July 7, 2018

Универсальный инструмент для атак на сервера.

Хакеры проводят тщательно спланированные и изощренные атаки не в 100% случаев. Для наведения хаоса или отключения какого-либо интернет ресурса у них есть более универсальное, но не менее эффективное оружие. Знакомьтесь! Это DDOS.

Это слово является сокращением от Distributed Denial of Service, что на русский переводится как распределённый отказ от обслуживания. Мы очень часто слышим о нём из новостей, на форумах или в профессиональных статьях, но почему именно этот метод атаки упоминается так часто? Ответ очень прост: целью для атаки может являться любой общедоступный ресурс вне зависимости от всех его технических аспектов. Единственный способ быть надёжно защищенным от DDOS - закрыть сеть от подключений извне, что, само собой, невозможно, например, для интернет магазина.

Но чего можно добиться подобными атаками? В большинстве случаев с помощью DDOS вызывают "падение" сервера. Состояние, при котором запрашиваемый ресурс перестаёт отвечать на запросы. Хакер каким-либо образом генерирует такое количество запросов, что сервер перестаёт успевать их обрабатывать. Соответственно, когда обычный пользователь попытается подключиться к серверу, находящемуся под атакой, запрашиваемая машина из-за перегрузки не сможет обработать запрос пользователя и выслать ему ответ. Значит для пользователя сервис будет недоступен.

Если атакуется интернет магазин, то отказ обслуживание подрывает доверие пользователей. "Ваш сайт не работает - ну и не надо, мы найдём другой", - думает обычный потребитель. Значит в ходе DDOS атаки на интернет магазины в выигрыше будут его конкуренты.

Так же атакам могут подвергаться ресурсы, информация на которых не угодна хакерам. Роскомнадзор по взмаху волшебной палочки может заблокировать для большинства российских пользователей любой интернет ресурс(чем они, кстати, и занимаются), но хакеры могут нечто круче! "Заблокировать" так, что никакой VPN тебе не разблокирует. Им не нужно ни решение суда, ни сговорчивость провайдера, всё находиться только в их руках. К подобным DDOS атакам прибегают не только хакеры, но, возможно, и гос. органы. Так всем известный WikiLeaks в 2010 году подвергался множественным атакам.

Владельцы большинства значимых интернет ресурсов готовы платить большие деньги, лишь бы остановить атаку и вернуть работоспособность ресурса. Поэтому выгодной целью для атаки может стать не только неугодный ресурс или интернет магазин, но вообще всё что угодно.

Что хакеру нужно, чтобы начать класть сервера?

Нужны ресурсы. Их количество зависит от факторов, которые я сейчас опишу.

1. Нагрузка, создаваемая единичным запросом к серверу. Атака может проводиться в тупую, но если хакер заранее изучил атакуемый сервер, то, зачастую, получается найти способы в разы увеличить нагрузку от одного запроса. Примером может служить атака через NTP протокол(Network Time Protocol). В результате спуфинга хакер отправляет от лица другого пользователя запрос по этому протоколу, а сервер в ответ отправляет сотни IP адресов на подставной адрес. Запрос маленький, а ответ гигантский. Используя этот метод можно вызвать нагрузку на интернет канал в десятки раз больше, чем при обычных методах атаки.

2. Мощность атакуемого сервера. Очевидно, что чтобы положить сервера google надо создать намного бОльшую нагрузку, чем чтобы положить сервер minecraft. Кстати, тут и кроется универсальность DDOS атак: на сколько бы мощной не была атакуемая сеть, если у хакера достаточно ресурсов, она обречена.

3. Наличие или отсутствие средств защиты от DDOS. Большие сайты нередко пользуются подобной защитой. Она заключается в том, что все запросы проходят через прокси сервера, которые пытаются отделить атакующие компьютеры от компьютеров обычных пользователей. Но тут есть 2 нюанса: их отделение не всегда возможно, и мощность атаки может быть настолько велика, что ляжет сам анти-DDOS сервис. Но об этом ниже.

4. Ресурсы, находящиеся в распоряжении атакующей стороны.

Если сервер маломощный, и эффективная атака возможна, то сервер можно положить и с одного компьютера(такой вид атаки называется DOS). Хорошим примером может служить атака на реализацию IPv6 в Windows. Создавая запросы на подключение, можно загрузить процессор на 100%. Таким образом одному хакеру удавалось несколько недель держать сервера одной компании под атакой с помощь только одного мобильного телефона!

Но даже если сервер не имеет уязвимостей в ПО, и с одного мобильного или даже компьютера вывести его из строя не представляется возможным, на сцену выходят ботнеты - объединения инфицированных машин, которые управляются по команде хакера. Самые крупные ботнеты способны положить практически любой интернет ресурс. Кстати, я говорил, можно положить даже систему защиты от DDOS. Так вот, Cloudflare(один из подобных сервисов) в феврале 2014 подвергся атаке, мощность которой превышала 400 Гбит/с!

Для атаки могут использоваться абсолютно любые алгоритмы, но вот основные типы атак:

UDP Flood - отправка большого количество запросов по UPD протоколу на разные порты атакуемой машины. В результате сервер будет вынужден отправлять большое количество ICMP-сообщениий «адресат недоступен», что съедает полосу пропускания.

SYN Flood - отправкой большого количества SYN сообщений сервер вынуждают создавать новые соединение, которые закроются только по истечению timeout. Поскольку количество возможных соединений ограничено, у атакуемой машины быстро заканчиваются ресурсы.

Ping of Death - отправляется по частям пакет, размер которого больше максимального размера пакета в IPv4(65535 байт). Это может привести к выводу из строя серверного ПО на машине. Но сейчас с этим типом атаки успешно борются.

Zero Day DDoS - DDOS с использованием только что обнаруженных уязвимостей.

Unintentional DDoS - тот случай, когда хакеры ни к чему не причастны. Это состояние, при котором количество запросов от обычных пользователей настолько большое, что сервер перестаёт справляться.

Application Level Attacks - атака проводится на определённые приложения на сервере. Цель - заставить приложение создать наибольшую нагрузку одним запросом.

Nuke - отправка модифицированного ICMP пакета, в процессе обработки которого сетевым оборудованием или сервером возникает критическая ошибка.

Давайте рассмотрим одни из самых знаменитых атак:

Предвыборный сайт Дональда Трампа был атакован первого апреля 2016 года. Атака была очень короткой по времени, но вызвала большой резонанс. И правда, как президент, который не может защитить свой сайт, защитит целое государство. Кому это было выгодно - сейчас сказать трудно. Но очевидно, что DDOS приковывают большое внимание к себе.

DYN - DNS инфраструктура, атакованная 21 октября 2016 года. DNS сервера служат для преобразования доменных имён в ip адреса. Когда вы набираете адрес любого сайта, компьютер ещё не знает, с каким сервером ему надо связаться. Для того, чтобы это установить, отправляется DNS запрос. В те несколько часов пока длилась атака пользователи DNS DYN буквально потеряли возможность пользоваться интернетом, ведь доменные имена используются везде. Самое примечательное тут, что именно этим DNS пользовался Twitter и Spotify. Поэтому в течении двух часов атаки доступ к этим сайтам был ограничен.

Стоит так же отметить, что атакуемая сторона стараются не заявлять напрямую, что их сервера недоступны из-за атаки. Чаще мы слышим, что просто сервера перезагружались или шёл процесс миграции, что, конечно, далеко от правды. Компании не хотят признавать, что они оказались бессильны перед хакерами.

Но от куда берутся ботнеты и кто за ними стоит? Каждый ботнет принадлежит определённому хакеру, но в даркнете можно найти предложения о сдаче ботнетов в аренду. Вам не правится какой-то сайт или сервер? Не проблема, арендуйте ботнет и сайт ляжет на нужное вам время. Цена вопроса зависит от описанных выше факторов и продолжительности атаки.

Сами хакеры набирают ботнеты создавая и распространяя вирусы. Участником ботнета может стать любая инфицированная машина с доступом в интернет. В последнее время не только компьютеры подвергаются заражению, но появляется большое количество инфицированных устройств из IoT(Internet of Things). Это всякие умные приборы с выходом в интернет. Их активное участие в ботнетах обуславливается тем, что на данный момент аспектам защиты уделяется недостаточное внимание, а так же тот факт, то зачастую процесс обновления и исправления уязвимостей в разы сложней, чем на обычном компьютере. Возможно, вы слышали о ботнете Mirai. Он состоит из умных камер наблюдения, видеопроигрывателей и других вещей, которые можно отнести к классу IoT. Его мощность гигантская, именно он использовался в атаках на Dyn DNS.

Поскольку DOS атака производиться с одного компьютера, произвести её можно и без затрат вообще. Есть инструмент, получивший известность благодаря деятельности анонимусов - low orbit ion cannon. Это программа с открытым исходным кодом для организации DOS атак. В одиночку с ещё помощью положить что-то вряд ли удастся, поэтому анонимусы через свои каналы связи просили людей в указанное время начинать атаковать определённый ресурс.