Кампутары, Праграмнае забеспячэнне
Ддос-атака - што гэта? Праграма для Ддос-атакі
Атака, падчас якой карыстальнікі не могуць атрымаць доступ да тых ці іншых рэсурсаў, называюць DDoS-атакай, або праблемай тыпу «Адмова ў абслугоўванні». Асноўная асаблівасць такіх хакерскіх нападаў - гэта адначасовыя запыты з вялікага ліку кампутараў па ўсім свеце, а накіраваны яны галоўным чынам на сервера добра абароненых кампаній або ўрадавых арганізацый, радзей - на адзінкавыя некамерцыйныя рэсурсы.
Кампутар, які заразіўся траянскай праграмай, станавіцца падабенствам «зомбі», а хакеры, выкарыстоўваючы некалькі сотняў, а то і дзесяткі тысяч такіх «зомбі», выклікаюць збой у працы рэсурсаў (адмова ў абслугоўванні).
Прычын для правядзення DDoS-нападаў можа быць шмат. Паспрабуем абазначыць самыя папулярныя, а разам з тым адкажам на пытанні: «Ддос-атака - што гэта, як абараніцца, якія яе наступствы і якімі сродкамі яна праводзіцца?»
канкурэнцыя
Сетка Інтэрнэт ужо даўно стала крыніцай бізнес-ідэй, рэалізацыі буйных праектаў і іншых спосабаў зарабіць вельмі немаленькія грошы, таму Ддос-атака можа быць праведзена на заказ. Т. е. Калі арганізацыя пры ўзнікненні канкурэнта захоча яго прыбраць, то яна проста звярнуцца да хакеру (або да групы такіх) з простай задачай - паралізаваць працу непажаданай фірмы з дапамогай інтэрнэт-рэсурсаў (Ддос-атака на сервер або сайт).
У залежнасці ад канкрэтных мэтаў і задач, такая атака усталёўваецца на пэўны тэрмін і з ужываннем адпаведнай сілы.
махлярства
Даволі часта Ддос-атака на сайт арганізоўваецца па ініцыятыве хакераў з мэтай блакаваць сістэму і атрымаць доступ да персанальных або іншым важным дадзеных. Пасля таго як зламыснікі паралізуюць працу сістэмы, яны могуць запатрабаваць некаторую суму грошай для аднаўлення працаздольнасці атакаваных рэсурсаў.
Шматлікія інтэрнэт-прадпрымальнікі згаджаюцца на высунутыя ўмовы, апраўдваючы свае дзеянні прастоямі у працы і атрыманнем каласальных страт - лягчэй заплаціць невялікую суму ашуканцу, чым губляць значную прыбытак за кожны дзень прастою.
забаўка
Вельмі многія карыстальнікі сусветнага павуціння проста дзеля цікаўнасці або забавы цікавяцца: "Ддос-атака - што гэта і як яе зрабіць?" Таму нярэдкія выпадкі, калі маладыя зламыснікі дзеля пацехі і спробы сіл арганізоўваюць такія напады на выпадковыя рэсурсы.
Разам з прычынамі, Ддос-атакі маюць свае класіфікацыйныя прыкметы.
- Паласы прапускання. Сёння практычна кожнае камп'ютэрнае месца абсталявана альбо лакальнай сеткай, альбо проста падключана да інтэрнэту. Таму нярэдкія выпадкі сеткавага флуда - вялікай колькасці запытаў з няправільна сфарміраванай і бессэнсоўнай сістэмай да канкрэтных рэсурсаў або абсталяванню з мэтай яго наступнага адмовы або збою (каналы сувязі, жорсткія дыскі, памяць і інш.).
- Вычарпанне сістэмы. Такая Ддос-атака на сервер Samp праводзіцца для захопу фізічнай памяці, працэсарнага часу і іншых сістэмных рэсурсаў, з-за адсутнасці якіх атакаванаму аб'екту проста няма магчымасці паўнавартасна працаваць.
- Зацыкленне. Бясконцая праверка дадзеных і іншыя цыклы, якія дзейнічаюць «па крузе», прымушаюць аб'ект марнаваць масу рэсурсаў, тым самым засмечваючы памяць да поўнага яе вычарпання.
- Ілжывыя атакі. Такая арганізацыя накіравана на ілжывае спрацоўванне сістэм абароны, што ў выніку прыводзіць да блакавання некаторых рэсурсаў.
- HTTP пратакол. Хакеры пасылаюць малоёмкие HTTP-пакеты з асаблівым шыфраваннем, рэсурс, натуральна, не бачыць, што на яго арганізавана Ддос-атака, праграма для сервера, выконваючы сваю працу, адсылае ў адказ пакеты значна большай ёмістасці, тым самым засмечваючы паласу прапускання ахвяры, што прыводзіць зноў такі да адмовы працы сэрвісаў.
- Смурф-атака. Гэта адзін з самых небяспечных відаў. Хакер па шырокавяшчальным канале адпраўляе ахвяры падроблены ICMP-пакет, дзе адрас ахвяры падмяняецца адрасам зламысніка, і ўсе вузлы пачынаюць дасылаць адказ на пінг-запыт. Дадзеная Ддос-атака - праграма накіраваная на выкарыстанне вялікай сеткі, т. Е. Запыт, апрацаваны з дапамогай 100 кампутараў, будзе ўзмоцнены ў 100 разоў.
- UDP-флуд. Гэты від атакі чымсьці падобны з папярэднім, але замест ICMP-пакетаў зламыснікі выкарыстаюць UDP-пакеты. Сутнасць гэтага метаду ў тым, каб падмяніць IP-адрас ахвяры на адрас хакера і цалкам загрузіць паласу прапускання, што таксама прывядзе да збою сістэмы.
- SYN-флуд. Зламыснікі спрабуюць адначасова запусціць вялікая колькасць TCP-злучэнняў праз SYN-канал з няслушным або зусім адсутным зваротным адрасам. Пасля некалькіх такіх спроб большасць аперацыйных сістэм ставяць у чаргу праблемнае злучэнне і толькі пасля энного колькасці спробаў яго закрываюць. Паток SYN-канала даволі вялікі, і неўзабаве, пасля мноства такіх спробаў, ядро ахвяры адмаўляецца адчыняць любое новае злучэнне, блакуючы працу ўсёй сеткі.
- «Цяжкія пакеты". Дадзены выгляд дае адказ на пытанне: «Што такое Ддос-атака сервера?» Хакеры адсылаюць пакеты серверу карыстальніка, але насычэнне паласы прапускання не адбываецца, дзеянне накіравана толькі на працэсарны час. У выніку такія пакеты прыводзяць да збою ў сістэме, а яна, у сваю чаргу, адмаўляе ў доступе да сваіх рэсурсаў.
- Лог-файлы. Калі сістэма кватавання і ратацыі маюць праломы ў абароне, то зламыснікі могуць адпраўляць вялікія па аб'ёме пакеты, займаючы тым самым усё вольнае месца на жорсткіх дысках сервера.
- Праграмны код. Хакеры з вялікім вопытам могуць цалкам вывучыць структуру сервера ахвяры і запусціць спецыяльныя алгарытмы (Ддос-атака - праграма-эксплоит). Такія атакі галоўным чынам накіраваны на добра абароненыя камерцыйныя праекты прадпрыемстваў і арганізацыі розных сфер і абласцей. Зламыснікі знаходзяць праломы ў праграмным кодзе і запускаюць недапушчальныя інструкцыі або іншыя выключныя алгарытмы, якія прыводзяць да аварыйнай прыпынку сістэмы або службы.
Ддос-атака: што гэта і як абараніцца
Метадаў абароны ад DDoS-нападаў існуе нямала. І ўсе іх можна падзяліць на чатыры часткі: пасіўныя, актыўныя, рэакцыйныя і прэвентыўныя. Пра што і пагаворым далей падрабязней.
папярэджанне
Тут патрэбна прафілактыка непасрэдна саміх прычын, якія маглі б справакаваць DDoS-напад. Да гэтага тыпу можна аднесці нейкія асабістыя непрыязнасці, прававыя рознагалоссі, канкурэнцыю і іншыя фактары правакуюць «падвышаны» ўвага да вас, вашаму бізнесу і т. Д.
Калі своечасова адрэагаваць на гэтыя фактары і зрабіць адпаведныя высновы, то можна пазбегнуць многіх непрыемных сітуацый. Гэты метад можна аднесці, хутчэй, да кіраўніцкаму рашэнню праблемы, чым да тэхнічнай баку пытання.
меры ў адказ
Калі атакі на вашыя рэсурсы працягваюцца, то неабходна знайсці крыніца вашых праблем - заказчыка або выканаўцы, - выкарыстоўваючы як прававыя, так і тэхнічныя рычагі ўздзеяння. Некаторыя фірмы аказваюць паслугі па пошуку зламыснікаў тэхнічным спосабам. Зыходзячы з кваліфікацыі спецыялістаў, якія займаюцца гэтым пытаннем, можна знайсці не толькі хакера, які ажыццяўляе DDoS-атаку, але і непасрэдна самога заказчыка.
праграмная абарона
Некаторыя вытворцы апаратнага і праграмнага забеспячэння разам са сваімі прадуктамі могуць прапанаваць даволі шмат эфектыўных рашэнняў, і Ддос-атака на сайт будзе спынена накорню. У якасці тэхнічнага абаронцы можа выступаць асобны невялікі сервер, нацэлены на супрацьдзеянне малым і сярэднім DDoS-нападам.
Такое рашэнне выдатна падыдзе для малога і сярэдняга бізнесу. Для больш буйных кампаній, прадпрыемстваў і дзяржустаноў існуюць цэлыя апаратныя комплексы для барацьбы з DDoS-нападамі, якія, разам з высокай цаной, валодаюць выдатнымі ахоўнымі характарыстыкамі.
фільтраванне
Блакаванне і старанная фільтраванне ўваходнага трафіку дазволяць не толькі знізіць верагоднасць нападу. У некаторых выпадках Ддос-атака на сервер можа быць цалкам выключаная.
Можна вылучыць два асноўных спосабу фільтрацыі трафіку - міжсеткавыя экраны і поўная маршрутызацыя па спісах.
Фільтраванне з дапамогай спісаў (ACL) дазваляе адсяваць другарадныя пратаколы, не парушаючы пры гэтым працу TCP і ня паніжаючы хуткасць доступу да абараняеце рэсурсу. Аднак калі хакеры выкарыстоўваюць ботнеты або высокачашчынныя запыты, то дадзены спосаб будзе малаэфектыўным.
Міжсеткавыя экраны значна лепш абараняюць ад DDoS-нападаў, але адзіных іх мінус у тым, што яны прызначаны толькі для прыватных і некамерцыйных сетак.
люстэрка
Сутнасць гэтага метаду ў тым, каб перанакіраваць увесь уваходны трафік атакавалага назад. Зрабіць гэта можна, маючы ў наяўнасці магутныя сервера і дасведчаных спецыялістаў, якія не толькі перанакіраваць трафік, але і змогуць вывесці з ладу абсталяванне атакавалага.
Метад не падыдзе, калі маюцца памылкі ў сістэмных службах, праграмных кодах і іншых сеткавых прыкладаннях.
пошук уразлівасцяў
Гэты тып абароны накіраваны на выпраўленне эксплоіты, ўхіленне памылак у вэб-прыкладаннях і сістэмах, а таксама іншых службаў, якія адказваюць за сеткавы трафік. Метад бескарысны супраць флуд-нападаў, якія скіраваныя менавіта на дадзеныя ўразлівасці.
сучасныя рэсурсы
100% абароны гарантаваць гэты метад не можа. Але ён дазваляе больш эфектыўна праводзіць іншыя мерапрыемствы (ці комплекс такіх) па прадухіленні DDoS-нападаў.
Размеркаванне сістэм і рэсурсаў
Дубляванне рэсурсаў і размеркаванне сістэм дазволяць карыстальнікам працаваць з вашымі дадзенымі, нават калі ў гэты момант на ваш сервер праводзіцца DDoS-атака. Для размеркавання можна выкарыстоўваць рознае сервернае або сеткавае абсталяванне, а таксама рэкамендуецца падзяляць сэрвісы фізічна па розных дублюючым сістэмах (дата-цэнтры).
Такі метад абароны з'яўляецца самым эфектыўным на сённяшні дзень, пры ўмове, што было створана правільнае архітэктурнае праектаванне.
ухіленне
Галоўнай асаблівасцю гэтага метаду з'яўляецца выснова і падзел атакаванага аб'екта (даменнае імя або IP-адрас), т. Е. Ўсе працоўныя рэсурсы, якія знаходзяцца на адной пляцоўцы неабходна падзяліць і размясціць на іншых сеткавых адрасах, ці нават на тэрыторыі іншай дзяржавы. Гэта дазволіць перажыць любую атаку і захаваць ўнутраную ІТ-структуру.
Сэрвісы па абароне ад DDoS-нападаў
Расказаўшы ўсё пра такую пошасці, як Ддос-атака (што гэта і як з ёй змагацца), мы можам даць напрыканцы адзін добры савет. Вельмі шматлікія буйныя арганізацыі прапануюць свае паслугі для прадухілення і прафілактыкі такіх нападаў. У асноўным такія кампаніі выкарыстоўваюць цэлы комплекс мер і розных механізмаў, якія дазваляюць абараніць ваш бізнес ад большасці DDoS-нападаў. Працуюць там спецыялісты і знаўцы сваёй справы, таму, калі ваш рэсурс вам дарог, то аптымальным (хоць і нятанны) варыянтам будзе зварот у адну з такіх кампаній.
Як ажыццяўляецца Ддос-атака сваімі рукамі
Дасведчаны, значыць узброены - дакладны прынцып. Але памятайце, што наўмысная арганізацыя DDoS-атакі аднаасобна або групай асоб - крымінальна каральная злачынства, таму дадзены матэрыял прадстаўлены выключна для азнаямлення.
Амерыканскімі ІТ-дзеячамі па прадухіленні пагроз была распрацавана праграма для праверкі ўстойлівасці да нагрузак сервераў і магчымасці правядзення DDoS-нападаў зламыснікамі з наступнай ліквідацыяй гэтага нападу.
Натуральна, што «гарачыя» розумы павярнулі гэту зброю супроць саміх распрацоўшчыкаў і супраць таго, з чым яны змагаліся. Кодавае назва прадукта - LOIC. Гэтая праграма знаходзіцца ў вольным доступе і, у прынцыпе, не забароненая законам.
Інтэрфейс і функцыянал праграмы даволі просты, ёю можа скарыстацца любы, каго цікавіць Ддос-атака.
Як зрабіць усё самому? У радках інтэрфейсу досыць увесці IP-ахвяры, затым ўсталяваць патокі TCP і UDP і колькасць запытаў. Вуаля - пасля націску запаветнай кнопкі атака пачалася!
Якія-небудзь сур'ёзныя рэсурсы, натуральна, не пацерпяць ад гэтага софту, але дробныя могуць выпрабоўваць некаторыя праблемы.
Similar articles
Trending Now