Якщо ви працюєте в області комп'ютерних технологійабо в області мережевої безпеки, я впевнений, що вам знайомий термін «відмова в обслуговуванні», який просто називається «DoS атака». В даний час це один з найпоширеніших типів мережевих атак, що проводяться в Інтернеті. Для тих хто не в темі, я проведу «лікнеп» і спробую пояснити, що таке атака DoS, у найдоступнішій і зрозумілішій формі.
А почалося все з того, що один із робочих сайтів лежав учора близько двох годин. Хоститься сайт на NIC.RU, не з найдешевших, і начебто б не новачки, але, як кажуть «і на стару буває проруха».

DDoS - відмова в обслуговуванні

Що таке атака DOS?
Відмова в обслуговуванні або DoS атаки є одним з видів мережевих атак, призначені для того, щоб затопити цільові мережі або машини великою кількістю марного трафіку, так щоб перевантажити атаковану машину і в кінцевому підсумку поставити її на коліна. Основна суть DoS атаки, зробити служби, що працюють на цільовій машині (наприклад, веб-сайт, DNS серверта ін.) тимчасово недоступними для гаданих користувачів. DDoS атаки, як правило, здійснюються на веб-сервера, на яких знаходяться життєво важливі послуги, такі як банківські сервіси, електронна комерція, обробка персональних даних, кредитних карток.
Розповсюджений варіант DOS атаки, відомої як DDoS (Distributed Denial of Service — розподілена відмова в обслуговуванні) атака, став досить популярним в останні роки, оскільки це дуже потужна атака, що важко виявиться. Атака DoS має одне місце походження, а атака DDoS походить від декількох IP-адрес, розподілених по кількох мережах. Як працює DDoS показано на наступній діаграмі:

На відміну від атаки DoS, коли зловмисник використовує для атаки один єдиний комп'ютер або мережу, щоб атакувати ціль, DDoS атака виходить від численних комп'ютерів і серверів, попередньо заражених, що належать зазвичай різним мережам. Так як зловмисник використовує комп'ютери та сервери з різних мереж, і навіть різних країн, то вхідний трафік спочатку не викликає підозр у служб безпеки, оскільки його важко виявити.

Чи можна боротися з атаками DoS/DDoS?
Атакуючі за допомогою DoS-атак можуть бути легко додані в чорний список брандмауера, за допомогою всіляких скриптів і фільтрів (за IP-адресами або діапазонами адрес), від яких надто багато запитів, або з'єднань. DDoS атаки визначити занадто складно, так як вхідні запити виглядати більш-менш природно, адже буває скажімо, наплив клієнтів та ін. У цьому випадку важко знайти різницю між справжнім та шкідливим трафіком. Надмірне посилення заходів безпеки на брандмауері може призвести до помилкових спрацьовувань і тому справжні клієнти можуть бути відкинуті системою, що погодитеся не дуже добре.

Коли наплив помилкових «клієнтів» починає збільшуватися в геометричній прогресії, робити вже щось стає пізно, якщо звичайно у вас не сидить цілий штат сисадмінів і програмістів, які відповідають якраз за захист від атак такого роду, ваші сервери стають не поворотливими і повільними, і в зрештою, перестають реагувати на «зовнішні подразники», очікуючи, коли на кінець закінчиться цей потік спаму.
А в цей час злісні хакери втілюють свої темні плани.

Англійська абревіатура DDoS розшифровується як Distributed Denial of Service, що дослівно перекладається як «розподілена відмова в обслуговуванні». Насправді ця термінологія має на увазі атаку, яка виконується одночасно з великої кількості комп'ютерів. Завданням такої атаки є виведення з ладу сервера мети (як правило, великої організації) за рахунок величезної кількості запитів, які обчислювальна система не в змозі обробити. Розглянемо детально такий вид атаки.

Вступ

Люди, недосвідчені в темі ІБ, часто можуть плутати DoS-атаки та DDoS-атаки, тут найпростіше запам'ятати так: при Dos-атаці відмову в обслуговуванні намагається викликати одна атакуюча машина; при DDoS-атаці таких машин багато, як правило, це бот-мережа, в яку входять заражені комп'ютери, що повністю контролюються зловмисником.

Як можна здогадатися, боротися з DDoS-атакою набагато складніше, вона може тривати дні, навіть тижні - залежить від бюджету кіберзлочинця. Ефективність цієї атаки очевидна, а доступність взагалі вражає - на ринках даркнета невеликий ботнет можна купити за 150 доларів.

Щоб уявити, скільки атак DDoS відбувається в різних регіонах світу, погляньте на спеціальну карту цифрових атак .

На даному етапі ми маємо велику різноманітність атак DDoS, розглянемо деякі з них.

Види DDoS-атак

DDoS прикладного рівня (ApplicationlayerDDoS)

Атака прикладного (або 7-го) рівня полягає у надсиланні величезної кількості запитів, що вимагають великої обчислювальної потужності. Цей клас також включає атаки HTTP-флуд і DNS-флуд.

HTTP-флуд

HTTP-флуд зазвичай здійснюється проти конкретної мети, як наслідок, таку атаку досить важко запобігти. У ній не використовуються шкідливі пакети, вона більше покладається на бот-мережу.

DNS-флуд

У цьому виді атак метою є DNS-сервер жертви. Якщо DNS-сервер буде недоступним, ви не зможете знайти відповідний сервер. DNS-флуд - це симетрична атака, запущена багатьма зомбі, що знаходяться в бот-мережі і відноситься до класу атак UDP. Ця атака спрощує спуфінг.

DDoS мережевого рівня (Network layer DDoS)

Це дуже масштабні атаки, що вимірюються в гігабітах за секунду (Гбіт/с) або пакетах за секунду (PPS). У найгірших випадках такі атаки можуть досягати від 20 до 200 Гбіт/с. Такий тип DDoS-атак ділиться на SYN-флуд та UDP-флуд.

SYN-флуд

Створює поток запитів на підключення до сервера, при якому стає неможливим відповісти на ці запити. Метою тут є кожен порт сервера, який «наповнюється» (від англійського слова flood) SYN-пакетами, за рахунок цього на сервері переповнюється черга на підключення. При цьому пакети SYN-ACK ігноруються, завдяки чому з'являються так звані напіввідкриті з'єднання, що чекають на підтвердження від клієнта.

UDP-флуд

Сервер «заповнюється» UDP-запитами на кожен порт. У цьому випадку сервер відповідає пакетами «адресат недоступний», в результаті система, що атакується, виявиться перевантаженою і не зможе відповідати.

Що таке ампліфікація (amplification)

Ампліфікація (посилення) – це метод, який використовується для посилення смуги пропускання DDoS-атаки. Шляхом підміни IP-адреси у запиті зловмисник може підвищити ефективність своєї атаки у 70 разів. Коефіцієнт посилення може змінюватись в залежності від типу сервера.

Наприклад, команда monlist часто використовується для NTP DDoS-атак. Ця команда надсилає зловмиснику відомості про останніх 600 клієнтів ntpd. Тобто при невеликому запиті від зараженого комп'ютера, назад відправляється великий потік UDP. Така атака набуває просто гігантських масштабів при використанні ботнету.

Рисунок 1. Схема DDoS-атак

Висновки

Тепер ми маємо базове уявлення про DDoS-атаки, можна поміркувати про те, як від них захиститися. Насамперед слід визначити, в якій частині ваша мережа найбільш уразлива. Потім варто поставити себе на місце зловмисника, щоб уявити, що йому потрібно зробити для того, щоб провести успішну атаку на мережу.

Мабуть, найголовніше - мати якусь систему оповіщень, яка вас інформуватиме у разі здійснення атаки DDoS, чим раніше ви дізнаєтеся про сам факт, тим краще, так ви встигнете продумати план нейтралізації.

Нарешті, можна замовити тестування на проникнення (воно пентест, pentest, penetration test), щоб перевірити безпеку вашої мережі, наскільки вона готова до вторгнень ззовні. Це гарна практика, яка допоможе зрозуміти та усунути слабкі місцятаким чином, що ваша мережа буде відносно захищеною.

DoS-атака (Атака типу «відмова в обслуговуванні», від англ. Denial of Service)- атака на обчислювальну систему з метою довести її до відмови, тобто створення таких умов, за яких легітимні (правомірні) користувачі системи не можуть отримати доступ до ресурсів (серверів), що надаються системою, або цей доступ утруднений. Відмова «ворожої» системи може бути й кроком до оволодіння системою (якщо у позаштатній ситуації ПЗ видає будь-яку критичну інформацію – наприклад, версію, частину програмного коду тощо). Але найчастіше це міра економічного тиску: простої служби, що приносить дохід, рахунки від провайдера і заходи щодо уникнення атаки відчутно б'ють «мету» по кишені.

Якщо атака виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаці (Від англ. Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні»). У деяких випадках до фактичної DDoS-атаки призводить ненавмисна дія, наприклад, розміщення на популярному інтернет-ресурсі посилання на сайт, розміщений на не дуже продуктивному сервері (слешдот-ефект). Великий наплив користувачів призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні частини їх.

Види DoS-атак

Існують різні причини, через які може виникнути умова DoS:

* Помилка програмного коду, що призводить до звернення до фрагмента адресного простору, що не використовується, виконання неприпустимої інструкції або іншої необробленої виняткової ситуації, коли відбувається аварійне завершення програми-сервера - серверної програми. Класичним прикладом є звернення за нульовою (англ. null) адресою. Недостатня перевірка даних користувача, що призводить до нескінченного або тривалого циклу або підвищеного тривалого споживання процесорних ресурсів (аж до вичерпання процесорних ресурсів) або виділення великого обсягу оперативної пам'яті(до вичерпання доступної пам'яті).

* Флуд(англ. flood - «повінь», «переповнення») - атака, пов'язана з великою кількістю звичайно безглуздих або сформованих у неправильному форматі запитів до комп'ютерної системиабо мережному обладнанню, що має на меті або призвела до відмови в роботі системи через вичерпання системних ресурсів - процесора, пам'яті або каналів зв'язку.

* Атака другого роду- атака, яка прагне викликати хибне спрацьовування системи захисту та таким чином призвести до недоступності ресурсу. Якщо атака (зазвичай флуд) проводиться одночасно з великої кількості IP-адрес - з кількох розосереджених у мережі комп'ютерів - то в цьому випадку вона називається розподіленою атакою на відмову в обслуговуванні (DDoS).

Види флуду

Флудом називають величезний потік безглуздих запитів з різних комп'ютерівз метою зайняти «ворожу» систему (процесор, ОЗП чи канал зв'язку) роботою і цим тимчасово вивести її з ладу. Поняття «DDoS-атака» практично рівносильне поняттю «флуд», і в побуті і той і інший часто взаємозамінні («зафлудити сервер» = «заDDoS'ити сервер»).

Для створення флуду можуть застосовуватись як звичайні мережеві утилітина кшталт ping (цим відомо, наприклад, інтернет-спільнота «Уп'ячка»), і особливі програми. Можливість DDoS'а часто «зашивають» у ботнети. Якщо на сайті з високою відвідуваністю буде виявлена ​​вразливість типу «міжсайтовий скриптинг» або можливість включення картинок з інших ресурсів, цей сайт також можна застосувати для DDoS-атаки.

Будь-який комп'ютер, що має зв'язок з зовнішнім світомза протоколом TCP/IP, схильний до таких типів флуду:

* SYN-флуд- при даному вигляді флуд-атаки на вузол, що атакується, направляється велика кількість SYN-пакетів по протоколу TCP (запитів на відкриття з'єднання). При цьому на комп'ютері, що атакується, через короткий час вичерпується кількість доступних для відкриття сокетів (програмних мережних гнізд, портів) і сервер перестає відповідати.

* UDP-флуд- цей тип флуду атакує не комп'ютер-мета, яке канал зв'язку. Провайдери резонно припускають, що UDP-пакети треба доставити першими, а TCP-можуть почекати. Великою кількістю UDP-пакетів різного розмірузабивають канал зв'язку, і сервер, який працює за протоколом TCP, перестає відповідати.

* ICMP-флуд- те саме, але за допомогою ICMP-пакетів.

Багато служб влаштовані так, що невеликим запитом можна викликати велику витрату обчислювальних потужностейна сервері. У такому разі атакується не канал зв'язку або TCP-підсистема, а безпосередньо служба (сервіс) – флудом подібних «хворих» запитів. Наприклад, веб-сервери вразливі для HTTP-флуду - для виведення веб-сервера з ладу може застосовуватися як найпростіше GET /, так і складний запит до бази даних на кшталт GET /index.php?search=<случайная строка>.

Виявлення DoS-атак

Існує думка, що спеціальні засоби виявлення DoS-атак не потрібні, оскільки факт DoS-атаки неможливо не помітити. У багатьох випадках це справді так. Однак досить часто спостерігалися вдалі DoS-атаки, які були помічені жертвами лише через 2-3 доби.

Бувало, що негативні наслідки атаки (флуд-атаки) виливались у зайві витрати на оплату надлишкового Інтернет-трафіку, що з'ясовувалося лише при отриманні рахунку від Інтернет-провайдера. Крім того, багато методів виявлення атак неефективні поблизу об'єкта атаки, але ефективні на мережевих магістральних каналах. У такому разі доцільно ставити системи виявлення саме там, а не чекати, поки користувач, який зазнав атаки, сам її помітить і звернеться за допомогою. До того ж, для ефективної протидії DoS-атакам необхідно знати тип, характер та інші характеристики DoS-атак, а оперативно отримати ці відомості таки дозволяють системи виявлення.

Методи виявлення DoS-атак можна розділити на кілька великих груп:

* сигнатурні- засновані на якісному аналізі трафіку,

* статистичні- засновані на кількісному аналізі трафіку,

* гібридні (комбіновані)- що поєднують у собі переваги обох вищезгаданих методів.

Захист від DoS-атак

Заходи протидії DoS-атакам можна розділити на пасивні та активні, а також на превентивні та реакційні. Нижче наведено короткий перелік основних методів.

* Запобігання.Профілактика причин, що спонукають тих чи інших осіб організовувати та вжити DoS-атаки. (Дуже часто кібератаки взагалі є наслідками особистих образ, політичних, релігійних та інших розбіжностей, що провокує поведінку жертви тощо)

* Фільтрування та блекхолінг.Блокування трафіку, що походить від атакуючих машин. Ефективність цих методів знижується в міру наближення до об'єкта атаки і підвищується в міру наближення до атакуючої машини.

* Усунення вразливостей.Не працює проти флуд-атак, котрим «уразливістю» є кінцівка тих чи інших системних ресурсів.

* Нарощування ресурсів.Абсолютного захисту природно не дає, але є гарним тлом для застосування інших видів захисту від DoS-атак.

* Розосередження.Побудова розподілених та дублювання систем, які не припинять обслуговувати користувачів, навіть якщо деякі їх елементи стануть недоступними через DoS-атаку.

* Ухиляння.Видалення безпосередньої мети атаки (доменного імені або IP-адреси) подалі від інших ресурсів, які часто також піддаються впливу разом з метою атаки.

* Активні заходи у відповідь.Вплив на джерела, організатора або центр управління атакою як техногенними, так і організаційно-правовими засобами.

* Використання обладнання для відображення DoS-атак.Наприклад DefensePro® (Radware), Периметр (МФІ Софт), Arbor Peakflow® та інших виробників.

* Придбання сервісу захисту від DoS-атак.Актуально у разі перевищення флудом пропускну здатністьмережного каналу

На обчислювальну систему з метою довести її до відмови, тобто створення таких умов, за яких легальні (правомірні) користувачі системи не можуть отримати доступ до ресурсів (серверів), що надаються системою, або цей доступ утруднений. Відмова «ворожої» системи може бути і кроком до оволодіння системою (якщо в нештатній ситуації видає якусь критичну інформацію - наприклад, версію, частина програмного коду і т. д.). Але найчастіше це міра економічного тиску: простої служби, що приносить дохід, рахунки від провайдера і заходи щодо уникнення атаки відчутно б'ють «мету» по кишені.

Якщо атака виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаці(Від англ. Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні»). У деяких випадках до фактичної DDoS-атаки призводить ненавмисна дія, наприклад, розміщення на популярному інтернет-ресурсі посилання на сайт, розміщений на не дуже продуктивному сервері (слешдот-ефект). Великий наплив користувачів призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні частини їх.

Види DoS-атак

Існують різні причини, через які може виникнути умова DoS:

• Помилкау програмному коді , що призводить до звернення до фрагмента адресного простору, що не використовується, виконання неприпустимої інструкції або іншої необробленої виняткової ситуації, коли відбувається аварійне завершення програми-сервера - серверної програми. Класичним прикладом є звернення за нульовим (англ. null) адресою.
• Недостатня перевірка даних користувача, що призводить до нескінченного або тривалого циклу або підвищеного тривалого споживання процесорних ресурсів (до вичерпання процесорних ресурсів) або виділення великого обсягу оперативної пам'яті (до вичерпання доступної пам'яті).
• Флуд(англ. flood- «повінь», «переповнення») - атака, пов'язана з великою кількістю звичайно безглуздих або сформованих у неправильному форматі запитів до комп'ютерної системи або мережного обладнання, що має на меті або призвела до відмови в роботі системи через вичерпання системних ресурсів - процесора, пам'яті чи каналів зв'язку.
• Атака другого роду- атака, яка прагне викликати хибне спрацьовування системи захисту та таким чином призвести до недоступності ресурсу.

Якщо атака (зазвичай флуд) проводиться одночасно з великої кількості IP-адрес - з кількох розосереджених у мережі комп'ютерів - то в цьому випадку вона називається розподіленоюатакою на відмову в обслуговуванні ( DDoS).

Експлуатація помилок

Експлойтомназивають програму, фрагмент програмного коду або послідовність програмних команд, що використовують уразливості в програмне забезпеченнята застосовувані для проведення атаки на кіберсистему. З експлойтів, що ведуть до DoS-атаки, але непридатних, наприклад, для захоплення контролю над «ворожою» системою, найбільш відомі WinNuke та Ping of death (Пінг смерті).

Флуд

Про флуд як порушення мережевого етикету див. Флуд.

Флудомназивають величезний потік безглуздих запитів із різних комп'ютерів із єдиною метою зайняти «ворожу» систему (процесор, ОЗУ чи канал зв'язку) роботою і цим тимчасово вивести її з ладу. Поняття «DDoS-атака» практично рівносильне поняттю «флуд», і в побуті і той і інший часто взаємозамінні («зафлудити сервер» = «заDDoS'ити сервер»).

Для створення флуду можуть застосовуватися як звичайні мережеві утиліти на кшталт ping (цім відомо, наприклад, інтернет-спільнота «Уп'ячка»), так і спеціальні програми. Можливість DDoS'а часто «зашивають» у ботнети. Якщо на сайті з високою відвідуваністю буде виявлена ​​вразливість типу «міжсайтовий скриптинг» або можливість включення картинок з інших ресурсів, цей сайт також можна застосувати для DDoS-атаки.

Флуд каналу зв'язку та TCP-підсистеми

Будь-який комп'ютер, що має зв'язок із зовнішнім світом за протоколом TCP/IP, схильний до таких типів флуду:

• SYN-флуд - при даному виді флуд-атаки на вузол, що атакується, направляється велика кількість SYN-пакетів за протоколом TCP (запитів на відкриття з'єднання). При цьому на комп'ютері, що атакується, через короткий час вичерпується кількість доступних для відкриття сокетів (програмних мережевих гнізд, портів) і сервер перестає відповідати.
• UDP-флуд - цей тип флуду атакує не комп'ютер-мету, яке канал зв'язку. Провайдери резонно припускають, що UDP пакети треба доставити першими, а TCP можуть почекати. Великою кількістю UDP-пакетів різного розміру забивають канал зв'язку, і сервер, який працює за протоколом TCP, перестає відповідати.
• ICMP-флуд - те саме, але за допомогою ICMP-пакетів.

Флуд прикладного рівня

Багато служб влаштовані так, що невеликим запитом можна викликати велику витрату обчислювальних потужностей на сервері. У такому разі атакується не канал зв'язку або TCP-підсистема, а безпосередньо служба (сервіс) – флудом подібних «хворих» запитів. Наприклад, веб-сервери вразливі для HTTP-флуду, - для виведення веб-сервера з ладу може застосовуватися як найпростіше GET /, так і складний запит до бази даних на кшталт GET /index.php?search=<случайная строка> .

Виявлення DoS-атак

Існує думка, що спеціальні засоби виявлення DoS-атак не потрібні, оскільки факт DoS-атаки неможливо не помітити. У багатьох випадках це справді так. Однак досить часто спостерігалися вдалі DoS-атаки, які були помічені жертвами лише через 2-3 доби. Бувало, що негативні наслідки атаки ( флуд-Атаки) виливалися в зайві витрати на оплату надлишкового Internet-трафіку, що з'ясовувалося лише при отриманні рахунку від Internet-провайдера. Крім того, багато методів виявлення атак неефективні поблизу об'єкта атаки, але ефективні на мережевих магістральних каналах. У такому разі доцільно ставити системи виявлення саме там, а не чекати, поки користувач, який зазнав атаки, сам її помітить і звернеться за допомогою. До того ж, для ефективної протидії DoS-атакам необхідно знати тип, характер та інші характеристики DoS-атак, а оперативно отримати ці відомості таки дозволяють системи виявлення.

Методи виявлення DoS-атак можна розділити на кілька великих груп:

• сигнатурні – засновані на якісному аналізі трафіку.
• статистичні – засновані на кількісному аналізі трафіку.
• гібридні (комбіновані) - поєднують у собі переваги обох вищезгаданих методів.

Захист від DoS-атак

Заходи протидії DoS-атакам можна розділити на пасивні та активні, а також на превентивні та реакційні.

Нижче наведено короткий перелік основних методів.

• Запобігання.Профілактика причин, що спонукають тих чи інших осіб організовувати та вжити DoS-атаки. (Дуже часто кібератаки взагалі є наслідками особистих образ, політичних, релігійних та інших розбіжностей, що провокує поведінку жертви тощо)
• Фільтрування та блекхолінг.Блокування трафіку, що походить від атакуючих машин. Ефективність цих методів знижується в міру наближення до об'єкта атаки і підвищується в міру наближення до атакуючої машини.
• Зворотній DDOS- Перенаправлення трафіку, що використовується для атаки, на атакуючого.
• Усунення вразливостей.Не працює проти флуд-атак, котрим «уразливістю» є кінцівка тих чи інших системних ресурсів.
• Нарощування ресурсів.Абсолютного захисту природно не дає, але є гарним тлом для застосування інших видів захисту від DoS-атак.
• Розосередження.Побудова розподілених та дублювання систем, які не припинять обслуговувати користувачів, навіть якщо деякі їх елементи стануть недоступними через DoS-атаку.
• Ухиляння.Видалення безпосередньої мети атаки (доменного імені або IP-адреси) подалі від інших ресурсів, які часто також піддаються впливу разом з метою атаки.
• Активні заходи у відповідь.Вплив на джерела, організатора або центр управління атакою як техногенними, так і організаційно-правовими засобами.
• Використання обладнання для відображення DoS-атак.Наприклад DefensePro® (Radware), Периметр (МФІ Софт), Arbor Peakflow® та інших виробників.
• Придбання сервісу захисту від DoS-атак.Актуально у разі перевищення флудом пропускної спроможності мережного каналу.

Див. також

Примітки

Література

• Кріс Касперський Комп'ютерні вірусизсередини та зовні. - Пітере. - СПб. : Пітер, 2006. - С. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik.Аналіз типових порушень безпеки в мережах = Intrusion Signatures and Analysis. - New Riders Publishing (англ.) СПб.: Видавничий дім "Вільямс" (російськ.), 2001. - С. 464. - ISBN 5-8459-0225-8 (російськ.), 0-7357-1063-5 ( англ.)
• Morris, R.T= A Weakness in the 4.2BSD Unix TCP/IP Software. - Computing Scienece Technical Report No.117. - AT&T Bell Laborotories, Feb 1985.
• Bellovin, S. M.= Security Problems у протоколі TCP/IP. - Computer Communication Review, Vol. 19, No.2. - AT&T Bell Laborotories, April 1989.
• = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.
• = daemon9 / route / infinity "Project Neptune". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, July 1996.

Посилання

• DoS-атакау каталозі посилань Open Directory Project (

Метою DDoS-атаки може бути як блокування проекту конкурента чи популярного ресурсу, і отримання повного контролю над системою. При розкручуванні сайту враховують, що DoS-умови виникають з наступних причин:

• через помилки у програмному коді, які призводять до виконання неприпустимих інструкцій, звернення до невикористовуваної частини адресного простору тощо;
• через недостатню перевірку даних користувачів, що може призвести до тривалого (або нескінченного) циклу, збільшеного споживання ресурсів процесора, вичерпання пам'яті та ін.;
• через флуд — зовнішню атаку за допомогою великої кількості неправильно сформованих або безглуздих запитів до сервера. Розрізняють флуд TCP-підсистеми, каналів зв'язку та прикладного рівня
• через зовнішній вплив, мета якого - викликати хибне спрацювання захисної системи і, як наслідок, призвести до недоступності ресурсу.

Захист

DDoS-атаки ускладнюють , оскільки за досить тривалої непрацездатності сервера сторінки випадають із індексу. Для виявлення загрози використовують сигнатурні, статистичні та гібридні методи. Перші базуються на якісному аналізі, другі - на кількісному, треті поєднують переваги попередніх способів. Заходи протидії бувають пасивними та активними, превентивними та реакційними. В основному застосовуються такі способи:

• усунення особистих і соціальних причин, що спонукають людей організовувати DDoS-атаки,
• блекхолінг та фільтрація трафіку,
• ліквідація вразливостей коду в ході пошукової оптимізаціїсайту,
• нарощування ресурсів сервера, побудова продубльованих та розподілених систем для резервного обслуговування користувачів,
• технічний та організаційно-правовий вплив на організатора, джерела або центр управління атакою,
• встановлення обладнання для відображення DDoS-атак (Arbor Peakflow®, DefensePro® та ін.),
• купівля виділеного сервера для хостингу сайту