Этический взлом - DDOS-атаки

Распределенная атака типа «отказ в обслуживании» (DDoS) - это попытка сделать онлайн-сервис или веб-сайт недоступными, перегрузив их огромными потоками трафика, генерируемого из нескольких источников.

В отличие от атаки типа «отказ в обслуживании» (DoS), в которой один компьютер и одно подключение к Интернету используются для наводнения целевого ресурса пакетами, в атаке DDoS используется множество компьютеров и множество подключений к Интернету, которые часто распространяются по всему миру в так называемом botnet.

Масштабная объемная DDoS-атака может генерировать трафик, измеряемый десятками гигабит (и даже сотнями гигабит) в секунду. Мы уверены, что ваша обычная сеть не сможет обрабатывать такой трафик.

Что такое ботнеты?

Злоумышленники создают сеть из взломанных машин, известных как botnetsпутем распространения вредоносного кода через электронную почту, веб-сайты и социальные сети. Когда эти компьютеры заражены, ими можно управлять удаленно, без ведома их владельцев, и использовать их как армию для атаки на любую цель.

DDoS-поток может быть вызван несколькими способами. Например -

  • Ботнеты могут использоваться для отправки большего количества запросов на соединение, чем сервер может обработать за раз.

  • Злоумышленники могут заставить компьютеры отправлять ресурсам жертвы огромное количество случайных данных, чтобы использовать пропускную способность цели.

Из-за распределенной природы этих машин их можно использовать для генерации распределенного интенсивного трафика, с которым может быть трудно справиться. В конечном итоге это приводит к полной блокировке службы.

Типы DDoS-атак

DDoS-атаки можно условно разделить на три категории:

  • Объемные атаки
  • Протокол атак
  • Атаки на уровне приложений

Объемные атаки

Атаки на основе объема включают TCP-флуд, UDP-флуд, ICMP-флуд и другие флуд-пакеты с поддельными пакетами. Их также называютLayer 3 & 4 Attacks. Здесь злоумышленник пытается перегрузить полосу пропускания целевого сайта. Величина атаки измеряется вBits per Second (бит / с).

  • UDP Flood - UDP-лавинная рассылка используется для лавинной рассылки случайных портов на удаленном хосте многочисленными UDP-пакетами, в частности, порт номер 53. Для фильтрации или блокировки вредоносных UDP-пакетов могут использоваться специализированные межсетевые экраны.

  • ICMP Flood- Это похоже на UDP-лавинную рассылку и используется для лавинной рассылки удаленного хоста многочисленными эхо-запросами ICMP. Этот тип атаки может потреблять как исходящую, так и входящую полосу пропускания, а большой объем запросов ping приведет к общему замедлению работы системы.

  • HTTP Flood - Злоумышленник отправляет HTTP-запросы GET и POST на целевой веб-сервер в большом объеме, который не может быть обработан сервером, и приводит к отказу от дополнительных подключений от легитимных клиентов.

  • Amplification Attack - Злоумышленник делает запрос, который генерирует большой ответ, который включает запросы DNS для больших записей TXT и запросы HTTP GET для больших файлов, таких как изображения, PDF-файлы или любые другие файлы данных.

Протокол атак

Протокольные атаки включают SYN-флуд, Ping of Death, атаки с использованием фрагментированных пакетов, Smurf DDoS и т. Д. Этот тип атаки потребляет фактические ресурсы сервера и другие ресурсы, такие как межсетевые экраны и балансировщики нагрузки. Величина атаки измеряется вPackets per Second.

  • DNS Flood - DNS-потоки используются для атаки как на инфраструктуру, так и на приложение DNS, чтобы перегрузить целевую систему и использовать всю доступную пропускную способность сети.

  • SYN Flood- Злоумышленник отправляет запросы на TCP-соединение быстрее, чем целевая машина может их обработать, что приводит к насыщению сети. Администраторы могут настраивать стеки TCP, чтобы уменьшить влияние SYN-флуда. Чтобы уменьшить влияние SYN-лавин, вы можете уменьшить время ожидания до тех пор, пока стек не освободит память, выделенную для соединения, или выборочно отбрасывая входящие соединения с помощью брандмауэра илиiptables.

  • Ping of Death- Злоумышленник отправляет искаженные или слишком большие пакеты с помощью простой команды ping. IP позволяет отправлять пакеты размером 65 535 байт, но отправка пакета ping размером более 65 535 байт нарушает Интернет-протокол и может вызвать переполнение памяти в целевой системе и, в конечном итоге, привести к сбою системы. Чтобы избежать атак Ping of Death и их вариантов, многие сайты полностью блокируют сообщения ping ICMP на своих брандмауэрах.

Атаки на уровне приложений

Атаки на уровне приложений включают Slowloris, DDoS-атаки нулевого дня, DDoS-атаки, нацеленные на уязвимости Apache, Windows или OpenBSD и другие. Здесь цель - вывести из строя веб-сервер. Величина атаки измеряется вRequests per Second.

  • Application Attack - Это еще называется Layer 7 Attack, когда злоумышленник выполняет чрезмерные запросы на вход в систему, поиск в базе данных или поисковые запросы для перегрузки приложения. Обнаружить атаки уровня 7 действительно сложно, потому что они напоминают законный трафик веб-сайтов.

  • Slowloris- Злоумышленник отправляет огромное количество заголовков HTTP на целевой веб-сервер, но никогда не выполняет запрос. Целевой сервер поддерживает каждое из этих ложных подключений открытыми и в конечном итоге переполняет максимальный пул одновременных подключений, что приводит к отказу от дополнительных подключений от законных клиентов.

  • NTP Amplification - Злоумышленник использует общедоступные серверы протокола сетевого времени (NTP), чтобы перегружать целевой сервер трафиком протокола дейтаграмм пользователя (UDP).

  • Zero-day DDoS Attacks- Уязвимость нулевого дня - это недостаток системы или приложения, ранее неизвестный поставщику, который не был исправлен или исправлен. Это новый тип атак, который появляется изо дня в день, например, использующий уязвимости, для которых еще не выпущено исправление.

Как исправить DDoS-атаку

Существует довольно много вариантов защиты от DDoS-атак, которые вы можете применить в зависимости от типа DDoS-атаки.

Ваша защита от DDoS-атак начинается с выявления и закрытия всех возможных уязвимостей на уровне ОС и приложений в вашей системе, закрытия всех возможных портов, удаления ненужного доступа из системы и сокрытия вашего сервера за прокси-сервером или системой CDN.

Если вы видите низкий уровень DDoS-атак, то вы можете найти множество решений на основе брандмауэра, которые могут помочь вам отфильтровать трафик, основанный на DDoS. Но если у вас большой объем DDoS-атак, например гигабит или даже больше, вам следует воспользоваться помощью поставщика услуг защиты DDoS, который предлагает более целостный, проактивный и подлинный подход.

Вы должны быть осторожны при подходе и выборе поставщика услуг защиты от DDoS-атак. Есть ряд поставщиков услуг, которые хотят воспользоваться вашей ситуацией. Если вы сообщите им, что подвергаетесь DDoS-атаке, они начнут предлагать вам различные услуги по неоправданно высокой цене.

Мы можем предложить вам простое и рабочее решение, которое начинается с поиска хорошего поставщика решений DNS, который достаточно гибок для настройки записей A и CNAME для вашего веб-сайта. Во-вторых, вам понадобится хороший провайдер CDN, который сможет обрабатывать большой трафик DDoS и предоставить вам услугу защиты от DDoS как часть своего пакета CDN.

Предположим, что IP-адрес вашего сервера - AAA.BBB.CCC.DDD. Затем вы должны выполнить следующую конфигурацию DNS -

  • Создать A Record в файле зоны DNS, как показано ниже, с идентификатором DNS, например, ARECORDID и держать это в секрете от внешнего мира.

  • Теперь попросите вашего провайдера CDN связать созданный DNS-идентификатор с URL-адресом, например cdn.someotherid.domain.com.

  • Вы будете использовать URL-адрес CDN cdn.someotherid.domain.com для создания двух записей CNAME, первая из которых указывает на www а вторая запись должна указывать на @, как показано ниже.

Вы можете воспользоваться помощью своего системного администратора, чтобы понять эти моменты и соответствующим образом настроить DNS и CDN. Наконец, у вас будет следующая конфигурация вашего DNS.

Теперь позвольте провайдеру CDN обрабатывать все типы DDoS-атак, и ваша система останется в безопасности. Но здесь условие состоит в том, что вы не должны никому раскрывать IP-адрес вашей системы или идентификатор записи A; иначе прямые атаки начнутся снова.

Быстрая починка

DDoS-атаки стали более распространенными, чем когда-либо прежде, и, к сожалению, быстрого решения этой проблемы нет. Однако, если ваша система подверглась DDoS-атаке, не паникуйте и начните разбираться в этом вопросе шаг за шагом.