Атака типа «отказ в обслуживании»

Тип кибератаки

Схема DDoS-атаки. Обратите внимание, как несколько компьютеров атакуют один компьютер.

В вычислительной технике атака типа «отказ в обслуживании» ( DoS-атака ) — это кибератака , при которой злоумышленник пытается сделать машину или сетевой ресурс недоступными для предполагаемых пользователей , временно или на неопределенный срок нарушая работу хоста, подключенного к сети . Отказ в обслуживании обычно достигается путем переполнения целевой машины или ресурса лишними запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов. ^[1] Спектр атак широко варьируется: от наводнения сервера миллионами запросов с целью снижения его производительности, перегрузки сервера значительным количеством недействительных данных до отправки запросов с незаконным IP-адресом . ^[2]

При распределенной атаке типа «отказ в обслуживании» ( DDoS-атаке ) входящий трафик, заливающий жертву, исходит из множества различных источников. Для смягчения атак этого типа необходимы более сложные стратегии; простой попытки заблокировать один источник недостаточно, поскольку источников несколько. ^[3]

DoS- или DDoS-атака аналогична ситуации, когда группа людей толпится у входной двери магазина, затрудняя вход законным покупателям, тем самым нарушая торговлю и теряя деньги бизнеса.

Преступники, совершающие DoS-атаки, часто нацелены на сайты или службы, размещенные на известных веб-серверах , таких как банки или платежные шлюзы по кредитным картам . Месть , шантаж ^{[4] [5] [6]} и хактивизм ^[7] могут мотивировать эти атаки.

История

Panix , третий старейший интернет-провайдер в мире, стал целью первой DoS-атаки. 6 сентября 1996 года компания Panix подверглась атаке SYN-флуд , в результате которой ее услуги были отключены на несколько дней, пока поставщики оборудования, в частности Cisco , не придумали адекватную защиту. ^[8]

Еще одна ранняя демонстрация DoS-атаки была проведена Ханом С. Смитом в 1997 году во время мероприятия DEF CON , в результате чего доступ в Интернет на Лас-Вегас-Стрип был нарушен более чем на час. Публикация примера кода во время мероприятия привела к онлайн-атаке Sprint , EarthLink , E-Trade и других крупных корпораций в последующем году. ^[9]

Крупнейшая на сегодняшний день DDoS-атака произошла в сентябре 2017 года, когда Google Cloud подверглась атаке с максимальным объемом2,54 Тбит/с , данные Google были обнаружены 17 октября 2020 года. ^[10] Рекордсменом считалась атака, осуществленная неназванным клиентом американского поставщика услуг Arbor Networks , достигшая пика около1,7 Тбит/с . ^[11]

В феврале 2020 года Amazon Web Services подверглась атаке с пиковым объемом2,3 Тб/с . ^[12] В июле 2021 года CDN-провайдер Cloudflare похвастался, что защитил своего клиента от DDoS-атаки глобального ботнета Mirai с частотой до 17,2 миллиона запросов в секунду. ^{[ нужна ссылка ]} Российский поставщик услуг по предотвращению DDoS-атак Яндекс заявил, что 5 сентября 2021 года он заблокировал DDoS-атаку по конвейеру HTTP, исходящую от непропатченного сетевого оборудования Mikrotik. ^[13]

В феврале 2023 года Cloudflare столкнулась с атакой со скоростью 71 миллион запросов в секунду, которая, по утверждению Cloudflare, была крупнейшей HTTP-DDoS-атакой на тот момент. ^[14] HTTP DDoS-атаки измеряются HTTP-запросами в секунду, а не пакетами в секунду или битами в секунду.

10 июля 2023 года неназванная хакерская группа атаковала сайт фанфиков Archive of Our Own (AO3). Хакеры заявили, что их действия «религиозны и политически мотивированы», но эксперты, работающие с Archive of Our Own над преодолением атак, еще не проверили эти утверждения. ^{[ нужна ссылка ] [15]}

В августе 2023 года группа хактивистов NoName057 атаковала несколько итальянских финансовых учреждений, осуществив медленные DoS-атаки . ^[16]

В октябре 2023 года эксплуатация новой уязвимости в протоколе HTTP/2 привела к тому, что рекорд крупнейшей HTTP-DDoS-атаки был побит дважды: один раз с атакой 201 миллион запросов в секунду, наблюдаемой Cloudflare, ^[17] и снова с 398 миллионами запросов в секунду. количество запросов в секунду, атака, наблюдаемая Google. ^[18]

Типы

Атаки типа «отказ в обслуживании» характеризуются явной попыткой злоумышленников предотвратить законное использование службы. Существует две основные формы DoS-атак: те, которые приводят к сбою служб, и те, которые приводят к переполнению служб. Распространены наиболее серьезные атаки. ^[19]

.mw-parser-output .vanchor>:target~.vanchor-text{background-color:#b1d2ff}Распределенный DoS

Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько систем переполняют полосу пропускания или ресурсы целевой системы, обычно одного или нескольких веб-серверов. ^[19] DDoS-атака использует более одного уникального IP-адреса или компьютеров, часто с тысяч хостов, зараженных вредоносным ПО. ^{[20] [21]} Распределенная атака типа «отказ в обслуживании» обычно включает более 3–5 узлов в разных сетях; меньшее количество узлов может квалифицироваться как DoS-атака, но это не DDoS-атака. ^{[22] [23]}

Несколько машин могут генерировать больше атакующего трафика, чем одна машина, несколько атакующих машин труднее отключить, чем одну атакующую машину, а поведение каждой атакующей машины может быть более скрытным, что затрудняет ее отслеживание и выключение. Поскольку входящий трафик, заливающий жертву, исходит из разных источников, остановить атаку просто с помощью входной фильтрации может быть невозможно . Это также затрудняет различение легитимного пользовательского трафика от атакующего трафика, когда он распространяется по нескольким точкам происхождения. В качестве альтернативы или дополнения DDoS-атаки могут включать подделку IP-адресов отправителей ( подмена IP-адреса ), что еще больше усложняет выявление и отражение атаки. Эти преимущества злоумышленника создают проблемы для защитных механизмов. Например, простая покупка большей входящей полосы пропускания, чем текущий объем атаки, может не помочь, поскольку злоумышленник может просто добавить больше атакующих машин.

В последние годы масштабы DDoS-атак продолжали расти и к 2016 году превысили терабит в секунду . ^{[24] [25]} Некоторыми распространенными примерами DDoS-атак являются UDP-флуд , SYN-флуд и усиление DNS . ^{[26] [27]}

Йо-йо атака

Атака «йо-йо» — это особый тип DoS/DDoS, направленный на облачные приложения, использующие автомасштабирование . ^{[28] [29] [30]} Злоумышленник генерирует поток трафика до тех пор, пока облачная служба не масштабируется наружу, чтобы справиться с увеличением трафика, а затем останавливает атаку, оставляя жертву с избыточными ресурсами. Когда жертва снова уменьшается, атака возобновляется, в результате чего ресурсы снова увеличиваются. Это может привести к снижению качества обслуживания в периоды увеличения и уменьшения масштаба и финансовой утечке ресурсов в периоды избыточного выделения ресурсов, при этом работая с меньшими затратами для злоумышленника по сравнению с обычной DDoS-атакой, поскольку для этого требуется только генерировать трафик в течение части периода атаки.

Атаки на уровне приложений

DDoS-атака прикладного уровня (иногда называемая DDoS-атакой уровня 7 ) — это форма DDoS-атаки, при которой злоумышленники нацелены на процессы прикладного уровня . ^{[31] [22]} Атака чрезмерно использует определенные функции или возможности веб-сайта с намерением отключить эти функции или функции. Эта атака на уровне приложения отличается от всей сетевой атаки и часто используется против финансовых учреждений, чтобы отвлечь персонал ИТ и службы безопасности от нарушений безопасности. ^[32] В 2013 году DDoS-атаки на уровне приложений составили 20% всех DDoS-атак. ^[33] Согласно исследованию Akamai Technologies , с четвертого квартала 2013 года по четвертый квартал 2014 года произошло «на 51 процент больше атак на уровне приложений» и «на 16 процентов больше» с третьего квартала 2014 года по четвертый квартал 2014 года. ^[34] В ноябре 2017 года; Джунад Али , инженер Cloudflare, отметил, что, хотя атаки на сетевом уровне по-прежнему имеют высокую мощность, они происходят реже. Али также отметил, что, хотя атаки на уровне сети становятся менее частыми, данные Cloudflare показывают, что атаки на уровне приложений по-прежнему не проявляют никаких признаков замедления. ^[35]

Прикладной уровень

Модель OSI (ISO/IEC 7498-1) — это концептуальная модель, которая характеризует и стандартизирует внутренние функции системы связи путем разделения ее на уровни абстракции . Модель является продуктом проекта «Взаимосвязь открытых систем» Международной организации по стандартизации (ISO). Модель группирует схожие коммуникационные функции в один из семи логических уровней. Уровень обслуживает слой выше него и уровень ниже него. Например, уровень, обеспечивающий безошибочную связь в сети, обеспечивает путь связи, необходимый приложениям выше него, в то время как он вызывает следующий более низкий уровень для отправки и получения пакетов, проходящих по этому пути.

В модели OSI определение прикладного уровня является более узким, чем это часто реализуется. Модель OSI определяет уровень приложения как пользовательский интерфейс. Прикладной уровень OSI отвечает за отображение данных и изображений пользователю в распознаваемом человеком формате и за взаимодействие с нижележащим уровнем представления . В реализации уровни приложения и представления часто комбинируются.

Метод атаки

Простейшая DoS-атака основана, главным образом, на грубой силе, наводняя цель огромным потоком пакетов, перенасыщая пропускную способность соединения или истощая системные ресурсы цели. Наводнения, перенасыщающие полосу пропускания, зависят от способности злоумышленника генерировать ошеломляющий поток пакетов. Распространенным способом достижения этой цели сегодня является распределенный отказ в обслуживании с использованием ботнета .

DDoS-атака на уровне приложений осуществляется в основном для конкретных целевых целей, включая нарушение транзакций и доступа к базам данных. Он требует меньше ресурсов, чем атаки на сетевом уровне, но часто сопровождает их. ^[36] Атака может быть замаскирована под легитимный трафик, за исключением того, что она нацелена на определенные пакеты или функции приложения. Атака на уровне приложений может нарушить работу таких служб, как поиск информации или функции поиска на веб-сайте. ^[33]

Расширенный постоянный DoS

Усовершенствованный постоянный DoS (APDoS) связан с расширенной постоянной угрозой и требует специальных мер по предотвращению DDoS . ^[37] Эти атаки могут продолжаться неделями; самый длительный непрерывный период, отмеченный до сих пор, длился 38 дней. Эта атака включала около 50+ петабит (50 000+ терабит) вредоносного трафика. ^[38]

Злоумышленники в этом сценарии могут тактически переключаться между несколькими целями, чтобы отвлечь внимание и избежать защитных контрмер DDoS, но при этом в конечном итоге сосредоточить основной удар атаки на одной жертве. В этом сценарии злоумышленники, имеющие постоянный доступ к нескольким очень мощным сетевым ресурсам, способны поддерживать длительную кампанию, генерируя огромные уровни неусиленного DDoS-трафика.

APDoS-атаки характеризуются:

• расширенная разведка ( OSINT перед атакой и обширное сканирование-ловушка, предназначенное для уклонения от обнаружения в течение длительных периодов времени)
• тактическое исполнение (атака с участием как первичных, так и вторичных жертв, но основное внимание уделяется первичным)
• явная мотивация (расчетный результат игры/цель)
• большая вычислительная мощность (доступ к значительной мощности компьютера и пропускной способности сети)
• одновременные многопоточные атаки на уровне OSI (сложные инструменты, работающие на уровнях с 3 по 7)
• настойчивость в течение длительных периодов времени (объединение всего вышеперечисленного в согласованную, хорошо управляемую атаку по ряду целей). ^[39]

Отказ в обслуживании как услуга

Некоторые поставщики предоставляют так называемые службы загрузки или стресса , которые имеют простой веб-интерфейс и принимают оплату через Интернет. Продаваемые и рекламируемые как инструменты стресс-тестирования, они могут использоваться для выполнения несанкционированных атак типа «отказ в обслуживании» и позволяют технически неискушенным злоумышленникам получить доступ к сложным инструментам атак. ^[40] Обычно трафик, создаваемый ботнетом , может варьироваться от 5 до 50 Гбит/с, что в большинстве случаев может лишить среднего домашнего пользователя доступа в Интернет. ^[41]

Марковская атака типа «отказ в обслуживании»

Атака типа «отказ в обслуживании», модулированная по Маркову, происходит, когда злоумышленник разрушает пакеты управления, используя скрытую модель Маркова . Атаки на основе модели Маркова преобладают в онлайн-играх, поскольку нарушение управляющего пакета подрывает игровой процесс и функциональность системы. ^[42]

Симптомы

Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) выявила следующие симптомы атаки типа «отказ в обслуживании»: ^[43]

• необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам),
• недоступность определенного веб-сайта или
• невозможность доступа к любому веб-сайту.

Техники атаки

Инструменты атаки

В таких случаях, как MyDoom и Slowloris , инструменты встроены во вредоносное ПО и запускают атаки без ведома владельца системы. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби , которые, в свою очередь, облегчают DDoS-атаку. Агенты скомпрометированы через обработчики злоумышленником, использующим автоматизированные процедуры для использования уязвимостей в программах, которые принимают удаленные соединения, выполняемые на целевых удаленных хостах. Каждый обработчик может управлять до тысячи агентов. ^[44]

В других случаях машина может стать частью DDoS-атаки с согласия владельца, например, в операции «Расплата» , организованной группой Anonymous . Низкоорбитальная ионная пушка обычно использовалась таким образом. Наряду с High Orbit Ion Cannon сегодня доступен широкий спектр инструментов DDoS, включая платные и бесплатные версии, с различными функциями. Для них существует подпольный рынок на хакерских форумах и IRC-каналах.

Атаки на уровне приложений

Атаки на уровне приложений используют эксплойты , вызывающие DoS, и могут привести к тому, что программное обеспечение, работающее на сервере, заполнит дисковое пространство или израсходует всю доступную память или процессорное время . Атаки могут использовать определенные типы пакетов или запросы на подключение для насыщения ограниченных ресурсов, например, занимая максимальное количество открытых соединений или заполняя дисковое пространство жертвы журналами. Злоумышленник, имеющий доступ на уровне оболочки к компьютеру жертвы, может замедлить его работу до тех пор, пока он не станет непригодным для использования, или вывести его из строя, используя вилочную бомбу . Другой вид DoS-атаки на уровне приложения — это XDoS (или XML DoS), которым могут управлять современные брандмауэры веб-приложений (WAF).

Все атаки, относящиеся к категории использования тайм-аута ^[45]. Медленные DoS-атаки реализуют атаку на уровне приложения. Примерами угроз являются Slowloris, устанавливающий ожидающие соединения с жертвой, или SlowDroid , атака, выполняемая на мобильных устройствах.

Другой целью DDoS-атак может быть создание дополнительных затрат для оператора приложения, когда последний использует ресурсы на основе облачных вычислений . В этом случае обычно используемые приложениями ресурсы привязаны к необходимому уровню качества обслуживания (QoS) (например, ответы должны быть менее 200 мс), и это правило обычно связывается с автоматизированным программным обеспечением (например, Amazon CloudWatch ^[46] ) для повышения больше виртуальных ресурсов от провайдера для удовлетворения определенных уровней QoS для возросших запросов. Основным стимулом таких атак может быть желание владельца приложения повысить уровень эластичности для обработки возросшего трафика приложения, вызвать финансовые потери или заставить его стать менее конкурентоспособным.

Банановая атака — еще один особый тип DoS. Он включает в себя перенаправление исходящих сообщений от клиента обратно на клиента, предотвращение внешнего доступа, а также затопление клиента отправленными пакетами. Наземная атака относится к этому типу .

Атаки с ухудшением качества обслуживания

Пульсирующие зомби — это скомпрометированные компьютеры, которые предназначены для запуска периодических и кратковременных наводнений веб-сайтов-жертв с целью просто замедлить их работу, а не вывести из строя. Этот тип атаки, называемый деградацией обслуживания , может быть труднее обнаружить и может нарушать и препятствовать подключению к веб-сайтам в течение длительных периодов времени, что потенциально может привести к более серьезным сбоям в целом, чем атака типа «отказ в обслуживании». ^{[47] [48]} Выявление атак с ухудшением качества обслуживания еще более осложняется необходимостью определения того, действительно ли сервер подвергается атаке или испытывает более высокие, чем обычно, нагрузки легитимного трафика. ^[49]

Распределенная DoS-атака

Если злоумышленник организует атаку с одного хоста, это будет классифицировано как DoS-атака. Любая атака на доступность будет классифицироваться как атака типа «отказ в обслуживании». С другой стороны, если злоумышленник использует множество систем для одновременной атаки на удаленный хост, это будет классифицироваться как DDoS-атака.

Вредоносное ПО может использовать механизмы DDoS-атак; одним из наиболее известных примеров был MyDoom . Его механизм DoS сработал в определенную дату и время. Этот тип DDoS включал жесткое кодирование целевого IP-адреса перед выпуском вредоносного ПО, и для запуска атаки не требовалось никакого дальнейшего взаимодействия.

Система также может быть скомпрометирована трояном , содержащим агент-зомби . Злоумышленники также могут проникнуть в системы с помощью автоматизированных инструментов, использующих недостатки в программах, прослушивающих соединения с удаленных хостов. Этот сценарий в первую очередь касается систем, выступающих в качестве серверов в сети. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби, что, в свою очередь, облегчает DDoS-атаку. Агенты скомпрометированы злоумышленником через обработчики. Каждый обработчик может управлять до тысячи агентов. ^[44] В некоторых случаях машина может стать участником DDoS-атаки с согласия владельца, например, в операции «Расплата» , организованной группой Anonymous . Эти атаки могут использовать различные типы интернет-пакетов, такие как TCP, UDP, ICMP и т. д.

Эти совокупности скомпрометированных систем известны как ботнеты . Инструменты DDoS, такие как Stacheldraht, по-прежнему используют классические методы DoS-атак, основанные на подмене и усилении IP-адресов, такие как смурф-атаки и Fraggle-атаки (типы атак с использованием полосы пропускания). Также можно использовать SYN-флуд (атаку истощения ресурсов). Новые инструменты могут использовать DNS-серверы для целей DoS. В отличие от механизма DDoS MyDoom, ботнеты можно настроить против любого IP-адреса. Скрипт-кидди используют их, чтобы запретить законным пользователям доступ к известным веб-сайтам. ^[50] Более изощренные злоумышленники используют инструменты DDoS в целях вымогательства  , в том числе против своих бизнес-конкурентов. ^[51]

Сообщалось о новых атаках со стороны устройств Интернета вещей (IoT), которые участвовали в атаках типа «отказ в обслуживании». ^[52] В ходе одной из известных атак максимальная частота запросов составила около 20 000 запросов в секунду, которые поступали примерно от 900 камер видеонаблюдения. ^[53]

У GCHQ Великобритании есть инструменты, созданные для DDoS, под названием PREDATORS FACE и ROLLING THUNDER. ^[54]

Простые атаки, такие как SYN-флуд, могут проявляться с широким диапазоном исходных IP-адресов, создавая видимость распределенного DoS. Эти флуд-атаки не требуют завершения трехэтапного установления связи TCP и не пытаются исчерпать очередь SYN назначения или пропускную способность сервера. Поскольку исходные IP-адреса могут быть легко подделаны, атака может исходить из ограниченного набора источников или даже с одного хоста. Усовершенствования стека, такие как файлы cookie SYN, могут быть эффективным средством предотвращения переполнения очереди SYN, но не решают проблему исчерпания пропускной способности.

DDoS-вымогательство

В 2015 году возросла популярность DDoS-ботнетов, таких как DD4BC, которые нацелены на финансовые учреждения. ^[55] Кибер-вымогатели обычно начинают с атаки низкого уровня и предупреждения о том, что будет проведена более крупная атака, если выкуп не будет выплачен в биткойнах . ^[56] Эксперты по безопасности рекомендуют целевым веб-сайтам не платить выкуп. Злоумышленники, как правило, прибегают к расширенной схеме вымогательства, как только понимают, что цель готова заплатить. ^[57]

HTTP медленная POST DoS-атака

Впервые обнаруженная в 2009 году медленная атака HTTP POST отправляет полный легитимный заголовок HTTP POST , который включает поле Content-Length для указания размера тела сообщения, которому следует следовать. Однако затем злоумышленник продолжает отправлять тело сообщения с чрезвычайно низкой скоростью (например, 1 байт/110 секунд). Поскольку все сообщение правильное и полное, целевой сервер попытается следовать полю Content-Length в заголовке и будет ждать передачи всего тела сообщения, что может занять очень много времени. Злоумышленник устанавливает сотни или даже тысячи таких подключений до тех пор, пока все ресурсы для входящих подключений на сервере-жертве не будут исчерпаны, что делает дальнейшие подключения невозможными до тех пор, пока не будут отправлены все данные. Примечательно, что в отличие от многих других DDoS-атак или DDoS-атак, которые пытаются подчинить сервер путем перегрузки его сети или процессора, медленная HTTP-атака POST нацелена на логические ресурсы жертвы, что означает, что у жертвы все еще будет достаточно пропускной способности сети и обработки данных. мощность для работы. ^[58] В сочетании с тем фактом, что HTTP-сервер Apache по умолчанию принимает запросы размером до 2 ГБ, эта атака может быть особенно мощной. Медленные HTTP-атаки POST трудно отличить от законных соединений, поэтому они могут обходить некоторые системы защиты. OWASP , проект безопасности веб-приложений с открытым исходным кодом , выпустил инструмент для проверки безопасности серверов от атак такого типа. ^[59]

Вызов атаки Коллапсара (CC)

Атака Challenge Collapsar (CC) — это атака, при которой стандартные HTTP-запросы часто отправляются на целевой веб-сервер. Унифицированные идентификаторы ресурсов (URI) в запросах требуют сложных трудоемких алгоритмов или операций с базой данных, которые могут исчерпать ресурсы целевого веб-сервера. ^{[60] [61] [62]}

В 2004 году китайский хакер по прозвищу KiKi изобрел хакерский инструмент для отправки подобных запросов на атаку брандмауэра NSFOCUS под названием Collapsar , и поэтому хакерский инструмент стал известен как Challenge Collapsar , или сокращенно CC . Следовательно, этот тип атаки получил название CC-атака . ^[63]

Флуд протокола управляющих сообщений Интернета (ICMP)

Атака smurf основана на неправильно настроенных сетевых устройствах, которые позволяют отправлять пакеты всем компьютерным хостам в определенной сети через широковещательный адрес сети, а не через конкретный компьютер. Злоумышленник отправит большое количество IP- пакетов с поддельным адресом источника, который будет выглядеть как адрес жертвы. ^[64] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это перегружает компьютер жертвы и может даже сделать его непригодным для использования во время такой атаки. ^[65]

Пинг-флуд основан на отправке жертве огромного количества пинг- пакетов, обычно с использованием команды ping с Unix-подобных хостов. ^[a] Запустить его очень просто, основным требованием является доступ к большей пропускной способности , чем у жертвы.

Пинг смерти основан на отправке жертве искаженного пинг-пакета, который приведет к сбою системы в уязвимой системе.

Атака BlackNurse является примером атаки с использованием необходимых ICMP-пакетов «Порт назначения недоступен».

Ядерное оружие

Ядерная атака — это старомодная атака типа «отказ в обслуживании» против компьютерных сетей, состоящая из фрагментированных или иным образом недействительных пакетов ICMP , отправленных цели, достигаемая с помощью модифицированной утилиты ping для многократной отправки этих поврежденных данных, тем самым замедляя работу пораженного компьютера до тех пор, пока оно полностью останавливается. ^[66]

Конкретным примером ядерной атаки, получившей некоторую известность, является WinNuke , которая использовала уязвимость в обработчике NetBIOS в Windows 95 . Строка внеполосных данных была отправлена ​​на TCP- порт 139 компьютера жертвы, что привело к его блокировке и отображению синего экрана смерти . ^[66]

Одноранговые атаки

Злоумышленники нашли способ использовать ряд ошибок в одноранговых серверах для инициирования DDoS-атак. Самая агрессивная из этих одноранговых DDoS-атак использует DC++ . При одноранговой сети нет бот-сети, и злоумышленнику не нужно связываться с клиентами, которых он подрывает. Вместо этого злоумышленник действует как кукловод , инструктируя клиентов крупных одноранговых центров обмена файлами отключиться от их одноранговой сети и вместо этого подключиться к веб-сайту жертвы. ^{[67] [68] [69]}

Постоянные атаки типа «отказ в обслуживании»

Постоянный отказ в обслуживании (PDoS), также известный как флэшинг, ^[70] — это атака, которая настолько сильно повреждает систему, что требуется замена или переустановка оборудования. ^[71] В отличие от распределенной атаки типа «отказ в обслуживании», атака PDoS использует недостатки безопасности, которые позволяют удаленно администрировать интерфейсы управления оборудования жертвы, такого как маршрутизаторы , принтеры или другое сетевое оборудование . Злоумышленник использует эти уязвимости для замены прошивки устройства модифицированным, поврежденным или дефектным образом прошивки — процесс, который, если он выполняется законно, известен как перепрошивка. Цель состоит в том, чтобы заблокировать устройство, сделав его непригодным для использования по первоначальному назначению до тех пор, пока оно не будет отремонтировано или заменено.

PDoS — это чисто аппаратная атака, которая может быть намного быстрее и требует меньше ресурсов, чем использование ботнета в DDoS-атаке. Из-за этих особенностей, а также потенциальной и высокой вероятности взлома безопасности встроенных сетевых устройств этот метод привлек внимание многочисленных хакерских сообществ. BrickerBot , вредоносное ПО, нацеленное на устройства IoT, использовало PDoS-атаки для отключения своих целей. ^[72]

PhlashDance — это инструмент, созданный Ричем Смитом (сотрудником лаборатории системной безопасности Hewlett-Packard), который использовался для обнаружения и демонстрации уязвимостей PDoS на конференции EUSecWest Applied Security Conference 2008 года в Лондоне. ^[73]

Отраженная атака

Распределенная атака типа «отказ в обслуживании» может включать отправку поддельных запросов определенного типа очень большому количеству компьютеров, которые будут отвечать на запросы. При использовании подмены адреса интернет-протокола исходный адрес устанавливается равным адресу целевой жертвы, что означает, что все ответы будут отправляться (и лавинно распространяться) на цель. Эту форму отраженной атаки иногда называют распределенной отражающей атакой типа «отказ в обслуживании» ( DRDoS ). ^[74]

Атаки эхо-запроса ICMP ( атаки Smurf ) можно рассматривать как одну из форм отраженных атак, поскольку хосты лавинной рассылки отправляют эхо-запросы на широковещательные адреса неправильно сконфигурированных сетей, тем самым побуждая хосты отправлять пакеты эхо-ответа жертве. Некоторые ранние программы DDoS реализовывали распределенную форму этой атаки.

Усиление

Атаки с усилением используются для увеличения пропускной способности, передаваемой жертве. Многие сервисы можно использовать в качестве отражателей, некоторые из которых сложнее заблокировать, чем другие. ^[75] US-CERT отметил, что разные услуги могут привести к разным коэффициентам усиления, как указано в таблице ниже: ^[76]

Атаки с усилением DNS включают в себя злоумышленник, отправляющий запрос на поиск DNS-имени на один или несколько общедоступных DNS-серверов, подделывая исходный IP-адрес целевой жертвы. Злоумышленник пытается запросить как можно больше информации, тем самым усиливая ответ DNS, отправляемый целевой жертве. Поскольку размер запроса значительно меньше ответа, злоумышленник легко может увеличить объем трафика, направляемого на цель. ^{[82] [83]}

SNMP и NTP также могут использоваться в качестве отражателей при атаке с усилением. Примером усиленной DDoS-атаки через протокол сетевого времени (NTP) является команда monlist , которая отправляет сведения о последних 600 хостах, запросивших время с NTP-сервера, обратно запрашивающей стороне. Небольшой запрос к этому серверу времени может быть отправлен с использованием поддельного исходного IP-адреса какой-либо жертвы, в результате чего ответ в 556,9 раз превышает размер запроса, отправляемого жертве. Это усиливается при использовании ботнетов, которые отправляют запросы с одного и того же поддельного IP-источника, что приводит к отправке огромного количества данных обратно жертве.

Защититься от подобных атак очень сложно, поскольку данные ответа поступают с законных серверов. Эти запросы на атаку также отправляются через UDP, который не требует подключения к серверу. Это означает, что исходный IP-адрес не проверяется при получении запроса сервером. Чтобы привлечь внимание к этим уязвимостям, были начаты кампании, посвященные поиску векторов усиления, которые привели к тому, что люди исправили свои резолверы или полностью отключили резолверы. ^{[ нужна цитата ]}

Ботнет Мирай

Эта атака заключается в использовании червя для заражения сотен тысяч устройств Интернета вещей в Интернете. Червь распространяется через сети и системы, взяв под контроль плохо защищенные устройства Интернета вещей, такие как термостаты, часы с поддержкой Wi-Fi и стиральные машины. ^[84] Владелец или пользователь обычно не имеют немедленной информации о том, когда устройство заразилось. Само устройство IoT не является непосредственной целью атаки, оно используется как часть более крупной атаки. ^[85] Как только хакер поработил желаемое количество устройств, он дает им указание попытаться связаться с интернет-провайдером. В октябре 2016 года ботнет Mirai атаковал Dyn, который является интернет-провайдером для таких сайтов, как Twitter, Netflix и т. д. ^[84] Как только это произошло, все эти сайты были недоступны в течение нескольких часов.

RU-Уже мертв? (РУДИ)

Атака RUDY нацелена на веб-приложения путем истощения доступных сеансов на веб-сервере. Как и Slowloris, RUDY останавливает сеансы, используя бесконечные передачи POST и отправляя заголовок произвольной длины. ^[86]

МЕШОК Паника

Управление максимальным размером сегмента и выборочным подтверждением (SACK) может использоваться удаленным узлом, чтобы вызвать отказ в обслуживании из-за целочисленного переполнения в ядре Linux, что потенциально может вызвать панику ядра . ^[87] Джонатан Луни обнаружил CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 17 июня 2019 г. ^[88]

Атака строптивой

Атака «строптивая» — это атака типа «отказ в обслуживании» на протокол управления передачей , при которой злоумышленник использует методы «человек посередине» . Он использует слабость механизма тайм-аута повторной передачи TCP, используя короткие синхронизированные пакеты трафика для разрыва TCP-соединений по тому же каналу. ^[89]

Атака медленного чтения

Атака медленного чтения отправляет законные запросы уровня приложения, но считывает ответы очень медленно, оставляя соединения открытыми дольше в надежде исчерпать пул соединений сервера. Медленное чтение достигается за счет объявления очень малого размера окна приема TCP и в то же время медленного опорожнения буфера приема TCP клиентов, что приводит к очень низкой скорости потока данных. ^[90]

Сложная распределенная атака типа «отказ в обслуживании» с низкой пропускной способностью

Сложная DDoS-атака с низкой пропускной способностью — это форма DoS, которая использует меньше трафика и повышает ее эффективность, нацеливаясь на слабое место в конструкции системы жертвы, т. е. злоумышленник отправляет системе трафик, состоящий из сложных запросов. ^[91] По сути, сложная DDoS-атака обходится дешевле из-за использования меньшего трафика, имеет меньший размер, что затрудняет ее идентификацию, и способна нанести вред системам, защищенным механизмами управления потоками. ^{[91] [92]}

Син-флуд

SYN -флуд возникает, когда хост отправляет поток TCP/SYN-пакетов, часто с поддельным адресом отправителя. Каждый из этих пакетов обрабатывается как запрос на соединение, заставляя сервер создавать полуоткрытое соединение , отправлять обратно пакет TCP/SYN-ACK и ждать ответного пакета от адреса отправителя. Однако, поскольку адрес отправителя подделан, ответ так и не приходит. Эти полуоткрытые соединения исчерпывают доступные соединения, которые может установить сервер, не позволяя ему отвечать на законные запросы до тех пор, пока атака не завершится. ^[93]

Каплевидные атаки

Каплевидная атака включает в себя отправку искаженных IP-фрагментов с перекрывающимися, слишком большими полезными данными на целевой компьютер. Это может привести к сбою различных операционных систем из-за ошибки в их коде повторной сборки фрагментации TCP/IP . ^{[94] Операционные системы} Windows 3.1x , Windows 95 и Windows NT , а также версии Linux до версий 2.0.32 и 2.1.63 уязвимы для этой атаки. ^[б]

Одним из полей IP-заголовка является поле смещения фрагмента , указывающее начальную позицию или смещение данных, содержащихся во фрагментированном пакете, относительно данных в исходном пакете. Если сумма смещения и размера одного фрагментированного пакета отличается от суммы смещения и размера следующего фрагментированного пакета, пакеты перекрываются. Когда это происходит, сервер, уязвимый для атак типа «Teardrop», не может повторно собрать пакеты, что приводит к состоянию отказа в обслуживании.

Отказ в обслуживании телефонии

Голос по IP сделал неправомерное выполнение большого количества телефонных голосовых вызовов недорогим и легко автоматизированным, в то же время позволяя искажать происхождение вызовов посредством подмены идентификатора вызывающего абонента .

По данным Федерального бюро расследований США , отказ в обслуживании телефонии (TDoS) появлялся в рамках различных мошеннических схем:

• Мошенник связывается с банкиром или брокером жертвы, выдавая себя за жертву, чтобы запросить перевод средств. Попытка банкира связаться с жертвой для проверки перевода не удалась, поскольку телефонные линии жертвы забиты фиктивными звонками, что делает жертву недоступной. ^[97]
• Мошенник связывается с потребителями с фиктивным требованием получить непогашенный кредит до зарплаты на тысячи долларов. Когда потребитель возражает, мошенник в ответ заваливает работодателя жертвы автоматическими звонками. В некоторых случаях отображаемый идентификатор вызывающего абонента подделывается, чтобы выдать себя за полицию или правоохранительные органы. ^[98]
• Прихлопывание : мошенник обращается к потребителям с фиктивным требованием о взыскании долга и угрожает вызвать полицию; Когда жертва отказывается, мошенник наводняет номера местной полиции звонками, в которых идентификатор вызывающего абонента подделывается, чтобы отобразить номер жертвы. Вскоре к дому жертвы прибывает полиция, пытаясь выяснить причину звонков.

TDoS может существовать даже без интернет-телефонии . Во время скандала с глушением телефонных разговоров в Сенате штата Нью-Гемпшир в 2002 году телемаркетеры использовались для того, чтобы завалить политических оппонентов ложными звонками с целью заглушить телефонные банки в день выборов. Широкая публикация номера также может привести к тому, что на него будет наводнено достаточное количество звонков, что сделает его непригодным для использования, как это случайно произошло в 1981 году с несколькими абонентами с кодом +1 -867-5309, ежедневно заваленными сотнями звонков в ответ на песню 867-5309/. Дженни .

TDoS отличается от других видов телефонного преследования (таких как розыгрыши и непристойные телефонные звонки ) количеством исходящих звонков. Постоянно занимая линии и совершая повторяющиеся автоматические вызовы, жертва не может совершать или принимать как обычные, так и экстренные телефонные звонки.

Связанные с этим эксплойты включают атаки SMS-рассылки и «черный» факс или непрерывную передачу факса с использованием бумажной петли у отправителя.

Атака по истечении срока TTL

Для отбрасывания пакета со значением TTL 1 или меньше требуется больше ресурсов маршрутизатора, чем для пересылки пакета с более высоким значением TTL. Когда пакет отбрасывается из-за истечения срока TTL, ЦП маршрутизатора должен сгенерировать и отправить ответ ICMP о превышении времени . Генерация многих из этих ответов может привести к перегрузке процессора маршрутизатора. ^[99]

UPnP-атака

Атака UPnP использует существующую уязвимость в протоколе Universal Plug and Play (UPnP), чтобы обойти сетевую безопасность и затопить сеть и серверы цели. Атака основана на методе усиления DNS, но механизмом атаки является маршрутизатор UPnP, который перенаправляет запросы от одного внешнего источника к другому. Маршрутизатор UPnP возвращает данные на неожиданный порт UDP с поддельного IP-адреса, что затрудняет выполнение простых действий по прекращению потока трафика. По мнению исследователей Imperva , наиболее эффективный способ остановить эту атаку — заблокировать UPnP-маршрутизаторы. ^{[100] [101]}

Атака с отражением SSDP

В 2014 году было обнаружено, что Simple Service Discovery Protocol (SSDP) использовался в DDoS- атаках, известных как атака отражения SSDP с усилением . Многие устройства, в том числе некоторые домашние маршрутизаторы, имеют уязвимость в программном обеспечении UPnP, которая позволяет злоумышленнику получать ответы с порта UDP 1900 на адрес назначения по своему выбору. Имея ботнет из тысяч устройств, злоумышленники могут генерировать достаточную скорость передачи пакетов и занимать полосу пропускания для насыщения каналов, вызывая отказ в обслуживании. ^{[102] [103] [104]} Из-за этой слабости сетевая компания Cloudflare охарактеризовала SSDP как «Глупо простой протокол DDoS». ^[105]

Подмена ARP

Подмена ARP — это распространенная DoS-атака, которая включает в себя уязвимость в протоколе ARP, которая позволяет злоумышленнику связать свой MAC-адрес с IP-адресом другого компьютера или шлюза , в результате чего трафик, предназначенный для исходного подлинного IP-адреса, перенаправляется на IP-адрес другого компьютера или шлюза. злоумышленнику, вызывая отказ в обслуживании.

Техники защиты

Защитные меры реагирования на атаки типа «отказ в обслуживании» обычно включают использование комбинации инструментов обнаружения атак, классификации трафика и реагирования, направленных на блокировку трафика, который инструменты идентифицируют как незаконный, и разрешение трафика, который они идентифицируют как законный. ^[106] Список инструментов реагирования включает следующее.

Восходящая фильтрация

Весь трафик, предназначенный жертве, перенаправляется через центр очистки или центр очистки с помощью различных методов, таких как: изменение IP-адреса жертвы в системе DNS, методы туннелирования (GRE/VRF, MPLS, SDN), ^[107] прокси-серверы . , цифровые кроссовые соединения или даже прямые цепи. Центр очистки отделяет плохой трафик (DDoS, а также другие распространенные интернет-атаки) и передает на сервер жертвы только хороший легитимный трафик. ^[108] Чтобы воспользоваться услугами такого рода, жертве необходимо централизованное подключение к Интернету, если только она не находится на территории того же объекта, что и центр уборки. DDoS-атаки могут преодолеть любой тип аппаратного межсетевого экрана, а передача вредоносного трафика через крупные и развитые сети становится все более эффективной и экономически устойчивой против DDoS. ^[109]

Аппаратное обеспечение внешнего интерфейса приложения

Интерфейсное оборудование приложений — это интеллектуальное оборудование, размещаемое в сети до того, как трафик достигнет серверов. Его можно использовать в сетях совместно с маршрутизаторами и коммутаторами , а также как часть управления полосой пропускания . Аппаратное обеспечение внешнего интерфейса приложения анализирует пакеты данных по мере их поступления в сеть, а также идентифицирует и удаляет опасные или подозрительные потоки.

Ключевые индикаторы завершения уровня приложения

Подходы к обнаружению DDoS-атак на облачные приложения могут основываться на анализе уровня приложений, определяющем легитимность входящего массового трафика. ^[110] Эти подходы в основном полагаются на идентифицированный путь ценности внутри приложения и отслеживают ход выполнения запросов по этому пути с помощью маркеров, называемых ключевыми индикаторами завершения . ^[111] По сути, эти методы представляют собой статистические методы оценки поведения входящих запросов, чтобы обнаружить, происходит ли что-то необычное или ненормальное.

Можно провести аналогию с обычным универмагом, где покупатели в среднем тратят известный процент своего времени на различные действия, такие как получение товаров и их осмотр, помещение их обратно, наполнение корзины, ожидание оплаты, оплата. , и ухожу. Если в магазин пришла толпа покупателей и все время собирала товары и складывала их обратно, но так и не совершила ни одной покупки, это можно было бы пометить как необычное поведение.

Черная дыра и воронка

При маршрутизации через черную дыру весь трафик к атакованному DNS или IP-адресу отправляется в черную дыру (нулевой интерфейс или несуществующий сервер). Чтобы повысить эффективность и избежать влияния на сетевое подключение, им может управлять интернет-провайдер. ^[112]

Воронка DNS направляет трафик на действительный IP-адрес, который анализирует трафик и отклоняет неправильные пакеты. Синкхолинг не эффективен для наиболее серьезных атак.

Профилактика на основе IPS

Системы предотвращения вторжений (IPS) эффективны, если атаки имеют связанные с ними сигнатуры. Однако среди атак наблюдается тенденция иметь законный контент, но с плохими намерениями. Системы предотвращения вторжений, которые работают над распознаванием контента, не могут блокировать DoS-атаки на основе поведения. ^[37]

IPS на базе ASIC может обнаруживать и блокировать атаки типа «отказ в обслуживании», поскольку они обладают вычислительной мощностью и степенью детализации для анализа атак и действуют как автоматический выключатель в автоматическом режиме. ^[37]

Защита на основе DDS

Система защиты от DoS (DDS), более ориентированная на проблему, чем IPS, может блокировать DoS-атаки на основе соединения, а также атаки с законным контентом, но с плохими намерениями. DDS также может противостоять как протокольным атакам (таким как «слеза» и «пинг смерти»), так и атакам на основе скорости (таким как ICMP-флуд и SYN-флуд). DDS имеет специально созданную систему, которая может легко идентифицировать и препятствовать атакам типа «отказ в обслуживании» с большей скоростью, чем программная система. ^[113]

Брандмауэры

В случае простой атаки в брандмауэр может быть добавлено простое правило, запрещающее весь входящий трафик от злоумышленников на основе протоколов, портов или исходных IP-адресов.

Однако более сложные атаки будет трудно заблокировать с помощью простых правил: например, если происходит продолжающаяся атака на порт 80 (веб-сервис), невозможно отбросить весь входящий трафик на этот порт, поскольку это не позволит серверу обслуживания легального трафика. ^[114] Кроме того, брандмауэры могут располагаться слишком глубоко в сетевой иерархии, что негативно влияет на маршрутизаторы еще до того, как трафик достигнет брандмауэра. Кроме того, многие инструменты безопасности по-прежнему не поддерживают IPv6 или могут быть настроены неправильно, поэтому брандмауэры часто могут быть обойдены во время атак. ^[115]

Маршрутизаторы

Подобно коммутаторам, маршрутизаторы имеют некоторые возможности ограничения скорости и ACL . Они тоже настраиваются вручную. Большинство маршрутизаторов можно легко перегрузить DoS-атакой. Nokia SR-OS с процессорами FP4/FP5 обеспечивает защиту от DDoS. Nokia SR-OS также использует Nokia Deepfield Defender на основе анализа больших данных для защиты от DDoS. Cisco IOS имеет дополнительные функции, которые могут уменьшить влияние лавинной рассылки. ^[116]

Переключатели

Большинство коммутаторов имеют некоторые возможности ограничения скорости и ACL . Некоторые коммутаторы обеспечивают автоматическое и/или общесистемное ограничение скорости , формирование трафика , отложенное связывание ( сращивание TCP ), глубокую проверку пакетов и фильтрацию Богона (фильтрация фиктивных IP-адресов) для обнаружения и устранения DoS-атак посредством автоматической фильтрации скорости, а также переключения и балансировки каналов глобальной сети. . ^{[37] [ нужна ссылка ]}

Эти схемы будут работать до тех пор, пока с их помощью можно предотвратить DoS-атаки. Например, SYN-флуд можно предотвратить с помощью отложенного связывания или сплайсинга TCP. Аналогичным образом, DoS на основе контента можно предотвратить с помощью глубокой проверки пакетов. Атаки, исходящие с темных адресов или идущие на темные адреса, можно предотвратить с помощью богонной фильтрации . Автоматическая фильтрация ставок может работать, если пороговые значения скорости установлены правильно. Переключение WAN-канала будет работать, если оба канала имеют механизм предотвращения DoS/DDoS. ^{[37] [ нужна ссылка ]}

Блокировка уязвимых портов

Например, при атаке с отражением SSDP; Ключевым средством устранения проблемы является блокировка входящего UDP-трафика через порт 1900 на брандмауэре. ^[117]

Непреднамеренный отказ в обслуживании

Непреднамеренный отказ в обслуживании может произойти, когда система оказывается отключена не из-за преднамеренной атаки со стороны одного человека или группы людей, а просто из-за внезапного резкого скачка популярности. Это может произойти, когда чрезвычайно популярный веб-сайт размещает заметную ссылку на второй, менее подготовленный сайт, например, в рамках новостной статьи. В результате значительная часть постоянных пользователей основного сайта – потенциально сотни тысяч людей – нажимают на эту ссылку в течение нескольких часов, оказывая на целевой сайт тот же эффект, что и DDoS-атака. VIPDoS — то же самое, но особенно когда ссылку разместил знаменитость.

Когда Майкл Джексон умер в 2009 году, такие сайты, как Google и Twitter, замедлили работу или даже вышли из строя. ^[118] Серверы многих сайтов считали, что запросы исходят от вируса или шпионского ПО, пытающегося вызвать атаку типа «отказ в обслуживании», предупреждая пользователей, что их запросы выглядят как «автоматические запросы от компьютерного вируса или шпионского приложения». ^[119]

Новостные сайты и сайты ссылок – сайты, основной функцией которых является предоставление ссылок на интересный контент в других местах Интернета – чаще всего вызывают это явление. Канонический пример — эффект Slashdot при получении трафика от Slashdot . Это также известно как объятия смерти Reddit и эффект Дигга .

Также известно, что маршрутизаторы создают непреднамеренные DoS-атаки, поскольку маршрутизаторы D-Link и Netgear перегружают NTP-серверы, переполняя их, не соблюдая ограничений типов клиентов или географических ограничений.

Аналогичный непреднамеренный отказ в обслуживании может произойти и через другие средства, например, когда URL-адрес упоминается по телевидению. Если сервер индексируется Google или другой поисковой системой в периоды пиковой активности или во время индексирования у него недостаточно доступной пропускной способности, он также может подвергнуться воздействию DoS-атаки. ^{[37] [ не удалось проверить ] [ нужна ссылка ]}

По крайней мере, в одном таком случае были предприняты юридические действия. В 2006 году Universal Tube & Rollform Equipment Corporation подала в суд на YouTube : огромное количество потенциальных пользователей YouTube.com случайно набрали URL-адрес компании по производству трубок — utube.com. В результате компании, производящей трубки, пришлось потратить большие суммы денег на повышение пропускной способности. ^[120] Судя по всему, компания воспользовалась ситуацией: на сайте utube.com теперь размещена реклама для получения дохода от рекламы.

В марте 2014 года, после того как рейс 370 Malaysia Airlines пропал, DigitalGlobe запустила краудсорсинговый сервис, с помощью которого пользователи могли помочь найти пропавший самолет на спутниковых снимках. Ответ привел к перегрузке серверов компании. ^[121]

Непреднамеренный отказ в обслуживании также может быть результатом заранее запланированного события, созданного самим веб-сайтом, как это было в случае переписи населения в Австралии в 2016 году . ^[122] Это может быть вызвано тем, что сервер предоставляет какую-либо услугу в определенное время. Это может быть веб-сайт университета, на котором будут доступны оценки, и это приведет к гораздо большему количеству запросов на вход в систему, чем любой другой.

Побочные эффекты атак

обратное рассеяние

В безопасности компьютерных сетей обратное рассеяние — это побочный эффект поддельной атаки типа «отказ в обслуживании». При атаках такого типа злоумышленник подделывает (или подделывает) исходный адрес в IP-пакетах , отправляемых жертве. В общем, машина-жертва не может отличить поддельные пакеты от законных пакетов, поэтому жертва реагирует на поддельные пакеты, как обычно. Эти пакеты ответа известны как обратное рассеяние. ^[123]

Если злоумышленник подменяет исходные адреса случайным образом, пакеты ответа обратного рассеяния от жертвы будут отправлены обратно в случайные места назначения. Этот эффект может быть использован сетевыми телескопами как косвенное свидетельство подобных атак.

Термин «анализ обратного рассеяния» относится к наблюдению за пакетами обратного рассеяния, поступающими в статистически значимую часть пространства IP-адресов , для определения характеристик DoS-атак и жертв.

Законность

Многочисленные веб-сайты, предлагающие инструменты для проведения DDoS-атак, были конфискованы ФБР в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях . ^[124]

Во многих юрисдикциях действуют законы, согласно которым атаки типа «отказ в обслуживании» являются незаконными.

• В США атаки типа «отказ в обслуживании» могут считаться федеральным преступлением в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях , за которые предусмотрены наказания, включая годы тюремного заключения. ^[125] Секция компьютерных преступлений и интеллектуальной собственности Министерства юстиции США занимается случаями DoS и DDoS. Например, в июле 2019 года Остин Томпсон, известный как DerpTrolling, был приговорен федеральным судом к 27 месяцам тюремного заключения и возмещению 95 000 долларов США за проведение многочисленных DDoS-атак на крупные компании, занимающиеся видеоиграми, которые нарушали работу их систем от нескольких часов до нескольких дней. ^{[126] [127]}
• В европейских странах совершение преступных атак типа «отказ в обслуживании» может, как минимум, привести к аресту. ^[128] Великобритания необычна тем, что она прямо объявила вне закона атаки типа «отказ в обслуживании» и установила максимальное наказание в виде 10 лет тюремного заключения в Законе о полиции и правосудии 2006 года , который внес поправки в раздел 3 Закона о неправомерном использовании компьютеров 1990 года . ^[129]
• В январе 2019 года Европол объявил, что «в настоящее время во всем мире проводятся действия по отслеживанию пользователей» Webstresser.org, бывшего рынка DDoS-атак, который был закрыт в апреле 2018 года в рамках операции Power Off. ^[130] Европол сообщил, что полиция Великобритании провела ряд «оперативных операций», направленных против более чем 250 пользователей Webstresser и других DDoS-сервисов. ^[131]

7 января 2013 года Anonymous разместили на сайте whitehouse.gov петицию с просьбой признать DDoS юридической формой протеста, аналогичной протестам Occupy , при этом утверждая, что сходство целей обоих одинаково. ^[132]

Смотрите также

• BASHLITE  – Вредоносное ПО для систем Linux
• Атака «Миллиард смеха»  - атака типа «отказ в обслуживании» на парсеры XML с использованием расширения сущности.
• Черный факс  - розыгрыш передачи факса, предназначенный для траты чернил или бумаги получателя.
• Ботнет  – сбор скомпрометированных подключенных к Интернету устройств, контролируемых третьей стороной.
• Blaster (компьютерный червь)  - компьютерный червь для Windows 2003 г.
• Dendroid (вредоносное ПО)  – вредоносное ПО для Android.
• Форк-бомба  – тип программной атаки типа «отказ в обслуживании».
• High Orbit Ion Cannon  — инструмент для атак типа «отказ в обслуживании» (HOIC)
• DDoS «наезд и бегство»  - тип кибератаки типа «отказ в обслуживании».
• Промышленный шпионаж  . Использование шпионажа в коммерческих целях, а не в целях безопасности.
• Бесконечный цикл  – идиома программирования
• Система обнаружения вторжений  — устройство или программное обеспечение для защиты сети.
• Killer poke  - Программные средства повреждения оборудования компьютера.
• Кружевная карта  - перфокарта со всеми пробитыми отверстиями.
• Low Orbit Ion Cannon  - приложение для стресс-тестирования сети с открытым исходным кодом и атаки типа «отказ в обслуживании» (LOIC)
• Атака смешанной угрозы
• Система обнаружения сетевых вторжений  — устройство или программное обеспечение для защиты сети.Страницы с краткими описаниями целей перенаправления.
• Кибератака Dyn 2016 г.  - Кибератака 2016 г. в Европе и Северной АмерикеСтраницы с краткими описаниями целей перенаправления.
• Операция PowerOFF  – Совместная операция по закрытию DDoS-сайтов
• Бумажный терроризм  : использование поддельных юридических документов как метод преследования.
• Project Shield  — служба защиты от распределенного отказа в обслуживании (DDoS).
• ReDoS  – отказ в обслуживании с использованием регулярных выраженийСтраницы, отображающие описания викиданных в качестве запасного варианта
• Атака на истощение ресурсов
• SlowDroid  – экспериментальная атака типа «отказ в обслуживании»
• Slowloris (компьютерная безопасность)  – программное обеспечение для выполнения атаки типа «отказ в обслуживании».
• Виртуальная сидячая забастовка  – онлайн-техника гражданского неповиновения
• Веб-оболочка  – интерфейс, обеспечивающий удаленный доступ к веб-серверу.
• Радиопомехи  - помехи авторизованной беспроводной связи.
• XML-атака типа «отказ в обслуживании»
• Xor DDoS  – вредоносная программа-троян для Linux с возможностями руткита.
• Zemra  — DDoS-ботСтраницы, отображающие описания викиданных в качестве запасного варианта
• Зомби (компьютеры)  – взломанный компьютер, используемый для вредоносных задач в сети.

Примечания

1. Флаг -t в системах Windows гораздо менее способен перегрузить цель, а также флаг -l (размер) не позволяет отправлять размер пакета, превышающий 65500 в Windows.
2. Хотя в сентябре 2009 года уязвимость в Windows Vista называлась каплевидной атакой , она была нацелена на SMB2 , который находится на более высоком уровне, чем TCP-пакеты, которые использовали слезоточивые пакеты). ^{[95] [96]}

Рекомендации

1. «Понимание атак типа «отказ в обслуживании»» . США-CERT. 6 февраля 2013 года . Проверено 26 мая 2016 г.
2. Эллейти, Халед; Благович, Дражен; Ченг, Ван; Сидело, Поль (1 января 2005 г.). «Методы атак типа «отказ в обслуживании»: анализ, реализация и сравнение». Публикации факультета компьютерных наук и инженерного факультета .
3. «Что такое DDoS-атака? - Значение DDoS» . Касперский . 13 января 2021 г. Проверено 05 сентября 2021 г.
4. Принц, Мэтью (25 апреля 2016 г.). «Пустые DDoS-угрозы: встречайте коллектив Армады». CloudFlare . Проверено 18 мая 2016 г.
5. «Президент Brand.com Майк Заммуто раскрывает попытку шантажа» . 5 марта 2014 г. Архивировано из оригинала 11 марта 2014 г.
6. «Майк Заммуто из Brand.com обсуждает вымогательство на Meetup.com» . 5 марта 2014 г. Архивировано из оригинала 13 мая 2014 г.
7. Халпин, Гарри (17 декабря 2010 г.). «Философия анонима». Радикальная философия.com . Проверено 10 сентября 2013 г.
8. «Распределенные атаки типа «отказ в обслуживании» - Журнал интернет-протокола - Том 7, номер 4» . Циско . Архивировано из оригинала 26 августа 2019 г. Проверено 26 августа 2019 г.
9. Смит, Стив. «5 известных ботнетов, которые держали Интернет в заложниках». tqеженедельно . Проверено 20 ноября 2014 г.
10. Чимпану, Каталин. «Google заявляет, что в 2017 году смягчила крупнейшую из известных на сегодняшний день DDoS-атак со скоростью 2,54 Тбит/с». ЗДНет . Проверено 16 сентября 2021 г.
11. Гудин, Дэн (5 марта 2018 г.). «Американский поставщик услуг пережил самый крупный зарегистрированный DDoS в истории» . Арс Техника . Проверено 6 марта 2018 г.
12. «Amazon« предотвращает крупнейшую в истории кибератаку DDoS »» . Новости BBC . 18 июня 2020 г. Проверено 11 ноября 2020 г.
13. «Яндекс атакован мощным DDoS-ботнетом Meris» . Threatpost.com . 10 сентября 2021 г. Проверено 23 декабря 2021 г.
14. «Cloudflare смягчает рекордную DDoS-атаку с частотой 71 миллион запросов в секунду» . Блог Cloudflare . 13 февраля 2023 г. Проверено 13 января 2024 г.
15. «Наш собственный архив недоступен из-за DDoS-атаки» . Полигон . 10 июля 2023 г.
16. "Settimo Giorno Di Attacchi Informationi All'Italia. NoName057(16) Torna alle Banche e alle Telecomunicazioni" . 6 августа 2023 г.
17. «HTTP/2 Rapid Reset: деконструкция рекордной атаки» . Блог Cloudflare . 10 октября 2023 г. Проверено 13 января 2024 г.
18. «Google смягчил крупнейшую на сегодняшний день DDoS-атаку, достигшую пика более 398 миллионов запросов в секунду» . Блог Google Cloud . 10 октября 2023 г. Проверено 13 января 2024 г.
19. Тагави Заргар, Саман (ноябрь 2013 г.). «Обзор механизмов защиты от атак типа распределенный отказ в обслуживании (DDoS)» (PDF) . Обзоры и учебные пособия IEEE по коммуникациям. стр. 2046–2069. Архивировано (PDF) из оригинала 7 марта 2014 г. Проверено 7 марта 2014 г.
20. Халифе, Солтаниан, Мохаммад Реза (10 ноября 2015 г.). Теоретические и экспериментальные методы защиты от DDoS-атак . Амири, Ирадж Садег, 1977-. Уолтем, Массачусетс. ISBN 978-0128053997. ОКЛК  930795667.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка )
21. «Ваш сайт укусил зомби?» Облачный брик. 3 августа 2015 г. Проверено 15 сентября 2015 г.
22. «DDoS-атаки седьмого уровня». Институт информационной безопасности .
23. Рагхаван, С.В. (2011). Расследование обнаружения и смягчения атак типа «отказ в обслуживании» (DoS) . Спрингер. ISBN 9788132202776.
24. Гудин, Дэн (28 сентября 2016 г.). «Рекордные DDoS-атаки, как сообщается, были осуществлены более чем 145 тысячами взломанных камер». Арс Техника . Архивировано из оригинала 2 октября 2016 года.
25. Хандельвал, Свати (26 сентября 2016 г.). «Крупнейшая в мире DDoS-атака со скоростью 1 Тбит/с, запущенная со 152 000 взломанных смарт-устройств». Хакерские новости. Архивировано из оригинала 30 сентября 2016 года.
26. Кумар, Бхаттачарья, Дхруба; Калита, Джугал Кумар (27 апреля 2016 г.). DDoS-атаки: эволюция, обнаружение, предотвращение, реагирование и устойчивость . Бока-Ратон, Флорида. ISBN 9781498729659. ОКЛК  948286117.{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка )
27. «Imperva, Глобальная картина угроз DDoS, отчет за 2019 год» (PDF) . Imperva.com . Имперва . Архивировано (PDF) из оригинала 9 октября 2022 г. Проверено 4 мая 2020 г.
28. Сайдс, Мор; Бремлер-Барр, Анат ; Розенсвейг, Элиша (17 августа 2015 г.). «Атака йо-йо: уязвимость в механизме автоматического масштабирования». Обзор компьютерных коммуникаций ACM SIGCOMM . 45 (4): 103–104. дои : 10.1145/2829988.2790017.
29. Барр, Анат; Бен Дэвид, Ронен (2021). «Автомасштабирование Kubernetes: уязвимость к атакам йо- йо и их смягчение». Материалы 11-й Международной конференции по облачным вычислениям и науке о сервисах . стр. 34–44. arXiv : 2105.00542 . дои : 10.5220/0010397900340044. ISBN 978-989-758-510-4. S2CID  233482002.
30. Сюй, Сяоцюн; Ли, Джин; Ю, Хунфан; Ло, Лонг; Вэй, Сюэтао; Солнце, Банда (2020). «На пути к снижению атак Yo-Yo в механизме автоматического масштабирования облака». Цифровые коммуникации и сети . 6 (3): 369–376. дои : 10.1016/j.dcan.2019.07.002 . S2CID  208093679.
31. Ли, Ньютон (2013). Борьба с терроризмом и кибербезопасность: полная информационная осведомленность . Спрингер. ISBN 9781461472056.
32. «Gartner заявляет, что 25 процентов распределенных атак типа «отказ в обслуживании» в 2013 году будут основаны на приложениях» . Гартнер . 21 февраля 2013. Архивировано из оригинала 25 февраля 2013 года . Проверено 28 января 2014 г.
33. Гиновски, Джон (27 января 2014 г.). «Что следует знать об усугублении DDoS-атак». Банковский журнал ABA . Архивировано из оригинала 9 февраля 2014 г.
34. «Состояние Интернета в четвертом квартале 2014 г. - Отчет о безопасности: цифры - Блог Akamai» . blogs.akamai.com .
35. Али, Джунаде (23 ноября 2017 г.). «Новый ландшафт DDoS». Блог Cloudflare .
36. Хиггинс, Келли Джексон (17 октября 2013 г.). «DDoS-атака использовала «безголовый» браузер в 150-часовой осаде» . Мрачное чтение . Информационная неделя. Архивировано из оригинала 22 января 2014 года . Проверено 28 января 2014 г.
37. Киюна и Коньерс (2015). Справочник по кибервойнам . Лулу.com. ISBN 978-1329063945.
38. Илашку, Ионут (21 августа 2014 г.). «38-дневная DDoS-атака составляет более 50 петабит при плохом трафике» . Новости софтпедии . Проверено 29 июля 2018 г.
39. Голд, Стив (21 августа 2014 г.). «Компания по производству видеоигр подверглась 38-дневной DDoS-атаке» . Журнал SC, Великобритания . Архивировано из оригинала 01 февраля 2017 г. Проверено 4 февраля 2016 г.
40. Кребс, Брайан (15 августа 2015 г.). «Стресс-тестирование служб загрузчика в финансовом отношении». Кребс о безопасности . Проверено 9 сентября 2016 г.
41. Мубаракали, Азат; Шринивасан, Картик; Мухалид, Рехам; Джаганатан, Субаш CB; Марина, Нинослав (26.01.2020). «Проблемы безопасности в Интернете вещей: обнаружение распределенных атак типа «отказ в обслуживании» с использованием машинных экспертных систем вектора поддержки». Вычислительный интеллект . 36 (4): 1580–1592. дои : 10.1111/coin.12293. ISSN  0824-7935. S2CID  214114645.
42. Бефекаду, Гетачев К.; Гупта, Виджай; Анцаклис, Панос Дж. (2015). «Чувствительный к риску контроль в рамках марковских модулированных стратегий атак типа «отказ в обслуживании» (DoS)». Транзакции IEEE при автоматическом управлении . 60 (12): 3299–3304. дои : 10.1109/TAC.2015.2416926. S2CID  9510043 . Проверено 19 октября 2023 г.
43. Макдауэлл, Минди (4 ноября 2009 г.). «Совет по кибербезопасности ST04-015. Понимание атак типа «отказ в обслуживании»». Группа готовности США к компьютерным чрезвычайным ситуациям . Архивировано из оригинала 4 ноября 2013 г. Проверено 11 декабря 2013 г.
44. Диттрих, Дэвид (31 декабря 1999 г.). «Стачелдрахт» распространяет инструмент для атак типа «отказ в обслуживании»». Университет Вашингтона. Архивировано из оригинала 16 августа 2000 г. Проверено 11 декабря 2013 г.
45. Камбьясо, Энрико; Папалео, Джанлука; Чиола, Джованни; Айелло, Маурицио (2015). «Проектирование и моделирование следующей медленной DoS-атаки». Конференция «Вычислительный интеллект в безопасности информационных систем» (СНГ 2015) . 249-259. Спрингер.
46. "Amazon CloudWatch". Amazon Веб-сервисы, Inc.
47. Энциклопедия информационных технологий . Атлантические издатели и дистрибьюторы. 2007. с. 397. ИСБН 978-81-269-0752-6.
48. Швабах, Аарон (2006). Интернет и право . АВС-КЛИО. п. 325. ИСБН 978-1-85109-731-9.
49. Лу, Сичэн; Вэй Чжао (2005). Сети и мобильные вычисления . Биркхойзер. п. 424. ИСБН 978-3-540-28102-3.
50. Бойл, Филипп (2000). «Институт SANS – Часто задаваемые вопросы по обнаружению вторжений: инструменты распределенных атак типа «отказ в обслуживании»: нет данных». Институт САНС. Архивировано из оригинала 15 мая 2008 г. Проверено 2 мая 2008 г.
51. Лейден, Джон (23 сентября 2004 г.). «Американская фирма, выпускающая кредитные карты, борется с DDoS-атакой» . Регистр . Проверено 2 декабря 2011 г.
52. Свати Хандельвал (23 октября 2015 г.). «Взлом камер видеонаблюдения для проведения DDoS-атак». Хакерские новости .
53. Зейфман, Игаль; Гайер, Офер; Уайлдер, Ор (21 октября 2015 г.). «Ботнет CCTV DDoS на нашем заднем дворе». incapsula.com .
54. Гленн Гринвальд (15 июля 2014 г.). «ВЗЛОМ ОНЛАЙН-ОПРОСОВ И ДРУГИЕ СПОСОБЫ БРИТАНСКИХ ШПИОНОВ СТРЕМЯТСЯ КОНТРОЛИРОВАТЬ ИНТЕРНЕТ». Перехват_ . Проверено 25 декабря 2015 г.
55. «Кто стоит за DDoS-атаками и как защитить свой сайт?» Облачный брик. 10 сентября 2015 года . Проверено 15 сентября 2015 г.
56. Солон, Оливия (9 сентября 2015 г.). «Кибер-вымогатели, нацеленные на финансовый сектор, требуют выкуп в биткойнах». Блумберг . Проверено 15 сентября 2015 г.
57. Гринберг, Адам (14 сентября 2015 г.). «Akamai предупреждает о возросшей активности группы вымогателей DDoS». Журнал СК . Проверено 15 сентября 2015 г.
58. «План OWASP — Строуман — Layer_7_DDOS.pdf» (PDF) . Откройте проект безопасности веб-приложений . 18 марта 2014 г. Архивировано (PDF) из оригинала 9 октября 2022 г. Проверено 18 марта 2014 г.
59. "Инструмент публикации HTTP OWASP" . Архивировано из оригинала 21 декабря 2010 г.
60. «Что такое атака CC?». HUAWEI CLOUD — развивайтесь с помощью интеллекта . Архивировано из оригинала 05 марта 2019 г. Проверено 5 марта 2019 г.
61. 刘鹏;郭洋. «Метод, устройство и система защиты от атак CC (вызов коллапсар)». Гугл Патенты . Архивировано из оригинала 05 марта 2019 г. Проверено 5 марта 2018 г.
62. 曾宪力;史伟;关志来;彭国柱. «Метод и устройство защиты от атак CC (Challenge Collapsar)». Гугл Патенты . Архивировано из оригинала 05 марта 2019 г. Проверено 5 марта 2018 г.
63. "史上最臭名昭著的黑客工具 CC的前世今生" . NetEase (на упрощенном китайском языке).驱动中国网(北京). 24 июля 2014 г. Архивировано из оригинала 05 марта 2019 г. Проверено 05 марта 2019 г.
64. Сунь, Фэй Сянь (2011). «Модель оценки риска атак смурфов, основанная на теории опасности». Ключевые инженерные материалы . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515. ISSN  1662-9795. S2CID  110045205.
65. «Типы DDoS-атак». Ресурсы по распределенным атакам типа «отказ в обслуживании» (DDoS), Лаборатории всеобъемлющих технологий Университета Индианы . Лаборатория расширенного сетевого управления (ANML). 3 декабря 2009 г. Архивировано из оригинала 14 сентября 2010 г. Проверено 11 декабря 2013 г.
66. «Что такое ядерное оружие? | Radware — DDoSPedia». Security.radware.com . Проверено 16 сентября 2019 г.
67. Пол Соп (май 2007 г.). «Пролексическое оповещение о распределенной атаке типа «отказ в обслуживании»». Пролексик Технологии Инк . Архивировано из оригинала 3 августа 2007 г. Проверено 22 августа 2007 г.
68. Роберт Лемос (май 2007 г.). «Одноранговые сети, используемые для DOS-атак». БезопасностьФокус. Архивировано из оригинала 24 сентября 2015 г. Проверено 22 августа 2007 г.
69. Фредрик Ульнер (май 2007 г.). «Отрицание распределенных атак». DC++: Только эти парни, понимаешь? . Проверено 22 августа 2007 г.
70. Лейден, Джон (21 мая 2008 г.). «Флашинг-атака разрушает встроенные системы». Регистр . Проверено 7 марта 2009 г.
71. Джексон Хиггинс, Келли (19 мая 2008 г.). «Постоянная атака типа «отказ в обслуживании» саботирует оборудование». Мрачное чтение. Архивировано из оригинала 8 декабря 2008 года.
72. «BrickerBot» приводит к PDoS-атаке» . Радварное ПО . 4 мая 2017 г. Проверено 22 января 2019 г.
73. «Конференция EUSecWest по прикладной безопасности: Лондон, Великобритания» EUSecWest. 2008. Архивировано из оригинала 1 февраля 2009 г.
74. Россов, Кристиан (февраль 2014 г.). «Ад усиления: новый взгляд на сетевые протоколы для злоупотреблений DDoS» (PDF) . Интернет-сообщество. Архивировано из оригинала (PDF) 4 марта 2016 года . Проверено 4 февраля 2016 г.
75. Паксон, Верн (2001). «Анализ использования отражателей для распределенных атак типа «отказ в обслуживании». ICIR.org.
76. «Оповещение (TA14-017A) Атаки с усилением на основе UDP» . США-CERT. 8 июля 2014 года . Проверено 8 июля 2014 г.
77. «CVE-2022-26143: уязвимость нулевого дня для запуска DDoS-атак с усилением UDP» . Блог Cloudflare . 08.03.2022 . Проверено 16 марта 2022 г.
78. «Примечания к выпуску Memcached 1.5.6» . Гитхаб . 27 февраля 2018 г. Проверено 3 марта 2018 г.
79. «DRDoS / Атака с усилением с использованием команды ntpdc monlist» . support.ntp.org. 24 апреля 2010 г. Проверено 13 апреля 2014 г.
80. ван Рейсвейк-Дей, Роланд (2014). «DNSSEC и его потенциал для DDoS-атак: комплексное исследование». Материалы конференции по измерениям в Интернете 2014 г. АКМ Пресс. стр. 449–460. дои : 10.1145/2663716.2663731. ISBN 9781450332132. S2CID  2094604.
81. Адамский, Флориан (2015). «Обмен файлами P2P в аду: использование уязвимостей BitTorrent для запуска распределенных отражающих DoS-атак».
82. Вон, Рэндал; Эврон, Гади (2006). «Атаки с усилением DNS» (PDF) . ИЗОТФ. Архивировано из оригинала (PDF) 14 декабря 2010 г.
83. «Оповещение (TA13-088A) Атаки с усилением DNS» . США-CERT. 8 июля 2013 года . Проверено 17 июля 2013 г.
84. Колиас, Константинос; Камбуракис, Георгиос; Ставру, Ангелос; Воас, Джеффри (2017). «DDoS в IoT: Mirai и другие ботнеты». Компьютер . 50 (7): 80–84. дои : 10.1109/MC.2017.201. S2CID  35958086.
85. Кузманович, Александр; Найтли, Эдвард В. (25 августа 2003 г.). «Низкоскоростные атаки типа «отказ в обслуживании», нацеленные на TCP: землеройка против мышей и слонов». Материалы конференции 2003 года по приложениям, технологиям, архитектурам и протоколам компьютерной связи . АКМ. стр. 75–86. CiteSeerX 10.1.1.307.4107 . дои : 10.1145/863955.863966. ISBN  978-1581137354. S2CID  173992197.
86. "Ру-пока мертв" . 8 сентября 2016 г.^{[ нужен неосновной источник ]}
87. «Паника SACK и другие проблемы с отказом в обслуживании TCP» . Убунту Вики . 17 июня 2019 года. Архивировано из оригинала 19 июня 2019 года . Проверено 21 июня 2019 г.
88. "CVE-2019-11479". КВЭ . Архивировано из оригинала 21 июня 2019 года . Проверено 21 июня 2019 г.
89. Ю Чен; Кай Хван; Ю-Квонг Квок (2005). «Фильтрация смелых DDoS-атак в частотной области». Конференция IEEE по 30-летию локальных компьютерных сетей (LCN'05)l . стр. 8 стр. doi :10.1109/LCN.2005.70. hdl : 10722/45910. ISBN 978-0-7695-2421-4. S2CID  406686.
90. «Что такое DDoS-атака с медленным чтением?». Системы НетСкаут .
91. Бен-Порат, Ю.; Бремлер-Барр, А.; Леви, Х. (01 мая 2013 г.). «Уязвимость сетевых механизмов к сложным DDoS-атакам». Транзакции IEEE на компьютерах . 62 (5): 1031–1043. дои : 10.1109/TC.2012.49. ISSN  0018-9340. S2CID  26395831.
92. орбитальный спутник (8 сентября 2016 г.). «Медленный HTTP-тест». СоурсФордж .
93. Эдди, Уэсли (август 2007 г.). «Атаки TCP SYN Flood и общие меры по их устранению». Tools.ietf.org . дои : 10.17487/RFC4987 . РФК 4987 . Проверено 2 декабря 2011 г. 
94. «Рекомендация CERT CA-1997-28 IP-атаки типа «отказ в обслуживании»» . СЕРТ. 1998 год . Проверено 18 июля 2014 г.
95. «Windows 7, Vista подверглись« каплевидной атаке »» . ЗДНет . 8 сентября 2009 года . Проверено 11 декабря 2013 г.
96. «Рекомендации Microsoft по безопасности (975497): Уязвимости в SMB могут сделать возможным удаленное выполнение кода» . Microsoft.com. 8 сентября 2009 года . Проверено 2 декабря 2011 г.
97. «ФБР — фальшивые телефонные звонки отвлекают потребителей от настоящей кражи» . ФБР.gov. 11 мая 2010 г. Проверено 10 сентября 2013 г.
98. «Предупреждения о мошенничестве Центра жалоб на интернет-преступления (IC3) от 7 января 2013 г.» . IC3.gov . 07.01.2013 . Проверено 10 сентября 2013 г.
99. «Идентификация и смягчение атак с истечением срока действия TTL» . Сиско Системы . Проверено 24 мая 2019 г.
100. «Новый метод DDoS-атаки использует UPnP» . Мрачное чтение . Проверено 29 мая 2018 г.
101. «Новый метод DDoS-атаки требует нового подхода к усилению предотвращения атак - блог | Imperva» . Блог | Имперва . 14 мая 2018 г. Проверено 29 мая 2018 г.
102. «Многогосударственный центр обмена информацией и анализа» . СНГ .
103. «Атаки с усилением на основе UDP» . 18 декабря 2019 г.
104. «Глупо простой протокол DDoS (SSDP) генерирует DDoS со скоростью 100 Гбит / с» . Блог Cloudflare . 28 июня 2017 г.
105. «Глупо простой протокол DDoS (SSDP) генерирует DDoS со скоростью 100 Гбит / с» . Блог Cloudflare . 28 июня 2017 г. Проверено 13 октября 2019 г.
106. Лукас, Г.; Оке, Г. (сентябрь 2010 г.). «Защита от атак типа «отказ в обслуживании»: опрос» (PDF) . Вычислить. Дж. 53 (7): 1020–1037. doi : 10.1093/comjnl/bxp078. Архивировано из оригинала (PDF) 24 марта 2012 г. Проверено 2 декабря 2015 г.
107. «Шунт синхронного трафика на основе MPLS (NANOG28)» . Riverhead Networks, Cisco, Colt Telecom . НАНОГ28. 03.01.2003. Архивировано из оригинала 15 мая 2021 г. Проверено 10 января 2003 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
108. «Методы отвлечения и просеивания для отражения DDoS-атак» . Сиско, Риверхед Нетворкс . НАНОГ23. 2001-10-23. Архивировано из оригинала 15 мая 2021 г. Проверено 30 октября 2001 г.{{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )
109. «Смягчение последствий DDoS-атак с помощью региональных центров очистки (январь 2004 г.)» (PDF) . SprintLabs.com . Спринт ATL Research. Архивировано из оригинала (PDF) 21 сентября 2008 г. Проверено 2 декабря 2011 г.
110. Алькахтани, С.; Гэмбл, РФ (1 января 2015 г.). «DDoS-атаки в сервисных облаках». 2015 48-я Гавайская международная конференция по системным наукам . стр. 5331–5340. дои : 10.1109/HICSS.2015.627. ISBN 978-1-4799-7367-5. S2CID  32238160.
111. Кузиурис, Джордж (2014). «КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ЗАВЕРШЕНИЯ: минимизация эффекта DoS-атак на эластичные облачные приложения на основе контрольных точек цепи Маркова на уровне приложения». БЛИЖЕ Конференция . стр. 622–628. дои : 10.5220/0004963006220628. ISBN 978-989-758-019-2.
112. Патрикакис, К.; Масикос, М.; Зурараки, О. (декабрь 2004 г.). «Распределенные атаки типа «отказ в обслуживании». Журнал Интернет-протокола . 7 (4): 13–35. Архивировано из оригинала 27 декабря 2015 г. Проверено 13 января 2010 г.
113. Попескич, Вальтер (16 октября 2012 г.). «Как предотвратить или остановить DoS-атаки?».
114. Фрутан, Пол (24 июня 2004 г.). «Как защититься от DDoS-атак». Компьютерный мир . Проверено 15 мая 2010 г.
115. «Проблемы уязвимости кибербезопасности стремительно растут» . ComputerWeekly.com . Проверено 13 августа 2018 г.
116. Сюзен, Мехмет. «Некоторые советы по IoS для интернет-провайдеров (провайдеров)» (PDF) . Архивировано из оригинала (PDF) 10 сентября 2008 г.
117. «SSDP DDoS-атака | Cloudflare» .
118. Шилс, Мэгги (26 июня 2009 г.). «Сеть замедляется после смерти Джексона». Новости BBC .
119. «Приносим извинения. Ошибка автоматического запроса» . Форумы по продуктам Google › Форум поиска Google . 20 октября 2009 года . Проверено 11 февраля 2012 г.
120. «YouTube подал в суд на сайт, похожий на звук» . Новости BBC . 02.11.2006.
121. Билл Чаппелл (12 марта 2014 г.). «Люди перегружают веб-сайт, надеясь помочь в поиске пропавшего самолета» . ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР . Проверено 4 февраля 2016 г.
122. Палмер, Дэниел (19 августа 2016 г.). «Эксперты ставят под сомнение заявления Census DDoS» . Разделитель . Проверено 31 января 2018 г.
123. «Анализ обратного рассеяния (2001)». Анимации (видео). Кооперативная ассоциация анализа интернет-данных . Проверено 11 декабря 2013 г.
124. «ФБР конфисковало 15 веб-сайтов, предназначенных для DDoS-атак по найму» . Котаку . 6 января 2019 г.
125. «Кодекс США: Название 18,1030. Мошенничество и связанная с ним деятельность, связанная с компьютерами | Государственная типография» . gpo.gov. 25 октября 2002 г. Проверено 15 января 2014 г.
126. «Житель Юты приговорен за преступление, связанное со взломом компьютеров» . 2019-07-02. Архивировано из оригинала 10 июля 2019 г.
127. Смолакс, Макс (04 июля 2019 г.). «Получите ответ: два года в тюрьме за разрушившую игру DDoS-паршивицу DerpTrolling» . Регистр . Проверено 27 сентября 2019 г. Остин Томпсон, известный как DerpTrolling, получивший известность в 2013 году благодаря организации распределенных атак типа «отказ в обслуживании» (DDoS) против крупных компаний, производящих видеоигры, был приговорен федеральным судом к 27 месяцам тюремного заключения. Томпсон, житель штата Юта, также должен будет выплатить 95 000 долларов компании Daybreak Games, которая принадлежала Sony, когда она пострадала от рук DerpTrolling. В период с декабря 2013 года по январь 2014 года Томпсон также отключил Steam Valve — крупнейшую платформу цифрового распространения компьютерных игр, а также сервис Origin от Electronic Arts и BattleNet от Blizzard. Беспорядки длились от нескольких часов до нескольких дней.
128. «Международные действия против киберпреступной группы DD4BC» . ЕВРОПОЛ . 12 января 2016 г.
129. «Закон о неправомерном использовании компьютеров 1990 года». legal.gov.uk — Национальный архив Великобритании . 10 января 2008 г.
130. "Новости". Европол . Проверено 29 января 2019 г.
131. «Власти всего мира преследуют пользователей крупнейшего наемного DDoS-сайта» . Европол . Проверено 29 января 2019 г.
132. «Анонимная петиция о DDoS: группа призывает Белый дом признать распределенный отказ в обслуживании протестом» . HuffingtonPost.com. 12 января 2013 г.

дальнейшее чтение

• Итан Цукерман; Хэл Робертс; Райан МакГрэйди; Джиллиан Йорк; Джон Палфри (декабрь 2011 г.). «Распределенные атаки типа «отказ в обслуживании» против независимых СМИ и правозащитных сайтов» (PDF) . Беркмановский центр Интернета и общества при Гарвардском университете. Архивировано из оригинала (PDF) 26 февраля 2011 г. Проверено 2 марта 2011 г.
• «Сообщения общественных СМИ о DDOS». Гарвард. Архивировано из оригинала 25 декабря 2010 г.
• Мир ПК: DDoS-атаки на уровне приложений становятся все более изощренными

Внешние ссылки

• RFC  4732 Вопросы отказа в обслуживании в Интернете
• Отчет Akamai о состоянии интернет-безопасности — ежеквартальная статистика тенденций в области безопасности и Интернета
• W3C Часто задаваемые вопросы по безопасности во Всемирной паутине
• cert.org Руководство CERT по DoS-атакам. (исторический документ)
• Сводный отчет ATLAS — глобальный отчет о DDoS-атаках в режиме реального времени.
• Низкоорбитальная ионная пушка — известный инструмент стресс-тестирования сети
• Высокоорбитальная ионная пушка — простой HTTP-флудер
• LOIC SLOW. Попытка внедрить SlowLoris и медленные сетевые инструменты на LOIC.