Was sind DoS- und DDoS-Angriffe? DOS- und DDoS-Angriffe: Konzept, Typen, Erkennungs- und Schutzmethoden Angriffs- und Abwehrmethoden

Auf einem Computersystem, um es zum Ausfall zu bringen, d. h. die Schaffung von Bedingungen, unter denen legale (berechtigte) Benutzer des Systems nicht auf die vom System bereitgestellten Ressourcen (Server) zugreifen können oder dieser Zugriff erschwert wird. Auch der Ausfall eines "feindlichen" Systems kann ein Schritt zur Beherrschung des Systems sein (wenn die Software im Notfall kritische Informationen ausgibt - zum Beispiel eine Version, ein Teil des Programmcodes etc.). Aber häufiger ist es ein Maß für den wirtschaftlichen Druck: Ausfallzeiten eines Dienstes, der Einnahmen generiert, Rechnungen des Anbieters und Maßnahmen zur Vermeidung eines Angriffs treffen deutlich am Ziel.

Wird von vielen Computern gleichzeitig ein Angriff ausgeführt, spricht man von DDoS-Angriff(aus dem Englischen. Verteilter Denial-of-Service, verteilter Denial-of-Service-Angriff). In einigen Fällen wird der eigentliche DDoS-Angriff durch eine unbeabsichtigte Aktion ausgelöst, beispielsweise durch das Setzen eines Links auf eine beliebte Internetressource zu einer Site, die auf einem nicht sehr produktiven Server gehostet wird (Slashdot-Effekt). Ein großer Zustrom von Benutzern führt zu einer Überschreitung der zulässigen Serverlast und in der Folge zu einem Denial-of-Service für einige von ihnen.

Arten von DoS-Angriffen

Es gibt verschiedene Gründe für einen DoS-Zustand:

  • Fehler im Programmcode, was zum Zugriff auf einen ungenutzten Teil des Adressraums, zur Ausführung eines ungültigen Befehls oder zu einer anderen unbehandelten Ausnahme führt, wenn a anormale Beendigung Serverprogramm - Serverprogramm. Ein klassisches Beispiel ist die Nullumkehrung (eng. Null) die Anschrift.
  • Unzureichende Validierung der Benutzerdaten die zu einem unendlichen oder langen Zyklus oder einem erhöhten Langzeitverbrauch von Prozessorressourcen (bis zur Erschöpfung der Prozessorressourcen) oder zur Zuweisung einer großen Menge an RAM (bis zur Erschöpfung des verfügbaren Speichers) führen.
  • Flut(engl. Flut- "Flood", "Overflow") - ein Angriff, der mit einer großen Anzahl von meist bedeutungslosen oder falsch formatierten Anfragen an Computersystem oder Netzwerkgeräte, die auf einen Systemausfall aufgrund der Erschöpfung der Systemressourcen abzielen oder zu einem solchen führen - Prozessor, Speicher oder Kommunikationskanäle.
  • Angriff vom Typ II- ein Angriff, der versucht, eine Fehlfunktion des Schutzsystems zu verursachen und damit zur Nichtverfügbarkeit einer Ressource zu führen.

Wird ein Angriff (meist ein Flood) gleichzeitig von einer Vielzahl von IP-Adressen – von mehreren im Netzwerk verteilten Rechnern – durchgeführt, dann heißt es in diesem Fall verteilt Denial-of-Service-Angriff ( DDoS).

Fehler ausnutzen

Ausbeuten bezieht sich auf ein Programm, einen Programmcode oder eine Sequenz Programmbefehle die Schwachstellen in Software ausnutzen und dazu dienen, Angriffe auf ein Cybersystem durchzuführen. Zu den Exploits, die zu einer DoS-Attacke führen, aber ungeeignet, um beispielsweise die Kontrolle über ein "feindliches" System zu übernehmen, sind WinNuke und Ping of Death die bekanntesten.

Flut

Zu einer Überschwemmung als Verstoß gegen die Netiquette siehe Überschwemmung.

Flut einen riesigen Strom sinnloser Anfragen von verschiedenen Rechnern aufrufen, um das "feindliche" System (Prozessor, RAM oder Kommunikationskanal) mit Arbeit zu belegen und damit temporär zu deaktivieren. Der Begriff „DDoS-Angriff“ ist praktisch gleichbedeutend mit dem Begriff „Flood“ und wird im Alltag oft synonym verwendet („flood the server“ = „override the DDoS server“).

Um eine Flut zu erzeugen, können sowohl gewöhnliche Netzwerk-Dienstprogramme wie Ping (dies ist beispielsweise von der Internet-Community "Upyachka" bekannt) als auch spezielle Programme verwendet werden. DDoS-Fähigkeiten werden oft in Botnets "eingenäht". Wird eine Cross-Site-Scripting-Schwachstelle oder die Möglichkeit, Bilder von anderen Ressourcen einzubinden, auf einer Site mit hohem Traffic gefunden, kann diese Site auch für einen DDoS-Angriff genutzt werden.

Überflutung von Kommunikationskanal und TCP-Subsystem

Jeder Computer, der über TCP/IP mit der Außenwelt kommuniziert, unterliegt folgenden Arten von Überflutungen:

  • SYN-Flood - Bei dieser Art von Flood-Angriff wird eine große Anzahl von SYN-Paketen über das TCP-Protokoll (Anforderungen zum Öffnen einer Verbindung) an den angegriffenen Host gesendet. Gleichzeitig ist die Anzahl der zum Öffnen verfügbaren Sockets (Software-Netzwerk-Sockets, Ports) auf dem angegriffenen Rechner nach kurzer Zeit erschöpft und der Server reagiert nicht mehr.
  • UDP-Flood - Diese Art von Flood greift nicht den Zielcomputer an, sondern seinen Kommunikationskanal. ISPs gehen vernünftigerweise davon aus, dass UDP-Pakete zuerst zugestellt werden sollten und TCP warten kann. Große anzahl UDP-Pakete verschiedene Größen den Kommunikationskanal verstopfen und der TCP-Server reagiert nicht mehr.
  • ICMP-Flood - das gleiche, aber mit ICMP-Paketen.

Flut auf Anwendungsebene

Viele Dienste sind so konzipiert, dass eine kleine Anfrage einen großen Verbrauch an Rechenleistung auf dem Server verursachen kann. Dabei wird nicht der Kommunikationskanal oder das TCP-Subsystem angegriffen, sondern der Dienst selbst (Service) selbst – durch eine Flut solcher „kranker“ Anfragen. Zum Beispiel sind Webserver anfällig für HTTP-Flooding - ein einfaches GET / oder eine komplexe Datenbankabfrage wie GET /index.php?search= kann verwendet werden, um einen Webserver zu deaktivieren.<случайная строка> .

Erkennung von DoS-Angriffen

Es wird davon ausgegangen, dass spezielle Tools zur Erkennung von DoS-Angriffen nicht erforderlich sind, da die Tatsache eines DoS-Angriffs nicht übersehen werden kann. In vielen Fällen stimmt dies. Allerdings wurden nicht selten erfolgreiche DoS-Attacken beobachtet, die von den Opfern erst nach 2-3 Tagen bemerkt wurden. Es kam vor, dass die negativen Folgen des Angriffs ( Flut Angriffe) führten zu unnötigen Kosten für die Bezahlung von übermäßigem Internet-Traffic, was sich erst beim Erhalt einer Rechnung eines Internet-Providers zeigte. Darüber hinaus sind viele Intrusion Detection-Methoden in der Nähe des Ziels wirkungslos, auf Netzwerk-Backbones jedoch effektiv. In diesem Fall ist es ratsam, die Erkennungssysteme dort zu installieren und nicht darauf zu warten, dass der angegriffene Benutzer dies bemerkt und um Hilfe bittet. Darüber hinaus ist es zur effektiven Abwehr von DoS-Angriffen erforderlich, die Art, die Art und andere Merkmale von DoS-Angriffen zu kennen, und Erkennungssysteme ermöglichen es Ihnen, diese Informationen schnell zu erhalten.

Die Methoden zur Erkennung von DoS-Angriffen können in mehrere große Gruppen unterteilt werden:

  • signaturbasiert - basierend auf qualitativer Verkehrsanalyse.
  • statistisch - basierend auf quantitativer Verkehrsanalyse.
  • hybrid (kombiniert) - kombiniert die Vorteile der beiden oben genannten Methoden.

DoS-Schutz

Gegenmaßnahmen gegen DoS-Angriffe lassen sich in passiv und aktiv sowie präventiv und reaktiv unterteilen.

Nachfolgend finden Sie eine kurze Liste der wichtigsten Methoden.

  • Verhütung. Verhinderung von Gründen, die bestimmte Personen veranlassen, DoS-Angriffe zu organisieren und durchzuführen. (Sehr oft sind Cyberangriffe im Allgemeinen das Ergebnis persönlicher Beschwerden, politischer, religiöser und anderer Meinungsverschiedenheiten, provozierendes Verhalten des Opfers usw.)
  • Filterung und Blackholing. Blockieren des Datenverkehrs von angreifenden Maschinen. Die Effektivität dieser Methoden nimmt ab, wenn Sie sich dem Angriffsziel nähern, und nimmt zu, wenn Sie sich der angreifenden Maschine nähern.
  • DDOS umkehren- Umleiten des für den Angriff verwendeten Datenverkehrs an den Angreifer.
  • Beseitigung von Schwachstellen. Wirkt nicht gegen Flut- Angriffe, bei denen die "Schwachstelle" die Endlichkeit bestimmter Systemressourcen ist.
  • Aufbau von Ressourcen. Natürlich bietet es keinen absoluten Schutz, aber es ist ein guter Hintergrund für die Anwendung anderer Schutzarten gegen DoS-Angriffe.
  • Dispersion. Erstellen von verteilten und duplizierenden Systemen, die nicht aufhören, Benutzer zu bedienen, selbst wenn einige ihrer Elemente aufgrund eines DoS-Angriffs nicht verfügbar sind.
  • Ausweichen. Verlagerung des unmittelbaren Angriffsziels (Domainname oder IP-Adresse) von anderen Ressourcen, die oft zusammen mit dem direkten Angriffsziel ebenfalls betroffen sind.
  • Proaktive Reaktion. Auswirkungen auf Quellen, Veranstalter oder Angriffskontrollzentrum, sowohl durch künstliche als auch durch organisatorische und rechtliche Mittel.
  • Einsatz von Ausrüstung zur Abwehr von DoS-Angriffen. Zum Beispiel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® und andere Hersteller.
  • Erwerb eines Dienstes zum Schutz vor DoS-Angriffen. Relevant, wenn die Flut die Bandbreite des Netzwerkkanals überschreitet.

siehe auch

Notizen (Bearbeiten)

Literatur

  • Chris Kaspersky Computer Virus drinnen und draußen. - Petrus. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse typischer Sicherheitsverletzungen in Netzwerken = Intrusion Signatures and Analysis. - New Riders Publishing (Englisch) SPb.: Verlag "Williams" (Russisch), 2001. - S. 464. - ISBN 5-8459-0225-8 (Russisch), 0-7357-1063-5 (Englisch)
  • Morris, R. T= Eine Schwachstelle in der 4.2BSD Unix TCP/IP Software. - Technischer Bericht Nr.117 der Informatik. - AT&T Bell Laboratories, Februar 1985.
  • Bellovin, S.M.= Sicherheitsprobleme in der TCP/IP-Protokollsuite. - Computerkommunikations-Rezension, Vol. 2, No. 19, Nr.2. - AT&T Bell Laboratories, April 1989.
  • = daemon9 / route / infinity "IP-Spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Ausgabe 48 .-- Guild Production, Juli 1996.
  • = daemon9 / route / unendlich "Projekt Neptun". - Phrack Magazine, Vol.7, Ausgabe 48 .-- Guild Production, Juli 1996.

Links

  • DoS Angriff im Linkverzeichnis des Open Directory-Projekts (

DoS- und DDoS-Angriffe sind aggressive äußere Einflüsse auf die Rechenressourcen eines Servers oder Arbeitsplatz, durchgeführt mit dem Ziel, diese zum Scheitern zu bringen. Unter Ausfall verstehen wir nicht den physischen Ausfall einer Maschine, sondern die Unzugänglichkeit ihrer Ressourcen für gewissenhafte Benutzer - ein Versagen des Systems, sie zu warten ( D enial Ö F S ervice, was die Abkürzung DoS ist).

Wird ein solcher Angriff von einem einzelnen Computer aus durchgeführt, wird er als DoS (DoS) klassifiziert, wenn von mehreren - DDoS (DDoS oder DDoS), was bedeutet "D verteilt D enial Ö F S ervice "- verteilter Denial-of-Service. Lassen Sie uns als Nächstes darüber sprechen, warum Angreifer solche Aktionen ausführen, was sie sind, welchen Schaden sie den Angegriffenen zufügen und wie diese ihre Ressourcen schützen können.

Wer kann unter DoS- und DDoS-Angriffen leiden

Die Angriffe zielen viel seltener auf Unternehmensserver von Unternehmen und Websites - Personalcomputer von Einzelpersonen. Der Zweck solcher Aktionen besteht in der Regel darin, den Angegriffenen wirtschaftlichen Schaden zuzufügen und im Schatten zu bleiben. In einigen Fällen sind DoS- und DDoS-Angriffe eine der Phasen des Server-Hackings und zielen darauf ab, Informationen zu stehlen oder zu zerstören. Tatsächlich kann ein Unternehmen oder eine Website, die einer beliebigen Person gehört, Opfer von Cyberkriminellen werden.

Diagramm zur Veranschaulichung des Wesens eines DDoS-Angriffs:

DoS- und DDoS-Angriffe werden am häufigsten auf Veranlassung unehrlicher Konkurrenten durchgeführt. Indem Sie also die Website eines Online-Shops, der ein ähnliches Produkt anbietet, „auffüllen“, können Sie vorübergehend zum „Monopolisten“ werden und seine Kunden für sich abholen. Durch das "Ablegen" des Firmenservers ist es möglich, die Arbeit eines konkurrierenden Unternehmens zu stören und dadurch seine Position am Markt zu reduzieren.

Große Angriffe, die erheblichen Schaden anrichten können, werden in der Regel von professionellen Cyberkriminellen für viel Geld durchgeführt. Aber nicht immer. Homebrew-Hacker können auch Ihre Ressourcen angreifen – aus Interesse und Rächer unter entlassenen Mitarbeitern und einfach diejenigen, die Ihre Ansichten über das Leben nicht teilen.

Manchmal wird der Einschlag mit dem Ziel der Erpressung ausgeführt, während der Angreifer offen Geld vom Besitzer der Ressource verlangt, um den Angriff zu stoppen.

Die Server staatlicher Unternehmen und namhafter Organisationen werden oft von anonymen Gruppen hochqualifizierter Hacker angegriffen, um Beamte zu beeinflussen oder einen öffentlichen Aufschrei auszulösen.

Wie Angriffe ausgeführt werden

Das Funktionsprinzip von DoS- und DDoS-Angriffen besteht darin, einen großen Informationsstrom an den Server zu senden, der (soweit es die Fähigkeiten des Hackers zulassen) die Rechenressourcen des Prozessors, des Arbeitsspeichers, belastet, Kommunikationskanäle verstopft oder füllt Speicherplatz auf. Der angegriffene Computer kann die eingehenden Daten nicht verarbeiten und reagiert nicht mehr auf Benutzeranfragen.

Es sieht aus wie normale Arbeit Server im Logstalgia-Programm visualisiert:

Die Effektivität einzelner DOS-Angriffe ist nicht sehr hoch. Darüber hinaus besteht bei einem Angriff von einem PC aus die Gefahr, dass ein Angreifer identifiziert und erwischt wird. Verteilte Angriffe (DDoS) aus sogenannten Zombie-Netzwerken oder Botnets bringen viel mehr Gewinn.

So zeigt die Website Norse-corp.com die Botnet-Aktivität an:

Ein Zombie-Netzwerk (Botnet) ist eine Gruppe von Computern, die keine physische Verbindung miteinander haben. Sie eint die Tatsache, dass sie alle unter der Kontrolle des Angreifers stehen. Die Kontrolle erfolgt mittels eines Trojaners, der sich vorerst in keiner Weise manifestieren darf. Bei einem Angriff weist der Hacker die infizierten Computer an, Anfragen an die Website oder den Server des Opfers zu senden. Und er, der dem Ansturm nicht standhalten kann, reagiert nicht mehr.

So zeigt Logstalgia den DDoS-Angriff:

Jeder Computer kann dem Botnet beitreten. Und sogar ein Smartphone. Es reicht aus, den Trojaner zu fangen und nicht rechtzeitig zu erkennen. Übrigens hatte das größte Botnet weltweit fast 2 Millionen Maschinen, und ihre Besitzer wussten nicht, was sie tun mussten.

Angriffs- und Verteidigungsmethoden

Bevor ein Hacker einen Angriff startet, findet er heraus, wie er ihn mit maximaler Wirkung ausführen kann. Weist der angegriffene Knoten mehrere Schwachstellen auf, können die Auswirkungen in verschiedene Richtungen erfolgen, was die Reaktion erheblich erschwert. Daher ist es für jeden Serveradministrator wichtig, alle seine Engpässe zu untersuchen und nach Möglichkeit zu verstärken.

Flut

Flood ist vereinfacht gesagt eine Information, die keine semantische Last trägt. Im Kontext von DoS / DDoS-Angriffen ist eine Flut eine Lawine leerer, bedeutungsloser Anfragen der einen oder anderen Ebene, die der empfangende Knoten zwangsweise verarbeiten muss.

Der Hauptzweck der Verwendung von Flooding besteht darin, Kommunikationskanäle vollständig zu verstopfen und die Bandbreite maximal zu sättigen.

Hochwasserarten:

  • MAC-Flood - Auswirkung auf Netzwerkkommunikatoren (Blockieren von Ports mit Datenströmen).
  • ICMP-Flood - Überfluten des Opfers mit Service-Echo-Anfragen über ein Zombie-Netzwerk oder Senden von Anfragen „im Auftrag“ des angegriffenen Hosts, sodass alle Botnet-Mitglieder ihm gleichzeitig eine Echo-Antwort senden (Smurf-Angriff). Ein Sonderfall von ICMP-Flooding ist das Ping-Flooding (Senden von Ping-Anfragen an den Server).
  • SYN-Flood - Senden mehrerer SYN-Anforderungen an das Opfer, Füllen der TCP-Verbindungswarteschlange durch Erstellen einer großen Anzahl halboffener (ausstehender Client-Bestätigung) Verbindungen.
  • UDP-Flood - funktioniert nach dem Schema der Smurf-Angriffe, bei denen UDP-Datagramme anstelle von ICMP-Paketen gesendet werden.
  • HTTP-Flood – Überschwemmung des Servers mit zahlreichen HTTP-Nachrichten. Eine ausgefeiltere Option ist ein HTTPS-Flood, bei dem die übertragenen Daten vorverschlüsselt werden und bevor der angegriffene Host sie verarbeitet, muss er sie entschlüsseln.


So schützen Sie sich vor Hochwasser

  • Konfigurieren Sie die MAC-Adressvalidierung und -filterung auf Netzwerk-Switches.
  • Beschränken oder verweigern Sie die Verarbeitung von ICMP-Echoanforderungen.
  • Blockieren Sie Pakete, die von einer bestimmten Adresse oder Domäne kommen, was den Verdacht auf Unzuverlässigkeit aufkommen lässt.
  • Begrenzen Sie die Anzahl der halboffenen Verbindungen mit einer Adresse, reduzieren Sie deren Aufbewahrungszeit, verlängern Sie die TCP-Verbindungswarteschlange.
  • Deaktivieren Sie UDP-Dienste für den Empfang von Datenverkehr von außen oder begrenzen Sie die Anzahl der UDP-Verbindungen.
  • Verwenden Sie CAPTCHAs, Verzögerungen und andere Anti-Bot-Schutztechniken.
  • Zunahme Höchstbetrag HTTP-Verbindungen, konfigurieren Sie das Anforderungs-Caching mit nginx.
  • Erweitern Sie die Bandbreite des Netzwerkkanals.
  • Weisen Sie nach Möglichkeit einen separaten Server für die Verarbeitung der Kryptographie zu (sofern zutreffend).
  • Schaffen Backup-Kanal für den administrativen Zugriff auf den Server in Notfallsituationen.

Überlastung von Hardwareressourcen

Es gibt Arten von Flooding, die sich nicht auf den Kommunikationskanal, sondern auf die Hardwareressourcen des angegriffenen Computers auswirken, diese vollständig belasten und zum Einfrieren oder Abstürzen führen. Zum Beispiel:

  • Ein Skript zu erstellen, das in einem Forum oder einer Website postet, auf der Benutzer die Möglichkeit haben, Kommentare zu hinterlassen, ist eine Menge sinnloser Textinformationen bis der gesamte Speicherplatz voll ist.
  • Das gleiche, nur die Serverprotokolle füllen das Laufwerk.
  • Laden der Site, auf der eine Transformation der eingegebenen Daten durchgeführt wird, durch kontinuierliche Verarbeitung dieser Daten (Versenden der sogenannten "schweren" Pakete).
  • Laden des Prozessors oder Speichers durch Ausführen von Code über die CGI-Schnittstelle (CGI-Unterstützung ermöglicht Ihnen, jedes externe Programm auf dem Server auszuführen).
  • Auslösen eines Sicherheitssystems, das den Server von außen unzugänglich macht usw.


So schützen Sie sich vor Überlastung der Hardware-Ressourcen

  • Erhöhen Sie die Hardwareleistung und den Speicherplatz. Im normalen Betrieb des Servers müssen mindestens 25-30% der Ressourcen frei bleiben.
  • Setzen Sie Systeme ein, um den Datenverkehr zu analysieren und zu filtern, bevor Sie ihn an den Server übertragen.
  • Begrenzen Sie die Nutzung von Hardwareressourcen durch Systemkomponenten (Festlegen von Kontingenten).
  • Speichern Sie Serverprotokolldateien auf einem separaten Laufwerk.
  • Verteilen Sie Ressourcen auf mehrere unabhängige Server. Damit bei Ausfall eines Teils die anderen betriebsbereit bleiben.

Sicherheitslücken in Betriebssystemen, Software, Gerätefirmware

Es gibt unermesslich mehr Möglichkeiten, solche Angriffe durchzuführen als Fluten. Ihre Umsetzung hängt von den Fähigkeiten und Erfahrungen des Angreifers ab, seiner Fähigkeit, Fehler im Programmcode zu finden und zu seinem eigenen Vorteil und zum Nachteil des Besitzers der Ressource zu nutzen.

Nachdem ein Hacker eine Schwachstelle entdeckt (einen Softwarefehler, mit dem das System gestört werden kann), muss er lediglich einen Exploit erstellen und ausführen – ein Programm, das diese Schwachstelle ausnutzt.

Die Ausnutzung von Schwachstellen soll nicht immer nur Denial-of-Service bewirken. Wenn der Hacker Glück hat, kann er die Kontrolle über die Ressource erlangen und nach eigenem Ermessen über dieses „Geschenk des Schicksals“ verfügen. Es kann beispielsweise verwendet werden, um Malware zu verbreiten, Informationen zu stehlen und zu zerstören usw.

Methoden zur Bekämpfung der Ausnutzung von Schwachstellen in Software

  • Installieren Sie rechtzeitig Updates, um Schwachstellen in Betriebssystemen und Anwendungen zu schließen.
  • Isolieren Sie alle Verwaltungsdienste vom Zugriff Dritter.
  • Verwenden Sie Mittel zur ständigen Überwachung des Server-Betriebssystems und der Programme (Verhaltensanalyse usw.).
  • Geben Sie potenziell anfällige Programme (kostenlos, selbst geschrieben, selten aktualisiert) zugunsten bewährter und gut geschützter Programme auf.
  • Nutzen Sie vorgefertigte Mittel zum Schutz von Systemen gegen DoS- und DDoS-Angriffe, die sowohl in Form von Hardware- als auch Softwaresystemen existieren.

So stellen Sie fest, ob eine Ressource von einem Hacker angegriffen wurde

Wenn es dem Angreifer gelingt, das Ziel zu erreichen, ist es unmöglich, den Angriff zu übersehen, aber in einigen Fällen kann der Administrator nicht genau feststellen, wann er gestartet wurde. Das heißt, es dauert manchmal mehrere Stunden vom Beginn des Angriffs bis zu spürbaren Symptomen. Bei der latenten Exposition (bis der Server "hinlegt") gibt es jedoch auch bestimmte Anzeichen. Zum Beispiel:

  • Unnatürliches Verhalten von Serveranwendungen oder Betriebssystem(Einfrieren, Herunterfahren mit Fehlern, etc.).
  • Die Belastung des Prozessors, des Arbeitsspeichers und des Speichers steigt gegenüber dem Ausgangswert dramatisch an.
  • Das Verkehrsaufkommen auf einem oder mehreren Ports nimmt deutlich zu.
  • Es gibt mehrere Aufrufe von Clients zu denselben Ressourcen (Öffnen einer Seite der Site, Herunterladen derselben Datei).
  • Analyse von Serverlogs, Firewall und Netzwerkgeräte zeigt eine große Anzahl monotoner Anfragen von verschiedenen Adressen, die oft an einen bestimmten Port oder Dienst gerichtet sind. Vor allem, wenn sich die Site an ein enges Publikum richtet (z. B. Russischsprachige) und Anfragen aus der ganzen Welt kommen. Gleichzeitig zeigt eine qualitative Analyse des Traffics, dass Anfragen für Kunden keine praktische Bedeutung haben.

All dies ist kein hundertprozentiges Zeichen für einen Angriff, aber es ist immer ein Grund, auf das Problem zu achten und geeignete Schutzmaßnahmen zu ergreifen.

Fast jede Webressource, sei es eine Site oder ein Dienst, steht normalen Benutzern offen. Es genügt, einen Browser zu öffnen und die gewünschte Adresse einzugeben. Diese Verfügbarkeit bringt jedoch einige Sicherheitsbedenken mit sich, beispielsweise das Potenzial für Angriffe wie Denial of Service (DoS)- und Distributed Denial of Service (DDoS)-Angriffe.

Was ist ein Denial of Service (DoS)-Angriff?

Bevor Sie die Frage „Was ist ein Denial-of-Service-Angriff (DoS)“ beantworten, müssen Sie sich ansehen, wie Daten im Internet ausgetauscht werden und welche Kapazitäten Webressourcen zur Verfügung gestellt werden. Betrachten wir zum leichteren Verständnis die gebräuchlichste Option.

Websites und Dienste (im Folgenden Website oder Site) befinden sich auf separaten Computern, auch Server genannt. Auf diesen Servern wird ihnen ein bestimmter Teil der Ressourcen zum Funktionieren zugewiesen (Plattenplatz, Rom, Prozessorzeit). Jedes Mal, wenn ein Benutzer eine Webseite in einem Browser öffnet, bedeutet dies für die Website, dass sie einen bestimmten Teil dieser Ressourcen belegen muss, um diese Seite zu bilden. Daher kann die Site für einen bestimmten Zeitraum nur eine begrenzte Anzahl von Seiten generieren. Dies bedeutet, dass, wenn die Site von mehr Benutzern geöffnet wird als die Anzahl, für die die Site ausgelegt ist, einige der Benutzer als Antwort entweder eine Fehlermeldung über die Unfähigkeit zum Öffnen der Site erhalten (z. B. die Site ist nicht verfügbar) , oder eine Warnung über die Überlastung der Site mit einer Warteanfrage (z. B. ist die Site vorübergehend nicht verfügbar, versuchen Sie, sie in 5-10 Minuten zu öffnen).

Die Essenz eines Denial of Service (DoS)-Angriffs liegt in seinem Namen, nämlich dass der Angriff die Site für Benutzer unzugänglich macht. Technisch wird dies dadurch erreicht, dass ein Angreifer ständig eine Vielzahl von Webseiten öffnet, was fast alle Ressourcen der Seite beansprucht und andere Benutzer daran hindert, auf die Seite zuzugreifen. Dieser Vorgang kann mit dem Fangen von Fischen in der Nähe einer Person verglichen werden, die Futter für die Fische in Handvoll wirft. In diesem Fall sind die Chancen, Fische zu fangen, fast null, egal wie viel Sie Ihre Rute in den Fluss werfen.

Heutzutage ist diese Art von Angriff selten, da es sehr einfach ist, einen Angreifer zu finden und zu identifizieren - von diesem kommen ständig viele Anfragen zum Öffnen von Seiten. Daher sprechen wir oft von einer DDoS-Attacke, wenn Sie die Worte "Dos-Attacke" hören oder einen Text lesen, in dem das Wort "DoS" verwendet wird.

Was ist ein Distributed Denial of Service (DDoS)-Angriff?

Ein Distributed Denial of Service (DDoS)-Angriff verwendet dieselbe Idee wie ein DoS-Angriff, unterscheidet sich jedoch technisch. Die Essenz des Angriffs ergibt sich auch aus dem Namen – viele Computer des Angreifers greifen gleichzeitig mit der Aufforderung zum Empfang von Seiten auf die Seite zu, was letztendlich zu den gleichen Konsequenzen führt wie bei einem DoS-Angriff. Dieser Vorgang kann mit dem gleichen Fischfang verglichen werden, jedoch in einem Park, in dem Menschenmassen spazieren gehen und abwechselnd Essen ins Wasser werfen. Aufgrund der Tatsache, dass es viele solcher Menschen gibt, führt das Werfen der Rute zu den gleichen Ergebnissen wie im vorherigen Vergleich. Dieser Angriff ist jedoch schwieriger zu implementieren, da er viele Computer erfordert. Aus diesem Grund greifen sie bei der Umsetzung dieses Angriffs meistens auf Botnet-Netzwerke zurück.

Notiz: Manchmal passiert ein DDoS-Angriff unbeabsichtigt, wenn eine große Anzahl von Benutzern versehentlich eine Website besucht. Wenn Sie beispielsweise eine kleine Site auf Portalen mit hohem Datenverkehr ankündigen, kann eine solche Site den Zustrom von Benutzern einfach nicht bewältigen und vorübergehend nicht verfügbar sein.

Ein Botnet-Netzwerk ist ein logisch organisiertes Netzwerk aus vielen infizierten Benutzercomputern (solche Computer werden auch Zombies genannt), das von einem oder mehreren Angreifern kontrolliert wird und die Aktionen ausführt, die der Angreifer benötigt. Im Fall von DDoS sprechen wir über das Senden von Anfragen zum Öffnen von Site-Seiten durch alle oder einen Teil der zombifizierten Computer des Botnet-Netzwerks. Technisch gesehen werden Botnet-Netzwerke erstellt, indem die Computer normaler Benutzer mit Trojanern, Würmern und anderen bösartigen Programmen infiziert werden. Die nach der Infektion Informationen über sich selbst an die Kontrollverbindungen senden und dadurch zum Netzwerk beitragen. Normalerweise, solche Malware zeigen selten sichtbare bösartige Aktivitäten auf den Computern der Benutzer, um unnötige Überprüfungen des Systems mit Antiviren- und anderen Sicherheitstools zu vermeiden. Dadurch können sie lange im Botnet-Netzwerk verbleiben.

Notiz: Für die meisten Benutzer solcher infizierter Computer werden die maximalen Auswirkungen nur periodische Sprünge in der Netzwerkaktivität sein, die, wenn sie früher (insbesondere zu Zeiten der Modems) leicht bemerkt werden konnten, heute mit dem Vorhandensein von Hochgeschwindigkeits-Internet, wie z Aktivität ist ohne spezielle Mittel schwer zu bestimmen.

Heutzutage ist diese Art von Angriffen immer häufiger anzutreffen, denn abgesehen von der Tatsache, dass sie schwieriger zu verfolgen ist, kann sie bei großen Botnet-Netzwerken einfach nicht schnell neutralisiert werden.

Notiz: Der Hauptgrund für die Zunahme der DDoS-Angriffe ist die rasante Zunahme der Computeranzahl, die Ausweitung der Software, die Entwicklung der Datenaustauschraten und eine Reihe weiterer Faktoren.

Abschließende Worte zu DoS und DDoS

Das Deaktivieren einer Site auch für kurze Zeit kann sich nicht nur auf die Indikatoren, sondern auch auf die Anzahl der Benutzer auswirken. So kann beispielsweise der fehlende Zugang zu einem Großprojekt mit millionenschwerem Traffic auch für mehrere Stunden durchaus einen Abfluss von Nutzern in konkurrierende Projekte bedeuten (unter Berücksichtigung des Zeitraums betrifft dies vor allem Nutzer, die erst vor relativ kurzer Zeit mit der Nutzung begonnen haben die Ressource).

Der Zweck eines DDoS-Angriffs kann entweder darin bestehen, das Projekt eines Mitbewerbers oder eine beliebte Ressource zu blockieren oder die vollständige Kontrolle über das System zu erlangen. Berücksichtigen Sie beim Bewerben einer Site, dass DoS-Bedingungen aus den folgenden Gründen auftreten:

  • aufgrund von Fehlern im Programmcode, die zur Ausführung ungültiger Anweisungen, Zugriff auf einen ungenutzten Teil des Adressraums usw. führen;
  • aufgrund unzureichender Überprüfung von Benutzerdaten, was zu einem langen (oder unendlichen) Zyklus, erhöhtem Verbrauch von Prozessorressourcen, Speichererschöpfung usw. führen kann;
  • B. durch Flooding - ein Angriff von außen durch eine Vielzahl falsch gebildeter oder sinnloser Anfragen an den Server. Unterscheiden Sie zwischen Überflutung des TCP-Subsystems, der Kommunikationskanäle und der Anwendungsschicht
  • durch äußere Einflüsse, die eine Fehlfunktion des Schutzsystems bewirken und dadurch zur Nichtverfügbarkeit der Ressource führen.

Schutz

DDoS-Angriffe erschweren es, weil bei längerem Ausfall des Servers Seiten aus dem Index fallen. Zur Erkennung von Bedrohungen werden Signatur-, statistische und hybride Verfahren eingesetzt. Die erste basiert auf einer qualitativen Analyse, die zweite auf einer quantitativen, die dritte bündelt Vorteile vorherige Wege... Gegenmaßnahmen sind passiv und aktiv, präventiv und reaktiv. Folgende Methoden werden hauptsächlich verwendet:

  • Beseitigung persönlicher und soziale Gründe Ermutigung von Menschen, DDoS-Angriffe zu starten,
  • Blackholing und Traffic-Filterung,
  • Beseitigung von Code-Schwachstellen während Suchmaschinenoptimierung Seite? ˅,
  • Erhöhung der Serverressourcen, Aufbau duplizierter und verteilter Systeme für den Backup-Benutzerservice,
  • technische, organisatorische und rechtliche Auswirkungen auf Veranstalter, Quellen oder Angriffsleitstelle,
  • Installation von Geräten zur Abwehr von DDoS-Angriffen (Arbor Peakflow®, DefensePro® usw.),
  • Kauf eines dedizierten Servers zum Hosten einer Website.

Kürzlich konnten wir sicherstellen, dass DDoS-Angriffe eine ziemlich mächtige Waffe in Informationsraum... Mit Hilfe von DDoS-Angriffen mit hoher Leistung können Sie nicht nur eine oder mehrere Sites deaktivieren, sondern auch den Betrieb des gesamten Netzwerksegments stören oder das Internet in einem kleinen Land deaktivieren. Heutzutage werden DDoS-Angriffe immer häufiger und ihre Macht nimmt jedes Mal zu.

Aber was ist das Wesen eines solchen Angriffs? Was passiert im Netzwerk, wenn es umgesetzt wird, woher kommt die Idee und warum ist sie so effektiv? Antworten auf all diese Fragen finden Sie in unserem heutigen Artikel.

DDoS oder Distributed Denial-of-Service ist ein Angriff auf einen bestimmten Computer in einem Netzwerk, der dazu führt, dass dieser durch Überlastung nicht mehr auf andere Benutzer reagiert.

Um zu verstehen, was ein ddos-Angriff bedeutet, stellen wir uns eine Situation vor: Ein Webserver übergibt Benutzern eine Website-Seite, sagen wir, es dauert eine halbe Sekunde, um eine Seite zu erstellen und vollständig auf den Computer des Benutzers zu übertragen, dann kann unser Server normal arbeiten mit einer Häufigkeit von zwei Anfragen pro Sekunde. Wenn es mehr solcher Anfragen gibt, werden diese in die Warteschlange gestellt und verarbeitet, sobald der Webserver frei wird. Alle neuen Anforderungen werden am Ende der Warteschlange hinzugefügt. Stellen wir uns nun vor, dass es viele Anfragen gibt, und die meisten gehen nur, um diesen Server zu überlasten.

Wenn die Rate der ankommenden neuen Anfragen die Verarbeitungsrate überschreitet, wird die Anfragewarteschlange mit der Zeit so lang, dass tatsächlich keine neuen Anfragen mehr verarbeitet werden. Dies ist das Hauptprinzip des ddos-Angriffs. Früher wurden solche Anfragen von einer IP-Adresse gesendet und dies wurde als Denial-of-Service-Angriff bezeichnet - Dead-of-Service, tatsächlich ist dies die Antwort auf die Frage, was dos ist. Solche Angriffe können jedoch effektiv bekämpft werden, indem einfach die Quell-IP-Adresse oder mehrere zur Sperrliste hinzugefügt werden, außerdem können mehrere Geräte aufgrund von Beschränkungen der Netzwerkbandbreite physisch nicht genug Pakete generieren, um einen ernsthaften Server zu überlasten.

Daher werden Angriffe mittlerweile direkt von Millionen von Geräten aus durchgeführt. Das Wort Distribed wurde dem Namen hinzugefügt, verteilt, wie sich herausstellte - DDoS. Nacheinander bedeuten diese Geräte nichts und haben vielleicht eine Verbindung zum Internet mit nicht sehr hoher Geschwindigkeit, aber wenn sie alle gleichzeitig Anfragen an einen Server senden, können sie eine Gesamtgeschwindigkeit von bis zu erreichen 10 TB/s. Und das ist bereits ein ziemlich ernster Indikator.

Es bleibt herauszufinden, woher die Angreifer so viele Geräte nehmen, um ihre Angriffe auszuführen. Dabei handelt es sich um gewöhnliche Computer oder verschiedene IoT-Geräte, auf die sich Cyberkriminelle Zugriff verschaffen konnten. Es kann alles sein, was Sie wollen, Videokameras und Router mit einer lange nicht aktualisierten Firmware, Steuergeräte und normale Computer von Benutzern, die sich irgendwie mit dem Virus infiziert haben und nichts von seiner Existenz wissen oder es nicht eilig haben, ihn zu löschen.

Arten von DDoS-Angriffen

Es gibt zwei Haupttypen von DDoS-Angriffen, von denen eine auf Überlastung ausgerichtet ist ein bestimmtes Programm und Angriffe, die darauf abzielen, den Netzwerkkanal selbst zum Zielcomputer zu überlasten.

Angriffe auf die Überlastung eines Programms, auch Angriffe in 7 genannt (im osi-Netzwerkmodell gibt es sieben Ebenen und die letzte ist individuelle Anwendungen). Ein Angreifer greift ein Programm an, das viele Serverressourcen verbraucht, indem er eine große Anzahl von Anfragen sendet. Am Ende hat das Programm nicht die Zeit, alle Verbindungen zu verarbeiten. Diese Ansicht haben wir oben betrachtet.

DoS-Angriffe auf den Internetkanal erfordern viel mehr Ressourcen, sind aber viel schwieriger zu handhaben. Ziehen wir eine Analogie zu osi, dann handelt es sich um Angriffe auf der 3-4-Ebene, nämlich auf den Kanal bzw. das Datenübertragungsprotokoll. Tatsache ist, dass jede Internetverbindung ihre eigene Geschwindigkeitsbegrenzung hat, mit der Daten darüber übertragen werden können. Wenn viele Daten vorhanden sind, werden die Netzwerkgeräte, genau wie das Programm, sie für die Übertragung in eine Warteschlange stellen, und wenn die Datenmenge und die Geschwindigkeit ihrer Ankunft sehr viel höher ist als die Geschwindigkeit des Kanals, dann wird überlastet. Die Datenübertragungsrate kann in solchen Fällen in Gigabyte pro Sekunde berechnet werden. Im Falle der Trennung vom Internet eines kleinen Landes Liberia betrug die Datenübertragungsrate beispielsweise bis zu 5 TB / s. Dennoch reichen 20-40 Gb/s aus, um die meisten Netzwerkinfrastrukturen zu überlasten.

Ursprung von DDoS-Angriffen

Oben haben wir untersucht, was DDoS-Angriffe sind, sowie die Methoden von DDoS-Angriffen. Es ist an der Zeit, zu ihrem Ursprung überzugehen. Haben Sie sich jemals gefragt, warum diese Angriffe so effektiv sind? Sie basieren auf militärischen Strategien, die über viele Jahrzehnte entwickelt und erprobt wurden.

Im Allgemeinen sind viele der Ansätze zur Informationssicherheit basierend auf militärischen Strategien der Vergangenheit. Es gibt Trojaner, die dem alten Kampf um Troja ähneln, Ransomware-Viren, die Ihre Dateien stehlen, um Lösegeld zu erhalten, und DDoS-Angriffe, die die Ressourcen des Feindes einschränken. Indem Sie die Optionen des Gegners einschränken, gewinnen Sie ein wenig Kontrolle über seine nachfolgenden Aktionen. Diese Taktik funktioniert für beide Militärstrategen sehr gut. und für Cyberkriminelle.

Bei der Militärstrategie können wir ganz einfach über die Arten von Ressourcen nachdenken, die begrenzt werden können, um die Fähigkeiten des Feindes zu begrenzen. Die Begrenzung von Wasser, Nahrung und Baumaterialien würde den Feind einfach zerstören. Bei Computern ist alles anders, es gibt verschiedene Dienste, zum Beispiel DNS, Webserver, Server Email... Sie alle haben eine unterschiedliche Infrastruktur, aber es gibt etwas, das sie verbindet. Es ist ein Netzwerk. Ohne Netzwerk können Sie nicht auf den Remote-Dienst zugreifen.

Kriegsherren können Wasser vergiften, Getreide verbrennen und Kontrollpunkte errichten. Cyberkriminelle können falsche Daten an den Dienst senden, ihn zwingen, den gesamten Speicher zu verbrauchen oder den gesamten Netzwerkkanal vollständig überlasten. Auch Verteidigungsstrategien haben die gleichen Wurzeln. Der Serveradministrator muss eingehenden Datenverkehr überwachen, um schädlichen Datenverkehr zu finden und zu blockieren, noch bevor er den Zielnetzwerkkanal oder das Zielprogramm erreicht.

Schlussfolgerungen

DDoS-Angriffe werden jedes Mal häufiger und mächtiger. Das bedeutet, dass die von uns genutzten Dienste zunehmend angegriffen werden. Eine Möglichkeit, die Anzahl der Angriffe zu reduzieren, besteht darin, sicherzustellen, dass unsere Geräte nicht mit Viren infiziert sind und rechtzeitig Updates erhalten. Nachdem Sie nun wissen, was ein DDoS-Angriff ist und die Grundlagen des Schutzes kennen, gehen wir in einem der nächsten Artikel auf den letzten Moment genauer ein.

Abschließend biete ich einen Vortrag zu DDoS-Angriffen an:

Ähnliche Artikel
Finanzamt bar fr-k ist außer Betrieb Verfahren zur Modernisierung bar-fr-kFinanzamt bar fr-k ist außer Betrieb Verfahren zur Modernisierung bar-fr-k G-Serie – Große Auswahl an PC-VerbindungsmethodenG-Serie – Große Auswahl an PC-Verbindungsmethoden Wir drucken den verlorenen Scheck und Z-Report Atol druckt eine Kopie des SchecksWir drucken den verlorenen Scheck und Z-Report Atol druckt eine Kopie des Schecks Datenerfassungsterminal im Lager: Wir machen aus teuren Geräten rentable Investitionen Datenerfassungsterminal GebrauchsanweisungDatenerfassungsterminal im Lager: Wir machen aus teuren Geräten rentable Investitionen Datenerfassungsterminal Gebrauchsanweisung