Войти
Диаграмма DDoS Stacheldraht атаки. В вычисление, атака отказа в обслуживании (DoS-атака ) - это кибератака, в которой злоумышленник пытается использовать машину или сеть ресурсны для предполагаемых пользователей из-за временного или недоступного прерывания работы служб на хосте, подключенном к Интернету. Отказ в обслуживании обычно выполняется путем переполнения запроса машины или ресурса избыточными запросами в попытке перегрузить систему и предотвратить выполнение некоторых или всех законных запросов.
В распределенный отказе в обслуживании атака (DDoS-атака ), входящий трафик, наводняющий жертву, исходит из множества различных источников. Это фактически делает невозможным остановить атаку, просто заблокировав единственный источник.
DoS- или DDoS-атака аналогичным образом, что группа людей заполняет входную дверь магазина, затрудняя вход законным клиентам, тем самым нарушая торговлю.
Преступники, совершающие DoS-атаки, часто нацелены на сайты или службы, размещенные на известных веб-серверах, таких как банки или платежные шлюзы. Месть, шантаж и активизм могут мотивировать эти атаки.
Panix, третий по возрасту интернет-провайдер в мире, стал целью, как считается, первой DoS-атаки. 6 сентября 1996 года Panix подверглась атаке SYN flood, в результате чего ее сервисы были отключены на несколько дней, в то время как производители оборудования, в частности Cisco, придумали надлежащую защиту.
Еще одна ранняя демонстрация. DoS-атака была совершена Ханом С. Смитом в 1997 году во время события DEF CON, нарушивший доступ в Интернет к Лас-Вегас-Стрип более чем на час. Выпуск образца кода во время мероприятия привел к онлайн-атаке Sprint, EarthLink, E-Trade и других крупных корпораций в следующем году.
5 марта 2018 г. неназванный заказчик американского поставщика услуг Arbor Networks стал жертвой крупнейшего в истории DDoS-атак, достигнув пика около 1,7 терабит в секунду. Предыдущий рекорд был установленным днями ранее, 1 марта 2018 года, когда GitHub подвергся атаке со скоростью 1,35 терабит в секунду.
Во время Гонконга Протесты Конга против экстрадиции В июне 2019 года приложение для обмена сообщениями Telegram подверглось DDoS-атаке, направленной на то, чтобы помешать протестующим использовать его для системы движений. Заявители Telegram заявили, что эта атака, по видимости, атакует "Основное государство с государством" через IP-адреса, происходящие из Китая.
6 и 7 сентября 2019 г., Википедия отключен в результате DDoS-атаки в Германии и некоторых частях Европы. Пользователи социальных сетей, ожидая восстановления Википедии, создали "хэштег ", #WikipediaDown, в Twitter, чтобы привлечь внимание общественности.
Атаки типа «отказ в обслуживании» характеризуются явной попыткой злоумышленников предотвратить законное использование службы. Есть две основные формы DoS-атак: те, которые вызывают сбой сервисов, и те, которые наводняют сервисы. Наиболее серьезные атаки являются распределенными.
Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько систем переполняют полосу пропускания или ресурсы системы, обычно одна или несколько веб-серверов. DDoS-атака использует более уникального IP-адреса или компьютеров, с тысяч хостов, зараженных часто вредоносным ПО. Распределенная атака типа «отказ в обслуживании» обычно включает более 3-5 узлов в разных сетях; меньшее количество узлов может квалифицироваться как DoS-атака, но не DDoS-атака.
Несколько машин могут генерировать больше атак, чем одна машина, несколько атакующих машин сложнее отключить, чем одну атакующую машину, и что каждая машина атаки может быть более скрытной, что затрудняет отслеживание и отключение. Входящий трафик, наводняющий жертву, исходит из разных источников, может оказаться невозможным остановить атаку, просто используя входящую фильтрацию. Это затрудняет различение легитимного пользовательского трафика от атак также распространяется по нескольким точкам происхождения. В качестве альтернативы или дополнения DDoS-атаки могут включаться подделку IP-адресов отправителей (подмена IP-адресов ), что еще больше усложняет выявление и предотвращение атак. Эти преимущества злоумышленника проблемы для защитных механизмов. Например, простая покупка большей входной пропускной способности, чем текущий объем атаки, может не помочь, потому что злоумышленник может просто больше атакующих машин.
Масштаб DDoS-атак в последние годы продолжал расти, к 2016 году превысив терабит в секунду. Типичными примерами DDoS-атаки являются UDP-флуд, SYN-флуд и DNS-усиление.
DDoS-атаки на уровне приложений (иногда называемый DDoS-атакой уровня 7 ) - это форма DDoS-атаки, при которой злоумышленники нацелены на процессы прикладного уровня. Атака чрезмерно использует возможности функции или возможности веб-сайта с намерением отключить эти функции или возможности. Эта атака на уровне приложений отличается от атак сети и часто используется против финансовых учреждений, чтобы отвлечь ИТ-персонал и службы безопасности от нарушений безопасности. В 2013 году DDoS-атаки на уровне приложений составляли 20% всех DDoS-атак. Согласно исследованию Akamai Technologies, с четвертого квартала 2013 года по четвертому квартал 2014 года было «на 51 процент больше атак на уровне приложений» и «на 16 процентов больше» с третьего квартала 2014 года по четвертый квартал 2014 года. В ноябре 2017 года; Джунад Али, специалист по информатике в Cloudflare, отметили, что, хотя атаки на уровне сети по действующей мощности, они выполнены реже. По-прежнему отмечает, что, хотя атаки на уровне сети становятся все реже, данные Cloudflare демонстрируют, что атаки на уровне приложений по-прежнему не демонстрируют признаки замедления.
Модель OSI (ISO / IEC 7498-1) - это концептуальная модель, которая характеризует и стандартизирует внутренние функции связи, системы разделяя ее на уровни абстракции. Модель является продуктом проекта открытых систем Международной организации по стандартизации (ISO). Модель группирует аналогичные коммуникационные функции на один из семи уровней логических уровней. Слой обслуживает слой над ним и слой под ним. Этот уровень обеспечивает безошибочную связь по сети, обеспечивает путь, необходимый для этого приложения.
В модели OSI определение ее прикладного уровня уже по объему, чем это часто реализуется. Модель OSI определяет прикладной уровень как пользовательский интерфейс. Уровень приложения OSI отвечает за отображение данных и изображений пользователю в формате, распознаваемом представлении, и за взаимодействие с представлением представления под ним. В реализации часто объединяются уровни приложения и представления.
DDoS-атака на прикладном уровне выполняется в основном для определенных целевых целей, включая прерывание транзакций и доступ к базамам. Он требует меньше ресурсов, чем атаки сетевого уровня, но часто сопровождает их. Атака может быть замаскирована под законный трафик, за исключением того, что она нацелена на пакеты приложений или функции. Атака на прикладной уровень может нарушить работу таких служб, как поиск информации или функции поиска на веб-сайте. Злоумышленники очень часто используют готовые приложения и проекты с открытым исходным кодом для запуска атаки.
Advanced Persistent DoS (APDoS) связан с постоянной угрозой постоянной повышенной сложности и требует специальной защиты от DDoS-атак. Эти приступы могут длиться неделями; самый продолжительный непрерывный период, отмеченный до сих пор, длился 38 дней. Эта атака включается примерно 50+ петабит (50 000+ терабит) вредоносного трафика.
Злоумышленники в этой сценарии могут тактически переключаться между использованием целями, чтобы создать диверсию для уклонения от защитных контрмеров DDoS, но при этом в конечном итоге сконцентрировать основной ударения на единственную жертву. В этом сценарии злоумышленники, имеющие постоянный доступ к нескольким очень мощным сетевым ресурсам, могут поддерживать длительную кампанию, генерирующую огромные уровни неусиленного трафика DDoS.
APDoS-атаки характеризуются:
Некоторые поставщики предоставляют так называемые «вспомогательные» или «стрессинговые» услуги, которые имеют простые веб-интерфейсы и принимают оплату через Интернет. Рекламируемые и продвигаемые как инструменты стресс-тестирования, они могут включить отказ в обслуживании »и позволяют получить доступ к сложным инструментам атак. Обычно обслуживаемый ботнетом , трафик, создаваемый клиентским сервером, может проводиться от 5 до 50 Гбит / с, что в большинстве случаев может лишить среднего домашнего пользователя доступа в Интернет.
Группа США по обеспечению готовности компьютера к чрезвычайной ситуации (US-CERT) выявила следующие симптомы атаки типа «отказ в обслуживании»:
Для запуска DoS-атак используется широкий спектр инструментов и техник.
Простейшая DoS-атака основывается в первой очереди на грубой силе, наводняющую цель огромным потоком пакетов, перенасыщая ее пропускную способность соединения или истощая системные ресурсы цели. Потоки трафика, перегружающие полосу пропускания, зависят от способности злоумышленника генерировать подавляющий поток пакетов. Распространенный способ достижения этого сегодня - распределенный отказ в обслуживании с использованием ботнета.
в таких случаях, как MyDoom и Slowloris инструменты, встроенные в вредоносное ПО и запускают свои атаки без ведома владельца системы. Stacheldraht - классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые являются скомпрометированными системами, которые выдают команды агентам-зомби, которые, в свою очередь, облегчают DDoS-атаку. Агенты скомпрометированы через обработчики злоумышленником с помощью автоматических процедур для использования уязвимостей в программах, которые принимают удаленные соединения, запущенные на целевых удаленных узлах. Каждый обработчик может контролировать до тысячи агентов.
В других случаях машина может стать частью DDoS-согласия с согласия владельца, например, в Operation Payback, организованной группой Аноним. Низкоорбитальная ионная пушка обычно использовалась таким образом. Наряду с Высокоорбитальная ионная пушка сегодня доступен широкий спектр DDoS, включая платные и бесплатные версии с различными доступными функциями. Для них существует подпольный рынок на форумах, посвященных хакерам, и в каналх IRC.
Атаки на уровне приложений используют вызывающие DoS-вызывающие эксплойты и могут привести к тому, что программное обеспечение, работающее на сервере, заполнит дисковое пространство или использует всю доступную память или Процессорное время. Атаки могут использовать максимальное количество открытых ресурсов, например, использовать максимальное количество открытых ресурсов. Злоумышленник с доступом на уровне оболочки к компьютеру может замедлить его до тех пор, пока он не станет непригодным для использования, используя вилочную бомбу. Другой вид DoS-атаки на уровне приложений - это XDoS (илиXML DoS), которым можно управлять с помощью современных брандмауэров веб-приложений (WAF).
Другой целью DDoS-атак может быть увеличение затрат для оператора приложения, когда последний использует ресурсы на основе облачных вычислений. В этом случае обычно приложенные ресурсы привязаны к необходимому уровню качества обслуживания (QoS) (например, ответы должны быть менее 200 мс), и это правило обычно связано с автоматизированным программным сервисом (например, Amazon CloudWatch) для увеличения количества виртуальных ресурсов из поставщика, чтобы соответствовать определенным уровням QoS для увеличенных запросов. Основным стимулом таких атак может быть побуждение владельца приложения к повышению эластичности, чтобы справиться с увеличившимся трафиком приложений, чтобы вызвать финансовые потери или вынудить их менее конкурентоспособными.
Банановая атака - это еще один конкретный тип DoS. Он включает перенаправление исходящих сообщений от клиента обратно клиент, предотвращение доступа извне, а также заполнение клиентов отправленными пакетами. Атака LAND относится к этому типу.
Пульсирующие зомби - это скомпрометированные компьютеры, которые запускают периодические и кратковременные наводнения веб-сайтов-жертв с целью просто замедлить его, а не разрушить. Этот тип атаки, называемый плохим качеством обслуживания, может быть более трудным для обнаружения и может нарушать и препятствовать подключению к веб-сайту в течение длительных периодов времени, вызывая более серьезные общие нарушения, чем атака отказа в обслуживании. Выявление с низким уровнем качества обслуживания еще больше усложняется тем, что нужно определить, действительно ли сервер атакован или испытывает более высокую, чем обычно, легитимную нагрузку трафика.
Вредоносное ПО может нести механизмы DDoS-атак; одним из наиболее известных примеров этого был MyDoom. Его механизм DoS сработал в определенную дату и время. Этот тип атаки DDoS-предполагал жесткое кодирование целевого IP-адреса до запуска вредоносной программы, и для запуска атаки не требовалось никакого дополнительного взаимодействия.
Система также может быть скомпрометирована с помощью трояна, позволяющего злоумышленнику загрузить зомби-агента, или троян может его содержать. Злоумышленники также могут проникать в системы, используя автоматизированные инструменты, которые используют уязвимости в программах, которые прослушивают соединения с удаленных узлов. Этот сценарий в первую очередь касается систем, действующих как серверы в сети. Stacheldraht - классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды зомби-агентам, которые, в свою очередь, облегчают DDoS-атаку. Агенты скомпрометированы через обработчики злоумышленником, используя автоматические процедуры для использования уязвимостей в программах, которые принимают удаленные соединения, запущенные на целевых удаленных узлах. Каждый обработчик может контролировать до тысячи агентов. В некоторых случаях машина может стать частью DDoS-атаки с согласия владельца, например, в Operation Payback, организованной группой Anonymous. В этих атаках могут использоваться различные типы интернет-пакетов, такие как: TCP, UDP, ICMP и т. Д.
Эти наборы системных взломщиков известны как ботнеты / корневые серверы. Инструменты DDoS, такие как Stacheldraht, по-прежнему используют классические методы DoS-атак, основанные на IP-спуфинге и усилении, таком как атаки smurf и атаки fraggle (они также известные как атаки с использованием полосы пропускания). SYN-флуд (также известный как атаки с ограничением ресурсов) также могут использоваться. Новые инструменты могут использовать DNS-серверы для DoS-атак. В отличие от механизма DDoS MyDoom, ботнеты можно настроить против любого IP-адреса. Детишки-скрипты используют их, чтобы запретить легальным пользователям доступность известных веб-сайтов. Более изощренные злоумышленники используют инструменты DDoS для вымогательства - даже против своих конкурентов.
Простые атаки, такие как SYN-флуды, могут проявляться с широким диапазоном исходных IP-адресов, создавая впечатление хорошо распределенного DoS. Эти атаки лавинной рассылки не требуют завершения трехстороннего установления связи TCP и попытки исчерпать целевую очередь SYN или полосу пропускания сервера. Поскольку исходные IP-адреса могут быть банально подделаны, атака может исходить из ограниченного набора источников или даже может исходить от одного хоста. Усовершенствования стека, такие как файлы cookie синхронизации,
