Что такое DDoS-атака и как с ней справиться?

Неделю назад от атаки упали сервера Wikipedia, World Of Warcraft и Twitch. Ходят слухи, что это был тест новой сети ботов. Чем может закончиться большая атака? Существует ли защита?

Что это такое?

“Denial of Service” — вид хакерской атаки. Взломщик делает всё так, чтобы пользователь не попал на конкретный ресурс. Получается эффект дорожной пробки в самой сети, а для сервера — это как жать 150-килограммовую штангу вместо 50-килограммовой.

“Distributed Denial of Service” переводится как “распределённый отказ в обслуживании”. Здесь уже задействованы много удалённых друг от друга устройств. Важно, что хакеру намного сложнее получить доступ к системе, чем сделать DDoS-атаку.

Как это работает?

Сначала злой хакермен взламывает устройства с доступом в Интернет. Раньше это были обычные компьютеры и сервера, но теперь это смартфоны, смарт-часы, видеокамеры и умные электрочайники. Да, очень много чайников могут положить сайт интернет-магазина. Ещё есть специальные сервера-стрессеры для атак, ими может пользоваться почти каждый желающий.

Затем устройства заражаются специальным кодом и из них формируется ботнет. По команде сеть создаёт зловредный траффик и отправляет его жертве. Если сервер жертвы выдерживает нагрузку, то просто работает хуже. Если нет — не работает вовсе.

Кому и зачем это нужно?

Причин много. Самые распространённые:

  • Иногда причиной служит личная неприязнь. Вот не нравится человеку компания или структура, и он ей шкодит. Поэтому ведите себя хорошо и никогда не хамите.  В США так в 1999 году атаковали ФБР на несколько недель.
  • Ещё так развлекаются. Серьёзно, так может кто угодно, кто хоть немного разбирается в этой области. Вряд ли такая атака будет анонимной и эффективной. Школьник может выбрать вообще любой сайт для забавы.
  • Этим методом борются с конкурентами. DDoS может испортить репутация и нанести серьёзные убытки. Довольно частая причина атаки.
  • DDoS используют для шантажа и вымогательства. Компании могут потерять от атаки больше, чем заплатят хакеру, поэтому метод эффективный.
  • Хактивисты часто используют DDoS как метод протеста

Какие бывают DDoS-атаки?

Самый простой метод — это перенасыщение полосы пропускания сигнала сети. Как это делают:

HTTP GET

HTTP(S) GET-запрос отправляется на сервер для получения файла или скрипта.

HTTP(S) GET-флуд — DDoS 7 уровня OSI. Хакер создаёт поток запросов на сервер, а он перестаёт отвечать на обычные запросы.

HTTP HOST

HTTP(S) POST-запрос — данные пакуют в тело запроса, потом кодируют, а сервер их обрабатывает. Ресурсозатратнее, чем GET.

HTTP(S) POST-флуд — перегружает сервер POST запросами и он ложится отдыхать, как и чей-то бизнес.

Важно, что всё выше работает как с HTTP, так и HTTPS. Второй вариант лучше для хакера: данные шифруются, а при получении расшифровуются сервером. Так нагрузка ещё больше увеличивается.

Smurf-атака (ICMP-флуд) — опаснее, чем предыдущие. Хакер отправляет ICMP-пакеты, где меняет свой адрес на адрес жертвы, а в ответ все узлы её сети отвечают на ping-запрос. Узлы быстро устают и идут отдыхать.

Fraggle (UPD-флуд) — принцип как у Smurf-атаки, но используются UPD-пакеты.

SYN-флуд — хакер запускает много одновременных TCP-соединений через посылку SYN-пакета с несуществующим обратным адресом. В результате — DDoS.

На втором месте — исчерпание ресурсов самого сервера

Отправка «тяжелых пакетов» — из-за большого размера пакетов и их количества тратится процессорное время сервера. Пользователи просто не могут получить свои ресурсы.

Переполнение сервера лог-файлами — хакер пользуется неопытностью администратора и заполняет весь жёсткий диск сервера лог-файлами.

Ошибки программного кода — хакеры находят ошибки кода и пишут под них программы-эксплойты, атакующие системы. Чем это может кончиться? В лучшем случае сильным перегрузом сервера, в худшем — срабатыванием системы защиты и аварийным отключением всей сети.

Самые важные DDoS-атаки

Начнём мы с 7 февраля 2000 года. Что нужно для успешной DDoS-атаки? Нужно порядка 50 разных сетей, программа Sinkhole, сайты CNN, Amazon, eBay, Yahoo и… Барабанная дробь. И 16-летний пацан из Канады. Атака длилась неделю, почти всё это время сайты лежали. Парня арестовали в апреле и осудили на 8 месяцев исправительного центра.

В октябре 2002 года совершили атаку на все 13 рутовых DNS-сервера. На них, кстати, весь Интернет держится. Хакеры не доставили много проблем сети, но некоторые серверы были вне доступа. Работали с помощью ботнета, но правильная настройка серверов не дала системе упасть.

В апреле 2007 года власти Эстонии хотели перенести мемориал в честь Второй мировой войны. Из-за этого начались митинги, в то же время была атака на правительственные ресурсы. В том году в стране заработала система электронного правительства, бюрократия почти полностью перешла от аналога в цифру. DDoS прямо парализовал страну, убытки были огромными.

В январе 2008 хактивисты из группы Anonimous создали проект Chanology в отместку за требования саентологов удалить видео с Томом Крузом из Интернета. Интернет-активностей было много, DDoS в том числе. Акция примечательна тем, что была первой массовой DDoS-атакой.

На сезон осень-зима 2012-2013 на 26 банков США осуществили атаку. Ответственность на себя взяла группа исламистов, но ЦРУ считает, что так Иран ответил на санкции. Атака была так себе, но полгода мешала банкам работать.

И самое вкусное — ботнет Интернета вещей Mirai. Это про те самые чайники, сигнализации, видеокамеры и т.п. Mirai — это вирус, который ищет уязвимости у таких устройств, а потом задействует их в атаках. Первая атака с помощью Mirai была в сентябре 2016 года, а в 2017 была атака на Dyn DNS: из-за неё были проблемы с доступом к сервисам Twitter, Spotify, GitHub и SoundCloud. Хоть особого крупного  урона атака не нанесла, но в ней задействовали 100 тыс. устройств Интернета вещей и усилили миллионом компьютеров по всему миру.

Как защититься от DDoS-атаки?

Методы борьбы с атаками делятся на 2 вида: активные и пассивные. Всякие превентивные средства и настройки — это пассивные, а активные используют во время атаки.

Хороший администратор всегда предупреждает атаку, пытается минимизировать риски. Не всегда так получается, но к этому нужно стремиться.

Самые важные моменты:

Фильтрация и блокировка трафика: маршрутизация по спискам ACL и использование межсетевых экранов. Первое отсеивает второстепенные протоколы и не снижает скорость работы с ресурсом. Межсетевые экраны применяют для защиты частных сетей.

Обратный DDoS: перенаправление трафика на атакующего. Работает, если хватает серверных мощностей и если вас не взломали.

Устранение уязвимостей: тут всё ясно. Не работает против флуд-атак.

Построение распределённых систем: позволяет положить не всю систему. Репутационно важно для больших проектов.

Мониторинг: не защищает от DDoS-атаки, но помогает быстро её выявить и принять меры.

И всех с Днём программиста!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *