Что такое DDOS – атака?

Автор: | Кат.: Веб-мастерам | 8.09.2013

 

DDOS – атакаМногие веб-мастера за время работы со своими ресурсами сталкивались с DDOS – атаками на них. Это приводило либо к потере данных, либо к другим неприятностям с сайтом. Сегодня мы попытаемся разъяснить, что собой представляет DDOS – атака, для чего она нужна и как происходит организация этого акта терроризма, иначе назвать такие действия нельзя. Такого рода деяние представляет угрозу и наносит огромный вред, поэтому в современном мире за это карают по закону и поверьте, очень строго.

Многие веб-мастера за время работы со своими ресурсами сталкивались с DDOS – атаками на них. Это приводило либо к потере данных, либо к другим неприятностям с сайтом. Сегодня мы попытаемся разъяснить, что собой представляет DDOS – атака, для чего она нужна и как происходит организация этого акта терроризма, иначе назвать такие действия нельзя. Такого рода деяние представляет угрозу и наносит огромный вред, поэтому в современном мире за это карают по закону и поверьте, очень строго.

Конечно мы немного занизили планку, сказав о том, что страдают только веб-мастера. На самом деле под раздачу попадают огромные корпорации, правительственные организации, хостинг-провайдеры, мега-порталы и т.д. Список жертв можно продолжать бесконечно. Вы спросите, а как же закон и наказание? Все дело в том, что механизм и организация DDOS – атак сложно-отслеживаемый и зачастую вредителя не так-то просто найти, но об этом чуть позже.

Что же такое DDOS – атака? Аббревиатура DDOS звучит так – «Distributed Denial Of Service Attack», что означает — «Распределенная атака с целью отказа оборудования». Из этих слов становится понятным, какая цель преследуется – это обрушение системы и зачастую дальнейшее завладение ею. Теперь немного об истории DDOS. Первые упоминания о DDOS – атаках уходят в 1996 год. Но в то время угроза была не до оценена и не получила широкой огласки. Спустя время в 1999 году ситуация в корне изменилась, поводом послужила атака на таких гигантов, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других. Сервера этих корпораций были полностью выведены из строя, что ощутимо ударило по карману владельцев вышеперечисленных структур. Но и этого оказалось не достаточно для того, чтобы заняться такой проблемой вплотную. В 2000 году атака повторилась, при этом сетевые администраторы оказались бессильны в предотвращении ее, они лишь с горечью наблюдали, как рушатся их сервера. Только после этого об угрозе заговорили всерьез.

Теперь давайте рассмотрим схему организации DDOS – атак. Перед началом проведения атаки существует подготовительный этап, то есть когда злоумышленник подготавливает ресурсы для начала масштабных действий. На этом этапе необходимо установить как можно больше программ «зомби» на компьютеры других пользователей. Это очень трудоемкий процесс, для его реализации требуется либо проникновение в не защищенные сети, либо распространение и внедрение вредоносного кода – троянов, которые впоследствии и зомбируют компьютеры для дальнейшего посыла ложных запросов. В этой ситуации пользователь персонального компьютера может даже и не подозревать, что его машина участвует в атаке на какой-либо сервер.

После подготовительного этапа выстраивается специальная архитектура, обычно это трехуровневая иерархическая структура, которая называется – «Кластером DDOS». Из чего состоит кластер DDOS?

  • Управляющая консоль, их может быть несколько, проще говоря это тот компьютер, с которого подается команда для начала атаки.
  • Главные компьютеры. Это те компьютеры, которые получают команду о начале атаки с управляющей консоли и передают ее компьютерам-зомби. Таких компьютеров может быть несколько сотен, все зависит от масштабности самой атаки. Помимо этого, если используется несколько управляющих консолей, то количество главных компьютеров увеличивается кратно.
  • Агенты – это те компьютеры, которые были зомбированы, они же и обрушают атакуюемый узел своими запросами, как говорилось выше управляют ими главные компьютеры.

Такова структура построения DDOS атаки. Теперь вернемся к вопросу наказания. Проследить откуда началась атака, практически невозможно. При попытке определить узел, с которого она произошла, удается выявить лишь компьютеры зомби и главные компьютеры, но эти машины сами были скомпрометированы и являются пострадавшей стороной. Организатор этого деяния, который дал команду для начала атаки, остается недосягаем, так как он постоянно подменял свой IP адрес. И еще один неприятный момент, для проведения атаки не нужно иметь определенных знаний и специальных программ. Все программы находятся в свободном доступе в сети Интернет. Изначально это программное обеспечение было создано для проверки устойчивости и стабильности работы серверов, но в дальнейшем его стали применять именно для организации DDOS-атак.

Специалисты по сетевой безопасности выделяют несколько видов DDOS-атак:

  • Флуд (flood — наводнение). Переполнение полосы пропускания. Что это такое? Это шквал бессмысленных и зачастую неправильных запросов к компьютеру или сетевому оборудованию (серверу) с помощью которых лимит ресурсов исчерпывается и система «ложится», то есть происходит отказ в работе. Эти запросы направлены на перегрузку процессора, памяти и каналов связи.
  • Так же существуют самые простые и примитивные виды DDOS-атак – это ping flood и http – flood. Здесь, как и в первом случае происходит переполнение полосы пропускания с единственным отличаем. Злоумышленник отсылает ping – запросы жертве и если у атакуемой стороны полоса пропускания меньше чем у атакующего, то атака будет удачной. Например, ширина пропускного канала жертвы составляет 512 Кбит/с, а злоумышленника 5Мбит/c, здесь понятно и без объяснений, что более мощный канал без труда забьет запросами слабый. С сетевым оборудованием такой номер не пройдет, поэтому существует http — flood. При атаке на сервер посылается крошечный http – пакет, но такой, на который сервер даст ответ пакетом объемом в сотни раз больше полученного. При этом есть неплохие шансы у злоумышленника забить полосу пропускания сервера, которая по своей ширине может кратно превышать полосу пропускания злоумышленника. И еще один момент, для того чтобы атака оказалась успешной атакующей стороне необходимо постоянно подменять IP – адрес, иначе атака захлебнется.
  • Удаленная сетевая атака — Smurf или ICMP-флуд (Internet Control Message Protocol — протокол межсетевых управляющих сообщений). Одна из самых грозных и опасных атак. При помощи этой атаки компьютер жертвы со 100% гарантией отправится в аут. Реализовать ее в одиночку невозможно, здесь потребуется усиливающая сеть. Как это работает? Сначала отправляется пинг – запрос для проверки работающих узлов в сети. После этого злоумышленник отправляет поддельный ICMP – пакет в сеть и подменяет свой IP – адрес на адрес жертвы. Компьютеры сети дают ответ на посланный пинг – запрос и эта волна захлестывает атакуемый компьютер. Для проведения такого рода атаки используются большие сети. Если в сети, например, 1000 узлов, то посланный запрос будет усилен в 1000 раз. Шансов на выживание у атакуемого узла не остается никаких!
  • Существует атака второго рода или пропуск запрещенного предмета. В этих условиях злоумышленник пытается вызвать ложное срабатывание системы защиты, что в дальнейшем приводит к самопроизвольному блокированию и недоступности ресурса.
  • Fraggle – атака (осколочная граната). Этот вид атаки является полным аналогом Smurf или ICMP-флуду. Исключением является используемый протокол, вместо ICMP используют UDF — User Datagram Protocol — протокол пользовательских датаграмм. Название «датаграмма» было применено, как аналог слова телеграмма. Протокол UDF является ключевым элементом набора сетевых протоколов Интернет — TCP/IP. С его помощью компьютеры могут посылать сообщения другим хостам по IP. Принцип действия прост, на 7-ой порт жертвы отсылается echo – команда (команда Unix, с ее помощью выводится текст). После этого, как и в случае с ICMP – флудом злоумышленник подменяет свой IP адрес на IP адрес жертвы. Жертва получает шквал ответов, которые перенасыщают полосу пропускания, их количество зависит от количества узлов в сети. В случае если служба echo отключена, генерируются ICMP – пакеты, что в конечном счете приведет к одному и тому же результату – перенасыщению полосы пропускания.
  • Уязвимость в программном обеспечении. Специалисты по организации DDOS – атак, практически, не используют метод перенасыщения полосы пропускания. Они исследуют систему жертвы и после этого пишут специальные программы – эксплойты (exploit, эксплуатировать). Эти программы помогают атаковать сложнейшие системы коммерческих организаций и предприятий. Программы эксплойты заставляют систему выполнять необрабатываемые ситуации, недопустимые инструкции, обращаться к нулевым адресам и т.д. После чего система впадает в ступор и происходит аварийное завершение работы. Так же целью атаки с использованием эксплойтов может быть не только подрыв работоспособности, но и получение «повышенных привилегий», что приведет к захвату контроля над системой.

Существует еще множество видов DDOS – атак – это SYN-флуд, переполнение сервера лог-файлами, отправка тяжелых пакетов, уязвимости в системе квотирования (CGI), использование недостаточной проверки данных пользователя, переполнение буфера, атаки DNS, атака Каминского и т.д. На сегодняшний день есть действенные методы по предотвращению DDOS – атак, хотя универсального способа не существует. Злоумышленники это отлично понимают и при организации таких актов стараются использовать одновременно несколько видов описанных выше атак, что значительным образом затрудняет защиту от них. Такие атаки называются – гибридными. Читатель может задаться вопросом: «Кто эти люди, которые совершают DDOS – атаки и для чего они это делают?». К первой категории таких людей можно отнести тех, которые испытывают личную неприязнь к тем или иным правительственным организациям, коммерческим структурам и даже к владельцам небольших Интернет-ресурсов. Вторая категория – это категория любопытных граждан, которые ради забавы и развлечения пробуют себя в организации DDOS – атак и в случае удачного исхода наслаждаются масштабами разрушений и нанесенного ущерба. Третья категория – это террористы. Здесь все понятно, они организуют акты против неугодных им стран, что в нынешнем свете выглядит достаточно актуально. При этом спецслужбы пока считают эту угрозу надуманной и не способной подорвать уклад и структуру государственного строя.

Раз мы упомянули о средствах защиты от DDOS – атак, давайте рассмотрим несколько таких способов. Самым основным и действенным методом является профилактика, то есть устраняются причины, которые могут побуждать к совершению этого акта. Причины могут быть следующие – это личные обиды и неприязнь, религиозные и иные разногласия, политические и финансовые составляющие, а так же банальная зависть и желание навредить. Если профилактика не помогла и атака все же произошла, то вступают в действие другие способы:

  • Фильтрация – попытка блокирования трафика, который исходит от атакующего компьютера. Если блокировка произошла на подступах к атакуемому объекту, то эффективность этого способа низкая и напротив, если трафик блокируется вблизи атакующей машины результат повышается.
  • Обратная DDOS – атака. В этом случае поток трафика от источника нападения перенаправляется на него же, тем самым сковывая действия атакующего.
  • Метод рассредоточения. При таком способе защиты создаются дублирующие системы и если одна из них будет полностью выведена из строя, то другие смогут обеспечить работоспособность и продолжат обслуживание пользователей без каких-либо сбоев.
  • Уклонение от атаки. Здесь атакуемая сторона пытается увести, спрятать непосредственную цель — доменное имя или IP-адреса. Этот метод достаточно эффективен.
  • Инфокоммуникационные решения – оборудование для отражения DDOS – атак. Не каждый может себе позволить такое решение сетевой безопасности из-за цены вопроса. При этом такое оборудование достаточно хорошо отсекает атаки основываясь на поведенческом анализе клиентов.
  • Увеличение ресурсов системы. Панацеей от атак не является, но в свою очередь это хорошее подспорье для применения других видов защиты от DDOS вторжения.

Сколько по времени может длиться DDOS – атака? Могу сказать сразу, достаточно продолжительный срок. Приведу пример, совсем недавно на моего хостинг-провайдера у которого я арендую площадку под сайт была совершена массированная атака. Это действо продолжалось более двух недель, беспрерывно. Хостинг-провайдер вовремя распознал нападение и принял все меры для устранения причин и последствий, при этом были определены даже цели злоумышленников. Они пытались получить контроль над сайтами под управлением CMS WordPress и Joomla. Радует одно, что оборудование и профессионализм сотрудников компании помогли выйти из этой ситуации с высоко поднятой головой. Злоумышленникам несколько раз удавалось лишь кратковременно 1-2 минуты положить сервера, после чего работоспособность полностью восстанавливалась. Хотелось бы отметить тот факт, что не будь готов хостинг-провайдер к такому повороту дел, все могло бы закончиться плачевно.

В заключении хотелось бы сказать, что на сегодняшний день DDOS – атаки широко распространены и борьба с этим злом является делом не только сильных мира сего, но и обычных пользователей. Общими усилиями необходимо пресекать такого рода деяния, ведь от этого страдают все без исключения. И если у вас возникнет желание поэкспериментировать и уложить ради интереса какой-нибудь сервер, подумайте о последствиях, во-первых, — это противозаконно, во-вторых, вы нанесете вред ни в чем не повинным людям, а это не хорошо! Удачи Вам.