Направить атаку на атакующего. Таким образом, вы можете не только отразить нападающего, но и нанести ему урон. Это требует знаний — но это возможно.
Что такое DDoS-атака
DDOS (Distributed Denial of Service) атаки — это распределенные атаки, которые перегружают серверы и вызывают разрушение систем. В таких ситуациях пользователи не могут получить доступ к сайту или веб-сервисам, а владелец проекта может потерять прибыль.
Причиной сбоя системы не обязательно является DDOS-атака. Ресурсы сервера ограничены, и если все работает в условиях нормальной нагрузки, необычное увеличение может привести к сбою. Если накануне на сайте была запущена акция или рекламная кампания, то на сайт может попасть повышенный трафик.
Если вы уверены, что сбой сайта не связан с каким-либо действием, читайте ниже, как можно атаковать сайт.
Серверные приложения для бизнеса
Сосредоточьтесь на своем бизнесе, гостеприимством занимается reg.ru! Закажите мощный облачный сервер с круглосуточным управлением и бесплатной защитой от низкоуровневых DDOS-атак.
Почему ваш сайт могут атаковать?
Одной из причин, по которой ваш сайт может подвергнуться DDO-атаке, является конкуренция. Доступ к пострадавшим сайтам невозможен, поскольку они принимают слишком много заявок и не справляются с нагрузкой. Когда клиенты видят нефункционирующий сайт, они могут зайти на сайты ваших конкурентов. Если ваш бизнес успешен и конкуренция на рынке имеет большое значение, будьте готовы к тому, что ваш сайт может пострадать от DDO в любой момент.
Кроме того, интернет-ресурсы могут просто привлечь внимание захватчиков. Они развязывают DDO-атаки и приветствуют личную враждебность, или fearmail.
Согласно исследованию «Лаборатории Касперского», в 2017 году каждая третья российская компания (36%) подверглась хотя бы одной DDOS-атаке; по сравнению с 2018 годом количество атак увеличилось в пять раз.
Кто осуществляет DDoS-атаки
Хаквисты — это политические активисты, которые используют ДДО как форму политического протеста. Согласно отчету «Касперского» за май 2020 года, число атак на правозащитные организации в США увеличилось. Число увеличилось в 1 120 раз, что совпало с массовыми протестами.
Anonymous — самый яркий представитель хактивизма. Это децентрализованная группа хактивистов, состоящая в основном из пользователей таблиц изображений и онлайн-форумов. Они известны тем, что нарушают ресурсы с незаконным контентом и публикуют личные данные пользователей. За время своего существования они успешно атаковали сайты Ватикана, Интерпола и Европейского парламента.
У них даже был свой символ — маска главного героя фильма «V for Vendetta». В этой маске он боролся против режима.
В 2008 году маска Гая Фокса стала мемом и символом анонимности.
Η LulzSec είναι μια ομάδα 6 ατόμων. Он был основан в мае 2011 года и работал до 26 июня. За столь короткое время команда прославилась успешными атаками на сайты Sony, Nintendo, Fox, серверы PBS и Сената США. Lulzsec приостановила свою деятельность после ареста нескольких членов.
Δεν είναι επίσης ασυνήθιστο για τους κοινούς εκβιαστές DDoS να λειτουργούν με το όνομα γνωστών ομάδων. Το 2020, ορισμένες μεγάλες εταιρείες δέχθηκαν απειλές στο όνομα των Fancy Bear και Armada Collective, γνωστών ομάδων χακτιβιστών. Οι επίδοξοι απατεώνες έχουν υποσχεθεί να εξαπολύσουν επίθεση στον ιστότοπο μιας εταιρείας εάν δεν λάβουν λύτρα.
Η LulzSec είναι μια ομάδα 6 ατόμων. Он был основан в мае 2011 года и работал до 26 июня. За столь короткое время команда прославилась успешными атаками на сайты Sony, Nintendo, Fox, серверы PBS и Сената США. Lulzsec приостановила свою деятельность после ареста нескольких членов.
DoS vs DDoS: в чём разница
Помимо DDO, в арсенале злоумышленников появился еще один вид атак. Это называется DOS (отказ в обслуживании). Первый известный инцидент с DOS произошел в феврале 2000 года, когда канадские хакеры атаковали веб-серверы Amazon и eBay.
При DOS-атаке запросы посылаются отдельными устройствами, а не сетью, и направлены на конкретную область или виртуальную машину. Это похоже на DDO, цель которого в обоих случаях — нарушить доступ к сетевым или интернет-ресурсам. Однако DOS имеет свои собственные уникальные характеристики.
- Одиночный атакующий авианосец. Трафик поступает из одной подсети
- Видимость. Атаки на веб-сайты хорошо видны системам слежения
- Простота отражения. Атаки DOS легко исключаются защитными стенами или сетевыми маршрутизаторами.
Этот тип атаки не считается опасным, но для него требуется программное обеспечение, способное своевременно обнаружить и пресечь угрозу.
DDO характеризуется и другими особенностями
- Множественность. Множественные каналы запросов не позволяют быстро исключить все атакующие IP-адреса, что облегчает блокировку скомпрометированного ресурса.
- Не обнаруживается. Атаки хорошо замаскированы под естественные циклы, постепенно наводняя ресурсы нежелательными приложениями.
- Трудно отталкивать. Сложно определить момент начала атаки, что препятствует фильтрации вредоносных IP-адресов
Как вы можете себе представить, распределенные атаки типа «отказ» являются «более эффективными», поэтому злоумышленники предпочитают именно этот метод. Это особенно актуально потому, что очень трудно определить и выйти на источник этой атаки, так как нет центра.
Причины DDoS-атак
Как может быть атакована инфраструктура компании? Возможны различные варианты:.
- Конфликт, недовольство поведением. Значительная часть кибератак на компании и правительственные организации проявилась в ответ на личную враждебность. Например, после крупного рейда хакеров ФБР в 1999 году был атакован сайт ФБР. В результате они отсутствовали несколько недель.
- Политика. Несогласие с правительством или противоположная политика могут привести к кибератакам. Хактивисты (ИТ-специалисты, применяющие радикальный подход к какому-либо вопросу) могут поддерживать различные политические силы и выражать свой протест в DDO.
- Развлечения. Злоумышленники — это начинающие хакеры, компьютерные экспериментаторы или те, кто просто решил «поиграть», заказывая короткие, но вредные нагрузки на ресурсы полутрупов.
- Fearmail.Нередко хакеры требуют выкуп от компании, чтобы раскрыть свои намерения перед началом атаки. Количество варьируется в широких пределах и зависит от аппетита нападающего. Если они отказываются платить, их подвергают «наказанию».
- Недобросовестная конкуренция. Недобросовестная конкуренция — явление нередкое. Конкуренты могут попытаться нанести ущерб веб-сайтам других компаний, чтобы привлечь клиентов.
- Маскировка. Во время противостояния с DDO другая атака может не состояться. Использование нежелательного кровообращения в качестве покрытия — эффективная и очень популярная практика.
Кто может стать жертвой DoS-атаки
Практически любая организация, даже человек, может стать объектом кибератаки. По некоторым данным, с такой проблемой сталкивается каждая шестая российская компания.
Сайты находятся в зоне риска:.
- Крупные предприятия и государственные службы,.
- Банки, управляющие компании,.
- Учреждения здравоохранения,.
- Платежные системы,.
- Популярные блоги и СМИ
- Интернет-магазины, например
- Услуги азартных игр,.
- криптовалютные биржи.
Сайты BBS и туристических агентств также подвергаются таким атакам, но реже. В августе 2021 года поисковый гигант «Яндекс» сообщил, что подвергся крупнейшей DDoS-атаке в России. До этого «Зубельбанк» подвергся нападению в 2020 году.
Еще одним относительно новым злоумышленником является Интернет вещей (IoT). Устройства, подключенные к Интернету, часто являются частью ботнета или шпионского канала.
В схемах адресации anycast различные DNS-серверы используют общий IP-адрес. Когда пользователь вводит URL-адрес, ему возвращается коллективный адрес DNS-серверов. IP-сеть направляет запрос на ближайший сервер.
Кто и с какой целью проводит атаки
У DDoS-атак есть несколько основных целей и триггеров
- Конкурентная война. Атаки на серверы могут осуществляться конкурентами с целью уменьшить посещаемость сайта, снизить продажи или полностью «ухудшить» доступность пользовательских ресурсов.
- Хактивизм. Политический или активистский протест, направленный на требование или привлечение внимания большого числа пользователей целевого ресурса или системы к какой-либо ситуации.
- Вымогательство. Хакеры могут искать мотивы для получения прибыли. В таких случаях масштабная атака может продолжаться до тех пор, пока владелец ресурса не согласится на требования мошенника. Это все равно, что трясти запертый сейф и ждать, когда из него появятся деньги.
- Личная враждебность. Единственной целью атаки может быть нанесение урона без дополнительных условий. Ресурсы и форумы, где обсуждаются медийные личности, часто подвергаются подобным нападкам.
- Обучение: методом проб и ошибок. Обычно это кратковременное действие злоумышленника, направленное на изучение или освоение сложного сценария атаки на информационную систему.
- Кража личных данных. Увеличение нагрузки на сайт или сервер может сделать сайт более уязвимым. Злоумышленники могут использовать это для получения доступа к защищенным персональным данным.
Последнее является более теоретической возможностью. DDoS-атаки на сам ресурс вряд ли приведут к фактическому отключению и компрометации конфиденциальных данных.
Это возможно только в том случае, если DDoS-атака является частью многоступенчатой атаки. Как правило, в этом случае DDoS-атака направлена вовсе не против основной цели, а против других компонентов системы, таких как средства безопасности, мониторинга или протоколирования.
Чем опасна DDoS-атака для информационной системы
Проблема с DDoS-атаками заключается в следующем. Возможно, вы установили самые защищенные информационные системы, самые современные и эффективные средства защиты и устранили все уязвимости в своем коде. Тем не менее, пока вы подвергаетесь атаке, ваша информационная система будет не работать и недоступна для пользователей. В этом случае затраты злоумышленника на проведение такой атаки могут быть гораздо меньше, чем риск потери репутации, клиентов, доходов и рынков владельца атакованной системы. Стоимость использования мер защиты от DDoS-атак значительно ниже, чем потери бизнеса от этих атак.Константин Феоктистов, архитектор кибербезопасности SberCloud
Существует несколько типов DDoS-атак.
- ‘PingofDeath’ — отправляет пакеты данных, превышающие 65 535 байт, что приводит к краху или отключению сервера. Использовался в 1990-х годах. Современные системы не уязвимы для этой атаки.
- Наводнение HTTP(S)GET / POST: перегружает соединения данных, потребляет ресурсы сервера для обработки запросов, извлекает большие объемы данных с сервера или отправляет бесполезную информацию на сервер.
- Smurf-атака: компьютер посылает ICMP-ответы на специально настроенные запросы в принимающей системе.
- UDP flooding — отправка множества UDP-пакетов через несколько портов (предопределенных или случайных), при этом TCP/UDP-стек жертвы обрабатывает ошибки загрузки пакетов и генерирует ICMP-ответы.
- SYN flooding — одновременное инициирование нескольких TCP-соединений, размещенных на SYN-пакетах со старыми или несуществующими обратными адресами.
- Layer 7 HTTP flooding — наводнение HTTP-запросов обычно нацелено на «уязвимости» в веб-приложениях, особенно в логике веб-приложений, с целью истощения веб-сервера путем обработки «тяжелых» запросов, интенсивных операций обработки или памяти. К ним относятся.
- Атаки на сервер DNS — на сервер отправляются пустые общие запросы (пакеты данных).
- Усиленные атаки — техника, используемая для проведения DDoS-атак, многократно усиливающая жертву атаки. Небольшое количество ботов начинает отправлять большое количество поддельных пакетов или запросов. Этот подход используется в атаках, основанных на протоколах DNS или NTP.
Как понять, что вас атакуют
Если атака успешна, доступность клиентов или ресурсов, размещенных на сервере, немедленно прекращается. Однако есть несколько признаков, которые помогают распознать начало приступа. К ним относятся:.
- Частые сбои программного обеспечения сервера и операционной системы; и
- внезапное увеличение нагрузки на серверное оборудование, и
- значительное увеличение входящего трафика, и
- Многократное повторение общих действий пользователя ресурса.
Быстрое увеличение трафика от пользователей, не относящихся к целевой аудитории сервиса, также считается симптомом.