Нові масовані DDoS-атаки. Інформаційний портал безпеки Хто може постраждати від DoS і DDoS атак

ФСБ розслідує кримінальну справу за фактом масової атаки хакерів з використанням «Інтернету речей» (IoT) на об'єкти фінансового сектора восени 2016 року, об'єктами якої стали Ощадбанк, «Росбанк», «Альфа-Банк», «Банк Москви», Московська біржа та інші. .

Як пише «Комерсант», про це розповів, виступаючи в Держдумі на поданні пакету урядових законопроектів про безпеку критичної інформаційної інфраструктури (КІІ) РФ заступник директора ФСБ Дмитро Шальков.

У 2016 році було зафіксовано близько 70 мільйонів DDoS-атак на російські офіційні інформаційні ресурси, що втричі більше, ніж на рік раніше. Однак листопадові атаки хакерів відрізняються від більшості з них, зазначив Шальков.

За його словами, у період з 8 по 14 листопада було здійснено DDoS-атаки середньої потужності на вісім організацій. У них брали участь так звані бот-мережі (зламані та взяті під контроль хакерами комп'ютери з доступом в інтернет), які використовували підключені до мережі IoT-пристрої, зокрема веб-камери. Заступник директора ФСБ наголосив на схожості скоординованої атаки на російські структури з шестигодинною жовтневою атакою в США, спрямованої проти сервісів інтернет-провайдера Dyn, в результаті якої ціла низка великих американських ресурсів (Twitter, CNN, Spotify, The New York Times і Reddit) протягом тривалого часу були недоступні.

При цьому атаки не супроводжувалися розкраданням коштів і атаковані банки не зафіксували порушення роботи сервісів. Після листопадових атак подібні інциденти не повторювалися, повідомили ЦБ РФ.

Коммерсант відзначає, що DDoS-атаки самі по собі не орієнтовані на розкрадання фінансів, їх використовують, як правило, для блокування сайтів і банківських онлайн-сервісів. Заступник голови департаменту аудиту захищеності Digital Security Гліб Чербов пояснив, що «пристрої та сервери, контрольовані зловмисниками, об'єднуються в бот-мережі, готові генерувати мережевий трафік, що набуває фатальних для атакованої системи масштабів». Однак масовані DDoS-атаки можуть завдати банкам серйозних збитків. Наприклад, недоступність сервісів здатна викликати паніку серед вкладників, які масово почнуть вилучати вклади. Крім того, масовані DDoS-атаки часто використовуються для маскування інших дій. Зокрема, поки експерти з безпеки усувають уразливість, зловмисники можуть поринути у банківську інфраструктуру.

За даними видання, порушення ФСБ кримінальної справи за фактом атак хакерів у листопаді 2016 року означає, що підозрювані вже слідством визначено. Подібними справами слідство займається щонайменше півроку, але насправді термін розтягується на два-три роки, зазначає джерело видання.

Сьогодні спробуємо прояснити ситуацію навколо Ddos-атак на сервер. Все-таки дана проблемареально перетинається з темою хостингу.

Штука досить неприємна. Уявіть, встановив я вчора новенький плагін на свій wordpress і раптом через якийсь час бац! - Блог у браузері перестає відкриватися. Причому інші сайти в той же час чудово серфяться. Думки лізуть – чогось напортачив із плагіном. Багато разів тисну на перезавантаження сторінки і нічого! Потім, правда, запрацювало, але кілька неприємних хвилин довелося пережити.

А сьогодні в пошті бачу лист від техпідтримки ТаймВеб. Приховувати не буду, хостинг я там беру. Та й чого приховувати, достатньо ввести адресу сайту Whois.
Лист такий:

"Шановні користувачі.
Сьогодні, 02 грудня 2011 року о 16:32 за Московським часом, на технологічний майданчик TIMEWEB, розпочалася масована DDOS атака, яка порушила роботу деяких сайтів та серверів.
Інженери TIMEWEB взяли ситуацію під контроль і вже о 18:45 стабільну роботу майданчика було повністю відновлено..."

Вирішив я розібратися, звідки беруться Ddos-атаки на сервері що це взагалі таке. І ось, що нарив.

Ddos-атаки на сервер – що це таке?

По-перше, заглянемо до Вікі, куди ж без неї:

DOS-АТАКА (від англ. Denial of Service, відмова в обслуговуванні) - атака на комп'ютерну системуз метою довести її до відмови, тобто, до такого стану, що легітимні (правомірні) користувачі системи не можуть отримати доступ до ресурсів (серверів, сервісів), що надаються системою, або цей доступ утруднений. Відмова «ворожої» системи може бути як самоціллю (наприклад, зробити недоступним популярний сайт), так і одним із кроків до захоплення контролю над системою (якщо у позаштатній ситуації ПЗ видає будь-яку критичну інформацію – наприклад, версію, частину програмного коду тощо) д.).

Якщо атака виконується одночасно з великої кількості комп'ютерів, говорять про DDOS-АТАК (від англ. Distributed Denial of Service, розподілена атака типу «відмова в обслуговуванні»). У деяких випадках до фактичної DDoS-атаки наводить легітимну дію, наприклад, розміщення на популярному інтернет-ресурсі посилання на сайт, розміщений на не дуже продуктивному сервері. Великий наплив користувачів призводить до перевищення допустимого навантаження на сервер і, отже, відмови в обслуговуванні частини їх.

Отже, з одного боку є об'єкт атаки - сервер або сайт, а з іншого боку, група зловмисників, які організують Ddos-атаку на об'єкт нападу.

Які цілі мають організатори Ddos-атаки?

Однією з найнешкідливіших причин стає банальне кібер-хуліганство. Справа посилюється тим, що більшість програм для організації атак перебувають у вільному доступі в мережі Інтернет.

Більш серйозні Ddos-атаки породжує недобросовісна конкуренція. Цілі тут ставляться різні - обрушити сервер конкурента, цим порушуючи роботу суперника, та плюс до цього створити конкуренту негативний імідж над ринком. Можливий також злам сервера, оскільки при масованій атаці можуть проскочити на загальний огляд шматочки інформації як програмних кодів.

Ще, використовуючи метод Ddos-атаки, різні Ddos-угруповання можуть заявляти про своє існування або виставляти вимоги ультиматуми господарям серверів.

Ось деякі приклади Ddos-атаки на сервер, які я знайшов у Луркомор'ї:

  • ООФР (Організація Об'єднаних Фагів Росії), до якої входять такі мем-угруповання: Лепрозорій Забобонні, Занепала частина ЖЖ і на чолі, звичайно ж, Уп'ячка.

Головними жертвами ООФР стали:

  1. www.mail.ru (за проект ЖУКИ),
  2. www.gay.com (за те, що гей),
  3. www.4chan.org (за образи бога «Онотоле»),
  4. www.wikipedia.org (за статтю про УПЧК, в якій була образа у бік котів (Коте), не знята модератором протягом місяця)

Багато організацій, що працюють в галузі захисту від Ddos-атак, незважаючи на досягнення в цій сфері, все ж таки визнають зростаючу небезпеку загрози, в основному через простоту організації атак.

ПІДВІДЕМО НЕБІЛЬКИЙ ПІДСУМОК:

Нас, рядових користувачів Інтернету, найбільше має цікавити, як справа захисту від кібер-атак поставлена ​​у тих хостерів, де ми орендуємо хостинг для своїх дітищ – сайтів. Як бачимо в конкретному випадку TimeWeb із проблемою впорався і досить швидко. Другий йому плюс вручаю за те, що сповістив мене про це поштою.

До речі, нещодавно я влаштував TimeWeb ще один простенький тест.

На сьогодні про Ddos-атаки все.

Скоро поговоримо про те, які вони бувають і як організується захист від кібер-атак.

Кого атакують?

За даними ЦП, у 2016 році кількість на російські фінансові організації збільшилася майже вдвічі. У листопаді DDoS-атаки було спрямовано на п'ять великих російських банків. Наприкінці минулого року ЦБ повідомляв про DDoS-атаки на фінансові організації, зокрема Центральний банк. «Метою атак було порушення роботи сервісів і, як наслідок, підрив довіри до цих організацій. Дані атаки були примітними тим, що це було перше масштабне використання в Росії інтернету речей. В основному в атаці були задіяні інтернет-відеокамери та побутові роутери», - зазначали у службах безпеки великих банків.

При цьому DDoS-атаки суттєвих збитків банкам не завдали – вони непогано захищені, тому такі атаки, хоч і завдавали неприємностей, але не мали критичного характеру і не порушили жодного сервісу. Проте можна констатувати, що антибанківська активність хакерів значно збільшилася.

У лютому 2017 року технічні служби МОЗ Росії відобразили наймасштабнішу за останні роки DDoS-атаку, яка в піковому режимі досягала 4 мільйонів запитів за хвилину. Здійснювалися і DDoS-атаки на державні реєстри, але вони також були безуспішними і не призвели до будь-яких змін даних.

Однак жертвами DDoS-атак стають як численні організації та компанії, які мають таку потужну «оборону». У 2017 році очікується зростання збитків від кіберзагроз – програм-вимагачів, DDoS та атак на пристрої інтернету речей.


Пристрої IoT набувають все більшої популярності як інструменти для здійснення DDoS-атак. Знаменною подією стала вжита у вересні 2016 року DDoS-атака за допомогою шкідливого коду Mirai. У ній у ролі засобів нападу виступили сотні тисяч камер та інших пристроїв із систем відеоспостереження.

Вона була здійснена проти французького хостинг-провайдера OVH. Це була найпотужніша DDoS-атака – майже 1 Тбіт/с. Хакери за допомогою ботнету задіяли 150 тис. пристроїв IoT, в основному камери відеоспостереження. Атаки з використанням ботнету Mirai започаткували появу безлічі ботнетів з пристроїв IoT. На думку експертів, у 2017 році IoT-ботнети, як і раніше, будуть однією з головних загроз у кіберпросторі.


За даними звіту "2016 Verizon data breach incident report" (DBIR), минулого року кількість DDoS-атак помітно зросла. У світі найбільше страждає індустрія розваг, професійні організації, освіта, ІТ, рітейл.

Цікава тенденція DDoS-атак – розширення «списку жертв». Він включає тепер представників майже всіх галузей. З іншого боку, вдосконалюються методи нападу.
За даними Nexusguard, наприкінці 2016 року помітно зросла кількість DDoS-атак змішаного типу – з використанням одразу кількох вразливостей. Найчастіше їм зазнавали фінансові та державні організації. Основний мотив кібезлочинців (70% випадків) – крадіжка даних або загроза їхнього знищення з метою викупу. Рідше – політичні чи соціальні цілі. Ось чому важливою є стратегія захисту. Вона може підготуватися до атаки та мінімізувати її наслідки, знизити фінансові та репутаційні ризики.

Наслідки атак

Які наслідки DDoS-атаки? Під час атаки жертва втрачає клієнтів через повільну роботу або повну недоступність сайту, страждає репутація бізнесу. Сервіс-провайдер може заблокувати IP-адресу жертви, щоб мінімізувати шкоду іншим клієнтам. Щоб усе відновити, знадобиться час, а можливо й гроші.
За даними опитування компанії, DDoS-атаки розглядаються половиною організацій як одна з найсерйозніших кіберзагроз. Небезпека DDoS навіть вища, ніж небезпека несанкціонованого доступу, вірусів, шахрайства та фішингу, не кажучи про інші загрози.

Середні збитки від DDoS-атак оцінюються у світі в 50 тис. доларів для невеликих організацій і майже 500 тис. доларів для великих підприємств. Усунення наслідків DDoS-атаки вимагатиме додаткового робочого часу співробітників, відволікання ресурсів з інших проектів на безпеку, розробки плану оновлення ПЗ, модернізації обладнання та ін.


Репутація атакованої організації може постраждати не лише через погану роботу сайту, а й через крадіжку персональних даних або фінансову інформацію.
За даними опитування компанії, кількість DDoS-атак зростає щороку на 200%, щодня у світі повідомляють про 2 тис. атак такого типу. Вартість організації DDoS-атаки тижневої тривалості – близько 150 доларів, а втрати жертви в середньому перевищують 40 тис. доларів на годину.

Типи DDoS-атак

Основні типи DDoS-атак: масовані атаки, атаки на протокольному рівні та атаки на рівні додатків. У будь-якому випадку мета полягає в тому, щоб вивести сайт з ладу або вкрасти дані. Інший вид кіберзлочинів – загроза скоєння DDoS-атаки для отримання викупу. Цим славляться такі хакерські угруповання як Armada Collective, Lizard Squad, RedDoor та ezBTC.

Організація DDoS-атак помітно спростилася: зараз є широко доступні автоматизовані інструменти, які практично не вимагають від кіберзлочинців спеціальних знань. Існують і платні послуги DDoS для анонімної атаки мети. Наприклад, сервіс vDOS пропонує свої послуги, не перевіряючи, чи є замовник власником сайту, який бажає протестувати його «під навантаженням», чи це робиться з метою атаки.


DDoS-атаки являють собою атаки з багатьох джерел, що перешкоджають доступу легітимних користувачів до сайту, що атакується. Для цього в систему, що атакується, направляється величезна кількість запитів, з якими та впоратися не може. Зазвичай з цією метою використовуються скомпрометовані системи.

Щорічне зростання кількості DDoS-атак оцінюється в 50% (за даними), але дані різних джерел розходяться, на і не всі інциденти стають відомими. Середня потужність DDoS-атак Layer 3/4 зросла останніми роками з 20 до кількох сотень Гбайт/с. Хоча масові DDoS-атаки та атаки на рівні протоколів вже самі по собі – штука неприємна, кіберзлочинці все частіше комбінують їх із DDoS-атаками Layer 7, тобто на рівні додатків, які націлені на зміну чи крадіжку даних. Такі «багатовекторні» атаки можуть бути дуже ефективними.


Багатовекторні атаки становлять близько 27% від загальної кількості атак DDoS.

У разі масової DDoS-атаки (volume based) використовується велика кількість запитів, які нерідко надсилаються з легітимних IP-адрес, щоб сайт «захлинувся» у трафіку. Мета таких атак - "забити" всю доступну смугу пропускання та перекрити легітимний трафік.

У разі атаки на рівні протоколу (наприклад, UDP чи ICMP) метою є вичерпання ресурсів системи. Для цього надсилаються відкриті запити, наприклад, запити TCP/IP з підробленими IP, і в результаті вичерпання мережевих ресурсів стає неможливою обробка легітимних запитів. Типові представники - DDoS-атаки, відомі у вузьких колах як Smurf DDos, Ping of Death та SYN flood. Інший вид DDoS-атак протокольного рівня полягає у надсиланні великої кількості фрагментованих пакетів, з якими система не справляється.

DDoS-атаки Layer 7 – це відправлення необразливих на вигляд запитів, що виглядають як результат звичайних дій користувачів. Зазвичай для їх здійснення використовують ботнети та автоматизовані інструменти. Відомі приклади - Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

У 2012–2014 роках більшість масованих DDoS-атак були атаками типу Stateless (без запам'ятовування станів та відстеження сесій) – вони використовували протокол UDP. У випадку Stateless в одній сесії (наприклад, відкриття сторінки) циркулює багато пакетів. Хто розпочав сесію (запросив сторінку), Stateless-пристрої, як правило, не знають.

Протокол UDP схильний до спуфінгу – заміни адреси. Наприклад, якщо потрібно атакувати сервер DNS за адресою 56.26.56.26, використовуючи атаку DNS Amplification, можна створити набір пакетів з адресою відправника 56.26.56.26 і відправити їх DNS-серверам по всьому світу. Ці сервери надішлють відповідь за адресою 56.26.56.26.

Той самий метод працює для серверів NTP, пристроїв із підтримкою SSDP. Протокол NTP – чи не найпопулярніший метод: у другій половині 2016 року він використовувався у 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендує провайдерам конфігурувати шлюзи для запобігання спуфінгу – контролюється адреса відправника, вихідна мережа. Але такої практики йдуть не всі країни. Крім того, атакуючі обходять контроль BCP 38, переходячи на атаки типу Stateful, на рівні TCP. За даними F5 Security Operations Center (SOC), останні п'ять років такі атаки домінують. У 2016 році TCP-атак було вдвічі більше, ніж атак із використанням UDP.

До атак Layer 7 вдаються переважно професійні хакери. Принцип наступний: береться «важкий» URL (з PDF або запитом до великої БД) і повторюється десятки чи сотні разів на секунду. Атаки Layer 7 мають тяжкі наслідки і важко розпізнаються. Нині вони становлять близько 10% DDoS-атак.


Співвідношення різних типів DDoS-атак за даними звіту Verizon Data Breach Investigations Report (DBIR) (2016).

Нерідко DDoS-атаки приурочують до періодів пікового трафіку, наприклад до днів інтернет-розпродажів. Великі потоки персональних та фінансових даних у цей час приваблюють хакерів.

DDoS-атаки на DNS

Доменна система імен (Domain Name System, DNS) відіграє фундаментальну роль у продуктивності та доступності сайту. Зрештою – в успіху вашого бізнесу. На жаль, інфраструктура DNS часто стає метою DDoS-атак. Пригнічуючи інфраструктуру DNS, зловмисники можуть завдати шкоди вашому сайту, репутації вашої компанії та вплинути на її фінансові показники. Щоб протистояти сучасним загрозам, інфраструктура DNS має бути дуже стійкою та масштабованою.
По суті, DNS – розподілена база даних, яка, крім усього іншого, ставить у відповідність зручні для читання імена сайтів IP-адрес, що дозволяє користувачеві потрапити на потрібний сайт після введення URL-адреси. Перша взаємодія користувача з сайтом починається з DNS-запитів, що надсилаються на сервер DNS з адресою інтернет-домену вашого сайту. На їхню обробку може припадати до 50% часу завантаження веб-сторінки. Таким чином, зниження продуктивності DNS може призводити до відходу користувачів з сайту та втрат для бізнесу. Якщо ваш DNS-сервер перестає відповідати в результаті DDoS-атаки, то на сайт ніхто потрапити не зможе.

DDoS-атаки важко виявити, особливо спочатку, коли трафік виглядає нормальним. Інфраструктура DNS може піддаватися різним типам DDoS-атак. Іноді це пряма атака на DNS сервери. В інших випадках використовують експлойти, задіявши DNS системи для атаки на інші елементи ІТ-інфраструктури або сервіси.


При атаках DNS Reflection ціль піддається масованим підробленим відповідям DNS. Для цього застосовують бот-мережі, заражаючи сотні та тисячі комп'ютерів. Кожен бот в такій мережі генерує кілька DNS-запитів, але як IP джерело використовує одну і ту ж IP-адресу мети (спуфінг). DNS-сервіс відповідає за цією IP-адресою.

При цьому досягається подвійний ефект. Цільову систему бомбардують тисячі та мільйони відповідей DNS, а DNS-сервер може «лягти», не впоравшись із навантаженням. Сам запит DNS – це зазвичай менше 50 байт, відповідь раз на десять довша. Крім того, повідомлення DNS можуть містити багато іншої інформації.

Припустимо, що атакуючий видав 100 000 коротких запитів DNS по 50 байт (всього 5 Мбайт). Якщо кожна відповідь містить 1 Кбайт, то це вже 100 Мбайт. Звідси й назва – Amplification (посилення). Комбінація атак DNS Reflection та Amplification може мати дуже серйозні наслідки.


Запити виглядають як звичайний трафік, а відповіді – це безліч повідомлень великого розміру, що спрямовуються на цільову систему.

Як захиститись від DDoS-атак?

Як же захиститися від DDoS-атак, які кроки зробити? Насамперед, не варто відкладати це «на потім». Якісь заходи слід брати до уваги при конфігуруванні мережі, запуску серверів та розгортанні програмного забезпечення. І кожна наступна зміна не повинна збільшувати вразливість від DDoS-атак.
  • Безпека програмного коду При написанні програмного забезпечення повинні братися до уваги міркування безпеки. Рекомендується дотримуватися стандартів «безпечного кодування» та ретельно тестувати програмне забезпечення, щоб уникнути типових помилок та вразливостей, таких як міжсайтові скрипти та SQL-ін'єкції.

  • Розробте план дій під час оновлення програмного забезпечення. Завжди має бути можливість «відкату» у тому випадку, якщо щось піде не так.

  • Вчасно оновлюйте програмне забезпечення. Якщо накотити апдейти вдалося, але виникли проблеми, див. п.2.

  • Не забувайте про обмеження доступу. Облікові записи admin та/або повинні бути захищені сильними та регулярно змінюваними паролями. Необхідний також періодичний аудит прав доступу, своєчасне видалення акаунтів співробітників, що звільнилися.

  • Інтерфейс адміністратора має бути доступний лише з внутрішньої мережі або через VPN. Вчасно закривайте VPN-доступ для звільнених і звільнених співробітників.

  • Увімкніть усунення наслідків DDoS-атак у план аварійного відновлення. План має передбачати способи виявлення факту такої атаки, контакти для зв'язку з інтернет- або хостинг-провайдером, дерево «ескалації проблеми» для кожного департаменту.

  • Сканування на наявність уразливостей допоможе виявити проблеми у вашій інфраструктурі та програмне забезпеченнязнизити ризики. Простий тест OWASP Top 10 Vulnerability виявить найкритичніші проблеми. Корисними будуть тести на проникнення – вони допоможуть знайти слабкі місця.

  • Апаратні засоби захисту від DDoS-атак можуть бути недешевими. Якщо ваш бюджет такого не передбачає, то є хороша альтернатива – захист від DDoS «на вимогу». Таку послугу можна включати простою зміною схеми маршрутизації трафіку в екстреній ситуації, або перебуває під захистом постійно.

  • Використовуйте CDN-партнер. Мережі доставки контенту (Content Delivery Network) дозволяють доставляти контент сайту за допомогою розподіленої мережі. Трафік розподіляється по безлічі серверів, зменшується затримка доступу користувачів, зокрема географічно віддалених. Таким чином, хоча основна перевага CDN – це швидкість, вона є також бар'єром між основним сервером та користувачами.

  • Використовуйте Web Application Firewall – файрвол для веб-застосунків. Він моніторить трафік між сайтом або програмою та браузером, перевіряючи легітимність запитів. Працюючи на рівні додатків, WAF може виявляти атаки за шаблонами, що зберігаються, і виявляти незвичайну поведінку. Атаки на рівні додатків нерідкі в електронній комерції. Як і у випадку CDN, можна скористатися сервісами WAF у хмарі. Однак конфігурування правил потребує певного досвіду. В ідеалі захистом WAF мають бути забезпечені всі основні програми.

    • Захист DNS

    Як захистити інфраструктуру DNS від DDoS-атак? Звичайні файрволи та IPS тут не допоможуть, вони безсилі проти комплексної DDoS-атаки на DNS. Насправді брандмауери та системи запобігання вторгненням самі є вразливими для атак DDoS.
    На допомогу можуть прийти хмарні послуги очищення трафіку: він прямує до якогось центру, де перевіряється і перенаправляється назад за призначенням. Ці послуги є корисними для TCP-трафіку. Ті, хто самі керують своєю інфраструктурою DNS, можуть для послаблення наслідків DDoS-атак вжити таких заходів.
  • Моніторинг DNS-серверів щодо підозрілої діяльності є першим кроком у справі захисту інфраструктури DNS. Комерційні рішення DNS та продукти з відкритим вихідним кодом, такі як BIND, надають статистику в реальному часі, яку можна використовувати для виявлення атак DDoS. Моніторинг DDoS-атак може бути ресурсомістким завданням. Найкраще створити базовий профіль інфраструктури за нормальних умов функціонування і потім оновлювати його час від часу в міру розвитку інфраструктури та зміни шаблонів трафіку.

  • Додаткові ресурси DNS-сервера допоможуть впоратися з дрібномасштабними атаками за рахунок надмірності інфраструктури DNS. Ресурсів сервера та мережевих ресурсів має вистачати не обробку більшого обсягу запитів. Звичайно, надмірність коштує грошей. Ви платите за серверні та мережеві ресурси, які зазвичай не використовуються в нормальних умовах. І за значного «запасу» потужності цей підхід навряд чи буде ефективним.

  • Увімкнення DNS Response Rate Limiting (RRL) знизить ймовірність того, що сервер буде задіяний в атаці DDoS Reflection – зменшиться швидкість реакції на повторні запити. RRL підтримує багато реалізації DNS.

  • Використовуйте конфігурацію високої доступності. Можна захиститися від DDoS-атак шляхом розгортання DNS на сервері високої доступності (HA). Якщо в результаті атаки «впаде» один фізичний сервер, служба DNS може бути відновлена ​​на резервному сервері.

    • Найкращим способом захисту DNS від DDoS-атак буде використання географічно розподіленої мережі Anycast. Розподілені мережі DNS можуть бути реалізовані за допомогою двох різних підходів: адресації Unicast або Anycast. Перший підхід набагато простіше реалізувати, але другий набагато стійкіший до DDoS-атак.

    У випадку Unicast кожен з серверів DNSвашої компанії отримує унікальну IP-адресу. DNS підтримує таблицю DNS-серверів вашого домену та відповідних IP-адрес. Коли користувач вводить URL-адресу, для виконання запиту вибирається одна з IP-адрес у випадковому порядку.

    При схемі адресації Anycast різні сервери DNS використовують спільну IP-адресу. При введенні користувачем URL повертається колективна адреса серверів DNS. IP-мережа маршрутизує запит на найближчий сервер.

    Anycast надає фундаментальні переваги перед Unicast щодо безпеки. Unicast надає IP-адреси окремих серверів, тому нападники можуть ініціювати цілеспрямовані атаки на певні фізичні сервериі віртуальні машини, і коли вичерпані ресурси цієї системи, відбувається відмова служби. Anycast може допомогти пом'якшити DDoS-атаки шляхом розподілу запитів між групою серверів. Anycast також корисно використовувати для ізоляції наслідків атаки.

    Засоби захисту від DDoS-атак, що надаються провайдером

    Проектування, розгортання та експлуатації глобальної Anycast-мережі потребує часу, грошей та ноу-хау. Більшість ІТ-організацій не мають у своєму розпорядженні для цього фахівців і фінансів. Можна довірити функціонування інфраструктури DNS провайдеру – постачальнику керованих послуг, який спеціалізується на DNS. Вони мають необхідні знання для захисту DNS від DDoS-атак.

    Постачальники послуг Managed DNS експлуатують великомасштабні мережі Anycast і мають точки присутності по всьому світу. Експерти з безпеки мережі здійснюють моніторинг мережі в режимі 24/7/365 та застосовують спеціальні засоби для пом'якшення наслідків DDoS-атак.


    Послуги пропонують і деякі постачальники послуг хостингу: аналіз мережевого трафіку здійснюється в режимі 24/7, тому ваш сайт буде у відносній безпеці. Такий захист здатний витримати потужні атаки – до 1500 Гбіт/сек. Оплачується у своїй трафік.

    Ще один варіант – захист IP-адрес. Провайдер поміщає IP-адресу, яку клієнт вибрав як спеціальну мережу-аналізатор. Під час атаки трафік до клієнта зіставляється з відомими шаблонами атак. В результаті клієнт отримує лише чистий, відфільтрований трафік. Таким чином, користувачі сайту можуть і не дізнатися, що на нього було здійснено атаку. Для організації такого створюється розподілена мережа фільтруючих вузлів так, щоб для кожної атаки можна було вибрати найближчий вузол і мінімізувати затримку передачі трафіку.

    Результатом використання сервісів захисту від DDoS-атак буде своєчасне виявлення та запобігання DDoS-атак, безперервність функціонування сайту та його постійна доступність для користувачів, мінімізація фінансових та репутаційних втрат від простоїв сайту чи порталу.

    Нестабільна економічна ситуація останніх двох років призвела до суттєвого підвищення рівня конкурентної боротьби на ринку, внаслідок чого збільшилася популярність DDoS-атак – ефективного методу заподіяння економічної шкоди.

    У 2016 р. кількість комерційних замовлень на організацію DDoS-атак зросла у кілька разів. Масовані DDoS-атаки перейшли з галузі точкових політичних впливів, як було, наприклад, у 2014 р., до масового бізнес-сегменту. Головне завдання зловмисників – якнайшвидше і з мінімальними витратамизробити ресурс недоступним, щоб отримати за це гроші від конкурентів, забезпечити собі умови для здирства та ін. DDoS-атаки використовуються все активніше, що стимулює пошук все більш масштабних засобів захисту бізнесу.

    При цьому кількість атак продовжує зростати, навіть незважаючи на помітні успіхи у боротьбі з DDoS. Згідно з даними Qrator Labs, у 2015 р. кількість DDoS-атак збільшилась на 100%. І не дивно, адже їхня вартість знизилася приблизно до 5 дол. на годину, а інструменти їх реалізації вийшли на масовий чорний ринок. Вкажемо кілька основних тенденцій розподілених атак, націлених на відмову в обслуговуванні, які прогнозуються на найближчі кілька років.

    Атаки UDP Amplification

    До атак, спрямованих на вичерпання канальної ємності, належать UDP Amplification. Такі інциденти були найпоширенішими у 2014 р. і стали яскравим трендом 2015 р. Проте їх кількість вже досягла свого піку і поступово йде на спад – ресурс для проведення подібних атак не лише кінцевий, а й різко зменшується.

    Під ампліфікатором мається на увазі публічний UDP-сервіс, що працює без аутентифікації, який на невеликий за обсягом запит може надсилати в рази більшу відповідь. Атакуючий, надсилаючи такі запити, замінює свою IP-адресу на IP-адресу жертви. В результаті зворотний трафік, що набагато перевищує пропускну спроможність каналу атакуючого, перенаправляється на веб-ресурс жертви. Для мимовільної участі в атаках використовують DNS-, NTP-, SSDP- та інші сервери.

    Атаки на веб-програми на рівні L7

    У зв'язку із скороченням числа ампліфікаторів на передову знову виходить організація атак на веб-застосунки на рівні L7 з використанням класичних ботнетів. Як відомо, ботнет здатний виконувати мережеві атаки за віддаленими командами, причому власники заражених комп'ютерів можуть про це і не підозрювати. Внаслідок перевантаження сервісу «сміттєвими» запитами звернення легітимних користувачів взагалі залишаються без відповіді або на відповіді потрібно невиправдано багато часу.

    Сьогодні ботнети стають інтелектуальнішими. При організації відповідних атак підтримується технологія Full-browser stack, тобто повна емуляція комп'ютера користувача, браузера, відпрацювання java script. Подібні техніки дозволяють чудово замаскувати атаки L7. Вручну відрізнити бот від користувача практично неможливо. Для цього потрібні системи, що застосовують технологію machine learning, завдяки якій рівень протидії атакам підвищується, механізми удосконалюються, а точність відпрацювання зростає.

    Проблеми BGP

    У 2016 р. з'явилася нова тенденція – атаки на інфраструктуру мережі, у тому числі на основі використання вразливостей протоколу BGP. Проблеми протоколу маршрутизації BGP, на якому базується весь Інтернет, відомі вже кілька років, але останніми роками вони все частіше призводять до серйозних негативних наслідків.

    Мережеві аномалії, пов'язані з маршрутизацією на міждоменному мережному рівні, здатні вплинути на велику кількість хостів, мереж і навіть на глобальну зв'язність та доступність Інтернету. Найбільш типовим видом проблем є Route Leaks – «витік» маршруту, який виникає внаслідок його анонсування у неправильному напрямку. Поки що уразливості BGP рідко використовуються навмисне: вартість організації такої атаки досить висока, і інциденти здебільшого виникають через банальні помилки в мережевих налаштуваннях.

    Проте в останні роки значно зросли масштаби організованих злочинних угруповань в Інтернеті, тому, за прогнозом Qrator Labs, атаки, пов'язані з проблемами BGP, стануть популярними вже в найближчому майбутньому. Яскравим прикладом є «викрадення» IP-адрес (hijacking) відомою кібергрупою Hacking Team, здійснене на державне замовлення: італійській поліції необхідно було взяти під контроль кілька комп'ютерів, щодо власників яких робилися слідчі дії.

    ІнцидентиTCP

    У мережевого стекасистеми TCP/IP є низка проблем, які вже цього року виявляться особливо гостро. Щоб підтримувати активне зростання швидкостей, інфраструктуру Інтернету необхідно постійно оновлювати. Швидкості фізичного підключення до Інтернету зростають кожні кілька років. На початку 2000-х років. стандартом став 1 Гбіт/с, сьогодні найпопулярніший фізичний інтерфейс – 10Гбіт/с. Проте вже почалося масове впровадження нового стандарту фізичного стику, 100 Гбіт/с, що породжує проблеми із застарілим протоколом TCP/IP, не розрахованим на такі високі швидкості.

    Наприклад, стає можливим за лічені хвилини підібрати TCP Sequence number – унікальний чисельний ідентифікатор, який дозволяє (вірніше, дозволяв) партнерам TCP/IP-з'єднання проводити взаємну автентифікацію в момент встановлення з'єднання та обмінюватися даними, зберігаючи їх порядок і цілісність. На швидкостях 100 Гбіт/с рядок у лог-файлах TCP-сервера про відкритому з'єднанніта/або пересланих по ньому даних вже не гарантує того, що зафіксована IP-адреса реально встановлювала з'єднання та передавала ці дані. Відповідно, відкривається можливість організації атак нового класу, і може істотно знизитися ефективність роботи firewalls.

    Уразливості TCP/IP привертають до себе увагу багатьох дослідників. Вони вважають, що вже у 2016 р. ми почуємо про «гучні» атаки, пов'язані з експлуатацією цих «дір».

    Недалеке майбутнє

    Сьогодні розвиток технологій та загроз відбувається не за «класичною» спіраллю, оскільки система не є замкнутою – на неї впливає безліч зовнішніх факторів. В результаті виходить спіраль з амплітудою, що розширюється - вона піднімається вгору, складність атак зростає, і охоплення технологій істотно розширюється. Зазначимо кілька чинників, які серйозно впливають на розвиток системи.

    Основний із них, безумовно, – міграція на новий транспортний протокол IPv6. Наприкінці 2015 р. протокол IPv4 був визнаний застарілим, і на перший план виходить IPv6, що приносить нові виклики: тепер кожен пристрій має IP-адресу, і всі вони можуть безпосередньо з'єднуватися між собою. Так, з'являються і нові рекомендації про те, як повинні працювати кінцеві пристрої, але як з усім цим справлятиметься індустрія, особливо оператори зв'язку, сегмент mass product і китайські вендори, – питання відкрите. IPv6 радикально змінює правила гри.

    Ще один виклик – суттєве зростання мобільних мереж, їх швидкостей та «витривалості». Якщо раніше мобільний ботнет створював проблеми, перш за все, самому оператору зв'язку, то зараз, коли зв'язок 4G стає швидше за дротовий Інтернет, мобільні мережіз величезною кількістю пристроїв, у тому числі китайського виробництва, перетворюються на чудову платформу для проведення DDoS- та хакерських атак. І проблеми виникають не тільки в оператора зв'язку, а й у решти учасників ринку.

    Серйозну загрозу є світ «Інтернету речей», що зароджується. З'являються нові вектори атак, оскільки величезна кількість пристроїв та використання бездротовий технологіїзв'язки відкривають для хакерів воістину безмежні перспективи. Усі пристрої, підключені до Інтернету, потенційно можуть стати частиною інфраструктури зловмисників та бути задіяними у DDoS-атаках.

    На жаль, виробники всіляких побутових приладів, що підключаються до Мережі (чайників, телевізорів, автомобілів, мультиварок, ваг, «розумних» розеток тощо) далеко не завжди забезпечують належний рівень їх захисту. Найчастіше в таких пристроях використовуються старі версії популярних операційних систем, і вендори не дбають про їхнє регулярне оновлення – заміну на версії, в яких усунуто вразливості. І якщо пристрій популярний і широко застосовується, то хакери не проґавлять можливості поексплуатувати його вразливості.

    Провісники проблеми IoT з'явилися вже у 2015 р. За попередніми даними, останню атаку на Blizzard Entertainment було здійснено за допомогою пристроїв класу IoT. Був зафіксований шкідливий код, що функціонує на сучасних чайниках та лампочках. Завдання хакерів спрощують і чіпсети. Нещодавно був випущений недорогий чіпсет, призначений для різного обладнання, яке може «спілкуватися» з Інтернетом. Таким чином, зловмисникам не потрібно зламувати 100 тис. кастомізованих прошивок – достатньо «зламати» один чіпсет і отримати доступ до всіх пристроїв, що на ньому базуються.

    Прогнозується, що дуже скоро всі смартфони, засновані на старих версіях Android, складатимуться мінімум в одному ботнеті. За ними будуть всі «розумні» розетки, холодильники та інша побутова техніка. Вже через пару років на нас чекають ботнети з чайників, радіонянь та мультиварок. «Інтернет речей» принесе нам не лише зручність та додаткові можливості, але й безліч проблем. Коли речей в IoT буде безліч і кожна шпилька зможе надсилати по 10 байт, виникнуть нові виклики безпеки, які доведеться вирішувати. І до цього треба готуватися вже сьогодні.

    Прикладка © 2022 Мобільні та комп'ютерні гаджети