DoS-hyökkäys

DoS ( lyhenne englanniksi  Denial of Service "denial of service") - hakkereiden hyökkäys tietokonejärjestelmää vastaan, jotta se saataisiin epäonnistumaan, eli sellaisten olosuhteiden luominen, joissa järjestelmän tunnolliset käyttäjät eivät pysty käyttää annettuja järjestelmäresursseja (palvelimia) tai tämä pääsy on vaikeaa. "Vihollisen" järjestelmän epäonnistuminen voi olla myös askel kohti järjestelmän hallitsemista (jos ohjelmisto antaa hätätilanteessa kriittistä tietoa - esimerkiksi version, osan ohjelmakoodista jne.). Mutta useammin se on taloudellisen paineen mitta: yksinkertaisen tuloa tuottavan palvelun menetys, laskut palveluntarjoajalta ja toimenpiteet hyökkäyksen välttämiseksi osuvat merkittävästi kohteen taskuun. [1] Tällä hetkellä DoS- ja DDoS-hyökkäykset ovat suosituimpia, koska ne voivat saada melkein minkä tahansa huonosti kirjoitetun järjestelmän epäonnistumaan jättämättä juridisesti merkittäviä todisteita.

Hajautettu DoS-hyökkäys

Jos hyökkäys suoritetaan samanaikaisesti suuresta määrästä tietokoneita, ne puhuvat DDoS-hyökkäyksestä [2] ( englanniksi  Distributed Denial of Service , hajautettu palvelunestohyökkäys ). Tällainen hyökkäys toteutetaan, jos sen on aiheutettava palvelunesto hyvin suojatulle suurelle yritykselle tai valtion organisaatiolle.

Ensinnäkin hyökkääjä skannaa suuren verkon käyttämällä erityisesti valmistettuja komentosarjoja, jotka tunnistavat mahdollisesti heikot solmut. Valittuja isäntiä vastaan ​​hyökätään ja hyökkääjä saa niihin järjestelmänvalvojan oikeudet. Troijalaiset asennetaan siepattuihin isäntiin ja ne toimivat taustalla . [3] Nykyään näitä tietokoneita kutsutaan zombitietokoneiksi , niiden käyttäjät eivät edes epäile olevansa mahdollisia osallistujia DDoS-hyökkäykseen. Seuraavaksi hyökkääjä lähettää tietyt komennot siepatuille tietokoneille, ja ne puolestaan ​​suorittavat kollektiivisen DoS-hyökkäyksen kohdetietokoneeseen.

On myös ohjelmia vapaaehtoiseen osallistumiseen DDoS-hyökkäyksiin.

Joissakin tapauksissa tahaton toiminta johtaa todelliseen DDoS-hyökkäykseen, esimerkiksi linkin sijoittaminen suosittuun Internet-resurssiin sivustolle, jota isännöidään ei kovin tuottavalla palvelimella ( vinoviivaefekti ). Suuri käyttäjien virta johtaa palvelimen sallitun kuormituksen ylittymiseen ja sen seurauksena palvelun epäämiseen joiltakin heistä.

Puolustus

Verkkohyökkäyksiä vastaan ​​suojautumiseen käytetään useita suodattimia, jotka on kytketty Internet-kanavaan suurella kaistanleveydellä. Suodattimet toimivat siten, että ne analysoivat peräkkäin kulkevaa liikennettä paljastaen epästandardin verkkotoiminnan ja virheet. Analysoidut epätyypillisen liikenteen mallit sisältävät kaikki tällä hetkellä tunnetut hyökkäysmenetelmät, mukaan lukien ne, jotka on toteutettu hajautetuilla botnetillä. Suodattimet voidaan toteuttaa sekä reitittimien , hallittujen kytkimien että erikoislaitteistojen tasolla.

Syitä DDoS-hyökkäysten käyttöön

Tietoturvaasiantuntijat tunnistavat useita syitä DDoS-hyökkäysten käyttöön. [neljä]

Henkilökohtainen vihamielisyys

Tämä syy toimii usein tekosyynä hyökkäyksille suuria kaupallisia ja valtion organisaatioita ja yrityksiä vastaan. Joten vuonna 1999 FBI:n web-sivustoja vastaan ​​hyökättiin, ja ne olivat sittemmin poissa käytöstä useiden viikkojen ajan. Motiivina oli äskettäinen FBI:n hyökkäys hakkereita vastaan. [5]

Viihde

Nykyään yhä useammat ihmiset ovat kiinnostuneita DoS-hyökkäyksistä, ja kaikki haluavat kokeilla käsiään tässä bisneksessä. Siksi monet aloittelevat hyökkääjät tekevät DoS-hyökkäyksiä huvikseen. Onnistuneen hyökkäyksen jälkeen he katsovat tuhonsa laajuutta. [6]

Poliittinen protesti

Kuuluisimmat poliittiseen protestiin tarkoitetut DDoS-hyökkäykset olivat vapautussotilasmonumentin tukeminen Virossa (2007) [7] , Etelä-Ossetiassa (2008), Wikileaksissa (2011), Megauploadissa (2012) ja EX.UA:ssa (2012 ). ) ja myös Venäjän hyökkäystä Ukrainaan vastaan ​​[8] .

Epäreilu kilpailu

DDoS-hyökkäykset voidaan toteuttaa häikäilemättömän kilpailijan määräyksestä .

Kiristys tai kiristys

DDoS-hyökkäykset voidaan suorittaa kiristys- tai kiristystarkoituksessa , jolloin hyökkääjä ottaa ensin yhteyttä sivuston omistajaan.

DoS-hyökkäysten luokittelu

Hakkereiden on paljon helpompaa suorittaa DoS-hyökkäys järjestelmää vastaan ​​kuin saada täysi pääsy siihen. On useita syitä, miksi DoS-ehto voi ilmaantua, eli tilanne, jossa käyttäjät eivät pääse käsiksi palvelimen tarjoamiin resursseihin tai pääsy niihin on merkittävästi vaikeaa: [9]

Kaistanleveyden kylläisyys

Tällä hetkellä lähes jokainen tietokone on kytketty Internetiin tai lähiverkkoon. Tämä on erinomainen tilaisuus suorittaa DoS-hyökkäys täyttämällä kaistanleveys. Tyypillisesti hyökkääjät käyttävät tulvaa ( eng.  flood  - "tulva", "ylivuoto") - hyökkäystä, joka liittyy suureen määrään yleensä merkityksettömiä tai väärin muotoiltuja pyyntöjä tietokonejärjestelmään tai verkkolaitteeseen, jonka tavoitteena on tai on johtanut järjestelmän vika - järjestelmän resurssien loppumisen vuoksi - prosessorista, muistista tai viestintäkanavista. Tulvia on useita lajikkeita. [kymmenen]

HTTP-tulva ja ping-tulva

Tämä on primitiivisin DoS-hyökkäystyyppi. Kaistanleveyden kyllästäminen voidaan tehdä vain tavallisilla pingillä, jos hyökkääjän kanava on paljon leveämpi kuin uhrin tietokoneen kanava. Mutta tällainen hyökkäys on hyödytön palvelinta vastaan, koska jälkimmäisellä puolestaan ​​on melko laaja kaistanleveys. HTTP-tulvaa käytetään yleensä hyökkäämään palvelimeen. Hyökkääjä lähettää pienen HTTP-paketin, mutta sellaisen, että palvelin vastaa siihen satoja kertoja suuremmalla paketilla. Vaikka palvelimen kanava on kymmenen kertaa leveämpi kuin hyökkääjän, on silti hyvät mahdollisuudet täyttää uhrin kaistanleveys. Ja jotta estetään vastaus HTTP-paketit aiheuttamasta palvelun estoa hyökkääjältä, joka kerta, kun hän korvaa IP-osoitteensa verkon solmujen ip-osoitteilla. [yksitoista]

Smurffin hyökkäys (ICMP tulva)

Smurf-hyökkäys eli ICMP-tulva  on yksi vaarallisimmista DoS-hyökkäystyypeistä, koska uhritietokone kokee palveluneston tällaisen hyökkäyksen jälkeen lähes 100 %:n takuulla. Hyökkääjä käyttää lähetystä tarkistaakseen, onko järjestelmässä suoria isäntiä lähettämällä ping-pyynnön . Ilmeisesti hyökkääjä yksin ei pysty poistamaan uhrin tietokonetta käytöstä, joten tarvitaan vielä yksi osallistuja - tämä on vahvistava verkko. Siinä hyökkääjä lähettää väärennetyn ICMP-paketin lähetysosoitteeseen . Sitten hyökkääjän osoite muutetaan uhrin osoitteeksi. Kaikki solmut lähettävät hänelle vastauksen ping-pyyntöön. Siksi ICMP-paketti, jonka hyökkääjä lähettää 200 solmun sisältävän vahvistusverkon kautta, vahvistetaan kertoimella 200. Tällaista hyökkäystä varten valitaan yleensä suuri verkko, jotta uhrin tietokoneella ei ole mahdollisuutta. [12]

Fraggle attack (UDP tulva)

Fraggle-hyökkäys (fragmentation granade) ( englanniksi  Fraggle attack ) on täydellinen analogi Smurf-hyökkäykselle, jossa UDP - paketteja käytetään ICMP-pakettien sijaan , joten sitä kutsutaan myös UDP-tulviksi. Tämän hyökkäyksen toimintaperiaate on yksinkertainen: kaikukomennot lähetetään uhrin seitsemänteen porttiin lähetyspyynnöstä. Sitten hyökkääjän IP-osoite korvataan uhrin IP-osoitteella, joka saa pian paljon vastausviestejä. Niiden määrä riippuu verkon solmujen määrästä. Tämä hyökkäys johtaa kaistanleveyden kyllästymiseen ja uhrin täydelliseen palvelun epäämiseen. Tässä tapauksessa, jos kaikupalvelu on poistettu käytöstä, ICMP-sanomia luodaan, mikä johtaa myös kaistanleveyden kyllästymiseen. [12]

SYN-pakettitulvahyökkäys (SYN-tulva)

Ennen smurffihyökkäyksen tuloa SYN-tulvahyökkäys, joka tunnetaan myös nimellä SYN-tulva , oli laajalle levinnyt . [13] Sen toiminnan kuvaamiseksi voidaan tarkastella kahta järjestelmää A ja B, jotka haluavat muodostaa TCP-yhteyden keskenään , minkä jälkeen ne voivat vaihtaa tietoja keskenään. Tietty määrä resursseja on varattu yhteyden muodostamiseen, ja DoS-hyökkäykset käyttävät tätä. Lähettämällä useita vääriä pyyntöjä voit käyttää kaikki yhteyden muodostamiseen varatut järjestelmäresurssit. [14] Katsotaanpa tarkemmin, miten tämä tapahtuu. Hakkeri järjestelmästä A lähettää SYN-paketin järjestelmään B, mutta muutettuaan IP-osoitteensa olemattomaksi. Sitten, tietämättään, tietokone B lähettää SYN/ACK-vastauksen olemattomaan IP-osoitteeseen ja siirtyy SYN-RECEIVED-tilaan. Koska SYN/ACK-sanoma ei saavuta järjestelmää A, tietokone B ei koskaan vastaanota pakettia ACK-lipulla. [15] [16] Tämä mahdollinen yhteys asetetaan jonoon. Se poistuu jonosta vasta 75 sekunnin kuluttua. [17] Hyökkääjät käyttävät tätä useiden SYN-pakettien lähettämiseen uhrin tietokoneelle kerralla 10 sekunnin välein kuluttaakseen järjestelmäresurssit kokonaan. Hyökkäyksen lähteen määrittäminen on erittäin vaikeaa, koska hyökkääjä muuttaa jatkuvasti lähteen IP-osoitetta. [kahdeksantoista]

Resurssien puute

Hyökkääjät käyttävät tämän tyyppistä DoS-hyökkäystä vangitakseen järjestelmäresursseja, kuten RAM -muistia ja fyysistä muistia, prosessoriaikaa ja muita. Tyypillisesti tällaiset hyökkäykset suoritetaan ottaen huomioon, että hakkereilla on jo jonkin verran järjestelmäresursseja. Hyökkäyksen tarkoituksena on saada lisää resursseja. Tätä varten ei tarvitse kyllästää kaistanleveyttä, vaan yksinkertaisesti ylikuormittaa uhrin prosessoria, eli ottaa kaikki prosessorin sallittu aika. [19]

Lähetetään "raskaita" pyyntöjä

Hyökkääjä lähettää palvelimelle paketteja, jotka eivät kyllästä kaistanleveyttä (kanava on yleensä melko leveä), mutta tuhlaa kaiken CPU-aikansa. Palvelinprosessori, kun se käsittelee niitä, ei ehkä pysty selviytymään monimutkaisista laskelmista. Tämän vuoksi tapahtuu virhe, eivätkä käyttäjät pääse käsiksi tarvittaviin resursseihin.

Palvelin täynnä lokitiedostoja

Palvelimen lokitiedostot ovat tiedostoja, jotka tallentavat verkon tai ohjelman käyttäjien toimet. Pätemätön järjestelmänvalvoja voi määrittää järjestelmän väärin palvelimellaan asettamatta tiettyä rajaa. Hakkeri hyödyntää tätä virhettä ja lähettää suuria paketteja, jotka vievät pian kaiken vapaan tilan palvelimen kiintolevyltä. Mutta tämä hyökkäys toimii vain kokemattoman järjestelmänvalvojan tapauksessa, pätevät tallentavat lokitiedostot erilliseen järjestelmäasemaan. [yksitoista]

Huono kiintiöjärjestelmä

Joillakin palvelimilla on ns. CGI-ohjelma , joka linkittää ulkoisen ohjelman Web-palvelimeen. Jos hakkeri saa pääsyn CGI:hen, hän voi kirjoittaa skriptin ( eng.  scripting language ), joka käyttää paljon palvelinresursseja, kuten RAM-muistia ja prosessoriaikaa. Esimerkiksi CGI-skripti voi sisältää silmukoiden luomisen suurten taulukoiden luomisen tai monimutkaisten matemaattisten kaavojen laskemisen. Tässä tapauksessa keskusprosessori voi käyttää tällaista komentosarjaa useita tuhansia kertoja. Tästä päätelmä: jos kiintiöjärjestelmä on määritetty väärin, tällainen komentosarja vie kaikki järjestelmäresurssit palvelimelta lyhyessä ajassa. Tietysti ulospääsy tästä tilanteesta on ilmeinen - asettaa tietty raja muistin käyttöön, mutta tässä tapauksessa komentosarjaprosessi, joka on saavuttanut tämän rajan, odottaa, kunnes se poistaa kaikki vanhat tiedot muistista. Siksi käyttäjät kokevat järjestelmäresurssien puutteen. [kaksikymmentä]

Käyttäjätietojen riittämätön validointi

Käyttäjätietojen riittämätön validointi johtaa myös äärettömään tai pitkään sykliin tai lisääntyneeseen pitkän aikavälin prosessoriresurssien kulutukseen (prosessoriresurssien loppuun asti) tai suuren RAM-määrän varaamiseen (käytettävissä olevan muistin loppuun asti). [neljätoista]

Toisen tyyppinen hyökkäys

Tämä on hyökkäys, joka yrittää virheellisesti laukaista turvajärjestelmän ja siten tehdä resurssin käyttökelvottomaksi.

Ohjelmointivirheet

Ammattimaiset DoS-hyökkääjät eivät käytä niin primitiivistä hyökkäysmenetelmää kuin kaistanleveyden kyllästäminen. Ymmärtettyään täysin uhrin järjestelmän rakenteen he kirjoittavat ohjelmia ( hyökkääjiä ), jotka auttavat hyökkäämään kaupallisten yritysten tai organisaatioiden monimutkaisia ​​järjestelmiä vastaan. Useimmiten nämä ovat virheitä ohjelmakoodissa , jotka johtavat pääsyyn käyttämättömään osoiteavaruuden fragmenttiin, virheellisen käskyn suorittamiseen tai muuhun käsittelemättömään poikkeukseen, kun palvelinohjelma kaatuu - palvelinohjelma. Klassinen esimerkki on osoite nolla ( eng.  null ). [21]

Ohjelmakoodin heikkouksia

Poikkeuskäsittely on aina ollut päänsärky käyttöjärjestelmien kehittäjille. Hyökkääjät etsivät virheitä ohjelman tai käyttöjärjestelmän ohjelmakoodista ja pakottavat sen käsittelemään poikkeuksia, joita se ei voi käsitellä. Tämä johtaa virheisiin. Yksinkertainen esimerkki on toistuva pakettien lähetys, joka ei noudata RFC-asiakirjojen määrityksiä ja standardeja . [22] Hyökkääjät katsovat, pystyykö verkkopino käsittelemään poikkeuksia. Jos ei, niin tällaisten pakettien lähettäminen johtaa ytimen paniikkiin ( ydinpaniikki ) tai jopa koko järjestelmän romahtamiseen. [23]

Tämä luokka sisältää Ping of death -virheen , joka oli yleinen 1990-luvulla. RFC 791 IPv4 IPv4- paketin pituus ei saa ylittää 65 535 tavua; uhrin tietokoneelle lähetetään suurempi ICMP -paketti, joka on aiemmin jaettu osiin; uhrilla on puskurin ylivuoto tällaisesta paketista . Toinen noiden aikojen bugi on WinNuke ( Windows 95 ei käsitellyt oikein harvinaista URG TCP -paketin osaa).

Puskurin ylivuoto

Puskurin ylivuoto tapahtuu, kun ohjelma kirjoittaa tietoja puskurin ulkopuolelle ohjelmoijan virheen vuoksi. Oletetaan, että ohjelmoija on kirjoittanut sovelluksen tietojen vaihtamiseksi verkossa, joka toimii jollakin protokollalla. Tämä protokolla sanoo tiukasti, että paketin tietty kenttä voi sisältää enintään 65536 tavua dataa. Mutta sovelluksen testauksen jälkeen kävi ilmi, että sen asiakasosaan ei tarvitse laittaa dataa, joka on suurempi kuin 255 tavua. Siksi palvelinosa ei hyväksy enempää kuin 255 tavua. Seuraavaksi hyökkääjä muuttaa sovelluskoodia siten, että nyt asiakasosa lähettää kaikki protokollan sallimat 65536 tavua, mutta palvelin ei ole valmis vastaanottamaan niitä. Tämä aiheuttaa puskurin ylivuodon ja estää käyttäjiä pääsemästä sovellukseen. [yksitoista]

Reititys ja DNS-hyökkäykset

Kaikki DNS-palvelimiin kohdistuvat hyökkäykset voidaan jakaa kahteen tyyppiin: [24]

DoS-hyökkäykset DNS-palvelimien ohjelmistohaavoittuvuuksiin

Niitä kutsutaan myös välimuistihyökkäyksiksi. Tämän hyökkäyksen aikana hyökkääjä korvaa uhrin verkkotunnuksen DNS-palvelimen IP-osoitteen. Tämän jälkeen HTML-sivua pyydettäessä hyökätty henkilö joko putoaa "mustaan ​​aukkoon" (jos IP-osoite korvattiin olemattomalla) tai menee suoraan hyökkääjän palvelimelle. Toinen tapaus on valitettavampi, koska hyökkääjä pääsee helposti käsiksi aavistamattoman uhrin henkilötietoihin. Katsotaanpa esimerkkiä, kuinka tämä tapahtuu. Oletetaan, että asiakas haluaa mennä Microsoft.com-verkkosivustoon. Mutta käyttämällä yrityksen DNS-palvelimen haavoittuvuutta, hyökkääjä muutti microsoft.com-isännän IP-osoitteen omakseen. Nyt uhri ohjataan automaattisesti hyökkääjän solmuun.

DDoS-hyökkäykset DNS-palvelimia vastaan

Lisäksi puhumme DDoS-hyökkäyksistä, koska DNS-palvelimien osallistuminen edellyttää aina suuren määrän tietokoneita. Hyökkäykset DNS-palvelimiin ovat yleisimpiä hyökkäyksiä, jotka johtavat DNS-palvelimen palvelunestoon sekä kyllästämällä kaistanleveyttä että tarttumalla järjestelmäresursseihin. Mutta tällainen hyökkäys vaatii valtavan määrän zombie-tietokoneita . Sen onnistuneen käyttöönoton jälkeen käyttäjät eivät pääse tarvitsemalleen sivulle Internetissä, koska DNS-palvelin ei pysty ratkaisemaan verkkotunnuksen nimeä sivuston IP-osoitteeksi. Mutta tällä hetkellä hyökkäykset DNS-palvelimiin, joissa käytetään suurta määrää zombie-tietokoneita (tällaista järjestelmää kutsutaan " bottiverkoksi "), ovat vähemmän merkityksellisiä, koska Internet-palveluntarjoajat huomaavat helposti suuren määrän lähtevää liikennettä ja estävät sen. Pahantekijät pärjäävät nyt pienillä botnet-verkoilla tai eivät käytä niitä ollenkaan. Pääajatuksena on, että hakkerit käyttävät DNSSEC -tekniikkaan perustuvia DNS-palvelimia [26] . [27] Hyökkäysteho kasvaa DNS-kyselyjen lisääntymisen vuoksi. Ihannetapauksessa tietyn palveluntarjoajan DNS-palvelimien tulisi käsitellä vain pyynnöt, jotka tulevat niille tämän palveluntarjoajan käyttäjiltä, ​​mutta tämä on kaukana todellisuudesta. Maailmassa on paljon väärin määritettyjä palvelimia, jotka voivat hyväksyä pyynnön miltä tahansa Internetin käyttäjältä. CloudFlaren työntekijät väittävät, että Internetissä on tällä hetkellä yli 68 tuhatta väärin määritettyä DNS-palvelinta, joista yli 800 on Venäjällä. [28] Näitä DNS-palvelimia käytetään DDoS-hyökkäyksiin. Perusajatuksena on, että lähes kaikki DNS-kyselyt lähetetään UDP:n kautta, jossa palautusosoite on suhteellisen helppo muuttaa uhrin osoitteeksi. Siksi hyökkääjä lähettää väärin määritettyjen DNS-palvelimien kautta tällaisen pyynnön, jotta vastaus siihen on mahdollisimman suuri (esimerkiksi se voi olla luettelo kaikista DNS-taulukon merkinnöistä), jossa käänteinen IP osoite korvataan uhrin IP-osoitteella. Palveluntarjoajien palvelimilla on pääsääntöisesti melko suuri kaistanleveys, joten useiden kymmenien Gb / s hyökkäysten luominen ei ole vaikeaa. [29]

Luettelo autonomisista järjestelmistä, joissa on eniten väärin määritettyjä DNS -palvelimia 11.10.2013. [28]

DNS-palvelimien määrä Autonomisen järjestelmän nimi Sijainti
2108 BELPAK-AS Republikaanien yhtenäinen televiestintäyritys Be Valko-Venäjä
1668 HINET Data Communication -liiketoimintaryhmä
1596 OCN NTT Communications Corporation
1455 TELEFONICA CHILE SA Chile
1402 KIXS-AS-KR Korea Telecom Korea
965 Telefonica Argentiina Argentiina
894 ERX-TANET-ASN1 Tiawan Akateemisen verkon (TANET) tiedot C Taiwan
827 KDDI KDDI OYJ
770 Compa Dominicana de Telefonos, C. por A. — CODETEL
723 CHINANET-BACKBONE No.31, Jin-rong Street Kiina
647 LGDACOM LG DACOM Corporation
606 UUNET – MCI Communications Services, Inc. d/b/a Verizon Busi
604 TELKOMNET-AS2-AP PT Telekomunikasi Indonesia Indonesia
601 COLOMBIA TELECOMUNICACIONES SA ESP Kolumbia

DoS/DDoS-hyökkäysten havaitseminen

On olemassa mielipide, että erityisiä työkaluja DoS-hyökkäysten havaitsemiseen ei tarvita, koska DoS-hyökkäyksen tosiasiaa ei voida jättää huomiotta. Monissa tapauksissa tämä on totta. Onnistuneita DoS-hyökkäyksiä havaittiin kuitenkin melko usein, ja uhrit huomasivat ne vasta 2-3 päivän kuluttua. Hyökkäyksen kielteiset seuraukset ( tulvahyökkäys ) johtivat liian suuriin kustannuksiin ylimääräisen Internet-liikenteen maksamiseen, mikä kävi selväksi vasta laskun saatuaan Internet-palveluntarjoajalta. Lisäksi monet tunkeutumisen havaitsemismenetelmät ovat tehottomia lähellä hyökkäyskohdetta, mutta ne ovat tehokkaita verkon runkoverkoissa. Tässä tapauksessa tunnistusjärjestelmät kannattaa asentaa juuri sinne, eikä odottaa, kunnes hyökkäyksen kohteeksi joutunut käyttäjä huomaa sen itse ja hakee apua. Lisäksi DoS-hyökkäysten tehokas torjuminen edellyttää DoS-hyökkäysten tyypin, luonteen ja muiden ominaisuuksien tuntemista, ja juuri tietoturvapalvelut antavat sinun saada nämä tiedot nopeasti. Ne auttavat tekemään joitain järjestelmäasetuksia. Mutta he eivät pysty määrittämään, tekikö tämän hyökkäyksen hyökkääjä vai onko palvelunesto seurausta epänormaalista tapahtumasta. Turvallisuuspolitiikan sääntöjen mukaisesti, jos DoS- tai DDoS-hyökkäys havaitaan, se on rekisteröitävä lisätarkastusta varten. Kun hyökkäys on havaittu, turvallisuuspalveluita voidaan vaatia tekemään joitain muutoksia järjestelmään ja palauttamaan se edelliselle toimintatasolle. Myös DDoS-hyökkäyksen havaitsemiseen voidaan käyttää palveluita, jotka eivät liity turvallisuuteen, esimerkiksi ohjaamalla liikennettä muiden viestintäkanavien kautta, käynnistämällä varmuuskopiopalvelimia tietojen kopioimiseksi. Näin ollen keinot DDoS-hyökkäysten havaitsemiseen ja estämiseen voivat vaihdella suuresti suojattavan järjestelmän tyypin mukaan. [kolmekymmentä]

DoS-hyökkäysten havaitsemismenetelmät voidaan jakaa useisiin suuriin ryhmiin:

  • allekirjoitus - perustuu liikenteen laadulliseen analyysiin.
  • tilastollinen - perustuu liikenteen kvantitatiiviseen analyysiin.
  • hybridi (yhdistetty) - yhdistää molempien yllä olevien menetelmien edut.

Tunnetut DDoS-hyökkäykset

Esimerkiksi vuonna 2012 DNS-palvelimiin kohdistui useita laajamittaisia ​​DDoS-hyökkäyksiä. Ensimmäinen niistä oli suunniteltu 31. maaliskuuta, mutta sitä ei koskaan tapahtunut. Anonymous -ryhmän [32] hyökkääjien tavoitteena oli saada koko maailmanlaajuinen Internet-verkko epäonnistumaan. He halusivat tehdä tämän DDoS-hyökkäyksellä 13 juuri DNS-palvelimelle [33] . Hyökkääjät julkaisivat erityisen Ramp -apuohjelman , joka oli tarkoitettu yhdistämään pienemmät DNS-palvelimet ja Internet-palveluntarjoajat . Niiden avulla globaali verkko suunniteltiin poistamaan käytöstä.

Täsmälleen sama hyökkäys tehtiin marraskuussa 2002. Sitä pidetään edelleen globaalimpana DDoS-hyökkäyksenä DNS-palvelimia vastaan, koska sen seurauksena hyökkääjät pystyivät poistamaan käytöstä 7 juuripalvelinta. Seuraava hyökkäys tehtiin elokuussa AT&T :tä, suurinta amerikkalaista televiestintäyritystä, vastaan. Tämän seurauksena 8 tuntia kestäneen hyökkäyksen jälkeen yrityksen DNS-palvelimet epäonnistuivat. Käyttäjät eivät jonkin aikaa päässeet AT&T:n verkkosivuston lisäksi myös sen verkon kaupallisiin sivustoihin.

Toinen hyökkäys tapahtui 10. marraskuuta 2012 Go Daddyä vastaan , joka on maailman suurin hosting-palveluntarjoaja. Hyökkäyksen seuraukset olivat tuhoisat: ei pelkästään www.godaddy.com-verkkotunnus itse, vaan myös yli 33 miljoonaa yrityksen rekisteröimää Internet-verkkotunnusta. [34]

Paljon aikaisemmin, 22. elokuuta 2003, kyberrikolliset käyttivät Mydoom -virusta poistaakseen järjestelmäohjelmistoyhtiön SCO :n verkkosivuston käytöstä. Käyttäjät eivät päässeet yrityksen verkkosivuille 3 kokonaiseen päivään. [35]

15. syyskuuta 2012 valtava 65 Gbps DDoS-hyökkäys iski CloudFlareen , jaettuun isännöintiin omistettuun sisällönjakeluverkkoon . Tämän yrityksen palvelimet sijaitsevat kaikkialla maailmassa. [29] Tämä auttaa käyttäjää lataamaan Internet-sivun lähimmältä (maantieteellisesti) CloudFlare-palvelimelta paljon nopeammin. Aiemmin tämä yritys kesti DDoS-hyökkäyksiä, joiden kapasiteetti oli useita kymmeniä Gb / s, mutta ei pystynyt selviytymään 65 Gb / s:n hyökkäyksestä. Tämä huippu tapahtui lauantaina 15. syyskuuta klo 13.00. CloudFlaressa tuolloin työskennelleet työntekijät olivat entisiä hakkereita, jotka olivat kiinnostuneita saamaan selville, millä menetelmällä tämä DDoS-hyökkäys tehtiin ja kuinka hyökkääjät pystyivät toteuttamaan sen sellaisella voimalla. Kävi ilmi, että tällainen hyökkäys vaatisi 65 000 bottia, joista kukin luo liikennettä 1 Mbps. Mutta tämä ei ole mahdollista, koska Internet-palveluntarjoajat voivat helposti havaita ja estää niin suuren liikenteen määrän. Samaan aikaan suuren botnetin vuokraaminen on erittäin kallista. Siksi kävi ilmi, että tällaisessa hyökkäyksessä käytettiin menetelmää DNS-kyselyiden kertomiseksi avoimien DNS-palvelimien kautta.

Noin kuusi kuukautta myöhemmin, 18. maaliskuuta, New York Timesin mukaan alkoi historian suurin DDoS-hyökkäys, jonka uhri oli Spamhaus , roskapostilähteiden mustalle listalle osallistuva yritys . [36] Hyökkäyksen syynä oli se, että Spamhaus lisäsi hollantilaisen isäntäpalveluntarjoajan CyberBunkerin mustalle listalle roskapostin lähettämisestä . Toinen ilmaisi tyytymättömyytensä DDoS-hyökkäyksen avulla, jonka huipputeho on 300 Gb / s avointen DNS-palvelimien kautta. Maaliskuun 19. päivänä teho saavutti 90 Gb / s, muuttaen sen arvoa 30 Gb / s: sta. [37] Sen jälkeen oli tyyntä, mutta se ei kestänyt kauan ja hyökkäys jatkui uudella voimalla ja 22. maaliskuuta sen kapasiteetti saavutti 120 Gb/s. Hyökkäyksen torjumiseksi CloudFlare jakoi liikennettä palvelinkeskustensa välillä , minkä jälkeen Cyberbunker tajusi, että se ei voinut "sammuttaa" CloudFlarea, ja aloitti uuden hyökkäysaallon alkupään vertaisiaan vastaan . Osa paketeista suodatettiin Tier2-tasolla, muu liikenne pääsi Tier1-tasolle, jossa teho saavutti maksiminsa 300 Gb/s. Tuolloin miljoonat Internetin käyttäjät tunsivat tämän hyökkäyksen täyden tehon, ja he hidastivat joidenkin sivustojen toimintaa. Lopulta palveluntarjoajat kestivät tämän hyökkäyksen, mutta Euroopassa pingit lisääntyivät hieman eri sivustoja käytettäessä. Esimerkiksi Lontoon LINX - liikennekeskuksessa 23. maaliskuuta tiedonsiirtonopeus putosi hyökkäyksen seurauksena yli puoleen. 1,2 Tbps:n keskinopeus putosi 0,40 Tbps:iin. [38]

DDoS-suojaus

Lainata

Vain amatöörihyökkäykset kohdistuvat autoihin. Ammattimaiset hyökkäykset kohdistuvat ihmisiin.

B. Schneier [39]

Tällä hetkellä on mahdotonta suojautua täysin DDoS-hyökkäyksiltä, ​​koska täysin luotettavia järjestelmiä ei ole olemassa. Myös inhimillisellä tekijällä on tässä suuri rooli, koska mikä tahansa järjestelmänvalvojan virhe, joka on määrittänyt reitittimen väärin, voi johtaa erittäin tuhoisiin seurauksiin. Kaikesta tästä huolimatta tällä hetkellä on kuitenkin olemassa paljon sekä laitteiston että ohjelmiston suojaustyökaluja ja organisatorisia vastakkainasettelun menetelmiä.

Toimenpiteet DDoS-hyökkäysten torjumiseksi voidaan jakaa passiivisiin ja aktiivisiin sekä ehkäiseviin ja reaktiivisiin. Alla on lyhyt luettelo tärkeimmistä menetelmistä.

  • Ennaltaehkäisy. Sellaisten syiden estäminen, jotka kannustavat tiettyjä henkilöitä järjestämään ja toteuttamaan DDoS-hyökkäyksiä. (Hyvin usein kyberhyökkäykset yleensä johtuvat henkilökohtaisista epäkohdista, poliittisista, uskonnollisista ja muista erimielisyyksistä, uhrin provosoivasta käytöksestä jne.). On välttämätöntä poistaa DDoS-hyökkäysten syyt ajoissa ja tehdä sitten johtopäätökset tällaisten hyökkäysten välttämiseksi tulevaisuudessa.
  • vastatoimia. Teknisiä ja oikeudellisia toimenpiteitä soveltaen on välttämätöntä vaikuttaa mahdollisimman aktiivisesti DDoS-hyökkäyksen lähteeseen ja järjestäjään. Tällä hetkellä on jopa erikoisyrityksiä, jotka auttavat löytämään hyökkäyksen suorittaneen henkilön, mutta jopa itse järjestäjän.
  • Ohjelmisto. Nykyaikaisten ohjelmistojen ja laitteistojen markkinoilla on yksi, joka voi suojata pieniä ja keskisuuria yrityksiä heikoilta DDoS-hyökkäyksiltä. Nämä työkalut ovat yleensä pieni palvelin.
  • Suodatus ja mustareikä. Liikenteen estäminen hyökkääviltä koneilta. Näiden menetelmien tehokkuus laskee, kun tulet lähemmäksi hyökkäyskohdetta, ja lisääntyy, kun tulet lähemmäksi hyökkäävää konetta. Tässä tapauksessa suodatus voi olla kahta tyyppiä: palomuureja ja ACL -luetteloita . Palomuurien käyttö estää tietyn liikennevirran, mutta ei salli "hyvän" liikenteen erottamista "huonosta" liikenteestä. ACL-luettelot suodattavat pois pienet protokollat ​​eivätkä vaikuta TCP-protokolliin. Tämä ei hidasta palvelinta, mutta on hyödytöntä, jos hyökkääjä käyttää prioriteettipyyntöjä. [40]
  • Käänteinen DDOS  - hyökkäykseen käytetyn liikenteen ohjaaminen hyökkääjälle. Riittävällä hyökkäyksen kohteena olevan palvelimen teholla se mahdollistaa paitsi onnistuneen hyökkäyksen torjumisen, myös hyökkäävän palvelimen poistamisen käytöstä.
  • Haavoittuvuuksien poistaminen. Ei toimi tulvahyökkäyksiä vastaan , joiden " haavoittuvuus " on tiettyjen järjestelmäresurssien rajallisuus. Tällä toimenpiteellä pyritään poistamaan virheitä järjestelmissä ja palveluissa.
  • Resurssien lisääminen. Se ei tietenkään tarjoa absoluuttista suojaa, mutta se on hyvä tausta muun tyyppisten suojausten soveltamiselle DDoS-hyökkäyksiä vastaan.
  • Hajaantuminen. Hajautettujen ja monistuvien järjestelmien rakentaminen, jotka eivät lopeta käyttäjien palvelemista, vaikka jotkin niiden elementit eivät olisi käytettävissä DoS-hyökkäyksen vuoksi.
  • Välttely. Hyökkäyksen välittömän kohteen ( verkkotunnuksen tai IP-osoitteen ) siirtäminen pois muista resursseista, joihin hyökkäyksen välitön kohde usein myös vaikuttaa.
  • Aktiivinen vastaus. Vaikutus hyökkäyksen lähteisiin, järjestäjään tai ohjauskeskukseen sekä ihmisen aiheuttamin että organisatorisin ja oikeudellisin keinoin.
  • Laitteiden käyttö DDoS-hyökkäysten torjumiseen. Esimerkiksi DefensePro® ( Radware ), SecureSphere® ( Imperva ), Perimeter ( MFI Soft ), Arbor Peakflow®, Riorey, Impletec iCore ja muut valmistajat. Laitteet otetaan käyttöön palvelimien ja reitittimien edessä suodattaen saapuvaa liikennettä.
  • DDoS-suojauspalvelun hankinta. Todellinen, jos tulva ylittää verkkokanavan kaistanleveyden.

Google on myös valmis tarjoamaan resurssejaan näyttääkseen sivustosi sisällön, jos sivusto on DDoS-hyökkäyksen kohteena. Tällä hetkellä Project Shield -palvelu on testausvaiheessa, mutta jotkin sivustot voidaan hyväksyä siellä [41] . Hankkeen tarkoituksena on suojella sananvapautta.

Tilastot

Kaspersky Labin asiantuntijat suorittivat tutkimuksen ja havaitsivat, että vuonna 2015 joka kuudes venäläinen yritys joutui DDoS-hyökkäyksen kohteeksi. Asiantuntijoiden mukaan vuoden aikana tehtiin noin 120 000 hyökkäystä, jotka kohdistuivat 68 000 resurssiin ympäri maailmaa. Venäjällä kyberrikolliset valitsivat kohteeksi useimmiten suuryritykset - 20 % tapauksista, keskisuuret ja pienet yritykset - 17 %. DDoS-hyökkäysten tarkoituksena oli aiheuttaa ongelmia yrityksen nettisivujen pääsivun työhön (55 % hyökkäyksistä), kommunikaatiopalvelujen ja postin käytöstä poistamiseen (34 %), toimintoihin, jotka mahdollistavat käyttäjän kirjautumisen järjestelmään (23 %). . Asiantuntijat havaitsivat myös, että 18 % DDoS-hyökkäyksistä tallennettiin tiedostopalvelimille ja 12 % rahansiirtopalveluihin. Venäjä sijoittuu viidenneksi maailmassa verkkosivuilleen kohdistuvien DDoS-hyökkäysten määrässä. Suurin osa kyberrikoksista tehdään Kiinassa, Yhdysvalloissa, Koreassa ja Kanadassa. Useimmiten hyökkäyksiä tekevät kuitenkin kiinalaiset ja venäläiset hakkerit [42] .

Katso myös

Muistiinpanot

  1. Internetin palvelunesto, 2004 .
  2. Palvelunestohyökkäykset, 2004 .
  3. Tietokonevirukset sisältä ja ulkoa, 2006 .
  4. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 2.
  5. Käytännön kryptografia, 2005 .
  6. Anonymousin filosofia, 2013 .
  7. Lenta.ru: Media: Hakkerit hyökkäävät Viron hallituksen verkkosivuille . Haettu 28. helmikuuta 2014. Arkistoitu alkuperäisestä 3. toukokuuta 2007.
  8. Ukrainan vapaaehtoisen kyberpuolustuksen järjestelmä loi ohjelman, joka auttaa taistelussa informaatiosotaa vastaan ​​... . Haettu 11. maaliskuuta 2022. Arkistoitu alkuperäisestä 1. maaliskuuta 2022.
  9. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 3.
  10. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. neljä.
  11. 1 2 3 Hakkeri, 2003 .
  12. 1 2 Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. kahdeksan.
  13. RFC 4987, 2007 .
  14. 12 TCP/IP - protokollaohjelmiston suojausongelmat, 1989 .
  15. "Neptune-projekti", 07.1996 .
  16. 4.2BSD Unix TCP/IP -ohjelmiston heikkous, 1985 .
  17. IP-tulostus Demystified, 1996 .
  18. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 9.
  19. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 5.
  20. Hakkeri, 2005 .
  21. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 6.
  22. RFC-asiakirjat, 2004 .
  23. Analyysi tyypillisistä tietoturvaloukkauksista verkoissa, 2001 .
  24. Kuvitettu opetusohjelma Internet-turvallisuudesta, 2004 , s. 7.
  25. CloudFlare, 30.10.2012 .
  26. DNS, 1987 .
  27. DNSSEC, 2010 .
  28. 1 2 Hakkeri, 31.10.2012 .
  29. 1 2 Hakkeri, 18.09.2012 .
  30. Avointen järjestelmien tietoturva, 2012 , s. 39.
  31. Hakkeri, 28.4.2013 .
  32. Nimetön IRC-palvelin, 2011 .
  33. Päänimipalvelin, 2013 .
  34. GoDaddy DNS -palvelimet kaatuivat, 11.9.2012 .
  35. MyDoom on vuosikymmenen kallein haittaohjelma, 26.01.2011 .
  36. Kuinka kyberhyökkäys Spamhausiin tapahtui, 2013 .
  37. DDoS, joka melkein rikkoi Internetin, 2013 .
  38. 300 Gbps DDoS-hyökkäys, 27.3.2013 .
  39. Semanttiset hyökkäykset: Verkkohyökkäysten kolmas aalto . Haettu 6. joulukuuta 2013. Arkistoitu alkuperäisestä 30. lokakuuta 2013.
  40. DDoS:n lieventäminen alueellisten puhdistuskeskusten kautta, 2011 .
  41. DDoS-suojaus Project Shieldillä . Käyttöpäivä: 28. kesäkuuta 2015. Arkistoitu alkuperäisestä 1. heinäkuuta 2015.
  42. TASS: Talous ja liiketoiminta - Kaspersky Lab: joka kuudes yritys Venäjän federaatiossa vuonna 2015 joutui DDoS-hyökkäyksen kohteeksi . Käyttöpäivä: 27. tammikuuta 2016. Arkistoitu alkuperäisestä 28. tammikuuta 2016.

Kirjallisuus

Linkit