DDoS-атака

Версия для печатиВерсия для печати

DDoSСегодня достаточно сложно для простого пользователя определить, откуда и каким способом может быть атакована его компьютерная система. Чаще всего это вирусы, интернет-черви или «троянцы», СПАМ, DoS атаки, приводящие к отказу в обслуживании пользователей, хищение конфиденциальной информации и, наконец, угрозы со стороны собственных служащих.

Однной из самых распространенных и опасных сегодня сетевых атак является распределенная атака типа отказ в обслуживании (DoS-атака). В последние годы упоминания о многочисленных атаках DoS буквально заполонили заголовки периодических изданий. Ежегодно атаки DoS (Denial of Service – отказ в обслуживании) стоят различным компаниям миллионы долларов и таят в себе серьезную угрозу для любой компьютерной системы. Как результат таких атак, длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер. По существу, атака DoS нарушает или полностью блокирует обслуживание законных пользователей, сетей, систем и иных ресурсов.

Целью DoS атаки является блокирование атакуемой компьютерной системы, то есть создание ситуации, в которой удаленный компьютер не сможет обмениваться информацией с внешним миром. Подобный результат достигается несколькими способами: создание направленного шторма запросов, реализация ошибок сетевых протоколов путем передачи в адрес атакуемого хоста некорректных пакетов. В первом случае возможна ситуация когда перегруженный запросами удаленный компьютер просто не сможет осуществлять нормальную передачу данных, во втором случае возможны переполнения в механизмах обработки запросов и как следствие крах системы.

Большинство подобных атак базируется на использовании уязвимостей в основном протоколе Internet (TCP/IP), в частности на способе обработки системами запросе SYN. Эта ситуация усугублялась еще тем, что взломщики, чтобы сохранить свою анонимность, использовали ложные исходные адреса. Таким образом, значительно затрудняется выявление реальных злоумышленников. Эти события оказали огромное влияние на сообщество Internet и еще раз подчеркнули несостоятельность применяемых в глобальной сети технологий обеспечения безопасности. Хотя уже несколько лет назад подобные атаки были теоретически предсказаны, только в настоящее время можно оценить всю опасность таких нападений особенно для электронной коммерции и Web-сайтов крупных и средних компаний.

Многие эксперты по вопросам безопасности считают, что число таких атак возрастает из-за быстрого распространения систем Windows и расширения сети Интернет. Операционная система Windows – это мишень для многих взломщиков. Кроме того, многие средства DoS абсолютно доступны, для их использования не требуется высокая квалификация. Хотя большинство атак связано с приведенными выше мотивами, некоторые из них могут пригодиться взломщикам и для взлома уязвимой системы.

Сегодня глобальная сеть Интернет является полным отражением реальной жизни, в том числе и негативных социальных процессов связанных с криминализацией и использованием организованной преступностью достижений научно-технического прогресса. В виртуальном мире, как и в реальном, большинство преступлений совершается индивидами или небольшими группами, и мы можем это явление охарактеризовать как "дезорганизованная преступность". Но все же появляются все новые и новые свидетельства того, что организованные преступные группы также эксплуатируют возможности, предоставляемые сетью Интернет.

Для таких преступных групп атаки DoS становятся мощным инстументом, что свидетельствует о наступлении нового и опасного этапа развития научно-технического прогресса, когда информационные технологии могут использоваться не во благо, а во вред человечеству. Зачастую гораздо проще нарушить функционирование сети или системы, чем на самом деле получить к ней доступ. Как известно из истории возникновения Интернет, сетевой протокол типа TCP/IP был разработан для применения в открытом и доверенном сообществе пользователей, и его текущая версия 4 унаследовала все слабые стороны своих предшественниц. Кроме того, многие операционные системы и сетевые устройства имеют различные изъяны в используемой реализации сетевого стека, что значительно снижает их способность противостоять атакам DoS. Мы были свидетелями, как на устройствах управления различными процессами, в которых использовался устаревший стек протокола IP, сбой происходил от простого перенаправления ICMP с некорректным параметром. Поскольку для реализации атак DoS существует много средств, очень важно идентифицировать их типы, а также разобраться с тем, как выявить и предотвратить эти атаки.

Атака DoS представляет собой тип атаки, проводя которую хакер может привести систему в нерабочее состояние или настолько замедлить скорость работы системы путем истощения ресурсов, что никто больше не сможет получить к ней доступ. Результатом атаки также может стать повреждение или разрушение ресурсов, а следовательно, невозможность их использования. Атаки DoS могут быть предумышленными и случайными. Они проводятся намеренно в том случае, когда пользователь незаконно и умышленно активно занимает ресурсы системы. Случайно эта атака происходит тогда, когда законный пользователь непреднамеренно производит такие действия, которые приводят к недоступности ресурсов.

Большинство операционных систем (от Windows до многих версий UNIX), маршрутизаторов и компонентов сетей, которые должны обрабатывать пакеты на каком-либо уровне, являются уязвимыми для атак DoS. Вообще атаки DoS предотвратить довольно сложно. Однако ограничение доступа к важным учетным записям, ресурсам и файлам, а также защита их от неправомочных пользователей может существенно затруднить проведение многих атак DoS. Количество атак DoS с каждым днем растет. Если взломщик не может получить доступ к машине, он стремится повредить ее путем проведения такой атаки. Это означает, что даже в том случае, когда система обеспечена всеми обновлениями и должным образом защищена, взломщик все еще может нанести ущерб компании.

Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика, эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.

Второй тип атак приводит к переполнению системы или сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в минуту, а взломщик отправляет 20 пакетов в минуту, то когда законные пользователи пытаются подключиться к системе, они получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке взломщик должен постоянно переполнять систему пакетами. После того как взломщик перестает заполнять систему пакетами, проведение атаки заканчивается, и система возобновляет нормальную работу. Этот тип атаки требует немного больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после проведения этой атаки требует минимального вмешательства человека.

Традиционная атака DoS, направленная на компьютер жертвы, обычно проводится с одной машины. Однако в 2000 году появился новый тип этой атаки, распределенная атака DoS. Для ее запуска против машины или сети нападающий предварительно взламывает несколько машин или координирует атаку со своими сообщниками для выполнения атаки сразу с нескольких компьютеров. Таким образом, атака проводится не с одной единственной машины, а с нескольких. Это усложняет защиту от атаки, ведь машина теперь получает пакеты не от одной машины взломщика, а одновременно от большого количества машин. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, то его можно блокировать с помощью брандмауэра. Если же задействовано 100 машин, то блокировать их все становится чрезвычайно трудно. Далее в этой главе, в разделе "Средства для проведения атак DoS", мы рассмотрим средства, с помощью которых легко проводить атаки DoS.

Атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DoS сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. От атак DoS защититься довольно сложно, поскольку вы никогда не исключите полностью возможность ее проведения. Если вы подключаетесь к Internet, то всегда есть вероятность того, что взломщик может отправить вам такое количество данных, которое вы будете не в состоянии обрабатывать.

Как же можно защититься против угрозы DoS-атаки? Готового рецепта или тем более «панацеи» от таких атак нет. Лучшая защита от массированной DoS-атаки включает быстрое обнаружение и способность сосредоточить силы чрезвычайного реагирования Internet-провайдера. Необходимо использовать инструментальные средства IDS, которые быстро поднимут тревогу, если начнется DoS-атака. Если у вас есть критические системы в Internet (например, серверы электронной торговли, от которых зависит благосостояние вашей организации, или другие ценные системы), то вы, получив такое предупреждение, должны позвонить в группу чрезвычайного реагирования Internet-провайдера. Internet-провайдер обязан моментально развернуть входные фильтры, чтобы блокировать наводняющий трафик в тех точках, где он входит в сеть провайдера. Хотя такая стратегия защиты основана на очень быстрой реакции, это действительно лучший способ подготовиться к массированной DoS-атаке и при необходимости быстро ее остановить.

В этой статье рассмотрена лишь наиболее распространенные DoS-атак, применяемых на сегодняшний день. Мотивация атакующих при использовании этих инструментальных средств весьма различна: мелкая месть, чрезмерно рьяная конкуренция или вымогательство. Независимо от конкретных причин атакующие хотят поставить систему-мишень на колени, задействую множество атак в диапазоне от локального прекращения сервиса до массивного DoS-наводнения. Учитывая ущерб, который может быть причинен посредством DoS-атаки решительным атакующим, вы должны защитить критически важную систему от таких нападений.

Анонимность Интернета делает его идеальным каналом и инструментом для многих действий организованных преступных групп. Криминальный мир – это некая темная сторона жизни, нечто неявное, тайна – ключевая часть стратегии организованной преступности, и Интернет предлагает великолепные возможности для сохранения тайны. Уже давно футурологи предсказывают, что в будущем люди будут вести войны не только с использованием обычных видов вооружений. Войны будущего – это кибервойны. В Интернете уже давно бушуют конфликты – от дилетантских взломов сайтов небольших фирм до хакерского проникновения в сети транснациональных корпораций и Пентагона.

В Рунете появилась любопытная "услуга". Киберпреступники предлагают заблокировать доступ пользователей Интернета к "заказанному" сайту всего за $150 в сутки. Подобные атаки сегодня действительно не редкость, но эксперты подозревают, что за предложением "убить" веб-страницу по предоплате может скрываться обычное мошенничество.

"Мы рады вам предоставить качественный сервис по устранению сайтов, мы можем положить любой сайт нашей атакой, которая называется DoS-атака" – рекламное письмо с таким предложением пришло в прошлую субботу на электронный адрес корреспондента "Ведомостей".

Согласно прайс-листу, шестичасовой простой веб-сайта обойдется заказчику в $60, а суточный – в $150. По предоплате. "Могу завалить любые сайты, могу и Microsoft", – хвастался хакер с псевдонимом «DoZ» корреспонденту "Ведомостей", представившемуся потенциальным заказчиком. "Но мне тогда так задницу надерут, что мало не покажется", – добавил он. Поэтому DoZ согласился атаковать www.microsoft.com не меньше чем за $80 000 в неделю. Для сравнения: за DoS-атаку на веб-сайт президента РФ www.kremlin.ru он запросил гораздо меньше – $2000 в неделю, а потом снизил цену еще вдвое.

В июня 2004 г. был "заказан" один из сайтов Центра исследования компьютерной преступности атака была организована и сопровождалась угрозами в адрес двух основных сайтов Интернет-проекта Crime-research.ru.

8 июня с 15-00 до 19-00 сайт crime-research.ru стал временно недоступен, только к 19-00 часам хостер был в состоянии нейтрализовать последствия атаки. Основная часть нападений была совершена из Украины, для организации DoS -атаки использовались зараженные машины обычных пользователей, а сама атака была предпринята с целью шантажа направленного на то, чтоб убрать одну из статей в библиотеке Цента.

По данным Computer Emergency Response Team (CERT) - международного авторитета в области безопасности Интернета – в последние годы резко возросло количество DoS атак. Средства компьютерной техники, новейшие информационные технологии активно используют организованные преступные группировки.

Вместе с тем, компьютерные преступления по механизму и способам совершения, преступления в сфере компьютерных технологий специфичны, имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям от 85% до 97% компьютерных посягательств даже не выявляются. По оценкам иных экспертов, латентность «компьютерных» преступлений в США достигает 80%, в Великобритании – до 85%, в ФРГ – 75%, в России – более 90%.

Вот и получается парадокс, когда высокая искусственная латентность компьютерных преступлений обусловлена тем, что многие организации, по тем или иным мотивам, разрешают конфликт своими силами, не обращаясь к правоохранительным органом, а пострадавшие от DoS-атак в большинстве случаев решают данную проблему исключительно организационно-техническими методами, и косвенно способствуют тому, что организаторы DoS-атак остаются безнаказанными.

Источник: Computer Crime Research Center