Анатомия DDos

[0men0 0]

Между тем, это одна из самых молодых хакерских технологий — ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были «завалены» web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до «рождественского сюрприза» 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Теперь системные администраторы крупных корпораций и государственных web-узлов со страхом ожидают Рождества-2001. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель — парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело швырнуть кирпич в витрину «Макдональдса» где-нибудь в Мадриде или Праге, и совсем уже другое — «завалить» сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики.

DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, — дело нескольких часов для человека, более-менее ясно представляющего себе, что такое Интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными — жертва такой атаки может на несколько часов, а порой и дней, лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

Анатомия атаки

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов — а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов сети, чтобы разместить на них агентов атаки DDoS (так называемых «зомби»). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда — благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части, автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются «скомпрометированными».

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура — так называемый «кластер DDoS». Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль — это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень — уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен — в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-«зомби» — это уже третий уровень кластера. И уже «зомбированные» узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика «жертвы» приведет к узлу-агенту, и даже узел-контроллер становится отыскать непросто, не говоря уже об атакующей консоли.

Какими они бывают

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf — ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и «затапливают» сеть, в которой находится сервер-мишень.

ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к «связыванию» сетевых ресурсов.

TCP flood — отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Специалисты по информационной безопасности выделяют семь основных групп (т.н. «семейств») инструментальных средств для организации DoS-атак. Однако на практике наиболее часто используются средства трех семейств — trinoo, Tribe Flood Network (TFN и TFN2K) и Stacheldracht.

Исторически первым средством для организации DoS-атак стало trinoo. Это достаточно примитивная, по современным меркам, разработка, и она способна запускать атаку только вида UDP flood. Причем, для взаимодействия главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. Благодаря своей простоте, программы «семейства» trinoo легко обнаруживаются и обезвреживаются современными средствами защиты и не представляют угрозы узлам, владельцы которых заботятся об элементарных мерах безопасности.

Намного более серьезное оружие хакеров — средства организации распределенных атак TFN и TFN2K. Они позволяют одновременно инициировать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Пересылка команд и параметров при этом умело спрятана в передаваемых данных — чтобы не вызвать подозрений у защитного ПО. TFN и TFN2K требуют от хакера намного более высокой квалификации, но и практическая эффективность их намного выше (включая и защиту самого хакера от обнаружения).

Представитель новейшего поколения средств организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само ПО встроена функция автомодификации.

Защита и предупреждение

В случае DoS-атаки трафик, предназначенный для переполнения атакуемой Сети, необходимо «отсекать» у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно — вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Как уже говорилось, вычислить кибертеррористов, организовавших DoS-атаку, крайне сложно. Это все равно, что искать отправителя письма, в котором неправильно указан обратный адрес. Для защиты от DoS-атак администраторы узлов-мишеней должны тесно сотрудничать со своими интернет-провайдерами, а те, в свою очередь, — с операторами магистральных сетей, таких как Uunet или Sprint. Но и самый надежно защищенный web-узел неспособен выдержать многогигабайтовый трафик.

В плане же менеджмента волна DoS-атак служит хорошим стимулом для разработки корпоративных планов быстрого реагирования. Такие планы особенно важны для компаний, занимающихся электронной коммерцией, так как в данном случае доступность их web-узлов — критический фактор.

3487 просмотров

Нравится

Не нравится

[nadezhda1124 78]

0men0 (08 September 2017 - 23:46) писал:

Между тем, это одна из самых молодых хакерских технологий — ее осуществление стало возможно только в связи с действительно повсеместным распространением Интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были «завалены» web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до «рождественского сюрприза» 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000-го, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Теперь системные администраторы крупных корпораций и государственных web-узлов со страхом ожидают Рождества-2001. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель — парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело швырнуть кирпич в витрину «Макдональдса» где-нибудь в Мадриде или Праге, и совсем уже другое — «завалить» сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики.

DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, — дело нескольких часов для человека, более-менее ясно представляющего себе, что такое Интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными — жертва такой атаки может на несколько часов, а порой и дней, лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

Анатомия атаки

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованы и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов — а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов сети, чтобы разместить на них агентов атаки DDoS (так называемых «зомби»). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда — благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части, автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются «скомпрометированными».

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура — так называемый «кластер DDoS». Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль — это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень — уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен — в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-«зомби» — это уже третий уровень кластера. И уже «зомбированные» узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика «жертвы» приведет к узлу-агенту, и даже узел-контроллер становится отыскать непросто, не говоря уже об атакующей консоли.

Какими они бывают

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

Smurf — ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и «затапливают» сеть, в которой находится сервер-мишень.

ICMP flood — атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу.

UDP flood — отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к «связыванию» сетевых ресурсов.

TCP flood — отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к «связыванию» сетевых ресурсов.

TCP SYN flood — при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

Специалисты по информационной безопасности выделяют семь основных групп (т.н. «семейств») инструментальных средств для организации DoS-атак. Однако на практике наиболее часто используются средства трех семейств — trinoo, Tribe Flood Network (TFN и TFN2K) и Stacheldracht.

Исторически первым средством для организации DoS-атак стало trinoo. Это достаточно примитивная, по современным меркам, разработка, и она способна запускать атаку только вида UDP flood. Причем, для взаимодействия главного контроллера и агентов используются нешифрованные протоколы TCP и UDP. Благодаря своей простоте, программы «семейства» trinoo легко обнаруживаются и обезвреживаются современными средствами защиты и не представляют угрозы узлам, владельцы которых заботятся об элементарных мерах безопасности.

Намного более серьезное оружие хакеров — средства организации распределенных атак TFN и TFN2K. Они позволяют одновременно инициировать атаки нескольких типов — Smurf, UDP flood, ICMP flood и TCP SYN flood. Пересылка команд и параметров при этом умело спрятана в передаваемых данных — чтобы не вызвать подозрений у защитного ПО. TFN и TFN2K требуют от хакера намного более высокой квалификации, но и практическая эффективность их намного выше (включая и защиту самого хакера от обнаружения).

Представитель новейшего поколения средств организации DoS-атак — Stacheldracht («колючая проволока»). Этот пакет позволяет организовывать самые различные типы атак и лавины широковещательных ping-запросов. Кроме того, обмен данными между контроллерами и агентами шифруется, а в само ПО встроена функция автомодификации.

Защита и предупреждение

В случае DoS-атаки трафик, предназначенный для переполнения атакуемой Сети, необходимо «отсекать» у провайдера услуг Интернет, потому что на входе в Сеть сделать это уже будет невозможно — вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Как уже говорилось, вычислить кибертеррористов, организовавших DoS-атаку, крайне сложно. Это все равно, что искать отправителя письма, в котором неправильно указан обратный адрес. Для защиты от DoS-атак администраторы узлов-мишеней должны тесно сотрудничать со своими интернет-провайдерами, а те, в свою очередь, — с операторами магистральных сетей, таких как Uunet или Sprint. Но и самый надежно защищенный web-узел неспособен выдержать многогигабайтовый трафик.

В плане же менеджмента волна DoS-атак служит хорошим стимулом для разработки корпоративных планов быстрого реагирования. Такие планы особенно важны для компаний, занимающихся электронной коммерцией, так как в данном случае доступность их web-узлов — критический фактор.

3487 просмотров

Нравится

Не нравится

А можно рассказать о защите от этой НЕВЕДОМОЙ ХУ*НИ?