Dos и ddos атаки в чем разница
DoS vs DDoS-атака: отличия и профилактика
Для хорошей работы любого сайта важно обеспечить надёжное подключение и защитить его от атак и взломов. Ведь хакерские атаки, независимо от их разновидности, приводят к одному — неработоспособности сайта или подмене копией от злоумышленников. Минимизировать ущерб от «искусственных сбоев» получится только тогда, когда администратор сервера поймёт, с какой проблемой он столкнулся.
Сегодня рассказываем подробнее о DoS- и DDoS-атаках.
Что такое DoS-атака?
DoS-атака (Denial of Service) — буквально «отказ в обслуживании». Это тип атаки, в котором мошенники нападают с целью вызвать перегрузку подсистемы сервиса. В этом случае компьютер (или компьютеры) используется для заполнения сервера пакетами TCP и UDP.
Особенности DoS-атак
Простота координации DoS-атак означает, что они стали одна из самых распространённых угроз кибербезопасности с которыми сталкиваются современные организации. DoS-атаки просты, но были очень эффективны в 90 годы. Сейчас же они преобразовались в DDoS-атаки и могут нанести сокрушительный ущерб компаниям или частным лицам, на которых они направлены. Одной атакой организация может быть выведена из строя на несколько дней или даже недель.
Немного истории
Первая успешная DoS атака состоялась в 1974 году, когда 13-летний школьник Дэвид Деннис вызвал перебои в функционировании терминалов Лаборатории компьютерных вычислений Университета Иллинойса. Он обнаружил особенность, при которой команда EXT приводила к зависанию терминал, если он не имел периферийных устройств. Он написал небольшую программу, посылавшую команду EXT на все доступные машины, и одновременно подвесил 31 терминал.
Что такое DDoS-атака?
DDoS-атака (Distributed Denial of Service) — по сути, это та же DoS-атака, но реализованная с нескольких машин на один целевой хост. Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика, поэтому этот тип атаки занимает важное место в арсенале хакеров.
Во время DDoS-атаки возникают большие сложности с обнаружением её источника, так как хакер использует целую сеть связанных между собой машин или ботов. Традиционно атаки ведутся с заражённых вирусами компьютеров обычных пользователей, которые даже не подозревают, что стали невольными соучастниками правонарушения. Но не так давно появился новый способ — проводить атаки с помощью IoT устройств (умные чайники, кофеварки, пылесосы и другая техника). Дело в том, что раз у умных гаджетов есть доступ в интернет, а значит есть и возможность участвовать в DDoS-атаке.
Эти компьютеры и техника образуют ботнет — единую сеть, которой управляет злоумышленник — он же ботмастером, с главного контрольного сервера (C&C). Подобная структура позволяет хакеру координировать атаки одновременно с нескольких системам, численность которых колеблется от десятков до миллионов устройств.
Один из ярких примеров — ботнет Mirai. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов — сейчас он атакует и заражает не только ПК, но и умную технику. Уже в 2019 году Mirai захватил почти 500 000 устройств и повредил сервисы, например, Xbox Live и Spotify и веб-сайты, такие как BBC и Github.
Особенности DDoS
А когда была первая DDos-атака?
22 июля 1999 года сервер Университета Миннесоты перестал отвечать. Админы проанализировали сетевой трафик и поняли, что университетский сервер находится под атакой, с какой ещё никому не доводилось сталкиваться. Так началась эра DDoS.
Делаем вывод, что главные отличая DoS от DDoS.
. проявляются в способе технической реализации. DoS-атаки исходят исключительно из одного источника, тогда как DDoS-атаки проводятся с двух и более хостов. Обнаружить многопоточное нападение методом DDoS значительно сложнее, потому что запросы выглядят «живыми» и вызывают меньше подозрений у админа. При этом DDoS-атаки дают возможность хакеру отправлять большие объёмы трафика в целевую сеть.
Можно сказать, что все DDoS = DoS, но не все DoS = DDoS ;).
Почему DoS и DDoS атаки происходят?
Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.
Существует огромное количество причин, из-за которых злоумышленники приводят бизнес в автономный режим. Например:
Примеры крупнейших атак
Впервые серьезное нападение произошло в 2000 году. Жертвами стали серверы и сайты eBay, Amazon, CNN и Yahoo. Виновником стала самописная программа, созданная 16-летним хакером-энтузиастом. Вредоносный алгоритм под названием Sinkhole зафлудил машины жертв и обрушил их.
Ещё один пример — DDoS-атака на Dyn (провайдера доменов), которая произошла произошла в октябре 2016 года. Мы уже упоминали эту атаку, когда рассказывали про ботнет Mirai. Её мощность составила один терабит в секунду, а, по некоторым сведениям, могла достигнуть и 1,5 терабит в секунду — очередной «рекорд» для данной индустрии. Из-за настолько серьёзного напора сервисы Dyn были отключены — вместе с этим упал целый ряд известных сайтов, среди которых GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb.
Как понять, что на мой сайт напали?
Если злоумышленнику удалось достичь цели и «положить» сервер, не заметить атаку — невозможно. Но, есть некоторые «звоночки», благодаря которым сисадмин сможет понять, что сайт в опасности. Например:
А есть профилактика против атак?
К сожалению, универсального способа борьбы с мошенниками нет. Но, если выполнять рекомендации и сохранять бдительность, вы сможете обезопасить себя.
Например, наиболее эффективный способ защиты от DDoS атак на сайт — это фильтрация подозрительной сетевой активности на уровне хостинг или интернет-провайдера. Причём выполняться это может как средствами сетевых маршрутизаторов, так и с помощью специального оборудования.
Вести контроль версий ПО и сетевых служб — необходимо своевременно обновлять программное обеспечение сетевых служб.
Тщательно выбирать хостинг-провайдера. Выбирайте поставщика, дающего гарантии защиты от всех современных угроз. Например, в REG.RU защита от DDoS подключается к услугам хостинга (Shared Hosting), виртуальных серверов (VPS) и выделенных физических серверов (Dedicated) автоматически для всех пользователей.
Используйте брандмауэр приложений и автоматизируйте проверку сетевого трафика и валидации запросов к портам и службам сервера.
Распределяйте трафик с помощью CDN, чтобы ускорить обработку трафика и запросов за счёт распределённого хранения контента.
Не забывайте про балансировщик нагрузки — при подозрительно нагрузке программа определяет самый незагруженный сервер и отправляет клиента на него.
Плюс желательно иметь чёткий план действий на случай краха сайта. В него могут входить мероприятия по оперативному подключению другого сервера, перенастройке DNS-хостов и так далее.
И, конечно же, сохраняйте бдительность.
Надеемся, что наш пост поможет защитить вашу инфраструктуру от атак. Мы всегда готовы поделиться полезным опытом!
DOS и DDoS-атаки: понятие, разновидности, методы выявления и защиты
DoS и DDoS-атака — это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей — отказ системы в их обслуживании (Denial of Service, из чего и складывается аббревиатура DoS).
Если такая атака проводится с одиночного компьютера, она классифицируется как DoS (ДоС), если с нескольких — DDoS (ДиДоС или ДДоС), что означает «Distributed Denial of Service» — распределенное доведение до отказа в обслуживании. Далее поговорим, для чего злоумышленники проводят подобные воздействия, какими они бывают, какой вред причиняют атакуемым и как последним защищать свои ресурсы.
Кто может пострадать от DoS и DDoS атак
Атакам подвергаются корпоративные сервера предприятий и веб-сайты, значительно реже — личные компьютеры физических лиц. Цель подобных акций, как правило, одна — нанести атакуемому экономический вред и остаться при этом в тени. В отдельных случаях DoS и DDoS атаки являются одним из этапов взлома сервера и направлены на кражу или уничтожение информации. По сути, жертвой злоумышленников может стать предприятие или сайт, принадлежащие кому угодно.
Схема, иллюстрирующая суть DDoS-атаки:
DoS и DDoS-атаки чаще всего проводят с подачи нечестных конкурентов. Так, «завалив» веб-сайт интернет-магазина, который предлагает аналогичный товар, можно на время стать «монополистом» и забрать его клиентов себе. «Положив» корпоративный сервер, можно разладить работу конкурирующей компании и тем самым снизить ее позиции на рынке.
Масштабные атаки, способные нанести существенный урон, выполняются, как правило, профессиональными киберпреступниками за немалые деньги. Но не всегда. Атаковать ваши ресурсы могут и доморощенные хакеры-любители — из интереса, и мстители из числа уволенных сотрудников, и просто те, кто не разделяет ваши взгляды на жизнь.
Иногда воздействие проводится с целью вымогательства, злоумышленник при этом открыто требует от владельца ресурса деньги за прекращение атаки.
На сервера государственных компаний и известных организаций нередко нападают анонимные группы высококвалифицированных хакеров с целью воздействия на должностных лиц или вызова общественного резонанса.
Как проводятся атаки
Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.
Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:
Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.
Так отображает деятельность ботнета сайт Norse-corp.com:
Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.
Так Logstalgia показывает DDoS-атаку:
Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.
Способы нападения и защиты
Перед началом атаки хакер выясняет, как провести ее с максимальным эффектом. Если атакуемый узел имеет несколько уязвимостей, воздействие может быть проведено по разным направлениям, что значительно усложнит противодействие. Поэтому каждому администратору сервера важно изучить все его «узкие места» и по возможности их укрепить.
Флуд, говоря простым языком, это информация, не несущая смысловой нагрузки. В контексте DoS/DDoS-атак флуд представляет собой лавину пустых, бессмысленных запросов того или иного уровня, которые принимающий узел вынужден обрабатывать.
Основная цель использования флуда — полностью забить каналы связи, насытить полосу пропускания до максимума.
Как защититься от флуда
Как защититься от флудаПерегрузка аппаратных ресурсов
Существуют разновидности флуда, которые воздействуют не на канал связи, а на аппаратные ресурсы атакуемого компьютера, загружая их по полной и вызывая зависание или аварийное завершение работы. Например:
Как защититься от перегрузки аппаратных ресурсов
Как защититься от перегрузки аппаратных ресурсовУязвимости в операционных системах, программном обеспечении, прошивках устройств
Вариантов проведения такого рода атак неизмеримо больше, чем с использованием флуда. Их реализация зависит от квалификации и опыта злоумышленника, его умения находить ошибки в программном коде и использовать их во благо себе и во вред владельцу ресурса.
После того как хакер обнаружит уязвимость (ошибку в программном обеспечении, используя которую можно нарушить работу системы), ему останется лишь создать и запустить эксплойт — программу, которая эксплуатирует эту уязвимость.
Эксплуатация уязвимостей не всегда имеет цель вызвать только отказ в обслуживании. Если хакеру повезет, он сможет получить контроль над ресурсом и распорядиться этим «подарком судьбы» по своему усмотрению. Например, использовать для распространения вредоносных программ, украсть и уничтожить информацию и т. д.
Методы противодействия эксплуатации уязвимостей в софте
Как определить, что ресурс подвергся нападению хакера
Если злоумышленнику удалось достичь цели, не заметить атаку невозможно, но в отдельных случаях администратор не может точно определить, когда она началась. То есть от начала нападения до заметных симптомов иногда проходит несколько часов. Однако во время скрытого воздействия (пока сервер не «лег») тоже присутствуют определенные признаки. Например:
Всё перечисленное не является стопроцентным признаком атаки, но это всегда повод обратить на проблему внимание и принять надлежащие меры защиты.
Как распознать DoS-атаку. Разница между DDoS-атакой и DOS
Атака типа «отказ в обслуживании» (DoS — Denial-of-service attack) — это тип кибератаки, при которой злоумышленник пытается сделать компьютер или другое устройство недоступным для предполагаемых пользователей, прервав нормальное функционирование устройства.
DoS-атаки обычно работают путем переполнения целевой машины запросами до тех пор, пока обычный трафик не будет обработан, что приведет к отказу в обслуживании добавочным пользователям. DoS-атака характеризуется использованием одного компьютера для запуска атаки.
Распределенная атака отказа в обслуживании (DDoS) — это тип DoS-атаки, которая исходит из многих распределенных источников, таких как ботнет.
Боевой единицей ботнета может стать любой ПК подключенный к глобальной сети и заражённый определённым типом malware (вируса).
Как работает DoS-атака. Источник: wikipedia.org
Как работает DoS-атака
Основной фокус DoS-атаки заключается в перенасыщении емкости целевой машины, что приводит к отказу в обслуживании дополнительных запросов. Множественные типы атак DoS-атак можно сгруппировать по их сходству.
Как выглядит DDoS-атака
На видео показана DDoS-атака на сайт videolan.org (2013 год). Интенсивность запросов — от 400 до 1600 запросов в секунду. Это достаточно большая нагрузка на сервер.
Принцип: компьютеры-зомби заходили на одну из страниц сайта и скачивали дистрибутив VLC-плеера весом в 22 мегабайта.
С помощью logstalgia — инструмента, который превращает логи сервера в наглядную анимацию — администраторы сайта сделали и опубликовали на Youtube визуализацию, благодаря которой можно увидеть, как выглядит DDoS-атака:
DoS-атаки обычно делятся на 2 категории: атаки переполнения буфера и Flood-атаки
Атаки переполнения буфера
Тип атаки, при которой переполнение буфера памяти может привести к тому, что машина будет использовать все доступное пространство на жестком диске, память или время ЦП.
Эта форма эксплойта часто приводит к вялому поведению, сбоям системы сервера, что приводит к отказу в обслуживании.
Flood-атака
Насыщая целевой сервер огромным количеством пакетов, злоумышленник может перенасыщать емкость сервера, что приводит к отказу в обслуживании. Чтобы большинство атак DoS flood были успешными, злоумышленник должен иметь более доступную пропускную способность, чем цель.
Историческое значение DoS-атаки
DOS-атаки обычно использовали уязвимости безопасности, присутствующие в сети, программном обеспечении и аппаратной части.
Эти атаки стали менее распространенными, поскольку DDoS-атаки имеют большую разрушительную способность и относительно легко создаются с помощью доступных инструментов. На самом деле, большинство DoS-атак также можно превратить в DDoS-атаки.
Несколько общих DoS-атак включают:
Как определить происходит ли на компьютер DoS-атака
Хотя может быть трудно различить нападение от других ошибок подключения к сети или тяжелую нагрузку, есть некоторые признаки, указывающие на атаку.
Показатели DoS-атаки включают:
В чем разница между DDoS-атакой и DOS
Отличительная разница между DDoS и DoS — количество соединений, используемых в атаке. Некоторые атаки DoS, такие как «слабые и медленные» атаки (Slowloris), получают свою силу в простоте и минимальных требованиях, необходимых для их эффективности.
DoS использует одно соединение, в то время как DDoS-атака использует множество источников атакующего трафика, часто в виде ботнета.
В общем говоря, многие атаки принципиально похожи и могут использовать еще один источник вредоносного трафика.
Что такое DoS атака?
Первый зарегистрированный случай DoS-атаки был в феврале 2000 года, когда 15-летний канадский хакер нацелился на подобную атаку веб-серверов Amazon и eBay. С тех пор все больше и больше людей начали использовать DoS-атаки во многих отраслях.
Типы DoS атак
Некоторые типы атак Denial of Service направлены на то, чтобы нарушить доступ конкретного человека к сети или ресурсу, в то время как другие намерены сделать этот ресурс полностью недоступным. Эти атаки могут длиться от минут до нескольких часов, а в некоторых редких случаях, даже в течение нескольких дней. Эти виды сбоев часто вызывают значительные финансовые потери для предприятий, которые становятся мишенью, и не имеют собственной стратегии смягчения последствий.
DoS атаки бывают разных форм и размеров. Поскольку не все устройства и сети уязвимы одинаково, тем, кто пытается причинить вред, часто приходится проявлять творческий подход к способам использования различных лазеек в конфигурации системы.
Некоторые известные типы уязвимостей Отказа в Обслуживании включают:
ICMP флуд
ICMP флуд атака нацелена на неправильно сконфигурированное устройство в целевой сети, заставляя машину распространять фиктивные пакеты на каждый узел (компьютер) в целевой сети, вместо одного узла, тем самым перегружая сеть. Такая атака часто может упоминаться как «пинг смерти» или «смурф атака».
SYN флуд
SYN флуд отправляет запрос на подключение к веб-серверу, но не полностью аутентифицирует соединение. Затем он переходит к всем остальным открытым портам на выбранном веб-сервер, пока не затормозит его.
DoS vs DDoS атака
Другим аналогичным термином, с которым вы, вероятнее всего столкнетесь, является DDoS атака, что означает Distributed Denial-of-Service атака. Разница между DoS и DDoS атаками заключается в том, что во время DDoS-атаки многие вредоносные машины целенаправленны на один ресурс. Атака распределенного отказа в обслуживании (DDoS) гораздо более успешна в разрушении цели, чем атака DoS, исходящая из одного источника. Злоумышленники также предпочитают этот метод, так как намного труднее отследить атаку обратно к ее источнику, поскольку она поступает из нескольких точек.
Могут ли DDoS атаки воздействовать на криптовалюты?
В большинстве случаев DoS атаки целенаправленны на веб-сервера крупных корпораций, банков, интернет-магазинов розничной торговли и даже на крупные государственные и общественные учреждения, тем не менее, важно учитывать, что любое устройство, сервер или сеть, подключенная к интернету, может стать потенциальной мишенью для подобного типа атак.
Поскольку за последние годы криптовалюты привлекли много внимания и криптовалютные биржи стали все более популярными целями для DDoS атак. К примеру, когда криптовалюта Bitcoin Gold была официально запущена, она сразу стала объектом массовой DDoS атаки, которая в конечном итоге нарушила работу их веб-сайта в течение нескольких часов.
Однако, аспект децентрализации блокчейна, создает сильную защиту от DDoS и других видов кибератак. Даже если несколько узлов не могут связаться или просто выйти в оффлайн, блокчейн может продолжить работать и проверять транзакций. Когда разрушенные узлы восстанавливаются и возвращаются к работе, они повторно синхронизируются и подхватывают, предоставляемые узлами, самые последние данные, которые не были затронуты.
Степень защиты каждого блокчейна от этих атак, связана с количеством узлов и хешрейтом сети. Как самой старой и самой большой криптовалютой, Биткойн считается самым безопасным и крепким блокчейном. Это означает, что DDoS и другие кибератаки, гораздо реже приводят к сбою. Согласованный алгоритм Proof of Work гарантирует, что все сетевые данные защищены криптографическими доказательствами. Это означает, что изменить ранее проверенные блоки практически невозможно. Изменение Биткойн блокчейна, требует чтобы вся структура была распущена, от записи-к-записи (record-by-record), что практически невозможно даже для самых мощных компьютеров.
Следовательно, успешная атака, вероятно только сможет изменить транзакции нескольких недавних блоков, за короткий промежуток времени. И даже если злоумышленнику удается контролировать более 50% хеш мощности Биткойна, для выполнения так называемой атаки 51% (или атаки большинства), базовый протокол будет быстро обновлен в ответ на атаку.
Отличие DOS-атаки от DDOS-атаки
Успешная атака на сервер методом DoS или DDoS способна вывести из строя веб-ресурс на длительный срок — от пары часов до нескольких дней. Это грозит владельцу незапланированными расходами и потерей потенциальной прибыли.
В этой статье расскажем о том, что такое DoS- и DDoS-атаки, в чём разница между ними, и какие существуют формы и способы их реализации. Ответим, как подготовиться к атаке и минимизировать ущерб от совершившихся нападений.
Причины DoS и DDoS-атак
DoS-атака
Denial of Service («отказ в обслуживании») – нападение с целью вызвать перегрузку и нарушение работы сервиса, путём отправки максимального количества трафика жертве. DoS-атаки проводятся с одного хоста и направлены на отдельные сети или системы.
Особенности DoS
Атака методом DoS получила широкое распространение благодаря соотношению таких качеств, как простота реализации и причинение внушительного ущерба ресурсам жертвы. DoS-атака не представляет прямую угрозу для сервера, но влечёт повышение сервисных затрат, а также потерю потенциальной прибыли из-за простоев во время нападения.
DDoS-атака
DDoS-атака (Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») – та же DoS-атака, но реализованная с нескольких машин на один целевой хост. Этот метод атаки занимает важное место в арсенале профессиональных хакеров. Мощность нападения напрямую зависит от количества атакующих устройств и объёма отправляемого трафика.
Во время DDoS-атаки возникают большие сложности с обнаружением её источника, так как хакер использует целую сеть связанных между собой машин (ботов). В 9 из 10 случаев атаки ведутся с заражённых вирусами компьютеров обычных пользователей, которые даже не подозревают, что стали невольными соучастниками правонарушения.
Вместе эти устройства образуют единую сеть, называемую ботнетом, который управляется злоумышленником (ботмастером) с главного контрольного сервера. Подобная структура позволяет хакеру координировать атаки одновременно с нескольких системам, численность которых колеблется от десятков до сотен тысяч устройств.
Особенности DDoS
Категории DoS и DDoS-атак
В зависимости от целей воздействия, распространённые кибератаки можно разделить на несколько больших групп.
Атаки на переполнение канала
Нападения реализуются путём отправки серверу многочисленных эхо-запросов, которые потребляют ресурсы интернет-канала. Задача подобных атак — провести через сеть жертвы как можно больше ложного трафика, тем самым исчерпав всю ёмкость полосы пропускания. Успешность их проведения напрямую зависит от отправленного объёма данных (Гбит/сек.).
DNS-флуд
Злоумышленник атакует DNS-сервер, который напрямую взаимодействует с жертвой. В результате веб-ресурс, на который было рассчитано нападение, продолжает функционировать внутри своей сети, но оказывается отрезанным от интернета. Атака часто используется, поскольку для перегрузки полосы пропускания среднестатистического DNS-сервера достаточно 10 тыс. запросов в секунду. Один ПК способен сгенерировать около 1 тыс. таких запросов. Поэтому хакеру потребуется всего 10 компьютеров для перегрузки и отключения одного DNS-сервера.
Ping-флуд
Сопровождается пересылкой многочисленных, но небольших по размеру ICMP-сообщений (эхо-запросов). Злоумышленник быстро отправляет пакеты, не дожидаясь обязательного ответа. В конце концов на целевом сервере возникает перегрузка по количеству запросов, инициирующая потери настоящих пакетов по всем протоколам.
UDP-флуд
Жертве отправляются большие пакеты через бессеансовый протокол пользовательских дейтаграмм (UDP). Когда сервер фиксирует отсутствие приложения, отвечающего за порт, в ответ злоумышленнику отправляется пакет ICMP с сообщением «адресат недоступен». У протокола UDP отсутствуют средства защиты от перегрузок, поэтому этот тип атаки способен захватить весь полезный интернет-трафик сервера.
Атаки, использующие уязвимость стека протоколов
Нападения на межсетевые экраны, файервол и другие сервисы, с целью ограничить количество допустимых соединений у жертвы по TCP протоколу.
SYN-флуд
Злоумышленник создаёт с сервером несколько деактивированных подключений по протоколу TCP. Со стороны хакера отправляются SYN-запросы для соединения с целевой сетью, а жертва, в свою очередь, отправляет ответный пакет SYN-ACK. Для окончания квитирования со стороны отправителя ожидается пакет ACK.
Однако злоумышленник оставляет сессию полуоткрытой — не отправляет запрос или пересылает его на несуществующий адрес. Это происходит до тех пор, пока на сервере не сработает ограничение на максимальное число одновременных открытых подключений. В конечном результате система перестаёт принимать запросы на соединение от настоящих пользователей.
Slow HTTP POST
Атака Slow HTTP POST («медленные запросы HTTP») направлена на перегрузку веб-серверов с использованием уязвимости в HTTP протоколе. Во время начала нападения злоумышленник отправляет HTTP запрос с заголовком «Content-Length», который даёт информацию целевому веб-серверу о размере последующего пакета. Затем хакер отправляет само сообщение методом POST (отправка), но делает это с очень низкой скоростью, максимально растягивая продолжительность сессии. Таким образом, злоумышленник занимает ресурсы жертвы на длительное время, создавая проблемы при обработке запросов от настоящих пользователей.
«Пинг смерти» (Ping of Death / POD)
Хакер посылает фрагменты модифицированных пакетов на один компьютер с помощью эхо-запроса (ping), который используется для проверки ответа от сетевого оборудования. При попытке собрать единый пакет из полученных фрагментов, происходит переполнение памяти, а следовательно, многочисленные сбои в системе.
Атака приложений
Нападения сопровождаются чрезмерным потреблением ресурсов у жертвы из-за стрессовой нагрузки служб и приложений на внешнем уровне. Во время атаки задача злоумышленника — запустить максимальное число процессов и транзакций на целевом сервере. Для перегрузки системы подобными атаками не нужно большого числа машин, что усложняет обнаружение и устранение нападений.
Slowloris (Slow HTTP GET)
Атака производится с помощью специальных программ, разработанных для нападения на интернет-сервисы, путём создания многочисленных «медленных сессий». Со стороны хакера, в рамках одного запроса, отправляется цепочка неполных HTTP-сессий, содержащих только заголовок без продолжения.
Для обработки HTTP-заголовков сервер открывает и поддерживает массу подключений, блокирующих его основную работу. Метод Slowloris отличается от других типов атак тем, что для его реализации не требуется широкая полоса пропускания трафика.
Переполнение буфера (Buffer Overflow)
Самый распространённый метод DoS-атак. Он позволяет злоумышленнику получить доступ к системе или вызвать ошибку в ПО с помощью эксплойта, путём переполнения буфера программы. Эта уязвимость характерна для приложений, работающих без проверки длины входных данных.
HTTP-флуд
Основная задача атаки: запустить максимальное количество процессов, направленных на обработку запроса. Для нападения злоумышленник отправляет HTTP-серверу многочисленные поддельные запросы GET (получение данных) или POST (отправка данных) через ботнет. В результате исчерпывается лимит размера log-файла и система перестаёт отвечать на реальные запросы пользователей. Хакеры часто применяют HTTP-флуд, поскольку для его реализации требуется меньшая пропускная способность, чем для других видов атак.
Как защитить ресурс от атак
Повысить безопасность онлайн-сервиса можно несколькими способами, которые пригодятся «до» и «после» нападения. Перед внедрением технологических решений важно понимать, что можно только минимизировать ущерб, но не полностью обезопасить себя от DoS- или DDoS-атак, так как они зачастую индивидуальны и непредсказуемы.
Превентивный мониторинг сетевой активности
Прежде чем запускать полноценную атаку, злоумышленники проверяют сеть жертвы, отправляя несколько пакетов. На данном этапе возможно вовремя обнаружить подозрительный трафик и предпринять действия по защите сервера.
Для автоматической сортировки поступающих запросов рекомендуется использовать сервис с функционалом CDN (Content Delivery Network), например, Cloudflare. Данная сеть работает по принципу «обратного прокси». Копии страниц сайта переносятся на дублирующие серверы по всему миру, которые в критической ситуации отрабатывают весь ложный трафик.
Настройка фильтрации на уровне хостинга
Базовая защита от DoS- и DDoS-атаки – дополнительная услуга, входящая в тариф большинства современных хостинг-провайдеров. Сервис позволяет обеспечить безопасность многих веб-ресурсов малого и среднего масштаба (блогов, интернет-магазинов или форумов).
Защита реализована за счёт установки фильтров, которые анализируют проходящие данные через интернет-канал и блокируют подозрительный трафик. Для большей безопасности пользователю предоставляется более широкая полоса пропускания. Максимальную мощность DoS и DDoS-атак, на которую рассчитаны фильтры со стороны хостера, рекомендуется уточнять у конкретного провайдера.
Тестовое нападение на сервер
Хотя полностью обезопасить сеть от DoS/DDoS-атак нельзя, можно подготовиться к нападениям методом пентестинга — моделирования атаки на сервер. Тестовые нападения дают ценный и безопасный опыт, который позволяет закрыть потенциальные проблемы в защите сети и составить эффективные стратегии устранения атак в реальном времени.
Программы для пентестинга
План действий
Наличие чёткого плана на случай нападения поможет сохранить работоспособность сервиса даже в самых критических условиях. Рекомендуется назначить роль для каждого члена команды, чтобы координированно способствовать работе организации. А также желательно включить в план дополнительные меры по поддержке клиентов, чтобы те не оставались без внимания, пока решаются технические проблемы.
Вывод
Главные отличия DoS от DDoS проявляются в способе технической реализации. DoS-атаки исходят исключительно из одного источника, тогда как DDoS-атаки проводятся с двух и более хостов. Обнаружить многопоточное нападение методом DDoS значительно сложнее, поскольку запросы выглядят «живыми» и вызывают меньше подозрений у системного администратора. При этом DDoS-атаки дают возможность хакеру отправлять большие объёмы трафика в целевую сеть. В случае нападения методом DDoS, хакер использует ботнет — сеть из устройств, находящихся под контролем злоумышленника. DoS-атаки обычно запускаются с помощью скрипта или специального веб-приложения.
Нужна надёжная защита сайта от DoS и DDoS-атак? Выбирайте Eternalhost — хостинг с индивидуальной защитой от DDoS, которая реально работает!