Что такое DoS и DDoS-атаки типа «отказ в обслуживании»? Каковы их вредоносные последствия?

Вы, возможно, много слышали о DoS, DDoS или атаках типа «отказ в обслуживании» и, возможно, также стали жертвой этого типа атак. Так что же такое DoS, DDoS, каковы признаки распознавания DoS, DDoS и каковы их вредоносные последствия? В этой статье TipsMake поможет вам узнать об этом классическом типе атак, а также даст вам несколько советов, как действовать, если вы подозреваете, что ваш сервис подвергается DDoS, и как проверить и предотвратить DDoS-атаки. применяются в центрах обработки данных.

Что такое DoS?

Полное английское название DoS — Denial of Service, что переводится на вьетнамский как отказ в обслуживании. DoS-атака — это атака, направленная на то, чтобы вывести из строя сервер или сеть, сделав невозможным доступ других пользователей к этому серверу/сети. Злоумышленник делает это, массово «контрабандируя» трафик или отправляя информацию, которая может вызвать инцидент на целевом сервере, в системе или сети, тем самым заставляя законных пользователей (сотрудников, участников, владельцев учетных записей) не получать доступ к ожидаемым ими услугам и ресурсам.

Жертвами DoS-атак часто становятся веб-серверы крупных организаций, таких как банки, коммерческие предприятия, медиакомпании, сайты газет, социальные сети.

Например, когда вы вводите URL веб-сайта в свой браузер, вы отправляете запрос на сервер веб-сайта для его просмотра. Сервер может обрабатывать только определенное количество запросов за раз, поэтому если злоумышленник завалит сервер большим количеством запросов, он перегрузит его, и ваш запрос не будет обработан. Это тип «отказа в обслуживании», поскольку он делает невозможным для вас доступ к этой странице.

Что такое DoS и DDoS атаки типа «отказ в обслуживании»? Каковы их вредоносные эффекты? Рисунок 1

Злоумышленники могут использовать спам для совершения аналогичных атак на ваш почтовый аккаунт. Независимо от того, есть ли у вас корпоративный почтовый аккаунт или вы используете бесплатный сервис вроде Gmail, в вашем аккаунте все равно есть ограничение на объем данных. Отправляя несколько писем на ваш аккаунт, злоумышленник может заполнить ваш почтовый ящик и лишить вас возможности получать дальнейшие письма.

Что такое DDoS?

DDoS (Distributed Denial of Service), вьетнамское значение — распределенный отказ в обслуживании. DDoS-атака — это попытка вывести из строя онлайн-сервис путем переполнения его трафиком из нескольких источников.

Во время DDoS злоумышленники могут использовать ваш компьютер для атаки на другие компьютеры. Используя уязвимости в системе безопасности и неосведомленность, этот человек может получить контроль над вашим компьютером. Затем они используют ваш компьютер для отправки больших объемов данных на веб-сайт или рассылки спама на адрес электронной почты. Это распределенная атака, поскольку злоумышленник использует множество компьютеров, включая ваш, для выполнения Dos-атак.

Хотя DDoS предлагает менее сложный режим атаки, чем другие формы кибератак, они становятся все более мощными и изощренными. Существует три основных типа атак:

  1. На основе объема: использует большой трафик для перегрузки пропускной способности сети
  2. Протокол: фокусируется на использовании ресурсов сервера.
  3. Применение: ориентировано на веб-приложения и считается наиболее сложным и серьезным типом атаки.

Что такое DoS и DDoS атаки типа «отказ в обслуживании»? Каковы их вредоносные эффекты? Рисунок 2

DDoS-атаки осуществляются против сети машин, подключенных к Интернету.

Эти сети включают компьютеры и другие устройства (например, устройства IoT), которые были заражены вредоносным ПО, что позволяет злоумышленникам управлять ими удаленно. Эти отдельные устройства называются ботами (или зомби), а группа ботов называется ботнетом. После того, как ботнет создан, злоумышленник может направлять атаку, отправляя удаленные инструкции каждому боту.

Когда сервер или сеть жертвы подвергаются атаке ботнета, каждый бот отправляет запросы на IP-адрес цели, потенциально перегружая сервер или сеть, что приводит к отказу в обслуживании трафика. обычного трафика. Поскольку каждый бот является легитимным интернет-устройством, отделить трафик атаки от обычного трафика будет сложно.

Наиболее очевидным симптомом DDoS-атаки является веб-сайт или сервис, которые внезапно становятся медленными или недоступными. Но поскольку некоторые причины — например, скачки трафика — могут создавать похожие проблемы с производительностью, часто требуется дальнейшее расследование. Инструменты анализа трафика могут помочь вам обнаружить некоторые из следующих явных признаков DDoS-атаки:

  1. Подозрительный объем трафика, исходящего с IP-адреса или диапазона IP-адресов
  2. Большие объемы трафика от пользователей, которые делятся поведенческим профилем, таким как тип устройства, географическое местоположение или версия веб-браузера.
  3. Необъяснимое увеличение количества запросов к странице или конечной точке
  4. Странные модели трафика, такие как всплески в определенное время суток или кажущиеся неестественными (например, всплески каждые 10 минут)
  5. Существуют и другие, более конкретные признаки DDoS-атаки, которые могут различаться в зависимости от типа атаки.

Разница между DoS и DDoS атаками

Короче говоря, DoS-атака означает, что компьютер отправляет большой объем трафика на компьютер жертвы и «выводит его из строя». DoS-атака — это онлайн-атака, используемая для того, чтобы сделать веб-сайт недоступным для пользователей, когда она выполняется на веб-сайте. Эта атака приводит к «выходу из строя» сервера веб-сайта, подключенного к Интернету, путем отправки на него большого объема трафика.

При DDoS-атаках атаки осуществляются из разных мест с использованием нескольких систем.

Что такое DoS и DDoS атаки типа «отказ в обслуживании»? Каковы их вредоносные эффекты? Рисунок 3

Эти два типа атак имеют следующие различия:

DOS DDOS DoS означает отказ в обслуживании. DDoS означает распределенный отказ в обслуживании. При DoS-атаке только одна система атакует систему-жертву. При DDoS-атаке несколько систем атакуют систему-жертву. Целевой ПК загружается пакетами данных, отправленными из одного места. Целевой ПК загружается пакетами данных, отправленными из нескольких мест. DoS-атаки медленнее, чем DDoS. DDoS-атаки быстрее, чем DoS-атаки. Могут быть легко заблокированы, поскольку используется только одна система. Эту атаку трудно предотвратить, поскольку несколько устройств отправляют пакеты и атакуют из нескольких мест. При DoS-атаке с инструментами DoS-атаки используется только одно устройство. При DDoS-атаке для атаки одновременно используются несколько ботов. DoS-атаки легко отслеживать. DDoS-атаки сложно отслеживать. Трафик во время DoS-атаки меньше, чем во время DDoS. DDoS-атаки позволяют злоумышленникам отправлять большие объемы трафика в сеть-жертву. Типы DoS-атак:
1. Атака переполнения буфера
2. Атака Ping of Death или ICMP-флуд
3. Атака Teardrop Типы DDoS-атак:
1. Объемная атака (атака на полосу пропускания)
2. Атака фрагментации (фрагментация данных)
3. Атака на уровне приложений (использование уязвимостей в приложениях)

Вредные последствия DoS и DDoS

Вот типичные последствия, которые вызывают DDoS и DoS:

  1. Системы и серверы, затронутые DoS-атакой, выйдут из строя, что сделает невозможным доступ пользователей
  2. Компании, владеющие серверами и системами, потеряют доход, не говоря уже о расходах, необходимых для устранения проблем.
  3. При выходе сети из строя все работы, для которых она необходима, не могут быть выполнены, что приводит к прерыванию работы и снижению ее производительности.
  4. Если пользователи зайдут на сайт, когда он рухнет, это повлияет на репутацию компании. Если сайт рухнет надолго, пользователи могут уйти и выбрать другой сервис.
  5. Высокотехничные DDoS-атаки могут привести к краже денег и данных клиентов компании.

Распространенные типы атак типа «отказ в обслуживании» сегодня

SYN-поток:

SYN Flood использует уязвимость в цепочке TCP-подключений, известную как трехстороннее рукопожатие. Сервер получит сообщение синхронизации (SYN) для инициирования «рукопожатия». Сервер получает сообщение, отправляя флаг подтверждения (ACK) на исходный хост, затем закрывает соединение. Однако при SYN Flood отправляются поддельные сообщения, и соединение не закрывается => служба аварийно завершает работу.

UDP-флуд:

User Datagram Protocol (UDP) — это сетевой протокол без сеансов. UDP-флуд нацелен на случайные порты на компьютере или в сети с UDP-пакетами. Сервер проверяет наличие приложений на этих портах, но не находит ни одного.

HTTP-флуд:

HTTP Floods почти как законные запросы GET или POST, эксплуатируемые хакером. Он использует меньшую пропускную способность, чем другие типы атак, но может заставить сервер использовать максимальные ресурсы.

Пинг смерти:

Ping of Death манипулирует IP-протоколами, отправляя вредоносный код в систему. Этот тип DDoS был популярен два десятилетия назад, но сегодня он уже неэффективен.

Атака смурфиков:

Атака Smurf использует интернет-протокол (IP) и ICMP (Internet Control Message Protocol) с помощью вредоносной программы под названием smurf. Она подделывает IP-адрес и использует ICMP, а затем пингует IP-адреса в заданной сети.

Атака Фрэгглов:

Атака Fraggle использует большой объем трафика UDP в широковещательной сети маршрутизатора. Это похоже на атаку Smurf, использующую UDP больше, чем ICMP.

Слоулорис:

Slowloris позволяет злоумышленникам использовать минимальные ресурсы для атаки и нацеливаться на веб-серверы. После подключения к желаемой цели Slowloris сохраняет эту ссылку открытой как можно дольше с помощью HTTP-флуда. Этот тип атаки использовался в нескольких громких хактивистских DDoS-атаках, включая президентские выборы в Иране в 2009 году. Смягчение последствий этого типа атаки имеет решающее значение. трудно.

Атаки на уровне приложений:

Атаки на уровне приложений используют уязвимости в приложениях. Целью этого типа атак является не весь сервер, а приложения с известными уязвимостями.

Усиление NTP:

NTPAmplification использует серверы NTP (Network Time Protocol), протокол, используемый для синхронизации сетевого времени, для переполнения трафиком UDP. Это атака с усиленным отражением. При любой атаке с отражением будет ответ от сервера на поддельный IP. При усилении ответ от сервера больше не будет соответствовать исходному запросу. Поскольку он использует большую полосу пропускания при DDoS-атаке, этот тип атаки является крайне разрушительным и объемным.

Расширенный постоянный DoS-атака (APDoS):

Advanced Persistent DoS (APDoS) — это тип атаки, используемый хакерами в надежде нанести серьезный ущерб. Он использует многие из атак, упомянутых ранее (HTTP Flood, SYN Flood и т. д.), и обычно нацелен на отправку миллионов запросов в секунду. Атаки APDoS могут длиться неделями, в зависимости от способности хакера менять тактику в любое время и создавать разнообразие, чтобы обойти средства защиты.

DDoS-атаки нулевого дня:

DDoS-атаки нулевого дня — это название новых методов DDoS-атак, использующих неисправленные уязвимости.

HTTP-ПОЛУЧИТЬ

HTTP GET — это атака на уровне приложений, меньшая по масштабу и более целенаправленная. Атаки на уровне приложений используют уязвимости в приложениях. Целью этого типа атак является не весь сервер, а приложения с известными уязвимостями.

Этот тип атаки будет нацелен на уровень 7 модели OSI. Это уровень с самым большим сетевым трафиком, вместо того, чтобы нацеливаться на третий уровень, который часто выбирается в качестве цели в атаках Bulk Volumetric. HTTP GET использует процесс отправки некоторого веб-браузера или HTTP-приложения и запрашивает приложение или сервер для каждого HTTP-запроса, который является либо GET, либо POST.

HTTP Floods почти как законные запросы GET или POST, используемые хакером. Он использует меньшую пропускную способность, чем другие типы атак, но может заставить сервер использовать максимальные ресурсы. От этого типа атак трудно защититься, поскольку они используют стандартные URL-запросы, а не поврежденные или высокообъемные скрипты.

Как избежать атак типа «отказ в обслуживании»?

На самом деле нет конкретного способа не стать жертвой DoS или DDoS. Однако мы познакомим вас с несколькими шагами с целью некоторого сокращения типа атаки, которая будет использовать ваш компьютер для атаки на другие компьютеры.

  1. Установите и поддерживайте антивирусное программное обеспечение.

  2. Установите брандмауэр и настройте его для ограничения входящего и исходящего трафика на вашем компьютере.

  3. Соблюдайте правила безопасного распространения адресов электронной почты.

  4. Используйте фильтры электронной почты, чтобы управлять нежелательным трафиком.

В частности, например, для центра обработки данных необходимо реализовать следующие превентивные меры:

Интернет-провайдеры часто имеют защиту от DDoS-атак на уровнях 3 и 4 (сетевой трафик), но игнорируют уровень 7, который является более целенаправленным, и в целом однородность уровней защиты невелика. обеспечить.

Компании справляются с DDoS: они используют свою существующую инфраструктуру для борьбы с любой угрозой, которая им встречается. Обычно это делается через балансировщик нагрузки, сеть доставки контента (CDN) или их комбинацию. Небольшие веб-сайты и сервисы могут передавать работу на аутсорсинг третьим лицам, если у них нет капитала для содержания множества серверов.

Поставщики услуг по борьбе с DDoS-атаками всегда доступны. Обычно они перенаправляют ваш входящий трафик через свою собственную систему и «очищают» его от известных методов атак. Они могут сканировать подозрительный трафик из источников или из необычных геолокаций. Или они также могут перенаправлять ваш законный трафик от источников ботнета.

Большинство современных брандмауэров и систем защиты от вторжений (IPS) обеспечивают защиту от DDoS-атак. Эти устройства могут иметь форму одного устройства, которое сканирует весь трафик в системе или программном обеспечении, распределенном на уровне сервера. На рынке также доступны специализированные приложения для борьбы с DDoS, которые могут обеспечить лучшую защиту от атак, нацеленных на уровень 7.

Регулярное сканирование сети и мониторинг трафика с помощью оповещений также помогут вам выявить риски DDoS-атак на ранней стадии, а также принять меры для минимизации ущерба.

Распознавание Dos и DDos атак

Не каждый полный отказ обслуживания является результатом атаки типа «отказ в обслуживании». Существует множество технических проблем с сетью или администраторами, выполняющими обслуживание и управление. Однако по следующим признакам можно распознать атаку DoS или DDoS:

  1. Необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам)

  2. Если вы не можете получить доступ к веб-сайту, вы все равно его просматриваете

  3. Невозможно получить доступ ни к одному веб-сайту

  4. Количество писем в вашем аккаунте резко возросло.

Что делать, если вы считаете, что подверглись атаке типа «отказ в обслуживании»?

Даже если вы правильно идентифицируете DoS или DDoS атаку, вы не сможете определить источник или цель атаки. Поэтому вам следует обратиться за поддержкой к техническим экспертам.

  1. Если вы обнаружили, что не можете получить доступ к собственным файлам или внешним веб-сайтам с вашего компьютера, вам следует обратиться к сетевому администратору этой сети. Это может указывать на то, что ваш компьютер или сеть вашей организации подвергаются атаке.

  2. Если вы заметили проблемы с вашим компьютером, обратитесь к своему поставщику услуг (ISP). Если возникнут проблемы, ваш ISP может посоветовать вам соответствующие действия.

Проверочные и подготовительные работы в ответ на DDoS-атаки в центрах обработки данных

Когда у вас установлена ​​система защиты от DDoS-атак, первым шагом является определение векторов атак и критических приложений. Какой порт открыт? Какая пропускная способность доступна для использования? Где вероятнее всего будет перегрузка сети? Какие критические системы требуют дополнительной защиты?

Уделяйте особое внимание уязвимым областям, основанным на зависимостях от других систем в вашей инфраструктуре, например, центральным базам данных, которые могут лишить некоторые приложения функциональности в случае их перегрузки.

Существует множество программных инструментов с открытым исходным кодом, которые вы можете использовать для тестирования смягчения последствий DDoS, а также аппаратных опций, которые могут достигать многогигабитных уровней пропускной способности. Однако аппаратные опции будут дорогостоящим решением. Вместо этого профессиональная компания по обеспечению безопасности white hat может предоставить вам тестирование в качестве дополнительной услуги.

DDoS-атаки, безусловно, доставят массу неприятностей, но при тщательной подготовке вы сможете быстро предотвратить их или найти решения, избежав тем самым сбоев в работе сервисов для пользователей и существенно минимизировав ущерб, наносимый DDoS.

Джессика ТаннерДжессика Таннер

Обновление 08 июля 2024 г.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *