DDoS - виртуальный терроризм. Что такое DDoS-атака?

Главная » DDoS - виртуальный терроризм. Что такое DDoS-атака?

Терроризм - это, пожалуй, самая большая проблема человечества насегодняшний день. И виртуальное сообщество здесь мало чем отличается отреального мира. Ушли те романтические времена, когда собирательнымобразом хакера являлся хитрый тип, взломавший защиту банка иперекачавший на свой счет кругленькую сумму. Жесткие времена - жесткиенравы. Теперь хакеры с помощью атаки на сервер блокируют его работу, азатем выставляют хозяевам свои требования. Виртуальный террор в чистомвиде. Редкий месяц обходится без сенсационных сообщений в прессе о том,что тот или иной сервер подвергся DDoS-атаке. В данном обзорепопытаемся разобраться в том, что такое DDoS-атака и что можнопредпринять, чтобы снизить ее опасность. DDoS-атака - сокращение от Distributed Denial Of Service Attack.Особенностью данного вида компьютерного преступления является то, чтозлоумышленники не ставят своей целью незаконное проникновение взащищенную компьютерную систему с целью кражи или уничтоженияинформации. Цель данной атаки - парализовать работу атакуемоговеб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Новсерьез об этой проблеме заговорили в конце 1999 года, когда быливыведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN,eBay, E-Trade и ряда других, немногим менее известных. Спустя год, вдекабре 2000-го "рождественский сюрприз" повторился: серверы крупнейшихкорпораций были атакованы по технологии DDoS при полном бессилиисетевых администраторов. С тех пор сообщение о DDoS-атаке уже неявляются сенсацией. Главной опасностью здесь является простотаорганизации и то, что ресурсы хакеров являются практическинеограниченными, так как атака является распределенной. Схематически DDoS-атака выглядит примерно так: на выбранный вкачестве жертвы сервер обрушивается огромное количество ложных запросовсо множества компьютеров с разных концов света. В результате сервертратит все свои ресурсы на обслуживание этих запросов и становитсяпрактически недоступным для обычных пользователей. Циничность ситуациизаключается в том, что пользователи компьютеров, с которых направляютсяложные запросы, могут даже не подозревать о том, что их машинаиспользуется хакерами. Программы, установленные злоумышленниками наэтих компьютерах, принято называть "зомби". Известно множество путей"зомбирования" компьютеров - от проникновения в незащищенные сети, доиспользования программ-троянцев. Пожалуй, этот подготовительный этапявляется для злоумышленника наиболее трудоемким.Чаще всего злоумышленники при проведении DDoS-атак используюттрехуровневую архитектуру, которую называют "кластер DDoS". Такаяиерархическая структура содержит:

управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки;главныекомпьютеры. Это те машины, которые получают сигнал об атаке суправляющей консоли и передают его агентам-"зомби". На одну управляющуюконсоль в зависимости от масштабности атаки может приходиться донескольких сотен главных компьютеров;агенты - непосредственно сами "зомбированные" компьютеры, своими запросами атакующие узел-мишень.Проследить такую структуру в обратном направлении практическиневозможно. Максимум того, что может определить атакуемый, это адресагента. Специальные мероприятия в лучшем случае приведут к главномукомпьютеру. Но, как известно, и компьютеры-агенты, и главные компьютерыявляются также пострадавшими в данной ситуации и называются"скомпрометированными". Такая структура делает практически невозможнымотследить адрес узла, организовавшего атаку. Другая опасность DDoS заключается в том, что злоумышленникам ненужно обладать какими-то специальными знаниями и ресурсами. Программыдля проведения атак свободно распространяются в Сети.

Дело в том, что изначально программное обеспечение DDoSсоздавалось в "мирных" целях и использовалось для экспериментов поизучению пропускной способности сетей и их устойчивости к внешнимнагрузкам. Наиболее эффективным в этом случае является использованиетак называемых ICMP-пакетов (Internet control messaging protocol), т.е.пакетов, имеющих ошибочную структуру. На обработку такого пакетатребуется больше ресурсов, после решения об ошибочности пакетотправляется посылающему, следовательно достигается основная цель -"забивается" трафик сети. За годы это программное обеспечение постоянно модифицировалось и кнастоящему времени специалисты по информационной безопасности выделяютследующие виды DDoS-атак: UDP flood - отправка на адрессистемы-мишени множества пакетов UDP (User Datagram Protocol). Этотметод использовался в ранних атаках и в настоящее время считаетсянаименее опасным. Программы, использующие этот тип атаки легкообнаруживаются, так как при обмене главного контроллера и агентовиспользуются нешифрованные протоколы TCP и UDP. TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов.TCPSYN flood - посылка большого количества запросов на инициализациюTCP-соединений с узлом-мишенью, которому, в результате, приходитсярасходовать все свои ресурсы на то, чтобы отслеживать эти частичнооткрытые соединения.Smurf-атака - пинг-запросы ICMP (InternetControl Message Protocol) по адресу направленной широковещательнойрассылки с использованием в пакетах этого запроса фальшивый адресисточника в результате оказывается мишенью атаки.ICMP flood - атака, аналогичная Smurf, но без использования рассылки.Естественно, наиболее опасными являются программы, использующиеодновременно несколько видов описанных атак. Они получили название TFNи TFN2K и требуют от хакера высокого уровня подготовки. Одной из последних программ для организации DDoS-атак являетсяStacheldracht (колючая проволока), которая позволяет организовыватьсамые различные типы атак и лавины широковещательных пинг-запросов сшифрованием обмена данными между контроллерами и агентами. Конечно же, в этом обзоре указаны только наиболее известныепрограммы и методики DDoS. На самом деле спектр программ намного шире ипостоянно дополняется. По этой же причине достаточно наивным было быописание универсальных надежных методов защиты от DDoS-атак.Универсальных методов не существует, но к общим рекомендациям дляснижения опасности и уменьшения ущерба от атак можно отнести такиемеры, как грамотная конфигурация функций анти-спуфинга и анти-DoS намаршрутизаторах и межсетевых экранах. Эти функции ограничивают числополуоткрытых каналов, не позволяя перегружать систему. На уровне сервера желательно иметь вывод консоли сервера на другойIP-адрес по SSH-протоколу для возможности удаленной перезагрузкисервера. Другим достаточно действенным методом противодействияDDoS-атакам является маскировка IP-адреса. Весьма важным делом в этом направлении является профилактика -программное обеспечение должно быть "отпатчено" от всевозможных "дыр". Как уже отмечалось, обнаружить виртуальных террористов,организовавших DDoS-атаку, задача очень сложная. Поэтому для борьбы сданным видом угроз необходимо тесное сотрудничество администраторовсерверов и с интернет-провайдерами, а также провайдеров с операторамимагистральных сетей. Потому что, как и в реальной жизни, бороться стерроризмом возможно только объединением законопослушных граждан. Автор: Владимир Малярчук Категория: Обеспечение безопасности | Просмотров: 136

Навигация