DDoS-атака — это атака на вычислительную систему серверов с целью довести ее до отказа в работе. Во время выполнения атаки работа серверов может быть затруднена. Обычно, DDoS-атака выполняется с большого числа компьютеров, чтобы прорвать защиту хорошо защищенного сервера. Такая атака называется распределенной.
Вычислительная сеть, на которую планируется совершаться распределенная атака, сканируется злоумышленником и в ней выявляется потенциально слабые места. После этого, на уязвимые места производится нападение, после чего хакеры получают права доступа и устанавливают троянские программы для их работы в фоновом режиме.
Захваченные компьютеры, которые подверглись взлому и были заражены троянскими программами, называют компьютерами-зомби. Владельцы таких компьютеров могут даже и не подозревать, что их машина используется для участия в совершаемой DDoS-атаке.
Хакеры отправляют необходимые команды компьютерам-зомби и с их помощью осуществляют мощнейшую DDoS-атаку на целевой компьютер. Большое количество запросов производят очень большую нагрузку на сервер и как следствие сервер перестает нормально функционировать.
Чтобы защитить себя от сетевых атак применяют специальные фильтры с большой пропускной способностью, которые анализируют проходящий трафик, выявляя нестандартную сетевую активность и многочисленные ошибки.
DDoS-атаки производятся по следующему ряду причин:
1. Конкуренция — заказ атаки на сервера одним из конкурентов.
2. Политический умыслы — поддержка разных акций, несогласие с введением нового закона или протест против одной из-политических сторон.
3. Личная неприязнь — правительственные и коммерческие, а также некоммерческие организации, либо отдельные субъекты совершают DDoS-атаку.
4. Развлечение — атака на систему серверов без какой-либо причины.
Разновидность DDoS-атак:
— Насыщение полосы пропускания — или пропускная способность, флуд. За счет того, что компьютер подключен к сети Internet, либо к локальной сети, производится DDoS-атака при помощи переполнения полосы пропускания. Хакеры используют большое количество бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, что соответственно приводит к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.
Флуд бывает следующих типов:
- HTTP-флуд и ping-флуд — один из примитивных видов DDoS-атаки. Осуществляется при помощи обычных ping-запросов если канал атакующего шире канала компьютера-жертвы. Данный вид атаки бесполезен против сервера с широкой полосой пропускания.
- Smurf-атака (ICMP-флуд) — является опасным видом атаки после которой отказ в обслуживании сервера гарантирован 100%. Для данной атаки необходима усиливающая сеть, по которой хакер отправляет поддельный ICMP пакет, после чего адрес атакующего меняется на адрес жертвы и все узлы пришлют ей ответ на ping-запрос.
- Атака Fraggle (UDP-флуд)- на седьмой порт жертвы отправляются echo-команды по широковещательному запросу и идет подмена ip-адреса злоумышленника на ip-адрес жертвы. Далее жертва получает множество ответных сообщений, количество которых зависит от числа узлов в сети. Атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы.
- Переполнение пакетами SYN (SYN-флуд) — осуществляется за счет обмена данными между двумя системами, во установку соединения которого выделяется некоторое количество ресурсов,чем и пользуются хакеры. Они отправляют несколько ложных запросов, после чего израсходовают все ресурсы системы.
— Недостаток ресурсов — вид DDoS атаки для захвата системных ресурсов: оперативной и физической памяти, процессорного времени и остального.
— Отправка «тяжелых» пакетов- отправка хакером пакетов серверу, которые не насыщают полосу пропускания, однако тратят все его процессорное время. Из-за этого на сервере может произойти сбой и он станет недоступен.
—Переполнение сервера лог-файлами — это переполнение файлами, в которых записываются действия пользователей или работы сервера.
—Плохая система квотирования — получение доступа хакера к CGI-программе на сервере и написание им скрипта для проведения DDoS-атаки используя системные ресурсы.
—Недостаточная проверка данных пользователя — приводит к повышенному и длительному потреблению процессорных ресурсов до исчерпания этих ресурсов.
—Ошибки программирования — злоумышленник пишет специальные программы (эксплойты), при помощи которых атакует сложные вычислительные системы. Сюда можно отнести ошибки в программном коде, приводящие к аварийному завершению серверной программы.
—Недостатки в программном коде — ошибки допущенные системным администратором или программистом на сервере.
—Переполнение буфера — возникает когда программа из-за ошибки программиста записывает данные за пределами буфера.
Методы обнаружения DoS-атак:
1. Сигнатурные — качественный анализ трафика.
2. Статистические — количественный анализ трафика.
3. Гибридные (комбинированные) — качественный и количественный анализы трафика.
Защита от DDoS-атак:
На данный момент полностью защититься от DDoS-атак невозможно. Но существует целый комплекс мер связанных с предотвращением и отражением атак на сервер.
1. Предотвращение- профилактика причин возникновения DDoS-атаки и их устранение.
2. Воздействие на организатора DDoS-атаки — посредством принятия в исполнения технических и правовых меры.
3. Программное обеспечение — обеспечение фильтрации и блэкхолинга, блокирование трафика, исходящего от атакующих компьютеров.
4. Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера, позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
5. Устранение уязвимостей - не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
6. Укрепление ресурсов — применять различные способы защиты и построение распределённых и дублированных систем, которые не прекратят обслуживание при DDoS-атаке на их некоторые их элементы.
7. Уклонение — от DDoS-атак посредством смены доменного имени или IP-адреса.
Отличная статья, спасибо. Ддос атаки вещь плохая, особенно для владельцев бизнеса. У знакомого очень давно ддосили интернет-магазин, так убытков значительно у него было, ни заказов не принять, ничего оформить невозможно было.