DDoS-атаки: принцип действия и все виды

by USBKiller (Hacker)
DDoS-атаки: принцип действия и все виды

Источник: t.me/USBKiller

DDoS (Distributed Denial of Service attack) – это целенаправленный комплекс действий для выведения из строя, сбоя работы интернет-ресурса. Жертвой может стать любой ресурс, в том числе интернет-магазин, государственный сайт или игровой сервер. В большинстве подобных случаев злоумышленник использует для таких целей сеть компьютеров, которые заражены вирусом. Такая сеть называется ботнет. В нем присутствует координирующий главный сервер. Для запуска атаки хакер отправляет команду такому серверу, который в свою очередь дает сигнал каждому боту начать выполнение вредоносных сетевых запросов.


Причин для осуществления DDoS-атаки может быть много.

Например:

  • для развлечения. Примитивную атаку может организовать каждый, кто хоть немного разбирается в данной области. Правда, такая атака не анонимна и не эффективна, а те, кто ее совершают могут даже не догадываться об этом. Часто такие ситуации практикуют школьники для развлечения. Целью такой “забавы” может стать практически любой сайт в Интернете.
  • из-за личной неприязни. DDoS-атака на Ваш сайт может быть и по такой причине. Мало ли кому Вы перешли дорогу, это могут сделать и конкуренты, и любые другие люди, которым Ваш интернет-ресурс “не по душе”.
  • ради шантажа или вымогательства. Мошенники шантажируют в большинстве случаев крупные компании. Они требуют плату за то, чтобы прекратить атаку на сервера или за ее несовершение.
  • недобросовестная конкуренция. Часто такие атаки создаются для разрушения репутации сайта и потери клиентопотока.


Атаки, вошедшие в историю Интернет

Мы собрали краткое описание наиболее интересных случаев, которые вошли в историю DDoS-атак. Часть из них может показаться обычными по современным меркам, но во время, когда они происходили, это были очень масштабные атаки.

  • Пинг смерти (Ping Of Dead). Способ атаки, базирующийся на использовании команды ping. Эта атака получила популярность в 1990-х годах, благодаря несовершенству сетевого оборудования. Суть атаки заключается в отправке на сетевой узел одного запроса ping, при этом в тело пакета включаются не стандартные 64 байта данных, а 65535 байт. При получении такого пакета у оборудования переполнялся сетевой стэк и что вызывало отказ в обслуживании.
  • Атака, повлиявшая на стабильность работы Интернет. В 2013 году компания Spamhaus стала жертвой атаки мощностью более 280 Гбит/с. Самое интересное то, что для атаки хакеры использовали DNS-сервера из сети интернет, которые в свою очередь были очень загружены большим количеством запросов. В те сутки миллионы пользователей жаловались на медленно загружающиеся страницы в связи с перегруженности службы DNS.
  • Рекордная атака с трафиком более 1 Тбит/с. В 2016 году хакеры пытались атаковать нас пакетной атакой со скоростью 360 Mpps и 1 Тбит/с. Эта цифра стала рекордной за время существования Интернет. Но и под такой атакой мы устояли и нагрузка на сеть лишь незначительно ограничила свободные ресурсы сетевого оборудования.

В этой статье мы подробно рассмотрим, какие типы DDoS-трафика и какие виды DDoS-атак существуют. Для каждого вида атак будут приведены краткие рекомендации по предотвращению и восстановлению работоспособности.


Виды DDoS атак - обобщенная классификация

Существует различные виды атак: по типам трафика, по уровням OSI, по спектру атакуемых объектов. В этой статье мы постараемся рассмотреть их все и привести наиболее эффективные в каждом случае способы защиты.

Самые распространённые виды DDoS атак можно условно разделить на 3 основные категории:

  • Уровень приложений.
  • Уровень протоколов.
  • Объемные.

DDoS атаки уровня приложений

Этот вид атак основан на использовании уязвимостей различных операционных систем и приложений (Apache, Windows, OpenBSD). На работу ресурса они влияют опосредованно, но от этого не менее эффективно – в случае отказа важного приложения или всей системы вцелом, ресурс или его часть становятся недоступными и не отвечают на запросы пользователей. Эффективность таких атак очень высока, а отследить их чрезвычайно сложно благодаря «точечному» воздействию. Кроме того, они не требуют большого количества ресурсов для своей реализации.

Уровень воздействия для атак из этой категории измеряется в количестве запросов за единицу времени.

Например, Slowloris (один из видов атак на веб сервера), способен «завесить» сервер благодаря использованию уязвимости в его архитектуре (актуально для Apache первой и второй версии, Squid, dhttpd, и GoAhead WebServer). Веб-серверы на основе Apache имеют ограничение по количеству открытых подключений. Бомбардируя сервер большим количеством пакетов данных с определенной периодичностью, хакер может «завесить» его на неопределённое время. Причем уровень загрузки процессора в данном случае будет относительно невысоким – сервер просто будет бесконечно ожидать закрытия активных подключений. Для проведения атаки такого уровня будет достаточно одного среднестатистического ПК с определенным набором программ. Использование последних версий Apache, где эта уязвимость устранена, или организация работы сервера на базе lighttpd позволит не переживать по поводу работы Slowloris. Данный пример здесь присутствует только для ознакомления с механизмом воздействия, потому что производители программных продуктов стараются оперативно реагировать на выкладываемую в сети информацию. И при выявлении подобного рода уязвимостей – выпускать так называемые «заглушки», предохраняющие от хакерских атак, в кратчайшие сроки. Чтобы защититься от DDoS атак на уровне приложений, необходимо предусмотреть фильтрацию входящего трафика, как на уровне сервера, так и с привлечением сторонних ресурсов.


SYN флуд, icmp flood и другие DDoS атаки уровня протоколов

Уже из названия понятно, что уязвимость ищется в протоколах, по которым работает сервер. Атаки подобного рода ориентированы на поглощение ресурсов сервера или промежуточных серверов (оборудования). Суть действий злоумышленников проста – пока обрабатываются пакеты, отправленные хакером, пакеты от пользователей ждут своей очереди. Если количество отправленных злоумышленниками пактов значительно превысит количество пакетов от обычных пользователей, время ожидания ответа от сервера у пользователей станет непозволительно большим.

Наиболее распространёнными примерами таких атак пинг смерти, SYN флуд, icmp flood и другие. Уровень воздействия здесь измеряется в количестве пакетов на единицу времени. Для защиты от нападений подобного рода подходят различные алгоритм фильтрации входящего трафика на аппаратном уровне. Еще один вариант – воспользоваться услугами специальных сервисов, специализирующихся на фильтрации трафика от «флуда»


Атака udp flood в сегменте объемных DDoS

Этот тип атак направлен на превышение пропускной способности канала. Примерами атак этого вида относятся различные виды «флудов»: SYN, UDP, ICMP, MAC и другие. Например, атака udp flood. Для нее характерна бомбардировка портов удаленного хоста большим количеством UDP - пакетов. Так как в протоколе UDP не предусмотрена защита от перегрузок, трафик от злоумышленника постепенно вытесняет запросы от обычных пользователей. Сохранить анонимность атакующих хостов можно, подменив IP-адреса источников, указанные в UDP – пакетах.

Возможности злоумышленников растут соизмеримо с развитием технологий. Если в 2002 году атака со скоростью 400Мбит/с считалась практически непреодолимой, то современные дата-центры подвергаются атаками со скоростью до 100Гбит/с. Эффективность объёмной DDoS атаки измеряется в количестве бит за единицу времени.

Наиболее эффективным способом защиты от нападений подобного рода – использование специализированных фильтров на уровне дата-центров или сторонних сервисов, предоставляющих такие услуги.


Типы DDoS-трафика

Самый простой вид трафика — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок.

HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Также HTTP заголовки информируют веб-сервер, какой тип браузера используется. Наиболее распространенные HTTP заголовки: ACCEPT, LANGUAGE и USER AGENT.

Запрашива��щая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. В добавок, HTTP заголовки могут быть написаны таким образом, чтоб управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET

  • HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

  • HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выш�� HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получится, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его, т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

  • SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.
  • UDP-флуд - чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.
  • ICMP-флуд - протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.
  • MAC-флуд - редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.


Классификация и цели DDoS-атак по уровням OSI

OSI – семиуровневая эталонная модель, описывающая схему взаимодействия сетевых устройств. Модель OSI была разработана еще в 70-х годах, и описывала взаимодействие семейства собственных протоколов, которые разрабатывались как главные конкуренты TCP/IP. И хотя особого распространения они так и не получили, модель взаимодействия оказалась настолько удачной, что стала применяться для TCP/IP протоколов как тогда, так и сейчас. Виды DDoS атак и защит от них, доступных на каждом из уровней, различны.

Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы.


DDoS-атаки возможны на каждом из семи уровней.

Рассмотрим их подробнее:

  • Физический.

Этот уровень специализируется на передаче потока данных в двоичном коде по протоколам 100BaseT, 1000 Base-X. Результатом воздействия DDoS атаки на этом уровне будет разрушение или невозможность управления (на физическом уровне) концентраторов или патч-панелей, использующих описанные выше протоколы. Для восстановления работы оборудования в штатном режиме потребуется его полноценный ремонт. В качестве профилактических действий, способных защитить негативных последствий нападений злоумышленников на этом уровне, можно порекомендовать систематически проверять состояние оборудования.

Применительно к беспроводным сетям, DDoS атаки на физическом уровне характеризуются генерацией различного вида помех, способных нарушить связи между элементами сети.

  • Канальный.

Отвечает за взаимодействие элементов сети на физическом уровне, оперируя кадрами по протоколам 802.3 и 802.5 посредством котроллеров, точек доступа и мостов, их использующих. Примером DDoS атаки на этом уровне является MAC-флуд – переполнение коммутаторов пакетами данных, которое влечет за собой блокирование их портов. Для избегания подобных проблем рекомендуется использовать современное сетевое оборудование – во многих моделях предусмотрена функция сохранения надежных МАС адресов, прошедших аутентификацию. Таким образом, можно ограничить и отфильтровать запросы в соответствии с настройками оборудования, отсекая ненадежные или «флудящие» адреса.

  • Сетевой.

На этом уровне происходит маршрутизация и обмен данными между сетями посредством передачи пакетов с информацией по таким протоколам IP, ICMP, ARP, RIP. Примером DDoS атаки на этом уровне является ICMP-флуд. Суть атаки состоит в том, что хост постоянно «пингуется» нарушителями, вынуждая его отвечать на ping-запросы. Когда их приходит значительное количество, пропускной способности сети не хватает, и ответы на запросы приходят со значительной задержкой. Для предотвращения таких DDoS атак можно полностью отключить обработку ICMP запросов посредством Firewall, или хотя бы ограничить их количество, пропускаемое на сервер.

  • Транспортный.

Назначение этого уровня – обеспечение стабильной и безошибочной передачи данных между узловыми точками сети. Кроме того, именно на этом уровне происходит управление процессом передачи информации с физического на сетевой уровень. Осуществляется по протоколам TCP и UDP.

Виды DDoS атак, применяемые на этом уровне - SYN-флуд, Smurf-атака и другие. В результате таких атак наблюдается превышение количества доступных подключений (ширина канала достигает своего предела), и возможны перебои в работе сетевого оборудования. Самым распространенным методом противодействия таким атакам является blackholing. Это метод фильтрации трафика на уровне провайдера, до его попадания в частные сети. Его суть состоит в том, что в случае атаки сетевой администратор сможет настроить систему таким образом, чтоб пакеты от злоумышленников будут отбрасываться. У blackholing есть и минусы – при недостаточно точных параметрах фильтрации, кроме вредоносных пакетов, могут отсекаться и запросы от «легальных» пользователей, не имеющих к злоумышленникам никакого отношения.

  • Сеансовый.

На этом уровне происходит инициализация процессов установки и завершения сеансов связи в рамках ОС (например, при смене пользователей в windows), а так же их синхронизация в рамках одной сети посредством протоколов протоколы RPC, PAP. На этом уровне атакам подвергается сетевое оборудование. Используя уязвимости программного обеспечения Telnet-сервера на свитче, злоумышленники могут заблокировать возможность управления свитчем для администратора. Чтоб избежать подобных видов атак, необходимо поддерживать прошивки оборудования в актуальном состоянии. Для предотвращения использования «дыр» в программном обеспечении в будущем, после каждой успешной атаки производитель в обязательно порядке выпускает «заглушку». Использование только актуального лицензионного ПО на серверах снижает значительно уровень угроз на сеансовом уровне.

  • Представительский.

На этом уровне происходит передача данных от источника к получателю. Используются протоколы ASCII, EBCDIC, направленные на сжатие и кодирование данных. Наиболее часто для атак на этом уровне используется технология подложных SSL запросов. Так как для проверки зашифрованных пакетов SSL затрачивается значительное количество ресурсов, зачастую их расшифровка происходит уже внутри сети организации или на сервере ресурса. Другими словами, чтобы не тратить значительное время на расшифровку шифрованных запросов, фаерволл и другие системы безопасности просто пропускают их без проверки дальше по сети. Этим часто пользуются хакеры, генерируя собственные подложные SSL запросы, которые могут инициировать самовольную перезагрузку сервисов, ответственных за прием SSL соединений.

Еще одним моментом, работающим на руку злоумышленникам, является тот факт, что процесс расшифровки пакета требует практически в 10 раз больше ресурсов, чем необходимо для зашифровки. Атаки, производимы посредством подложных SSL запросов, могут принести значительный вред, при этом ресурсные затраты злоумышленника будут относительно невелики. Подходить к защите от DDoS атак на этом уровне следует комплексно: использовать специализированные средства, проверяющие входящий трафик (фильтрация трафика DDoS), и попытаться распределить инфраструктуру SSL (например, разместить функционал SSL – терминирования на отдельном сервере).

  • Прикладной.

На этом уровне происходит оперирование данными посредством пользовательских протоколов (FTP, HTTP, POP3,SMTP, Telnet, RAS). Следствием DDoS атак здесь становится тотальная нехватка ресурсов для выполнения простейших операций на подвергшемся атак ресурсе. Наиболее эффективным способом противодействия злоумышленникам – постоянный мониторинг состояния системы вцелом и программного обеспечения в частности. После выявления атаки на этом уровне можно идентифицировать злоумышленника и полностью заблокировать возможность совершения им каких либо действий.


Методы защиты от DDoS атак

Рассмотрим различные методы, направленные на предотвращение DDoS атак и уменьшение вреда, нанесенного злоумышленниками, вследствие успешно проведенной атаки.

  • Уклонение.

Необходимо разделять сетевые ресурсы, располагая их на различных серверах или даже в разных датацентрах. Таким образом, при успешной атаке на один из ресурсов, другие останутся доступны для пользователей. Кроме того, организация атак на несколько объектов – более затратна для злоумышленников.

  • Постоянный мониторинг системы.

Позволит выявить начинающуюся DDoS атаку на ранних стадиях. Это даст администраторам дополнительное время, которое можно потратить на отражение атаки, сводя к минимуму срок «недоступности» ресурса. Устранение уязвимостей. Постоянный мониторинг состояния системы, своевременная установка обновлений программного обеспечения для «железа» позволит свести к минимуму опасность использования злоумышленниками уязвимостей программного кода драйверов устройств или операционной системы сервера. Кроме того, к этой категории противодействия можно отнести и наращивание ресурсов сервера. Этот вид противодействия делает атаки, направленные на истощение ресурсов системы, менее эффективными. Фильтрация трафика DDoS или его блокировка. Может осуществляться как провайдером, так и специальными службами и программами. Существует 2 способа проведения фильтрации: использование межсетевых экранов и маршрутизация по спискам ACL. У каждого из этих способов есть свои достоинства и недостатки. Например, при использовании списков ACL фильтрации подвергаются второстепенные протоколы. Таки образом, ТСР не затрагивается и скорость реакции ресурса на действия пользователей не замедляется. Однако этот способ оказывается неэффективным, если DDoS атака производится посредством ботнета или первостепенных запросов.

Использование межсетевых экранов допустимо только для частных сетей, зато этот способ чрезвычайно эффективен в противостоянии DDoS атакам.

  • Ответная реакция.

Многие организации предоставляют услуги по поиску исполнителей и организаторов DDoS атак для дальнейшего привлечения их к ответственности. Кроме того, при достаточных вычислительных и серверных мощностях атакуемого, возможно произвести перенаправление трафика обратно к атакующему. Этот метод достаточно сложен в реализации и требует не только хорошей материальной базы, но и высокой квалификации администратора серверного ресурса. Использование сервиса по защите от DDoS атак. Многие организации, предоставляют услуги по временной или постоянной защите от атак злоумышленников. Преимуществами выбора такого варианта защиты является мощная материальная база и специалисты с обширным опытом работы в сфере информационной безопасности.


КАНАЛ: USBKiller (Hacker) - ПОДПИШИСЬ

March 24, 2019