Нови статии
bash scripts
CPU-frequency scalin...
Oбновявания на ОС W...
install zoneminder 1...
Installing mysql Mar...
Теми във форума
Нови теми
Малък лек и удобен д...
Клавишни комбинации ...
Инсталация на Arch L...
Защитна стена за мик...
Linux
Най-активни теми
Color console linux [4]
Клавишни комбинац... [1]
Защитна стена за ... [1]
Linux [1]
Малък лек и удобе... [0]
Приятели
Сега
Времето
Йерархия на статиите
Статии » Сигурност » DDoS атаките намаляват, но изход няма !!
DDoS атаките намаляват, но изход няма !!
За ИТ отделите атаките DDoS са сериозно изпитание — нужно е да се открие източникът на атака, да се изясни нейната природа и да се изработят механизми за . за трябва да блокират непродуктивни заявки, инициирани от нападателите и неносещи доходи на .

Интернет става все по-опасен – към най-популярните ресурси все по-често се организират атаки с цел предизвикане на отказ от обслужване (Denial of Service, DoS) и блокиране на работата на отделни сайтове и цели информационни системи. Ще се постараем да представим съвременните методи за DoS атаки — и по-точно разпределените DoS атаки (Distributed DoS, DDoS), които обичайно се осъществяват от зложелатели с на мрежа от зомбирани компютри.

Типове атаки DDоS

Същността на DDoS атаката е в това, че в инфраструктурата на мрежата на жертвата се намира дефицитен ресурс, чието изчерпване води до отказ от обслужване. Най-известните атаки доскоро бяха насочени към изчерпване на пропусквателната способност на канала за връзка на сайта с . Развитието на широколентовите технологии за достъп и на облачните изчисления обаче усложни тази задача. Впрочем, съдейки по всичко, трудностите не плашат зложелателите и те се стараят да организират все по-мощни атаки. През есента на тази година инфраструктурата на един от облачните доставчици бе подложена на атака с мощност 400 Gbps, така че са възможни и по-мащабни акции.

За тяхното организиране се използва т.нар. метод на усилване - допълнителни усилватели вместо директно „засипване“ на атакуваните сървъри с пакети, генерирани на зомбираните компютри. Идеята на усилвателя е, че с някаква междинна услуга в подчиненото на зложелателя устройство се праща IP пакет, в който IP адресът на изпращача е заменен с адреса на жертвата. При това се избират такива услуги, които в отговор на изключително кратка заявка огромно количество информация. Например подобно поведение е характерно за сървъра DNS — в отговор на заявка за синхронизация на зоната се препраща доста обемисто съдържание за цялата зона.

Коефициент на усилване е съотношение между размера на заявката и потока данни, постъпващи от услугата. Нападателите се опитват да намерят такива протоколи, които биха позволили значително увеличаване на потока. В частност за целта подхожда за разрешаване на имената DNS, услугата за синхронизация на времето NTP, протокола за мрежово управление SNMP и някои други протоколи. Например споменатата атака към облачния доставчик, която в пика беше с мощност до 400 Gbps, бе организирана с на усилване със сървъри NTP. По мнението на експертите от различни лаборатории, гонитбата продължава – нападателите вече прихващат виртуални машини в облаците и с тяхна помощ организират атаки по високоскоростни канали и с използването на всички предимства на облаците.

Впрочем за отбелязване е и другата тенденция: атаки срещу ключови компоненти от инфраструктурата, такива като DNS сървъри. Действително изваждането на DNS от строя, обслужващ даден сайт, може да прекрати достъпа до него. При това DNS сървърите се оказаха по-малко защитени от сайтовете, които се разполагат в облачни среди. Тъй като в обичайна ситуация натоварването на DNS сървъра не е много голяма, този елемент от инфраструктурата не изискваше от DDoS.

„Слаба точка“ от сайта могат да се окажат устройства, инсталирани пред основните сървъри: за балансиране на натоварването, обратна кеш памет и SSL ускорители. Напълно е възможно тяхното функциониране също да има определени особености, които позволяват на зложелателите да направят сайта недостъпен, без да се претоварва каналът с непродуктивно натоварване, с което специализираните компании вече се научиха да се борят.

Още една цел на DoS атаката е изваждане от строя на системи за управление съдържанието на сайта (Content Management System, CMS). Съвременните сайтове са динамични и се изграждат на базата на системи за управление на съдържание, традиционно състоящи се от Web сървър, сървър за приложения на базата на някакъв сценариен език и бази данни. Популярна свръзка е LAMP — Linux, Apache, MySQL и PHP, има и стекове от продукти на базата на Python, Ruby, Java, ASP и други технологии. Най-разпространени са безплатните CMS продукти WordPress и Joomla, които са базирани на стека LAMP. Ако CMS се извади от строя, зложелателите блокират работата на сайта. Понякога това се прави с на модули за разширение за CMS, в които се вгражда троянски компонент за дистанционно управление на сайта. Обикновено такъв компонент се използва за заразяване на компютри на посетители на сайта, но зложелателите могат да реализират и алтернативен метод за атаки към собственика, унищожавайки „отвътре“ сайта.

Неотдавна се появи нов тип DoS атака – премахване на данни в облачни услуги. По принцип отчетните данни от облачните услуги са свързани с даден е-пощенски адрес. Прихващайки или отгатвайки паролата за тази е-поща, зложелателят може да получи контрол над облачната услуга и да унищожи съхранените в нея данни. Това лято бяха засечени две атаки от подобен тип. В първия случай зложелател прихвана отчетните данни от администратора на облачния оператор Code Space и поиска откуп за тях. Администраторите на се опитаха да си върнат контрола над своите данни и тогава нападателят започна да унищожава информацията, съхранявана в облака. В резултат операторът бе принуден да обяви, че вече не може да предоставя услуги и приключва дейността си.

Подобна история се случи и с британската компания Aviva. Към разгърнатия в нея продукт за управление на мобилни устройства MobileIron бяха свързани устройствата на всички служители. Зложелателят получи достъп до отчетните данни на администратора на системите, разпрати на всички служители SMS, а след това пусна отдалечено обновление на данните на всички корпоративни устройства. Такива вредни действия също могат да се определят като DoS атака, макар че за тях има и друго название - саботаж. За щастие засега са открити само единични случаи на саботаж и атака срещу CMS. Те явно се организират ръчно. Тъй като автоматизирана платформа за такива действия още не е създадена, няма и потребност от автоматизирани средства за . Въпреки това при реализация на Web проекти си струва да се оцени и вероятността от такъв тип атаки.

Отделно може да се отбележи и възможността за юридическа DoS атака в Русия с на приетите закони за блокиране на сайтове. Парламентът вече пусна няколко закона, които позволяват блокиране на широк кръг сайтове с основание недостатъчно ясно формулирани критерии, ограничавайки достъпа до тях от страна на потребителите. Много сайтове вече се блокират от доставчика в съответствие с тези списъци, макар че често това става и не по законно основание, а само защото те са разположени на същите IP адреси, на които е и блокираният сайт. От 1 август в сила влязоха и допълнителни поправки в закона, предписващи регистрация на блогъри, задължаващи ги да спазват доста стриктни и по този начин усложняващи значително тяхната дейност. За щастие и тези операции по дискредитиране на сайтове и разполагането в тях на „забранена“ информация с последващо изпращане на сайта в списъка със забранените засега не се автоматизира, затова всеки трябва да се справя с подобни атаки самостоятелно. Нужно е поне да се следи какво публикуват на сайта потребителите и да се премахват съобщения, нарушаващи руското законодателство, отбелязват колегите от Computerworld Русия.

Статистика

От лятото на тази година вече няколко компании, които се занимават със от DDoS атаки, публикуваха статистика за традиционните атаки с привличане на зомби компютри, усилватели и други технически подобрения. По данни на Prolexic, която анализира DDoS активността през второто тримесечие, средната мощност на атаките е нараснала със 72%, а пиковата - с 241% в сравнение с миналата година. В сравнение с първото тримесечие, когато е засечена максимална пикова атака от 400 Gbps, активността на DDoS се понижила, като се е свила и средната продължителност на атаките. Сега тя е 17 часа, което е напълно достатъчно за нанасяне на доста сериозни вреди на Web проекти, най-малкото са нужни големи разходи за възстановяване работоспособността на сайтовете и придобиването на услуги за от DDoS.

Arbor Networks отбелязва, че през II тримесечие на 2014 г. броят на неголемите атаки с мощност 20 Gbps се увеличил двойно в сравнение с аналогичния период от 2013 г. При това са засечени около стотина атаки с мощност над 100 Gbps. Тези изводи са направени на базата на анализ на данните, събрани в реално време от специална разпределена , която осъществява мониторинг на мрежови събития в инфраструктурата на 300 клиенти на .

Руската компания Qrator отбелязва, че през второто тримесечие на 2014 г. броят на атаките се е намалил – от 4375 през миналата година до 2715 през тази, макар че значително е нараснал броят на задействаните в тях зомби компютри — от 136 644 на 420 489 машини средно на атака. Освен това се е увеличила максималната продължителност на атаката — от 21 на 90 дни. Експертите на Qrator са отчели намаляване на дела на атаките с използване на метода за усилване – през 2013 г. този показател е над 50%. Според шефа на Qrator Александър Лямин, може да се очаква скоро атака с мощност до 600 Gbps, за която ще бъде задействан метод на усилване. Той предупреждава още, че зложелателите ще преминат към по-ефективни методи за DDoS, които не изискват използване на голям брой зомби машини.

Защита от DDоS

Там, където се ползват автоматизирани средства за атака, винаги могат да бъдат разработени и автоматизирани средства за . В частност някои пускат специални устройства, способни да блокират непродуктивни заявки. Такива устройства има в арсенала на компаниите Cisco, Arbor Networks, CloudShield и други. Подобни решения осъществяват филтриране на паразитния трафик с висока скорост и са предназначени основно за доставчици – те трябва да се инсталират не пред корпоративния сайт, а колкото се може по-близо до източника на непродуктивните заявки. В частност с на подобни устройства може да предложи оператор, свързващ сайта към . Затова хостинг трябва да се поръчва от доставчик, който обезпечава от DDoS атаки.

Компаниите могат да се възползват от специални услуги за от DDoS, предварително отчитащи трафика от външни заявки. Такива услуги предоставят например Лаборатория Касперски, Qrator и дру. Системите за на услугата контролират заявките, постъпващи в сайта на клиента, и се стараят да отсеят онези, които приличат на странни. Някои компании сключват партньорски споразумения с големите оператори и инсталират в техните технологични центрове собствено оборудване. Това позволява да се филтрира трафикът не пред сайта на клиента, а още в далечните подстъпи към него. Такава разпределена мрежа за филтрация помага да се защитавате и от най-мощните разпределени атаки. Хостинг доставчик не е в състояние да осигури подобно ниво на филтрация — в случай на много силна атака хостващите често сами изключват сайта, към който се провежда атака, за да запазят достъпността на останалите.

Впрочем не бива да забравяме и за противодействие на саботаж. Макар че такива атаки тепърва започнаха да се появяват, има смисъл да се помисли за от тях. Препоръката е проста - нужна е надеждна автентификация на администраторите на облачни услуги и управляваните през Web средства за . Много е важно да се направи процедурата за автентификация на потребителя по-защитена. Един от вариантите е да се използват за целта специални персонални устройства, в които да се съхранява идентификатор на потребителя. В този случай, за разлика от чифта логин-парола, за да се възползвате от записа, трябва да притежавате и самите устройства и да знаете паролата за него. Важен момент е невъзможността да се клонира такова устройство с идентификатора на потребителя в него. Не трябва да се забравя и за защитата на е-поща, на която се регистрират записите на потребителите на облачни услуги. Не се препоръчва да се ползва за целта Web поща, по-добре е специално да се създаде неголям собствен пощенски домейн и на него да се настройват по-сложни механизми за автентификация.

„Трябва да се помни и за юридическата DoS атака, която може да протече по такъв сценарий: след взлома в CMS се създава допълнителен сайт, който се пълни със забранената информация, за чието наличие се съобщава в Роскомнадзор, обясняват от Computerworld Русия. - В резултат IP адресът на сайта попада в черния списък, а потребителят има проблеми с достъпа, включително и към основния сайт. За от такъв сценарий е нужно да се контролира CMS - минимум трябва да имате собствена инсталирана , а не под наем, работеща на съвместно използван сървър. При качване на CMS в облака си струва да се предвидят механизми за контрол на конфигурацията и търсенето на странен код.“

Като цяло трябва да се знае, че DoS атаката е не само целенасочено препълване на каналите, а и резултат от неправилно управление на изчислителни ресурси на сайта, затова не трябва да има тесни места в неговата архитектура.




Публикувана от admin на February 19 2015
Коментари
Няма написани коментари
Напишете коментар
Трябва да сте регистриран за да напишете коментар
Оценки
Оценяването е достъпно единствено за потребителите.

Влезте в акаунта си или се регистрирайте за да можете да давате оценки.

Няма оценки
Вход
Потребител

Парола



Не сте потребител?
Натиснете тук за да се регистрирате.

Забравихте паролата си?
Поискате си нова тук.
Downloads

New Downloads

NAVIGON-Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
µTorrent 3.4.1 ...
BitTorrent 7.9....
ProgDVB 7.04.2 ...
ProgDVB 7.04.2 ...
Wine 1.7.17
sakis3g
Wise Disk Clean...
DAEMON Tools Li...
opam
TurboFTP 6.30 B...
Skype 6.3.73.10...
FileZilla 3.7.0...
ChrisTV 5.75
BSPlayer Pro 2....
Rotativki
SquirrelMail + ...

Top 10 Downloads

n-Track Studio ... [7446]
Super MP3 Downl... [7298]
Registry Mechan... [7268]
Microsoft Secur... [7228]
Hiren`s v10.0.9 [6890]
K-Lite Mega Cod... [6424]
Rotativki [6335]
BitComet 1.21 F... [6332]
Slax + Hiren's ... [4416]
WinSetup From USB [4061]
Ново от Калдата