24.04.2017
Что такое  DDoS-атака и как с ней бороться

Как происходит DDoS-атака и как бороться с DDoS

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

В конце сентября Сеть всколыхнула самая мощная в мире DDoS-атака, которая была совершена при помощи устройств интернета вещей.

О том, что такое угрозы DDoS (англ. Distributed Denial-of-Service – распределенная атака типа отказа от обслуживания – прим. ред.), каковы их особенности, насколько они распространены в Украине и как от них защититься, рассказали генеральный директор регистратора доменных имен Imena.UA Павел Блоцкий и технический директор хостинг-провайдера MiroHost Сергей Грибченко.

Сергей Грибченко: Сейчас есть немало бытовых приборов типа холодильников или стиральных машин, которые совсем не требуют доступа в интернет, но, тем не менее, его имеют. И это открывает хакерам новое поле для деятельности, ведь нет никаких видимых признаков того, что ваш роутер или холодильник работает в составе ботнета.

Объяснение: Ботнет представляет собой сеть из зараженных вредоносным ПО компьютеров, которые управляются в удаленном режиме хозяевами ботнета. Для создания ботнета используются трояны. Опытные хакеры создают их самостоятельно. В интернете также есть конструкторы троянов, позволяющие легко сгенерировать такое вредоносное ПО даже неспециалистам. Однако большинство антивирусов распознает и обезвреживает такие трояны. Сначала трояны распространяются через доверчивых знакомых, форумы и тому подобное. Как только количество зараженных компьютеров превышает хотя бы 10 000, ботнет можно использовать для заработка. Например, для кликов по баннерам в различных партнерских сетях.

Павел Блоцкий: Обычные домашние компьютеры являются ненадежными и невыгодными с точки зрения использования их в DDoS-атаках. Поскольку в этом случае действие трояна становится достаточно заметным, что, в свою очередь, снижает возможность его дальнейшего использования. Злоумышленник, целью которого является финансовая выгода, заинтересован в длительной «службе» непроявленного трояна, то есть, чтобы такой вирус незаметно «жил» на каждом устройстве как можно дольше.

Зараженные ПК могут выполнять множество более выгодных функций: рассылать спам, генерировать фиктивные клики в рекламных и партнерских сетях, разгадывать «капчи», работать как прокси-анонимизаторы, красть персональные и платежные данные, пароли, личную и корпоративную переписку, зашифровать данные на компьютере с целью вымогательства денег за расшифровку и тому подобное. То есть DDoS является самым примитивным и наименее прибыльным способом использования бот-сети.

Сергей Грибченко: С развитием интернета вещей количество подключенных к Сети устройств вырастет во много раз. С одной стороны, это создаст новые условия для развития ботнетов, а с другой – новое пространство для DDoS. Это очевидно уже сегодня. Ведь блокирование работы «умного» дома или отдельных устройств, которые не имеют защиты от таких атак, может иметь неприятные последствия.

Очень ярко эту тенденцию проиллюстрировал недавний мощный DDoS американского провайдера Dyn. Так, в сеть был выложен исходный код бот-сети Mirai, что позволяет заражать роутеры и видеокамеры, создавая таким образом собственные бот-сети. Именно с использования таких бот-сетей 21 октября 2016 года была предпринята беспрецедентная атака на DNS провайдера Dyn. В результате этой атаки на несколько часов «легли» сайты и сервисы почти мирового значения — такие как Twitter, PayPal, CNN, Spotify и тому подобное.

Украинский интернет и украинский DDOS

В Украине DDoS-атаки большого масштаба редкость, что, к сожалению, не исключает почти ежедневный DDoS разных сайтов.

Павел Блоцкий: В украинском сегменте Сети громких DDoS-атак не было со времен блокировки EX.UA. Тогда, в феврале 2012 года, после отключения файлообменника пользователи «DDoSили» сайты правительственных и силовых структур. Ресурсы не имели серьезной защиты, и атака была успешной – в течение двух дней атакованные сайты были недоступны.

ddosХотя таких крупных атак уже давно не было, это не значит, что их нет вообще. Это интернет, и здесь постоянно кого-то понемногу «DDoSять». В подавляющем большинстве случаев страдают небольшие сайты, которые хостяться» на площадках мелких провайдеров. Именно на таких ресурсах постоянно тренируются хакеры-новички.

Веб-сайты некоторых государственных учреждений почти постоянно подвергаются нападениям, но, несмотря на небольшую силу атаки, они выдерживают. Этомe мало кто уделяет внимание.

Сергей Грибченко: Так, подавляющее большинство «DDoSеров» – это именно молодые хакеры, которые учатся. Иногда, как это было в случае с EX.UA, к атакам подключаются «народные массы». Это типичный пример работы сетевых активистов, которые поднимают на борьбу широкие массы пользователей. За рубежом это достаточно распространенное явление.

Очень редко DDoS применяют как инструмент ограничения доступа к определенной информации. Например, чтобы «положить» сайт какой-то политической партии или деятеля перед выборами, заблокировать доступ к опубликованных материалов. Ранее во время сезона распродаж интернет-магазины «DDoSили» друг друга. К счастью, эта практика уже отошла в прошлое, потому что организация и проведение DDoS-атаки стоит недешево.

Одним словом, чем дольше происходит DDoS, тем он дороже. Это означает, что, рано или поздно, придет время прекратить атаку, даже если она успешная. Поэтому обычно DDoS редко длится больше чем несколько часов. А за такое время сайт можно защитить.

Сергей Грибченко: DDoS полностью разоблачает задействованы в атаке ботнеты. В случае DDoS-атаки ботнеты раскрывают себя и быстро блокируются, владелец теряет над ними контроль. С началом атаки срок жизни ботнета, который создавался месяцами, идет на часы. Сейчас ботнеты используются для распределенных вычислений или генерации криптовалют, то есть менее провокационным и более прибыльных активностей. Устройства, объединенные в ботнет, тратят часть своих ресурсов на решение сложных математических задач, в результате которых создается криптовалюта (цифровые деньги, эмиссия и обращение которых децентрализованные и базируются на методах криптографии). Задачи могут быть и более конкретными, например, взлом паролей.

Как происходит DDoS атака

Павел Блоцкий: DDoS – это распределенная атака, которая происходит с большого количества мест и направлена на прекращение или существенное замедление работы веб-ресурса. Запросы поступают с очень высокой скоростью, они занимают интернет-канал. В таком случае страдают и другие сайты, которые расположены на атакованном сервере. Нападающие пытаются отправить на сайт больше запросов, чем тот способен обработать. Если это удается – ресурс становится недоступным.

По своему характеру такие запросы отличаются от обычного трафика, который создают пользователи. Это позволяет как оборудованию, так и специалистам распознавать атаки и принимать соответствующие меры для противодействия.

Павел Блоцкий: Создание большого потока данных, которые занимают весь интернет-канал – это самый примитивный и не самый эффективный вид атаки. Для перегрузки сайта могут использоваться обращения к базе данных или отдельных форм, например поиска или формы регистрации нового пользователя. Встречаются и более сложные атаки, где злоумышленники имитируют действия пользователей. Как правило, серьезная атака разрабатывается индивидуально, сочетает несколько видов нападения, планируется заблаговременно и базируется на "дырах" сайта-жертвы.

Защита от DDoS

Сергей Грибченко: Защита от атак, как правило, полностью автоматизирована. Провайдеры имеют сложные системы фильтрации, и как только фиксируется аномальное нагрузки на сайт или сервер, срабатывают фильтры. Происходит анализ потока данных, включаются фильтры и блокируют нежелательный трафик. У крупных провайдеров кроме оборудования анализом трафика занимаются еще и соответствующие специалисты, которые могут корректировать защиту в ручном режиме.

Интеллектуальные системы, как Cisco Guard, не только фильтруют трафик, но и определяют источник атаки и информируют других провайдеров. IP-адреса нападавших попадают в «черные» списки, и после этого атака очень быстро утихает. В большинстве случаев атака длится несколько часов, очень редко – более одного дня.

И, однако, даже полностью автоматизированные системы защиты требуют высококвалифицированных и опытных специалистов.

Павел Блоцкий: Малые или дешевые провайдеры делают то, чего добиваются злоумышленники: не имея защиты от DDoS-атак, они просто выключают сервер или сайт, которые стали жертвой киберпреступников. Крупные провайдеры так поступают лишь в исключительных случаях. Крупные компании используют CDN-сети (Content Distribution Network). Работает это таким образом: когда пользователь обращается к сайту, запрос обрабатывает ближайший по географическому расположению сервер CDN, который выдает необходимую страницу, что находится в его кэше, или перенаправляет запрос на сайт. Такая схема очень усложняет атаку, так как требует чрезвычайно много ресурсов для совершения нападения.

Также защититься от DDoS можно путем переноса сайта на более защищенный хостинг. Именно так в Imena.UA/MiroHost пришло немало новых клиентов. Хорошую защиту от DDoS имеет хостинг UKRAINE.

Павел Блоцкий: DDoS-атаки – это инструмент для шантажа и вымогательства денег, сами по себе они не являются на 100% эффективными. Злоумышленники связываются с жертвой после начала атаки и требуют несколько тысяч долларов за прекращение атаки.

Впрочем, есть сферы деятельности, в которых применение DDoS может иметь вполне самодостаточный характер. Так, кроме чисто «исследовательских» целей и интернет-вандализма, DDoS-атаки эффективны против ресурсов и сервисов, чувствительных даже к кратковременным простоям. Например, торговых площадок и финансовых учреждений, аварийных служб и тому подобное. На уровне государств мощные DDoS-атаки могут быть использованы как элементы военной стратегии с целью вывода из строя информационных систем противника.

Сергей Грибченко: Систем фильтрации и «черных списков» вполне достаточно, чтобы ослабить атаку. После начала блокировки ботнета нападающим будет непросто поддерживать силу и интенсивность потока трафика. И, вероятнее всего, все усилия окажутся напрасными, а заказчик просто потратит деньги, не достигнув желаемого результата.

  1. Последние
  2. Популярные
Загрузка...

Новости технологий сегодня

Самые популярные метки