Массированные ddos атаки. ДДоС-атака - что это? Программа для ДДоС-атаки. Как защититься от DDoS-атак

Сегодня давайте попытаемся прояснить ситуацию вокруг Ddos-атак на сервер. Все таки данная проблема реально пересекается с темой хостинга как такового.

Штука довольно-таки неприятная. Представьте, установил я вчера новенький плагин на свой wordpress и вдруг через какое-то время, бац! - блог в браузере перестает открываться. Причем другие сайты в то же самое время прекрасно серфятся. Мысли лезут - чего-то напортачил с плагином. Много раз жму на перезагрузку страницы и ничего! Потом, правда заработало, но несколько неприятных минут пришлось пережить.

А сегодня в почте вижу письмецо от техподдержки ТаймВэб. Скрывать не буду, хостинг я там беру. Да и чего скрывать, достаточно ввести адрес сайта в Whois.
Письмо такое:

"Уважаемые пользователи.
Сегодня, 02 декабря 2011 года в 16:32 по Московскому времени, на технологическую площадку TIMEWEB, началась массированная DDOS атака, которая нарушила работу некоторых сайтов и серверов.
Инженеры TIMEWEB взяли ситуацию под контроль и уже к 18:45 стабильная работа площадки была полностью восстановлена. .."

Решил я разобраться откуда берутся Ddos-атаки на сервер и что это, вообще, такое. И вот, что нарыл.

Ddos-атаки на сервер - что это такое?

Во-первых, заглянем в Вики, куда ж без нее:

DOS-АТАКА (от англ. Denial of Service , отказ в обслуживании ) - атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к захвату контроля над системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию - например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDOS-АТАКЕ (от англ. Distributed Denial of Service , распределённая атака типа «отказ в обслуживании» ). В некоторых случаях к фактической DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере. Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Итак, с одной стороны имеется объект атаки - некий сервер или сайт, а с другой стороны, группа злоумышленников, организующих Ddos-атаку на объект нападения.

Какие цели преследуют организаторы Ddos-атаки?

Одной из самых безобидных причин становится банальное кибер-хулиганство. Дело усугубляется тем, что большинство программ для организации атак находится в свободном доступе в сети Интернет.

Более серьезные Ddos-атаки порождает недобросовестная конкуренция. Цели тут ставятся разные - обрушить сервер конкурента, тем самым нарушая работу соперника, да плюс к этому создать конкуренту отрицательный имидж на рынке. Возможен также взлом сервера, так как при массированной атаке могут проскочить на всеобщее обозрение кусочки информации в виде программных кодов.

Еще, используя метод Ddos-атаки, различные Ddos-группировки могут заявлять о своем существовании или выставлять требования, ультиматумы хозяевам серверов.

Вот некоторые примеры Ddos-атаки на сервер , которые я нашел в Луркоморье:

• ООФР (Организация Объединенных Фагов России), в которую входят следующие мем-группировки: Лепрозорий Суеверный, Падшая часть ЖЖ и во главе, конечно же, Упячка.

Главными жертвами ООФР стали:

1. www.mail.ru (за проект ЖУКИ),
2. www.gay.com (за то что гей),
3. www.4chan.org (за оскорбления бога «Онотоле»),
4. www.wikipedia.org (за статью про УПЧК, в которой было оскорбление в сторону котов (Котэ), не снятое модератором в течение месяца)

Многие организации, работающие в области защиты от Ddos-атак, несмотря на достижения в этой сфере, все же признают растущую опасность угрозы, в основном по причине простоты организации атак.

ПОДВЕДЕМ НЕБОЛЬШОЙ ИТОГ:

Нас, рядовых пользователей Интернета, больше всего должно интересовать, как дело защиты от кибер-атак поставлено у тех хостеров, где мы арендуем хостинг для своих детищ - сайтов. Как видим в конкретном случае TimeWeb с проблемой справился и довольно быстро. Второй ему плюс вручаю за то, что известил меня об этом по почте.

Кстати, недавно я устроил TimeWeb еще один простенький тест.

На сегодня о Ddos-атаках все.

Скоро поговорим о том, какие они бывают и как организуется защита от кибер-атак.

Эта организация кроме осуществления регистрации доменных имен в зоне.tr также предоставляет магистральную связь турецким вузам. Ответственность за атаку взяли на себя хактивисты Anonymous, обвиняющие турецкое руководство в поддержке ИГИЛ.

Первые признаки DDoS проявились утром 14 декабря, к полудню пять серверов NIC.tr сдались под натиском мусорного трафика мощностью до 40 Гбит/с. Также проблема затронула координационный центр RIPE, обеспечивающий альтернативную NS-инфраструктуру NIC.tr. Представители RIPE отметили, что атака была модифицирована таким образом, чтобы обойти средства защиты RIPE.

Масштабные DDoS-атаки становятся самым действенным способом прервать работу веб-сервисов - стоимость атак постоянно снижается, что позволяет увеличивать мощность: всего за два года средняя мощность DDoS-атаки выросла вчетверо и составляет 8 Гбит/с. Относительно средних значений атака на национальную доменную зону Турции выглядит внушающе, но эксперты подчеркивают, что DDoS-атаки уровня 400 Гбит/с скоро станут нормой.

Уникальность турецкой атаки состоит в том, что злоумышленники выбрали правильную цель: сконцентрировавшись на сравнительно малом количестве IP-адресов, они смогли практически вывести из строя инфраструктуру целой страны при помощи всего лишь 40-гигабитной атаки.

Турецкий национальный центр реагирования на киберинциденты заблокировал весь трафик, поступающий на сервера NIC.tr из других стран, из-за чего все 400 тыс. турецких сайтов стали недоступными, а все сообщения электронной почты вернулись отправителям. Позже центр решил сменить тактику, проводя выборочную блокировку подозрительных IP-адресов. DNS-сервера доменов в зоне.tr были переконфигурированы, чтобы распределить запросы между публичными и приватными серверами, в чем помогли турецкие интернет-провайдеры Superonline и Vodafone.

Атакованные домены вернулись онлайн в тот же день, однако многие сайты и почтовые сервисы еще несколько дней работали с перебоями. Пострадали не только местные компании и правительственные организации, но также многие национальные веб-ресурсы, выбравшие доменное имя в зоне.tr; в совокупности это около 400 тыс. веб-сайтов, 75% которых являются корпоративными. Турецкий национальный домен также используют образовательные учреждения, муниципалитеты и военные.

Пока «анонимусы» не выступили с заявлением, многие винили в DDoS-атаке россиян - из-за напряженных отношений между Турцией и Россией. В свое время российских хакеров по аналогичным причинам подозревали в причастности к масштабным кибератакам на Эстонию (2007), Грузию (2008) и Украину (2014). Некоторые эксперты сочли турецкую DDoS ответом россиян на DDoS-атаку турецких кибергруппировок на российский новостной сайт «Спутник».

Заявление Anonymous лишило гипотезу о «российском следе» основания. Хактивисты также грозят атаковать турецкие аэропорты, банки, серверы правительственных структур и военных организаций, если Турция не перестанет помогать ИГИЛ.

Нестабильная экономическая ситуация последних двух лет привела к существенному повышению уровня конкурентной борьбы на рынке, вследствие чего увеличилась популярность DDoS-атак – эффективного метода нанесения экономического ущерба.

В 2016 г. количество коммерческих заказов на организацию DDoS-атак выросло в несколько раз. Массированные DDoS-атаки перешли из области точечных политических воздействий, как было, например, в 2014 г., в массовый бизнес-сегмент. Главная задача злоумышленников – как можно быстрее и с минимальными затратами сделать ресурс недоступным, чтобы получить за это деньги от конкурентов, обеспечить себе условия для вымогательства и пр. DDoS-атаки используются все активнее, что стимулирует поиск все более масштабных средств защиты бизнеса.

При этом число атак продолжает расти, даже несмотря на заметные успехи в борьбе с DDoS. Согласно данным Qrator Labs, в 2015 г. количество DDoS-атак увеличилось на 100%. И неудивительно, ведь их стоимость снизилась примерно до 5 долл. в час, а инструменты их реализации вышли на массовый черный рынок. Укажем несколько основных тенденций распределенных атак, нацеленных на отказ в обслуживании, которые прогнозируются на ближайшие несколько лет.

Атаки UDP Amplification

К атакам, направленным на исчерпание канальной емкости, относятся UDP Amplification. Такие инциденты были наиболее распространенными в 2014 г. и стали ярким трендом 2015 г. Однако их число уже достигло своего пика и постепенно идет на спад – ресурс для проведения подобных атак не только является конечным, но и резко уменьшается.

Под амплификатором подразумевается публичный UDP-сервис, работающий без аутентификации, который на небольшой по объему запрос может посылать в разы больший ответ. Атакующий, отправляя такие запросы, заменяет свой IP-адрес на IP-адрес жертвы. В результате обратный трафик, намного превышающий пропускную способность канала атакующего, перенаправляется на веб-ресурс жертвы. Для невольного участия в атаках используются DNS-, NTP-, SSDP- и другие серверы.

Атаки на веб-приложения на уровне L7

В связи с сокращением числа амплификаторов на передовую вновь выходит организация атак на веб-приложения на уровне L7 с использованием классических ботнетов. Как известно, ботнет способен выполнять сетевые атаки по удаленным командам, причем владельцы зараженных компьютеров могут об этом и не подозревать. В результате перегрузки сервиса «мусорными» запросами обращения легитимных пользователей вообще остаются без ответа или на ответы требуется неоправданно большое количество времени.

Сегодня ботнеты становятся более интеллектуальными. При организации соответствующих атак поддерживается технология Full-browser stack, то есть полная эмуляция пользовательского компьютера, браузера, отработка java script. Подобные техники позволяют прекрасно замаскировать атаки L7. Вручную отличить бот от пользователя практически невозможно. Для этого нужны системы, применяющие технологию machine learning, благодаря которой уровень противодействие атакам повышается, механизмы совершенствуются, а точность отработки растет.

Проблемы BGP

В 2016 г. появилась новая тенденция – атаки на инфраструктуру сети, в том числе основанные на использовании уязвимостей протокола BGP. Проблемы протокола маршрутизации BGP, на котором базируется весь Интернет, известны уже несколько лет, но в последние годы они все чаще приводят к серьезным негативным последствиям.

Сетевые аномалии, связанные с маршрутизацией на междоменном сетевом уровне, способны повлиять на большое число хостов, сетей и даже на глобальную связность и доступность Интернета. Наиболее типичным видом проблем является Route Leaks – «утечка» маршрута, которая возникает в результате его анонсирования в неправильном направлении. Пока уязвимости BGP редко используются умышленно: стоимость организации такой атаки довольно высока, и инциденты в основном возникают из-за банальных ошибок в сетевых настройках.

Однако в последние годы значительно возросли масштабы организованных преступных группировок в Интернете, поэтому, по прогнозу Qrator Labs, атаки, связанные с проблемами BGP, станут популярны уже в обозримом будущем. Ярким примером является «угон» IP-адресов (hijacking) известной кибергруппой Hacking Team, осуществленный по государственному заказу: итальянской полиции необходимо было взять под контроль несколько компьютеров, в отношении владельцев которых предпринимались следственные действия.

Инциденты TCP

У сетевого стека системы TCP/IP имеется ряд проблем, которые уже в текущем году проявятся особенно остро. Для того чтобы поддерживать активный рост скоростей, инфраструктуру Интернета необходимо постоянно обновлять. Скорости физического подключения к Интернет растут каждые несколько лет. В начале 2000-х гг. стандартом стал 1 Гбит/с, сегодня самый популярный физический интерфейс – 10Гбит/с. Однако уже началось массовое внедрение нового стандарта физического стыка, 100 Гбит/с, что порождает проблемы с устаревшим протоколом TCP/IP, не рассчитанным на столь высокие скорости.

Например, становится возможным за считанные минуты подобрать TCP Sequence number – уникальный численный идентификатор, который позволяет (вернее, позволял) партнерам по TCP/IP-соединению проводить взаимную аутентификацию в момент установки соединения и обмениваться данными, сохраняя их порядок и целостность. На скоростях 100 Гбит/с строчка в лог-файлах TCP-сервера об открытом соединении и/или пересланных по нему данных уже не гарантирует того, что зафиксированный IP-адрес реально устанавливал соединение и передавал эти данные. Соответственно, открывается возможность для организации атак нового класса, и может существенно снизиться эффективность работы firewalls.

Уязвимости TCP/IP привлекают к себе внимание многих исследователей. Они полагают, что уже в 2016 г. мы услышим о «громких» атаках, связанных с эксплуатацией этих «дыр».

Недалекое будущее

Сегодня развитие технологий и угроз происходит не по «классической» спирали, поскольку система не является замкнутой – на нее влияет множество внешних факторов. В результате получается спираль с расширяющейся амплитудой – она поднимается вверх, сложность атак растет, и охват технологий существенно расширяется. Отметим несколько факторов, оказывающих серьезное влияние на развитие системы.

Основной из них, безусловно, – миграция на новый транспортный протокол IPv6. В конце 2015 г. протокол IPv4 был признан устаревшим, и на первый план выходит IPv6, что приносит с собой новые вызовы: теперь каждое устройство имеет IP-адрес, и все они могут напрямую соединяться между собой. Да, появляются и новые рекомендации о том, как должны работать конечные устройства, но как со всем этим будет справляться индустрия, особенно операторы связи, сегмент mass product и китайские вендоры, – вопрос открытый. IPv6 радикально меняет правила игры.

Еще один вызов – существенный рост мобильных сетей, их скоростей и «выносливости». Если раньше мобильный ботнет создавал проблемы, прежде всего, самому оператору связи, то сейчас, когда связь 4G становится быстрее проводного Интернета, мобильные сети с огромным количеством устройств, в том числе китайского производства, превращаются в отличную платформу для проведения DDoS- и хакерских атак. И проблемы возникают не только у оператора связи, но и у остальных участников рынка.

Серьезную угрозу представляет собой зарождающийся мир «Интернета вещей». Появляются новые векторы атак, поскольку огромное количество устройств и использование беспроводной технологии связи открывают для хакеров поистине безграничные перспективы. Все устройства, подключенные к Интернету, потенциально могут стать частью инфраструктуры злоумышленников и быть задействованными в DDoS-атаках.

К сожалению, производители всевозможных подключаемых к Сети бытовых приборов (чайников, телевизоров, автомобилей, мультиварок, весов, «умных» розеток и т.п.) далеко не всегда обеспечивают должный уровень их защиты. Зачастую в таких устройствах используются старые версии популярных операционных систем, и вендоры не заботятся об их регулярном обновлении – замене на версии, в которых устранены уязвимости. И если устройство популярно и широко применяется, то хакеры не упустят возможности поэксплуатировать его уязвимости.

Предвестники проблемы IoT появились уже в 2015 г. По предварительным данным, последняя атака на Blizzard Entertainment была осуществлена с помощью устройств класса IoT. Был зафиксирован вредоносный код, функционирующий на современных чайниках и лампочках. Задачу хакеров упрощают и чипсеты. Не так давно был выпущен недорогой чипсет, предназначенный для различного оборудования, которое может «общаться» с Интернетом. Таким образом, злоумышленникам не нужно взламывать 100 тыс. кастомизированных прошивок – достаточно «сломать» один чипсет и получить доступ ко всем устройствам, которые на нем базируются.

Прогнозируется, что очень скоро все смартфоны, основанные на старых версиях Android, будут состоять минимум в одном ботнете. За ними последуют все «умные» розетки, холодильники и прочая бытовая техника. Уже через пару лет нас ждут ботнеты из чайников, радионянь и мультиварок. «Интернет вещей» принесет нам не только удобство и дополнительные возможности, но и массу проблем. Когда вещей в IoT будет множество и каждая булавка сможет посылать по 10 байт, возникнут новые вызовы безопасности, которые придется решать. И к этому следует готовиться уже сегодня.

DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (D enial o f S ervice, из чего и складывается аббревиатура DoS).

Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «D istributed D enial o f S ervice» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.

Кто может пострадать от DoS и DDoS атак

Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.

Схема, иллюстрирующая суть DDoS-атаки:

DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.

Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.

Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.

На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia :

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Способы нападения и защиты

Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.

Флуд

Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.

Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.

Виды флуда:

• MAC-флуд — воздействие на сетевые коммуникаторы (блокировка портов потоками данных).
• ICMP-флуд — заваливание жертвы служебными эхо-запросами с помощью зомби-сети или рассылка запросов «от имени» атакуемого узла, чтобы все члены ботнета одновременно отправили ему эхо-ответ (атака Smurf). Частный случай ICMP-флуда — ping-флуд (отправка на сервер запросов ping).
• SYN-флуд — отправка жертве многочисленных SYN-запросов, переполняя очередь TCP-подключений путем создавая большого количества полуоткрытых (ожидающих подтверждения клиента) соединений.
• UDP-флуд — работает по схеме Smurf-атак, где вместо ICMP-пакетов пересылаются датаграммы UDP.
• HTTP-флуд — заваливание сервера многочисленными HTTP-сообщениями. Более изощренный вариант — HTTPS-флуд, где пересылаемые данные предварительно шифруются, и прежде чем атакуемый узел их обработает, ему предстоит их расшифровать.

Как защититься от флуда

• Настроить на сетевых коммутаторах проверку на валидность и фильтрацию MAC-адресов.
• Ограничить или запретить обработку эхо-запросов ICMP.
• Блокировать пакеты, приходящие с определенного адреса или домена, который дает повод подозревать его в неблагонадежности.
• Установить лимит на количество полуоткрытых соединений с одним адресом, сократить время их удержания, удлинить очередь TCP-подключений.
• Отключить сервисы UDP от приема трафика извне или ограничить количество UDP-соединений.
• Использовать CAPTCHA, задержки и другие приемы защиты от ботов.
• Увеличить максимальное количество HTTP-подключений, настроить кэширование запросов с помощью nginx.
• Расширить пропускную способность сетевого канала.
• По возможности выделить отдельный сервер для обработки криптографии (если используется).
• Создать резервный канал для административного доступа к серверу в аварийных ситуациях.

Перегрузка аппаратных ресурсов

Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:

• Создание скрипта, который разместит на форуме или сайте, где у пользователей есть возможность оставлять комментарии, огромное количество бессмысленной текстовой информации, пока не заполнится всё дисковое пространство.
• То же самое, только заполнять накопитель будут логи сервера.
• Загрузка сайта, где выполняется какое-либо преобразование введенных данных, непрерывной обработкой этих данных (отправка так называемых «тяжелых» пакетов).
• Загрузка процессора или памяти выполнением кода через интерфейс CGI (поддержка CGI позволяет запускать на сервере какую-либо внешнюю программу).
• Вызов срабатывания системы безопасности, что делает сервер недоступным извне и т. д.

Как защититься от перегрузки аппаратных ресурсов

• Увеличить производительность оборудования и объем дискового пространства. При работе сервера в штатном режиме свободными должны оставаться не менее 25-30% ресурсов.
• Задействовать системы анализа и фильтрации трафика до передачи его на сервер.
• Лимитировать использование аппаратных ресурсов компонентами системы (установить квоты).
• Хранить лог-файлы сервера на отдельном накопителе.
• Рассредоточить ресурсы по нескольким независимым друг от друга серверам. Так, чтобы при отказе одной части другие сохраняли работоспособность.

Уязвимости в операционных системах, программном обеспечении, прошивках устройств

Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.

После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.

Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.

Методы противодействия эксплуатации уязвимостей в софте

• Своевременно устанавливать обновления, закрывающие уязвимости операционных систем и приложений.
• Изолировать от стороннего доступа все службы, предназначенные для решения административных задач.
• Использовать средства постоянного мониторинга работы ОС сервера и программ (поведенческий анализ и т. п.).
• Отказаться от потенциально уязвимых программ (бесплатных, самописных, редко обновляемых) в пользу проверенных и хорошо защищенных.
• Использовать готовые средства защиты систем от DoS и DDoS-атак, которые существуют как в виде аппаратных, так и программных комплексов.

Как определить, что ресурс подвергся нападению хакера

Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:

• Неестественное поведение серверных приложений или операционной системы (зависание, завершение работы с ошибками и т. д.).
• Нагрузка на процессор, оперативную память и накопитель по сравнению с исходным уровнем резко возрастает.
• Объем трафика на один или несколько портов увеличивается в разы.
• Наблюдаются многократные обращения клиентов к одним и тем же ресурсам (открытие одной страницы сайта, скачивание одного и того же файла).
• Анализ логов сервера, брандмауэра и сетевых устройств показывает большое количество однообразных запросов с различных адресов, часто направленных на конкретный порт или сервис. Особенно если сайт ориентирован на узкую аудиторию (например, русскоязычную), а запросы идут со всего мира. Качественный анализ трафика при этом показывает, что обращения не имеют практического смысла для клиентов.

Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.

Брайан Кребс когда-то работал в The Washington Post, вёл для них расследования об интернет безопасности. Позже журналист уволился, чтобы открыть собственный блог. Специализацию экс-журналист не поменял, за что в сентябре и поплатился, когда раскрыл афёру двух израильских подростков..

Итак, Брайан Кребс занимался своим привычным делом, расследовал интернет -преступления. К этому времени в его списке раскрытых дел значилось дело о вирусе Stuxnet, который собирал данные с домашних компьютеров и промышленных предприятий. Кребс был первым, кто публично рассказал о вирусе ещё в 2010 году. Тремя годами позднее Брайан раскрыл человека, который продавал информацию о картах покупателей магазинов Target. Месть интернет - преступников была специфичной, к нему домой вызвали полицейских.

Так что думается, Брайан понимал, на что способны хакеры, правда возможные масштабы вряд ли мог представить, когда в сентябре опубликовал пост об израильских подростках, занимавшихся DDoS-атаками. В этот же день хакеров арестовали, но позднее отпустили под залог. Совпадение или нет, но с этого момента сайту Брайана пришлось отбиваться от серьёзной DDoS-атаки, с которой не справилась одна из ведущих компаний по обеспечению интернет-безопасности. Akamai четыре года безвозмездно обеспечивала защиту блога Кребса от DDoS-атак. В своей публикации специалист по интернет – безопасности рассказал о сервисе vDOS, который по официальной версии тестировал нагрузки на сайты, но на самом деле нарушал их работу. По примерной оценке, создателям сервиса удалось присвоить порядка 600 тысяч долларов.

Помощникам Кребса удалось скачать базы данных, с помощью которых были установлены настоящие адреса серверов в Болгарии, с которых велись DDoS-атаки. Как вы понимаете, хакеры заинтересованы в сокрытии своих реальных IP-адресов. Проанализировав данные, Брайану удалось установить имена и даже номера телефонов жителей Израиля, которые могли быть владельцами сервиса.

Позднее стало известно, что день публикации поста были арестованы двое подростков, но которые вскоре вышли на свободу. А уже 10 сентября у сайта Брайана Кребса начались проблемы. На максимуме мощность атаки достигала 140 гигабит в секунду. Обиженные хакеры не преминули оставить Кребсу сообщения «идисдохнимудак» («godiefaggot»). На какое-то время блог даже прекратил работу, но специалисты Akamai сумели его восстановить. Но атаки на этом не прекратились. А к 20 сентября её мощность составила уже 665 гигабит в секунду. Akamai вынуждена была отказаться от сопровождения блога Кребса, чтобы обеспечить безопасность платным подписчикам. Мощность атаки, которой подвергся сайт, была в два раза больше, чем специалистам Akamai приходилось до сих пор наблюдать. Некоторые журналисты и вовсе сошлись во мнении, что это крупнейшая атака за всю историю интернета. Например, в начале 2016 года сайт «Би-Би-Си» подвергся атаке мощностью 602 гигабита в секунду. Несколькими месяцами позднее рекорд был побит.

Видимо, пост Кребса задел злоумышленников за живое. Атака велась с помощью IP-камер, роутеров и других «интернет вещей», на которые пользователи устанавливают стандартные пароли. Хакеры даже не пытались замести следы и засветили адреса большинства устройств, которые еще могли быть использованы для других финансовых атак. Опять таки, не стали мудрить со словоформами. Ник одного из создателей vDOC – AppleJ4ck можно было прочитать в некоторых POST-запросах атаки, содержащих строку «freeapplej4ck». Только вмешательство Google позволило восстановить сайт с расследованиями Кребса. Project Shield интернет-гиганта как раз защищает сайты независимых журналистов и СМИ от кибер - атак.

А в первой публикации, после восстановления сайта, Брайан Кребс рассуждал о цензуре в интернете. Эффективные инструменты есть не только у государства, но и у преступников. DDoS атаки могут быть серьезной преградой для независимых расследований в условиях современной рыночной экономики. Не у всех медиа есть бюджет в 200 тысяч долларов для кибер защиты.

Ошибка в тексте? Выделите ее мышкой! И нажмите: Ctrl + Enter

Андрей Головачев напомнил на своей странице в «Фейсбук», что политическая карьера всех украинских президентов заканчивалась катастрофой. По словам политического эксперта, Леонид Кучма получил под

Около полугода назад общественность узнала о том, что у известной российской актрисы Анастасии Заворотнюк была обнаружена злокачественная опухоль головного мозга. По состоянию на сегодняшний день нет

Обсуждая обеспокоенность президента Владимира Зеленского во время визита в Ватикан, некоторые обозреватели отметили, что это первый подобный случай в истории, когда в Собор Святого Петра чиновники