Im Zusammenhang mit dem ddos-Angriff. Wie man einen DDoS-Angriff durchführt und sich sieben Jahre lang hinsetzt. Abmelden von Windows Server

Einführung

Ich werde sofort reservieren, wenn ich geschrieben habe diese Rezension, habe ich mich in erster Linie auf ein Publikum konzentriert, das die Besonderheiten der Arbeit von Telekommunikationsbetreibern und ihren Datenübertragungsnetzen versteht. In diesem Artikel werden die Grundprinzipien des Schutzes vor DDoS-Angriffen, deren Entstehungsgeschichte im letzten Jahrzehnt und die aktuelle Situation skizziert.

Was ist DDoS?

Wahrscheinlich weiß heute, wenn nicht jeder „Anwender“, dann zumindest jeder „IT-Spezialist“ was DDoS-Angriffe heute sind. Aber ein paar Worte müssen noch gesagt werden.

DDoS-Angriffe (Distributed Denial of Service) sind Angriffe auf Computersysteme (Netzwerkressourcen oder Kommunikationskanäle), die darauf abzielen, diese für legitime Benutzer unzugänglich zu machen. DDoS-Angriffe bestehen im gleichzeitigen Senden einer großen Anzahl von Anfragen an eine bestimmte Ressource von einem oder mehreren Computern, die sich im Internet befinden. Wenn Tausende, Zehntausende oder Millionen von Computern gleichzeitig Anfragen an einen bestimmten Server (oder Netzwerkdienst) senden, dann wird entweder der Server nicht überleben oder die Bandbreite des Kommunikationskanals zu diesem Server reicht nicht aus. In beiden Fällen können Internetnutzer nicht auf den angegriffenen Server oder sogar auf alle Server und andere Ressourcen zugreifen, die über einen blockierten Kommunikationskanal verbunden sind.

Einige Funktionen von DDoS-Angriffen

Gegen wen und zu welchem ​​Zweck werden DDoS-Angriffe gestartet?

DDoS-Angriffe können gegen jede Ressource im Internet gestartet werden. Den größten Schaden durch DDoS-Angriffe erleiden Organisationen, deren Geschäft in direktem Zusammenhang mit ihrer Präsenz im Internet steht - Banken (die Internet-Banking-Dienste anbieten), Online-Shops, Handelsplattformen, Auktionen sowie andere Aktivitäten, deren Aktivität und Effektivität hängt maßgeblich von der Darstellung im Internet ab (Reisebüros, Fluggesellschaften, Hard- und Softwarehersteller etc.) DDoS-Angriffe werden regelmäßig gegen die Ressourcen von Giganten der globalen IT-Branche wie IBM, Cisco Systems, Microsoft und anderen gestartet. Es gab massive DDoS-Angriffe gegen eBay.com, Amazon.com, viele namhafte Banken und Organisationen.

Sehr oft werden DDoS-Angriffe gegen die Websites politischer Organisationen, Institutionen oder einzelner berühmter Persönlichkeiten gestartet. Viele sind sich der massiven und anhaltenden DDoS-Angriffe bewusst, die während des georgisch-ossetischen Krieges 2008 (die Website war ab August 2008 für mehrere Monate nicht erreichbar) gegen die Website des Präsidenten Georgiens gegen die Server der estnischen Regierung ( im Frühjahr 2007, während der Unruhen im Zusammenhang mit der Verlegung des Bronzesoldaten), über periodische Angriffe aus dem nordkoreanischen Segment des Internets auf amerikanische Seiten.

Die Hauptziele von DDoS-Angriffen sind entweder die Erlangung von Vorteilen (direkt oder indirekt) durch Erpressung und Erpressung oder die Verfolgung politischer Interessen, Verschlimmerung und Rache.

Was sind die Mechanismen, um DDoS-Angriffe auszulösen?

Die beliebteste und gefährlichste Art, DDoS-Angriffe zu starten, ist die Verwendung von Botnets (BotNets). Ein Botnet ist eine Gruppe von Computern, auf denen spezielle Software-Lesezeichen (Bots) installiert sind; in der Übersetzung aus dem Englischen ist ein Botnet ein Netzwerk von Bots. Bots werden normalerweise von Hackern individuell für jedes Botnet entwickelt und haben den Hauptzweck, Anfragen an eine bestimmte Ressource im Internet durch einen Befehl zu senden, der vom Kontrollserver des Botnets - Botnet Command and Control Server - empfangen wird. Der Botnet-Kontrollserver wird von einem Hacker verwaltet oder von der Person, die das Botnet von dem Hacker gekauft hat, und die Möglichkeit, einen DDoS-Angriff zu starten. Bots werden im Internet in der Regel auf unterschiedliche Weise verbreitet – durch Angriff auf Computer mit anfälligen Diensten und Installation von Software-Lesezeichen auf diesen oder durch Täuschung von Benutzern und Zwang zur Installation von Bots unter dem Vorwand, andere Dienste oder Software bereitzustellen, die völlig harmlos funktionieren oder sogar nützliche Funktion... Es gibt viele Möglichkeiten, Bots zu verteilen, es werden regelmäßig neue Wege erfunden.

Wenn das Botnetz groß genug ist - Zehn- oder Hunderttausende von Computern - dann führt das gleichzeitige Senden von all diesen Computern sogar recht legitimer Anfragen an einen bestimmten Netzwerkdienst (z. B. einen Webdienst auf einer bestimmten Site) zur Erschöpfung von Ressourcen entweder des Dienstes oder des Servers selbst oder zur Erschöpfung der Kommunikationskanalfähigkeiten. In jedem Fall steht der Dienst den Benutzern nicht zur Verfügung und der Eigentümer des Dienstes erleidet direkte, indirekte und Reputationsverluste. Und wenn jeder der Computer nicht eine Anfrage sendet, sondern Dutzende, Hunderte oder Tausende von Anfragen pro Sekunde, dann erhöht sich die Schlagkraft des Angriffs um ein Vielfaches, was es ermöglicht, selbst die produktivsten Ressourcen oder Kommunikationskanäle zu deaktivieren.

Manche Angriffe werden auf "harmlosere" Weise gestartet. Zum Beispiel ein Flashmob von Nutzern bestimmter Foren, die nach Vereinbarung in bestimmte Zeit"Pings" oder andere Anfragen von ihren Computern an einen bestimmten Server. Ein weiteres Beispiel ist das Platzieren eines Links zu einer Website auf beliebten Internetressourcen, was zu einem Zustrom von Benutzern auf den Zielserver führt. Wenn ein "gefälschter" Link (der wie ein Link zu einer Ressource aussieht, sich aber tatsächlich auf einen völlig anderen Server bezieht) auf eine Website einer kleinen Organisation verweist, die jedoch auf beliebten Servern oder Foren gehostet wird, kann ein solcher Angriff zu einem Zustrom von Besuchern, die für diese Site unerwünscht sind ... Angriffe der letzten beiden Arten führen selten zur Beendigung der Verfügbarkeit von Servern auf ordnungsgemäß organisierten Hosting-Sites, aber es gab solche Beispiele, und sogar in Russland im Jahr 2009.

Helfen traditionelle technische Schutzmaßnahmen gegen DDoS-Angriffe?

Ein Merkmal von DDoS-Angriffen ist, dass sie aus vielen gleichzeitigen Anfragen bestehen, von denen jede einzeln ziemlich "legal" ist, außerdem werden diese Anfragen von Computern (mit Bots infiziert) gesendet, die durchaus zu den gewöhnlichsten echten oder potenziellen Benutzern gehören können des angegriffenen Dienstes oder der Ressource. Daher ist es sehr schwierig, mit Standardmitteln genau diejenigen Anfragen korrekt zu identifizieren und zu filtern, die einen DDoS-Angriff darstellen. Standardsysteme der Klasse IDS / IPS (Intrusion Detection / Prevention System) werden in diesen Anfragen keine "Corpus Delicti" finden, werden nicht verstehen, dass sie Teil eines Angriffs sind, es sei denn, sie führen eine qualitative Analyse von Verkehrsanomalien durch. Und selbst wenn sie es finden, ist es auch nicht so einfach, unnötige Anfragen zu filtern - Standard-Firewalls und -Router filtern den Verkehr anhand klar definierter Zugriffslisten (Kontrollregeln) und wissen nicht, wie sie sich "dynamisch" an das Profil eines bestimmten Benutzers anpassen können Attacke. Firewalls können den Datenverkehr basierend auf Kriterien wie Quelladressen, verwendeten Netzwerkdiensten, Ports und Protokollen anpassen. Aber an der DDoS-Attacke nehmen gewöhnliche Internetnutzer teil, die Anfragen über die gängigsten Protokolle senden – wird der Telekom-Betreiber alles und jeden verbieten? Dann stellt er einfach die Bereitstellung von Kommunikationsdiensten für seine Abonnenten ein und stellt den Zugriff auf die von ihm bedienten Netzwerkressourcen ein, was der Initiator des Angriffs tatsächlich erreichen möchte.

Viele Experten wissen wahrscheinlich um die Existenz spezieller Lösungen zum Schutz vor DDoS-Angriffen, die darin bestehen, Verkehrsanomalien zu erkennen, ein Verkehrs- und Angriffsprofil zu erstellen und die anschließende dynamische mehrstufige Verkehrsfilterung durchzuführen. Und ich werde in diesem Artikel auch über diese Lösungen sprechen, aber etwas später. Und zunächst werde ich über einige der weniger bekannten, aber manchmal recht effektiven Maßnahmen sprechen, die ergriffen werden können, um DDoS-Angriffe mit den vorhandenen Mitteln des Datenübertragungsnetzes und seiner Administratoren zu unterdrücken.

DDoS-Schutz mit verfügbaren Mitteln

Es gibt eine ganze Reihe von Mechanismen und „Tricks“, die es ermöglichen, in speziellen Fällen DDoS-Angriffe zu unterdrücken. Einige können nur verwendet werden, wenn das Datenübertragungsnetz auf Geräten eines bestimmten Herstellers aufgebaut ist, andere sind mehr oder weniger universell.

Beginnen wir mit den Empfehlungen von Cisco Systems. Das Unternehmen empfiehlt Network Foundation Protection, das die Control Plane, die Management Plane und die Data Plane umfasst.

Schutz der Managementebene

Der Begriff "Verwaltungsebene" umfasst den gesamten Verkehr, der Router und andere Netzwerkgeräte steuert oder überwacht. Dieser Verkehr wird zum Router geleitet oder stammt vom Router. Beispiele für solchen Verkehr sind Telnet-, SSH- und http(s)-Sitzungen, Syslog-Meldungen, SNMP-Traps. Zu den gängigen Best Practices gehören:

Gewährleistung der maximalen Sicherheit der Kontroll- und Überwachungsprotokolle durch Verschlüsselung und Authentifizierung:

• SNMP v3 bietet Sicherheitsmaßnahmen, während SNMP v1 praktisch keine bietet und SNMP v2 nur teilweise bereitstellt - die Standard-Community-Werte müssen immer geändert werden;
• unterschiedliche Werte für öffentliche und private Gemeinschaft sollten verwendet werden;
• das Telnet-Protokoll überträgt alle Daten, einschließlich Login und Passwort, im Klartext (wenn der Datenverkehr abgefangen wird, können diese Informationen leicht abgerufen und verwendet werden), es wird empfohlen, stattdessen immer das ssh v2-Protokoll zu verwenden;
• Verwenden Sie anstelle von HTTP https für den Hardwarezugriff; Starke Kontrollen des Hardwarezugriffs, einschließlich angemessener Kennwortrichtlinien, zentralisierter Authentifizierung, Autorisierung und Abrechnung (Modell AAA) und lokaler Authentifizierung für Redundanz.

Implementierung eines rollenbasierten Zugriffsmodells;

Kontrolle der erlaubten Verbindungen zur Quelladresse mittels Zugriffskontrolllisten;

Deaktivieren nicht verwendeter Dienste, von denen viele standardmäßig aktiviert sind (oder nach der Diagnose oder Systemkonfiguration vergessen wurden, sie zu deaktivieren);

Überwachung der Geräteressourcenauslastung.

Es lohnt sich, auf die letzten beiden Punkte genauer einzugehen.
Einige Dienste, die standardmäßig aktiviert sind oder die nach dem Konfigurieren oder Diagnostizieren der Hardware vergessen wurden, sie zu deaktivieren, können von Cyberkriminellen verwendet werden, um bestehende Sicherheitsregeln zu umgehen. Die Liste dieser Dienste ist unten:

• PAD (Paketassembler/Disassembler);

Bevor Sie diese Dienste deaktivieren, müssen Sie natürlich sorgfältig analysieren, ob sie in Ihrem Netzwerk nicht erforderlich sind.

Es ist wünschenswert, die Verwendung von Ausrüstungsressourcen zu überwachen. Dies ermöglicht es, einerseits die Überlastung einzelner Netzelemente rechtzeitig zu erkennen und Maßnahmen zur Unfallverhütung zu ergreifen, und andererseits DDoS-Angriffe und -Anomalien zu erkennen, wenn deren Erkennung nicht mit speziellen Mitteln vorgesehen ist. Es wird mindestens empfohlen, Folgendes zu überwachen:

• CPU-Last
• Speichernutzung
• Auslastung der Schnittstellen von Routern.

Die Überwachung kann "manuell" erfolgen (periodische Überwachung des Gerätezustands), besser ist dies natürlich mit speziellen Netzwerküberwachungs- oder Überwachungssystemen Informationssicherheit(letzteres beinhaltet Cisco MARS).

Schutz der Steuerungsebene

Die Netzwerkverwaltungsebene umfasst den gesamten Dienstverkehr, der die Funktion und Konnektivität des Netzwerks gemäß der angegebenen Topologie und Parameter gewährleistet. Beispiele für den Verkehr auf der Steuerebene sind der gesamte Verkehr, der für den Routenprozessor (RR) erzeugt oder bestimmt ist, einschließlich aller Routing-Protokolle, in einigen Fällen SSH und SNMP, und ICMP. Jeder Angriff auf die Funktionsfähigkeit des Routing-Prozessors, insbesondere DDoS-Angriffe, können zu erheblichen Problemen und Unterbrechungen der Netzwerkfunktion führen. Im Folgenden werden Best Practices zum Sichern der Steuerungsebene beschrieben.

Kontrollebenenüberwachung

Es verwendet QoS-Mechanismen (Quality of Service), um der Kontrolle des Flugzeugverkehrs eine höhere Priorität zu geben als dem Benutzerverkehr (zu dem Angriffe gehören). Dadurch wird der Betrieb der Dienstprotokolle und des Routing-Prozessors sichergestellt, d. h. die Topologie und Konnektivität des Netzwerks sowie das eigentliche Routing und Switching von Paketen erhalten.

IP-Empfangs-ACL

Diese Funktionalität ermöglicht das Filtern und Steuern des Dienstverkehrs, der für den Router und den Routing-Prozessor bestimmt ist.

• werden direkt auf die Routing-Ausrüstung angewendet, bevor der Verkehr den Routing-Prozessor erreicht, wodurch ein "persönlicher" Ausrüstungsschutz bereitgestellt wird;
• Sie werden angewendet, nachdem der Verkehr die üblichen ACLs passiert hat - sie sind die letzte Schutzschicht auf dem Weg zum Routing-Prozessor;
• gelten für den gesamten Verkehr (sowohl intern als auch extern und Transit in Bezug auf das Netz des Betreibers).

Infrastruktur-ACL

Normalerweise Zugriff auf eigene Adressen Routing-Ausrüstung ist nur für Hosts im eigenen Netz des Betreibers erforderlich, es gibt jedoch Ausnahmen (z. B. eBGP, GRE, IPv6 über IPv4-Tunnel und ICMP). Listen der Infrastrukturzugriffssteuerung:

• normalerweise an der Grenze des Netzes des Betreibers installiert ("am Eingang zum Netz");
• sollen verhindern, dass externe Hosts auf die Adressen der Infrastruktur des Betreibers zugreifen;
• einen ungehinderten Verkehrsdurchgang über die Grenzen des Netzes des Betreibers zu gewährleisten;
• bieten grundlegende Schutzmechanismen gegen unbefugte Netzwerkaktivitäten, beschrieben in RFC 1918, RFC 3330, insbesondere Schutz gegen Spoofing (Spoofing, die Verwendung gefälschter Quell-IP-Adressen zum Maskieren beim Starten eines Angriffs).

Nachbarauthentifizierung

Der Hauptzweck der Authentifizierung benachbarter Router besteht darin, Angriffe zu verhindern, die gefälschte Routingprotokollnachrichten senden, um das Routing im Netzwerk zu ändern. Solche Angriffe können zu unbefugtem Eindringen in das Netzwerk, unbefugter Nutzung führen. Netzwerkressourcen, sowie die Tatsache, dass ein Angreifer den Datenverkehr abfängt, um die erforderlichen Informationen zu analysieren und zu erhalten.

BGP konfigurieren

• BGP-Präfixfilter - werden verwendet, um zu verhindern, dass sich Informationen über die Routen des internen Netzwerks des Betreibers ins Internet ausbreiten (manchmal können diese Informationen für einen Angreifer sehr nützlich sein);
• Begrenzung der Anzahl von Präfixen, die von einem anderen Router empfangen werden können (Präfixbegrenzung) - zum Schutz vor DDoS-Angriffen, Anomalien und Ausfällen in den Netzwerken von Peering-Partnern;
• die Verwendung von BGP-Community-Parametern und deren Filterung kann auch verwendet werden, um die Verbreitung von Routing-Informationen einzuschränken;
• Die BGP-Überwachung und der Vergleich von BGP-Daten mit dem beobachteten Verkehr ist einer der Mechanismen zur Früherkennung von DDoS-Angriffen und -Anomalien;
• Filterung nach TTL-Parameter (Time-to-Live) - wird verwendet, um BGP-Peers zu überprüfen.

Wenn ein BGP-Angriff nicht vom Peer-to-Peer-Netzwerk, sondern von einem entfernteren Netzwerk gestartet wird, beträgt der TTL-Parameter von BGP-Paketen weniger als 255. Sie können die Grenzrouter des Netzbetreibers so konfigurieren, dass sie alle BGP-Pakete verwerfen mit einem TTL-Wert< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Schutz der Datenebene

Trotz der Bedeutung des Schutzes der Verwaltungs- und Kontrollebenen handelt es sich bei dem größten Teil des Verkehrs im Netz eines Betreibers um Daten im Transit oder für Abonnenten dieses Betreibers.

Unicast Reverse Path Forwarding (uRPF)

Häufig werden Angriffe mit Spoofing-Technologie gestartet – die IP-Adressen der Quelle werden gefälscht, damit die Quelle des Angriffs nicht zurückverfolgt werden kann. Gefälschte IP-Adressen können sein:

• aus dem tatsächlich genutzten Adressraum, aber in einem anderen Netzwerksegment (in dem Segment, von dem aus der Angriff gestartet wurde, werden diese gefälschten Adressen nicht geroutet);
• aus ungenutztem Adressraum in diesem Datenübertragungsnetz;
• aus einem Adressraum, der im Internet nicht routingfähig ist.

Die Implementierung des uRPF-Mechanismus auf Routern verhindert das Routing von Paketen mit Quelladressen, die in dem Netzwerksegment, von dem sie zur Router-Schnittstelle kamen, inkompatibel oder ungenutzt sind. Diese Technologie ermöglicht es manchmal, unerwünschten Datenverkehr so ​​nah wie möglich an seiner Quelle, also am effektivsten, herauszufiltern. Viele DDoS-Angriffe (einschließlich des berühmten Smurf and Tribal Flood Network) verwenden Spoofing und ständige Änderungen der Quelladresse, um zu täuschen Standardmittel Verkehrsschutz und -filterung.

Die Verwendung des uRPF-Mechanismus durch Telekommunikationsbetreiber, die Abonnenten den Zugang zum Internet ermöglichen, wird DDoS-Angriffe, die von ihren eigenen Abonnenten gegen Internetressourcen gerichtete Spoofing-Technologie verwenden, wirksam verhindern. Somit wird ein DDoS-Angriff am nächsten an seiner Quelle, also am effektivsten, unterdrückt.

Fernausgelöste Schwarze Löcher (RTBH)

Ferngetriggerte Schwarze Löcher werden verwendet, um Datenverkehr, der in das Netzwerk eindringt, durch Routing zu "dumpen" (zu zerstören, "nach Nirgendwo") zu senden dieses Verkehrs auf spezielle Schnittstellen Null 0. Diese Technologie Es wird empfohlen, es am Netzwerkrand zu verwenden, um Datenverkehr, der einen DDoS-Angriff enthält, beim Eintritt in das Netzwerk zu entleeren. Die Einschränkung (und Bedeutung) dieser Methode besteht darin, dass sie für den gesamten Datenverkehr gilt, der für einen bestimmten Host oder Hosts bestimmt ist, die das Ziel des Angriffs sind. Somit kann dieses Verfahren in Fällen verwendet werden, in denen ein oder mehrere Hosts einem massiven Angriff ausgesetzt sind, der nicht nur für die angegriffenen Hosts, sondern auch für andere Teilnehmer und das Netz des Betreibers insgesamt Probleme verursacht.

Schwarze Löcher können entweder manuell oder über BGP verwaltet werden.

QoS-Richtlinienverbreitung über BGP (QPPB)

Mit QoS Control over BGP (QPPB) können Sie Prioritätsrichtlinien für den Datenverkehr steuern, der für ein bestimmtes autonomes System oder einen Block von IP-Adressen bestimmt ist. Dieser Mechanismus kann für Telekommunikationsbetreiber und große Unternehmen sehr nützlich sein, einschließlich der Verwaltung der Prioritätsstufe für unerwünschter Verkehr oder Datenverkehr, der einen DDoS-Angriff enthält.

Spüllöcher

In einigen Fällen ist es erforderlich, den Verkehr nicht vollständig mithilfe von Schwarzen Löchern zu entfernen, sondern ihn für die anschließende Überwachung und Analyse von den Hauptkanälen oder Ressourcen abzulenken. Dafür sind die "Abzweigkanäle" oder Sink Holes da.

Senklöcher werden am häufigsten in den folgenden Situationen verwendet:

• um Verkehr mit Zieladressen umzuleiten und zu analysieren, die zum Adressraum des Netzes des Betreibers gehören, aber nicht tatsächlich verwendet werden (sie wurden weder Geräten noch Benutzern zugewiesen); dieser Datenverkehr ist von vornherein verdächtig, da er oft darauf hindeutet, dass ein Angreifer versucht, Ihr Netzwerk zu scannen oder einzudringen, der keine detaillierten Informationen über seine Struktur hat;
• um den Datenverkehr vom Angriffsziel, der eine echte Ressource im Netz des Betreibers ist, für seine Überwachung und Analyse umzuleiten.

DDoS-Schutz mit speziellen Tools

Cisco Clean Pipes-Konzept – Der Pionier der Branche

Das moderne Konzept zum Schutz vor DDoS-Angriffen wurde (ja, Sie werden nicht überrascht sein! :)) von Cisco Systems entwickelt. Das von Cisco entwickelte Konzept heißt Cisco Clean Pipes. In einem vor fast 10 Jahren ausführlich entwickelten Konzept wurden die Grundprinzipien und Technologien zum Schutz vor Verkehrsanomalien ausführlich beschrieben, die auch heute noch größtenteils, auch von anderen Herstellern, verwendet werden.

Das Cisco Clean Pipes-Konzept geht von den folgenden Prinzipien zur Erkennung und Abwehr von DDoS-Angriffen aus.

Es werden Punkte (Abschnitte des Netzes) ausgewählt, deren Verkehr analysiert wird, um Anomalien zu identifizieren. Je nachdem, was wir schützen, können solche Punkte Peer-to-Peer-Verbindungen eines Telekommunikationsbetreibers mit vorgelagerten Betreibern, Verbindungspunkte von nachgelagerten Betreibern oder Teilnehmern, Kanäle zum Anschluss von Rechenzentren an das Netzwerk sein.

Spezielle Detektoren analysieren den Verkehr an diesen Punkten, erstellen (studieren) ein Verkehrsprofil im Normalzustand, wenn ein DDoS-Angriff oder eine Anomalie auftritt, erkennen sie ihn, untersuchen ihn und formen seine Eigenschaften dynamisch. Darüber hinaus werden die Informationen vom Systembetreiber analysiert und in einem halbautomatischen oder automatischer Modus der Angriffsunterdrückungsprozess beginnt. Unterdrückung bedeutet, dass der für das "Opfer" bestimmte Verkehr dynamisch durch eine Filtervorrichtung umgeleitet wird, die vom Detektor erzeugte Filter auf diesen Verkehr anwendet, die die individuelle Art des Angriffs widerspiegeln. Der bereinigte Verkehr wird ins Netz injiziert und an den Empfänger gesendet (daher entstand der Name Clean Pipes - der Abonnent erhält einen "sauberen Kanal", der keinen Angriff enthält).

Somit umfasst der gesamte DDoS-Schutzzyklus die folgenden Hauptphasen:

• Training der Verkehrssteuerungsmerkmale (Profiling, Baseline Learning)
• Erkennung von Angriffen und Anomalien (Detection)
• Umleiten von Verkehr, um ihn durch eine Umleitung zu leiten
• Filtern des Datenverkehrs, um Angriffe zu unterdrücken (Mitigation)
• Einschleusen von Datenverkehr in das Netzwerk und Senden an den Adressaten (Injection).

Mehrere Funktionen.
Als Detektoren können zwei Arten von Geräten verwendet werden:

• Die von Cisco Systems hergestellten Detektoren sind Cisco Traffic Anomaly Detector Services Module, die für den Einbau in das Cisco 6500/7600-Chassis entwickelt wurden.
• Arbor Networks-Detektoren sind Arbor Peakflow SP CP-Geräte.

Unten finden Sie eine Tabelle, in der Cisco- und Arbor-Detektoren verglichen werden.

Parameter	Cisco Traffic Anomaly Detector	Arbor Peakflow SP CP
Abrufen von Verkehrsinformationen zur Analyse	Verkehrskopie, die dem Cisco 6500/7600-Chassis zugewiesen ist, wird verwendet	Von Routern empfangene Netflow-Verkehrsdaten werden verwendet, Sampling kann angepasst werden (1: 1, 1: 1.000, 1: 10.000 usw.)
Verwendete Erkennungsprinzipien	Signaturanalyse (Missuse Detection) und Erkennung von Anomalien (dynamischProfilerstellung)	Überwiegend Anomalieerkennung; Signaturanalyse wird verwendet, Signaturen sind jedoch generisch
Formfaktor	Servicemodule im Cisco 6500/7600 Chassis	separate Geräte (Server)
Leistung	Datenverkehr bis 2 Gbit/s wird analysiert	Nahezu unbegrenzt (Sie können die Abtastrate reduzieren)
Skalierbarkeit	Installation von bis zu 4 ModulenCiscoDetektorSMin einem Chassis (die Module arbeiten jedoch unabhängig voneinander)	Die Möglichkeit, mehrere Geräte innerhalb eines einzigen Analysesystems zu verwenden, von denen eines den Leader-Status erhält
Überwachung von Verkehr und Routing im Netzwerk	Fast keine Funktion	Die Funktionalität ist sehr fortschrittlich. Viele Telekommunikationsbetreiber kaufen Arbor Peakflow SP wegen der umfangreichen und hochentwickelten Funktionen zur Überwachung des Datenverkehrs und des Routings im Netzwerk.
Bereitstellung eines Portals (eine individuelle Schnittstelle für einen Teilnehmer, die es ermöglicht, nur den Teil des Netzwerks zu überwachen, der direkt mit ihm verbunden ist)	Nicht bereitgestellt	Bereitgestellt. Dies ist ein gravierender Vorteil dieser Lösung, da ein Telekommunikationsanbieter seinen Abonnenten einzelne Dienste zum DDoS-Schutz verkaufen kann.
Kompatible Verkehrsreiniger (Angriffsmilderer)	Cisco Wachdienstmodul	Arbor Peakflow SP-TMS; Cisco Guard Services-Modul.
	Schutz von Rechenzentren beim Herstellen einer Internetverbindung Überwachung nachgelagerter Verbindungen von Teilnehmernetzen zum Netz des Betreibers	Erkennung von Angriffen aufstromaufwärts-Anbindungen des Netzes des Betreibers an die Netze übergeordneter Anbieter Überwachung des Operator-Backbone

In der letzten Zeile der Tabelle sind die von Cisco Systems empfohlenen Cisco- und Arbor-Detektorszenarien aufgeführt. Diese Szenarien sind in der folgenden Abbildung dargestellt.

Als Traffic-Scrubber empfiehlt Cisco die Verwendung des Cisco Guard-Servicemoduls, das im Cisco 6500/7600-Chassis installiert ist, und auf Befehl des Cisco Detector oder des Arbor Peakflow SP CP dynamische Umleitung, Scrubbing und Traffic Re- das Einfügen in das Netzwerk erfolgt. Umleitungsmechanismen sind entweder BGP-Updates an Upstream-Router oder direkte Steuerbefehle an den Supervisor unter Verwendung eines proprietären Protokolls. Bei der Verwendung von BGP-Updates erhält der Upstream-Router einen neuen Nex-Hop-Wert für den Verkehr, der den Angriff enthält – damit dieser Verkehr zum Scavenger-Server geht. Gleichzeitig ist darauf zu achten, dass diese Informationen nicht die Organisation einer Schleife nach sich ziehen (damit der Downstream-Router beim Einspeisen von bereinigtem Verkehr nicht versucht, diesen Verkehr wieder an das Reinigungsgerät zurückzugeben). Dazu können Mechanismen verwendet werden, um die Verteilung von BGP-Updates durch den Community-Parameter oder die Verwendung von GRE-Tunneln bei der Eingabe von bereinigtem Verkehr zu steuern.

Dieser Zustand hielt an, bis Arbor Networks seine Peakflow SP-Produktlinie mit einer vollständig eigenständigen DDoS-Schutzlösung auf den Markt brachte.

Arbor Peakflow SP TMS eingeführt

Vor einigen Jahren beschloss Arbor Networks, seine DDoS-Schutzproduktlinie unabhängig und unabhängig vom Tempo und der Entwicklungspolitik dieser Richtung bei Cisco zu entwickeln. Peakflow SP CP-Lösungen hatten grundlegende Vorteile gegenüber Cisco Detector, da sie Flussinformationen mit der Möglichkeit zur Anpassung der Abtastrate analysierten und daher keine Einschränkungen bei der Verwendung in Netzwerken von Telekommunikationsbetreibern und Backbones hatten (im Gegensatz zu Cisco Detector, das eine Kopie von Verkehr). Darüber hinaus war ein gravierender Vorteil von Peakflow SP die Möglichkeit für Betreiber, ihren Abonnenten einen maßgeschneiderten Service zur Überwachung und zum Schutz ihrer Netzwerksegmente anzubieten.

Als Reaktion auf diese und andere Überlegungen hat Arbor die Peakflow SP-Produktlinie erheblich erweitert. Eine Reihe neuer Geräte sind erschienen:

Peakflow SP TMS (Threat-Management-System)- Unterdrückt DDoS-Angriffe durch mehrstufige Filterung basierend auf Daten, die von Peakflow SP CP und vom ASERT-Labor von Arbor Networks erhalten wurden, das DDoS-Angriffe im Internet überwacht und analysiert;

Peakflow SP BI (Business Intelligence)- Geräte, die die Skalierung des Systems gewährleisten, die Anzahl der zu überwachenden logischen Objekte erhöhen und eine Redundanz für die gesammelten und analysierten Daten bereitstellen;

Peakflow SP PI (Portalschnittstelle)- Geräte, die eine Erhöhung der Abonnentenzahl ermöglichen, die mit einer individuellen Schnittstelle zur Verwaltung ihrer eigenen Sicherheit ausgestattet sind;

Peakflow SP FS (Durchflussmesser)- Geräte, die Teilnehmerrouter, Verbindungen zu nachgelagerten Netzwerken und Rechenzentren überwachen.

Die Prinzipien des Arbor Peakflow SP-Systems sind weitgehend gleich geblieben wie bei den Cisco Clean Pipes, jedoch entwickelt und verbessert Arbor seine Systeme regelmäßig, sodass bei dieser Moment Die Funktionalität von Arbor-Produkten ist in vielerlei Hinsicht besser als die von Cisco, einschließlich der Leistung.

Bis heute kann die maximale Leistung des Cisco Guard erreicht werden, indem ein Cluster von 4 Guard-Modulen in einem Cisco 6500/7600-Chassis erstellt wird, während ein vollständiges Clustering dieser Geräte nicht implementiert wurde. Gleichzeitig haben die oberen Arbor Peakflow SP TMS-Modelle eine Leistung von bis zu 10 Gbit/s und können wiederum geclustert werden.

Nachdem Arbor begann, sich als unabhängiger Akteur auf dem Markt für die Erkennung und Unterdrückung von DDoS-Angriffen zu positionieren, begann Cisco nach einem Partner zu suchen, der ihm die dringend benötigte Überwachung der Daten des Netzwerkverkehrs bietet, aber kein direkter Wettbewerber ist . Ein solches Unternehmen war Narus, das auf Datenflussdaten basierende Verkehrsüberwachungssysteme (NarusInsight) herstellt und eine Partnerschaft mit Cisco Systems einging. Diese Partnerschaft hat jedoch keine ernsthafte Entwicklung und Präsenz auf dem Markt erfahren. Darüber hinaus plant Cisco einigen Berichten zufolge nicht, in seine Lösungen Cisco Detector und Cisco Guard zu investieren, sondern diese Nische der Gnade von Arbor Networks zu überlassen.

Einige Funktionen von Cisco- und Arbor-Lösungen

Es ist erwähnenswert, einige der Funktionen der Cisco- und Arbor-Lösungen zu erwähnen.

1. Cisco Guard kann sowohl in Verbindung mit dem Detektor als auch unabhängig verwendet werden. Im letzteren Fall wird es in den Inline-Modus versetzt und führt die Funktionen eines Detektors durch, indem es den Verkehr analysiert und gegebenenfalls Filter aktiviert und den Verkehr bereinigt. Der Nachteil dieses Modus besteht darin, dass erstens ein zusätzlicher potenzieller Fehlerpunkt hinzugefügt wird und zweitens eine zusätzliche Verkehrsverzögerung (obwohl sie klein ist, bis der Filtermechanismus eingeschaltet wird). Der empfohlene Modus für Cisco Guard wartet auf einen Befehl, um den Datenverkehr mit einem Angriff umzuleiten, zu filtern und wieder in das Netzwerk einzuschleusen.
2. Arbor Peakflow SP TMS-Geräte können auch im Off-Ramp- und Inline-Modus betrieben werden. Im ersten Fall wartet das Gerät passiv auf einen Befehl, um den Datenverkehr mit dem Angriff umzuleiten, um ihn zu bereinigen und wieder in das Netzwerk einzuschleusen. Im zweiten leitet es den gesamten Verkehr durch sich selbst, generiert auf seiner Basis Daten im Arborflow-Format und übermittelt diese an Peakflow SP CP zur Analyse und Erkennung von Angriffen. Arborflow ist ein ähnliches Format wie Netflow, wurde jedoch von Arbor für ihre Peakflow SP-Systeme modifiziert. Peakflow SP CP überwacht den Datenverkehr und erkennt Angriffe basierend auf den vom TMS empfangenen Arborflow-Daten. Wenn ein Angriff erkannt wird, gibt der Peakflow SP CP-Operator einen Befehl zur Unterdrückung des Angriffs, woraufhin TMS Filter aktiviert und den Datenverkehr vom Angriff säubert. Im Gegensatz zu Cisco kann der Peakflow SP TMS-Server nicht alleine betrieben werden, sondern erfordert einen Peakflow SP CP-Server, um die Datenverkehrsanalyse durchzuführen.
3. Heute sind sich die meisten Experten einig, dass die Aufgaben des Schutzes lokaler Netzabschnitte (zum Beispiel der Anschluss von Rechenzentren oder der Anschluss nachgelagerter Netze) effektiv sind

Wahrscheinlich haben viele moderne Computer- und Internetbenutzer von DDoS-Angriffen gehört, die von Cyberkriminellen gegen Websites oder Server großer Unternehmen ausgeführt werden. Sehen wir uns an, was ein DDoS-Angriff ist, wie Sie ihn selbst durchführen und wie Sie sich vor solchen Aktionen schützen können.

Was ist ein DDoS-Angriff?

Zunächst lohnt es sich vielleicht herauszufinden, was solche illegalen Handlungen sind. Bedenken wir gleich, dass beim Thema "DDoS-Attacke: So geht's selbst" die Informationen lediglich zur Information und nicht zum praktischen Gebrauch zur Verfügung gestellt werden. Alle Handlungen dieser Art sind strafbar.

Der Angriff selbst ist im Großen und Ganzen das Senden einer ausreichend großen Anzahl von Anfragen an einen Server oder eine Site, die bei Überschreiten des Limits der Anfragen den Betrieb einer Webressource oder des Dienstes eines Providers in Form eines Herunterfahrens blockieren den Server mit Sicherheitssoftware, Firewalls oder Spezialausrüstung.

Es ist klar, dass ein Do-it-yourself-DDoS-Angriff nicht von einem Benutzer von einem Computerterminal aus ohne spezielle Programme erstellt werden kann. Am Ende wird er nicht tagelang sitzen und jede Minute Anfragen an die angegriffene Seite senden. Eine solche Anzahl wird nicht funktionieren, da jeder Anbieter einen Schutz vor DDoS-Angriffen hat und ein Nutzer nicht in der Lage ist, eine solche Anzahl von Anfragen an einen Server oder eine Website zu stellen, die in kurzer Zeit das Anfragelimit überschreiten und verschiedene Schutzmechanismen auslösen würden. Sie müssen also etwas anderes verwenden, um Ihren eigenen Angriff zu erstellen. Aber dazu später mehr.

Warum gibt es eine Bedrohung?

Wenn Sie herausfinden, was ein DDoS-Angriff ist, wie er durchgeführt wird und eine übermäßige Anzahl von Anfragen an den Server gesendet wird, lohnt es sich, die Mechanismen zu berücksichtigen, mit denen solche Aktionen ausgeführt werden.

Dies können unzuverlässige sein, die eine große Anzahl von Anfragen nicht bewältigen können, Lücken im Sicherheitssystem des Anbieters oder in den "Betriebssystemen" selbst, fehlende Systemressourcen zur Verarbeitung eingehender Anfragen mit weiterem Einfrieren des Systems oder Notabschaltung usw.

Zu Beginn dieses Phänomens wurde der DDoS-Angriff mit eigenen Händen hauptsächlich von den Programmierern selbst durchgeführt, die mit ihrer Hilfe die Leistungsfähigkeit von Schutzsystemen erstellt und getestet haben. Übrigens litten sogar IT-Giganten wie Yahoo, Microsoft, eBay, CNN und viele andere unter den Aktionen von Cyberkriminellen, die DoS- und DDoS-Komponenten als Waffen einsetzten. Der entscheidende Punkt in diesen Situationen war der Versuch, Wettbewerber durch die Beschränkung des Zugangs zu ihren Internetressourcen auszuschalten.

Im Allgemeinen tun moderne E-Händler dasselbe. Dazu lädt man sich einfach ein Programm für DDoS-Angriffe herunter und dann ist es, wie man sagt, eine Frage der Technik.

Arten von DDoS-Angriffen

Nun ein paar Worte zur Klassifizierung von Angriffen dieser Art. Die Hauptsache für alle ist, den Server oder die Site zu deaktivieren. Der erste Typ umfasst Fehler im Zusammenhang mit dem Senden falscher Anweisungen an den Server zur Ausführung, wodurch anormale Beendigung Seine Arbeiten. Die zweite Möglichkeit ist das Massenversand von Nutzdaten, was zu einer endlosen (zyklischen) Prüfung mit einer erhöhten Belastung der Systemressourcen führt.

Der dritte Typ ist Überschwemmung. Dies ist in der Regel die Aufgabe von zuvor falsch gebildeten (sinnlosen) Anfragen an die Server oder Netzwerkgeräte, um die Belastung zu erhöhen. Die vierte Art ist das sogenannte Verstopfen von Kommunikationskanälen mit falschen Adressen. Es kann auch ein Angriff verwendet werden, der dazu führt, dass in den meisten Computersystem die Konfiguration ändert sich, was zur vollständigen Funktionsunfähigkeit führt. Im Allgemeinen kann die Liste lang sein.

DDoS-Angriff auf die Website

In der Regel ist ein solcher Angriff mit einem bestimmten Hosting verbunden und richtet sich ausschließlich gegen eine vorgegebene Webressource (im Beispiel auf dem Foto unten wird sie konventionell als example.com bezeichnet).

Bei zu vielen Aufrufen der Site kommt es zu Kommunikationsabbrüchen aufgrund der Blockierung der Kommunikation nicht durch die Site selbst, sondern durch den Serverteil des Provider-Dienstes bzw. nicht einmal durch den Server selbst oder das Sicherheitssystem, sondern durch den Support-Service. Mit anderen Worten, solche Angriffe zielen darauf ab, sicherzustellen, dass der Hosting-Eigentümer bei Überschreiten eines bestimmten vertraglichen Datenverkehrslimits einen Denial-of-Service vom Provider erhält.

DDoS-Angriff auf den Server

Serverangriffe richten sich hier nicht gegen ein bestimmtes Hosting, sondern gegen den Anbieter, der diese bereitstellt. Es spielt keine Rolle, dass die Website-Besitzer darunter leiden können. Das Hauptopfer ist der Anbieter.

DDoS-Angriffsanwendung

Jetzt kommen wir zu einem Verständnis dafür, wie man es mit spezialisierten Dienstprogrammen macht, wir werden es jetzt herausfinden. Wir stellen sofort fest, dass Anwendungen dieser Art nicht besonders klassifiziert werden. Sie stehen im Internet zum kostenlosen Download bereit. So ist beispielsweise das einfachste und bekannteste Programm für DDoS-Angriffe namens LOIC frei verfügbar in Das Internet Zum Laden. Es kann nur Sites und Terminals mit zuvor bekannten URL- und IP-Adressen angreifen.

Aus ethischen Gründen werden wir jetzt nicht darüber nachdenken, wie wir die IP-Adresse des Opfers erhalten. Wir gehen davon aus, dass wir die Ausgangsdaten haben.

Zum Starten der Anwendung wird die ausführbare Datei Loic.exe verwendet, danach werden in den oberen beiden Zeilen auf der linken Seite die Quelladressen eingetragen und dann zwei Buttons "Lock on" gedrückt - etwas rechts gegenüber jeder Zeile. Danach erscheint die Adresse unseres Opfers im Fenster.

Darunter befinden sich Schieberegler zum Anpassen der Anforderungsübertragungsrate für TCP / UDF und HTTP. Standardmäßig ist der Wert auf "10" eingestellt. Erhöhen Sie es bis zum Limit und drücken Sie dann den großen Knopf "IMMA CHARGIN MAH LAZER", um den Angriff zu starten. Sie können es stoppen, indem Sie dieselbe Taste erneut drücken.

Natürlich kann ein solches Programm, das oft als "Laserkanone" bezeichnet wird, keiner ernsthaften Ressource oder einem seriösen Anbieter Probleme bereiten, da der Schutz vor DDoS-Angriffen dort recht stark ist. Aber wenn eine Gruppe von Leuten ein Dutzend oder mehr dieser Waffen gleichzeitig benutzt, kann man etwas erreichen.

DDoS-Schutz

Auf der anderen Seite sollte jeder, der versucht, einen DDoS-Angriff zu versuchen, verstehen, dass es auch auf der "anderen" Seite keine Dummköpfe gibt. Sie können leicht die Adressen herausfinden, von denen aus ein solcher Angriff erfolgt, und dies ist mit den schlimmsten Folgen verbunden.

Was normale Hosting-Besitzer angeht, so stellt der Anbieter in der Regel sofort ein Leistungspaket mit entsprechendem Schutz zur Verfügung. Es gibt viele Möglichkeiten, solche Aktionen zu verhindern. Dies bedeutet beispielsweise, einen Angriff auf einen Angreifer umzuleiten, eingehende Anfragen auf mehrere Server umzuleiten, Datenverkehr zu filtern, Schutzsysteme zu duplizieren, um Fehlalarme zu verhindern, Ressourcen zu erhöhen usw. Im Großen und Ganzen muss sich ein normaler Benutzer keine Sorgen machen.

Statt Nachwort

Es scheint, dass aus diesem Artikel klar wird, dass es nicht schwierig sein wird, mit spezieller Software und einigen Ausgangsdaten selbst einen DDoS-Angriff durchzuführen. Eine andere Sache ist, ob es sich lohnt, dies zu tun, und selbst ein unerfahrener Benutzer hat sich entschieden, sich also aus sportlichen Gründen zu verwöhnen? Jeder sollte verstehen, dass sein Handeln in jedem Fall zu Vergeltungsmaßnahmen der angegriffenen Seite führt und in der Regel nicht zu Gunsten des Benutzers, der den Angriff gestartet hat. Aber nach dem Strafgesetzbuch der meisten Länder können Sie solche Aktionen, wie sie sagen, an Orten bekommen, die für ein paar Jahre nicht so weit entfernt sind. Wer will das?

Auf einem Computersystem, um es zum Ausfall zu bringen, d. h. die Schaffung von Bedingungen, unter denen legale (berechtigte) Benutzer des Systems nicht auf die vom System bereitgestellten Ressourcen (Server) zugreifen können oder dieser Zugriff erschwert wird. Auch der Ausfall eines "feindlichen" Systems kann ein Schritt zur Beherrschung des Systems sein (wenn die Software im Notfall kritische Informationen ausgibt - zum Beispiel eine Version, ein Teil des Programmcodes etc.). Aber häufiger ist es ein Maß für den wirtschaftlichen Druck: Ausfallzeiten eines Dienstes, der Einnahmen generiert, Rechnungen des Anbieters und Maßnahmen zur Abwehr eines Angriffs treffen deutlich am Ziel.

Wird von vielen Computern gleichzeitig ein Angriff ausgeführt, spricht man von DDoS-Angriff(aus dem Englischen. Verteilter Denial-of-Service, verteilter Denial-of-Service-Angriff). In einigen Fällen wird der eigentliche DDoS-Angriff durch eine unbeabsichtigte Aktion ausgelöst, beispielsweise durch das Setzen eines Links auf eine beliebte Internetressource zu einer Site, die auf einem nicht sehr produktiven Server gehostet wird (Slashdot-Effekt). Ein großer Zustrom von Benutzern führt zu einer Überschreitung der zulässigen Belastung des Servers und in der Folge zu einem Denial-of-Service für einige von ihnen.

Arten von DoS-Angriffen

Es gibt verschiedene Gründe für einen DoS-Zustand:

• Fehler im Programmcode, was zu einem Zugriff auf ein ungenutztes Fragment des Adressraums, der Ausführung eines ungültigen Befehls oder einer anderen unbehandelten Ausnahmesituation führt, wenn eine abnormale Beendigung des Serverprogramms – des Serverprogramms – auftritt. Ein klassisches Beispiel ist die Nullpunktumkehr (eng. Null) die Anschrift.
• Unzureichende Validierung der Benutzerdaten die zu einem unendlichen oder langen Zyklus oder einem erhöhten langfristigen Verbrauch von Prozessorressourcen (bis zur Erschöpfung der Prozessorressourcen) oder der Zuweisung einer großen Menge führen Arbeitsspeicher(bis zur Erschöpfung des verfügbaren Speichers).
• Flut(engl. Flut- "Flood", "Overflow") - ein Angriff, der mit einer großen Anzahl von normalerweise bedeutungslosen oder falsch formatierten Anfragen an ein Computersystem oder eine Netzwerkausrüstung verbunden ist, die auf einen Systemausfall aufgrund der Erschöpfung der Systemressourcen abzielen oder zu einem Systemausfall führen - einen Prozessor , Speicher oder Kommunikationskanäle.
• Angriff vom Typ II- ein Angriff, der versucht, eine Fehlfunktion des Schutzsystems zu verursachen und damit zur Nichtverfügbarkeit einer Ressource zu führen.

Wird ein Angriff (meist ein Flood) gleichzeitig von einer Vielzahl von IP-Adressen – von mehreren im Netzwerk verteilten Rechnern – durchgeführt, dann heißt es in diesem Fall verteilt Denial-of-Service-Angriff ( DDoS).

Fehler ausnutzen

Ausbeuten bezieht sich auf ein Programm, einen Programmcode oder eine Sequenz Programmbefehle die Schwachstellen in Software ausnutzen und dazu dienen, Angriffe auf ein Cybersystem durchzuführen. Zu den Exploits, die zu einem DoS-Angriff führen, aber ungeeignet, um beispielsweise die Kontrolle über ein "feindliches" System zu übernehmen, zählen WinNuke und Ping of Death zu den bekanntesten.

Flut

Zu einer Überschwemmung als Verstoß gegen die Netiquette siehe Überschwemmung.

Flut einen riesigen Strom sinnloser Anfragen von verschiedenen Rechnern aufrufen, um das "feindliche" System (Prozessor, RAM oder Kommunikationskanal) mit Arbeit zu belegen und damit temporär zu deaktivieren. Der Begriff „DDoS-Angriff“ ist praktisch gleichbedeutend mit dem Begriff „Flood“ und wird im Alltag oft synonym verwendet („flood the server“ = „override the DDoS server“).

Um eine Flut zu erzeugen, können sowohl gewöhnliche Netzwerk-Dienstprogramme wie Ping (dies ist beispielsweise von der Internet-Community "Upyachka" bekannt) als auch spezielle Programme verwendet werden. DDoS-Fähigkeiten werden oft in Botnets "eingenäht". Wird eine Cross-Site-Scripting-Schwachstelle oder die Möglichkeit, Bilder aus anderen Ressourcen einzubinden, auf einer Site mit hohem Datenverkehr gefunden, kann diese Site auch für einen DDoS-Angriff genutzt werden.

Überflutung von Kommunikationskanal und TCP-Subsystem

Jeder Computer, der über TCP/IP mit der Außenwelt kommuniziert, unterliegt folgenden Arten von Überflutungen:

• SYN-Flood - Bei dieser Art von Flood-Angriff wird eine große Anzahl von SYN-Paketen über das TCP-Protokoll (Anforderungen zum Öffnen einer Verbindung) an den angegriffenen Host gesendet. Gleichzeitig ist die Anzahl der zum Öffnen verfügbaren Sockets (Software-Netzwerk-Sockets, Ports) auf dem angegriffenen Rechner nach kurzer Zeit erschöpft und der Server reagiert nicht mehr.
• UDP-Flood - Diese Art von Flood greift nicht den Zielcomputer an, sondern seinen Kommunikationskanal. ISPs gehen vernünftigerweise davon aus, dass UDP-Pakete zuerst zugestellt werden sollten und TCP warten kann. Große Menge UDP-Pakete unterschiedlicher Größe verstopfen den Kommunikationskanal und der Server, der über das TCP-Protokoll läuft, reagiert nicht mehr.
• ICMP-Flood - das gleiche, aber mit ICMP-Paketen.

Flut auf Anwendungsebene

Viele Dienste sind so konzipiert, dass eine kleine Anfrage einen großen Verbrauch an Rechenleistung auf dem Server verursachen kann. Dabei wird nicht der Kommunikationskanal oder das TCP-Subsystem angegriffen, sondern der Dienst selbst (Service) selbst – durch eine Flut solcher „kranker“ Anfragen. Webserver sind beispielsweise anfällig für HTTP-Flooding - ein einfaches GET / oder eine komplexe Datenbankabfrage wie GET /index.php?search= kann verwendet werden, um einen Webserver zu deaktivieren.<случайная строка> .

Erkennung von DoS-Angriffen

Es wird davon ausgegangen, dass spezielle Tools zur Erkennung von DoS-Angriffen nicht erforderlich sind, da die Tatsache eines DoS-Angriffs nicht übersehen werden kann. In vielen Fällen stimmt dies. Allerdings wurden nicht selten erfolgreiche DoS-Attacken beobachtet, die von den Opfern erst nach 2-3 Tagen bemerkt wurden. Es geschah, dass die negativen Folgen des Angriffs ( Flut Angriffe) führten zu unnötigen Kosten für die Bezahlung von übermäßigem Internet-Traffic, was sich erst beim Erhalt einer Rechnung eines Internet-Providers zeigte. Darüber hinaus sind viele Intrusion Detection-Methoden in der Nähe des Ziels wirkungslos, auf Netzwerk-Backbones jedoch effektiv. In diesem Fall ist es ratsam, die Erkennungssysteme dort zu installieren und nicht darauf zu warten, dass der angegriffene Benutzer dies bemerkt und um Hilfe bittet. Darüber hinaus ist es zur effektiven Abwehr von DoS-Angriffen erforderlich, die Art, die Art und andere Merkmale von DoS-Angriffen zu kennen, und Erkennungssysteme ermöglichen es Ihnen, diese Informationen schnell zu erhalten.

Die Methoden zur Erkennung von DoS-Angriffen können in mehrere große Gruppen unterteilt werden:

• signaturbasiert - basierend auf qualitativer Verkehrsanalyse.
• statistisch - basierend auf quantitativer Verkehrsanalyse.
• hybrid (kombiniert) - kombiniert die Vorteile der beiden oben genannten Methoden.

DoS-Schutz

Abwehrmaßnahmen gegen DoS-Angriffe lassen sich in passiv und aktiv sowie präventiv und reaktiv unterteilen.

Nachfolgend finden Sie eine kurze Liste der wichtigsten Methoden.

• Verhütung. Verhinderung von Gründen, die bestimmte Personen veranlassen, DoS-Angriffe zu organisieren und durchzuführen. (Sehr oft sind Cyberangriffe im Allgemeinen das Ergebnis persönlicher Beschwerden, politischer, religiöser und anderer Meinungsverschiedenheiten, provozierendes Verhalten des Opfers usw.)
• Filterung und Blackholing. Blockieren des Datenverkehrs von angreifenden Maschinen. Die Effektivität dieser Methoden nimmt ab, wenn Sie sich dem Angriffsziel nähern, und nimmt zu, wenn Sie sich der angreifenden Maschine nähern.
• DDOS umkehren- Umleiten des für den Angriff verwendeten Datenverkehrs an den Angreifer.
• Beseitigung von Schwachstellen. Wirkt nicht gegen Flut- Angriffe, bei denen die "Schwachstelle" die Endlichkeit bestimmter Systemressourcen ist.
• Aufbau von Ressourcen. Natürlich bietet es keinen absoluten Schutz, aber es ist ein guter Hintergrund für die Anwendung anderer Schutzarten gegen DoS-Angriffe.
• Dispersion. Erstellen von verteilten und duplizierenden Systemen, die nicht aufhören, Benutzer zu bedienen, selbst wenn einige ihrer Elemente aufgrund eines DoS-Angriffs nicht verfügbar sind.
• Ausweichen. Verlagerung des unmittelbaren Angriffsziels (Domainname oder IP-Adresse) von anderen Ressourcen, die oft zusammen mit dem direkten Angriffsziel ebenfalls betroffen sind.
• Proaktive Reaktion. Auswirkungen auf Quellen, Veranstalter oder Angriffskontrollzentrum, sowohl durch künstliche als auch durch organisatorische und rechtliche Mittel.
• Einsatz von Geräten zur Abwehr von DoS-Angriffen. Zum Beispiel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® und andere Hersteller.
• Erwerb eines Dienstes zum Schutz vor DoS-Angriffen. Relevant, wenn die Flut die Bandbreite des Netzwerkkanals überschreitet.

siehe auch

Notizen (Bearbeiten)

Literatur

• Chris Kaspersky Computer Virus drinnen und draußen. - Petrus. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse typischer Sicherheitsverletzungen in Netzwerken = Intrusion Signatures and Analysis. - New Riders Publishing (Englisch) SPb.: Verlag "Williams" (Russisch), 2001. - S. 464. - ISBN 5-8459-0225-8 (Russisch), 0-7357-1063-5 (Englisch)
• Morris, R. T= Eine Schwachstelle in der 4.2BSD Unix TCP/IP Software. - Technischer Bericht Nr. 117 der Computerwissenschaft. - AT&T Bell Laboratories, Februar 1985.
• Bellovin, S.M.= Sicherheitsprobleme in der TCP/IP-Protokollsuite. - Computerkommunikations-Rezension, Vol. 2, No. 19, Nr.2. - AT&T Bell Laboratories, April 1989.
• = daemon9 / route / infinity "IP-Spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, Juli 1996.
• = daemon9 / route / unendlich "Projekt Neptun". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, Juli 1996.

Links

• DoS Angriff im Linkverzeichnis des Open Directory-Projekts (

Wie kommt es zu einem DDoS-Angriff und welche Arten gibt es? Das Problem zu verstehen ist schon die halbe Lösung. Daher werden wir die wichtigsten Arten von DDoS betrachten und zu welchem ​​​​Zweck sie auf Websites ausgeführt werden.

DDoS (Distributed Denial of Service-Angriff)- Dies ist eine gezielte Reihe von Aktionen zum Deaktivieren und Unterbrechen des Betriebs einer Internetressource. Jede Ressource kann ein Opfer sein, einschließlich eines Online-Shops, einer Regierungswebsite oder eines Spieleservers. In den meisten Fällen verwendet ein Angreifer für solche Zwecke ein Netzwerk von Computern, die mit einem Virus infiziert sind. Ein solches Netzwerk wird Botnet genannt. Es enthält einen koordinierenden Master-Server. Um einen Angriff zu starten, sendet der Hacker einen Befehl an einen solchen Server, der wiederum jedem Bot signalisiert, mit der Ausführung bösartiger Netzwerkanforderungen zu beginnen.

Gründe für die Durchführung eines DDoS-Angriffsvielleicht viel. Zum Beispiel:

• zum Spass... Ein primitiver Angriff kann von jedem organisiert werden, der zumindest ein wenig Ahnung von diesem Gebiet hat. Es stimmt, ein solcher Angriff ist weder anonym noch effektiv, und diejenigen, die ihn begehen, wissen möglicherweise nicht einmal davon. Oft werden solche Situationen von Schulkindern zum Spaß geübt. Das Ziel eines solchen "Spaßes" kann fast jede Seite im Internet sein.
• aus persönlicher Abneigung ... Ein DDoS-Angriff auf Ihre Website kann folgenden Grund haben. Sie wissen nie, wem Sie die Straße überquert haben, Konkurrenten und andere Personen, die Ihre Internet-Ressource nicht mögen, können dies tun.
• wegen Erpressung oder Erpressung ... Betrüger erpressen in den meisten Fällen große Unternehmen. Sie erheben eine Gebühr, um einen Angriff auf Server zu stoppen oder zu scheitern.
• unfairer Wettbewerb ... Häufig sind solche Angriffe darauf ausgerichtet, den Ruf einer Site zu zerstören und Kundenverkehr zu verlieren.

Die ersten DDoS-Angriffe traten 1996 auf. Dieses Phänomen erregte zwar 1999 besondere Aufmerksamkeit, als die Giganten der Welt - Amazon, Yahoo, CNN, eBay, E-Trade - außer Gefecht gesetzt wurden. Und sie begannen erst im Jahr 2000, dringende Maßnahmen zur Lösung des Problems zu ergreifen, als die Server von Schlüsselunternehmen erneut beeinflusst wurden.

DDoS-Typen.

Einfacher Verkehr sind HTTP-Anfragen. Grundlage der Anfrage ist der HTTP-Header. Der Anforderer kann beliebig viele Header verwenden und ihnen die gewünschten Eigenschaften geben. DDoS-Angreifer können diese Header ändern, wodurch sie schwer als Angriff zu erkennen sind.

HTTP-GET

• HTTP (S) GET-Anfrage- eine Methode, die Daten vom Server anfordert. Diese Anfrage kann den Server "auffordern", eine Datei, ein Bild, eine Seite oder ein Skript zur Anzeige in einem Webbrowser zu senden.
• HTTP (S) GET-Flood - DDoS-Angriff Anwendungsschicht (7) des OSI-Modells. Der Angreifer sendet einen mächtigen Strom von Anfragen an den Server, um seine Ressourcen zu überlaufen. In diesem Szenario reagiert der Server nicht mehr auf Anfragen von echten Besuchern.

HTTP-POST

• HTTP (S) POST-Anfrage- eine Methode, deren Kern darin besteht, dass die Daten im Hauptteil der Anfrage zur weiteren Verarbeitung auf dem Server platziert werden. Die HTTP-POST-Anforderung codiert die übermittelten Informationen und fügt sie in das Formular ein und übermittelt diesen Inhalt dann an den Server. Diese Methode wird verwendet, wenn große Datenmengen übertragen werden müssen.
• HTTP (S) POST-Flood- eine Art von DDoS-Angriff, bei dem die Anzahl der POST-Anfragen den Server überfordert und er daher nicht darauf reagieren kann. Dies hat eine Notabschaltung des Servers mit den folgenden Konsequenzen zur Folge.

Alle oben genannten Anfragen werden auch über HTTPS übertragen, die übertragenen Daten werden in diesem Fall verschlüsselt. Und diese Art von Schutz ist für Hacker von Vorteil. Um eine solche Anfrage zu identifizieren, muss der Server sie nämlich zuerst entschlüsseln. Und es ist sehr schwierig, den Anfragestrom während eines solchen Angriffs zu entschlüsseln, was den Server zusätzlich belastet.

ICMP-Flood (oder Smurf-Angriff)... Eine ziemlich gefährliche Art von Angriff. Der Hacker sendet ein gefälschtes ICMP-Paket, das die Adresse des Angreifers in die des Opfers ändert. Alle Knoten senden eine Antwort auf diese Ping-Anfrage. Dafür nutzen sie in den meisten Fällen ein großes Netzwerk, damit der Rechner des Opfers keine Chance hat.

UDP-Flood (oder Fraggle-Angriff)... Sein Typ ähnelt ICMP-Flood, obwohl in diesem Fall UDP-Pakete verwendet werden. Aufgrund der Bandbreitensättigung wird dem Server des Opfers der Dienst verweigert.

SYN-Flut... Dieser Angriff basiert auf dem Starten einer großen Anzahl gleichzeitiger TCP-Verbindungen durch das Senden eines SYN-Pakets mit einer nicht vorhandenen Rücksendeadresse.

Versenden von "schweren Paketen"... Bei dieser Art von Angriff sendet der Angreifer Pakete an den Server, die die Bandbreite nicht sättigen, aber seine Prozessorzeit verschwenden. Infolgedessen stürzt das System ab und Benutzer können ihre Ressourcen nicht abrufen.

Serverüberlauf mit Logfiles... Wenn das Rotationssystem der Log-Dateien falsch ist, kann ein Betrüger große Pakete versenden, die bald den gesamten freien Speicherplatz auf der Festplatte des Servers belegen. Als Ergebnis ein Fehler im System.

Codefehler... Einige Cyberkriminelle mit Erfahrung in diesem Tätigkeitsbereich entwickeln spezielle Exploit-Programme, die komplexe Systeme kommerzieller Organisationen angreifen können. Dazu suchen sie im Programmcode nach Fehlern, die zur Beendigung des Dienstes führen können.

Mängel im Programmcode... Die Situation ist die gleiche: Hacker suchen nach Fehlern im Code von Programmen oder im Betriebssystem und zwingen sie gleichzeitig zu Ausnahmesituationen, in deren Folge Programme scheitern.

DDoS-Bekämpfungsmethoden können in zwei Arten unterteilt werden:aktiv und passiv... Passiv sind vorbereitete Methoden zur Vorsorge und Abwehr eines Angriffs, aktive werden eingesetzt, wenn gerade ein Angriff stattfindet.

Die wichtigste passive Methode ist natürlichVerhütung... Viele halten diese Methode für unwichtig, aber in den meisten Fällen ist sie die wichtigste.

Prävention sollte auf der Beseitigung von Faktoren wie persönlichen Feindseligkeiten, Konkurrenz, religiösen oder anderen Unterschieden beruhen. Wenn solche Gründe rechtzeitig beseitigt und die entsprechenden Schlussfolgerungen gezogen werden, hat DDoS keine Auswirkungen auf Ihre Internetressource. Aber bei dieser Methode geht es mehr um das Management, nicht um die technische Seite des Problems.

Verwendung spezialisierte Soft- und Hardware.

Viele produzierende Unternehmen haben heute spezielle und vorgefertigte Lösungen zum Schutz vor DDoS-Angriffen entwickelt. Diese Software ist unterschiedlich, um kleine und große Websites für verschiedene Arten von Organisationen zu schützen. Es wird auch als passive Verteidigungsmethode angesehen, da es eine präventive Methode ist.

Datenverkehr filtern und blockieren, das von angreifenden Maschinen ausgeht, ermöglicht es, den Angriff zu reduzieren oder ganz zu löschen. Es gibt zwei Filtermethoden: Routing durch ACLs und Verwendung von Firewalls. Mithilfe von ACLs können Sie sekundäre Protokolle filtern, ohne die TCP-Protokolle zu beeinträchtigen und ohne die Geschwindigkeit des Benutzerzugriffs auf die Ressource zu verlangsamen. Firewalls dienen ausschließlich dem Schutz privater Netzwerke.

Reverse DDoS- Umleiten des Datenverkehrs zum Angreifer. Wenn Sie über ausreichende Serverkapazitäten verfügen, können Sie nicht nur den Angriff abwehren, sondern auch die Geräte des Angreifers deaktivieren. Es stimmt, diese Art von Schutz bei Fehlern im Programmcode des Betriebssystems, der Systemdienste oder der Webanwendungen.

Beseitigung von Schwachstellen- die Art des Schutzes darauf abzielt, Fehler in Systemen oder Diensten zu beseitigen. Leider funktioniert diese Schutzmethode nicht gegen Hochwasserangriffe.

Aufbau verteilter Systeme- ermöglicht es Ihnen, Benutzer zu bedienen, auch wenn einige Knoten aufgrund von DDoS-Angriffen nicht verfügbar sind. Dazu werden Netzwerk- oder Servergeräte unterschiedlicher Art verwendet, die sich in unterschiedlichen DCs befinden. Häufig wird auch ein redundantes System installiert. Dies ist für große Projekte von Vorteil, die ihren Ruf schätzen und eine große Anzahl von Benutzern haben.

Überwachung- Installation eines speziellen Überwachungs- und Warnsystems. Sie wird es ermöglichen, einen DDoS-Angriff nach bestimmten Kriterien zu berechnen. Monitoring schützt das angegriffene System nicht direkt, aber es ermöglicht Ihnen, rechtzeitig zu reagieren und einen Ausfall des Ressourcenbetriebssystems zu verhindern. Dies ist natürlich eine passive Verteidigungsmethode.

Erwerb eines Dienstes zum Schutz vor DDoS-Angriffen- ermöglicht die Abwehr vieler Arten von DDoS-Angriffen mit einer ganzen Reihe von Mechanismen, um unerwünschten Datenverkehr auf angreifende Server zu filtern. Es stimmt, solche Dienste sind nicht billig.

Wie reagieren Sie auf Bedrohungen von Betrügern, die DDoS-Angriffe auf Ihre Online-Ressource haben? Weitere Details im nächsten.

Nur der Komplex der oben beschriebenen Maßnahmen hilft Ihnen, Ihre Site vor DDoS zu schützen und Ihren Service zu schützen.

Über DDoS-Angriffe. Grundregeln zum Schutz einer Ressource im Web, für weitere Details siehe.

9109 mal (s) 11 Angesehene Zeit(en) heute