Что такое ddos-атака

Здравствуйте уважаемые читатели. Несколько дней не было новых материалов. Надеюсь вы не сильно расстроились. Тем более у меня было время подготовить для вас интересный материал в категории «компьютерная безопасность«. Но для начала я хотел бы вас спросить — знаком вам термин «ddos-атака» ?. Не знаком? отлично в этом материале мы разберемся с этим понятием. Если же знаком — то все равно читайте дальше, освежить знания всегда полезно.

Введение.

Представьте себе ситуацию когда клиенты известного банка не могут получить информацию о состоянии своего счета посредством смс, т.к. сервер банка недоступен. Или вообще не проходят платежи. Или скажем известный букмекер в разгар интереснейшего матча вдруг перестает вещать информацию о коэффициентах. Можно привести тысячу примеров, когда неожиданное прекращение работы серверов компании несет в лучшем случае недовольство пользователей, а в худшем — существенные денежные потери. В настоящее время подобные проблемы крайне редко возникают из-за технических неполадок — хостинг-провайдеры заранее предупреждают о плановых работах, а резервирование важнейших аппаратных блоков позволяет вести работу практически 24×7, без перебоя. Так с чем связано внезапное прекращение обслуживания. Наверно вы уже догадались, что именно с термином «ddos атака«. Думаю я уже достаточно расписал, чтобы вы поняли насколько серьезную угрозу компьютерной безопасности несет «ddos-атака», а поэтому есть смысл разобраться с этим термином, понять механизм работы и защиты от неё.

Dos-атака

Для лучшего понимания сути, давайте начнем с простого. И для начала познакомимся с термином «dos атака» .  От английского denial of service — отказ в обслуживании, или просто знакомый нам уже Dos, считается базовой категорией в теме компьютерной безопасности. Существует несколько вариантов реализации. Термин применим в любой ситуации, когда злоумышленник пытается помешать нормальному использованию какого-либо ресурса. И это не обязательно веб-сервер. Заполнить жесткий диск файлового сервера посторонними файлами — тем самым не дав пользователям записывать на него необходимую информацию — тоже можно отнести к разряду «dos атака«.

Если говорить о dos атаке применительно к сетевым технологиям, то это обычно либо перегрузка сервера входящими подключениями, или же просто потоком бесполезного «трафика», что делает невозможным подключения пользователей (т.к. полоса пропускания почти всегда ограничена).  Если тоже самое применить к маршрутизатору, то возможно нарушения работы целого сегмента сети.

Dos атаку нельзя ставить наряду с обычным взломом, когда целью является получить доступ к закрытой информации, или авторизоваться в частной сети. Ключевой целью Dos является прекращение обслуживания различных сервисов и аппаратного обеспечения. Чем дольше они остаются недоступными для пользователей — тем успешнее dos атака. И как уже говорилось ранее, если удается провести подобные атаки на важные и ключевые элементы в сетях — это может служить причиной серьезных проблем.

Что такое DDoS-атака?

Если dos-атака — это традиционный, если хотите базовый тип атак, то ddos атака — это продвинутый вариант, который сложнее в реализации, и эффект его в разы «разрушительнее». Еще немного о терминологии: Ddos — Distributed Denial of Service — распределенная атака типа отказ в обслуживании. Атака подобного типа выполняется как правило в больших сетях, и именно в них осуществить ее легче, и эффект будет намного серьезнее. Сейчас вам станет понятно почему.

Если в традиционной dos атака злоумышленник использует источником единичную рабочую станцию, неважно для заполнения цели трафиком, или бесполезными файлами ресурсы винчестеров. То в продвинутой ddos атаке, в качестве источника используются многочисленные рабочие станции сети. Эта система имеет конфигурацию «master-slave». Особой сложности в процессе атаки нет. Злоумышленник неправомерными действиями получает управление над рабочими станциями. Сделать это можно к примеру заразив компьютеры, подключенные к сети интернет, вирусными программами типа «троян». И затем получив возможность управлять рабочей станцией — установить на нее необходимое для атаки программное обеспечение. Как вы уже поняли — все зараженные машины в этой конфигурации именуются как «slave». Тот компьютер с которого производят управление — «master». С машины типа «master» и проводятся все необходимые действия: сообщается машинам «slave» время начала атаки, цель, ее ip-адреса, dns-имя и т.д. Представьте себе если зараженными окажутся тысячи ПК в сети интернет, и с них одновременно начнется атака. К примеру целью будет веб-сервер. Какой бы не была его полоса пропускания, одновременного трафика с такого количества хостов, он не способен будет принять, и цель будет достигнута.

В чем состоит сложность противостояния ddos атаке? Если в базовом варианте dos — резко возрастает подозрительный трафик с одного источника, то его легко заблокировать. В случае же ddos — трафик пойдет из множества источников, и как правило это обычные рабочие станции пользователей интернет. Источник атаки практически невозможно отследить. И написать правила запрета для трафика в такой ситуации крайне сложно.

Почему так трудно противодействовать DDoS? Очевидно, что неожиданный, резко возросший трафик бросится в глаза любому компетентному системному администратору (если раньше не начнет звонить телефон и надрываться пейджер!). Однако, к сожалению, весь этот трафик будет наверняка подделанным, то есть истинный источник атаки будет скрыт. Это значит, что нет очевидного правила, которое позволит файрволлу защитить от этой атаки, так как трафик зачастую выглядит легитимным и может приходить откуда угодно.

Неужели нельзя защититься о ddos атаки, спросите вы? К сожалению как правило нет, или очень сложно. Представьте какой процесс нужно проделать для исследования трафика поступающего одновременно от тысячи источников, на предмет его «враждебности»?

Спасение от DDoS атак

К сожалению 100% защиты от ddos атак не существует. Вы лишь можете предпринимать профилактические действия, которые снизят риск угрозы. И если ваши ресурсы попали под действие ddos атаки, то вы должны снижать уровень причиненного вреда.

Вот список мер профилактики и противодействия ddos атаке.

  • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
  • Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
  • Обратный DDOS — перенаправление трафика , используемого для атаки, на атакующего.
  • Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
  • Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS атак.
  • Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
  • Уклонение. Увод непосредственной цели атаки (доменного имени или ip-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
  • Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
  • Использование оборудования для отражения DoS атак. Например DefensePro® (Radware), Периметр (МФИ-Софт), Arbor Peakflow® и от других производителей.
  • Приобретение сервиса по защите от DoS атак. Актуально в случае превышения флудом пропускной способности сетевого канала.



Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>