет, что после недавней атаки на GitHub часть владельцев незащищенных Memcached-серверов начали ограничивать доступ к ним, но в сети все еще остаются десятки тысяч доступных для злоумышленников серверов. Из-за этого специалисты ожидают, что этот метод будет еще немало времени использоваться для атак с мощностью больше терабита в секунду.

В 2020 году Google представила бесплатный сервис Project Shield, предназначенный для защиты сайтов СМИ и правозащитных организаций от DDoS-атак. Он использует алгоритмы, автоматически определяющие возросшую нагрузку и фильтрующие запросы, отделяя обычные запросы от хакерских.

DDoS-атаки в России

Содержание

Что такое и как работает DDoS-атака

Защита от DDoS-атак

Рост числа DDoS-атак на российские компании почти в 2 раза

27 марта 2020 года «Ростелеком» сообщил о проведении исследования DDoS-атак, осуществлявшихся на российский сегмент интернета в 2020 году. Как свидетельствует отчет, в 2020 году произошел резкий рост не только количества DDoS-атак, но и их мощности.

По сравнению с 2020 годом количество атак выросло почти в два раза – на 95%. Аналитики полагают, что во многом это связано с их дешевизной и эффективностью. При этом мощность DDoS-атак также резко возросла. Самая серьезная атака, зафиксированная «Ростелекомом» в 2020 году, осуществлялась на телеком-оператора Dtel.ru. Ее интенсивность достигала 450 Гбит/с, тогда как рекорд 2020 года – всего 54 Гбит/с. Самая продолжительная DDoS-атака длилась 280 часов (11 суток и 16 часов). Для сравнения, в среднем такие атаки длятся 1,5-2 часа.

Несмотря на интенсивную работу американских и европейских правоохранительных органов по закрытию публичных сервисов организации DDoS, таких как известный Webstresser.org, заметного снижения количества потенциально опасных атак на российские компании в 2020 году не произошло. Поэтому мы и далее будем активно развивать эшелонированную защиту от DDoS на всех уровнях интернет-инфраструктуры наших клиентов — от каналов и до бизнес-логики защищаемых приложений. Превентивное подключение к ней гарантирует доступность и безопасность бизнеса наших клиентов в ставшей агрессивной интернет-среде, – сообщил Иван Мирошниченко, руководитель направления развития MSSP-сервисов компании Ростелеком-Solar.

Чаще всего злоумышленники атакуют компании, относящиеся к сферам игровой индустрии и электронной коммерции. Доля атак на игровые серверы составила 64%. По прогнозам аналитиков, данная картина не изменится в ближайшие годы, а с развитием киберспорта можно ожидать уеличения числа атак на отрасль. Предприятия электронной коммерции стабильно «удерживают» второе место (16%). Доля DDoS-атак на телеком выросла с 5% до 10%, а доля образовательных учреждений, напротив, резко сократилась – с 10% до 1%. Рост среднего числа атак на одного клиента составил 45% для игрового сегмента, 19% — для игровой коммерции.

Пик DDoS-атак в 2020 году пришелся на ноябрь-декабрь. Эти месяцы считаются ключевыми с точки зрения продаж в сегменте электронной коммерции – покупательская активность растет в связи с предпраздничным периодом и стартом крупных распродаж. DDoS позволяет на время заблокировать ресурсы конкурента или может использоваться злоумышленниками в качестве орудия шантажа тех компаний, которые в ноябре-декабре получают большую часть выручки.

Наиболее популярным методом DDoS является UDP-флуд – почти 38% всех атак осуществляется именно этим способом. Также отмечается резкий рост доли атак с амплификацией и атак типа SYN-флуд. Их объединяет то, что как первые не требуют наличия ботнета (и соответственно, затрат на его организацию/покупку), так и вторые могут осуществляться как с использованием ботнета, так и без него.

«Коммерсантъ» пережил DDoS-атаку

Сайт газеты «Коммерсантъ» вечером 30 мая 2020 года подвергся интенсивной DDoS-атаке, более чем на час сделавшей ресурс недоступным. Как сообщил ИА RNS главный редактор издания Сергей Яковлев, атака началась незадолго до восьми вечера и продлилась около 70 минут. К 21:10 по московскому времени работоспособность сайта была восстановлена, но ближе к десяти вечера СМИ снова отметили проблемы с доступом. По состоянию на 31 мая, сайт работает в штатном режиме. Подробнее здесь.

«Ростелеком» отразил DDoS-атаки на крупнейшие банки и финансовые организации России

«Ростелеком» отразил в декабре 2020 года DDoS-атаки на 5 крупнейших банков и финансовых организаций России. Отраженные атаки имели похожий почерк: тип – TCP SYN Flood. Пиковая мощность составляла 3.2 миллиона пакетов в секунду. При этом самая продолжительная атака длилась более 2 часов. Все отраженные атаки были зафиксированы 5 декабря 2020 года.

«Анализ источников атак, проведенный специалистами «Ростелекома», выявил, что часть трафика генерировалось с домашних маршрутизаторов пользователей, которые принято относить к IoT устройствам. Отличительной особенностью атак являлось то, что они были организованы с помощью устройств, поддерживающих протокол управления CWMP (TR-069). Несколько недель назад в реализации данного протокола на устройствах ряда производителей была выявлена серьезная уязвимость, позволяющая злоумышленникам формировать ботнет с целью организации DDoS-атак. В частности, в начале прошлой недели атаке на домашние устройства пользователей подвергся крупнейший немецкий оператор Deutsche Telecom, а также ирландский провайдер Eircom», — заявил директор Центра кибербезопасности ПАО «Ростелеком» Муслим Меджлумов.

Организация DDoS-атак с использованием ботнет из сегмента IoT получает все большее распространение, а количество устройств, участвующих в этих атаках превышает сотни тысяч. Уже есть примеры, когда пиковая мощность атак с использованием данной технологии превышала 1 Тбит/с.

Своим клиентам «Ростелеком» предлагает услугу «Мониторинг трафика и защита от DDoS-атак», которая позволяет справиться с DDoS-атаками на любой информационный ресурс в кратчайшие сроки. Каждому клиенту предоставляется доступ к личному кабинету, где он может получить всю необходимую информацию по выявленным аномалиям и наблюдать за ходом отражения атаки. Услуга «Защита от DDoS-атак» является дополнительной к услуге доступа в интернет и позволяет корпоративным пользователям «Ростелекома» получать комплексные услуги связи и гарантии безопасности в рамках одного соглашения. Услуга предоставляется 24 часа в сутки 365 дней в году. Защиту от DDoS-атак «Ростелеком» использовал при реализации масштабных национальных проектов: организации системы видеонаблюдения за ходом выборов Президента РФ в 2012 году, проведения ежегодных «прямых линий» с Президентом, а также поддержки Зимних Олимпийских игр в Сочи.

ЦБ: Пять крупных российских банков подверглись DDoS-атаке

10 ноября 2020 года Центробанк РФ заявил, что пять российских банков подверглись хакерской атаке [1] . Представители трех из них подтвердили эту информацию. По их словам, мощность атак варьировалась от «слабой» до «мощной»; взаимодействие с клиентами не пострадало.

Под ударом оказались Сбербанк, Альфа-банк, «Открытие», «БМ-Банк Россия» и Росбанк. По оценке «Лаборатории Касперского», DDoS-атаки (они генерируют трафик, перегружающий систему) начались в 16:00, каждая длилась минимум час, а самая долгая — почти 12 часов. Некоторые банки подверглись серии от двух до четырех атак, произошедших с небольшим интервалом. Атаковавшие использовали ботнет (сеть зараженных устройств), в которую, по оценкам специалистов, входили 24 тысячи машин из «интернета вещей» (зараженными хостами в этом случае могли быть, например, подключенные к интернету телевизоры или камеры видеонаблюдения).

Первым об атаке на российские банки сообщило американское издание Motherboard, научное подразделение издания Vice. 8 ноября Motherboard рассказал о переписке с хакером под ником vimproduct. Он заявил, что берет на себя ответственность за атаку на ВТБ, Росбанк, Альфа-банк и Московскую биржу (в последней отметили возросшую нагрузку на сайт, но объяснили это проходящими в США выборами президента) [2] .


«Vimproduct присылал нам одну за другой ссылки на полностью работающие сайты, через мгновения они переставали отвечать», — говорится в заметке Motherboard. Издание также приводит скриншот сайта Альфа-банка, выдающего внутреннюю ошибку. Взломщик объяснил атаку тем, что «его заказчики были недовольны вмешательством России в американские выборы», а также отметил, что несколько раз атаковал сайт Минэкономразвития РФ, но безуспешно.

DDoS-атаки на сайты RT продолжаются более семи дней

Nexusguard: Россия лидирует по числу DDoS-атак

В конце июля 2020 года компания Nexusguard, специализирующаяся на разработке решений защиты от киберугроз в интернете, опубликовала отчет о совершении DDoS-атак по всему миру. Больше всего нападений зафиксировано в России.

По итогам второго квартала 2020 года в Nexusguard насчитали 182 900 DDoS-атак в глобальном масштабе, что на 83% больше показателя годичной давности. Россия заняла первое место по количеству таких нападений. Сколько их было совершено в нашей стране, эксперты не уточнили, но отметили, что свыше 40% атак были адресованы абонентам провайдера «Старлинк». В данном случае злоумышленники атаковали DNS-серверы в течение длительного времени, в результате чего средняя продолжительность DDoS-атак в мире начала измеряться часами, а не минутами, как в январе-марте 2020 года.

В Nexusguard говорят, что целенаправленные атаки на российские компании организовали националистические хакеры-активисты. При этом речь не шла о нападениях по заказу конкурентов.

В тройку стран, на которые обрушилось больше всего DDoS-атак во второй четверти 2020 года, помимо России, вошли Соединенные Штаты и Китае. В десятке осталась Бразилия, однако количество атак в этой стране уменьшилось более чем наполовину.

Мы были удивлены увеличением числа DDoS-атак в этом квартале, особенно, когда хакеры экспериментировали с программами-вымогателями, фишинговыми схемами и другими методами получения денежной наживы, — говорит главный научный сотрудник Nexusguard Терренс Гаро (Terrence Gareau). — В 2020 году частота атак на организации может продолжить рост, особенно в связи с большим вниманием к летним Олимпийским играм и выбору президента в США в ноябре.

В рамках DDoS-атак хакеры чаще всего использовали NTP- и DNS-серверы — в 85,8 тыс. и 80,9 тыс. случаев соответственно во втором квартале 2020 года, говорится в отчете Nexusguard. [3]

Данные Qrator Labs

Каждый четвертый банк РФ сталкивался с DDoS-атаками в 2015 году

8 июня 2020 года компания Qrator Labs сообщила о росте числа DDoS-атак в мире и России, в частности [4] .

DDoS-атаки в России по качеству опережают подобные вредоносные кампании в мире на 1-1,5 года, именно поэтому жертвами таких «мусорных» кибератак чаще становятся российские банки и финансовые организации.

По мнению эксперта, в мире наблюдается рост числа инцидентов с использованием DDoS-атак. В 2015 году количество таких кампаний возросло на 18%. В России ситуация обстоит гораздо хуже. Согласно результатам исследования Qrator Labs, в 2015 году каждый четвертый российский банк столкнулся с этой проблемой (согласно сведениям Банки.ру на 15 июня 2020 года в РФ действуют 733 банковских учреждения — прим. TAdviser).

По сравнению с 2014 годом, рост числа DDoS-атак на финансовые учреждения — 50%, на предприятия сектора электронной коммерции — 70%, туристической сферы – 150%. Самым атакуемым стал рынок недвижимости, здесь число DDoS-атак возросло на 170%.

Согласно отчету компании Imperva, в первом квартале 2020 года усилилась активность DDoS-ботнетов. Злоумышленники чаще используют имитирующие работу браузеров DDoS-боты, которые могут обходить системы безопасности с настройками «по умолчанию».

Угрозы 2015 года в онлайн-ритейле

23 декабря 2015 года компания Qrator Labs сообщила о результатах ноябрьского 2015 года исследования агентства 42Future по заказу Qrator Labs, в результате которого проведен опрос двадцати крупных онлайн-ритейлеров на тему «DDoS-атака и ее последствия».

В документе представлены тренды киберугроз в индустрии онлайн-ритейла, выявленные специалистами Wallarm (Валарм) Онсек (Onsec) и Qrator Labs.

В результате опроса представителей 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года, на вопрос — сталкивались ли с DDoS-атаками за последний год, четверть опрошенных подтвердили — сайты компаний подвергались DDoS-атакам в течение 2015 года. При этом 40% респондентов допускают, что их атаковали, но компания атаку не регистрировала. В частности, так может происходить потому что компания использует внешние средства противодействия DDoS-атакам, работающие эффективно.

Мастер Йода рекомендует:  Кто это нарисовал — нейросеть или художник Тест-угадайка от Tproger и «Системный Блокъ»

Оценка мотивов атаки

По мнению участников опроса, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса — об этом сообщили 65% респондентов. Почти все использовали формулировку «очень серьёзна» или «серьёзна» при ответе на вопрос о значительности киберугрозы.

Компании, которые подвергались DDoS-атакам и не использовали средства противостояния, отметили значимость финансовых потерь для бизнеса, которые они понесли в результате нападения.

Все опрошенных имеют мнение о причинах организации атак на их бизнес:

  • подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию
  • одна пятая опрошенных отметила — атаки могут быть инициированы с целью нанесения убытков по разным причинам, в том числе личным мотивам (месть, неприязнь и т.п.).
  • шантаж — так определили мотивы атак 45% опрошенных
  • развлечение — мнение 10% респондентов.

Все без исключения участники опроса подтвердили наличие средств постоянной защиты от DDoS у компаний, их постоянное использование:

  • 90% опрошенных используют решения сторонних поставщиков.
  • 10% — собственные разработки для этих целей.

Компании редко полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных отметили — специальные средства предоставляет партнёр, системный интегратор, с которым сотрудничает компания по вопросам, связанным с ИТ.

Программные средства противодействия DDoS использует 50% опрошенных компаний, 35% — аппаратные. Остальные 15% не уточнили, какого типа решения используются. При этом 95% заявили об удовлетворенности выбранными решениями и уровнем защиты.

DDoS в сегменте малых и средних компаний онлайн-ритейла РФ

По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам.

Как заявила компания, DDoS как инструмент нечестной конкурентной борьбы активно применяется в этом секторе рынка в силу своей эффективности и доступности. Некоторые небольшие компании, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.

Крупные онлайн-ритейлеры относительно редко подвергаются DDoS-атакам, отметила Qrator Labs — -в среднем не более десятка раз за год. Однако, рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.

Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут в результате наплыва покупателей. По данным Qrator Labs, объёмы «живого» трафика в среднем вырастают в такие дни вдвое.

Тренды 2015 года в области DDOS и интернет-безопасности в России и в мире

Сложность атак растет. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений.

Главное наблюдение 2015 года — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма — поскольку компенсируется ростом их сложности.

Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.

Хакеры наращивают сложность и объединяют DDoS с `взломом`, т.е. атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса.

Тем не менее, компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно (см. кейс платёжного сервиса QIWI ниже в главе `Комбинированные атаки`).

Минимальная стоимость и простота реализации атак.

Устроить DDoS атаку еще никогда не было так дешево: это мероприятие сегодня стоит от $5 в час. Как результат — по сравнению с 2014 годом среднее количество атак на один сайт в 2015 году увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.

Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей, успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а `середнячки`, которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видео инструкциями.

Основным вызовом с точки зрения защиты от DDoS стали атаки на уровне приложений (L7).

В 2015 году участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.

Наиболее частым вектором хакерских атак, направленных на `взлом` сайта по-прежнему являются уязвимости типа `SQL-инъекции`. Массовые атаки перебора стали новым вызовом.

Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAF’ов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы `логин-пароль`, утекшие из других ресурсов.

Различные группы используют техники массового сканирования интернета.

Массовые сканирования всего интернета перестали быть уделом Google и других поисковых гигантов, и теперь с различными целями осуществляются разными группами людей. Злоумышленники пытаются найти веб-ресурсы, маршрутизаторы, устройства IoT с известными уязвимостями для быстрого и автоматизированного захвата контроля. Эти ресурсы в дальнейшем активно используются для реализации мощных DDoS-атак, анонимизации, майнинга криптовалют и т.д.

Qrator Labs нейтрализовала 9 347 DDoS-атак в первой половине года

В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.

Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67, соответственно.

Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.

Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.

Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов WordPress.

В первой половине 2015 года компания Wallarm (Валарм) Онсек (Onsec) зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.

Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.

Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.

Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.

Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.

Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.

Аналитики Qrator Labs прогнозируют, что количество DDoS-атак вырастет на 20%. Эксперты отмечают, что выросли средние и максимальные размеры ботнетов. И хотя число атак класса DNS/NTP Amplification (ранее занимавшие 50% в структуре атак) снизилось, то теперь злоумышленники акцентируют внимание на сетевой инфраструктуре провайдеров.

В 2015 году эксперты компании предсказывают рост количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things — Интернета вещей, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL.

Неблагоприятные тенденции в экономике также найдут свое отражение в статистике DDoS-атак. DDoS может стать инструментом мести за увольнение или же число атак может увеличится из-за новых сотрудников департаментов ИТ, не имеющих достаточного опыта.

Также ожидается, что российские компании последуют курсом импортозамещения и будут приобретать решения отечественных вендоров, сертифицированных ФСТЭК и ФСБ.

2014: «Лаборатория Касперского»: новый скачок DDoS-атак весной

«Kaspersky (ранее Лаборатория Касперского)» зафиксировала весной 2014 года новый скачок мощности DDoS-атак в рунете. Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гбит/с. Год назад самая мощная DDoS-атака в рунете не превышала порога в 60 Гбит/с.

В антивирусной компании считают, что увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз. Для сравнения, нашумевшие год назад атаки типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз.


Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В пиковые моменты мощность атак доходила до 120 Гб/с.

Жертвами DDoS-атак за 2013-2014 годы (октябрь-ноябрь) стали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса – среди них интернет-магазины, СМИ и финансовые учреждения. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с компанией B2B International. Это свидетельствует о том, что атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-бизнеса.

Количество пострадавших варьируется в зависимости от географической принадлежности и сферы деятельности компаний. В России в список наиболее страдающих от DDoS-атак отраслей входят финансы, электронная коммерция и СМИ. Так, среди финансовых организаций 42% опрошенных сообщили, что столкнулись с подобными инцидентами за последний год.

Последствия DDoS-атак могут быть различными в зависимости от их мощности и длительности. Даже если злоумышленникам не удается полностью лишить пользователя доступа к информационным ресурсам компании, их частичная недоступность также является серьезной проблемой. Почти половина респондентов (43%) заявили, что атакованный сайт был недоступен в течение нескольких часов, а 19% опрошенных отметили недоступность веб-ресурса в течение двух дней.

12 марта 2015 года «Лаборатория Касперского» и B2B International поделились результатами исследования размеров убытков в результате DDoS-атаки на онлайн-ресурс компании [5] .

% компаний, столкнувшихся с разновидностями DDOS-атак за 12 месяцев, 2015

Согласно этому исследованию, в котором приняли участие 3,9 тыс. респондентов из 27 стран, убытки могут составить в среднем от $52 тыс. до $444 тыс., в зависимости от размера компании. К расходам по устранению последствий подобных атак добавляются репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов.

Рассчитанная экспертами сумма убытков включает несколько статей:

  • 61% пострадавших компаний временно теряли доступ к критичной для бизнеса информации из-за DDoS-атаки,
  • 38% не имели возможности продолжать основную деятельность,
  • 33% сообщили об упущенных бизнес-возможностях и контрактах.

Кроме того, в 29% случаев успешные атаки негативно сказались на кредитном рейтинге, у 26% компаний выросли страховые взносы.

В среднюю сумму ущерба от DDoS-атаки вошли расходы на устранение последствий инцидента. Например, 65% компаний вынуждены были воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной ИТ-инфраструктуры, 46% обращались к юристам, 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.

«Успешная DDoS-атака может вывести из строя критически важные для бизнеса сервисы, что влечет за собой серьезные последствия для компании. Например, мы фиксируем случаи, когда атаки на банки приводили не только к нарушению работы онлайн-сервисов в течение нескольких дней, но и к перебоям в обслуживании банковских карт и нарушению работы банкоматов», — рассказал «Российской Газете» менеджер направления Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Киселев.

По мнению экспертов, со второй половины 2014 года DDoS-атаки стали средством борьбы с конкурентами: «Стоимость атаки не велика, контакты исполнителей легко можно найти, при этом заказчик, как правило, остается неузнанным. Так, начиная с сентября 2014 года количество обращений к нам со стороны организаций, подвергшихся подобного рода атакам, сильно возросло, чего не наблюдалось ранее. Также на рост подобных атак, безусловно, влияет политическая ситуация в стране и в мире и возможные попытки сэкономить на решениях по безопасности в условиях кризиса», — добавляет руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский.

НАИРИТ: Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%

Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).

Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем.

Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн руб.

Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112% по сравнению с 2012 годом. Об этом рассказала президент Национальной ассоциации инноваций и развития информационных технологий Ольга Ускова в ходе «круглого стола» в Госдуме на тему «Проблемы развития стратегических информационных систем в банковской и финансовой сферах. Законодательные аспекты».

Ранее количество DDoS-атак на финансовый сектор росло умеренными темпами. В 2012 год показатель вырос всего на 11%, в 2011 году — на 8%.

Kaspersky DDoS Prevention: усиление мощности атак в России и увеличение их продолжительности

Специалисты «Лаборатории Касперского» подвели осенью 2013 года итоги DDoS-активности в Рунете за последние 12 месяцев. Сравнив данные, полученные с помощью защитного сервиса Kaspersky DDoS Prevention и собственной системы мониторинга ботнетов во втором полугодии 2012 года и первой половине 2013 года, эксперты выявили две тенденции: усиление мощности атак и увеличение их продолжительности.

Так, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом максимальная мощность атак в этом полугодии доходила до 60 Гб/с «благодаря» набирающим в этому году популярность атакам типа DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во втором полугодии 2012 года составила всего лишь 196 Мб/с.

Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если в прошлом отчетном периоде специалисты «Лаборатории Касперского» установили, что средняя атака на защищаемые сервисом Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.

Как свидетельствуют данные, полученные экспертами «Лаборатории Касперского» на основе срабатывания сервиса Kaspersky DDoS Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета, расположены непосредственно на территории России (около 44%). Немалая часть атак также «приходит» в русскоязычное интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%). В целом из 10 стран, занявших верхние строчки этого нерадостного рейтинга, 7 находятся в Азии.

Злоумышленники, чтобы обеспечить недоступность ресурса и заработать деньги, используют различные виды атак, зачастую их комбинируя. Большинство видов атак воздействуют только на конкретный ресурс. Но в погоне за наживой злоумышленники готовы применить инструмент, способный сделать в Интернете недоступным все, что угодно: от отдельного провайдера до сегмента сети. Это своего рода виртуальное оружие массового поражения.

Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.

Снижение прибыльности DDoS-атак

Эксперты по информационной безопасности отмечали, что количество `чистых` DDoS-атак как средства кибернападения в России в 2012 году уменьшалось. Они связывают это со снижением их прямой прибыльности для преступников. Предполагается, что в ближайшие год-два эти атаки переместятся в сферу политики, как внутренней, так и внешней, где и будут в `чистом` виде преимущественно применяться.

Основным же способом использования DDoS-атак станут комплексные кибератаки, среди которых наибольшую опасность для атакуемых представляют так называемые Advanced Persistent Threats — целенаправленные многоплановые продолжительные угрозы. Сегодня разновидности таких атак доказывают свою разрушительность в сфере дистанционного банковского обслуживания, где DDoS-атаки используются как `дымовая завеса`, блокирующая взаимодействие банка и жертвы в процессе проведения атаки и выигрыша времени атакующими для успешного завершения кражи денег и принятия мер к заметанию следов.

Что думают о DDos-атаках в России

Еженедельник PC Week/RE провел весной 2012 года среди своих читателей опрос с целью выяснить, насколько корпоративные компьютерные пользователи России нуждаются в защите от DDoS-атак.

Более половины (56%) ответивших считают, что защита им нужна, и готовы организовать ее на стороне своей корпоративной сети передачи данных. Примерно 25% опрошенных предъявили еще более высокие требования к защите от DDoS-атак — они хотят иметь ее как на своей стороне, так и на стороне обслуживающего их оператора связи. Около 5% принявших участия в опросе представителей российских компаний хотят потреблять эту защиты в виде услуги и всецело полагаются в ее организации на силы внешних провайдеров.

По результатам опроса можно сделать однозначный вывод, что защита от DDoS-атак российским компаниям нужна — ведь только 12% принявших участие в опросе готовы отказаться от нее (оставшиеся 2% респондентов пока еще не определились с этим). Существенно, что 59% опрошенных работают в крупных (по российским масштабам) структурах, в которых количество компьютеризированных рабочих мест превышает 500; 32% респондентов опроса представляли фирмы с количеством рабочих компьютеров от 25 до 500; 9% участников опроса относятся к сегменту небольших организаций с количеством компьютеров менее 25. Наибольшую активность в опросе проявили госслужащие — их 63%; 29% участников из частного сектора; оставшиеся 8% респондентов работают в структурах с иной формой собственности.

DDoS-атаки — самая серьезная угроза сети

Как российский бизнес переходит на рельсы цифровизации: в Москве подвели итоги работы конференции Tech Week 19

08.11.2020

Урал открывает двери «умному городу»

07.11.2020

Власть, кожаные мешки и робот-компаньон, #КисКисМяуМяу на RIW 2020

07.11.2020

Художественные работы из собраний Георгия Генса и Бориса Фридмана покажут в Екатеринбурге

26.10.2020

Что делать, чтобы тебя услышали?

19.09.2020

Онлайн-обучение: кризис жанра?

19.09.2020

Битва за электронику: кто кого?

31.08.2020

Кадры для цифровой среды

29.08.2020

Пора менять модель?

04.06.2020

Маркетолог: привлекать, продавать, продвигать?

04.06.2020

Бонусы за лояльность

04.06.2020

04.06.2020

Между В2В и В2С – сплошная двойная

04.06.2020

Компьютеры + медицина = синергия

Леонид Шапиро , архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, shapiro_leonid@yahoo.com

Атаки DDoS
Часть 2. Арсенал противника

Какие методы используются злоумышленниками для своего вредоносного воздействия на серверы, сетевое оборудование, приложения? Настало время разобраться с их «арсеналом» подробнее

В предыдущей статье [1] мы выяснили, что DoS/DDoS-атаки представляют одну из наиболее серьезных угроз информационной безопасности для современного предприятия независимо от его сферы деятельности.

Какие же бывают атаки? Следует познакомиться с арсеналом средств злоумышленников, чтобы научиться им противостоять. Современная классификация предусматривает следующие типы DoS/DDoS-атак [2]:

  1. Network floods – самый простой для злоумышленника вариант. Не требуется установки TCP-сессии с компьютером жертвы. Приводят к исчерпанию ресурсов атакуемой системы или полосы пропускания канала. Примерами таких атак являются ICMP и UDP flood.
  2. Атаки, направленные на серверные ресурсы. Обычно этот вариант используется для воздействия на серверы приложений. Примерами являются TCP-SYN, TCP-RST, TCP-ACK.
  3. Атаки на ресурсы приложений. Надо отметить, что это не только воздействие на HTTP, но и HTTPS, DNS, VOIP, SMTP, FTP и другие прикладные протоколы. Среди этих атак HTTP flood, DNS flood и прочее.
  4. Сканирование. В сущности, само по себе сканирование на первый взгляд представляется безвредным, поскольку само по себе не создает проблем, но на самом деле это «разведка перед боем», позволяющая выяснить информацию, которая поможет в дальнейшем атаковать систему.
  5. Медленные атаки малого объема, так называемые Low and Slow. Этот вариант представляет наибольшую опасность в силу малой заметности и продолжительного времени нарастания зловредного воздействия. Обычно здесь речь идет о воздействии на приложения и иногда на серверные ресурсы.
  6. Сложные атаки на веб-приложения. Эти механизмы используют уязвимости в веб-приложениях, которые предоставляют разработчики. Это приводит к несанкционированному доступу к системе, потерям и несанкционированным изменениям данных.
  7. Атаки под SSL – подразумевается, что злоумышленник может маскировать свои деструктивные действия внутри SSL-трафика, что значительно усложняет противодействие. Протокол SSL работает поверх TCP/IP, обеспечивая безопасность обмена информацией для пользователей. Какие же здесь есть возможности для злоумышленников? Можно говорить об атаках на сам процесс установки SSL-взаимодействия (SSL handshake), отправка «мусорных» пакетов серверу или злоупотребление функциями согласования ключевой информации и т.д.
Мастер Йода рекомендует:  Верстка сайта самостоятельно

Примеры сетевых атак (network floods)

Пусть некто решил продать свой автомобиль и дал объявление. Недоброжелатель дает другое объявление с тем же телефоном и информацией о той же машине, но более низкой ценой. Что произойдет? Будет шквал звонков от желающих купить автомобиль дешево, но ведь это не те покупатели, которые нам нужны. А вот как раз реальные покупатели нам могут и не дозвониться. При этом наш продавец будет вынужден реагировать на все звонки.

Цель атакующего достигнута. Настоящие клиенты не могут дозвониться. А теперь посмотрим, как это происходит в сети.

Как работает ICMP flood


Принцип работы ICMP flood [2] выглядит не слишком сложно. На узел жертвы отправляется эхо-запрос, который требуется обработать и отправить эхо-ответ, при этом необходимо будет задействовать большие ресурсы по сравнению с обычным пакетом, хотя сам запрос по объему небольшой. В результате при относительно небольшом трафике можно добиться перегрузки по количеству пакетов. Атакуемый узел начинает работать нестабильно, терять пакеты. Усиление атаки достигается использованием бот-сети, когда запросы приходят с тысяч узлов. Кроме этого, можно отправить запрос по широковещательному адресу с поддельным адресом источника пакета, так называемые Smurf-атаки. Отправка эхо-запроса ICMP на широковещательный адрес заставляет все узлы в этой сети отправить эхо-ответы на подмененный адрес, который и является адресом жертвы, то есть происходит усиление атаки (см. рис. 1).

Рисунок 1. Атака ICMP flood

Как работает UDP flood

Принципы атаки довольно схожи с предыдущим вариантом и заключаются в отправке множества UDP-пакетов на определенные номера портов атакуемого узла, который длякаждого полученного пакета должен идентифицировать соответствующее приложение, отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной, поэтому после начала атаки зловредный трафик может быстро захватить всю доступную полосу пропускания, не оставив ничего легитимному трафику, что и является целью злоумышленника – не дать работать «правильным пользователям». Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих узлов, а также обеспечить их маскировку.

Как можно было заметить, ни ICMP, ни UDP flood не используют уязвимости системы, то есть мы имеем дело со стандартными принципами работы стека TCP/IP. Значит, подобным атакам может быть подвергнута абсолютно любая среда.

Кроме того, существуют методы, позволяющие значительно усилить атаку, например, подмена адреса источника пакета на адрес атакуемой системы – ICMP-усиление (Smurf)и UDP-усиление (Fraggle), которые были описаны выше.

Примеры атак на серверы

Как работает TCP-SYN flood

Рассмотрим другой пример: пусть надо записаться на прием к врачу, и пациенты должны прийти и взять талон на определенное время. Как будет выглядеть атака в этом случае? Большое количество людей берут талоны, выбирая таким способом все временные ресурсы, при этом они потом никуда не приходят. Настоящих пациентов неприняли, поскольку они просто не смогли записаться. Теперь посмотрим, как это будет происходить в сети. Этот пример иллюстрирует принцип работы атаки SYN flood.

В этих атаках используется другая особенность стека протоколов TCP/IP – потребность установки TCP-сессии. В отличие от UDP, где это не требуется, при TCP-взаимодействии необходимо, чтобы отправитель «договорился» с получателем перед тем, как что-то будет отправлено. Для этого используется механизм three-way handshake –трехэтапного подтверждения [4, 5]. Принцип его работы выглядит следующим образом: клиент посылает пакет SYN (Synchronize), сервер отвечает пакетом SYN-ACK (Synchronize-Acknowledge), клиент подтверждает прием пакета SYN-ACK пакетом ACK (Acknowledge). На этом процедура установления соединения завершается (см. рис. 2).

Рисунок 2. Атака SYN-flood

Это и использует злоумышленник. Установим фальшивый IP-адрес отправителя и пошлем серверу большое количество SYN-пакетов. Получая пакет SYN, сервер должен выделить часть своих ресурсов для установления нового соединения. А раз так, то в конце концов все ресурсы сервера будут исчерпаны, что приведет к невозможности обслуживания новых запросов. Цель атакующего достигнута.

Как работает TCP-RESET

Допустим, нам надо отправить обычное письмо. Что мы делаем? Пишем текст, вкладываем в конверт, указываем адрес получателя и адрес отправителя, дальше опускаем его впочтовый ящик. В нашем почтовом отделении есть недоброжелатель, который отслеживает все, что приходит к нам и от нас, и, увидев сообщение, отбрасывает его и пишет ответ отправителю: «адресат выбыл». Таким образом, переписка с нашим корреспондентом нарушена.

В TCP/IP эта атака называется TCP-RESET [6, 7]. Ее задача – нарушить взаимодействие между участниками.

Любой TCP-пакет содержит заголовок. В числе прочего он содержит бит флага сброса (RST). Обычно этот бит имеет нулевое значение, но в случае установки его в 1 получатель должен немедленно прекратить использовать данное соединение. Этот механизм используется, когда на одном компьютере в процессе передачи данных происходит сбой. Второй компьютер, не зная об этом, продолжает отправлять информацию. После восстановления исходного компьютера после сбоя он может продолжать получать пакеты от старого соединения, но поскольку о нем не осталось никакой информации, непонятно, что с ними делать. Именно в этой ситуации будет отправлено требование сброса (RESET) второму компьютеру. Дальше можно устанавливать новое соединение.

Получается, что этот механизм нужен, но эту функциональность может использовать атакующий. Каким образом? Перехватить пакеты, подделать пакет и установить в нем флаг RESET, флаг сброса. Дальше отправить эти поддельные пакеты участникам взаимодействия, что в конечном счете приводит к нарушению TCP-сессии между ними.

Примеры атак на приложения

Как работает HTTP flood

Наиболее распространенной DDoS-атакой, нацеленной на приложения, является HTTP flood [2]. Обычно для ее осуществления используется бот-сеть, впрочем, в состав атакующих вполне могут входить и добровольцы, например, когда речь идет о целенаправленной хактивистской деятельности. Существуют варианты GET и POST. Всущности, обе эти альтернативы направлены на исчерпание ресурсов веб-приложения.

Как же осуществляется эта атака? Злоумышленник отправляет небольшой по объему HTTP-пакет, в ответ на который сервер должен прислать куда больше информации, например, GET. Конечно, канал сервера во много раз шире канала, который использует атакующий, но ведь и отдавать информации приходится намного больше, кроме того,не составит труда подменить адрес источника на другой. Следовательно, ответные пакеты не вызовут отказа в обслуживании атакующего узла. И, разумеется, таких узлов может быть огромное количество. И опять легитимный пользователь не может обратиться к требуемому ресурсу [2],[8] (см. рис 3).

Рисунок 3. Атака HTTP flood

Как работает DNS flood

Характерным примером атаки на приложения является DNS flood [2]. Серверы DNS служат для разрешения имен в IP-адреса. Нам привычнее и удобнее обращаться кресурсам, используя интуитивно понятные схемы именования. Основная задача DNS-сервера – найти нам требуемый адрес, чтобы наш компьютер смог обратиться наискомый сайт. Атака построена на принципах взаимодействия клиента и сервера DNS. Злоумышленник, используя бот-сеть, посылает множество запросов на сервер жертвы. Сервер перегружен и не сможет разрешать имена по запросам легитимных пользователей, и, следовательно, они не смогут обратиться на требуемый им ресурс, поскольку несмогли разрешить его имя в адрес.

За последнее время (2014-2015 годы) появилась информация об успешных DDoS-атаках против российских ресурсов. По данным PC Week: «Россия заняла четвертую позициюв рейтинге стран, чьи веб-ресурсы наиболее часто оказывались под прицелом организаторов DDoS-атак».

Далеко не всегда деструктивные действия атакующего направлены на какие-то уязвимости систем. Речь вполне может идти об использовании их стандартного поведения, того, что называется функциональностью «by design» [3]. Именно это мы имели возможность увидеть в приведенных выше примерах.

Фактически DDoS-атакам может быть подвержено любое устройство, имеющее IP-адрес. Следовательно, никто не может считать себя в безопасности, не предприняв определенных мер по защите своей инфраструктуры.

Разумеется, злоумышленник не станет применять только одну атаку (вектор), напротив, постарается использовать сразу несколько, чтобы усложнить защиту системы.

Наконец, еще один и, пожалуй, наиболее важный аспект – изменение атаки может происходить за минуты или даже секунды, поскольку злоумышленники используют весьма совершенные средства. А раз так, то никакие «ручные» методы защиты, подразумевающие выполнение администратором безопасности первоначальной идентификации атакии последующей реализации контрмер для ее отражения, не будут в должной мере эффективны. Атакующий сможет изменить способ воздействия на ресурсы жертвы быстрее, чем администратор безопасности идентифицировать и отразить атаку. Следовательно, необходимо обеспечить отражение в автоматическом режиме.

В следующей статье мы продолжим рассмотрение вариантов DDoS-атак.

«Нас дидосят»: как компании бороться за сетевую безопасность?

Принято считать, что безопасность в интернете держится на трех столпах, это конфиденциальность, целостность и доступность. Именно эта триада служит надежным фундаментом защиты сети. Конфиденциальность и целостность означает, что доступ к информации имеют только определенные лица и только они могут эти данные изменять. Под доступностью подразумевается гарантия того, что пользователи всегда смогут получить доступ к информации. К сожалению, именно на этапе обеспечения доступности возникают многие проблемы безопасности современного интернета. Фундамент проблем, которые мы имеем сегодня, заложен много лет назад, когда была построена всемирная сеть. По замыслу его создателей, интернет должен был стать надежной системой обмена оперативной информацией, способной функционировать в условиях ядерной войны. Подразумевалось, что сеть будет работать в случае катаклизмов, происходящих за ее пределами, а внутри сети все узлы будут доверенными и принадлежащими одной стороне. Нужно сказать, что и сегодня интернет с этой задачей справляется неплохо: сеть работает большую часть времени. Но, к сожалению, все не так гладко: как набор технологий интернет уже давно устарел, в нем есть много уязвимостей, которые с успехом используются современными киберпреступниками. Фактически сейчас мы имеем ситуацию, когда сеть едина для всех, и для «хороших», и для «плохих». Тогда, в далекие 1960-е годы, никто не рассматривал вариант того, что в этом же пространстве будет присутствовать оппонент в термоядерном конфликте. Однако сегодня далеко не все узлы сети и организации, подключенные к интернету, являются добропорядочными. Более того, многие государственные столкновения выносятся в поле интернета, поскольку последствия конфликта, развязанного внутри сети, будут существенно менее ощутимыми, чем в случае начала ядерной войны. Подтверждений тому даже за последний год более чем достаточно: выборы в США, взломы систем русскими хакерами или людьми, за них себя выдающими.

Информационные войны, конкурентная борьба – все это становится благодатной почвой для бурного роста популярности такого инструмента, как DDoS-атаки. Суть DDoS (с англ. Distributed Denial of Service — «распределенная атака на отказ в обслуживании») довольно проста и тривиальна: на сервер-жертву обрушивается постоянный поток запросов с десятков и сотен тысяч зараженных компьютеров. В результате обслуживания этих запросов сервер расходует все ресурсы, и обычные пользователи не могут получить доступ к сайту компании. Рынок подобного рода киберпреступлений неуклонно растет: по нашим данным (Qrator Labs. — Forbes), количество DDoS-атак в 2020-м году выросло примерно в полтора раза. И в этом нет ничего удивительного: стоимость организации таких атак минимальна, а эффективность чрезвычайно высока. С помощью DDoS можно блокировать работу сайта конкурента, заниматься вымогательством и вести информационную войну. В последние годы нестабильная ситуация в экономике привела к существенному усилению конкурентной борьбы, в связи с чем увеличилось количество коммерческих заказов на DDoS, что наглядно иллюстрирует график активности атак по отраслям (исследование Qrator Labs. — Forbes). Главные мишени для атак – компании из тех сфер бизнеса, где уровень конкуренции очень высок. Это купонные сервисы, сайты платежных систем, сектор e-commerce. В банковской сфере и в СМИ конкуренция не такая жесткая, поэтому число DDoS-атак здесь существенно меньше, и цели, которые преследуют злоумышленники, иные – это вымогательство путём шантажа.

Сама по себе сфера DDoS супердинамична. Если в 2010 году скорость атак составляла 100 Гбит/с, в 2013 – 300 Гбит/с, то в 2020 году скорость атак и их сложность выросли радикально – до 1 Тбит/с. Перед такой атакой не устоит никто, даже операторы федерального уровня. Динамика, сложность атак, их частота растут по экспоненте, и теперь это касается каждого. Согласно исследованию Imperva Incapsula в 4 квартале 2020 года (Q4 2020 Global DDoS Threat Landscape Report), в среднем 58,3% веб-сайтов были атакованы более одного раза, при этом 13,1% ресурсов подверглись атаке более десяти раз. Китай продолжает оставаться лидером среди остальных стран по числу ботнетов: около 78,5% DDoS-атак во всем мире происходят с IP-адресов Китая. По данным Kaspersky Lab, тройку лидеров по количеству DDoS-атак, количеству целей и числу обнаруженных командных серверов составляют Южная Корея, Китай и США (DDoS atacks in Q4 2020).

Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.

В первой половине 2010-х годов самым популярным видом DDoS были атаки с использованием техники амплификации (атаки типа Amplification). Атака типа Amplification осуществляется следующим образом: на сервер, содержащий уязвимость, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-ресурс жертвы. Противодействовать такого рода атакам «вручную» стало невозможно, их слишком много и это дорого. Фактические затраты злоумышленника на инфраструктуру, необходимую для организации атаки в несколько десятков раз меньше, чем требуются компании-жертве, чтобы самостоятельно нейтрализовать такую атаку. Такие инциденты были наиболее распространенным явлением в 2014 году и стали яркой иллюстрацией тренда 2015 года. Однако сегодня, несмотря на то что общее число DDoS растет, так как технология стала доступной, амплитуда атак с использованием техники Amplification идет вниз, поскольку ресурс для проведения атак – амплификаторы – конечный и, более того, сокращающийся. За 2020 год количество амплификаторов в сети уменьшилось почти вдвое благодаря действиям операторов связи.

В связи с усилением конкуренции за уязвимые серверы атакующие сменили вектор атак и обратили свой взгляд на систему управления контентом WordPress — функциональный движок для блогов. В этом продукте существует уязвимость, используемая для организации атак, — это небольшая функция Pingback, включенная по умолчанию. С ее помощью автономные блоги обмениваются информацией о комментариях и упоминаниях. Функция Pingback реализована так, что специально подготовленный XML-запрос заставляет уязвимый сервер запросить любую веб-страницу из интернета. Подобным образом можно маскировать IP-адреса оригинального ботнета. Такие атаки обычно называют WordPress Pingback DDoS. Интересно, что при ведении Pingback-атаки трафик полностью шифруется: атакующему нужно лишь заменить «http» на «https». Если ресурс доступен по HTTPS (например, банк или какая-либо другая финансовая организация), это может быть использовано против него. Нейтрализация зашифрованного зловредного трафика сложна, но DDoS на Pingback поднимает уровень угрозы ещё выше. Поскольку у нас есть миллионы уязвимых серверов на WordPress, сотни тысяч из них можно использовать в одной атаке. C начала 2020 года с массовым распространением HTTPS ожидается, что подобные атаки вырастут в частоте и мощности. В 2020 году 29,98 % от числа атак Pingback были выполнены с помощью протокола HTTPS.

2020 год также ознаменовал начало новой эры DDoS – в конце года мы наблюдали первый, но не последний ботнет на основе Интернета вещей — Mirai. Сотни тысяч маршрутизаторов, камер, серверов DVR и других подключённых устройств вплоть до кофеварок с Wi-Fi создали самый заметный медиаповод года в сообществе информационной безопасности: они атаковали Dyn, одного из крупнейших провайдеров DNS-серверов в мире. Быстрая и беспощадная атака — и одни из самых популярных ресурсов, таких как Twitter, eBay, New York Times, CNN и пр., часами не открывались у пользователей. Этот случай обозначил прибытие эпохи Интернета вещей. Текущее число устройств в IoT находится где-то между оценкой Gartner в 6,5 миллиардов (среди них нет компьютеров, планшетов и смартфонов), оценкой компании International Data Corporation в 9 млрд (вновь без упомянутых устройств) и статистикой IHS – 17,6 млрд (здесь подсчитаны любые типы устройств). Считается, что к 2020 году к Интернету будут подключены от 20 млрд до 30 млрд устройств. Связанная с Mirai угроза — это не что-то уникальное. Сервис Imperva Incapsula уже регистрировал атаку в 650 Гбит/с от ботнета Leet. Mirai — это лишь первенец в целом поколении ботнетов интернета вещей, которые мы увидим в 2020 году.

Растёт не только число атак, но и их качество. Повзрослели как методы защиты, так и векторы и инструменты, используемые атакующими. Теперь можно всерьёз обсуждать технические возможности для атак, которые опасны для доступности целых регионов мира, которые грозят самому функционированию крупных провайдеров. «DDoS-апокалипсис» ударной волной проходит по бизнесу: сегодня ищутся все более масштабные технологии для поражения организаций из всех секторов цифрового бизнеса, причем как малых компаний, так и корпоративных гигантов. Если компания ведет свой бизнес в интернете и этот бизнес прибыльный, организация моментально попадает в группу риска.

Один из недавних примеров (кейс компании, которую представляет автор, Qrator Labs) – платформа для создания лендингов и сайтов Tilda Publishing. В марте этого года на Tilda Publishing была совершена достаточно массивная DDoS-атака, длившаяся несколько часов. В результате атаки выключился один из серверов компании, и все сайты клиентов Tilda стали недоступны. В итоге бизнес Tilda понес колоссальные репутационные убытки. Чтобы подобная ситуация не повторилась в будущем, Tilda Publishing приняла меры и подключила решение по защите от DDoS, чтобы заблаговременно быть готовой к атакам и обеспечить постоянную доступность всех интернет-ресурсов. Такая ситуация является довольно типичной для российского бизнеса: многие компании подключают защиту от атак, только когда их сервер «лежит» и требуется «реанимация» бизнеса. Однако есть и такие организации, особенно в сегменте крупного бизнеса, которые стараются «подстелить соломку»: принимают решение о проактивной защите, не дожидаясь, когда столкнутся с атакой. Среди них – электронная торговая площадка «Фабрикант», игрок рынка электронных закупок в России (кейс компании, которую представляет автор, Qrator Labs). Для клиентов «Фабриканта» не допустимы простои в получении доступа к сервисам. Поэтому более трех лет назад на основании анализа глобальных тенденций сетевых атак и ряда экономических факторов компания приняла однозначное решение по подключению к сервису обеспечения доступности интернет-ресурсов. Что послужило основным импульсом? В первую очередь, совокупные требования международных стандартов, рост числа DDoS-атак и одновременное снижение стоимости их организации. Кроме того, полное осознание топ-менеджментом возможных последствий от атаки: упущенная прибыль, потеря клиентов и нанесение компании серьезного репутационного урона. Немаловажную роль здесь сыграла и большая экономия затрат на содержание собственного оборудования для защиты от DDoS-атак и обслуживающего персонала при возможности использования специализированного сервиса, обеспечивающего высокий уровень конфиденциальности трафика и доступность ресурсов 24/7. Применительно к любой из электронных площадок убытки из-за кратковременного простоя информационной системы могут составлять порядка $50 000, не говоря о существенной потере репутации среди клиентов. В случае же многочасового простоя существует реальная угроза существованию бизнеса в целом, так как в этом случае крупнейшие клиенты воспримут отказ в работе предоставляемого им сервиса как сигнал о смене поставщика услуг на более надежного.

Сфера DDoS на Западе также пестрит примерами масштабных атак. 19 сентября 2012 года произошла самая крупная в истории кибератака на банки. Были атакованы ведущие банки США: Bank of America, JPMorgan Chase, Wells Fargo, U.S. Bank и PNC, в результате чего веб-ресурсы финансовых корпораций были не доступны для клиентов в течение всего дня. Ответственность за эти атаки взяла на себя исламистская группировка Izz ad-Din al-Qassam Cyber Fighters, однако специалисты склонны полагать, что атака была организована Ираном в ответ на экономические санкции, которые были введены США и Евросоюзом против иранских финансовых учреждений.

Без внимания хакеров не осталась и Олимпиада в Бразилии: многие публичные веб-сервисы и организации, связанные с Олимпийскими играми, получили устойчивую распределенную атаку типа «отказ в обслуживании», которая длилась несколько месяцев. Скорость DDoS-атаки варьировалась от десятков до сотен Гбит/сек. Большую часть предолимпийских нападений устроила группировка LizardStresser, используя ботнет на основе Интернета вещей, с целью вымогательства. Однако в этом случае DDoS-атака не увенчалась успехом, благодаря действиям сотрудников службы информационной безопасности, ответственных за защиту онлайн-трансляции Олимпиады. Они предприняли необходимые меры для обеспечения доступности интернет-ресурсов, и многие веб-сайты в Бразилии и ресурсы Международного Олимпийского Комитета продолжали работать в штатном режиме, несмотря на то, что пиковый уровень атаки составил колоссальные 540 Гбит/с.

Приведенные примеры доказывают, что чем больше обороты бизнеса компании, тем больше прибыли можно получить, заблокировав ее ресурсы на время. Отсюда вывод: DDoS-атаки – это явление экономическое. До тех пор пока существует экономический мотив — пока сайт конкурента интересен и посещаем, приносит деньги или выражает мнение, которое может не понравиться, DDoS неизбежен. Как быть в этой ситуации бизнесу и где искать спасения?

Очевидно, что бизнесу нужен другой интернет — интернет 2.0., суперзащищенная инфраструктура, в которой все риски от действий злоумышленников нивелированы. Сегодня ряд компаний-разработчиков (компания, которую представляет автор, Qrator Labs, также один из игроков данного сегмента) строит такой сегмент сети. Для этого мониторится состояние всего интернета 24/7, чтобы знать, где и какие аномалии маршрутизации происходят в глобальной сети и какие меры нужно предпринять, чтобы защитить бизнес. Анализируются все типы угроз, производится их классификация, по каждому виду строится соответствующая конкретно ему система противодействия. Многие сервис-провайдеры также проводят анализ текущей ситуации для выявления того, в каком направлении будет смещаться вектор атак в долгосрочной перспективе и какие меры противодействия будут актуальны завтра. Такой интернет уже не так легко сломать, и у бизнеса появляется гарантия, что он будет доступен и его работа не остановится.

Мастер Йода рекомендует:  Как установить wordpress на денвер – шпаргалка для начинающих

Основная задача, которую должно ставить перед собой интернет-сообщество, – это сделать так, чтобы DDoS-атака стала экономически необоснованной. То есть чтобы провести успешную атаку на компанию, нужно было бы потратить столько ресурсов, что эта атака станет невыгодной для организатора: стоимость ее будет больше, чем размер извлекаемой выгоды. На данный момент мы, к сожалению, далеки от решения данной задачи: растут не только сложность и масштабы атак, но и их количество, поскольку заметно упал уровень необходимого опыта и знаний для организации DDoS. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2020 году самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткойнов в кошельке. В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы.

В бизнес-среде конкурентная борьба будет обостряться: многие компании вынуждены бороться за своё существование и готовы использовать для этого практически любые методы. Однако и малому бизнесу, и крупным корпорациям следует расценивать DDoS как «комплимент», ведь кто будет атаковать сайт, если он не приносит прибыли и не конкурентоспособен? Вас «дидосят», значит, вы стали заметны на рынке, и вас расценивают как серьезного оппонента. Поэтому не стоит считать подобные атаки стихийным бедствием. DDoS – это лавина, которую можно остановить, имея в своем вооружении надежный «щит», помогающий бизнесу выстоять в условиях экономических баталий и не потерять лояльность клиентов.

DDoS-атаки

Английское сокращение DoS означает Denial of Service, то есть отказ обслуживать что-то. Для интернет-ресурса это невозможность обработать слишком большое количество поступающих извне запросов. Каждый интернет-сайт размещен на сервере, куда и обращаются пользователи. Сервер может быть собственностью администратора сайта или хостинг-провайдера. В любом случае у ресурса есть предел информации, которую он может обработать за единицу времени. Лимит зависит от емкости диска, параметров трафика, в меньшей степени от структуры сайта-мишени. Если на него одновременно приходит много запросов, он начинает сначала тормозить, а потом и вовсе становится недоступен, переставая отвечать на запросы. Если сайт размещен на хостинге, то пострадать могут и другие ресурсы, пользующиеся тем же дисковым пространством. Явление DoS достаточно распространено во Всемирной паутине. Публикация животрепещущих новостей часто приводит к временному сбою работы сайтов новостных агентств, телеканалов, а также сайтов известных личностей. Как правило, ничего криминального за этим не стоит, речь идет лишь о несоответствии мощности сервера тому интересу, который проявила публика.

Методика атаки DDoS

Совсем другая ситуация возникает, когда к сокращению DoS прибавляется еще одна буква D. Аббревиатура DDoS расшифровывается как Distributed Denial of Service, то есть «распределенный отказ от обслуживания». Распределенный – ключевое слово. Оно подразумевает некую организующую силу, которая направляет внешне хаотичные запросы на ресурс жертвы. Причем таких запросов настолько много, что с ними не справляются не только маломощные серверы небольших компаний, но и машины хостинг-провайдеров с пропускной способностью в тысячи и десятки тысяч мегабит в секунду. Как же злоумышленникам удается создать такой трафик?

На сервер сваливается огромное количество запросов, причем большинство из них совершенно бессмысленно. Но лишенный специальной защиты он вынужден анализировать их все подряд и давать какой-то ответ. Это приводит к перегрузке как самого сервера, так и входящего трафика. Если канал узкополосный, то вывести из строя сервер может и несколько сотен обращений. Если его мощность велика, а канал связи имеет высокую пропускную способность, то нужны либо десятки и даже сотни тысяч обращений, либо так называемые тяжелые запросы, ответ на которые отнимает много времени у процессора.

Как заражаются компьютеры

Сначала хакер создает троянскую программу и с помощью массовых рассылок и размещения на сомнительных ресурсах внедряет троянов на дисковое пространство случайных пользователей, которые посетили сомнительный сайт или перешли по ссылке, пришедшей на электронную почту. Самое любопытное то, что антивирус может даже не отреагировать на заражение, так как троян не проявляет к зараженному компьютеру никакой агрессии – он затаивается в ожидании команды своего хозяина.

Когда у хакера появляется объект для ДДоС-атаки, он рассылает своим агентам влияния, которых может накопиться сотни тысяч по всему миру, зашифрованную команду. В ней указан IP-адрес, подлежащий массовому поражению. Рассеянные по миру боты начинают бомбардировать жертву запросами, которые либо ретранслируются с сайта инициатора атаки, либо генерируются на зараженных компьютерах по изначально заданному алгоритму. Так или иначе, никакой явной связи с компьютером инициатора атаки у запросов нет, все ответы идут на адреса бот-сети. Владельцы этих ПК и смартфонов даже не подозревают, что их оборудование используется для атаки. Чем больше работающих компьютеров в ботнете, тем быстрее атака увенчается успехом. Особенно эффективной считается отправка больших пакетов, обработка которых требует значительного времени, либо отправка запросов, на которые компьютер-жертва должен дать развернутый ответ. В первом случае перегружается процессор, во втором – канал связи. И то и другое приводит к выходу системы из строя и многомиллионным убыткам, как это было, например, при атаках на всемирно известные интернет-магазины Amazon или AliExpress.

Типы DDoS

Приведем наиболее популярные виды DDoS-атак. Ограничимся лишь теми методиками, которые имеют целью вывести из строя сайт-жертву, не внедряясь в его структуру и не пытаясь получить права администрирования.

Пинг-флуд. Самый простой тип атаки, не требующий бот-сети. С одного или нескольких компьютеров жертва атакуется многочисленными эхо-запросами небольшого объема, которые тем не менее пожирают ее оперативные ресурсы. Для создания флуда и привлечения добровольных помощников существуют специальные программы. Бороться с пинг-флудом сравнительно просто, так как источников немного и их можно блокировать (если знать, как это делать). В компьютере можно отключить опцию ответа на ICMP-запросы или установить алгоритм их приоритетности.

HTTP-флуд. Инициаторы атаки шлют жертве небольшой пакет, требующий развернутого ответа. В результате переполняется исходящий трафик сайта. Хакер использует динамический IP-адрес или действует с узлов пользователей, иначе его компьютер сам окажется завален ответным флудом.

SMURF-атака. Тот же пинг-флуд (Ping-Flood), рассылаемый с использованием разветвленной бот-сети, многократно увеличивающей интенсивность ICMP-запросов.

«Осколочная граната» (англ. Fraggle flood). Технология аналогична предыдущей, но вместо эхо-запросов (ICMP) используются запросы по протоколу UPD.

Хакеры постоянно совершенствуют методики DDOS-атак, создают разветвленные ботнеты, без которых атака на серьезно защищенный ресурс не имеет смысла.

Как обезопасить сайт

Блокировка нежелательных запросов через htaccess. Работа с файлом .htaccess дает возможность на уровне сервера управлять доступом к сайту, не затрагивая коды и скрипты, за счет чего он нагружает ресурс очень слабо. При этом защита сайта осуществляется при помощи введений ограничений по IP-адресам и определенным признакам в запросах.

Защита с помощью PHP-скрипта. Каждый поступивший на сайт запрос анализируется, а IP, от которого он исходил, запоминается. Если команды поступают с привычного IP в промежутки, нетипичные для человека, то ему блокируется доступ к странице. К недостатку данного способа можно отнести то, что от работы скрипта нагрузка на сайт может повыситься.

Сервис для очистки от спамного трафика. К доменному имени вашего сайта добавляется DNS-сервер компании, которая предоставляет услуги защиты. В результате все запросы, поступающие на ваш сайт, сначала идут на IP-адрес фильтрующего сервера. Безопасные пакеты направляются на хостинг вашего ресурса, а подозрительные блокируются. В результате всю лишнюю нагрузку берет на себя специальный сервер.

Правовой аспект

В борьбе с «досерами» наработан немалый опыт у профильного управления «К» российского министерства внутренних дел. В случае откровенной атаки, особенно имеющей корыстную подоплеку, смело обращайтесь к представителям правоохранительных органов – у них есть технические и организационные возможности вам помочь. Хакеры обычно сначала проводят демонстрационную атаку на ресурс, после чего обращаются к владельцам с предложением, от которого невозможно отказаться. Фиксируйте переговоры на диктофон, сохраняйте переписку в социальных сетях и в мессенджерах. Это поможет в организации оперативно-разыскных мероприятий и в ходе судебного разбирательства, если до него дойдет. Деятельность хакеров подпадает под действие статьи 273 Уголовного кодекса, предусматривающей лишение свободы до 4 лет.

Как не пополнить армию ботов

Для простого пользователя главное – помнить, что угроза исходит не от самого злоумышленника, а от зараженных компьютеров. Не открывайте сообщения, поступающие из непроверенных источников. Не переходите по сомнительным ссылкам, даже если они пришли от друзей в социальных сетях. Их аккаунты могут быть перехвачены злоумышленниками. Проверяйте безопасность внешних носителей. Установите на устройства последнюю версию антивируса, желательно полную, обычно не бесплатную. Цена вопроса не так уж велика, зато появится гарантия виртуального «здоровья». То же самое касается мобильного телефона – Интернет сегодня буквально наводнен сомнительными ссылками, причем пользователи гаджетов менее осторожны, чем пользователи десктопов и ноутбуков.

DDoS-атаки — самая серьезная угроза сети

DDoS-атаки все еще остаются самой серьезной угрозой, вызывающей перебои в предоставлении сетевых услуг. Согласно ежегодному отчету о безопасности инфраструктуры Worldwide Infrastructure Security Report, который составляет компания Arbor Networks, в 46% случаев нарушения работоспособности сети регистрируются DDoS-атаки, в 31% случаев деятельность бот-программ, в то время как саморазмножающиеся вирусы, компрометирование инфраструктуры, изменение DNS и протоколов маршрутизации отмечаются лишь в 4-7 % случаях сетевых угроз, пишет Network World.


В новом исследовании Arbor Networks приняли участие 55 сетевых операторов, включая провайдеров интернет, сетевых провайдеров в университетах и сети некоторых больших предприятий. DDoS-атаки не новы, новым являются масштабы нападения. Из 55 респондентов, 35 сообщили, что регистрировали атаки на уровне 1 Гбит/с, 10 опрошенных предприятий регистрировали атаки на уровне 10 Гбит/с и выше, а 9 ответчиков наблюдали атаки в диапазоне между 4 Гбит/с и 10 Гбит/с.

Масштаб нападения — новая угроза сетевой безопасности, поэтому некоторые атаки могут вывести из строя магистральную сеть большого интернет-провайдера. Большинство сетевых операторов используют списки контроля доступа и маршрутизацию на основе BGP (Border Gateway Protocol) как два первичных метода, чтобы смягчить нападения. Большинство ответчиков отметили, что при использовании методик на основе определения IP-адресов источника и получателя, главным недостатком сетевой инфраструктуры является неспособность подтверждения подлинности IP-адреса источника атаки.

Во многих случаях, сетевые операторы не сообщают о сетевых атаках в компетентные органы. Только 1,5 % всех преступных нападений регистрируется в юридическом смысле, поскольку компании хотят избежать отрицательных публикаций в прессе. Другие причины такой ситуации – недостаток деталей и фактов, которые необходимо предъявить в суде.

Вместе с тем, обзор Arbor Networks отмечает, что частота сетевых атак не изменилась, по сравнению с 2005 годом.

Статьи

Угрозы в сети Интернет

Материалы по теме

Содержание статьи:

Технические угрозы

Угроза – это потенциально возможное событие, действие, которое посредством воздействия на объект защиты может привести к нанесению ущерба.

Вредоносные программы

Черви – это разновидность вирусов. Они полностью оправдывают свое название, поскольку распространяются путем «переползания» из устройства в устройство. Так же, как и вирусы, они представляют собой саморазмножающиеся программы, но в отличие от вирусов, червю не нужна помощь пользователя, чтобы распространиться. Он сам находит лазейку.

Троянские программы – вредоносные программы, которые целенаправленно внедряются злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Внешне троянские программы выглядят как легальные программные продукты и не вызывают подозрений. В отличие от вирусов, они полностью готовы к выполнению своих функций. На это и делается расчет злоумышленников: их задача – сделать такую программу, которую пользователи не побоятся запускать и использовать.

Злоумышленники могут заражать компьютер, чтобы сделать его частью ботнета – сети из зараженных устройств, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи часто даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносных программ, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-ботов по атаке других устройств и ресурсов.

DoS и DDoS атаки

DoS-атака (отказ в обслуживании) – это атака, приводящая к парализации работы сервера или персонального компьютера вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс.

Суть DoS-атаки заключается в том, что злоумышленник пытается сделать временно недоступным конкретный сервер, перегрузить сеть, процессор или переполнить диск. Цель атаки – просто вывести компьютер из строя, а не получить информацию, захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т. д.

Осуществить DoS-атаку можно двумя способами.

При первом способе для DoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.

Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.

DDoS-атака (распределенный отказ в обслуживании) – это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет – специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Более подробная информация — в статье «Атаки DoS и DDoS».

Социальная инженерия

Фишинг

Фишинг является наиболее популярным способом атаки на пользователей и одним из методов социальной инженерии. Он представляет собой особый вид Интернет-мошенничества. Цель фишинга – получение доступа к конфиденциальным данным, таким как адрес, телефон, номера кредитных карт, логины и пароли, путем использования поддельных веб-страниц. Часто фишинговая атака происходит следующим образом: на электронную почту приходит письмо с просьбой войти в систему Интернет-банкинга от имени якобы сотрудника банка. Письмо содержит ссылку на ложный сайт, который трудно отличить от настоящего. Пользователь вводит личные данные на поддельном сайте, а злоумышленник перехватывает их. Завладев персональными данными, он может, например, получить кредит на имя пользователя, вывести деньги с его счета и расплатиться его кредитными картами, снять деньги с его счетов или создать копию пластиковой карты и с ее помощью снять деньги в любом месте мира.

Способы защиты от угроз в Интернете

Существует много видов и способов атак, но также есть и достаточное количество способов защиты от них. При работе в Интернете рекомендуется выполнять следующие требования:

Опасные DDoS атаки и их алгоритмы воздействия

Атака типа «denial-of-service» или DoS – это умышленная попытка сделать компьютерный веб-сервис недоступным. Эта цель может быть достигнута разными путями. Атакер может нарушить нормальную работу сети, или своими действиями привести к низкой производительности и блокировке системы.

Distributed denial of service или DDoS – это разновидность DoS атаки. Происходит, когда атака включает в себя несколько подключенных онлайн-устройств под общим контролем, которые используются для подавления веб-сервиса жертвы. Такая совместно используемая группа устройств называется botnet. Управление такой сетью реализовывается обычно через IRC или P2P-сети.

Крупномасштабная DDoS атака (до 400 Гбит / с) может повлиять на подключение к интернету всего географического региона.

Каковы признаки DDoS-атаки?

  • Необычно низкая производительность сети.
  • Недоступность конкретного веб-сервиса.
  • Невозможность доступа к любому веб-сервису.
  • Резкое увеличение количества полученных спам-писем.
  • Отключение беспроводного или проводного подключения к интернету.
  • Долгосрочный отказ в доступе к сети или другим интернет-услугам.

На сегодняшний день DDoS атак существует много, но их можно сгруппировать по цели атаки. Цель атаки может быть достигнута за счет:

  • Перегрузки ресурсов сети жертвы.
  • Блокировки доступа к жертве через DNS
  • Перегрузки ресурсов сервера.
  • Вывода из строя приложений жертвы.
  • Комбинированныx вариантов.

Рассмотрим распространенные виды атак.

DDoS атаки на сеть жертвы

Общей целью такого типа атак является перегрузка сети. Атакер прямо или отраженно посылает большой объем трафика на веб-сервис жертвы. В результате, часть пользователей не имеет доступа к веб-сервису, или он становиться полностью недоступным. При прямой атаке запросы идут напрямую к веб-сервису жертвы. При отраженной атаке запрос с поддельным адресом отправителя идет на промежуточное звено, и жертва получает ответ на него.

Ping flood атака (или ICMP flood)

Алгоритм: Большое количество ICMP Echo запросов посылается жертве с разных IP. Эти запросы должны быть обработаны и сервер обычно должен отправить ответ. Если объем запросов и ответов превышает ширину полосы пропускания сети, сайт становиться не доступен для настоящих пользователей. Атака также может перегрузить CPU, если машина сайта относительно медленная. Чтобы атака была успешной, атакер должен иметь больший канал сети, чем жертва.

  • Отключение ответов на ICMP-запросы.
  • Понижение приоритета обработки ICMP-запросов так, чтобы они обрабатывались в последнюю очередь по остаточному принципу.
  • Ограничение скорости трафика ICMP так, чтобы когда превышены настроенные пороги, не принимать ICMP-пакеты.
  • Настройка фильтров ограничения скорости ICMP глобально на отдельных Интерфейсах Ethernet и в шаблонах виртуального сервера.

Smurf атака

Алгоритм: Большое количество ICMP-запросов посылается в сеть. Такая сеть называется усиливающей. При этом в запросе IP-адрес отправителя меняется на IP-адрес жертвы. Таким образом, жертва получает большое количество ответов на ICMP-запросы, которые она не делала. Это ведет к снижению или полной блокировке канала сети жертвы.

Противодействие: Анализ загрузки сети и выявление причин перегрузки поможет в выявлении атаки. Можно настроить сервер так, чтобы вообще не отвечать ICMP-запросы или запретить пересылку пакетов по таким запросам. Или через настройки Sysctl отключить ping ответы на серверах.

Fraggle атака – разновидность Smurf атаки

Алгоритм: Атакер отправляет большое количество UDP-пакетов на седьмой и девятнадцатый порты усиливающей сети. В UDP-пакетах адрес отправителя меняется на адрес жертвы. Обычно многие компьютеры реагируют на UDP-пакет и отправляют ответ на адрес жертвы. В результате сеть терпит перегрузку, и веб-сервис может быть не доступен.

Противодействие: аналогичное, как для Smurf-атаки.

UDP-flood атака

Алгоритм: Атакер отсылает жертве большое количество UDP-пакетов на разные порты хост-системы. Система жертвы пытается безуспешно проверять приложения слушающие порт и, в конечном итоге, отправляет ICMP Destination Unreachable пакет. Так как атакер передает многочисленные UDP-пакеты, веб-сервис становиться недоступен для настоящих клиентов.

Противодействие: Для противодействия необходимо ограничить скорость от определенных IP адресов или количество отправки ICMP пакетов. Запретить передачу по UDP протоколу. Чтобы использовать UDP, его можно изолировать от внешней сети.

NTP amplification атака

Алгоритм: Атакер использует общедоступные серверы протокола сетевого времени (NTP). Передача данных идет по протоколу UDP. Он отправляет запрос с командой «monlist» на NTP-сервер, но свой IP-адрес заменяет поддельным IP-адресом. В результате ответ получает жертва. При большом трафике сеть жертвы перегружается, и становиться недоступной. Усиление атаки происходит за счет размера ответа, который может от 20 до 200+ раз превышать размер запроса. Так же для усиления может использоваться botnet.

Противодействие: Сложность смягчения таких атак в том, что трафик от NTP-сервера считается легитимным. Особую угрозу несет степень усиление, которое может нанести вред даже устойчивой инфраструктуре. Для смягчения атаки можно использовать специальный софт для фильтрации трафика.

Unintentional DDoS атака

Алгоритм: Ссылка на небольшой сайт жертвы добавляется на очень популярный сайт. Трафик веб-сайта значительно увеличивается, что приводит к перегрузке сети. Такой тип атак критичен для сайтов, которые могут обрабатывать только очень ограниченный трафик. Таким образом, происходит DDoS атака через реальный трафик.

DDoS атаки на DNS сервера

Как известно, DNS- сервер возвращает IP-адрес сайта по имени хоста. Атакер может использовать уязвимости DNS-серверов для блокировки доступа к сайту жертвы.

DNS-flood атака

Алгоритм: Эта атака похожа на UDP-flood, так как DNS-серверы полагаются на UDP-протокол. Атакер шлет случайные UDP-запросы на порт 53 с поддельным IP-адресом отправителя. Эти запросы неточные и неправильно отформатированные. За счет количества запросов, идет перегрузка DNS-сервера и адрес жертвы становиться не доступным. Так как UDP не требует подтверждения соединения, подмену IP выполнить легче.

DNS amplification атака

Алгоритм: Атакер отправляет небольшой запрос для поиска IP-адреса, в котором адрес ответа заменен на адрес жертвы. Атака может усиливаться через botnet (усиливающая сеть). Усиление также происходит по причине того, что размер запроса намного меньше размера ответа и атакер стремится сделать ответ максимально большим по размеру. Коэффициент усиления за счет размера запроса может достигать 70-ти. Усиливающая сеть также может использоваться для отражения ответа, усложняя поиск атакера и дополнительно увеличивая трафик. При этом жертва получает большое количество ответов. Происходит перегрузка сети или сервера, и веб-сервис становиться недоступным.

Атакер может использовать только не правильно сконфигурированный DNS-сервер по технологии DNSSEC. Суть в том, что правильный сервер должен принимать запросы только от своего провайдера. Но на деле много DNS-серверов настроены не правильно и могут принимать любые запросы.

DNS nxdomain flood атака

Алгоритм: Атакер наводняет DNS-сервер запросами на несуществующие или недопустимые записи. DNS-сервер тратит все свои ресурсы на поиск этих записей. Кэш сервера заполняется ложными запросами, и в конечном итоге он не имеет ресурсов для обслуживания легитимных запросов.

Противодействие атакам через DNS-сервер

Защита от атак через DNS зависит во многом от провайдера DNS-сервера. Так же возможно использовать софт, который будет перенимать все запросы от DNS-сервера, и фильтровать вредоносные. Возможно использовать технологию Anycast для балансировки нагрузки атаки через глобальную сеть мощных серверов очистки, где трафик проходит процесс глубокой проверки пакетов, который отфильтровывает вредоносный трафик DDoS.

В следующей части рассмотрим опасные DDoS атаки на ресурсы сервера и приложений…

Решили защитить себя от таких атак, обращайтесь [email protected]

Добавить комментарий