В вычислительной технике атака типа «отказ в обслуживании» ( DoS-атака ) — это кибератака , при которой злоумышленник пытается сделать машину или сетевой ресурс недоступными для предполагаемых пользователей , временно или на неопределенный срок нарушая работу хоста, подключенного к сети . Отказ в обслуживании обычно достигается путем переполнения целевой машины или ресурса лишними запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов. [1] Спектр атак широко варьируется: от наводнения сервера миллионами запросов с целью снижения его производительности, перегрузки сервера значительным количеством недействительных данных до отправки запросов с незаконным IP-адресом . [2]
При распределенной атаке типа «отказ в обслуживании» ( DDoS-атаке ) входящий трафик, заливающий жертву, исходит из множества различных источников. Для смягчения атак этого типа необходимы более сложные стратегии; простой попытки заблокировать один источник недостаточно, поскольку источников несколько. [3]
DoS- или DDoS-атака аналогична ситуации, когда группа людей толпится у входной двери магазина, затрудняя вход законным покупателям, тем самым нарушая торговлю и теряя деньги бизнеса.
Преступники, совершающие DoS-атаки, часто нацелены на сайты или службы, размещенные на известных веб-серверах , таких как банки или платежные шлюзы по кредитным картам . Месть , шантаж [4] [5] [6] и хактивизм [7] могут мотивировать эти атаки.
Panix , третий старейший интернет-провайдер в мире, стал целью первой DoS-атаки. 6 сентября 1996 года компания Panix подверглась атаке SYN-флуд , в результате которой ее услуги были отключены на несколько дней, пока поставщики оборудования, в частности Cisco , не придумали адекватную защиту. [8]
Еще одна ранняя демонстрация DoS-атаки была проведена Ханом С. Смитом в 1997 году во время мероприятия DEF CON , в результате чего доступ в Интернет на Лас-Вегас-Стрип был нарушен более чем на час. Публикация примера кода во время мероприятия привела к онлайн-атаке Sprint , EarthLink , E-Trade и других крупных корпораций в последующем году. [9]
Крупнейшая на сегодняшний день DDoS-атака произошла в сентябре 2017 года, когда Google Cloud подверглась атаке с максимальным объемом2,54 Тбит/с , данные Google были обнаружены 17 октября 2020 года. [10] Рекордсменом считалась атака, осуществленная неназванным клиентом американского поставщика услуг Arbor Networks , достигшая пика около1,7 Тбит/с . [11]
В феврале 2020 года Amazon Web Services подверглась атаке с пиковым объемом2,3 Тб/с . [12] В июле 2021 года CDN-провайдер Cloudflare похвастался, что защитил своего клиента от DDoS-атаки глобального ботнета Mirai с частотой до 17,2 миллиона запросов в секунду. [ нужна ссылка ] Российский поставщик услуг по предотвращению DDoS-атак Яндекс заявил, что 5 сентября 2021 года он заблокировал DDoS-атаку по конвейеру HTTP, исходящую от непропатченного сетевого оборудования Mikrotik. [13]
В феврале 2023 года Cloudflare столкнулась с атакой со скоростью 71 миллион запросов в секунду, которая, по утверждению Cloudflare, была крупнейшей HTTP-DDoS-атакой на тот момент. [14] HTTP DDoS-атаки измеряются HTTP-запросами в секунду, а не пакетами в секунду или битами в секунду.
10 июля 2023 года неназванная хакерская группа атаковала сайт фанфиков Archive of Our Own (AO3). Хакеры заявили, что их действия «религиозны и политически мотивированы», но эксперты, работающие с Archive of Our Own над преодолением атак, еще не проверили эти утверждения. [ нужна ссылка ] [15]
В августе 2023 года группа хактивистов NoName057 атаковала несколько итальянских финансовых учреждений, осуществив медленные DoS-атаки . [16]
В октябре 2023 года эксплуатация новой уязвимости в протоколе HTTP/2 привела к тому, что рекорд крупнейшей HTTP-DDoS-атаки был побит дважды: один раз с атакой 201 миллион запросов в секунду, наблюдаемой Cloudflare, [17] и снова с 398 миллионами запросов в секунду. количество запросов в секунду, атака, наблюдаемая Google. [18]
Атаки типа «отказ в обслуживании» характеризуются явной попыткой злоумышленников предотвратить законное использование службы. Существует две основные формы DoS-атак: те, которые приводят к сбою служб, и те, которые приводят к переполнению служб. Распространены наиболее серьезные атаки. [19]
Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько систем переполняют полосу пропускания или ресурсы целевой системы, обычно одного или нескольких веб-серверов. [19] DDoS-атака использует более одного уникального IP-адреса или компьютеров, часто с тысяч хостов, зараженных вредоносным ПО. [20] [21] Распределенная атака типа «отказ в обслуживании» обычно включает более 3–5 узлов в разных сетях; меньшее количество узлов может квалифицироваться как DoS-атака, но это не DDoS-атака. [22] [23]
Несколько машин могут генерировать больше атакующего трафика, чем одна машина, несколько атакующих машин труднее отключить, чем одну атакующую машину, а поведение каждой атакующей машины может быть более скрытным, что затрудняет ее отслеживание и выключение. Поскольку входящий трафик, заливающий жертву, исходит из разных источников, остановить атаку просто с помощью входной фильтрации может быть невозможно . Это также затрудняет различение легитимного пользовательского трафика от атакующего трафика, когда он распространяется по нескольким точкам происхождения. В качестве альтернативы или дополнения DDoS-атаки могут включать подделку IP-адресов отправителей ( подмена IP-адреса ), что еще больше усложняет выявление и отражение атаки. Эти преимущества злоумышленника создают проблемы для защитных механизмов. Например, простая покупка большей входящей полосы пропускания, чем текущий объем атаки, может не помочь, поскольку злоумышленник может просто добавить больше атакующих машин.
В последние годы масштабы DDoS-атак продолжали расти и к 2016 году превысили терабит в секунду . [24] [25] Некоторыми распространенными примерами DDoS-атак являются UDP-флуд , SYN-флуд и усиление DNS . [26] [27]
Атака «йо-йо» — это особый тип DoS/DDoS, направленный на облачные приложения, использующие автомасштабирование . [28] [29] [30] Злоумышленник генерирует поток трафика до тех пор, пока облачная служба не масштабируется наружу, чтобы справиться с увеличением трафика, а затем останавливает атаку, оставляя жертву с избыточными ресурсами. Когда жертва снова уменьшается, атака возобновляется, в результате чего ресурсы снова увеличиваются. Это может привести к снижению качества обслуживания в периоды увеличения и уменьшения масштаба и финансовой утечке ресурсов в периоды избыточного выделения ресурсов, при этом работая с меньшими затратами для злоумышленника по сравнению с обычной DDoS-атакой, поскольку для этого требуется только генерировать трафик в течение части периода атаки.
DDoS-атака прикладного уровня (иногда называемая DDoS-атакой уровня 7 ) — это форма DDoS-атаки, при которой злоумышленники нацелены на процессы прикладного уровня . [31] [22] Атака чрезмерно использует определенные функции или возможности веб-сайта с намерением отключить эти функции или функции. Эта атака на уровне приложения отличается от всей сетевой атаки и часто используется против финансовых учреждений, чтобы отвлечь персонал ИТ и службы безопасности от нарушений безопасности. [32] В 2013 году DDoS-атаки на уровне приложений составили 20% всех DDoS-атак. [33] Согласно исследованию Akamai Technologies , с четвертого квартала 2013 года по четвертый квартал 2014 года произошло «на 51 процент больше атак на уровне приложений» и «на 16 процентов больше» с третьего квартала 2014 года по четвертый квартал 2014 года. [34] В ноябре 2017 года; Джунад Али , инженер Cloudflare, отметил, что, хотя атаки на сетевом уровне по-прежнему имеют высокую мощность, они происходят реже. Али также отметил, что, хотя атаки на уровне сети становятся менее частыми, данные Cloudflare показывают, что атаки на уровне приложений по-прежнему не проявляют никаких признаков замедления. [35]
Модель OSI (ISO/IEC 7498-1) — это концептуальная модель, которая характеризует и стандартизирует внутренние функции системы связи путем разделения ее на уровни абстракции . Модель является продуктом проекта «Взаимосвязь открытых систем» Международной организации по стандартизации (ISO). Модель группирует схожие коммуникационные функции в один из семи логических уровней. Уровень обслуживает слой выше него и уровень ниже него. Например, уровень, обеспечивающий безошибочную связь в сети, обеспечивает путь связи, необходимый приложениям выше него, в то время как он вызывает следующий более низкий уровень для отправки и получения пакетов, проходящих по этому пути.
В модели OSI определение прикладного уровня является более узким, чем это часто реализуется. Модель OSI определяет уровень приложения как пользовательский интерфейс. Прикладной уровень OSI отвечает за отображение данных и изображений пользователю в распознаваемом человеком формате и за взаимодействие с нижележащим уровнем представления . В реализации уровни приложения и представления часто комбинируются.
Простейшая DoS-атака основана, главным образом, на грубой силе, наводняя цель огромным потоком пакетов, перенасыщая пропускную способность соединения или истощая системные ресурсы цели. Наводнения, перенасыщающие полосу пропускания, зависят от способности злоумышленника генерировать ошеломляющий поток пакетов. Распространенным способом достижения этой цели сегодня является распределенный отказ в обслуживании с использованием ботнета .
DDoS-атака на уровне приложений осуществляется в основном для конкретных целевых целей, включая нарушение транзакций и доступа к базам данных. Он требует меньше ресурсов, чем атаки на сетевом уровне, но часто сопровождает их. [36] Атака может быть замаскирована под легитимный трафик, за исключением того, что она нацелена на определенные пакеты или функции приложения. Атака на уровне приложений может нарушить работу таких служб, как поиск информации или функции поиска на веб-сайте. [33]
Усовершенствованный постоянный DoS (APDoS) связан с расширенной постоянной угрозой и требует специальных мер по предотвращению DDoS . [37] Эти атаки могут продолжаться неделями; самый длительный непрерывный период, отмеченный до сих пор, длился 38 дней. Эта атака включала около 50+ петабит (50 000+ терабит) вредоносного трафика. [38]
Злоумышленники в этом сценарии могут тактически переключаться между несколькими целями, чтобы отвлечь внимание и избежать защитных контрмер DDoS, но при этом в конечном итоге сосредоточить основной удар атаки на одной жертве. В этом сценарии злоумышленники, имеющие постоянный доступ к нескольким очень мощным сетевым ресурсам, способны поддерживать длительную кампанию, генерируя огромные уровни неусиленного DDoS-трафика.
APDoS-атаки характеризуются:
Некоторые поставщики предоставляют так называемые службы загрузки или стресса , которые имеют простой веб-интерфейс и принимают оплату через Интернет. Продаваемые и рекламируемые как инструменты стресс-тестирования, они могут использоваться для выполнения несанкционированных атак типа «отказ в обслуживании» и позволяют технически неискушенным злоумышленникам получить доступ к сложным инструментам атак. [40] Обычно трафик, создаваемый ботнетом , может варьироваться от 5 до 50 Гбит/с, что в большинстве случаев может лишить среднего домашнего пользователя доступа в Интернет. [41]
Атака типа «отказ в обслуживании», модулированная по Маркову, происходит, когда злоумышленник разрушает пакеты управления, используя скрытую модель Маркова . Атаки на основе модели Маркова преобладают в онлайн-играх, поскольку нарушение управляющего пакета подрывает игровой процесс и функциональность системы. [42]
Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) выявила следующие симптомы атаки типа «отказ в обслуживании»: [43]
В таких случаях, как MyDoom и Slowloris , инструменты встроены во вредоносное ПО и запускают атаки без ведома владельца системы. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби , которые, в свою очередь, облегчают DDoS-атаку. Агенты скомпрометированы через обработчики злоумышленником, использующим автоматизированные процедуры для использования уязвимостей в программах, которые принимают удаленные соединения, выполняемые на целевых удаленных хостах. Каждый обработчик может управлять до тысячи агентов. [44]
В других случаях машина может стать частью DDoS-атаки с согласия владельца, например, в операции «Расплата» , организованной группой Anonymous . Низкоорбитальная ионная пушка обычно использовалась таким образом. Наряду с High Orbit Ion Cannon сегодня доступен широкий спектр инструментов DDoS, включая платные и бесплатные версии, с различными функциями. Для них существует подпольный рынок на хакерских форумах и IRC-каналах.
Атаки на уровне приложений используют эксплойты , вызывающие DoS, и могут привести к тому, что программное обеспечение, работающее на сервере, заполнит дисковое пространство или израсходует всю доступную память или процессорное время . Атаки могут использовать определенные типы пакетов или запросы на подключение для насыщения ограниченных ресурсов, например, занимая максимальное количество открытых соединений или заполняя дисковое пространство жертвы журналами. Злоумышленник, имеющий доступ на уровне оболочки к компьютеру жертвы, может замедлить его работу до тех пор, пока он не станет непригодным для использования, или вывести его из строя, используя вилочную бомбу . Другой вид DoS-атаки на уровне приложения — это XDoS (или XML DoS), которым могут управлять современные брандмауэры веб-приложений (WAF).
Все атаки, относящиеся к категории использования тайм-аута [45]. Медленные DoS-атаки реализуют атаку на уровне приложения. Примерами угроз являются Slowloris, устанавливающий ожидающие соединения с жертвой, или SlowDroid , атака, выполняемая на мобильных устройствах.
Другой целью DDoS-атак может быть создание дополнительных затрат для оператора приложения, когда последний использует ресурсы на основе облачных вычислений . В этом случае обычно используемые приложениями ресурсы привязаны к необходимому уровню качества обслуживания (QoS) (например, ответы должны быть менее 200 мс), и это правило обычно связывается с автоматизированным программным обеспечением (например, Amazon CloudWatch [46] ) для повышения больше виртуальных ресурсов от провайдера для удовлетворения определенных уровней QoS для возросших запросов. Основным стимулом таких атак может быть желание владельца приложения повысить уровень эластичности для обработки возросшего трафика приложения, вызвать финансовые потери или заставить его стать менее конкурентоспособным.
Банановая атака — еще один особый тип DoS. Он включает в себя перенаправление исходящих сообщений от клиента обратно на клиента, предотвращение внешнего доступа, а также затопление клиента отправленными пакетами. Наземная атака относится к этому типу .
Пульсирующие зомби — это скомпрометированные компьютеры, которые предназначены для запуска периодических и кратковременных наводнений веб-сайтов-жертв с целью просто замедлить их работу, а не вывести из строя. Этот тип атаки, называемый деградацией обслуживания , может быть труднее обнаружить и может нарушать и препятствовать подключению к веб-сайтам в течение длительных периодов времени, что потенциально может привести к более серьезным сбоям в целом, чем атака типа «отказ в обслуживании». [47] [48] Выявление атак с ухудшением качества обслуживания еще более осложняется необходимостью определения того, действительно ли сервер подвергается атаке или испытывает более высокие, чем обычно, нагрузки легитимного трафика. [49]
Если злоумышленник организует атаку с одного хоста, это будет классифицировано как DoS-атака. Любая атака на доступность будет классифицироваться как атака типа «отказ в обслуживании». С другой стороны, если злоумышленник использует множество систем для одновременной атаки на удаленный хост, это будет классифицироваться как DDoS-атака.
Вредоносное ПО может использовать механизмы DDoS-атак; одним из наиболее известных примеров был MyDoom . Его механизм DoS сработал в определенную дату и время. Этот тип DDoS включал жесткое кодирование целевого IP-адреса перед выпуском вредоносного ПО, и для запуска атаки не требовалось никакого дальнейшего взаимодействия.
Система также может быть скомпрометирована трояном , содержащим агент-зомби . Злоумышленники также могут проникнуть в системы с помощью автоматизированных инструментов, использующих недостатки в программах, прослушивающих соединения с удаленных хостов. Этот сценарий в первую очередь касается систем, выступающих в качестве серверов в сети. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби, что, в свою очередь, облегчает DDoS-атаку. Агенты скомпрометированы злоумышленником через обработчики. Каждый обработчик может управлять до тысячи агентов. [44] В некоторых случаях машина может стать участником DDoS-атаки с согласия владельца, например, в операции «Расплата» , организованной группой Anonymous . Эти атаки могут использовать различные типы интернет-пакетов, такие как TCP, UDP, ICMP и т. д.
Эти совокупности скомпрометированных систем известны как ботнеты . Инструменты DDoS, такие как Stacheldraht, по-прежнему используют классические методы DoS-атак, основанные на подмене и усилении IP-адресов, такие как смурф-атаки и Fraggle-атаки (типы атак с использованием полосы пропускания). Также можно использовать SYN-флуд (атаку истощения ресурсов). Новые инструменты могут использовать DNS-серверы для целей DoS. В отличие от механизма DDoS MyDoom, ботнеты можно настроить против любого IP-адреса. Скрипт-кидди используют их, чтобы запретить законным пользователям доступ к известным веб-сайтам. [50] Более изощренные злоумышленники используют инструменты DDoS в целях вымогательства , в том числе против своих бизнес-конкурентов. [51]
Сообщалось о новых атаках со стороны устройств Интернета вещей (IoT), которые участвовали в атаках типа «отказ в обслуживании». [52] В ходе одной из известных атак максимальная частота запросов составила около 20 000 запросов в секунду, которые поступали примерно от 900 камер видеонаблюдения. [53]
У GCHQ Великобритании есть инструменты, созданные для DDoS, под названием PREDATORS FACE и ROLLING THUNDER. [54]
Простые атаки, такие как SYN-флуд, могут проявляться с широким диапазоном исходных IP-адресов, создавая видимость распределенного DoS. Эти флуд-атаки не требуют завершения трехэтапного установления связи TCP и не пытаются исчерпать очередь SYN назначения или пропускную способность сервера. Поскольку исходные IP-адреса могут быть легко подделаны, атака может исходить из ограниченного набора источников или даже с одного хоста. Усовершенствования стека, такие как файлы cookie SYN, могут быть эффективным средством предотвращения переполнения очереди SYN, но не решают проблему исчерпания пропускной способности.
В 2015 году возросла популярность DDoS-ботнетов, таких как DD4BC, которые нацелены на финансовые учреждения. [55] Кибер-вымогатели обычно начинают с атаки низкого уровня и предупреждения о том, что будет проведена более крупная атака, если выкуп не будет выплачен в биткойнах . [56] Эксперты по безопасности рекомендуют целевым веб-сайтам не платить выкуп. Злоумышленники, как правило, прибегают к расширенной схеме вымогательства, как только понимают, что цель готова заплатить. [57]
Впервые обнаруженная в 2009 году медленная атака HTTP POST отправляет полный легитимный заголовок HTTP POST , который включает поле Content-Length для указания размера тела сообщения, которому следует следовать. Однако затем злоумышленник продолжает отправлять тело сообщения с чрезвычайно низкой скоростью (например, 1 байт/110 секунд). Поскольку все сообщение правильное и полное, целевой сервер попытается следовать полю Content-Length в заголовке и будет ждать передачи всего тела сообщения, что может занять очень много времени. Злоумышленник устанавливает сотни или даже тысячи таких подключений до тех пор, пока все ресурсы для входящих подключений на сервере-жертве не будут исчерпаны, что делает дальнейшие подключения невозможными до тех пор, пока не будут отправлены все данные. Примечательно, что в отличие от многих других DDoS-атак или DDoS-атак, которые пытаются подчинить сервер путем перегрузки его сети или процессора, медленная HTTP-атака POST нацелена на логические ресурсы жертвы, что означает, что у жертвы все еще будет достаточно пропускной способности сети и обработки данных. мощность для работы. [58] В сочетании с тем фактом, что HTTP-сервер Apache по умолчанию принимает запросы размером до 2 ГБ, эта атака может быть особенно мощной. Медленные HTTP-атаки POST трудно отличить от законных соединений, поэтому они могут обходить некоторые системы защиты. OWASP , проект безопасности веб-приложений с открытым исходным кодом , выпустил инструмент для проверки безопасности серверов от атак такого типа. [59]
Атака Challenge Collapsar (CC) — это атака, при которой стандартные HTTP-запросы часто отправляются на целевой веб-сервер. Унифицированные идентификаторы ресурсов (URI) в запросах требуют сложных трудоемких алгоритмов или операций с базой данных, которые могут исчерпать ресурсы целевого веб-сервера. [60] [61] [62]
В 2004 году китайский хакер по прозвищу KiKi изобрел хакерский инструмент для отправки подобных запросов на атаку брандмауэра NSFOCUS под названием Collapsar , и поэтому хакерский инструмент стал известен как Challenge Collapsar , или сокращенно CC . Следовательно, этот тип атаки получил название CC-атака . [63]
Атака smurf основана на неправильно настроенных сетевых устройствах, которые позволяют отправлять пакеты всем компьютерным хостам в определенной сети через широковещательный адрес сети, а не через конкретный компьютер. Злоумышленник отправит большое количество IP- пакетов с поддельным адресом источника, который будет выглядеть как адрес жертвы. [64] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это перегружает компьютер жертвы и может даже сделать его непригодным для использования во время такой атаки. [65]
Пинг-флуд основан на отправке жертве огромного количества пинг- пакетов, обычно с использованием команды ping с Unix-подобных хостов. [a] Запустить его очень просто, основным требованием является доступ к большей пропускной способности , чем у жертвы.
Пинг смерти основан на отправке жертве искаженного пинг-пакета, который приведет к сбою системы в уязвимой системе.
Атака BlackNurse является примером атаки с использованием необходимых ICMP-пакетов «Порт назначения недоступен».
Ядерная атака — это старомодная атака типа «отказ в обслуживании» против компьютерных сетей, состоящая из фрагментированных или иным образом недействительных пакетов ICMP , отправленных цели, достигаемая с помощью модифицированной утилиты ping для многократной отправки этих поврежденных данных, тем самым замедляя работу пораженного компьютера до тех пор, пока оно полностью останавливается. [66]
Конкретным примером ядерной атаки, получившей некоторую известность, является WinNuke , которая использовала уязвимость в обработчике NetBIOS в Windows 95 . Строка внеполосных данных была отправлена на TCP- порт 139 компьютера жертвы, что привело к его блокировке и отображению синего экрана смерти . [66]
Злоумышленники нашли способ использовать ряд ошибок в одноранговых серверах для инициирования DDoS-атак. Самая агрессивная из этих одноранговых DDoS-атак использует DC++ . При одноранговой сети нет бот-сети, и злоумышленнику не нужно связываться с клиентами, которых он подрывает. Вместо этого злоумышленник действует как кукловод , инструктируя клиентов крупных одноранговых центров обмена файлами отключиться от их одноранговой сети и вместо этого подключиться к веб-сайту жертвы. [67] [68] [69]
Постоянный отказ в обслуживании (PDoS), также известный как флэшинг, [70] — это атака, которая настолько сильно повреждает систему, что требуется замена или переустановка оборудования. [71] В отличие от распределенной атаки типа «отказ в обслуживании», атака PDoS использует недостатки безопасности, которые позволяют удаленно администрировать интерфейсы управления оборудования жертвы, такого как маршрутизаторы , принтеры или другое сетевое оборудование . Злоумышленник использует эти уязвимости для замены прошивки устройства модифицированным, поврежденным или дефектным образом прошивки — процесс, который, если он выполняется законно, известен как перепрошивка. Цель состоит в том, чтобы заблокировать устройство, сделав его непригодным для использования по первоначальному назначению до тех пор, пока оно не будет отремонтировано или заменено.
PDoS — это чисто аппаратная атака, которая может быть намного быстрее и требует меньше ресурсов, чем использование ботнета в DDoS-атаке. Из-за этих особенностей, а также потенциальной и высокой вероятности взлома безопасности встроенных сетевых устройств этот метод привлек внимание многочисленных хакерских сообществ. BrickerBot , вредоносное ПО, нацеленное на устройства IoT, использовало PDoS-атаки для отключения своих целей. [72]
PhlashDance — это инструмент, созданный Ричем Смитом (сотрудником лаборатории системной безопасности Hewlett-Packard), который использовался для обнаружения и демонстрации уязвимостей PDoS на конференции EUSecWest Applied Security Conference 2008 года в Лондоне. [73]
Распределенная атака типа «отказ в обслуживании» может включать отправку поддельных запросов определенного типа очень большому количеству компьютеров, которые будут отвечать на запросы. При использовании подмены адреса интернет-протокола исходный адрес устанавливается равным адресу целевой жертвы, что означает, что все ответы будут отправляться (и лавинно распространяться) на цель. Эту форму отраженной атаки иногда называют распределенной отражающей атакой типа «отказ в обслуживании» ( DRDoS ). [74]
Атаки эхо-запроса ICMP ( атаки Smurf ) можно рассматривать как одну из форм отраженных атак, поскольку хосты лавинной рассылки отправляют эхо-запросы на широковещательные адреса неправильно сконфигурированных сетей, тем самым побуждая хосты отправлять пакеты эхо-ответа жертве. Некоторые ранние программы DDoS реализовывали распределенную форму этой атаки.
Атаки с усилением используются для увеличения пропускной способности, передаваемой жертве. Многие сервисы можно использовать в качестве отражателей, некоторые из которых сложнее заблокировать, чем другие. [75] US-CERT отметил, что разные услуги могут привести к разным коэффициентам усиления, как указано в таблице ниже: [76]
Атаки с усилением DNS включают в себя злоумышленник, отправляющий запрос на поиск DNS-имени на один или несколько общедоступных DNS-серверов, подделывая исходный IP-адрес целевой жертвы. Злоумышленник пытается запросить как можно больше информации, тем самым усиливая ответ DNS, отправляемый целевой жертве. Поскольку размер запроса значительно меньше ответа, злоумышленник легко может увеличить объем трафика, направляемого на цель. [82] [83]
SNMP и NTP также могут использоваться в качестве отражателей при атаке с усилением. Примером усиленной DDoS-атаки через протокол сетевого времени (NTP) является команда monlist , которая отправляет сведения о последних 600 хостах, запросивших время с NTP-сервера, обратно запрашивающей стороне. Небольшой запрос к этому серверу времени может быть отправлен с использованием поддельного исходного IP-адреса какой-либо жертвы, в результате чего ответ в 556,9 раз превышает размер запроса, отправляемого жертве. Это усиливается при использовании ботнетов, которые отправляют запросы с одного и того же поддельного IP-источника, что приводит к отправке огромного количества данных обратно жертве.
Защититься от подобных атак очень сложно, поскольку данные ответа поступают с законных серверов. Эти запросы на атаку также отправляются через UDP, который не требует подключения к серверу. Это означает, что исходный IP-адрес не проверяется при получении запроса сервером. Чтобы привлечь внимание к этим уязвимостям, были начаты кампании, посвященные поиску векторов усиления, которые привели к тому, что люди исправили свои резолверы или полностью отключили резолверы. [ нужна цитата ]
Эта атака заключается в использовании червя для заражения сотен тысяч устройств Интернета вещей в Интернете. Червь распространяется через сети и системы, взяв под контроль плохо защищенные устройства Интернета вещей, такие как термостаты, часы с поддержкой Wi-Fi и стиральные машины. [84] Владелец или пользователь обычно не имеют немедленной информации о том, когда устройство заразилось. Само устройство IoT не является непосредственной целью атаки, оно используется как часть более крупной атаки. [85] Как только хакер поработил желаемое количество устройств, он дает им указание попытаться связаться с интернет-провайдером. В октябре 2016 года ботнет Mirai атаковал Dyn, который является интернет-провайдером для таких сайтов, как Twitter, Netflix и т. д. [84] Как только это произошло, все эти сайты были недоступны в течение нескольких часов.
Атака RUDY нацелена на веб-приложения путем истощения доступных сеансов на веб-сервере. Как и Slowloris, RUDY останавливает сеансы, используя бесконечные передачи POST и отправляя заголовок произвольной длины. [86]
Управление максимальным размером сегмента и выборочным подтверждением (SACK) может использоваться удаленным узлом, чтобы вызвать отказ в обслуживании из-за целочисленного переполнения в ядре Linux, что потенциально может вызвать панику ядра . [87] Джонатан Луни обнаружил CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 17 июня 2019 г. [88]
Атака «строптивая» — это атака типа «отказ в обслуживании» на протокол управления передачей , при которой злоумышленник использует методы «человек посередине» . Он использует слабость механизма тайм-аута повторной передачи TCP, используя короткие синхронизированные пакеты трафика для разрыва TCP-соединений по тому же каналу. [89]
Атака медленного чтения отправляет законные запросы уровня приложения, но считывает ответы очень медленно, оставляя соединения открытыми дольше в надежде исчерпать пул соединений сервера. Медленное чтение достигается за счет объявления очень малого размера окна приема TCP и в то же время медленного опорожнения буфера приема TCP клиентов, что приводит к очень низкой скорости потока данных. [90]
Сложная DDoS-атака с низкой пропускной способностью — это форма DoS, которая использует меньше трафика и повышает ее эффективность, нацеливаясь на слабое место в конструкции системы жертвы, т. е. злоумышленник отправляет системе трафик, состоящий из сложных запросов. [91] По сути, сложная DDoS-атака обходится дешевле из-за использования меньшего трафика, имеет меньший размер, что затрудняет ее идентификацию, и способна нанести вред системам, защищенным механизмами управления потоками. [91] [92]
SYN -флуд возникает, когда хост отправляет поток TCP/SYN-пакетов, часто с поддельным адресом отправителя. Каждый из этих пакетов обрабатывается как запрос на соединение, заставляя сервер создавать полуоткрытое соединение , отправлять обратно пакет TCP/SYN-ACK и ждать ответного пакета от адреса отправителя. Однако, поскольку адрес отправителя подделан, ответ так и не приходит. Эти полуоткрытые соединения исчерпывают доступные соединения, которые может установить сервер, не позволяя ему отвечать на законные запросы до тех пор, пока атака не завершится. [93]
Каплевидная атака включает в себя отправку искаженных IP-фрагментов с перекрывающимися, слишком большими полезными данными на целевой компьютер. Это может привести к сбою различных операционных систем из-за ошибки в их коде повторной сборки фрагментации TCP/IP . [94] Операционные системы Windows 3.1x , Windows 95 и Windows NT , а также версии Linux до версий 2.0.32 и 2.1.63 уязвимы для этой атаки. [б]
Одним из полей IP-заголовка является поле смещения фрагмента , указывающее начальную позицию или смещение данных, содержащихся во фрагментированном пакете, относительно данных в исходном пакете. Если сумма смещения и размера одного фрагментированного пакета отличается от суммы смещения и размера следующего фрагментированного пакета, пакеты перекрываются. Когда это происходит, сервер, уязвимый для атак типа «Teardrop», не может повторно собрать пакеты, что приводит к состоянию отказа в обслуживании.
Голос по IP сделал неправомерное выполнение большого количества телефонных голосовых вызовов недорогим и легко автоматизированным, в то же время позволяя искажать происхождение вызовов посредством подмены идентификатора вызывающего абонента .
По данным Федерального бюро расследований США , отказ в обслуживании телефонии (TDoS) появлялся в рамках различных мошеннических схем:
TDoS может существовать даже без интернет-телефонии . Во время скандала с глушением телефонных разговоров в Сенате штата Нью-Гемпшир в 2002 году телемаркетеры использовались для того, чтобы завалить политических оппонентов ложными звонками с целью заглушить телефонные банки в день выборов. Широкая публикация номера также может привести к тому, что на него будет наводнено достаточное количество звонков, что сделает его непригодным для использования, как это случайно произошло в 1981 году с несколькими абонентами с кодом +1 -867-5309, ежедневно заваленными сотнями звонков в ответ на песню 867-5309/. Дженни .
TDoS отличается от других видов телефонного преследования (таких как розыгрыши и непристойные телефонные звонки ) количеством исходящих звонков. Постоянно занимая линии и совершая повторяющиеся автоматические вызовы, жертва не может совершать или принимать как обычные, так и экстренные телефонные звонки.
Связанные с этим эксплойты включают атаки SMS-рассылки и «черный» факс или непрерывную передачу факса с использованием бумажной петли у отправителя.
Для отбрасывания пакета со значением TTL 1 или меньше требуется больше ресурсов маршрутизатора, чем для пересылки пакета с более высоким значением TTL. Когда пакет отбрасывается из-за истечения срока TTL, ЦП маршрутизатора должен сгенерировать и отправить ответ ICMP о превышении времени . Генерация многих из этих ответов может привести к перегрузке процессора маршрутизатора. [99]
Атака UPnP использует существующую уязвимость в протоколе Universal Plug and Play (UPnP), чтобы обойти сетевую безопасность и затопить сеть и серверы цели. Атака основана на методе усиления DNS, но механизмом атаки является маршрутизатор UPnP, который перенаправляет запросы от одного внешнего источника к другому. Маршрутизатор UPnP возвращает данные на неожиданный порт UDP с поддельного IP-адреса, что затрудняет выполнение простых действий по прекращению потока трафика. По мнению исследователей Imperva , наиболее эффективный способ остановить эту атаку — заблокировать UPnP-маршрутизаторы. [100] [101]
В 2014 году было обнаружено, что Simple Service Discovery Protocol (SSDP) использовался в DDoS- атаках, известных как атака отражения SSDP с усилением . Многие устройства, в том числе некоторые домашние маршрутизаторы, имеют уязвимость в программном обеспечении UPnP, которая позволяет злоумышленнику получать ответы с порта UDP 1900 на адрес назначения по своему выбору. Имея ботнет из тысяч устройств, злоумышленники могут генерировать достаточную скорость передачи пакетов и занимать полосу пропускания для насыщения каналов, вызывая отказ в обслуживании. [102] [103] [104] Из-за этой слабости сетевая компания Cloudflare охарактеризовала SSDP как «Глупо простой протокол DDoS». [105]
Подмена ARP — это распространенная DoS-атака, которая включает в себя уязвимость в протоколе ARP, которая позволяет злоумышленнику связать свой MAC-адрес с IP-адресом другого компьютера или шлюза , в результате чего трафик, предназначенный для исходного подлинного IP-адреса, перенаправляется на IP-адрес другого компьютера или шлюза. злоумышленнику, вызывая отказ в обслуживании.
Защитные меры реагирования на атаки типа «отказ в обслуживании» обычно включают использование комбинации инструментов обнаружения атак, классификации трафика и реагирования, направленных на блокировку трафика, который инструменты идентифицируют как незаконный, и разрешение трафика, который они идентифицируют как законный. [106] Список инструментов реагирования включает следующее.
Весь трафик, предназначенный жертве, перенаправляется через центр очистки или центр очистки с помощью различных методов, таких как: изменение IP-адреса жертвы в системе DNS, методы туннелирования (GRE/VRF, MPLS, SDN), [107] прокси-серверы . , цифровые кроссовые соединения или даже прямые цепи. Центр очистки отделяет плохой трафик (DDoS, а также другие распространенные интернет-атаки) и передает на сервер жертвы только хороший легитимный трафик. [108] Чтобы воспользоваться услугами такого рода, жертве необходимо централизованное подключение к Интернету, если только она не находится на территории того же объекта, что и центр уборки. DDoS-атаки могут преодолеть любой тип аппаратного межсетевого экрана, а передача вредоносного трафика через крупные и развитые сети становится все более эффективной и экономически устойчивой против DDoS. [109]
Интерфейсное оборудование приложений — это интеллектуальное оборудование, размещаемое в сети до того, как трафик достигнет серверов. Его можно использовать в сетях совместно с маршрутизаторами и коммутаторами , а также как часть управления полосой пропускания . Аппаратное обеспечение внешнего интерфейса приложения анализирует пакеты данных по мере их поступления в сеть, а также идентифицирует и удаляет опасные или подозрительные потоки.
Подходы к обнаружению DDoS-атак на облачные приложения могут основываться на анализе уровня приложений, определяющем легитимность входящего массового трафика. [110] Эти подходы в основном полагаются на идентифицированный путь ценности внутри приложения и отслеживают ход выполнения запросов по этому пути с помощью маркеров, называемых ключевыми индикаторами завершения . [111] По сути, эти методы представляют собой статистические методы оценки поведения входящих запросов, чтобы обнаружить, происходит ли что-то необычное или ненормальное.
Можно провести аналогию с обычным универмагом, где покупатели в среднем тратят известный процент своего времени на различные действия, такие как получение товаров и их осмотр, помещение их обратно, наполнение корзины, ожидание оплаты, оплата. , и ухожу. Если в магазин пришла толпа покупателей и все время собирала товары и складывала их обратно, но так и не совершила ни одной покупки, это можно было бы пометить как необычное поведение.
При маршрутизации через черную дыру весь трафик к атакованному DNS или IP-адресу отправляется в черную дыру (нулевой интерфейс или несуществующий сервер). Чтобы повысить эффективность и избежать влияния на сетевое подключение, им может управлять интернет-провайдер. [112]
Воронка DNS направляет трафик на действительный IP-адрес, который анализирует трафик и отклоняет неправильные пакеты. Синкхолинг не эффективен для наиболее серьезных атак.
Системы предотвращения вторжений (IPS) эффективны, если атаки имеют связанные с ними сигнатуры. Однако среди атак наблюдается тенденция иметь законный контент, но с плохими намерениями. Системы предотвращения вторжений, которые работают над распознаванием контента, не могут блокировать DoS-атаки на основе поведения. [37]
IPS на базе ASIC может обнаруживать и блокировать атаки типа «отказ в обслуживании», поскольку они обладают вычислительной мощностью и степенью детализации для анализа атак и действуют как автоматический выключатель в автоматическом режиме. [37]
Система защиты от DoS (DDS), более ориентированная на проблему, чем IPS, может блокировать DoS-атаки на основе соединения, а также атаки с законным контентом, но с плохими намерениями. DDS также может противостоять как протокольным атакам (таким как «слеза» и «пинг смерти»), так и атакам на основе скорости (таким как ICMP-флуд и SYN-флуд). DDS имеет специально созданную систему, которая может легко идентифицировать и препятствовать атакам типа «отказ в обслуживании» с большей скоростью, чем программная система. [113]
В случае простой атаки в брандмауэр может быть добавлено простое правило, запрещающее весь входящий трафик от злоумышленников на основе протоколов, портов или исходных IP-адресов.
Однако более сложные атаки будет трудно заблокировать с помощью простых правил: например, если происходит продолжающаяся атака на порт 80 (веб-сервис), невозможно отбросить весь входящий трафик на этот порт, поскольку это не позволит серверу обслуживания легального трафика. [114] Кроме того, брандмауэры могут располагаться слишком глубоко в сетевой иерархии, что негативно влияет на маршрутизаторы еще до того, как трафик достигнет брандмауэра. Кроме того, многие инструменты безопасности по-прежнему не поддерживают IPv6 или могут быть настроены неправильно, поэтому брандмауэры часто могут быть обойдены во время атак. [115]
Подобно коммутаторам, маршрутизаторы имеют некоторые возможности ограничения скорости и ACL . Они тоже настраиваются вручную. Большинство маршрутизаторов можно легко перегрузить DoS-атакой. Nokia SR-OS с процессорами FP4/FP5 обеспечивает защиту от DDoS. Nokia SR-OS также использует Nokia Deepfield Defender на основе анализа больших данных для защиты от DDoS. Cisco IOS имеет дополнительные функции, которые могут уменьшить влияние лавинной рассылки. [116]
Большинство коммутаторов имеют некоторые возможности ограничения скорости и ACL . Некоторые коммутаторы обеспечивают автоматическое и/или общесистемное ограничение скорости , формирование трафика , отложенное связывание ( сращивание TCP ), глубокую проверку пакетов и фильтрацию Богона (фильтрация фиктивных IP-адресов) для обнаружения и устранения DoS-атак посредством автоматической фильтрации скорости, а также переключения и балансировки каналов глобальной сети. . [37] [ нужна ссылка ]
Эти схемы будут работать до тех пор, пока с их помощью можно предотвратить DoS-атаки. Например, SYN-флуд можно предотвратить с помощью отложенного связывания или сплайсинга TCP. Аналогичным образом, DoS на основе контента можно предотвратить с помощью глубокой проверки пакетов. Атаки, исходящие с темных адресов или идущие на темные адреса, можно предотвратить с помощью богонной фильтрации . Автоматическая фильтрация ставок может работать, если пороговые значения скорости установлены правильно. Переключение WAN-канала будет работать, если оба канала имеют механизм предотвращения DoS/DDoS. [37] [ нужна ссылка ]
Например, при атаке с отражением SSDP; Ключевым средством устранения проблемы является блокировка входящего UDP-трафика через порт 1900 на брандмауэре. [117]
Непреднамеренный отказ в обслуживании может произойти, когда система оказывается отключена не из-за преднамеренной атаки со стороны одного человека или группы людей, а просто из-за внезапного резкого скачка популярности. Это может произойти, когда чрезвычайно популярный веб-сайт размещает заметную ссылку на второй, менее подготовленный сайт, например, в рамках новостной статьи. В результате значительная часть постоянных пользователей основного сайта – потенциально сотни тысяч людей – нажимают на эту ссылку в течение нескольких часов, оказывая на целевой сайт тот же эффект, что и DDoS-атака. VIPDoS — то же самое, но особенно когда ссылку разместил знаменитость.
Когда Майкл Джексон умер в 2009 году, такие сайты, как Google и Twitter, замедлили работу или даже вышли из строя. [118] Серверы многих сайтов считали, что запросы исходят от вируса или шпионского ПО, пытающегося вызвать атаку типа «отказ в обслуживании», предупреждая пользователей, что их запросы выглядят как «автоматические запросы от компьютерного вируса или шпионского приложения». [119]
Новостные сайты и сайты ссылок – сайты, основной функцией которых является предоставление ссылок на интересный контент в других местах Интернета – чаще всего вызывают это явление. Канонический пример — эффект Slashdot при получении трафика от Slashdot . Это также известно как объятия смерти Reddit и эффект Дигга .
Также известно, что маршрутизаторы создают непреднамеренные DoS-атаки, поскольку маршрутизаторы D-Link и Netgear перегружают NTP-серверы, переполняя их, не соблюдая ограничений типов клиентов или географических ограничений.
Аналогичный непреднамеренный отказ в обслуживании может произойти и через другие средства, например, когда URL-адрес упоминается по телевидению. Если сервер индексируется Google или другой поисковой системой в периоды пиковой активности или во время индексирования у него недостаточно доступной пропускной способности, он также может подвергнуться воздействию DoS-атаки. [37] [ не удалось проверить ] [ нужна ссылка ]
По крайней мере, в одном таком случае были предприняты юридические действия. В 2006 году Universal Tube & Rollform Equipment Corporation подала в суд на YouTube : огромное количество потенциальных пользователей YouTube.com случайно набрали URL-адрес компании по производству трубок — utube.com. В результате компании, производящей трубки, пришлось потратить большие суммы денег на повышение пропускной способности. [120] Судя по всему, компания воспользовалась ситуацией: на сайте utube.com теперь размещена реклама для получения дохода от рекламы.
В марте 2014 года, после того как рейс 370 Malaysia Airlines пропал, DigitalGlobe запустила краудсорсинговый сервис, с помощью которого пользователи могли помочь найти пропавший самолет на спутниковых снимках. Ответ привел к перегрузке серверов компании. [121]
Непреднамеренный отказ в обслуживании также может быть результатом заранее запланированного события, созданного самим веб-сайтом, как это было в случае переписи населения в Австралии в 2016 году . [122] Это может быть вызвано тем, что сервер предоставляет какую-либо услугу в определенное время. Это может быть веб-сайт университета, на котором будут доступны оценки, и это приведет к гораздо большему количеству запросов на вход в систему, чем любой другой.
В безопасности компьютерных сетей обратное рассеяние — это побочный эффект поддельной атаки типа «отказ в обслуживании». При атаках такого типа злоумышленник подделывает (или подделывает) исходный адрес в IP-пакетах , отправляемых жертве. В общем, машина-жертва не может отличить поддельные пакеты от законных пакетов, поэтому жертва реагирует на поддельные пакеты, как обычно. Эти пакеты ответа известны как обратное рассеяние. [123]
Если злоумышленник подменяет исходные адреса случайным образом, пакеты ответа обратного рассеяния от жертвы будут отправлены обратно в случайные места назначения. Этот эффект может быть использован сетевыми телескопами как косвенное свидетельство подобных атак.
Термин «анализ обратного рассеяния» относится к наблюдению за пакетами обратного рассеяния, поступающими в статистически значимую часть пространства IP-адресов , для определения характеристик DoS-атак и жертв.
Во многих юрисдикциях действуют законы, согласно которым атаки типа «отказ в обслуживании» являются незаконными.
7 января 2013 года Anonymous разместили на сайте whitehouse.gov петицию с просьбой признать DDoS юридической формой протеста, аналогичной протестам Occupy , при этом утверждая, что сходство целей обоих одинаково. [132]
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка ){{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка ){{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ){{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка )Остин Томпсон, известный как DerpTrolling, получивший известность в 2013 году благодаря организации распределенных атак типа «отказ в обслуживании» (DDoS) против крупных компаний, производящих видеоигры, был приговорен федеральным судом к 27 месяцам тюремного заключения. Томпсон, житель штата Юта, также должен будет выплатить 95 000 долларов компании Daybreak Games, которая принадлежала Sony, когда она пострадала от рук DerpTrolling. В период с декабря 2013 года по январь 2014 года Томпсон также отключил Steam Valve — крупнейшую платформу цифрового распространения компьютерных игр, а также сервис Origin от Electronic Arts и BattleNet от Blizzard. Беспорядки длились от нескольких часов до нескольких дней.