DoS útok

DoS ( zkr. anglicky  Denial of Service "denial of service") - hackerský útok na počítačový systém za účelem jeho zhroucení, tedy vytvoření takových podmínek, za kterých svědomití uživatelé systému nebudou moci přístup k poskytovaným systémovým prostředkům (serverům), jinak bude tento přístup obtížný. Selhání „nepřátelského“ systému může být také krokem k ovládnutí systému (pokud v nouzi software vydá nějakou kritickou informaci – např. verzi, část programového kódu atd.). Častěji se však jedná o měřítko ekonomického tlaku: ztráta jednoduché služby, která generuje příjem, účty od poskytovatele a opatření k zamezení útoku výrazně zasáhla kapsu cíle. [1] V současné době jsou nejpopulárnější útoky DoS a DDoS, které mohou přivést k selhání téměř jakýkoli špatně napsaný systém, aniž by zanechaly právně významné důkazy.

Distribuovaný útok DoS

Pokud je útok prováděn současně z velkého počtu počítačů, hovoří se o DDoS útoku [2] (z angl.  Distributed Denial of Service , distribuovaný útok odmítnutí služby ). Takový útok je proveden, pokud je požadováno, aby způsobil odmítnutí služby dobře chráněné velké společnosti nebo vládní organizaci.

Útočník nejprve prohledá rozsáhlou síť pomocí speciálně připravených skriptů, které identifikují potenciálně slabé uzly. Vybraní hostitelé jsou napadeni a útočník na nich získá administrátorská práva. Trojské koně se instalují na zachycené hostitele a běží na pozadí . [3] Nyní se těmto počítačům říká zombie počítače , jejich uživatelé ani netuší, že jsou potenciálními účastníky DDoS útoku. Poté útočník odešle určité příkazy zachyceným počítačům a ty na oplátku provedou kolektivní útok DoS na cílový počítač.

Existují také programy pro dobrovolnou účast na DDoS útocích.

V některých případech vede nezamýšlená akce ke skutečnému DDoS útoku, například umístěním odkazu na oblíbený internetový zdroj na stránku hostovanou na nepříliš produktivním serveru ( efekt lomené tečky ). Velký příliv uživatelů vede k překročení povolené zátěže serveru a následně k odmítnutí služby pro některé z nich.

Obrana

K ochraně před síťovými útoky se používá řada filtrů připojených k internetovému kanálu s velkou šířkou pásma. Filtry fungují tak, že sekvenčně analyzují procházející provoz a odhalují nestandardní síťovou aktivitu a chyby. Analyzované vzorce nestandardního provozu zahrnují všechny v současnosti známé metody útoku, včetně těch, které jsou implementovány pomocí distribuovaných botnetů. Filtry lze implementovat jak na úrovni směrovačů , řízených přepínačů , tak na úrovni specializovaného hardwaru.

Důvody používání DDoS útoků

Odborníci na informační bezpečnost identifikují několik důvodů pro používání DDoS útoků. [čtyři]

Osobní nevraživost

Tento důvod často slouží jako záminka k útokům na velké komerční a vládní organizace a společnosti. V roce 1999 byly tedy napadeny webové stránky FBI, které byly následně několik týdnů nepřístupné. Motivem byla nedávná razie FBI proti hackerům. [5]

Zábava

V dnešní době se o DoS útoky zajímá stále více lidí a každý si chce tento byznys vyzkoušet. Proto mnoho začínajících útočníků provádí DoS útoky pro zábavu. Po úspěšném útoku se podívají na rozsah jejich zničení. [6]

Politický protest

Nejznámějšími DDoS útoky zaměřenými na politický protest byly akce na podporu Památníku vojáka osvoboditele v Estonsku (2007) [7] , Jižní Osetii (2008), Wikileaks (2011), Megaupload (2012) a EX.UA (2012 ), a také proti ruské invazi na Ukrajinu [8] .

Nekalá soutěž

DDoS útoky mohou být prováděny na objednávku bezohledného konkurenta .

Vydírání nebo vydírání

DDoS útoky mohou být prováděny za účelem vydírání nebo vydírání , v takovém případě útočník nejprve kontaktuje vlastníka webu.

Klasifikace útoků DoS

Pro hackery je mnohem snazší provést útok DoS na systém, než k němu získat plný přístup. Existují různé důvody, proč může nastat stav DoS, tedy situace, kdy uživatelé nemají přístup ke zdrojům, které server poskytuje, nebo je přístup k nim značně obtížný: [9]

Nasycení šířky pásma

V současné době je téměř každý počítač připojen k internetu nebo k místní síti. Toto je vynikající příležitost k provedení útoku DoS přeplněním šířky pásma. Útočníci obvykle využívají záplavu ( angl.  flood  - "flood", "overflow") - útok spojený s velkým počtem obvykle nesmyslných nebo nesprávně formátovaných požadavků na počítačový systém nebo síťové zařízení, který má za cíl nebo vedl k selhání systému z - pro vyčerpání systémových prostředků - procesoru, paměti nebo komunikačních kanálů. Existuje několik druhů povodní. [deset]

HTTP flood a ping flood

Jedná se o nejprimitivnější typ DoS útoku. Nasycení šířky pásma lze provést pouze pomocí pravidelných pingů, pokud je kanál útočníka mnohem širší než kanál počítače oběti. Ale takový útok je proti serveru k ničemu, protože ten má zase poměrně širokou šířku pásma. HTTP záplava se obvykle používá k útoku na server. Útočník odešle malý HTTP paket, ale takový, že na něj server odpoví paketem, který je stokrát větší. I když je kanál serveru desetkrát širší než kanál útočníka, stále existuje velká šance na nasycení šířky pásma oběti. A aby se předešlo tomu, že pakety HTTP s odpovědí způsobí odmítnutí služby útočníkem, pokaždé nahradí svou ip-adresu ip-adresami uzlů v síti. [jedenáct]

Smurf attack (ICMP flood)

Šmoulí útok neboli ICMP flood  je jedním z nejnebezpečnějších typů DoS útoků, protože počítač oběti po takovém útoku zažije odmítnutí služby s téměř 100% zárukou. Útočník používá vysílání ke kontrole živých hostitelů v systému odesláním požadavku ping . Je zřejmé, že samotný útočník nebude schopen deaktivovat počítač oběti, takže je zapotřebí ještě jeden účastník – toto je zesilující síť. V něm útočník odešle falešný ICMP paket na broadcast adresu . Poté se adresa útočníka změní na adresu oběti. Všechny uzly jí pošlou odpověď na požadavek ping. Proto ICMP paket odeslaný útočníkem přes zesilující síť obsahující 200 uzlů bude zesílen faktorem 200. Pro takový útok se většinou volí velká síť, aby počítač oběti neměl šanci. [12]

Fraggle attack (UDP flood)

Útok Fraggle (fragmentační granát) (z angl.  Fraggle attack ) je úplnou obdobou útoku Šmoula, kde se místo ICMP paketů používají UDP pakety , proto se mu také říká UDP flood. Princip fungování tohoto útoku je jednoduchý: echo příkazy jsou odesílány na sedmý port oběti na žádost o vysílání. Poté je útočníkova IP adresa nahrazena IP adresou oběti, která brzy obdrží mnoho odpovědí. Jejich počet závisí na počtu uzlů v síti. Tento útok má za následek nasycení šířky pásma a úplné odmítnutí služby oběti. V tomto případě, pokud je služba echo zakázána, budou generovány zprávy ICMP, což také povede k nasycení šířky pásma. [12]

SYN packet flood attack (SYN flood)

Před útokem Šmoula byl rozšířený útok SYN flood, také známý jako SYN flood . [13] Pro popis jeho fungování se můžeme pozastavit nad úvahou o dvou systémech A a B, které mezi sebou chtějí navázat TCP spojení , po kterém si mohou vyměňovat data. K navázání spojení je přiděleno určité množství zdrojů a útoky DoS toho využívají. Odesláním několika falešných požadavků můžete vyčerpat všechny systémové prostředky přidělené pro navázání spojení. [14] Podívejme se blíže na to, jak se to děje. Hacker ze systému A odešle SYN paket do systému B, ale po změně jeho IP adresy na neexistující. Poté počítač B nevědomky odešle odpověď SYN/ACK na neexistující IP adresu a přejde do stavu SYN-RECEIVED. Protože zpráva SYN/ACK nedorazí do systému A, počítač B nikdy nepřijme paket s příznakem ACK. [15] [16] Toto potenciální připojení bude zařazeno do fronty. Frontu opustí až po 75 sekundách. [17] Útočníci toho využívají k odeslání několika SYN paketů do počítače oběti najednou v intervalu 10 sekund, aby zcela vyčerpali systémové prostředky. Určení zdroje útoku je velmi obtížné, protože útočník neustále mění zdrojovou IP adresu. [osmnáct]

Nedostatek zdrojů

Útočníci používají tento typ útoku DoS k zachycení systémových prostředků, jako je RAM a fyzická paměť, čas procesoru a další. Obvykle jsou takové útoky prováděny s ohledem na skutečnost, že hacker již má určité množství systémových prostředků. Účelem útoku je získat další zdroje. K tomu není nutné nasytit šířku pásma, ale jednoduše přetížit procesor oběti, to znamená, že zabere veškerý povolený čas procesoru. [19]

Odesílání "těžkých" požadavků

Útočník posílá na server pakety, které nezasytí šířku pásma (kanál je obvykle dost široký), ale plýtvají veškerým časem jeho CPU. Procesor serveru, když je zpracovává, nemusí být schopen zvládnout složité výpočty. Z tohoto důvodu dojde k selhání a uživatelé nebudou mít přístup k potřebným zdrojům.

Server plný log souborů

Soubory protokolu serveru jsou soubory, které zaznamenávají akce uživatelů sítě nebo programu. Nekvalifikovaný administrátor může chybně nakonfigurovat systém na svém serveru, aniž by nastavil určitý limit. Hacker využije této chyby a odešle velké pakety, které brzy zaberou veškeré volné místo na pevném disku serveru. Tento útok ale bude fungovat pouze v případě nezkušeného administrátora, ti kvalifikovaní ukládají log soubory na samostatný systémový disk. [jedenáct]

Špatný systém kvót

Některé servery mají tzv. CGI program , který spojuje externí program s webovým serverem. Pokud hacker získá přístup k CGI, může napsat skript ( angl.  scripting language ), který využívá spoustu serverových zdrojů, jako je RAM a procesorový čas. Například skript CGI může zahrnovat procházení vytvářením velkých polí nebo výpočty složitých matematických vzorců. V tomto případě může centrální procesor k takovému skriptu přistupovat několik tisíckrát. Z toho plyne závěr: pokud je systém kvót nakonfigurován nesprávně, pak takový skript v krátké době odebere ze serveru všechny systémové prostředky. Cesta z této situace je samozřejmě zřejmá - nastavit určitý limit pro přístup do paměti, ale v tomto případě bude proces skriptu po dosažení tohoto limitu čekat, dokud nevytáhne všechna stará data z paměti. Uživatelé proto zaznamenají nedostatek systémových prostředků. [dvacet]

Nedostatečné ověření uživatelských dat

Nedostatečná validace uživatelských dat také vede k nekonečnému nebo dlouhému cyklu nebo zvýšené dlouhodobé spotřebě procesorových zdrojů (až vyčerpání procesorových zdrojů) nebo přidělení velkého množství RAM (až do vyčerpání dostupné paměti). [čtrnáct]

Útok druhého druhu

Jedná se o útok, který se snaží falešně spustit bezpečnostní systém, a tím učinit zdroj nedostupným.

Chyby programování

Profesionální DoS útočníci nepoužívají tak primitivní metodu útoku, jako je saturace šířky pásma. Poté, co plně pochopili strukturu systému oběti, píší programy ( exploity ), které pomáhají útočit na složité systémy komerčních podniků nebo organizací. Nejčastěji se jedná o chyby v programovém kódu vedoucí k přístupu k nevyužitému fragmentu adresního prostoru, provedení neplatné instrukce nebo jiné neošetřené výjimky při havárii programu serveru - programu serveru. Klasickým příkladem je adresování nulové ( eng.  null ) adresy. [21]

Slabiny v kódu programu

Zpracování výjimek bylo pro vývojáře operačních systémů vždy bolestí hlavy. Útočníci hledají chyby v programovém kódu programu nebo operačního systému a nutí je zpracovávat výjimky, které nedokáže zpracovat. To má za následek chyby. Jednoduchým příkladem je častý přenos paketů, který nerespektuje specifikace a standardy RFC dokumentů . [22] Útočníci sledují, zda síťový zásobník dokáže zpracovat výjimky. Pokud ne, pak přenos takových paketů povede k panice jádra ( kernel panic ) nebo dokonce ke kolapsu celého systému jako celku. [23]

Tato třída zahrnuje chybu Ping of death , běžnou v 90. letech. Délka paketu RFC 791 IPv4 IPv4 nesmí přesáhnout 65 535 bajtů; větší paket ICMP je odeslán do počítače oběti , který byl předtím rozdělen na části; oběť má z takového paketu přetečení vyrovnávací paměti . Další chybou té doby je WinNuke ( Windows 95 správně nezpracovával vzácný kousek paketu URG TCP).

Přetečení vyrovnávací paměti

K přetečení vyrovnávací paměti dochází, když program zapisuje data mimo vyrovnávací paměť kvůli chybě programátora. Řekněme, že programátor napsal aplikaci pro výměnu dat po síti, která funguje na nějakém protokolu. Tento protokol striktně stanoví, že určité pole paketu může obsahovat maximálně 65536 bajtů dat. Po otestování aplikace se ale ukázalo, že v její klientské části není potřeba do tohoto pole vkládat data větší než 255 bajtů. Proto serverová část nepřijme více než 255 bajtů. Poté útočník změní kód aplikace tak, že nyní klientská část odešle všech 65536 bajtů povolených protokolem, ale server není připraven je přijmout. To způsobí přetečení vyrovnávací paměti a zabrání uživatelům v přístupu k aplikaci. [jedenáct]

Směrování a útoky DNS

Všechny útoky na DNS servery lze rozdělit do dvou typů: [24]

DoS útoky na softwarová zranitelnost serverů DNS

Říká se jim také cache útoky. Během tohoto útoku útočník nahradí IP adresu DNS serveru domény oběti. Poté při požadavku na HTML stránku napadená osoba buď spadne do "černé díry" (pokud byla IP adresa nahrazena neexistující), nebo jde přímo na server útočníka. Druhý případ je žalostnější, protože útočník může snadno získat přístup k osobním údajům nic netušící oběti. Podívejme se na příklad, jak se to děje. Řekněme, že zákazník chce přejít na web Microsoft.com. Pomocí chyby zabezpečení na firemním serveru DNS však útočník změnil IP adresu hostitele microsoft.com na svou vlastní. Nyní je oběť automaticky přesměrována na uzel k útočníkovi.

DDoS útoky na DNS servery

Dále budeme hovořit o útocích DDoS, protože účast serverů DNS vždy znamená přítomnost velkého počtu počítačů. Útoky na servery DNS jsou nejběžnějšími útoky, které vedou k odmítnutí služby serveru DNS, a to jak nasycením šířky pásma, tak zabíráním systémových prostředků. Ale takový útok vyžaduje obrovské množství zombie počítačů . Po jeho úspěšné implementaci se uživatelé na internetu nemohou dostat na požadovanou stránku, protože DNS server nedokáže přeložit název domény na IP adresu webu. V současné době jsou však útoky na servery DNS pomocí velkého počtu zombie počítačů (takový systém se nazývá „ botnet “) méně relevantní, protože poskytovatelé internetových služeb si snadno všimnou velkého množství odchozího provozu a zablokují jej. Malefactors si nyní vystačí s malými botnety, nebo je nepoužívají vůbec. Hlavní myšlenkou je, že hackeři používají DNS servery [26] založené na technologii DNSSEC . [27] Síla útoku se zvyšuje kvůli nárůstu odrazů DNS dotazů. V ideálním případě by DNS servery konkrétního poskytovatele měly zpracovávat pouze požadavky, které k nim přicházejí od uživatelů tohoto poskytovatele, ale to je daleko od reality. Na celém světě existuje mnoho špatně nakonfigurovaných serverů, které mohou přijmout požadavek od jakéhokoli uživatele na internetu. Zaměstnanci CloudFlare tvrdí, že v současnosti je na internetu více než 68 tisíc nesprávně nakonfigurovaných DNS serverů, více než 800 z nich je v Rusku. [28] Tyto servery DNS se používají pro útoky DDoS. Základní myšlenkou je, že téměř všechny DNS dotazy jsou odesílány přes UDP, kde je poměrně snadné změnit zpáteční adresu na adresu oběti. Útočník tedy přes nesprávně nakonfigurované DNS servery odešle takový požadavek, aby odpověď na něj byla co největší objemově (může to být například seznam všech záznamů v DNS tabulce), ve kterém je obrácená IP adresa je nahrazena IP adresou oběti. Servery poskytovatelů mají zpravidla poměrně velkou šířku pásma, takže není těžké vytvořit útok o velikosti několika desítek Gb/s. [29]

Seznam autonomních systémů s nejvyšším počtem chybně nakonfigurovaných DNS serverů k 11.10.2013. [28]

Počet serverů DNS Název autonomního systému Umístění
2108 BELPAK-AS Republican Unitary Telecommunication Enterprise Be Bělorusko
1668 Obchodní skupina pro datovou komunikaci HINET
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Korea
965 Telefonica Argentina Argentina
894 Informace ERX-TANET-ASN1 Tiawan Academic Network (TANet) C Tchaj-wan
827 KDDI KDDI CORPORATION
770 Compa Dominicana de Telefonos, C. por A. — CODETEL
723 CHINANET-BACKBONE No.31, Jin-rong Street Čína
647 LGDACOM Společnost LG DACOM Corporation
606 UUNET – MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonésie Indonésie
601 KOLUMBIE TELECOMUNICACIONES SA ESP Kolumbie

Detekce DoS/DDoS útoků

Existuje názor, že speciální nástroje pro detekci DoS útoků nejsou potřeba, protože fakt DoS útoku nelze přehlédnout. V mnoha případech je to pravda. Poměrně často však byly pozorovány úspěšné DoS útoky, kterých si oběti všimly až po 2-3 dnech. Stávalo se , že negativní důsledky útoku ( povodňový útok) měly za následek nadměrné náklady na placení za nadměrný internetový provoz, což se projevilo až při obdržení faktury od poskytovatele internetu. Mnohé metody detekce narušení jsou navíc neúčinné v blízkosti cíle útoku, ale jsou účinné na páteřních sítích. V takovém případě je vhodné instalovat detekční systémy přesně tam a nečekat, až si toho sám všimne napadený uživatel a vyhledá pomoc. Pro účinné čelení DoS útokům je navíc nutné znát typ, povahu a další charakteristiky DoS útoků a právě bezpečnostní služby umožňují tyto informace rychle získat. Pomáhají provést některá nastavení systému. Ale určit, zda tento útok provedl útočník, nebo bylo odmítnutí služby výsledkem abnormální události, nemohou. V souladu s pravidly bezpečnostní politiky bude v případě zjištění DoS nebo DDoS útoku nutné jej zaregistrovat pro další audit. Jakmile je útok detekován, mohou být bezpečnostní služby požádány, aby provedly určité úpravy systému a vrátily jej do předchozí úrovně provozu. K detekci DDoS útoku lze také použít služby, které se netýkají zabezpečení, například přesměrování provozu přes jiné komunikační kanály, zapnutí záložních serverů pro kopírování informací. Prostředky pro detekci a prevenci DDoS útoků se tedy mohou značně lišit v závislosti na typu chráněného systému. [třicet]

Metody detekce útoků DoS lze rozdělit do několika velkých skupin:

  • podpis - na základě kvalitativní analýzy provozu.
  • statistická – založená na kvantitativní analýze návštěvnosti.
  • hybridní (kombinovaný) - spojující výhody obou výše uvedených způsobů.

Notoricky známé DDoS útoky

Například v roce 2012 došlo k několika rozsáhlým DDoS útokům na servery DNS. První z nich byl plánován na 31. března, ale nikdy se neuskutečnil. Cílem útočníků ze skupiny Anonymous [32] bylo přivést celou globální internetovou síť do záhuby. Chtěli to udělat pomocí DDoS útoku na 13 kořenových DNS serverů [33] . Útočníci vydali speciální utilitu Ramp , která měla kombinovat menší DNS servery a poskytovatele internetu . S jejich pomocí bylo plánováno deaktivovat globální síť.

Přesně stejný útok byl proveden v listopadu 2002. Stále je považován za nejglobálnější DDoS útok na servery DNS, protože v důsledku toho útočníci dokázali deaktivovat 7 kořenových serverů. Další útok se odehrál v srpnu proti AT&T , největší americké telekomunikační společnosti. V důsledku toho po útoku, který trval 8 hodin, firemní servery DNS selhaly. Uživatelé se nějakou dobu nemohli dostat nejen na web AT&T, ale ani na komerční stránky v jeho síti.

Další útok se odehrál 10. listopadu 2012 proti Go Daddy , což je největší světový poskytovatel hostingu. Následky útoku byly zničující: zasažena byla nejen samotná doména www.godaddy.com, ale také více než 33 milionů internetových domén, které si společnost zaregistrovala. [34]

Mnohem dříve, 22. srpna 2003, kyberzločinci použili virus Mydoom k deaktivaci webových stránek SCO , společnosti zabývající se systémovým softwarem. Celé 3 dny se uživatelé nemohli dostat na webové stránky společnosti. [35]

15. září 2012 zasáhl masivní 65Gbps DDoS útok CloudFlare , síť pro doručování obsahu , která se věnuje sdílenému hostingu. Servery této společnosti jsou umístěny po celém světě. [29] To pomáhá uživateli mnohem rychleji načíst stránku na internetu z nejbližšího (geograficky řečeno) serveru CloudFlare. Dříve tato společnost odolávala DDoS útokům s kapacitou několika desítek Gb/s, ale nedokázala si poradit s útokem 65 Gb/s. Tento vrchol nastal v sobotu 15. září ve 13:00. Zaměstnanci, kteří v CloudFlare v té době pracovali, byli bývalí hackeři, kteří měli zájem zjistit, jak přesně byl tento DDoS útok proveden a jak ho útočníci dokázali provést s takovou silou. Ukázalo se, že takový útok by vyžadoval 65 000 botů, kteří by každý vytvořili provoz o rychlosti 1 Mbps. To však není možné, protože poskytovatelé internetových služeb mohou snadno detekovat a blokovat takové množství provozu. Pronájem velkého botnetu je přitom velmi drahý. Proto se ukázalo, že pro takový útok byla použita metoda násobení DNS dotazů přes otevřené DNS servery.

Přibližně o šest měsíců později, 18. března, podle The New York Times začal největší DDoS útok v historii, jehož obětí se stala společnost Spamhaus , zabývající se blacklistováním zdrojů spamu . [36] Důvodem útoku byla skutečnost, že Spamhaus zařadil na černou listinu nizozemského poskytovatele hostitelských služeb CyberBunker pro rozesílání spamu . Druhý vyjádřil svou nespokojenost pomocí DDoS útoku se špičkovým výkonem 300 Gb/s prostřednictvím otevřených DNS serverů. 19. března dosáhl výkon 90 Gb/s a jeho hodnota se změnila z 30 Gb/s. [37] Poté nastal klid, který však netrval dlouho a útok pokračoval s obnovenou vervou a 22. března jeho kapacita dosáhla 120 Gb/s. Aby CloudFlare útok odrazil, distribuoval provoz mezi svá datová centra , načež si Cyberbunker uvědomil, že nemůže „položit“ CloudFlare, a zahájil novou vlnu útoků na své upstream protějšky . Některé pakety byly filtrovány na úrovni Tier2, zbytek provozu se dostal na úroveň Tier1, kde výkon dosáhl maxima 300 Gb/s. V tu chvíli miliony uživatelů internetu pocítily plnou sílu tohoto útoku, některé stránky byly jimi zpomaleny. Poskytovatelé nakonec tento útok ustáli, ale v Evropě došlo k mírnému nárůstu pingu při přístupu na různé stránky. Například v londýnském dopravním výměnném centru LINX 23. března kvůli útoku klesl směnný kurz dat o více než polovinu. Průměrná rychlost 1,2 Tbps klesla na 0,40 Tbps. [38]

DDoS ochrana

Citát

Pouze amatérské útoky na auta. Profesionální útoky se zaměřují na lidi.

B. Schneier [39]

V současné době není možné zcela se chránit před útoky DDoS, protože neexistují absolutně spolehlivé systémy. Velkou roli zde hraje i lidský faktor, protože jakákoli chyba správce systému, který špatně nakonfiguroval router, může mít velmi katastrofální následky. Navzdory tomu všemu však v současné době existuje mnoho nástrojů ochrany hardwaru i softwaru a organizačních metod konfrontace.

Opatření proti DDoS útokům lze rozdělit na pasivní a aktivní a také na preventivní a reaktivní. Níže je uveden stručný seznam hlavních metod.

  • Prevence. Prevence důvodů, které povzbuzují určité jednotlivce k organizování a provádění DDoS útoků. (Velmi často jsou kybernetické útoky obecně výsledkem osobních křivd, politických, náboženských a jiných neshod, provokativního chování oběti apod.). Je nutné včas odstranit příčiny DDoS útoků a následně vyvodit závěry, abychom se takovým útokům v budoucnu vyhnuli.
  • opatření reakce. Aplikací technických a právních opatření je nutné co nejaktivněji ovlivňovat zdroj a organizátora DDoS útoku. V současné době dokonce existují speciální firmy, které pomáhají najít nejen osobu, která útok provedla, ale i samotného organizátora.
  • Software. Na trhu moderního softwaru a hardwaru existuje takový, který dokáže ochránit malé a střední podniky před slabými DDoS útoky. Tyto nástroje jsou obvykle malé servery.
  • Filtrování a blackholing. Blokování provozu z útočících strojů. Účinnost těchto metod klesá, když se přibližujete k objektu útoku, a zvyšuje se, když se přibližujete k útočícímu stroji. V tomto případě může být filtrování dvou typů: použití firewallů a ACL . Použití firewallů blokuje konkrétní tok provozu, ale neumožňuje oddělit „dobrý“ provoz od „špatného“. ACL filtrují vedlejší protokoly a neovlivňují protokoly TCP. To nezpomaluje server, ale je k ničemu, pokud útočník používá prioritní požadavky. [40]
  • Reverse DDOS  - přesměrování provozu použitého k útoku na útočníka. S dostatečným výkonem napadeného serveru umožňuje nejen úspěšně odrazit útok, ale také deaktivovat útočící server.
  • Odstranění zranitelností. Nefunguje proti záplavovým útokům, pro které je „ zranitelností “ omezenost určitých systémových zdrojů. Toto opatření je zaměřeno na odstranění chyb v systémech a službách.
  • Zvyšování zdrojů. Absolutní ochranu samozřejmě neposkytuje, ale je dobrým zázemím pro aplikaci jiných typů ochrany proti DDoS útokům.
  • Rozptýlení. Budování distribuovaných a duplikujících se systémů, které nepřestanou sloužit uživatelům, i když se některé jejich prvky stanou nedostupnými kvůli DoS útoku.
  • Únik. Přesunutí bezprostředního cíle útoku ( název domény nebo IP adresa ) od jiných zdrojů, které jsou často také ovlivněny spolu s bezprostředním cílem útoku.
  • Aktivní odezva. Dopad na zdroje, organizátora nebo řídící centrum útoku, a to jak umělými, tak organizačními a právními prostředky.
  • Použití vybavení k odražení DDoS útoků. Například DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore a další výrobci. Zařízení jsou nasazena před servery a routery a filtrují příchozí provoz.
  • Pořízení služby ochrany DDoS. Aktuální v případě překročení šířky pásma síťového kanálu záplavou.

Google je také připraven poskytnout své zdroje k zobrazení obsahu vašeho webu, pokud je web vystaven DDoS útoku. V tuto chvíli je služba Project Shield ve fázi testování, ale některé stránky tam mohou být akceptovány [41] . Smyslem projektu je ochrana svobody slova.

Statistiky

Experti Kaspersky Lab provedli studii a zjistili, že v roce 2015 byla každá šestá ruská společnost vystavena DDoS útoku. Podle expertů došlo během roku ke zhruba 120 000 útokům, které směřovaly na 68 000 zdrojů po celém světě. V Rusku si kyberzločinci nejčastěji vybírali za svůj cíl velké podniky – 20 % případů, střední a malé podniky – 17 %. DDoS útoky byly zaměřeny na vytváření problémů v práci hlavní stránky firemního webu (55 % útoků), deaktivaci komunikačních služeb a pošty (34 %), funkce umožňující přihlášení uživatele do systému (23 %) . Odborníci také zjistili, že 18 % DDoS útoků bylo zaznamenáno na souborových serverech a 12 % na službách finančních transakcí. Rusko je na pátém místě na světě co do počtu DDoS útoků na jeho weby. Nejvíce kybernetických zločinů je pácháno v Číně, USA, Koreji a Kanadě. Nejčastěji však útoky provádějí čínští a ruští hackeři [42] .

Viz také

Poznámky

  1. Internet Denial of Service, 2004 .
  2. Denial of Service Attacks, 2004 .
  3. Počítačové viry uvnitř a vně, 2006 .
  4. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 2.
  5. Praktická kryptografie, 2005 .
  6. Filozofie Anonymních, 2013 .
  7. Lenta.ru: Média: Hackeři útočí na webové stránky estonské vlády . Získáno 28. února 2014. Archivováno z originálu 3. května 2007.
  8. Systém dobrovolnické kybernetické obrany Ukrajiny vytvořil program na pomoc v boji proti informační válce ... . Získáno 11. března 2022. Archivováno z originálu dne 1. března 2022.
  9. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 3.
  10. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. čtyři.
  11. 1 2 3 Hacker, 2003 .
  12. 1 2 Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. osm.
  13. RFC 4987, 2007 .
  14. 12 Bezpečnostní problémy v sadě protokolů TCP/IP, 1989 .
  15. "Projekt Neptun", 07.1996 .
  16. Slabost v 4.2BSD Unix TCP/IP Software, 1985 .
  17. IP-spooling Demystified, 1996 .
  18. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 9.
  19. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 5.
  20. Hacker, 2005 .
  21. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 6.
  22. Dokumenty RFC, 2004 .
  23. Analýza typických narušení bezpečnosti v sítích, 2001 .
  24. Ilustrovaný tutoriál o internetové bezpečnosti, 2004 , str. 7.
  25. CloudFlare, 30.10.2012 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hacker, 31. 10. 2012 .
  29. 1 2 Hacker, 18.09.2012 .
  30. Informační bezpečnost otevřených systémů, 2012 , str. 39.
  31. Hacker, 28.04.2013 .
  32. Anonymní IRC server, 2011 .
  33. Kořenový jmenný server, 2013 .
  34. Zhroucení serverů DNS GoDaddy, 9. 11. 2012 .
  35. MyDoom je nejdražší malware desetiletí, 26.01.2011 .
  36. Jak se rozvinul kybernetický útok na Spamhaus, 2013 .
  37. DDoS, které téměř rozbilo internet, 2013 .
  38. 300 Gbps DDoS útok, 27.03.2013 .
  39. Sémantické útoky: Třetí vlna síťových útoků . Získáno 6. prosince 2013. Archivováno z originálu dne 30. října 2013.
  40. Zmírnění DDoS prostřednictvím regionálních úklidových center, 2011 .
  41. Ochrana DDoS pomocí Project Shield . Datum přístupu: 28. června 2015. Archivováno z originálu 1. července 2015.
  42. TASS: Ekonomika a podnikání – Kaspersky Lab: každá šestá společnost v Ruské federaci byla v roce 2015 vystavena DDoS útoku . Datum přístupu: 27. ledna 2016. Archivováno z originálu 28. ledna 2016.

Literatura

Odkazy