Словосполучення DoS-атака у зловіщому ракурсі, точно раз за життя чув кожен. Але разом з тим, навіть теоретичне значення цього явища – невідоме багатьом. І оскільки, ми разом з Вами, на цьому ресурсі уже серйозно захопилися темами по SECURITY TESTING (Тестування безпеки). Хто слідкує за нашими новенькими дописами, то й знає, а хто ні – Читайте…  Вважаємо своїм обов’язком! Проінформувати, ну хоча би дати «зелене поняття», що таке є та DoS-атака.
    Для яснішого розуміння уявіть собі приклад флешмобу у оф-лайні: «У супер маркет одночасно заходить 1500 людей (тролей), кожен бере кошик для покупок, та кладе у нього усього по 1 продукту, скажімо йогурту, і швиденько йде на кассу. Природньо утворюється грандіозна чергуща на усіх підходах, бо касир не здатен швидко розрахувати усю массу люду. В результаті – магазин тимчасово зачиняють, прибуток недотримується – це в кращому випадку, а в гіршому – зчиняється гвалт, з можливою матеріальною шкодою – мародерством, крадіжками.
    Стосовно сайту ніби-то відбувається теж саме. Різко набігає натовп відвідувачів. Але насправді це їх імітація – комп’ютерна програма, яка посилає на сервер мільйон запитів у секунду.

    Ось, завдяки нашому наглядному  прикладу легко уявити, як сервер при цьому себе почуває. Сервер або сильно сповільнюється під час обробки надмірного обсягу запитів, або зовсім відмовляється працювати. Сайт «падає», стає недоступним чесним користувачам. Страждає репутація. На додачу якщо налаштуваннями ПЗ, за нештатної ситуації, передбачено видачу будь-якої критичної інформації, то ймовірніше відбувається ще повне чи часткове оволодіння системою сторонніми.

Опис втрат від Дос-атак
    Захиститися від DoS-атак вкрай складно. В інтернеті навіть розвелося чимало безкоштовних додатків для проведення DDoS-атак від одного натиску на кнопку Пуск.
    Ще складніше захиститися від DDoS (Distributed Denial of Service – розподілених атак). Це різновид  DoS-атаки – по простому колективна DoS-атака. Напад проводять вже не з одного, а з сотень, ба навіть інколи були відомі випадки, із сотень тисяч різних комп’ютерів по цілому світу. Для такого роду атак існують спеціальні програми для добровільної участі в DDoS-атаках. Вони надають в користування чужі машинні ресурси для проведення атак, і взамін роздають свої – принцип роботи торрента. Пересічні власники ПК можуть й не підозрювати, що їх комп’ютер заражений вірусом, котрий десь провокує атаку? Такі комп’ютери звуться – «комп’ютерами-зомбі», синхронізуються разом хакерами у мережу «ботнет».
    Жертвами DoS-атак стають які завгодно сайти: комерційні, інформаційні та урядові, причому різної масштабності. Серед зловмисників популярно використовувати такий вид тероризму з метою шантажу, вимагання грошей за припинення атаки. На замовлення, це один з методів боротьби з конкурентами. До відома: атака, здатна «покласти на лопатки»  невелику компанію на тиждень, коштує смішно – $ 150, година від 5$ – 40$, оренда «ботнету» стільки ж. Більш рідше DoS-атаки використовують для помсти, вираження особистої неприязні. Найчастіше використовують у віртуальних стратегічних іграх війнах. Останнім часом набирає обертів використання у якості інструмента у політичних протестах, ідеологічній боротьбі та інформаційних війнах.

Графік застосування DDoS атак за сферами життя
За даними звіту 2016 Verizon data breach incident report» (DBIR)

Ха-ха ! А тепер демонструємо тестерам – їх ручну робочу іграшку для DoS-атак 🙂

    Open Web Application Security Project (OWASP): Proactive RISK інструмент і Switchblade DoS tool для тестування WEB додатків на стійкість до DDoS-атак. Має три режими работи.  По правилам додаток слід використовувати у мирних цілях, але якщо бути не чемним….ну Ви зрозуміли на що він придасться….теж саме стосується дистрибутиву Kali Linux, дистрибутиву, який містить у собі надзвичайно широкий List-нг інструментів для DoS-атак. Завантажити для ознакомления додаток пропонуємо із офіційного сайту OWASP.

ФОТО OWASP SWITCHBLADE

Простой тест OWASP Top 10 Vulnerability OWASP допоможе виявити найбільш критичні проблеми з безпекою на сайті.

Перелік основних засобів захисту та методів протистояння  DoS-атакам:

    Запобігання – це профілактика причин, що спонукають тих чи інших осіб організовувати DDoS-атаки на Вас. Подумайте про безпеку програмного коду заздалегідь. Рекомендується слідувати стандартам «безпечного кодування» і ретельно тестувати програмне забезпечення, щоб уникнути типових помилок і вразливостей, таких як міжсайтовий скрипти і SQL-ін’єкції. Звідси і наступний пункт береться усунення вразливостей –  усунення помилок в системах і службах обслуговування.
    Ухилення – це відведення безпосередньої мети атаки (доменного імені або IP-адреса-) подалі від інших ресурсів, які часто також піддаються впливу атак. Смішно, бо рівноцінно пораді мами у дитинстві: «не дружити з поганими дітьми» 🙂
    Використання обладнання для відображення DDoS-атак – на ринку сучасного програмного та апаратного забезпечення присутній вибір платних і безкоштовних засобів, здатних повною мірою захистити малий і середній бізнес від слабких DDoS-атак.
Програмне забезпечення, яке встановлено на сервері, має бути актуальним, останньої версії оновлення. Одначе не забудьте про всяк випадок про функцію відкату назад.
     Всі мережеві сервіси повинні бути захищені фаєрволом.
    Фільтрація – блокування трафіку, що виходить від атакуючих машин. Ефективність методу знижується в міру наближення до об’єкта атаки й підвищується в міру наближення до атакуючої машини. В цьому випадку фільтрація може бути двох видів: використання міжмережевих екранів і списків ACL. Використання міжмережевих екранів блокує конкретний потік трафіку, але не дозволяє відокремити «хороший» трафік від «поганого». ACL списки фільтрують другорядні протоколи і не зачіпають протоколи TCP. Це не уповільнює швидкість роботи сервера, але марна трата сил, якщо зловмисник використовує низько рівневі запити.
Один із популярних методів боротьби блекхолінг (від англ чорна діра. – чорна діра) – метод, що дозволяє захистити не тільки об’єкт, котрий атакується, а й всю інфраструктуру ресурсу в цілому. Суть його полягає в тому, що весь атакуючий трафік  перенаправляється на неіснуючий сервер, в так звану «чорну діру».
    Розосередження – це побудова дублююючих систем, через SSH-з’єднання, які дозволяють швидко отримати доступ до сервера і не припиняти обслуговувати користувачів, навіть коли деякі їх елементи стануть недоступні через DoS-атаки. Використання CDN-партнера. Мережі доставки контенту (Content Delivery Network), сервісів Anycast тощо.
      Постійна готовність і окреслений план дій  до віддаленого аварійного перезавантаження.
    Зворотний DDOS – це перенаправлення трафіку, використовуваного для атаки, на атакуючого. При достатній потужності і вміннях вийде  не тільки успішно відбити атаку, але й вивести з ладу сервер атакуючого. Інші активні заходи у відповідь, аби зловмисники боялися і більше не насмілювалися Вас чіпати.

Але основному потрібно правильно налаштовувати сервер та комп’ютер.

    Стосовно компаній провайдерів, що надають серверні послуги, хостингу, нам усім користувачам, то вони, звісно, постійно намагаються удосконалювати свою лінію оборони, за великі гроші. І то її інколи прориває, час від часу відчуваємо на собі деякі відлуння, час від часу доходять чутки.
    Видів DDoS-атак, існує чимало. Плюс у кожного хакера виробляється свій почерк під час спроб захвату. Фьюжн інструментів – застосовують все нові і нові ідеї та комбінації. Кінці-кінців не всі атаки можна послабити або подолати. Іноді навіть немає сенсу намагатися, простіше перечекати, сумно підраховуючи збитки. Так само викласти детально механізми протистояння кожного типу неможливо, бо це вийде нескінченний туторіал, по якому можна буде захищати дисертації.

    Давайте, розглянемо просто узагальнюючий поділ DDoS-атак на три великі групи і по кілька коментарів по боротьбі з ними. Нехай інформація розпалить апетит, те що зацікавить погуглите уже самостійно:

  • об’ємні;
  • атаки на рівні протоколів;
  • атаки на рівні додатків.

    Атаки, спрямовані на об’єм – передбачають переповнення полоси пропуску ping-запитами,  flood –ом (великою кількістю зазвичай безглуздих, об’ємних або навпаки надто мілких, сформованих у неправильному форматі запитів до комп’ютерної системи або мережевого обладнання по протоколам TCP, NTP, UDP, ICMP, SYN) із ціллю вичерпати системні ресурси – процесор, пам’ять або  забити канали зв’язку. Щоби не відбулося відмови в обслуговуванні, ІР-адреса щоразу підміняється. Сила окремої атаки вимірюється в бітах в секунду. Сила атак росте із кожним роком, і якщо в далекому 2002 році 400 Мбіт/с здавалося чимось незвичайним, то зараз окремі атаки перевищують 400 Гбіт/ с і здатні «здути» деякі «кишенькові» дата-центри.
    Мабуть, єдиний спосіб боротьби з такими атаками – фільтрація на рівні дата-центру (якщо він надає таку послугу) або спеціалізованих сервісах захисту. Вони володіють достатніми канальними потужностями та обчислювальними ресурсами, щоб поглинути обсяг і передати на сервер користувача вже відфільтрований трафік. Для «вищипування» залишків паразитного трафіку можна також застосувати засоби апаратного захисту.
    Атаки на рівні протоколів – спрямовані на обмеження у обладнанні або вразливість різних протоколів. Такі атаки забивають ресурси сервера або проміжне обладнання (фаєрволи, балансувальними, навантажувачі і т.п.) паразитними роздутими пакетами, у результаті чого системи виявляються неспроможними обробляти дані і перезавантажуються. Сила атаки вимірюється в пакетах на секунду. До цієї категорії відноситься SYN флуд теж, Ping of Death, атаки із фрагментованими пакетами тощо.
    На цьому рівні найефективніше діє апаратний захист. Спеціально розроблені виробниками таких ПЗ алгоритми допомагають впорядкувати та відфільтрувати трафік. Природно, будь-які алгоритми недосконалі, частина паразитного трафіку все-таки прорветься, а якась частина корисного трафіку може бути загублена. Сторонні сервіси фільтрації за цих обставин також мають право на існування.
    Атаки на спричинені багами програмного забезпечення та помилок присутніх на конкретному окремому сайті – суть полягає в тому що на сайті-жертві і операційних системах (Apache, Windows, OpenBSD т.п.) знаходяться уразливості, використовуючи, які створюється високе навантаження на сервер та він відмовляється обслуговувати. Серед таких атак: Slowloris, атаки нульового дня, інші. З першого погляду невинні запити, але здатні «покласти» в раз веб-сервер малими ресурсами. Інтенсивність атаки вимірюється в запитах в секунду. Цей вид надзвичайно вузько направлений, і є найскладнішим у плані виконання, потребує висококласних знань, тому застосовується, як правило професійними хакерами.
    До арсеналу боротьби з цією категорією атак, крім згаданих вище зовнішніх сервісів і апаратного захисту, можна також додати вбудовані програмні алгоритми, що аналізують запити та створюють правила для фаерволу за результатами такого аналізу.

Найгірше, що ці всі типи атак поєднуються у «гримучу суміш» – багатовекторні атаки. Неординарний підбір інструментів чи їх послідовності не те що ускладнюють, навіть унеможливлюють правильну ідентифікацію складових і відповідно засобів боротьби.

На завершення трохи кіна, пропонуємо переглянути візуалізацію Dos-атаки:

Related posts

Leave a Comment

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.