Вирус отказ в обслуживании

Обновлено: 22.04.2024

В DoS-атаке злоумышленник со злым умыслом не дает пользователям получить доступ к сервису. Он делает это либо нацеливаясь на ваш компьютер и его сетевое подключение, либо на компьютеры и сеть веб-сайта, которые вы пытаетесь использовать. Таким образом, он может запретить вам доступ к вашей электронной почте или учетным записям в Интернете.

Представьте себе ситуацию, когда вы пытаетесь войти в свою учетную запись в Интернет-банке для онлайн транзакций. Однако, как это ни странно, вам отказано в доступе к веб-сайту банка, несмотря на быстрое подключение к Интернету. Теперь может быть две возможности – либо ваш интернет-провайдер не работает, либо вы подвергаетесь DoS-атаке!

В DoS-атаке злоумышленник отправляет поток лишних запросов на главный сервер соответствующего веб-сайта, который в основном перегружает его и блокирует любые дальнейшие запросы, прежде чем емкость будет сохранена обратно. Это приводит к отклонению входящих законных запросов на этот веб-сайт и, как следствие, вы жертва .

Однако способы атаки могут различаться в зависимости от мотивов атакующего, но это наиболее распространенный способ запуска DoS-атаки. Другие способы атаки могут включать в себя предотвращение доступа определенного человека к определенному веб-сайту, создание препятствий для соединения между двумя компьютерами на стороне сервера, следовательно, нарушение работы службы и т. Д.

Типы DoS-атак

В зависимости от характера и цели атаки существует несколько типов программ, которые можно использовать для запуска DoS-атак в вашей сети. Обратите внимание на следующие наиболее часто используемые DoS-атаки:

1] SYN Flood

SYN Flood использует неоправданное преимущество стандартного способа открытия TCP-соединения. Когда клиент хочет открыть TCP-соединение с открытым портом сервера, он отправляет пакет SYN . Сервер получает пакеты, обрабатывает их и затем отправляет обратно пакет SYN-ACK , который включает информацию об исходном клиенте, хранящуюся в таблице Блок управления передачей (TCB) . При нормальных обстоятельствах клиент отправляет обратно пакет ACK, подтверждающий ответ сервера и, следовательно, открывающий соединение TCP. Однако при потенциальной SYN-атаке злоумышленник отправляет целую группу запросов на подключение, используя пародийный IP-адрес, которые на целевой машине рассматриваются как допустимые запросы. Впоследствии он обрабатывает каждый из них и пытается открыть соединение для всех этих злонамеренных запросов.

При нормальных обстоятельствах клиент отправляет обратно пакет ACK, подтверждающий ответ сервера и, следовательно, открывающий соединение TCP. Однако при потенциальной атаке SYN-злоумышленник отправляет целую группу запросов на подключение с использованием пародийного IP-адреса, которые целевая машина рассматривает как допустимые запросы. Впоследствии он обрабатывает каждый из них и пытается открыть соединение для всех этих злонамеренных запросов. Это заставляет сервер ожидать пакет ACK для каждого запроса соединения, который фактически никогда не приходит.Эти запросы быстро заполняют таблицу TCB сервера, прежде чем он сможет установить время ожидания для любого соединения, и, таким образом, любые дальнейшие законные запросы на соединение помещаются в очередь ожидания.

Распределенный отказ в обслуживании или DDoS-атака похожи на офицера в этой банде. DDoS значительно усложняется уровнями выше обычной DoS-атаки, генерируя трафик на целевой машине через более чем один компьютер. Злоумышленник контролирует сразу несколько скомпрометированных компьютеров и других устройств и распределяет задачу по заполнению целевого сервера трафиком, чрезмерно поглощая его ресурсы и пропускную способность. Злоумышленник также может использовать ваш компьютер для запуска атаки на другой компьютер, если существуют проблемы с безопасностью.

Теперь, насколько это очевидно, DDoS-атака может быть намного более эффективной и реальной по сравнению с DoS. Некоторые веб-сайты, которые могут легко обрабатывать несколько соединений, могут быть легко отключены путем отправки многочисленных одновременных запросов на спам. Ботнеты используются для вербовки всех видов уязвимых устройств, безопасность которых может быть нарушена путем внедрения в них вируса и регистрации их в армии зомби , которую злоумышленник может контролировать и использовать их. для DDoS-атаки. Следовательно, будучи обычным пользователем компьютера, вы должны знать о пробелах в безопасности вашей системы и вокруг нее, в противном случае вы можете в конечном итоге выполнять чью-то грязную работу и никогда не узнавать об этом.

Предотвращение DoS-атак

DoS-атаки не могут быть заранее определены. Вы не можете предотвратить жертву DoS-атаки. Для этого не так много эффективных способов. Тем не менее, вы можете уменьшить вероятность быть частью такой атаки, когда ваш компьютер может быть использован для атаки другой. Запишите ниже значимые моменты, которые могут помочь вам получить шансы в вашу пользу.

Разверните антивирус и брандмауэр в своей сети, если это еще не сделано. Это помогает ограничить использование полосы пропускания только для аутентифицированных пользователей.
Конфигурация сервера может помочь уменьшить вероятность нападения. Если вы являетесь сетевым администратором в какой-либо фирме, посмотрите на конфигурацию вашей сети и ужесточите политики брандмауэра, чтобы заблокировать неаутентифицированным пользователям доступ к ресурсам сервера.
Некоторые сторонние службы предлагают руководство и защиту от DoS-атак. Они могут быть дорогими, но эффективными. Если у вас есть капитал для развертывания таких сервисов в вашей сети, лучше приступайте к работе.

DoS-атаки, как правило, направлены на крупные организации , такие как компании банковского и финансового сектора, торговые и коммерческие окурки и т. Д. Нужно быть полностью осведомленным и оглядываться через плечо, чтобы предотвратить любые потенциальные атаки. Хотя эти атаки напрямую не связаны с хищением конфиденциальной информации, жертвам может потребоваться немалое количество времени и денег, чтобы избавиться от проблемы.

Быстрые и мощные

Технологии DDoS – новинки арсенала

Чтобы проводить спринты со взрывами паразитного трафика, нужна хорошая техническая база. И за последнее время злоумышленники неплохо ее прокачали. Мы обратили внимание на появление новых мощных амплификаторов, которые стали активно использоваться при DDoS-атаках.

Во-первых, это UDP-based протокол Apple Remote Desktop (UDP-порт 3283), фактор амплификации которого составляет 35.5:1 (данные Netscout). Apple Remote Desktop — приложение удаленного администрирования рабочих станций под управлением macOS. Служба ARMS (Apple’s Remote Management Service) обращается к UDP-порту, который постоянно открыт на рабочих станциях под управлением macOS, когда включен режим Remote Management, даже если это противоречит настройкам безопасности на файрволе. На сегодня в глобальной сети фиксируется более 16 тыс. компьютеров под управлением macOS с открытым UDP-портом.

Также злоумышленники активно используют протокол обнаружения устройств WS-Discovery (Web Services Dynamic Discovery), применяемый в IoT-решениях. Его фактор амплификации составляет 500:1. Как и Apple Remote Desktop, WS-Discovery передает пакеты с помощью UDP-based протокола, что позволяет хакерам применять спуфинг (подмену IP-адреса) назначения пакетов. BinaryEdge насчитали в интернете порядка 630 тыс. устройств с этой уязвимостью (данные на сентябрь 2019). Пользуйся – не хочу!

Самые популярные типы атак

В целом наиболее популярным методом DDoS-атак по-прежнему является UDP flood — около 32% в общем объеме атак. На втором и третьем местах – SYN flood (27,4%) и атаки фрагментированными пакетами (14,2%). Недалеко от лидеров – атаки типа DNS amplification (13,2%).

Злоумышленники также экспериментируют с редко используемыми сейчас протоколами — 16 (CHAOS) и 111 (IPX over IP). Однако такие атаки скорее исключение: эти протоколы не используются клиентами в реальной жизни и могут быть легко обнаружены и сброшены при подавлении атак.

Последнее время злоумышленники стали сочетать разные типы атак. Пример такого DDoS-коктейля – SYN+ACK reflection. При атаках такого типа используются сторонние публичные ресурсы, на которые направляются SYN-пакет с поддельным адресом жертвы в качестве источника. Сторонние серверы отвечают пакетом SYN+ACK жертве, TCP-стек которой страдает от обработки пакетов, пришедших вне всякой сессии. Мы наблюдали ситуацию, в которой обе стороны — и жертва и сторонние ресурсы, используемые для отражения, — были нашими клиентами. У первых это выглядело как SYN+ACK reflection, у вторых как SYN flood.

Новые и старые жертвы

простое распределение общего числа зафиксированных атак по отраслям,
средний рост числа атак на одного клиента отрасли. Этот показатель нивелирует возможную погрешность, связанную с увеличением количества заказчиков из определенной отрасли (а значит, и ростом числа фиксируемых атак).

По отраслям

Тем не менее, киберспорт в целом остается лакомым куском. Игровые протоколы используют UDP в качестве транспорта. Это позволяет не только подменять адреса отправителя, но и затрудняет отслеживание сессий. За отчетный период мы наблюдали два основных типа DDoS-атак уровня приложений на игровые серверы. Первый добивается их недоступности путем отправки большого количества пакетов, которые для стороннего сервиса защиты похожи на легитимные. Защита от таких атак основана на профилировании легитимного трафика и таких мерах, как regexp и challenge-response.

Второй тип связан с эксплуатацией выявленных уязвимостей игровых протоколов и платформ. В данном случае для проактивной защиты необходим другой класс устройств – Game application firewall. Крупные игровые хостинги и производители стараются защитить серверы, встраивая различные проверки в свои программы-клиенты и связывают их с самостоятельно разработанными системами защиты.

На втором месте по популярности – телеком-компании, доля которых в общем объеме атак значительно выросла: с 10% до 31%. Как правило, это некрупные региональные ISP, различные хостинги и дата-центры, у которых нет ресурсов для отражения мощных атак, поэтому для хакеров они становятся легкой жертвой.

Помимо телекома, злоумышленники обратили внимание на образовательные учреждения и государственный сектор. Ранее их доля в общем объеме DDoS-атак составляла 1% и 2% соответственно, но за год выросла до 5% для каждого из сегментов. Мы связываем это с цифровизацией и запуском собственных интернет-ресурсов, от которых все больше зависит деятельность таких организаций особенно в период самоизоляции.

В остальных секторах без значимых изменений:

Атаки в расчете на одного клиента

Средний рост количества атак в расчете на одного клиента значительно ускорился. Если в 2018 году он составлял 21%, то по итогам 2019-го и начала 2020 года – достиг 58%. Наибольший рост числа атак в расчете на одного клиента показали образовательные учреждения – 153%. Это электронные дневники, сайты с заданиями и контрольными – все то, что мешает ученикам наслаждаться жизнью. Не исключено, что инициаторами таких атак часто являются ~~мамкины хекеры~~ сами учащиеся, что еще раз доказывает простоту организации DDoS на такие слабозащищенные ресурсы, как сайты школ, например.

Рост атак на одного клиента:

Что предпринять

Количество DDoS-атак будет расти, появятся новые амплификаторы, типы атак и естественно новые мишени для злоумышленников. Но, как гласит третий закон Ньютона, на каждое
действие есть противодействие.

Методы предотвращения DDoS известны – было бы желание заняться наконец этим вопросом. Чтобы не плодить IoT-ботнеты: своевременно устранять уязвимости на всех своих устройствах, контролировать порты и не использовать IPv6.

Чтобы правильно настроить защиту в условиях быстро меняющихся векторов атак: использовать заранее подготовленные варианты противодействия конкретным типам известных атак и регулярно проверять свою инфраструктуру.

В целом можно видеть, что современные проблемы в области DDoS так или иначе связаны между собой. Поэтому защищать приложения и инфраструктуру, особенно бизнес-критичный сегмент, необходимо комплексно, на разных этапах фильтрации.

Кого атакуют?

При этом DDoS-атаки существенного ущерба банкам не принесли – они неплохо защищены, поэтому такие атаки, хотя и доставляли неприятности, но не носили критический характер и не нарушили ни одного сервиса. Тем не менее, можно констатировать, что антибанковская активность хакеров значительно увеличилась.

В феврале 2017 года технические службы Минздрава России отразили самую масштабную за последние годы DDoS-атаку, которая в пиковом режиме достигала 4 миллионов запросов в минуту. Предпринимались и DDoS-атаки на государственные реестры, но они также были безуспешны и не привели к каким-либо изменениям данных.

Устройства IoT приобретают все большую популярность в качестве инструментов для осуществления DDoS-атак. Знаменательным событием стала предпринятая в сентябре 2016 года DDoS-атака с помощью вредоносного кода Mirai. В ней в роли средств нападения выступили сотни тысяч камер и других устройств из систем видеонаблюдения.

Она была осуществлена против французского хостинг-провайдера OVH. Это была мощнейшая DDoS-атака – почти 1 Тбит/с. Хакеры с помощью ботнета задействовали 150 тыс. устройств IoT, в основном камеры видеонаблюдения. Атаки с использованием ботнета Mirai положили начало появлению множества ботнетов из устройств IoT. По мнению экспертов, в 2017 году IoT-ботнеты по-прежнему будут одной из главных угроз в киберпространстве.

Последствия атак

Каковы последствия DDoS-атаки? Во время атаки жертва теряет клиентов из-за медленной работы или полной недоступности сайта, страдает репутация бизнеса. Сервис-провайдер может заблокировать IP-адрес жертвы, чтобы минимизировать ущерб для других клиентов. Чтобы все восстановить, потребуется время, а возможно и деньги.

По данным опроса компании HaltDos, DDoS-атаки рассматриваются половиной организаций как одна из самых серьезных киберугроз. Опасность DDoS даже выше, чем опасность несанкционированного доступа, вирусов, мошенничества и фишинга, не говоря о прочих угрозах.

Средние убытки от DDoS-атак оцениваются по миру в 50 тыс. долларов для небольших организаций и почти в 500 тыс. долларов для крупных предприятий. Устранение последствий DDoS-атаки потребует дополнительного рабочего времени сотрудников, отвлечения ресурсов с других проектов на обеспечение безопасности, разработки плана обновления ПО, модернизации оборудования и пр.

Репутация атакованной организации может пострадать не только из-за плохой работы сайта, но и из-за кражи персональных данных или финансовой информации.

По данным опроса компании HaltDos, количество DDoS-атак растет ежегодно на 200%, ежедневно в мире сообщают о 2 тыс. атаках такого типа. Стоимость организации DDoS-атаки недельной продолжительности – всего порядка 150 долларов, а потери жертвы в среднем превышают 40 тыс. долларов в час.

Типы DDoS-атак

Основные типы DDoS-атак: массированные атаки, атаки на протокольном уровне и атаки на уровне приложений. В любом случае цель состоит в том, чтобы вывести сайт из строя или же украсть данные. Другой вид киберпреступлений – угроза совершения DDoS-атаки для получения выкупа. Этим славятся такие хакерские группировки как Armada Collective, Lizard Squad, RedDoor и ezBTC.

Многовекторные атаки составляют порядка 27% от общего числа атак DDoS.

В случае атаки на уровне протокола (например, UDP или ICMP) целью является исчерпание ресурсов системы. Для этого посылаются открытые запросы, например, запросы TCP/IP c поддельными IP, и в результате исчерпания сетевых ресурсов становится невозможной обработка легитимных запросов. Типичные представители — DDoS-атаки, известные в узких кругах как Smurf DDos, Ping of Death и SYN flood. Другой вид DDoS-атак протокольного уровня состоит в отправке большого числа фрагментированных пакетов, с которыми система не справляется.

DDoS-атаки Layer 7 – это отправка безобидных на вид запросов, которые выглядят как результат обычных действий пользователей. Обычно для их осуществления используют ботнеты и автоматизированные инструменты. Известные примеры — Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

В 2012–2014 годах большинство массированных DDoS-атак были атаками типа Stateless (без запоминания состояний и отслеживания сессий) – они использовали протокол UDP. В случае Stateless в одной сессии (например, открытие страницы) циркулирует много пакетов. Кто начал сессию (запросил страницу), Stateless-устройства, как правило, не знают.

Тот же метод работает для серверов NTP, устройств с поддержкой SSDP. Протокол NTP – едва ли не самый популярный метод: во второй половине 2016 года он использовался в 97,5% DDoS-атак.
Правило Best Current Practice (BCP) 38 рекомендует провайдерам конфигурировать шлюзы для предотвращения спуфинга – контролируется адрес отправителя, исходная сеть. Но такой практике следуют не все страны. Кроме того, атакующие обходят контроль BCP 38, переходя на атаки типа Stateful, на уровне TCP. По данным F5 Security Operations Center (SOC), в последние пять лет такие атаки доминируют. В 2016 году TCP-атак было вдвое больше, чем атак с использованием UDP.

Соотношение разных типов DDoS-атак по данным отчета Verizon Data Breach Investigations Report (DBIR) (2016 год).

Нередко DDoS-атаки приурочивают к периодам пикового трафика, например, к дням интернет-распродаж. Большие потоки персональных и финансовых данных в это время привлекают хакеров.

DDoS-атаки на DNS

Доменная система имен (Domain Name System, DNS) играет фундаментальную роль в производительности и доступности сайта. В конечном счете – в успехе вашего бизнеса. К сожалению, инфраструктура DNS часто становится целью DDoS-атак. Подавляя инфраструктуру DNS, злоумышленники могут нанести ущерб вашему сайту, репутации вашей компании и повлиять ее финансовые показатели. Чтобы противостоять современным угрозам, инфраструктура DNS должна быть весьма устойчивой и масштабируемой.

По существу DNS – распределенная база данных, которая, кроме всего прочего, ставит в соответствие удобные для чтения имена сайтов IP-адресам, что позволяет пользователю попасть на нужный сайт после ввода URL. Первое взаимодействие пользователя с сайтом начинается с DNS-запросов, отправляемых на сервер DNS с адресом интернет-домена вашего сайта. На их обработку может приходиться до 50% времени загрузки веб-страницы. Таким образом, снижение производительности DNS может приводить к уходу пользователей с сайта и потерям для бизнеса. Если ваш сервер DNS перестает отвечать в результате DDoS-атаки, то на сайт никто попасть не сможет.

DDoS-атаки трудно обнаружить, особенно вначале, когда трафик выглядит нормальным. Инфраструктура DNS может подвергаться различным типам DDoS-атак. Иногда это прямая атака на серверы DNS. В других случаях используют эксплойты, задействуя системы DNS для атаки на другие элементы ИТ-инфраструктуры или сервисы.

При атаках DNS Reflection цель подвергается массированным подложным ответам DNS. Для этого применяют бот-сети, заражая сотни и тысячи компьютеров. Каждый бот в такой сети генерирует несколько DNS-запросов, но в качестве IP источника использует один и тот же IP-адрес цели (спуфинг). DNS-сервис отвечает по этому IP-адресу.

Предположим, атакующий выдал 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт). Если каждый ответ содержит 1 Кбайт, то в сумме это уже 100 Мбайт. Отсюда и название – Amplification (усиление). Комбинация атак DNS Reflection и Amplification может иметь очень серьезные последствия.

Как защититься от DDoS-атак?

Защита DNS

А как защитить инфраструктуру DNS от DDoS-атак? Обычные файрволы и IPS тут не помогут, они бессильны против комплексной DDoS-атаки на DNS. На самом деле брандмауэры и системы предотвращения вторжений сами являются уязвимыми для атак DDoS.

На выручку могут прийти облачные сервисы очистки трафика: он направляется в некий центр, где проверяется и перенаправляется обратно по назначению. Эти услуги полезны для TCP-трафика. Те, кто сами управляют своей инфраструктурой DNS, могут для ослабления последствий DDoS-атак принять следующие меры.

В случае Unicast каждый из серверов DNS вашей компании получает уникальный IP-адрес. DNS поддерживает таблицу DNS-серверов вашего домена и соответствующих IP-адресов. Когда пользователь вводит URL, для выполнения запроса выбирается один из IP-адресов в случайном порядке.

При схеме адресации Anycast разные серверы DNS используют общий IP-адрес. При вводе пользователем URL возвращается коллективный адрес серверов DNS. IP-сеть маршрутизирует запрос на ближайший сервер.

Anycast предоставляет фундаментальные преимущества перед Unicast в плане безопасности. Unicast предоставляет IP-адреса отдельных серверов, поэтому нападавшие могут инициировать целенаправленные атаки на определенные физические серверы и виртуальные машины, и, когда исчерпаны ресурсы этой системы, происходит отказ службы. Anycast может помочь смягчить DDoS-атаки путем распределения запросов между группой серверов. Anycast также полезно использовать для изоляции последствий атаки.

Средства защиты от DDoS-атак, предоставляемые провайдером

Проектирование, развертывание и эксплуатации глобальной Anycast-сети требует времени, денег и ноу-хау. Большинство ИТ-организаций не располагают для этого специалистами и финансами. Можно доверить обеспечение функционирования инфраструктуры DNS провайдеру – поставщику управляемых услуг, который специализируется на DNS. Они имеют необходимые знания для защиты DNS от DDoS-атак.

Поставщики услуг Managed DNS эксплуатируют крупномасштабные Anycast-сети и имеют точки присутствия по всему миру. Эксперты по безопасности сети осуществляют мониторинг сети в режиме 24/7/365 и применяют специальные средства для смягчения последствий DDoS-атак.

Услуги защиты от DDoS-атак предлагают и некоторые поставщики услуг хостинга: анализ сетевого трафика производится в режиме 24/7, поэтому ваш сайт будет в относительной безопасности. Такая защита способна выдержать мощные атаки — до 1500 Гбит/сек. Оплачивается при этом трафик.

Еще один вариант – защита IP-адресов. Провайдер помещает IP-адрес, который клиент выбрал в качестве защищаемого, в специальную сеть-анализатор. При атаке трафик к клиенту сопоставляется с известными шаблонами атак. В результате клиент получает только чистый, отфильтрованный трафик. Таким образом, пользователи сайта могут и не узнать, что на него была предпринята атака. Для организации такого создается распределенная сеть фильтрующих узлов так, чтобы для каждой атаки можно было выбрать наиболее близкий узел и минимизировать задержку в передаче трафика.

Результатом использования сервисов защиты от DDoS-атак будет своевременное обнаружение и предотвращение DDoS-атак, непрерывность функционирования сайта и его постоянная доступность для пользователей, минимизация финансовых и репутационных потерь от простоев сайта или портала.

Думаю, начать стоит с того, что в последнее время все больше заказчиков обращаются не только за тестированием на проникновение, но и за проверкой устойчивости их сервисов к атакам на отказ в обслуживании, чаще всего — веб-сайтов. И на нашей практике пока не было ни одного случая, чтобы реальный работающий сайт (не заранее подготовленная площадка) не вышел из строя, в т.ч. находящийся под разными защитными системами. И этот пост — резюмирование текущего опыта (D)DoS тестирования разными методами совершенно разных инфраструктур (от банков до типичных корпоративных сайтов).

Визуализация DDoS-атаки

Итак, давайте еще раз. Задача — вывести ресурс из строя любыми доступными методами, будь мы злоумышленниками. В 99% в качестве исходных данных дается домен/IP.

Как проходит работа?

А теперь о каждой из методик.

Атака на канал

Или атака в лоб. Задача — забить канал сервера и привести к его недоступности для легитимных клиентов. В реальности атакующие используют разные техники — от реальных ботнетов до атак через публичные dns/ntp сервера. Что же мы делаем? На Хабре была статья — Миллион одновременных соединений на Node.js. Отличная идея — использовать облако Амазона! Добавляем несколько своих тулз для генерирования трафика в образ/ставим после запуска на ноды и получаем свой мини бот-нет со 100 мбит карточками на борту! В итоге количеством нод мы можем регулировать атаку и ударить по цели с разных регионов мира (так как Амазон предоставляет сервера в разных странах), достигая атаку в несколько гигабит (большинство реальных атак по скорости < 1 ГБит/с, судя по разным статистикам). На практике — то вся стойка у хостера отвалится, то еще что-нибудь. Ответственность за работу с хостером берёт на себя заказчик (предупредить, что будет тестирование и т.п.). Был опыт тестирования серверов и под разными защитами от подобных атак, например сервисами, подобных CloudFlare.

Схема работы CloudFlare и многих других сервисов по защите против DDoS'а

И на практике — они действительно обеспечивают защиту. Сайт как работал, так и работает. Но сервера под защитой встречаются о-о-о-очень редко. Но всё равно стоит помнить, что было при использовании dns/ntp серверов. От таких мощностей не то что сервису по защите от DDoS'а станет плохо, но порой и самим точкам обмена трафиком.

Атаки на сетевые сервисы

The number of denied TCP and non-TCP packets per second exceeded the system limit. As a result, Forefront TMG reduced the number of records of denied packets that are written in the log.
One or many zombie hosts may be attempting an attack against a victim server, but Forefront TMG policy blocks the attack traffic.
See the product documentation for more information about Forefront TMG flood mitigation.

Атака на application уровень

Conclusion

Тестирование на отказ в обслуживании может выявить неявные проблемы в архитектуре, от которых не спастись внешними сервисами по защите от DoS, конфигами, новыми правилами в iptables и т.д. и стоит данному виду тестирования уделять должное внимание.

DoS-атаки можно условно поделить на три группы:

атаки большим числом формально корректных, но, возможно, сфальсифицированных пакетов, направленные на истощение ресурсов узла или сети;
атаки специально сконструированными пакетами, вызывающие общий сбой системы из-за ошибок в программах;
атаки сфальсифицированными пакетами, вызывающими изменения в конфигурации или состоянии системы, что приводит к невозможности передачи данных, сбросу соединения или резкому снижению его эффективности.

Истощение ресурсов узла или сети

Для устранения атак smurf защитные меры могут быть предприняты как потенциальными усилителями, так и администраторами сетей, в которых может находиться злоумышленник. Это:

запрет на маршрутизацию датаграмм с широковещательным адресом назначения между сетью организации и Интернетом;
запрет на обработку узлами Echo-запросов, направленных на широковещательный адрес;
запрет на маршрутизацию датаграмм, направленных из внутренней сети (сети организации) в Интернет, но имеющих внешний адрес отправителя.

В этой связи отметим, что каждая сеть может оказаться в любой из трех ролей: сети злоумышленника, усилителя или жертвы, поэтому, принимая меры по защите других сетей, вы можете надеяться, что администраторы других сетей достаточно квалифицированы и принимают те же самые меры, которые могут защитить вас.

SYN flood и Naptha

Распространенная атака SYN flood (она же Neptune) состоит в посылке злоумышленником SYN-сегментов TCP на атакуемый узел в количестве большем, чем тот может обработать одновременно (это число невелико — обычно несколько десятков).

При получении каждого SYN-сегмента модуль TCP создает блок TCB, то есть выделяет определенные ресурсы для обслуживания будущего соединения, и отправляет свой SYN-сегмент. Ответа на него он никогда не получит. (Чтобы замести следы и не затруднять себя игнорированием ответных SYN-сегментов, злоумышленник будет посылать свои SYN-сегменты от имени несуществующего отправителя или нескольких случайно выбранных несуществующих отправителей.) Через несколько минут модуль TCP ликвидирует так и не открытое соединение, но если одновременно злоумышленник сгенерирует большое число SYN-сегментов, то он заполнит все ресурсы, выделенные для обслуживания открываемых соединений, и модуль TCP не сможет обрабатывать новые SYN-сегменты, пока не освободится от запросов злоумышленника. Постоянно посылая новые запросы, злоумышленник может продолжительно удерживать жертву в блокированном состоянии. Чтобы снять воздействие атаки, злоумышленник посылает серию сегментов с флагом RST, которые ликвидируют полуоткрытые соединения и освобождают ресурсы атакуемого узла.

Целью атаки является приведение узла (сервера) в состояние, когда он не может принимать запросы на открытие соединений. Однако некоторые недостаточно хорошо спроектированные системы в результате атаки не только перестают открывать новые соединения, но и не могут поддерживать уже установленные, а в худшем случае — зависают.

Атака состоит в посылке на атакуемый узел фрагментированной датаграммы, размер которой после сборки превысит 65 535 октетов. Напомним, что длина поля Fragment Offset заголовка IP-датаграммы — 13 битов (то есть, максимальное значение равно 8192), а измеряются смещения фрагментов в восьмерках октетов. Если последний фрагмент сконструированной злоумышленником датаграммы имеет, например, смещение Fragment Offset=8190, а длину — 100, то его последний октет находится в собираемой датаграмме на позиции 8190*8+100=65620 (плюс как минимум 20 октетов IP-заголовка), что превышает максимальный разрешенный размер датаграммы.

Читайте также: