поиск по сайту
DoS/DDoS-атака

DoS/DDoS-атака.

Девятилов Д. И., Московский физико-технический институт (ГУ), Москва, Россия

В статье приводится общая классификацияDoS – атак, рассматриваются проблемы борьбы с DoS/DDoS – атаками, и предлагаются методы их решения.

Ключевые слова: флуд, DNS-сервер, хакер, провайдер, эксплойт, сетевое оборудование, отказ в обслуживании.

Введение

Интернет стремительно превращается в рынок услуг с очень большим оборотом денежных средств. Сбой или недоступность информационного сервера влечет огромные финансовые потери. В последнее время стала особенно актуальной проблема DoS/DDoS-атак. Их мощность увеличилась почти в 3.5 раза [1] только за четвертый квартал 2014 года. Для обеспечения информационной безопасности в организациях необходимо уметь отражать или предотвращать DoS/DDoS-атаки, но на сегодняшний день нет эффективного решения.

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. DDoS (Distributed Denial of Service – распределённая атака типа «отказ в обслуживании») – это атака, выполняющаяся одновременно с большого числа компьютеров. Цель атакующих – сделать в Интернете недоступным тот или иной ресурс. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик [2].

На данный момент существует множество частных методов борьбы с DoS – атаками, но отдельно друг от друга их применение неэффективно, так как при возникновении DoS – атаки непонятно, к какому типу она относится. Универсальных рецептов противодействия DoS/DDoS атакам нет. Но уже сейчас можно предпринять ряд мер по снижению вероятности реализации таких атак, основываясь на их классификации. Именно она помогает быстро обнаружить начало DoS-атаки и использовать известные методы борьбы для ее предотвращения.

Классификация DoS-атак [3]

На данный момент выделяют 4 типа DoS-атак:

  • атака на насыщение полосы пропускания;
  • атака, приводящая к недостатку системных ресурсов;
  • атака, использующая ошибки программирования;
  • атака на DNS-серверы.

Каждый из этих типов имеет свои особенности.

Атака на насыщение полосы пропускания.

Обычно злоумышленники для атаки на целевую систему используют флуд (flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приводящая к отказу в работе системы из-за насыщения полосы пропускания канала связи. Есть несколько разновидностей флуда: HTTP-флуд, ICMP-флуд, UDP-флуд, SYN-флуд и др.

Методы борьбы.

По умолчанию все серверы должны быть обновлены до последней версии патча защиты, если таковая имеется. Также должны быть отключены все сервисы, которые не используются в сети.

Один из методов борьбы с DDoS-атаками, рассчитанными на насыщение полосы пропускания канала связи, является постоянная смена IP-адреса компьютера-жертвы. Данный вид защиты носит название «движущейся оборонительной цели». После изменение IP-адреса маршрутизаторы сбросят вредоносные пакеты, которые поступали на конкретный IP-адрес.

Отключение широковещательной передачи сообщений помогает в борьбе против ICMP-флуда. В этом случае хосты больше не будут использоваться в качестве усилителей DDoS-атаки.

Так же создается специальная база маршрутов, по которым обычно идут пакеты в штатном режиме работы системы. Это позволяет защититься от UDP, TCP и ICMP-флудов.

Атака, приводящая к недостатку системных ресурсов.

В данном случае DoS — атака направлена на захват системных ресурсов компьютера, не затрагивая канал связи. Процессор сервера может не справиться со сложными вычислениями. Произойдет сбой из-за того, что центральный процессор или оперативная память окажутся недоступны. Примерами таких атак являются: отправка «тяжелых пакетов», переполнение сервера лог-файлами, атака на плохо организованную систему квотирования или на отсутствие проверки данных пользователя.

Методы борьбы.

Существуют различные системы обнаружения вторжений, которые позволяют обнаруживать DoS-атаки по известным сигнатурам, распознавая аномальное поведение системы.

Атака, использующая ошибки программирования.

Еще данный вид атаки называют атаками на приложения. Этот вид атак наиболее опасен и влечет за собой тяжелые последствия для сервера, так как плечо атаки (отношение ресурсов необходимых на стороне приложения к ресурсам на атакующей стороне) в этом случае максимально. Более продвинутые хакеры, полностью разобравшись в структуре системы или приложения, пишут специальные программы — эксплойты, которые помогают атаковать коммерческие предприятия. Примером таких атак является простое переполнение буфера. Часто хакеры используют недостатки в программном коде.

Методы борьбы.

Создается база шаблонов известных эксплойтов и производится мониторинг вхождений данных шаблонов в саму систему.

Анализ журнала событий после и во время DoS-атаки помогает выявить новые типы атак, либо модификации старых.

Атака на DNS-серверы.

Данный вид атаки самый дорогостоящий и ресурсозатратный. Хакеры, используя крупные ботнеты, атакуют правительственные организации, очень крупные компании, либо известные интернет-магазины. Сервер-жертва может находиться в простое достаточно длительное время. Из-за этого компания несет огромные убытки [4]. В 2012 году хакеры группы Anonymous хотели вывести из строя глобальную сеть, путем атаки на 13 корневых серверов DNS [5]. В этом же году крупнейший в мире хост — провайдер Go Daddy и вместе с ним более 33 миллионов доменов по всему миру пострадали от DDoS-атаки [6]. Одной из самых мощных атак в истории считается атака на компанию Spamhaus в 2012 году. Она продлилась несколько дней и достигла своей пиковой мощности в 300 Гб/с [7].

Методы борьбы.

Одним из эффективных методов борьбы является перенаправление трафика на площадку более мощного провайдера. За счет этого увеличивается полоса пропускания канала связи, трафик фильтруется и уже легитимный трафик идет к пользователю.

Защита от DoS/DDoS-атак

         От любой атаки можно защититься, но в настоящее время нет универсального способа защиты. Полной обобщенной классификации нет, в том числе и в той, что представлена, смешаны разные уровни абстракции. Одни компании используют статические средства защиты до начала самой атаки, выстраивая специальные фильтры. Они в свою очередь обучаются на маршрутах сайта, по которым ходят обычные пользователи. Происходит мониторинг Интернет-трафика в реальном времени. Другие – хранят базу данных сигнатур уже известных DoS-атак. Производя при этом мониторинг всей системы по сигнатурам, можно зафиксировать начало DoS-атаки. Но, как и в случае с вирусами, данный способ не так эффективен, потому что при появлении какой-либо новой DoS-атаки данная база сигнатур бесполезна. Еще один способ обнаружения начала DoS-атаки предоставляет собой выявление аномального поведения в системе. Текущее состояние системы в реальном времени сравнивается с ее нормальным состоянием, т.е. тем, когда наблюдается обычная динамика трафика и производительности самого сервера [8]. Все эти способы помогают защититься лишь от некоторых видов DoS-атак. Хакеры, нацеленные «уронить» тот или иной сервер, анализируют защиту и придумывают другие способы воздействия на нее, усиливая атаку, либо вовсе прибегая к иному методу. Стоит так же отметить тот факт, что противодействия различным видам DoS/DDoS-атак являются частью средств и методов информационной безопасности в общем смысле. Поэтому стоит актуальная задача интеграции приведенных выше решений борьбы с DoS-атаками в уже известные методы защиты информации, к DoS-атакам не относящиеся.

Таким образом, хочется получить серебряную пулю, которая сможет поразить не только все компьютеры-зомби, но ликвидировать эксплойты, флуд и прочую нечисть.

Частные подходы слишком ресурсозатратны и в силу огромного разнообразия DoS-атак, не обеспечивают систему полноценной защитой. Но правильная классификация – это первый шаг к созданию комплексного расширяемого аппарата, способного детектировать, принимать необходимые меры в начале атак и, в некоторых случаях, полностью защищать систему от них. Также стоит учитывать тот факт, что за последнее время увеличилась мощность DoS-атак, а вместе с этим увеличились и затраты на ее реализацию. Поэтому, не имея 100% защиты от них, но основываясь на существующей классификации DoS-атак можно выстроить защиту своей системы так, что данные атаки стали бы просто экономически невыгодными. Для этого, по мере возможности, на вооружении надо иметь все известные способы защиты системы от атак.

Список литературы:

  1. Qrator Labs отмечает массовое распространение инструментов для DDoS. //БИТ [Электронный ресурс]. URL: http://bit.samag.ru/news/more/917(дата обращения: 15.04.2015).
  2. J. Yuan, K. Mills. Monitoring the Macroscopic Effect of DDoS Flooding Attacks. IEEE Transactions on dependable and secure computing. , Senior Member, IEEE. M., 2005 – 12 p.
  3. 3. Douligeris, A. Mitrokotsa. DDoS Attacks and defense mechanisms: a classification. P., 2003 – 24 p.
  4. KasperskyLab. «Лаборатория Касперского» отразила одну из мощнейших в истории Рунета DDoS-атак. [Электронный ресурс].http://www.kaspersky.ru/news?id=207733980 (датаобращения: 16.04.2015).
  5. N. Quinn. In Flawed, Epic Anonymous Book, the Abyss Gazes Back.N.Y. Wired.2012 – 3 p. 
  6. 6. Perlroth. КонецформыGoDaddy Goes Down, and a Hacker Takes Credit. // Bits. 2012.
  7. M. Prince. The DDoS That Knocked Spamhaus Offline (And How We Mitigated It). //CloudFlare blog.
  8. M. J. Hashmi, M. Saxena, Dr. R. Saini. Classification of DDoS Attacks and their Defense Techniques using Intrusion Prevention System. Research Scholar, Singhania University, Pacheri Bari, Jhujhunu, R. 2013. – 8 p.

ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них