Acasă » Cauze

Atacul Ddos - un ghid detaliat. Ce sunt atacurile ddos, cum sunt efectuate și metodele de protecție împotriva lor. Atacurile DDoS. Cauze, clasificare și protecție împotriva atacurilor DDoS

Atacul DoS și DDoS este un impact extern agresiv asupra resurselor de calcul ale unui server sau stație de lucru, efectuat pentru a-l duce la eșec. Prin eșec, înțelegem nu defecțiunea fizică a mașinii, ci indisponibilitatea resurselor sale pentru utilizatorii conștiincioși - eșecul sistemului de a le deservi ( D enial o f S ervice, din care se formează abrevierea DoS).

Dacă un astfel de atac este efectuat de pe un singur computer, acesta este clasificat ca DoS (DoS), dacă din mai multe - DDoS (DDoS sau DDoS), ceea ce înseamnă „D emis D enial o f S service" - refuzare distribuită de serviciu. În continuare, vom vorbi despre motivul pentru care atacatorii efectuează astfel de acțiuni, ce sunt, ce prejudicii provoacă atacatorilor și cum aceștia din urmă își protejează resursele.

Cine poate fi afectat de atacurile DoS și DDoS

Serverele corporative ale întreprinderilor și site-urile web sunt expuse la atacuri, mult mai rar - computerele personale indivizii. Scopul unor astfel de acțiuni, de regulă, este același - de a provoca un prejudiciu economic persoanei atacate și, în același timp, de a rămâne în umbră. În unele cazuri, atacurile DoS și DDoS reprezintă una dintre etapele hacking-ului de server și au ca scop furtul sau distrugerea informațiilor. De fapt, o întreprindere sau un site web aparținând oricui poate deveni o victimă a atacatorilor.

O diagramă care ilustrează esența unui atac DDoS:

Atacurile DoS și DDoS sunt cel mai adesea efectuate la sugestia concurenților necinstiți. Așadar, „completând” site-ul unui magazin online care oferă un produs similar, poți deveni temporar un „monopol” și să-i iei clienții pentru tine. Prin „înlăturarea” un server corporativ, puteți perturba activitatea unei companii concurente și, prin urmare, îi puteți reduce poziția pe piață.

Atacurile la scară largă care pot provoca daune semnificative sunt de obicei efectuate de infractorii cibernetici profesioniști pentru o mulțime de bani. Dar nu in totdeauna. Hackerii amatori autohtoni vă pot ataca resursele - din interes și răzbunați dintre angajații concediați și pur și simplu cei care nu vă împărtășesc opiniile despre viață.

Uneori, impactul este efectuat în scopul extorcării, în timp ce atacatorul cere în mod deschis bani de la proprietarul resursei pentru a opri atacul.

Serverele companiilor de stat și ale organizațiilor cunoscute sunt adesea atacate de grupuri anonime de hackeri de înaltă calificare pentru a influența oficialii sau a provoca proteste publice.

Cum se desfășoară atacurile

Principiul de funcționare al atacurilor DoS și DDoS este acela de a trimite un flux mare de informații către server, care, la maximum (în măsura în care capabilitățile hackerului o permit), încarcă resursele de calcul ale procesorului, RAM, blochează canalele de comunicare sau umple spațiu pe disc. Mașina atacată nu poate face față procesării datelor primite și nu mai răspunde la solicitările utilizatorilor.

Așa arată funcționarea normală a serverului, vizualizată în programul Logstalgia:


Eficacitatea atacurilor unice DOS nu este foarte mare. În plus, un atac de la un computer personal pune atacatorul în pericol de a fi identificat și prins. Atacurile distribuite (DDoS) efectuate din așa-numitele rețele zombie sau botnet oferă mult mai mult profit.

Așa afișează site-ul Norse-corp.com activitatea botnet-ului:


O rețea zombie (botnet) este un grup de computere care nu au nicio conexiune fizică între ele. Ei sunt uniți de faptul că toți sunt sub controlul unui atacator. Controlul se realizează prin intermediul unui program troian, care deocamdată nu se poate manifesta în niciun fel. Când efectuează un atac, un hacker instruiește computerele infectate să trimită cereri către site-ul sau serverul victimei. Iar el, incapabil să reziste atacului, nu mai răspunde.

Iată cum Logstalgia arată un atac DDoS:


Orice computer se poate alătura rețelei bot. Și chiar și un smartphone. Este suficient să prinzi un troian și să nu-l detectezi la timp. Apropo, cel mai mare botnet număra aproape 2 milioane de mașini din întreaga lume, iar proprietarii lor habar nu aveau ce trebuie să facă.

Metode de atac și apărare

Înainte de a lansa un atac, hackerul își dă seama cum să-l efectueze cu efect maxim. Dacă nodul atacat are mai multe vulnerabilități, impactul poate fi efectuat în direcții diferite, ceea ce va complica foarte mult contramăsurile. Prin urmare, este important ca fiecare administrator de server să-și studieze toate „gâturile de sticlă” și, dacă este posibil, să le întărească.

potop

Flud, în termeni simpli, este o informație care nu poartă o încărcătură semantică. În contextul atacurilor DoS / DDoS, o inundație este o avalanșă de solicitări goale, fără sens, de un nivel sau altul, pe care nodul receptor este forțat să le proceseze.

Scopul principal al folosirii inundațiilor este de a înfunda complet canalele de comunicație, de a satura lățimea de bandă la maximum.

Tipuri de flud:

  • MAC flood - impact asupra comunicatorilor de rețea (blocarea porturilor prin fluxuri de date).
  • ICMP flood - inundarea victimei cu solicitări de ecou de serviciu folosind o rețea zombie sau trimiterea de solicitări „în numele” gazdei atacate, astfel încât toți membrii rețelei botnet să îi trimită simultan un răspuns ecou (atac Smurf). Un caz special de inundare ICMP este inundarea ping (trimiterea cererilor ping către server).
  • SYN flood - trimiterea a numeroase cereri SYN către victimă, depășirea coadei de conexiune TCP prin crearea unui număr mare de conexiuni semideschise (în așteptarea confirmării clientului).
  • UDP flood - funcționează conform schemei de atac Smurf, unde datagramele UDP sunt trimise în loc de pachete ICMP.
  • HTTP flood - inundarea serverului cu numeroase mesaje HTTP. O opțiune mai sofisticată este un flood HTTPS, în care datele transmise sunt pre-criptate și înainte ca nodul atacat să le proceseze, trebuie să le decripteze.



Cum să te protejezi de inundații

  • Configurați comutatoarele de rețea pentru a valida și filtra adresele MAC.
  • Restricționați sau dezactivați procesarea solicitărilor de eco ICMP.
  • Blocați pachetele care provin de la o anumită adresă sau domeniu, ceea ce dă motive să îl suspectați de nesiguranță.
  • Stabiliți o limită a numărului de conexiuni pe jumătate deschise cu o singură adresă, reduceți timpul de păstrare a acestora, prelungiți coada de conexiuni TCP.
  • Dezactivați serviciile UDP de la primirea traficului din exterior sau limitați numărul de conexiuni UDP.
  • Utilizați CAPTCHA, întârzieri și alte tehnici de protecție împotriva botului.
  • Creșteți numărul maxim de conexiuni HTTP, configurați memorarea în cache a cererilor cu nginx.
  • Extindeți lățimea de bandă a canalului de rețea.
  • Dacă este posibil, alocați un server separat pentru procesarea criptografiei (dacă este utilizat).
  • Creați un canal de rezervă pentru accesul administrativ la server în situații de urgență.

Supraîncărcarea resurselor hardware

Există tipuri de inundații care afectează nu canalul de comunicație, ci resursele hardware ale computerului atacat, încărcându-le la maximum și provocând înghețarea sau blocarea. De exemplu:

  • Crearea unui script care va posta pe un forum sau site unde utilizatorii au posibilitatea de a lăsa comentarii, o cantitate imensă de informații textuale fără sens până când tot spațiul pe disc este umplut.
  • La fel, doar jurnalele serverului vor umple unitatea.
  • Încărcarea unui site unde se realizează un fel de transformare a datelor introduse prin procesarea continuă a acestor date (trimiterea așa-numitelor pachete „grele”).
  • Încărcarea procesorului sau a memoriei prin executarea codului prin interfața CGI (suportul CGI vă permite să rulați un program extern pe server).
  • Declanșarea unui sistem de securitate care face serverul inaccesibil din exterior etc.



Cum să vă protejați de supraîncărcarea resurselor hardware

  • Creșteți performanța hardware și spațiul pe disc. Când serverul rulează în modul normal, cel puțin 25-30% din resurse ar trebui să rămână libere.
  • Activați sistemele de analiză și filtrare a traficului înainte de a-l trimite pe server.
  • Limitați utilizarea resurselor hardware de către componentele sistemului (setați cote).
  • Stocați fișierele jurnal ale serverului pe o unitate separată.
  • Distribuiți resursele pe mai multe servere independente. Astfel încât, dacă o parte eșuează, celelalte rămân operaționale.

Vulnerabilități în sistemele de operare, software, firmware-ul dispozitivului

Există nemăsurat mai multe opțiuni pentru a efectua astfel de atacuri decât cu utilizarea inundațiilor. Implementarea lor depinde de priceperea și experiența atacatorului, de capacitatea acestuia de a găsi erori în codul programului și de a le folosi în beneficiul său și în detrimentul proprietarului resursei.

Odată ce un hacker descoperă o vulnerabilitate (un bug în software care poate fi folosit pentru a sparge sistemul), va trebui doar să creeze și să ruleze un exploit - un program care exploatează această vulnerabilitate.

Exploatarea vulnerabilităților nu este întotdeauna menită să provoace doar o denegare a serviciului. Dacă hackerul are noroc, el va putea câștiga controlul asupra resursei și va putea dispune de acest „dar al sorții” la discreția sa. De exemplu, folosiți-l pentru a răspândi malware, a fura și a distruge informații etc.

Metode de contracarare a exploatării vulnerabilităților în software

  • Instalați în timp util actualizările care închid vulnerabilitățile sistemelor de operare și ale aplicațiilor.
  • Izolați de accesul terților toate serviciile concepute pentru a rezolva sarcinile administrative.
  • Utilizați instrumente pentru monitorizarea continuă a funcționării sistemului de operare și a programelor serverului (analiza comportamentală etc.).
  • Refuzați programele potențial vulnerabile (gratuite, auto-scrise, rar actualizate) în favoarea celor dovedite și bine protejate.
  • Utilizați mijloace gata făcute pentru a proteja sistemele împotriva atacurilor DoS și DDoS, care există atât sub formă de sisteme hardware, cât și de software.

Cum să determinați dacă o resursă a fost atacată de un hacker

Dacă atacatorul a reușit să atingă obiectivul, este imposibil să nu sesizeze atacul, dar în unele cazuri administratorul nu poate determina exact când a început. Adică, de la debutul unui atac până la simptome vizibile, uneori trec câteva ore. Cu toate acestea, în timpul impactului latent (până când serverul „se așteaptă”), sunt prezente și anumite semne. De exemplu:

  • Comportament nenatural al aplicațiilor server sau al sistemului de operare (înghețare, închidere cu erori etc.).
  • Sarcina procesorului, RAM și stocare crește dramatic în comparație cu nivelul inițial.
  • Volumul de trafic pe unul sau mai multe porturi crește semnificativ.
  • Există solicitări repetate ale clienților către aceleași resurse (deschiderea unei pagini a site-ului, descărcarea aceluiași fișier).
  • Analiza jurnalelor de server, firewall și dispozitive de rețea arată un număr mare de solicitări repetitive de la diverse adrese, adesea direcționate către un anumit port sau serviciu. Mai ales dacă site-ul este axat pe un public restrâns (de exemplu, vorbitor de limbă rusă), iar solicitările vin din toată lumea. În același timp, o analiză calitativă a traficului arată că solicitările nu au sens practic pentru clienți.

Toate cele de mai sus nu reprezintă un semn 100% al unui atac, dar este întotdeauna un motiv pentru a acorda atenție problemei și a lua măsurile de protecție adecvate.

Bună ziua, dragi utilizatori ai site-ului. Fiecare proprietar de blog încearcă să-și protejeze resursa din toate puterile, folosind plugin-uri, complicând parolele, îngreunând intrarea în panoul de control, ștergând rânduri din codul sursă al paginii etc.

Dar ce să faci dacă site-ul tău este atacat? Aici utilizatorii blogosferei tind să intre în panică. Ei bine, bineînțeles, cine nu și-ar face griji pentru ceea ce și-a dedicat mai mult de un an și și-a investit mult timp și nervi în această afacere.

Una dintre aceste probleme poate fi un atac ddos!

În acest articol, aș dori să vă spun despre următoarele:

Ce este un atac ddos?

Atacul DDoS este un acronim pentru Distributed Denial Of Service Attack. Există și un atac DoS, care diferă de primul tip prin faptul că atacul nu vine de la adrese IP diferite. Dar acum despre totul în ordine.

Atacurile DDos nu sunt simple încercări de a pirata blogul și de a încărca un virus în el. Scopul principal al hackerilor este să vă paralizeze site-ul sau orice alt site web. Astfel de încercări de hacking sunt cunoscute de foarte mult timp, în 1999, resursele de internet ale mai multor companii mari erau dezactivate. Acest lucru sa întâmplat din nou în 2000 și administratorii de sistem nu au putut face nimic.

Și toate de ce? Pentru că la acea vreme nimeni nu știa cum să facă față unor astfel de atacuri.

Deci, să aruncăm o privire mai atentă la modul în care hackerii au pus în pericol site-urile web bine protejate?

Totul pare destul de simplu, dar totuși nu este atât de ușor de făcut.

Schema de atac DDoS este construită astfel. Hackerii au ales un server, pe care acum îl vor ataca. Și deodată îl bombardează cu o grămadă de solicitări false, iar în acest caz o fac din toată lumea, adică de la diferite adrese IP. În cele din urmă, resursa își cheltuiește toată energia pe procesare.


Astfel de atacuri duc la faptul că utilizatorii obișnuiți nu au acces la site. Observ că solicitările false sunt efectuate de pe PC-uri, laptop-uri ale acelor oameni care nici măcar nu vorbesc.

Știi, atacatorii sparg mai întâi computerele a sute de utilizatori și apoi organizează un atac masiv. Hackerea computerului cuiva nu este întotdeauna ușoară. Unii folosesc troieni, alții pătrund în rețele neprotejate și apoi zombifică dispozitivul, iar adresa IP le este complet subordonată.

Dos ataca.

Acum puțin despre atacurile Dos. Acesta este puțin diferit de ddos, dar vi se va oferi și o resursă de refuzare a serviciului.

Esența sa constă în faptul că un hacker folosește o vulnerabilitate pe un computer care contribuie la apariția unei erori. La rândul său, suspendă resursa web.

Dacă vulnerabilitatea de pe PC nu a putut fi aruncată, atunci atacatorul folosește a doua opțiune, care este puțin similară cu un atac ddos.

În general, o cantitate mare de informații este trimisă de la adrese diferite. Sistemul procesează un fișier și astfel treptat toate celelalte. Dacă îngrămădiți masiv o grămadă de informații, atunci computerul este supraîncărcat și este posibil să „înghețe”, ceea ce vor hackerii să obțină.

Tipuri de atacuri DDO și cum să te protejezi de ele?

Este imposibil să vă securizați complet site-ul de atacurile ddos. De regulă, toți cei care doresc să-și protejeze resursa nu găsesc niciodată informații sută la sută. Prin urmare, protecția se bazează în principal pe prevenire și reglare competente.

Iată ce ar trebui să faceți, sau mai degrabă operațiunile pe care trebuie să le efectuați:

Prevenirea.

În primul rând, este foarte important să nu inițiezi atacuri ddos ​​împotriva ta, pentru că sunt făcute de oameni care au nevoie de ceva de la tine. Cel mai adesea, toate acestea se întâmplă din cauza unui conflict bazat pe religie, politică sau alte dezacorduri. Pot spune cu siguranță că acele cazuri sunt rare atunci când astfel de atacuri apar de dragul curiozității și al jocului.

Filtrare.


Dacă observați trafic de la mașinile care atacă, atunci nu ezitați să-l blocați prin orice mijloace. De exemplu, utilizați pluginul WordFence Security, care vă permite să blocați accesul la adrese IP, chiar și la țări întregi. Dar este foarte periculos să te încurci cu asta și te poți ruina. Pe scurt, acționează doar atunci când ești sigur că ai dreptate. Nu există aici o astfel de expresie: „Riscul este o cauză nobilă” sau „Cine nu riscă nu bea șampanie”.

DDOS invers.

Este posibil să redirecționați traficul către un atacator. Nu știu cum să fac asta, așa că nici eu nu te învăț, dar sunt specialiști care înțeleg astfel de lucruri.

Eliminarea vulnerabilităților.

Vulnerabilitatea poate fi eliminată cu ajutorul Antivirusului. Personal, folosesc Kaspersky, puteți găsi avantajele și caracteristicile acestuia într-un articol despre

Dispersare.

Faptul de duplicare a sistemului este de asemenea important, adică dacă ați fost atacat și atacul a avut succes de către hackeri, atunci pur și simplu lucrați printr-un alt sistem care vă suportă site-ul. Acest lucru este foarte convenabil, dar, în același timp, este destul de dificil de realizat.

Această metodă de prevenire este perfectă pentru resursele corporațiilor, companiilor mari, firmelor etc.

Construirea de sisteme distribuite și duplicate care nu vor înceta să servească utilizatorii, chiar dacă unele dintre elementele acestora devin indisponibile din cauza unui atac DoS.

Evaziune.

Monitorizați în mod constant când apar atacuri asupra altor resurse și încercați să nu salvați nicio informație despre domeniul dvs. pe astfel de site-uri.

Răspuns activ.

Cred că un simplu blogger pur și simplu nu va reuși să influențeze hackerii care efectuează atacuri ddos. Pentru această afacere, este nevoie de webmasteri mai puternici, bine, sau cel puțin de cei care știu multe despre munca lor. Dacă ripostezi, mai târziu ei nu vor dori să-și piardă timpul luptând.

DIN măsuri preventive făcut cunoştinţă. Acum vă voi prezenta tipurile de atacuri ddos.

Tipuri de atacuri ddos.

În primul rând, voi aborda subiectul atacurilor de inundații. Acestea au ca scop epuizarea resursei sistemului și aceasta este cantitatea de memorie, un canal de comunicare sau același procesor.

pamthttp-flood.

Fișierele HTTP sunt încărcate în resursa web a cuiva, la care serverul răspunde mai multe informatii. Dacă efectuați această acțiune cu un flux mare, atunci lățimea de bandă din victimă este completată și sistemul este completat. Ca urmare, eșecul lucrării. Nu este disponibil pentru nimeni. Dar cum ajunge un hacker acolo? Își schimbă adresa de rețea cu adresa nodurilor web care se află în interiorul canalului.

ICMP flod (Atacul ștrumf).


Acesta este cel mai periculos tip de atac ddos. Totul se întâmplă astfel: un pachet fals de informații cu date este trimis către sistem. Hackerul își schimbă adresa cu adresa obiectului atacat. Pentru un atac mai eficient, se folosesc „calculatoare zombie”. Am vorbit despre asta la începutul articolului. Să presupunem că au tastat 1000 de adrese IP și trimit un pachet de informații, dar nu doar așa, ci amplificând de 1 ori 1 către computer, asta înseamnă că am trimis 1000 de solicitări către resursă, crescând în același timp numărul lor de o mie de ori.

Odată în viața mea a fost un astfel de caz când puterea atacului asupra serverului a ajuns la 300 Gbps. Dar, în același timp, sistemul a fost capabil să reziste atacului. Elementul principal de protecție au fost atacurile inverse și redirecționarea traficului către centrele lor de date suplimentare.

Vă puteți imagina ce este? Probabil ca nu. În general, milioane de utilizatori de PC și alți gadget-uri au simțit această putere. La urma urmei, multe site-uri și bloguri au început să eșueze și totul din cauza unui fel de atac ddos.

Acum v-am spus despre două tipuri de inundații. Nu voi atinge restul, deoarece esența lor este de același tip. Toată lumea vrea să efectueze o supraîncărcare banală și astfel să facă sistemul să încetinească.

Cum să înțelegeți că există un atac ddos ​​pe site?

De regulă, nu sunt necesare programe pentru aceasta, deoarece totul este vizibil cu ochiul liber. Cu toate acestea, acesta nu este întotdeauna cazul. Uneori intri și deja întregul site refuză să funcționeze.

Pentru a evita acest lucru, trebuie să aveți grijă să detectați atacurile ddos ​​pe blogul dvs. în avans.

În primul rând, ar trebui să monitorizați traficul pe resursa dvs. Analiza poate fi efectuată de la panoul de control. Nu ma satur sa inteleg ca serviciul este cu adevarat unic, nu exista altele asemanatoare.

Puteți vedea de unde vin oamenii pe site-ul dvs., din ce țări. Dar aici, desigur, totul poate părea plauzibil, dar aceste adrese IP pot fi deja în mâinile atacatorilor. Prin urmare, folosim Examinați. Cu acesta, puteți analiza traficul de rețea.

Sper că vă puteți proteja blogul de atacurile DDOS. Pune în practică toate metodele de luptă pe care le-am descris în articol și apoi îți poți securiza resursa web.

La revedere, dragi cititori!

Cu sinceritate, Zhuk Yuri.

Aproape orice resursă web, fie că este vorba despre un site web sau un serviciu, este deschisă utilizatorilor obișnuiți. Tot ce trebuie să faceți este să deschideți browserul și să introduceți adresa dorită. Cu toate acestea, această disponibilitate vine cu unele probleme de securitate, în special posibilitatea atacurilor Denial of Service (DoS) și Distributed Denial of Service (DDoS).

Ce este un atac de tip Denial of Service (DoS)?

Înainte de a răspunde la întrebarea „ce este un atac de tip Denial of Service (DoS)”, trebuie să vă uitați la modul în care sunt schimbate datele pe Internet și ce putere este furnizată resurselor web. Pentru o înțelegere mai ușoară, luați în considerare cea mai comună opțiune.

Site-urile și serviciile (denumite în continuare site-ul web sau site-ul) sunt situate pe computere separate, denumite și servere. Pe aceste servere li se alocă o anumită parte a resurselor pentru funcționarea lor (spațiu pe disc, Berbec, timpul procesorului). De fiecare dată când un utilizator deschide o pagină web într-un browser, înseamnă site-ului web că trebuie să ocupe o anumită parte din aceste resurse pentru a forma pagina respectivă. Prin urmare, pentru o anumită perioadă de timp, site-ul poate forma doar un număr limitat de pagini. Aceasta înseamnă că dacă site-ul este deschis de mai mulți utilizatori decât numărul pentru care este conceput site-ul, atunci unii utilizatori vor primi fie o eroare despre incapacitatea de a deschide site-ul (de exemplu, site-ul nu este disponibil), fie un avertisment. despre supraîncărcarea site-ului care le cere să aștepte (de exemplu, site-ul este temporar indisponibil, încercați să îl deschideți în 5-10 minute).

Esența atacului Denial of Service (DoS) constă în numele său, și anume că atacul duce la inaccesibilitatea site-ului pentru utilizatori. Din punct de vedere tehnic, acest lucru se realizează datorită faptului că atacatorul deschide în mod constant un număr mare de pagini web, ceea ce ocupă aproape toate resursele site-ului și împiedică alți utilizatori să acceseze site-ul. Acest proces poate fi comparat cu prinderea peștelui lângă o persoană care împrăștie pumni de hrană pentru pește. În acest caz, indiferent cât de mult ai arunca momeala în râu, șansele de a prinde pește vor fi aproape zero.

Astăzi, acest tip de atac este rar, deoarece este foarte ușor să găsești și să identifici un atacator - acesta este cel de la care vin constant un număr mare de solicitări de deschidere a paginilor. Prin urmare, destul de des, când auziți cuvintele „DoS atac” sau citiți textul în care este folosit cuvântul „DoS”, vorbim despre atacul DDoS.

Ce este un atac Distributed Denial of Service (DDoS)?

Un atac de refuz de serviciu distribuit (DDoS) folosește aceeași idee ca un atac DoS, dar este diferit din punct de vedere tehnic. Esența atacului rezultă și din numele său - multe computere ale atacatorului accesează simultan site-ul cu o solicitare de a primi pagini, ceea ce duce în cele din urmă la aceleași consecințe ca și în cazul unui atac DoS. Acest proces poate fi comparat cu același pescuit, dar în parc, unde mulțimile de oameni se plimbă și aruncă pe rând mâncarea în apă. Datorită faptului că există mulți astfel de oameni, aruncarea unei undițe va duce la aceleași rezultate ca în comparația anterioară. Cu toate acestea, acest atac este mai dificil de implementat, deoarece necesită destul de multe computere pentru a-l realiza. Din acest motiv, pentru a implementa acest atac, cel mai adesea se recurge la utilizarea rețelelor botnet.

Notă R: Uneori, un atac DDoS are loc neintenționat atunci când un număr mare de utilizatori accesează site-ul dintr-o întâmplare. De exemplu, atunci când se anunță un site mic pe portaluri cu trafic uriaș, un astfel de site poate pur și simplu să nu poată face față afluxului de utilizatori și să fie temporar indisponibil.

O rețea de botnet este o rețea organizată logic de mai multe computere de utilizatori infectate (astfel de computere sunt numite și zombi), care este controlată de unul sau mai mulți atacatori și care va efectua acțiunile de care atacatorii au nevoie. În cazul DDoS, vorbim despre trimiterea de solicitări de deschidere a paginilor site-ului de către toate sau o parte din calculatoarele zombificate ale rețelei botnet. Din punct de vedere tehnic, rețelele botnet sunt create prin infectarea computerelor utilizatorilor obișnuiți cu troieni, viermi și alte programe rău intenționate. Care, după infectare, trimit informații despre ei înșiși către legăturile de control, adăugând astfel la rețea. De obicei, astfel de programe rău intenționate arată rareori vreo activitate rău intenționată vizibilă pe computerele utilizatorilor, pentru a evita verificările inutile ale sistemului de către antivirusuri și alte instrumente de securitate. Acest lucru le permite să rămână în rețeaua botnet mult timp.

Notă: Pentru majoritatea utilizatorilor unor astfel de computere infectate, efectul maxim va fi doar salturi periodice în activitatea rețelei, ceea ce, dacă mai devreme era ușor de observat (mai ales pe vremea modemurilor), astăzi, cu Internetul de mare viteză, o astfel de activitate este greu de determinat fără instrumente speciale.

Astăzi, acest tip de atac devine din ce în ce mai frecvent, deoarece, pe lângă faptul că este mai greu de urmărit, în cazul rețelelor mari de botnet, pur și simplu nu poate fi neutralizat rapid.

Notă R: Principalul motiv pentru creșterea numărului de atacuri DDoS este creșterea rapidă a numărului de computere, extinderea software-ului, dezvoltarea ratelor de schimb de date și o serie de alți factori.

Cuvinte finale despre DoS și DDoS

Eșecul site-ului, chiar și pentru o perioadă scurtă de timp, poate afecta nu numai performanța, ci și numărul de utilizatori. De exemplu, lipsa accesului la un proiect mare cu milioane de vizitatori chiar și pentru câteva ore poate însemna o ieșire de utilizatori către proiecte concurente (ținând cont de perioada de timp, acest lucru va afecta în principal utilizatorii care au început relativ recent să folosească resursa).

  • Tipuri de software rău intenționat (Malware)
  • Ce ar trebui să știe fiecare utilizator despre extensiile de fișiere din Windows?

Salutare dragi prieteni și cititori!

Cu doar câteva zile în urmă, blogul tău preferat a fost supus unui atac rapid DDOS, care a fost efectuat de intruși necunoscuți.

Din cauza acțiunilor lor penale, accesul la resursă a fost închis.

Datorită unuia dintre cititori, care a detectat în prealabil o defecțiune a sistemului, a fost posibil să se ia măsuri contra-operaționale la timp pentru a respinge un atac DDOS.

Acum că pasiunile s-au domolit puțin, să ne dăm seama ce este un atac DDOS.

În termeni simpli, un atac Dos este crearea unor astfel de condiții în care Furnizorul refuză să servească clientul din cauza încărcărilor grele pe server în momentul accesării site-ului.

Adică, băieții deștepți cu ajutorul unui software special și a mâinilor directe trimit mii de solicitări false de pe site-ul atacat către serverul tău. Datorită numărului mare de solicitări simultane către resursele dvs., sistemul nu o suportă și o reduce.

Mai precis, site-ul tău nu oprește serverul, ci serviciul de asistență, care își descarcă astfel mașina.

Trist, nu? Te-ar proteja, dar pur și simplu tăiau mâna rănită și așteptau ca rana să se vindece.

Ei bine, nimic, noi înșine nu ne naștem cu bast.

Cred că ai deja o întrebare..." Cum se face un atac DDOS?».

Bine, vă voi oferi câteva informații de fundal, dar rețineți că acestea pedepsit penal. Din partea mea, în calitate de Autor, vă rog să renunțați la toate acuzațiile în cazul acțiunilor ilegale ale cititorilor.


La un moment dat, aceiași băieți deștepți au creat un pistol laser sub numele de cod - „LOIC”. Cu ajutorul acestui program pentru atacuri DDOS, dezvoltatorii au testat hardware-ul serverului pentru stabilitate, expunându-l la diferite încărcări, simulând un atac DOS.

Căzând în mâini rele și prudente, raza de lumină a devenit sabia Arhanghelului, care leagă legiunea adepților săi, trimite milioane de cereri false și dărâme site-urile concurenților.

Acest program nu este clasificat și este în domeniul public pe Internet. Îl poți descărca.

Utilizarea programului LOIC este simplă. Rulați LOIC.exe și vedeți următoarea fereastră:


În primele două rânduri, introduceți adresa URL sau adresa IP a victimei și faceți clic pe Blocare pe:


După acești pași, IP-ul țintă va apărea într-o fereastră mare cu inscripția NONE:

În fereastra de jos, setați fluxul (TCP, HTTP sau UDP), numărul de solicitări (implicit este 10) și mutați glisorul ratei de transfer:

După terminarea setărilor, faceți clic pe butonul mare -:

Asta e, atacul dos a început. Puteți opri procesul apăsând același buton.

Desigur, nu veți putea copleși o resursă serioasă cu un singur fart, dar conectând mai multe dintre aceste arme pe un număr mare de computere în același timp, puteți face astfel de lucruri.

Dar repet, acestea sunt acțiuni ilegale, iar atunci când se înțelege cu un grup de oameni, apelarea unui atac DDOS este o infracțiune. Acest material, doar în scop informativ.

Lansarea pistolului laser LOIC:


Protecție împotriva atacurilor DDOS.

Până în prezent, protecție 100% împotriva atacurilor DDOS nu există. Desigur, diverse companii oferă servicii pentru a proteja site-urile de atacurile DOS pe bani serioși, dar totul este relativ. Dacă resursa ta este supusă unui atac puternic, care va implica mulți participanți și dos-boți, atunci niciun sistem nu va rezista.

Prin urmare, tot ce puteți face este să respingeți atacurile și să blocați adresele IP sursă.

Asta e tot pentru azi.

În articolele viitoare, vom analiza diferite modalități de a respinge atacurile DDOS. Pentru a nu rata materiale noi, abonați-vă la actualizările blogului și primiți notificări despre lansarea articolelor pe adresa dvs. de e-mail.

Mulțumesc pentru înțelegere!

Cu stimă, Denis Chernikov!

DDoS este o abreviere pentru expresia engleză Distributed Denial of Service, care se traduce în rusă ca „Distributed Denial of Service”. Aceasta înseamnă un refuz de a deservi o resursă de rețea ca urmare a numeroaselor cereri distribuite (adică, care provin din diferite puncte de acces la Internet). Diferența dintre un atac Denial of Service (DoS) și un atac DDos este că, în acest caz, supraîncărcarea are loc ca urmare a solicitărilor de la un anumit site de Internet.

În cazul unui atac DDos mult mai complex și perfect, funcționarea oricărei resurse poate fi complet perturbată - de la un mic site de informații până la un mare magazin online sau server de e-mail. În timpul unui atac, serverul site-ului „victimă” primește milioane de solicitări de la utilizatori, ceea ce duce la supraîncărcarea acestuia și, în consecință, la indisponibilitate. Neavând timp să proceseze un număr mare de solicitări, serverul începe pur și simplu să încetinească, apoi încetează să funcționeze cu totul. Cererile sunt cel mai adesea inteligente și lipsite de sens, ceea ce complică și mai mult munca serverului.

Principala dificultate pentru proprietarii de site-uri este că o mare parte din metodele de tratare cu DDos sunt practic ineficiente, deoarece solicitările vin din părți diferite, iar blocarea oricărui nod de la care provin solicitările (ca în cazul atacurilor Dos) nu este suficientă. De obicei, atacul se efectuează cu ajutorul troienilor de viruși care implică milioane de utilizatori în acest proces fără acordul și notificarea acestora. Troienii infectează computerele prost protejate și pot perioadă lungă de timp acționează fără să apară deloc. Aria de acoperire devine astfel incredibil de largă, iar cererile pot veni din toată lumea.

Calculatoarele infectate sunt adesea denumite „zombi” deoarece acţionează la ordinele altcuiva. Un computer poate fi infectat prin intermediul browserelor atunci când vizitează diverse site-uri infectate, când primește e-mail sau când instalează software fără licență. „Zombii” sunt adesea invizibili pentru firewall sau imposibil de distins de un utilizator real, ceea ce complică și lupta împotriva lor.

Cu toate acestea, pentru prima dată despre atacurile Ddos au devenit cunoscute în 1996 problema serioasa au început să se prezinte trei ani mai târziu, când hackerii au reușit să doboare site-urile unor companii precum Amazon, Yahoo, CNN, eBay și alte câteva. Până în prezent, comandarea unui astfel de atac este destul de simplă și relativ ieftină. Iar primii în zona de risc sunt oamenii de afaceri, care sunt destul de ușor de scos din joc în acest fel.

Desigur, moartea unui site corporativ este un eveniment neplăcut. Totuși, devine complet catastrofal dacă profitul companiei depinde direct de funcționarea portalului sau dacă atacul are loc în timpul unei campanii de promovare și promovare online competente, atentă, bine planificată și plătită.

Indivizii nu sunt nici imuni la atacurile DDos; recent o astfel de variantă de „răzbunare” a devenit larg răspândită. Atacurile ideologice sunt de asemenea bine cunoscute. Există și cazuri de extorcare de către hackeri înșiși, care cer bani pentru a opri astfel de atacuri - totuși, din motive evidente, acesta nu este un scenariu frecvent, întrucât autorii preferă să nu se dezvăluie.

În prezent, cel mai frecvent atac este o structură pe trei niveluri. Nivelul superior este ocupat de calculatorul de control (sau mai multe calculatoare), de la care sunt trimise semnale de control – inclusiv declanșarea unui atac. Urmează consolele de control, prin care semnalele sunt distribuite către milioane de computere utilizatori. Acești „interpreți tăcuți” din partea de jos sunt cei care trimit cereri către site-ul de internet care este ținta infractorilor. urmă părere imposibil, maxim - puteți calcula una dintre consolele de control, care, apropo, se consideră că au suferit și atacul.

Dificultatea în identificarea criminalilor este distribuirea gratuită a programelor de atac în rețea. Inițial, un astfel de software a fost dezvoltat pentru a determina gradul de stabilitate a rețelei la sarcinile externe. Cu toate acestea, de-a lungul anilor a suferit schimbări puternice, s-au format și îmbunătățit mai multe tipuri de atacuri care, de altfel, pot fi combinate, variate și modificate. De aceea, protecția împotriva atacurilor DDoS trebuie să fie profesională, permanentă și actualizată.