Як перекладається поняття dos атаки. Що таке DoS та DDoS-атака? Захист від DoS-атак

Головна / Додатковий функціонал

Метою DDoS-атаки може бути як блокування проекту конкурента чи популярного ресурсу, і отримання повного контролю над системою. При розкручуванні сайту враховують, що DoS-умови виникають з наступних причин:

  • через помилки у програмному коді, які призводять до виконання неприпустимих інструкцій, звернення до невикористовуваної частини адресного простору тощо;
  • через недостатню перевірку даних користувачів, що може призвести до тривалого (або нескінченного) циклу, збільшеного споживання ресурсів процесора, вичерпання пам'яті та ін.;
  • через флуд — зовнішню атаку за допомогою великої кількості неправильно сформованих або безглуздих запитів до сервера. Розрізняють флуд TCP-підсистеми, каналів зв'язку та прикладного рівня
  • через зовнішній вплив, мета якого - викликати хибне спрацювання захисної системи і, як наслідок, призвести до недоступності ресурсу.

Захист

DDoS-атаки ускладнюють , оскільки за досить тривалої непрацездатності сервера сторінки випадають із індексу. Для виявлення загрози використовують сигнатурні, статистичні та гібридні методи. Перші базуються на якісному аналізі, другі - на кількісному, треті поєднують переваги попередніх способів. Заходи протидії бувають пасивними та активними, превентивними та реакційними. В основному застосовуються такі способи:

  • усунення особистих і соціальних причин, що спонукають людей організовувати DDoS-атаки,
  • блекхолінг та фільтрація трафіку,
  • ліквідація вразливостей коду в ході пошукової оптимізаціїсайту,
  • нарощування ресурсів сервера, побудова продубльованих та розподілених систем для резервного обслуговування користувачів,
  • технічний та організаційно-правовий вплив на організатора, джерела або центр управління атакою,
  • встановлення обладнання для відображення DDoS-атак (Arbor Peakflow®, DefensePro® та ін.),
  • купівля виділеного сервера для хостингу сайту

Рівень загрози безпосередньо залежить сили та тривалості атаки

Dos (Denial of Service) атаки

Логікою атаки є створення умов, за яких звичайні або легітимні користувачі системи не можуть отримати доступ до ресурсів, що надаються сайтом, або цей доступ до них утруднений.

У більшості випадків атака DoS - це міра комерційного тиску сайтів. Простий сайту, що приносить дохід, рахунки від провайдера, заходи щодо уникнення атаки відчутно б'ють власника ресурсу по кишені.
Метою DoS атаки можуть стати політичні, релігійні чи інші мотиви, коли атакуючі не згодні з контентом і політикою сайту.

DoS атака на сайт може бути і прелюдією до злому сайту, якщо при збій ПЗ сервера або код сайту видає будь-яку критичну інформацію - наприклад, версію ПЗ, частина програмного коду, серверні шляхи тощо).

У разі коли атака виконується одночасно з великої кількості комп'ютерів, говорять про DDoS-атаку (від англ. Distributed Denial of Service).

DDos (Distributed Denial of Service) атаки

Технології проведення DoS і DDoS атак різноманітні, від простого навалу на ресурс, до техніки "розумного" DoSa, що атакує конкретні слабкі або довго скрипти сайту.

Часто зловмисники користуються вразливістю в серверному програмне забезпечення. Старі версії серверного ПЗ схильні до множинних уразливостей, включаючи нестійкість до DoS і DDoS атак. Застосовуються експлойти, що використовують ці вразливості, для організації DoS та DDoS атак.

Технікою "розумного" DDoSa також є атака, що призводить до відмови в обслуговуванні шляхом перевищення лімітів встановлених хостинг - провайдерами.

Практично у всіх хостингів існують недокументовані обмеження на обслуговування, такі як кількість одноразових звернень до файловій системісервера, обмеження навантаження на процесор і.т.п. Маючи цю інформацію зловмисник спрямовує атаку на сайт або сервер, метою якої є перевищення цих лімітів.

Класифікація DoS та DDoS атак:

  • НАСИЧЕННЯ СМУГИ ПРОПУСКА - атака, пов'язана з великою кількістюбезглуздих запитів до сайту з метою його відмови через вичерпання системних ресурсів - процесора, пам'яті або каналів зв'язку.
  • HTTP – флуд та PING – флуд – примітивна DoS атака, метою якої є насичення смуги пропускання та відмова сайту в обслуговування. Успіх атаки безпосередньо залежить від різниці розмірів ширини каналу сайту, що атакується, і атакуючого сервера.
  • SMURF – атака (ICMP – флуд) – одна з найнебезпечніших DDoS атак, коли атакуючий використовує широкомовну розсилку для перевірки працюючих вузлів у системі, відправляючи ping-запит. У ній за широкомовною адресою атакуючий надсилає підроблений ICMP пакет. Потім адреса атакуючого змінюється на адресу жертви. Всі вузли надішлють їй відповідь на ping-запит. Тому ICMP-пакет, відправлений атакуючим через підсилювальну мережу, що містить 200 вузлів, буде посилено у 200 разів.
  • FRAGGLE – атака (UDP – флуд) – атака, аналогічна SMURF – атаці, де замість ICMP пакетів використовуються пакети UDP. Принцип дії цієї атаки простий: на сервер, що атакується, відправляються echo-команди за широкомовним запитом. Потім підміняється ip-адреса зловмисника на ip-адресу жертви, яка незабаром отримує безліч повідомлень у відповідь. Ця атака призводить до насичення смуги пропускання та повної відмови в обслуговуванні жертви. Якщо все ж таки служба echo відключена, то будуть згенеровані ICMP-повідомлення, що також призведе до насичення смуги
  • АТАКА ПАКЕТАМИ SYN (SYN-флуд) - суть атаки полягає в наступному: два сервери встановлюють TCP з'єднання, Встановлення якого виділяється невелика кількість ресурсів. Надіславши кілька помилкових запитів, можна витратити всі ресурси системи, відведені встановлення з'єднання. Робиться це заміною істинного IP на неіснуючу IP адресу атакуючого сервера при відправленні SYN пакетів. Сервер - жертва створюватиме чергу з необроблених сполук, яка вичерпає його ресурси.
    Визначити джерело такої атаки дуже складно, т.к. Справжні адреси атакуючих серверів замінюються на неіснуючі.

У деяких випадках до фактичної DDoS-атаки призводить ненавмисна дія, наприклад, розміщення на популярному ресурсі посилання на сайт, розміщений на не дуже швидкому та продуктивному сервері (слешдот-ефект).

Великий наплив користувачів також призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні.

Захист від DoS та DDoS атак

Універсального захисту від DoS та DDoS атак не існує.
Гарантованого захисту від потужної DDoS атаки не існує.

Стратегія захисту DoS або DDoS безпосередньо залежить від типу, логіки та потужності самої атаки.

Аудит безпеки сайту

Гарантований захист сайту від злому та атак

Останнім часом ми змогли переконатися, що DDoS атаки – це досить сильна зброя в інформаційному просторі. За допомогою DDoS атак з високою потужністю можна не тільки відключити один або кілька сайтів, але й порушити роботу всього сегменту мережі або відключити інтернет у маленькій країні. У наші дні DDoS атаки трапляються все частіше і їхня потужність з кожним разом зростає.

Але в чому суть такої атаки? Що відбувається в мережі, коли вона виконується, звідки взагалі виникла ідея так робити і чому вона така ефективна? На всі ці запитання ви знайдете відповіді у нашій сьогоднішній статті.

DDoS або distributed denial-of-service (розділена відмова в обслуговуванні) – це атака на певний комп'ютер у мережі, яка змушує його шляхом навантаження не відповідати на запити інших користувачів.

Щоб зрозуміти що означає ddos ​​атака, давайте уявимо ситуацію: веб-сервер віддає користувачам сторінки сайту, допустимо створення сторінки і повну її передачу комп'ютера користувача йде півсекунди, тоді наш сервер зможе нормально працювати при частоті два запити в секунду. Якщо таких запитів буде більше, то вони будуть поставлені в чергу і обробляться як тільки веб-сервер звільнитися. Усі нові запити додаються до кінця черги. А тепер уявимо, що запитів дуже багато, і більшість із них йдуть тільки для того, щоб перевантажити цей сервер.

Якщо швидкість надходження нових запитів перевищує швидкість обробки, то згодом черга запитів буде настільки довгою, що фактично нові запити вже не будуть оброблятися. Це і є головним принципом ddos ​​атаки. Раніше такі запити відправлялися з однієї IP-адреси і це називалося атакою відмови в обслуговуванні - Dead-of-Service, по суті, це відповідь на питання що таке dos. Але з такими атаками можна ефективно боротися, просто додавши ip адресу джерела або кількох до списку блокування, до того ж кілька пристроїв через обмеження пропускної спроможності мережі не фізично не можуть генерувати достатню кількість пакетів, щоб перевантажити серйозний сервер.

Тому зараз атаки виконуються одразу з мільйонів пристроїв. До називання було додано слово Distribed, розподілене, вийшло – DDoS. По одному ці пристрої нічого не означають, і, можливо, мають підключення до інтернету з невеликою швидкістю, але коли вони починають все одночасно надсилати запити на один сервер, то можуть досягти загальної швидкості до 10 Тб/с. А це вже досить серйозний показник.

Залишилося розібратися, де зловмисники беруть стільки пристроїв для виконання своїх атак. Це звичайні комп'ютери, або різні пристрої IoT, до яких зловмисники змогли отримати доступ. Це може бути все, що завгодно, відеокамери та роутери з давно не оновлюваною прошивкою, пристрої контролю, та й звичайні комп'ютери користувачів, які якимось чином підхопили вірус і не знають про його існування або не поспішають його видаляти.

Види DDoS атак

Є два основні типи DDoS атак, одні орієнтовані на те, щоб перевантажити певну програму та атаки, спрямовані на навантаження самого мережевого каналу до цільового комп'ютера.

Атаки на перевантаження якої-небудь програми ще називаються атаки у 7 (у моделі роботи мережі osi - сім рівнів і останній - це рівнів окремих додатків). Зловмисник атакує програму, яка використовує багато ресурсів сервера шляхом надсилання великої кількості запитів. Зрештою, програма не встигає обробляти всі з'єднання. Саме цей вид ми розглядали вище.

DoS атаки на інтернет канал вимагають набагато більше ресурсів, зате з ними набагато складніше впоратися. Якщо проводити аналогію з osi, це атаки на 3-4 рівень, саме у канал чи протокол передачі. Справа в тому, що будь-яке інтернет-з'єднання має свій ліміт швидкості, з якої по ньому можуть передаватися дані. Якщо даних буде дуже багато, то мережеве обладнання точно так само, як і програма, ставитиме їх у чергу на передачу, і якщо кількість даних і швидкість їх надходження буде дуже перевищувати швидкість каналу, то він буде перевантажений. Швидкість передачі в таких випадках може обчислюватися в гігабайтах в секунду. Наприклад, у разі відключення від інтернету невеликої країни Ліберії, швидкість передачі даних склала до 5 Тб/сек. Тим не менш, 20-40 Гб/сек достатньо, щоб перевантажити більшість мережевих інфраструктур.

Походження DDoS атак

Вище ми розглянули що таке DDoS атаки, а також способи DDoS атаки, настав час перейти до їх походження. Ви коли-небудь замислювалися, чому ці атаки настільки ефективні? Вони ґрунтуються на військових стратегіях, які розроблялися та перевірялися протягом багатьох десятиліть.

Взагалі, багато хто з підходів до інформаційної безпекизасновані на військових стратегіях минулого. Існують троянські віруси, які нагадують стародавню битву за Трою, віруси-здирники, які крадуть ваші файли, щоб отримати викуп і DDoS атаки обмежують ресурси супротивника. Обмежуючи можливості противника, ви отримуєте трохи контролю за його наступними діями. Ця тактика працює дуже добре, як для військових стратегів. так і для кіберзлочинців.

У випадку військової стратегії ми можемо дуже просто думати про типи ресурсів, які можна обмежити, для обмеження можливостей противника. Обмеження води, їжі та будівельних матеріалів просто знищили б супротивника. З комп'ютерами все інакше тут є різні послуги, наприклад, DNS, веб-сервер, сервера електронної пошти. Усі вони мають різну інфраструктуру, але є те, що їх об'єднує. Це мережа. Без мережі ви не зможете отримати доступ до віддаленої служби.

Полководці можуть отруювати воду, спалювати посіви та влаштовувати контрольні пункти. Кіберзлочинці можуть надсилати службі невірні дані, змусити її спожити всю пам'ять або перевантажити весь мережевий канал. Стратегії захисту теж мають те саме коріння. Адміністратору сервера доведеться відстежувати вхідний трафік, щоб знайти шкідливий і заблокувати його ще до того, як він досягне цільового мережного каналу або програми.

Висновки

DDoS атаки стають все більш поширеними і з кожним разом все сильніше. Це означає, що служби, які ми використовуємо, будуть все частіше піддаватися атакам. Один із способів, за допомогою якого ми можемо зменшити кількість атак – це стежити за тим, щоб наші пристрої не були заражені жодними вірусами та вчасно отримували оновлення. Тепер ви знаєте, що таке DDoS атака і знаєте основи захисту, в одній з наступних статей ми розглянемо останній момент докладніше.

На завершення пропоную лекцію про DDoS атаки:

DoS-атаки- це атаки, що призводять до паралізації роботи сервера або персонального комп'ютеравнаслідок величезної кількості запитів, з високою швидкістювступників на атакований ресурс. Якщо подібна атака проводиться одночасно відразу з великої кількості комп'ютерів, то в цьому випадку говорять про DDoS-атаці.

DoS - Denial of Service- Атака на «відмову в обслуговуванні». Здійснити цю атаку можна двома способами. При першому способі для DoS-атаки використовується вразливість ПЗ, встановленого на комп'ютері, що атакується.. За допомогою такої вразливості на комп'ютері можна викликати певну критичну помилку, що й призведе до порушення працездатності системи.

У другому способі атака здійснюється за допомогою одночасного відсилання великої кількості пакетів інформації на комп'ютер, що атакується. Відповідно до принципів передачі між комп'ютерами в мережі, кожен пакет інформації, що посилається одним комп'ютером іншому, обробляється деякий час.

Якщо в цей же час на комп'ютер надходить ще один запит, то пакет стає в чергу і займає якусь кількість фізичних ресурсів системи. Тому якщо на комп'ютер одночасно надіслати велику кількість запитів, то надмірне навантаження змусить комп'ютер «повиснути» або аварійно відключитися від інтернету. Саме це потрібно організаторам DoS-атаки.

DDoS-атака – це різновид DoS-атаки. Distributed Denial of Service– «розподілена відмова в обслуговуванні» — організується за допомогою дуже великої кількості комп'ютерів, завдяки чому атаці можуть бути піддані серверу навіть з дуже великою пропускною спроможністю інтернет-каналів.

Іноді ефект DDoS-атаки "спрацьовує" випадково. Це відбувається в тому випадку, якщо, наприклад, сайт, що знаходиться на сервері, було поставлене посилання в популярному інтернет-ресурсі. Це викликає потужний сплеск відвідуваності сайту ( сплешдот-ефект), що діє на сервер аналогічно DDoS-атаці.

DDoS-атаки, на відміну від просто DoS-атак, найчастіше проводяться для комерційної вигоди, адже для організації DDoS-атаки потрібні сотні тисяч комп'ютерів, а такі величезні матеріальні та часові витрати може дозволити собі далеко не кожен. Для організації DDoS-атак зловмисники використовують спеціальну мережукомп'ютерів – ботнет.

Ботнет – мережа із заражених особливим видом вірусів комп'ютерів. «зомбі». Кожним комп'ютером зловмисник може керувати віддалено, без відома самого власника комп'ютера. За допомогою вірусу або програми, що майстерно маскується під "корисний вміст", на комп'ютер-жертву встановлюється шкідливий програмний код, який не розпізнається антивірусом і працює в "невидимому режимі". У потрібний момент за командою власника ботнета, така програма активізується і починає надсилати запити на сервер, що атакується.

Під час проведення DDoS-атак зловмисники часто використовують «кластер DDoS»- Спеціальну трирівневу архітектуру мережі комп'ютерів. Така структура містить одну або декілька керуючих консолей, з яких безпосередньо подається сигнал про DDoS-атаку.

Сигнал передається на головні комп'ютери– «передаюча ланка» між керуючими консолями та комп'ютерами-агентами. Агенти– це комп'ютери, які безпосередньо атакують сервер своїми запитами. І головні комп'ютери та комп'ютери-агенти – це, зазвичай, «зомбі», тобто. їх власники не знають, що є учасниками DDoS-атаки.

Способи захисту від DDoS-атак різняться залежно від виду самої атаки. Серед DDoS-атак виділяють такі типи:

UDP flood – атака за рахунок відправки на адресу «жертви» множини пакетів UDP; TCP flood - атака за рахунок відправки на адресу "жертви" безлічі пакетів TCP; TCP SYN flood – атака за рахунок виправлення великої кількості запитів на ініціалізацію TCP-з'єднань; ICMP flood – атака з допомогою пінг-запитів ICMP.

Зловмисники можуть комбінувати ці та інші види DDoS-атак, що робить такі атаки ще більш небезпечними та важко усувними.

На жаль, універсальних методів захисту від DDoS-атак не існує. Але дотримання деяких загальних правил допоможе знизити ризик DDoS-атаки або максимально ефективно боротися з її наслідками.

Так, для запобігання DDoS-атаки необхідно постійно стежити за усуненням уразливостей у ПЗ, нарощувати ресурси і розосереджувати їх. Обов'язково має бути встановлений хоча б мінімальний пакет програм захисту від DDoS. Це можуть бути і звичайні файрволи (брандмауери) та спеціальні анти-DDoS програми. Для виявлення DDoS-атак слід використовувати спеціальні програмно-апаратні комплекси.

DoS і DDoS-атака - це агресивний зовнішній вплив на обчислювальні ресурси сервера або робочої станції, що проводиться з метою доведення останніх до відмови. Під відмовою ми розуміємо не фізичний вихід машини з ладу, а недоступність її ресурсів для сумлінних користувачів - відмова системи в їх обслуговуванні. D enial o f S ervice, із чого і складається абревіатура DoS).

Якщо така атака проводиться з одиночного комп'ютера, вона класифікується як DoS (ДоС), якщо з кількох – DDoS (ДіДоС чи ДДоС), що означає «D istributed D enial o f S ervice» - розподілене доведення до відмови в обслуговуванні. Далі поговоримо, для чого зловмисники проводять подібні впливи, якими вони бувають, яку шкоду завдають атакованим та як останнім захищати свої ресурси.

Хто може постраждати від DoS та DDoS атак

Атакам піддаються корпоративні сервери підприємств та веб-сайти, значно рідше – особисті комп'ютери. фізичних осіб. Мета подібних акцій, як правило, одна - завдати атакованому економічну шкоду і залишитися при цьому в тіні. В окремих випадках DoS та DDoS атаки є одним з етапів злому сервера та спрямовані на крадіжку або знищення інформації. По суті, жертвою зловмисників може стати підприємство чи сайт, що належать будь-кому.

Схема, що ілюструє суть DDoS-атаки:

DoS і DDoS-атаки найчастіше проводять із подачі нечесних конкурентів. Так, «заваливши» веб-сайт інтернет-магазину, який пропонує аналогічний товар, можна на якийсь час стати «монополістом» і забрати його клієнтів собі. "Поклавши" корпоративний сервер, можна розладнати роботу конкуруючої компанії і тим самим знизити її позиції на ринку.

Масштабні атаки, здатні завдати суттєвої шкоди, виконуються, як правило, професійними кіберзлочинцями за чималі гроші. Але не завжди. Атакувати ваші ресурси можуть і доморощені хакери-аматори - з інтересу, і месники з числа звільнених співробітників, і просто ті, хто не поділяє ваші погляди на життя.

Іноді вплив проводиться з метою здирства, зловмисник при цьому відкрито вимагає від власника ресурсу гроші за припинення атаки.

На сервери державних компаній та відомих організаційнерідко нападають анонімні групивисококваліфікованих хакерів з метою впливу на посадових осіб чи виклику суспільного резонансу.

Як проводяться атаки

Принцип дії DoS та DDoS-атак полягає у відправці на сервер великого потокуінформації, яка максимально (наскільки дозволяють можливості хакера) завантажує обчислювальні ресурси процесора, оперативної пам'яті, забиває канали зв'язку або заповнює дискове простір. Атакована машина не справляється з обробкою даних, що надходять, і перестає відгукуватися на запити користувачів.

Такий вигляд нормальна роботасервера, візуалізована в програмі Logstalgia:

Ефективність одиночних DOS-атак не надто висока. Крім того, напад з особистого комп'ютера наражає зловмисника на ризик бути впізнаним і спійманим. Набагато більший прибуток дають розподілені атаки (DDoS), що проводяться з так званих зомбі-мереж або ботнетів.

Так відображає діяльність ботнету сайт Norse-corp.com:

Зомбі-мережа (ботнет) – це група комп'ютерів, які не мають фізичного зв'язкуміж собою. Їх об'єднує те, що вони перебувають під контролем зловмисника. Контроль здійснюється за допомогою троянської програми, яка до певного часу може ніяк себе не проявляти. При проведенні атаки хакер дає зараженим комп'ютерам команду надсилати запити на сайт або сервер жертви. І той, не витримавши тиску, перестає відповідати.

Так Logstalgia показує DDoS-атаку:

Увійти до складу ботнета може будь-який комп'ютер. І навіть смартфон. Достатньо підхопити троянця та вчасно його не виявити. До речі, найбільший ботнет налічував майже 2 млн машин по всьому світу, а їхні власники поняття не мали чим їм доводиться займатися.

Способи нападу та захисту

Перед початком атаки хакер з'ясовує, як провести її із максимальним ефектом. Якщо вузол, що атакується, має кілька вразливостей, вплив може бути проведений за різними напрямками, що значно ускладнить протидію. Тому кожному адміністратору сервера важливо вивчити всі його «вузькі місця» та, по можливості, їх зміцнити.

Флуд

Флуд, кажучи простою мовою, це інформація, яка не несе смислового навантаження. У контексті DoS/DDoS-атак флуд є лавиною порожніх, безглуздих запитів того чи іншого рівня, які приймаючий вузол змушений обробляти.

Основна мета використання флуду – повністю забити канали зв'язку, наситити смугу пропускання до максимуму.

Види флуду:

  • MAC-флуд – вплив на мережеві комунікатори (блокування портів потоками даних).
  • ICMP-флуд — завалення жертви службовими луною за допомогою зомбі-мережі або розсилання запитів «від імені» вузла, що атакується, щоб всі члени ботнета одночасно відправили йому луну-відповідь (атака Smurf). Окремий випадок ICMP-флуда - ping-флуд (надсилання на сервер запитів ping).
  • SYN-флуд — відправка жертві численних SYN-запитів, переповнюючи чергу TCP-підключень шляхом створення великої кількості напіввідкритих (що чекають на підтвердження клієнта) з'єднань.
  • UDP-флуд працює за схемою Smurf-атак, де замість ICMP-пакетів пересилаються датаграми UDP.
  • HTTP-флуд – завалювання сервера численними HTTP-повідомленнями. Більш витончений варіант - HTTPS-флуд, де дані, що пересилаються, попередньо шифруються, і перш ніж атакований вузол їх обробить, йому належить їх розшифрувати.


Як захиститися від флуду

  • Налаштувати на мережевих комутаторівперевірку на валідність та фільтрацію MAC-адрес.
  • Обмежити або заборонити обробку відлуння ICMP.
  • Блокувати пакети, що надходять з певної адреси або домену, що дає привід підозрювати його в неблагонадійності.
  • Встановити ліміт кількості напіввідкритих з'єднань з однією адресою, скоротити час їх утримання, подовжити чергу TCP-подключений.
  • Вимкнути сервіси UDP від ​​прийому трафіку ззовні або обмежити кількість UDP-з'єднань.
  • Використовувати CAPTCHA, затримки та інші засоби захисту від ботів.
  • Збільшити максимальна кількість HTTP-підключень, налаштувати кешування запитів з допомогою nginx.
  • Розширити пропускну спроможністьмережного каналу
  • По можливості виділити окремий сервер обробки криптографії (якщо використовується).
  • Створення резервного каналу для адміністративного доступу до сервера в аварійних ситуаціях.

Перевантаження апаратних ресурсів

Існують різновиди флуду, які впливають не на канал зв'язку, а на апаратні ресурси комп'ютера, що атакується, завантажуючи їх по повній і викликаючи зависання або аварійне завершення роботи. Наприклад:

  • Створення скрипту, який розмістить на форумі або сайті, де користувачі мають можливість залишати коментарі, величезна кількість безглуздою. текстової інформації, доки не заповниться весь дисковий простір.
  • Те саме, тільки заповнювати накопичувач будуть логи сервера.
  • Завантаження сайту, де виконується якесь перетворення введених даних, безперервною обробкою цих даних (надсилання так званих «важких» пакетів).
  • Завантаження процесора або пам'яті виконанням коду через інтерфейс CGI (підтримка CGI дозволяє запускати на сервері будь-яку зовнішню програму).
  • Виклик спрацьовування системи безпеки, що робить сервер недоступним ззовні і т.д.


Як захиститись від перевантаження апаратних ресурсів

  • Збільшити продуктивність обладнання та обсяг дискового простору. Працюючи сервера в штатному режимі вільними повинні залишатися щонайменше 25-30% ресурсів.
  • Задіяти системи аналізу та фільтрації трафіку до передачі його на сервер.
  • Лімітувати використання апаратних ресурсів компонентами системи (встановити квоти).
  • Зберігати файли сервера на окремому накопичувачі.
  • Розосередити ресурси на кількох незалежних друг від друга серверах. Так щоб при відмові однієї частини інші зберігали працездатність.

Уразливості в операційних системах, програмному забезпеченні, прошивках пристроїв

Варіантів проведення такого роду атак набагато більше, ніж з використанням флуду. Їх реалізація залежить від кваліфікації та досвіду зловмисника, його вміння знаходити помилки в програмному коді та використовувати їх на благо собі та на шкоду власнику ресурсу.

Після того як хакер виявить уразливість (помилку в програмному забезпеченні, використовуючи яку можна порушити роботу системи), йому залишиться лише створити та запустити експлойт – програму, яка експлуатує цю вразливість.

Експлуатація вразливостей не завжди має на меті викликати лише відмову в обслуговуванні. Якщо хакеру пощастить, він зможе отримати контроль над ресурсом і розпорядитися цим «подарунком долі» на власний розсуд. Наприклад, використовувати для розповсюдження шкідливих програм, вкрасти та знищити інформацію тощо.

Методи протидії експлуатації вразливостей у софті

  • Вчасно встановлювати оновлення, що закривають уразливості операційних систем та програм.
  • Ізолювати від стороннього доступувсі служби, призначені на вирішення адміністративних завдань.
  • Використовувати засоби постійного моніторингу роботи ОС сервера та програм (поведінковий аналіз тощо).
  • Відмовитися від потенційно вразливих програм(Безкоштовних, самописних, рідко оновлюваних) на користь перевірених і добре захищених.
  • Використовувати готові засоби захисту систем від DoS та DDoS-атак, які існують як у вигляді апаратних, так і програмних комплексів.

Як визначити, що ресурс зазнав нападу хакера

Якщо зловмиснику вдалося досягти мети, не помітити атаку неможливо, але в окремих випадках адміністратор не може точно визначити, коли вона почалася. Тобто від початку нападу до помітних симптомів іноді минає кілька годин. Однак під час прихованого впливу (поки сервер не «ліг») теж є певні ознаки. Наприклад:

  • Неприродна поведінка серверних програм або операційної системи(зависання, завершення роботи з помилками тощо).
  • Навантаження на процесор, оперативну пам'ятьі накопичувач проти вихідним рівнем різко зростає.
  • Обсяг трафіку однією чи кілька портів збільшується в рази.
  • Спостерігаються багаторазові звернення клієнтів до тих самих ресурсів (відкриття однієї сторінки сайту, завантаження одного й того самого файла).
  • Аналіз логів сервера, брандмауера та мережевих пристроїв показує велику кількість одноманітних запитів із різних адрес, часто спрямованих на конкретний порт чи сервіс. Особливо, якщо сайт орієнтований на вузьку аудиторію (наприклад, російськомовну), а запити йдуть з усього світу. Якісний аналіз трафіку у своїй показує, що звернення немає практичного сенсу клієнтам.

Все перераховане не є стовідсотковою ознакою атаки, але це завжди привід звернути на проблему увагу та прийняти належні заходизахисту.

Вибір редакції

© 2022 androidas.ru - Все про Android