Авторизация  
0men0

Анатомия DDos

В теме 2 сообщения


Между тем, это одна из самых молодых хакерских технологий — ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были «завалены» web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до «рождественского сюрприза» 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Теперь системные администраторы крупных корпораций и государственных web-узлов со страхом ожидают Рождества-2001. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель — парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело швырнуть кирпич в витрину «Макдональдса» где-нибудь в Мадриде или Праге, и совсем уже другое — «завалить» сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики.

DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, — дело нескольких часов для человека, более-менее ясно представляющего себе, что такое Интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными — жертва такой атаки может на несколько часов, а порой и дней, лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

Анатомия атаки

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов — а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов сети, чтобы разместить на них агентов атаки DDoS (так называемых «зомби»). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда — благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части, автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются «скомпрометированными».

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура — так называемый «кластер DDoS». Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль — это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень — уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен — в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-«зомби» — это уже третий уровень кластера. И уже «зомбированные» узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика «жертвы» приведет к узлу-агенту, и даже узел-контроллер становится отыскать непросто, не говоря уже об атакующей консоли.

Какими они бывают

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf — ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и «затапливают» сеть, в которой находится сервер-мишень.

ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к «связыванию» сетевых ресурсов.

TCP flood — отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Специалисты по информационной безопасности выделяют семь основных групп (т.н. «семейств») инструментальных средств для организации DoS-атак. Однако на практике наиболее часто используются средства трех семейств — trinoo, Tribe Flood Network (TFN и TFN2K) и Stacheldracht.

Исторически первым средством для организации DoS-атак стало trinoo. Это достаточно примитивная, по современным меркам, разработка, и она способна запускать атаку только вида UDP flood. Причем, для взаимодействия главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. Благодаря своей простоте, программы «семейства» trinoo легко обнаруживаются и обезвреживаются современными средствами защиты и не представляют угрозы узлам, владельцы которых заботятся об элементарных мерах безопасности.

Намного более серьезное оружие хакеров — средства организации распределенных атак TFN и TFN2K. Они позволяют одновременно инициировать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Пересылка команд и параметров при этом умело спрятана в передаваемых данных — чтобы не вызвать подозрений у защитного ПО. TFN и TFN2K требуют от хакера намного более высокой квалификации, но и практическая эффективность их намного выше (включая и защиту самого хакера от обнаружения).

Представитель новейшего поколения средств организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само ПО встроена функция автомодификации.

Защита и предупреждение

В случае DoS-атаки трафик, предназначенный для переполнения атакуемой Сети, необходимо «отсекать» у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно — вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Как уже говорилось, вычислить кибертеррористов, организовавших DoS-атаку, крайне сложно. Это все равно, что искать отправителя письма, в котором неправильно указан обратный адрес. Для защиты от DoS-атак администраторы узлов-мишеней должны тесно сотрудничать со своими интернет-провайдерами, а те, в свою очередь, — с операторами магистральных сетей, таких как Uunet или Sprint. Но и самый надежно защищенный web-узел неспособен выдержать многогигабайтовый трафик.

В плане же менеджмента волна DoS-атак служит хорошим стимулом для разработки корпоративных планов быстрого реагирования. Такие планы особенно важны для компаний, занимающихся электронной коммерцией, так как в данном случае доступность их web-узлов — критический фактор.


3487 просмотров





Нравится




Не нравится




Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просмотр сообщения0men0 (08 September 2017 - 23:46) писал:


Между тем, это одна из самых молодых хакерских технологий — ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были «завалены» web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до «рождественского сюрприза» 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Теперь системные администраторы крупных корпораций и государственных web-узлов со страхом ожидают Рождества-2001. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель — парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело швырнуть кирпич в витрину «Макдональдса» где-нибудь в Мадриде или Праге, и совсем уже другое — «завалить» сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики.

DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, — дело нескольких часов для человека, более-менее ясно представляющего себе, что такое Интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными — жертва такой атаки может на несколько часов, а порой и дней, лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

Анатомия атаки

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов — а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов сети, чтобы разместить на них агентов атаки DDoS (так называемых «зомби»). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда — благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части, автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются «скомпрометированными».

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура — так называемый «кластер DDoS». Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль — это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень — уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен — в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-«зомби» — это уже третий уровень кластера. И уже «зомбированные» узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика «жертвы» приведет к узлу-агенту, и даже узел-контроллер становится отыскать непросто, не говоря уже об атакующей консоли.

Какими они бывают

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf — ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и «затапливают» сеть, в которой находится сервер-мишень.

ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к «связыванию» сетевых ресурсов.

TCP flood — отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Специалисты по информационной безопасности выделяют семь основных групп (т.н. «семейств») инструментальных средств для организации DoS-атак. Однако на практике наиболее часто используются средства трех семейств — trinoo, Tribe Flood Network (TFN и TFN2K) и Stacheldracht.

Исторически первым средством для организации DoS-атак стало trinoo. Это достаточно примитивная, по современным меркам, разработка, и она способна запускать атаку только вида UDP flood. Причем, для взаимодействия главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. Благодаря своей простоте, программы «семейства» trinoo легко обнаруживаются и обезвреживаются современными средствами защиты и не представляют угрозы узлам, владельцы которых заботятся об элементарных мерах безопасности.

Намного более серьезное оружие хакеров — средства организации распределенных атак TFN и TFN2K. Они позволяют одновременно инициировать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Пересылка команд и параметров при этом умело спрятана в передаваемых данных — чтобы не вызвать подозрений у защитного ПО. TFN и TFN2K требуют от хакера намного более высокой квалификации, но и практическая эффективность их намного выше (включая и защиту самого хакера от обнаружения).

Представитель новейшего поколения средств организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само ПО встроена функция автомодификации.

Защита и предупреждение

В случае DoS-атаки трафик, предназначенный для переполнения атакуемой Сети, необходимо «отсекать» у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно — вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Как уже говорилось, вычислить кибертеррористов, организовавших DoS-атаку, крайне сложно. Это все равно, что искать отправителя письма, в котором неправильно указан обратный адрес. Для защиты от DoS-атак администраторы узлов-мишеней должны тесно сотрудничать со своими интернет-провайдерами, а те, в свою очередь, — с операторами магистральных сетей, таких как Uunet или Sprint. Но и самый надежно защищенный web-узел неспособен выдержать многогигабайтовый трафик.

В плане же менеджмента волна DoS-атак служит хорошим стимулом для разработки корпоративных планов быстрого реагирования. Такие планы особенно важны для компаний, занимающихся электронной коммерцией, так как в данном случае доступность их web-узлов — критический фактор.


3487 просмотров





Нравится




Не нравится




А можно рассказать о защите от этой НЕВЕДОМОЙ ХУ*НИ?



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация