THELOCALHOST.RU
DDoS атака
В данной статье мы с Вами разберем, что такое DDoS атака, кем и для чего они используются и как их избежать.
Терроризм – неизбежность наших дней. И виртуальный мир Интернета не стал исключением, даже наоборот: если раньше хакеры по-тихому взламывали банковские системы и перекачивали некоторые суммы денег, то теперь дело обстоит несколько по-иному. В настоящее время хакеры зачастую блокируют какой-нибудь сервер, а затем выставляют его хозяевам свои требования, очень и очень не маленькие. Что же это как не виртуальный терроризм?
DDoS атака – от английского Distributed Denial Of Service Attack. Целью ее проведения вовсе не является кража каких-либо конфиденциальных сведений с сервера-жертвы, ее цель – полностью парализовать работу узла, на который производится DDoS атака.
Впервые DDoS-атаки стали известны в 1996 году, но их массовое проявление возникло в 1999 году, когда вследствие проведения данного типа атаки «легли» серверы таких огромных корпораций, как Yahoo, CNN, Amazon, eBay. В 2000 году атака на эти сервера повторилась, системные администраторы ничего этому не смогли противопоставить.
Если упрощенно показать схему DDoS атаки, то выглядит она так: на сервер-жертву поступает огромное количество запросов на выполнение чего-либо с компьютеров, состоящих в ботнете, то есть под управлением злоумышленника. При этом эти зараженные машины могут физически находиться в разных концах света, но они все равно подчинены единой воле. Компьютеры эти называют «зомби». В результате этих запросов и попыток ответить на них и обработать их атакуемый сервер расходует все свои ресурсы и виснет вследствие невозможности обработать их все.
При проведении DDoS-атаки хакеры-злоумышленники чаще всего пользуются некоей трехуровневой архитектурой, которая называется кластер DDoS и состоит из:
- Управляющей консоли, которых может быть и несколько – это непосредственно та машина, с которой подается сигнал к началу атаки.
- Главных компьютеров – компьютеров, получающих сигнал о начале атаки непосредственно от управляющей консоли. Они передают полученный сигнал зараженным машинам-зомби.
- Агенты – компьютеры, которые непосредственно осуществляют атаку на удаленный сервер.
Парадокс ситуации состоит в том, что данный DDoS кластер практически невозможно проследить снизу вверх и отследить адрес управляющей консоли, следовательно, и поймать злоумышленника. Максимум, что можно получить при попытках его проследить, это определить IP-адрес компьютера-зомби. Если очень захотеть и задействовать спецслужбы со всем их арсеналом средств, то можно отследить главный компьютер, но самое главное – управляющая консоль – опять-таки остается вне досягаемости.
Что самое неприятное при DDoS атаке, так это то, что злоумышленник может даже не обладать какими-то слишком специфичными знаниями, программы для проведения DDoS атак свободно распространяются в Интернете, купить ботнет (сеть зомби-машин) – тоже небольшая проблема.
Изначально программное обеспечение для DDoS создавалось с вполне благими намерениями – для изучения поведения серверов при повышенной нагрузке на них и большом трафике в сети. Наиболее эффективным считается использование ICMP-пакетов – пакетов данных, которые имеют ошибочную структуру. На то, чтобы обработать этот пакет, требуется несколько больше времени, чем на обработку обычного, и к тому же ошибочный пакет после обработки возвращается отправителю, то есть создается большой трафик в сети.
Время идет, и данное программное обеспечение модифицировалось до того, которое мы имеем в настоящее время – программ для проведения DDoS-атак.
Различаются несколько типов DDoS-атак:
- UDP flood – отправка а атакуемый сервер множества пакетов UDP. Данный метод проведения DDoS-атак считается в настоящее время устаревшим и наименее опасным.
- ТСР flood – отправка на атакуемый сервер множества ТСР-пакетов, что автоматически приводит к зависанию сервера после использования всех наличных ресурсов памяти и переполнению стека.
- TCP SYN flood – метод атаки, при котором организуется множество частично открытых ТСР-соединений.
- Smurf-атака – данный тип DDoS атаки характеризуется ведением широковещательной рассылки пинг-запросов с использованием в пакетах фальшивого адреса источника.
- ICMP flood – вид DDoS атаки, аналогичной указанной в предыдущем пункте, но без использования широковещательной рассылки пинг-запросов.
Существуют программы, которые способны комбинировать и совмещать в себе несколько видов вышеприведенных атак. Называются они TFN и TFN2K.
Конечно же, программ каждый день становится все больше и методы проведения DDoS атак становятся все более и более изощренными. И следует учитывать, что единого универсального метода защиты от DDoS атак в природе не существует, но системным и сетевым администраторам следует правильно и грамотно настроить и сконфигурировать функии анти-спуфинга и анти-DoS на маршрутизаторах и брандмауэрах.