НТВ плюс 

Как переводится понятие dos атаки. DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты. Защита от DoS-атак

Если вы работаете в области компьютерных технологий или в области сетевой безопасности, я уверен, что вам знаком термин «отказ в обслуживании», который в просторечье именуется как «DoS атака». В настоящее время это один из наиболее распространенных типов сетевых атак, проводимых в Интернете. Для тех кто не в теме, я проведу «ликбез» и попытаюсь объяснить, что такое DoS атака, в самой доступной и понятной форме.
А началось все с того что один из рабочих сайтов лежал вчера около двух часов. Хостится сайт на NIC.RU, не из самых дешевых, и вроде бы не новички, но, как говорится «и на старуху бывает проруха».

DDoS — отказ в обслуживании

Что такое DOS атака?
Отказ в обслуживании или «DoS атаки» являются одним из видов сетевых атак, предназначены для того, чтобы «затопить» целевые сети или машины большим количеством бесполезного трафика, так чтобы перегрузить атакуемую машину и в конечном итоге поставить ее «на колени». Основная суть DoS атаки, сделать службы, работающие на целевой машине (например, веб-сайт, DNS сервер и пр.) временно недоступными для предполагаемых пользователей. DDoS атаки, как правило, осуществляются на веб-сервера, на которых находятся жизненно важные услуги, такие как банковские сервисы, электронная коммерции, обработка персональных данных, кредитных карт.
Распространенный вариант DOS атаки, известной как DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) атака, стал весьма популярным в последние годы, поскольку это очень мощная и трудно обнаружимая атака. Атака DoS имеет одно место происхождения, а атака DDoS происходит от нескольких IP-адресов, распределенных по нескольким сетям. Как работает DDoS показано на следующей диаграмме:

В отличие от атаки DoS, когда злоумышленник использует для атаки один единственный компьютер или сеть, чтобы атаковать цель, DDoS атака исходит от многочисленных компьютеров и серверов, предварительно зараженных, принадлежащих как правило различным сетям. Так как злоумышленник использует компьютеры и серверы из различных сетей, и даже разных стран, то входящий трафик, по началу, не вызывает подозрений у служб безопасности, так как, его трудно обнаружить.

Можно ли бороться с DoS/DDoS атаками?
Атакующие с помощью DoS-атак могут быть легко добавлены в черный список брандмауэра, с помощью всяческих скриптов и фильтров (по IP-адресам или диапазонам адресов), от которых происходит слишком много запросов, или соединений. DDoS атаки определить слишком сложно, так как входящие запросы выглядеть более или менее естественно, ведь бывает скажем, наплыв клиентов и др.. В этом случае трудно найти разницу между подлинным и вредоносным трафиком. Чрезмерное усиление мер безопасности на брандмауэре может привести к ложным срабатываниям и поэтому настоящие клиенты могут быть отвергнут системой, что согласитесь не есть очень хорошо.

Когда наплыв ложных «клиентов» начинает увеличивается в геометрической прогрессии, делать уже что либо становится поздно, если конечно у вас не сидит целый штат сисадминов и программистов отвечающих как раз за защиту от атак такого рода, ваши сервера становятся не поворотливыми и медлительными, и в конце концов, перестают реагировать на «внешние раздражители», ожидая, когда же на конец закончится этот поток спама.
А в это время злобные хакеры воплощают в жизнь свои темные планы.

DoS-атаки – это атаки, приводящие к парализации работы сервера или персонального компьютера вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс. Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке .

DoS — Denial of Service – атака на «отказ в обслуживании». Осуществить эту атаку можно двумя способами. При первом способе для DoS-атаки используется уязвимость ПО, установленного на атакуемом компьютере . При помощи такой уязвимости на компьютере можно вызвать определенную критическую ошибку, которая и приведет к нарушению работоспособности системы.

Во втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер . Согласно принципам передачи данных между компьютерами в сети, каждый пакет информации, посылаемый одним компьютером другому, обрабатывается некоторое определенное время.

Если в это же время на компьютер поступает еще один запрос, то пакет становится в «очередь» и занимает какое-то количество физических ресурсов системы. Поэтому если на компьютер одновременно отправить большое количество запросов, то чрезмерная нагрузка заставит компьютер «повиснуть» или же аварийно отключиться от интернета. Именно это и нужно организаторам DoS-атаки.

DDoS-атака – это разновидность DoS-атаки. Distributed Denial of Service – «распределенный отказ в обслуживании» — организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью интернет-каналов.

Иногда эффект DDoS-атаки «срабатывает» случайно. Это происходит в том случае, если, например, на сайт, находящийся на сервере, была поставлена ссылка в популярном интернет-ресурсе. Это вызывает мощный всплеск посещаемости сайта (сплэшдот-эффект ), который действует на сервер аналогично DDoS-атаке.

DDoS-атаки, в отличие от просто DoS-атак, чаще всего проводятся для коммерческой выгоды, ведь для организации DDoS-атаки нужны сотни тысяч компьютеров, а такие огромные материальные и временные затраты может позволить себе далеко не каждый. Для организации DDoS-атак злоумышленники используют специальную сеть компьютеров – ботнет .

Ботнет – сеть из зараженных особым видом вирусов компьютеров-«зомби» . Каждым таким компьютером злоумышленник может управлять удаленно, без ведома самого владельца компьютера. При помощи вируса или программы, искусно маскирующейся под «полезное содержимое», на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в «невидимом режиме». В нужный момент по команде владельца ботнета, такая программа активизируется и начинает отправлять запросы на атакуемый сервер.

При проведении DDoS-атак злоумышленники часто используют «кластер DDoS» — специальную трехуровневую архитектуру сети компьютеров. Такая структура содержит одну или несколько управляющих консолей , с которых непосредственно подается сигнал о DDoS-атаке.

Сигнал передается на главные компьютеры – «передающее звено» между управляющими консолями и компьютерами-агентами. Агенты – это компьютеры, непосредственно атакующие сервер своими запросами. И главные компьютеры и компьютеры-агенты – это, как правило, «зомби», т.е. их владельцы не знают, что они являются участниками DDoS-атаки.

Способы защиты от DDoS-атак различны в зависимости от вида самой атаки. Среди DDoS-атак выделяют следующие типы:

UDP flood – атака за счет отправки на адрес «жертвы» множества пакетов UDP; TCP flood — атака за счет отправки на адрес «жертвы» множества пакетов TCP; TCP SYN flood – атака за счет оправки большого количества запросов на инициализацию TCP-соединений; ICMP flood – атака за счет пинг-запросов ICMP.

Злоумышленники могут комбинировать эти и другие виды DDoS-атак, что делает такие атаки еще более опасными и трудноустранимыми.

К сожалению, универсальных методов защиты от DDoS-атак не существует . Но соблюдение некоторых общих правил поможет снизить риск DDoS-атаки или же максимально эффективно бороться с ее последствиями.

Так, для предотвращения DDoS-атаки необходимо постоянно следить за устранением уязвимостей в используемом ПО, наращивать ресурсы и рассредоточивать их. Обязательно на компьютере должен быть установлен хотя бы минимальный пакет программ защиты от DDoS. Это могут быть и обычные файрволы (брандмауэры) и специальные анти- DDoS программы. Для выявления DDoS-атак следует использовать специальные программно-аппаратные комплексы.

DoS-атака (атака типа «отказ в обслуживании», от англ. Denial of Service) - атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простои службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») . В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Виды DoS-атак

Существуют различные причины, из-за которых может возникнуть DoS-условие:

* Ошибка в программном коде , приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера - серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу. Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).

* Флуд (англ. flood - «наводнение», «переполнение») - атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов - процессора, памяти или каналов связи.

* Атака второго рода - атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса. Если атака (обычно флуд) производится одновременно с большого количества IP-адресов - с нескольких рассредоточенных в сети компьютеров - то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

Виды флуда

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы («зафлудить сервер» = «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:

* SYN-флуд - при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытия сокетов (програмных сетевых гнезд, портов) и сервер перестаёт отвечать.

* UDP-флуд - этот тип флуда атакует не компьютер-цель, а его канал связи. Провайдеры резонно предполагают, что UDP-пакеты надо доставить первыми, а TCP- могут подождать. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.

* ICMP-флуд - то же самое, но с помощью ICMP-пакетов.

Многие службы устроены так, что небольшим запросом можно вызвать большой расход вычислительных мощностей на сервере. В таком случае атакуется не канал связи или TCP-подсистема, а непосредственно служба (сервис) - флудом подобных «больных» запросов. Например, веб-серверы уязвимы для HTTP-флуда, - для выведения веб-сервера из строя может применяться как простейшее GET /, так и сложный запрос в базу данных наподобие GET /index.php?search=<случайная строка>.

Выявление DoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток.

Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же, для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют системы обнаружения.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

* сигнатурные - основанные на качественном анализе трафика,

* статистические - основанные на количественном анализе трафика,

* гибридные (комбинированные) - сочетающие в себе достоинства обоих вышеназванных методов.

Защита от DoS-атак

Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.

* Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)

* Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.

* Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.

* Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.

* Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.

* Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.

* Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.

* Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.

* Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Одна из частых ошибок, которая встречается среди кибержурналистов-дилетантов, - это путаница в терминах, обозначающих виды атак на Интернет-ресурсы. Например, DoS и DDoS - это не одно и то же. Хотя аббревиатуры различаются всего лишь на одну букву, за ней скрывается огромная фактическая разница.

Сегодня довольно редко пишут о том, что такое атака DoS (Denial of Service) , т.к. эти атаки практически не используются в связи со своей низкой эффективностью. Однако именно схема DoS - основа современных кибератак на отказ в обслуживании.

DoS-атака представляет собой генерацию "мусорного" трафика с одного устройства (IP-адреса) на ресурс-"жертву" (например, сайт). Цель - исчерпать вычислительные и иные мощности "жертвы", чтобы заблокировать работу последней.

Т.к. Интернет, компьютерная техника и сетевое оборудование развиваются стремительно, набирая мощность, то объем одной DoS-атаки очень скоро стал слишком мал, чтобы заблокировать сколько-нибудь значимый ресурс. Поэтому хакеры нашли самый очевидный способ усиления DoS-атаки: проводить ее с нескольких устройств (IP-адресов) одновременно. Так и появилась распределенная (или массивная) кибератака на отказ в обслуживании - DDoS (Distributed Denial of Service) . Ее гораздо сложнее отфильтровать, а мощность может достигать 1 Tbps.

Кроме того, DoS-атаку легко отразить, когда она уже началась: вычислить IP, с которого идут зловредные пакеты трафика, и занести его в . А когда атака идет со множества IP-адресов, то задача усложняется. Например, для защиты ресурса можно заблокировать все запросы, идущие из одной страны, к которой "привязаны" юридически атакующие айпишники, но тогда и легитимные пользователи оттуда будут лишены доступа к сайту.

В некоторым смысле, если говорить про определение DDoS - это подвид DoS-атаки произошедший от нее путем изменения схемы, но других форм подобных атак нет и первая вытеснила вторую из арсенала хакера. Поэтому в подавляющем количестве случаев корректнее будет использовать термина DDoS-атака либо русскоязычный перевод - распределенная атака на отказ в обслуживании.

Схема такой атаки состоит из трех ключевых элементов: управляющая машина, с которой подаются управляющие сигналы на консоли, через которые сигналы распределяются по миллионам устройств пользователей (взломанных либо зараженных вредоносным кодом). Именно эти устройства и называются ботами. Если раньше это были в основном ПК, то сегодня ботнет атака может осуществляться при помощи роутеров, видеорегистраторов, смартфонов и пр. - любых устройств, имеющих интерфейс для подключения к Интернету. Пользователь бота чаще всего даже не догадывается, что его используют для незаконных деяний.

Сегодня в Интернете в свободном доступе можно найти множество предложений организовать DDoS-тестирование любого сайта за смешную оплату 15-20 $. У таких "хакеров" обычно нет мощного сервера или ботнета (сети из взломанных устройств) для организации массивной кибератаки, и за такие деньги максимум будет проведена DoS, с которой может справиться любой грамотный сисадмин.

Однако значение DoS не стоит недооценивать - именно на них тренируются начинающие злоумышленники, и поскольку такие случаи крайне редко расследуются, то многие остаются безнаказанными.

DoS-атака - это такая атака, которая приводит к парализации работы ПК или сервера. Это происходит из-за того, что посылается огромное количество запросов, которые с довольно высокой скоростью поступают на атакуемый веб-ресурс. DDoS-атака - это атака, которая проводится одновременно с огромного числа компьютеров.

Подробнее о DoS-атаке

DoS (англ. Denial of Service) переводится буквально, как «отказ в обслуживании». У такой атаки есть два варианта осуществления. Если атака осуществляется первым способом, то используется при этом уязвимость ПО, который установлен на компьютере, который будет атакован. С помощью этой уязвимости на компьютере вызывают критическую ошибку, приводящую к нарушению работоспособности всей системы. Если же используется второй способ, то DoS-атака осуществляется при помощи отсылки очень большого количества пакетов информации на компьютер. Каждый пакет информации, который отсылается с одного компьютера на другой, некоторое время обрабатывается.

Если же во время обработки приходит другой запрос, то он «встаёт в очередь» и занимает некоторое количество физических ресурсов всей системы. Но если на компьютер отослать большое количество пакетов информации, то такая огромная нагрузка заставит компьютер экстренно отключиться от интернета или же, попросту зависнуть, чего и добиваются организаторы DoS-атаки.

Подробнее о DDoS-атаке

DDoS-атака (англ. Distributed Denial of Service, в переводе - «распределённый отказ в обслуживании») - это некоторая разновидность DoS-атаки. Такая атака организуется огромным числом компьютеров. Из-за этого атаке подвержены даже такие сервера, которые имеют огромную пропускную способность интернет-каналов.

Но не всегда DDoS-атака проходит по чьей-то недоброй воле. Иногда такой эффект может произойти случайно. Так может произойти, если, например, на какой-то сайт, который находится на каком-нибудь сервере, был поставлен линк (ссылка) в очень популярном веб-ресурсе. Это явление называют сплэшдот-эффектом.

Необходимо знать, что DDoS-атака почти всегда проводится в целях коммерческой выгоды, ведь для её организации потребуется огромное количество как временных, так и материальных затрат, что, согласитесь, может позволить себе не каждый. Довольно часто при организации DDoS-атаки используется специальная сеть компьютеров под названием ботнет.

Что такое ботнет? Ботнет - это такая сеть компьютеров, которые были заражены особым видом вирусов. Абсолютно всеми заражёнными компьютерами удалённо владеет злоумышленники, часто владельцы этих компьютеров даже не знают, что они принимают участие в DDoS-атаке. Компьютеры заражаются определённым вирусом или же программой, которая маскируется под полезную. Затем при помощи этой программы в компьютер устанавливают вредоносный код, который работает в так называемом «невидимом» режиме, поэтому его не замечают антивирусы. В определённый момент владелец ботнета активирует эти программы и начинает отсылать запросы на сервер, атакуемый злоумышленниками.

Часто злоумышленники, когда проводят DDoS-атаку, используют так называемый «кластер DDoS». Кластер DDoS - это такая специальная трёхуровневая архитектура сети ПК. В такой структуре обычно один или же несколько управляемых консолей, подающих сигнал о начале DDoS-атаки.

Затем этот сигнал передаётся на главные компьютеры (главные компьютеры это что-то типа посредников между консолями и компьютерами-агентами). Компьютеры-агенты - это и есть те компьютеры, которые атакуют сервер. Часто владельцы главных компьютеров и компьютеров-агентов даже не подозревают о том, что они участвуют в атаке.

Защиты от DDoS-атаки могут быть различны. Это из-за того, что и сами виды этих атак различаются. Вот четыре основных типа: UDP flood, TCP flood, TCP SYN flood и ICMP flood. DDoS-атака становится ещё опасней, если злоумышленники комбинируют все эти способы или некоторые из них.

Универсальный способ защиты от этого типа атак ещё не придуман. Но если соблюдать несколько простых правил, то риск атаки можно свести почти к нулю. Необходимо устранить уязвимости ПО, также надо наращивать ресурсы, а также рассредоточивать их. На компьютере должен быть установлен пакет программ защиты от этого вида атаки (хотя бы минимальный).