В вычислительной технике атака типа «отказ в обслуживании» ( DoS-атака ) — это кибератака , при которой злоумышленник стремится сделать машину или сетевой ресурс недоступными для предполагаемых пользователей, временно или на неопределенный срок нарушив работу хоста, подключенного к сети . Отказ в обслуживании обычно достигается путем переполнения целевой машины или ресурса избыточными запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов. [1] Диапазон атак широко варьируется: от переполнения сервера миллионами запросов для снижения его производительности, перегрузки сервера значительным объемом недействительных данных до отправки запросов с незаконным IP-адресом . [2]
При распределенной атаке типа «отказ в обслуживании» ( DDoS-атаке ) входящий трафик, затопляющий жертву, исходит из множества различных источников. Для смягчения этого типа атак требуются более сложные стратегии; просто попытаться заблокировать один источник недостаточно, поскольку источников несколько. [3] DoS- или DDoS-атака аналогична группе людей, толпящихся у входной двери магазина, что затрудняет вход законным покупателям, тем самым нарушая торговлю и теряя деньги бизнеса. Преступники, совершающие DoS-атаки, часто нацелены на сайты или службы, размещенные на известных веб-серверах, таких как банки или платежные шлюзы кредитных карт . Месть и шантаж , [4] [5] [6], а также хактивизм , [7] могут мотивировать эти атаки.
Panix , третий старейший интернет-провайдер в мире, стал целью того, что считается первой DoS-атакой. 6 сентября 1996 года Panix подвергся атаке SYN-флуда , которая на несколько дней отключила его услуги, пока поставщики оборудования, в частности Cisco , не нашли надлежащую защиту. [8] Еще одна ранняя демонстрация DoS-атаки была проведена Ханом С. Смитом в 1997 году во время мероприятия DEF CON , нарушив доступ в Интернет на Las Vegas Strip более чем на час. Публикация образца кода во время мероприятия привела к онлайн-атаке на Sprint , EarthLink , E-Trade и другие крупные корпорации в следующем году. [9] Самая крупная на сегодняшний день DDoS-атака произошла в сентябре 2017 года, когда Google Cloud подвергся атаке с пиковым объемом2,54 Тбит/с , о чем Google сообщила 17 октября 2020 года. [10] Рекордсменом, как полагают, стала атака, осуществленная неназванным клиентом американского поставщика услуг Arbor Networks , пик которой составил около1,7 Тб/с . [11]
В феврале 2020 года Amazon Web Services подверглась атаке с пиковым объемом2,3 Тбит/с . [12] В июле 2021 года поставщик CDN Cloudflare похвастался защитой своего клиента от DDoS-атаки со стороны глобального ботнета Mirai , которая составляла до 17,2 млн запросов в секунду. [13] Российский поставщик услуг по предотвращению DDoS-атак Yandex заявил, что 5 сентября 2021 года он заблокировал конвейерную DDoS-атаку HTTP, которая исходила от неисправленного сетевого оборудования Mikrotik. [14] В первой половине 2022 года российское вторжение в Украину значительно сформировало ландшафт киберугроз, при этом увеличилось количество кибератак, приписываемых как спонсируемым государством субъектам, так и глобальной деятельности хактивистов. Самым заметным событием стала DDoS-атака в феврале, крупнейшая из тех, с которыми столкнулась Украина, нарушившая работу государственных и финансовых служб. Эта волна киберагрессии распространилась на западных союзников, таких как Великобритания, США и Германия. В частности, финансовый сектор Великобритании столкнулся с ростом DDoS-атак со стороны государственных структур и хактивистов, направленных на подрыв союзников Украины. [15]
В феврале 2023 года Cloudflare столкнулась с атакой в 71 миллион запросов в секунду, которая, по словам Cloudflare, была крупнейшей атакой HTTP DDoS на тот момент. [16] Атаки HTTP DDoS измеряются запросами HTTP в секунду, а не пакетами в секунду или битами в секунду. 10 июля 2023 года платформа фанфиков Archive of Our Own (AO3) столкнулась с атаками DDoS, нарушившими работу сервисов. AO3 и эксперты скептически отнеслись к Anonymous Sudan , заявившему, что атака была совершена по религиозным и политическим причинам. Flashpoint, поставщик данных об угрозах, отметил прошлые действия группы, но усомнился в их заявленных мотивах. AO3, поддерживаемая некоммерческой организацией Organization for Transformative Works (OTW) и зависящая от пожертвований, вряд ли сможет выплатить выкуп в размере 30 000 долларов США в биткоинах . [17] [18] В августе 2023 года группа хактивистов NoName057 атаковала несколько итальянских финансовых учреждений, выполнив медленные DoS-атаки . [19] 14 января 2024 года они осуществили DDoS-атаку на швейцарские федеральные веб-сайты, спровоцированную присутствием президента Зеленского на Всемирном экономическом форуме в Давосе . Национальный центр кибербезопасности Швейцарии быстро смягчил атаку, обеспечив безопасность основных федеральных служб, несмотря на временные проблемы с доступом на некоторых веб-сайтах. [20] В октябре 2023 года эксплуатация новой уязвимости в протоколе HTTP/2 привела к тому, что рекорд крупнейшей HTTP DDoS-атаки был побит дважды: один раз с атакой в 201 миллион запросов в секунду, зафиксированной Cloudflare, [21] и снова с атакой в 398 миллионов запросов в секунду, зафиксированной Google . [22] В августе 2024 года Global Secure Layer зафиксировал и сообщил о рекордной пакетной DDoS-атаке в 3,15 миллиарда пакетов в секунду, которая была нацелена на нераскрытое количество неофициальных игровых серверов Minecraft . [23] В октябре 2024 года Internet Archive столкнулся с двумя серьезными DDoS-атаками, которые полностью отключили сайт, сразу после предыдущей атаки, в результате которой были украдены записи более 31 миллиона пользователей сайта. [24] [25] Группа хактивистов SN_Blackmeta заявила, что DDoS-атака является возмездием за участие Америки в войне Израиля и ХАМАС , несмотря на то, что Internet Archive не связан с правительством США; однако их связь с предыдущей утечкой данных остается неясной. [26]
Атаки типа «отказ в обслуживании» характеризуются явной попыткой злоумышленников предотвратить законное использование сервиса. Существует две основные формы DoS-атак: те, которые приводят к сбою сервисов, и те, которые приводят к переполнению сервисов. Наиболее серьезные атаки — распределенные. [27]
Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько систем перегружают полосу пропускания или ресурсы целевой системы, обычно одного или нескольких веб-серверов. [27] Атака DDoS использует более одного уникального IP-адреса или машин, часто с тысяч хостов, зараженных вредоносным ПО . [28] [29] Распределенная атака типа «отказ в обслуживании» обычно включает в себя более 3–5 узлов в разных сетях; меньшее количество узлов может квалифицироваться как DoS-атака, но не является DDoS-атакой. [30] [31]
Несколько атакующих машин могут генерировать больше атакующего трафика, чем одна машина, и их сложнее отключить, а поведение каждой атакующей машины может быть более скрытным, что затрудняет отслеживание и отключение атаки. Поскольку входящий трафик, затопляющий жертву, исходит из разных источников, может быть невозможно остановить атаку просто с помощью фильтрации входящего трафика. Это также затрудняет различение законного пользовательского трафика от атакующего трафика при распространении по нескольким точкам происхождения. В качестве альтернативы или дополнения DDoS-атаки могут включать подделку IP-адресов отправителей ( подмену IP-адреса ), что еще больше усложняет идентификацию и отражение атаки. Эти преимущества злоумышленника создают проблемы для механизмов защиты. Например, простая покупка большей входящей полосы пропускания, чем текущий объем атаки, может не помочь, поскольку злоумышленник может просто добавить больше атакующих машин. [ требуется цитата ] Масштаб DDoS-атак продолжал расти в последние годы, к 2016 году превысив терабит в секунду . [32] [33] Некоторые распространенные примеры DDoS-атак — это UDP-флуд , SYN-флуд и DNS-амплификация . [34] [35]
Атака йо-йо — это особый тип DoS/DDoS, нацеленный на облачные приложения, которые используют автоматическое масштабирование . [36] [37] [38] Атакующий генерирует поток трафика до тех пор, пока облачный сервис не масштабируется наружу, чтобы справиться с увеличением трафика, затем останавливает атаку, оставляя жертву с избыточно выделенными ресурсами. Когда жертва снова масштабируется, атака возобновляется, заставляя ресурсы снова увеличиваться. Это может привести к снижению качества обслуживания в периоды масштабирования вверх и вниз и финансовому истощению ресурсов в периоды избыточного выделения, при этом работая с более низкими затратами для атакующего по сравнению с обычной атакой DDoS, поскольку ему нужно генерировать трафик только в течение части периода атаки.
DDoS- атака на уровне приложений (иногда называемая DDoS-атакой на уровне 7 ) — это форма DDoS-атаки, при которой злоумышленники нацелены на процессы на уровне приложений . [39] [30] Атака чрезмерно использует определенные функции или возможности веб-сайта с намерением отключить эти функции или возможности. Эта атака на уровне приложений отличается от атаки на всю сеть и часто используется против финансовых учреждений, чтобы отвлечь ИТ-персонал и персонал службы безопасности от нарушений безопасности. [40] В 2013 году DDoS-атаки на уровне приложений составили 20% всех DDoS-атак. [41] Согласно исследованию Akamai Technologies , с четвертого квартала 2013 года по четвертый квартал 2014 года было «на 51 процент больше атак на уровне приложений», а с третьего квартала 2014 года по четвертый квартал 2014 года — «на 16 процентов больше». [42] В ноябре 2017 года инженер Cloudflare Джунад Али отметил, что, хотя атаки на уровне сети по-прежнему имеют высокую мощность, они происходят реже. Али далее отметил, что хотя атаки на уровне сети стали происходить реже, данные Cloudflare продемонстрировали, что атаки на уровне приложений по-прежнему не демонстрируют никаких признаков замедления. [43]
Модель OSI (ISO/IEC 7498-1) — это концептуальная модель, которая характеризует и стандартизирует внутренние функции системы связи путем ее разбиения на уровни абстракции . Модель является продуктом проекта Open Systems Interconnection Международной организации по стандартизации (ISO). Модель группирует схожие функции связи в один из семи логических уровней. Уровень обслуживает уровень выше и обслуживается уровнем ниже. Например, уровень, который обеспечивает безошибочную связь по сети, предоставляет путь связи, необходимый приложениям выше, в то время как он вызывает следующий нижний уровень для отправки и получения пакетов, которые проходят по этому пути. В модели OSI определение ее прикладного уровня более узкое по объему, чем часто реализуется. Модель OSI определяет прикладной уровень как пользовательский интерфейс. Прикладной уровень OSI отвечает за отображение данных и изображений пользователю в формате, распознаваемом человеком, и за взаимодействие с уровнем представления , находящимся ниже. В реализации уровни приложения и представления часто объединяются.
Простейшая DoS-атака в первую очередь основана на грубой силе, которая заполняет цель подавляющим потоком пакетов, перенасыщая ее полосу пропускания или истощая системные ресурсы цели. Насыщающие полосу пропускания потоки полагаются на способность злоумышленника генерировать подавляющий поток пакетов. Распространенным способом достижения этого сегодня является распределенный отказ в обслуживании с использованием ботнета . DDoS-атака на уровне приложений выполняется в основном для конкретных целевых целей, включая нарушение транзакций и доступа к базам данных. Она требует меньше ресурсов, чем атаки на сетевом уровне, но часто сопровождает их. [44] Атака может быть замаскирована под легитимный трафик, за исключением того, что она нацелена на определенные пакеты или функции приложений. Атака на уровне приложений может нарушить такие службы, как поиск информации или функции поиска на веб-сайте. [41]
Продвинутый постоянный DoS (APDoS) связан с продвинутой постоянной угрозой и требует специализированного смягчения DDoS . [45] Эти атаки могут продолжаться в течение недель; самый длительный непрерывный период, отмеченный до сих пор, длился 38 дней. Эта атака включала приблизительно 50+ петабит (50 000+ терабит) вредоносного трафика. [46] Злоумышленники в этом сценарии могут тактически переключаться между несколькими целями, чтобы создать диверсию и обойти защитные контрмеры DDoS, но при этом в конечном итоге сосредоточить основной удар атаки на одной жертве. В этом сценарии злоумышленники с постоянным доступом к нескольким очень мощным сетевым ресурсам способны поддерживать длительную кампанию, генерирующую огромные уровни неусиленного трафика DDoS. Атаки APDoS характеризуются:
Некоторые поставщики предоставляют так называемые услуги загрузчика или стрессера , которые имеют простые веб-интерфейсы и принимают оплату через Интернет. Продвигаемые и продвигаемые как инструменты стресс-тестирования, они могут использоваться для выполнения несанкционированных атак типа «отказ в обслуживании» и позволяют технически неискушенным злоумышленникам получать доступ к сложным инструментам атак. [48] Обычно работающий на ботнете, трафик, производимый потребительским стрессером, может варьироваться от 5 до 50 Гбит/с, что в большинстве случаев может лишить среднего домашнего пользователя доступа в Интернет. [49]
Атака отказа в обслуживании с использованием модуляции Маркова происходит, когда злоумышленник нарушает контрольные пакеты, используя скрытую модель Маркова . Средой, в которой преобладают атаки на основе модели Маркова, являются онлайн-игры, поскольку нарушение контрольного пакета подрывает игровой процесс и функциональность системы. [50]
Группа реагирования на чрезвычайные ситуации в сфере компьютерной безопасности США (US-CERT) выявила следующие симптомы атаки типа «отказ в обслуживании»: [51]
В таких случаях, как MyDoom и Slowloris , инструменты встроены во вредоносное ПО и запускают свои атаки без ведома владельца системы. Stacheldraht является классическим примером инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые являются скомпрометированными системами, которые выдают команды зомби-агентам , которые, в свою очередь, облегчают атаку DDoS. Агенты скомпрометированы через обработчики злоумышленником, использующим автоматизированные процедуры для эксплуатации уязвимостей в программах, которые принимают удаленные соединения, запущенные на целевых удаленных хостах. Каждый обработчик может контролировать до тысячи агентов. [52]
В других случаях машина может стать частью DDoS-атаки с согласия владельца, например, в Operation Payback, организованной группой Anonymous . Обычно для этого используется Low Orbit Ion Cannon . Наряду с High Orbit Ion Cannon сегодня доступен широкий спектр инструментов DDoS, включая платные и бесплатные версии с различными доступными функциями. Для них существует подпольный рынок на форумах, связанных с хакерами, и каналах IRC.
Атаки на уровне приложений используют эксплойты , вызывающие DoS , и могут привести к тому, что программное обеспечение, работающее на сервере, заполнит дисковое пространство или потребит всю доступную память или процессорное время . Атаки могут использовать определенные типы пакетов или запросы на подключение для насыщения конечных ресурсов, например, занимая максимальное количество открытых соединений или заполняя дисковое пространство жертвы журналами. Злоумышленник с доступом на уровне оболочки к компьютеру жертвы может замедлить его до тех пор, пока он не станет непригодным для использования, или вывести его из строя, используя fork bomb . Другой вид DoS-атаки на уровне приложений — XDoS (или XML DoS), который может контролироваться современными брандмауэрами веб-приложений (WAF). Все атаки, относящиеся к категории эксплуатации тайм-аута . [53]
Медленные DoS-атаки реализуют атаку на уровне приложений. Примерами угроз являются Slowloris, устанавливающий ожидающие соединения с жертвой, или SlowDroid , атака, запущенная на мобильных устройствах. Другой целью DDoS-атак может быть создание дополнительных затрат для оператора приложения, когда последний использует ресурсы на основе облачных вычислений . В этом случае обычно используемые приложением ресурсы привязаны к необходимому уровню качества обслуживания (QoS) (например, ответы должны быть менее 200 мс), и это правило обычно связано с автоматизированным программным обеспечением (например, Amazon CloudWatch [54] ) для привлечения большего количества виртуальных ресурсов от провайдера для соответствия определенным уровням QoS для возросших запросов. Основным стимулом таких атак может быть побуждение владельца приложения повысить уровни эластичности для обработки возросшего трафика приложения, вызвать финансовые потери или заставить их стать менее конкурентоспособными. Атака банана — еще один особый тип DoS. Она включает в себя перенаправление исходящих сообщений от клиента обратно к клиенту, предотвращение внешнего доступа, а также затопление клиента отправленными пакетами. К этому типу относится атака LAND .
Пульсирующие зомби — это скомпрометированные компьютеры, которые направлены на запуск прерывистых и кратковременных наводнений на веб-сайты жертвы с целью просто замедлить их, а не вывести из строя. Этот тип атак, называемый деградацией обслуживания , может быть более сложным для обнаружения и может нарушить и затруднить подключение к веб-сайтам в течение длительных периодов времени, потенциально вызывая большее общее нарушение, чем атака типа «отказ в обслуживании». [55] [56] Выявление атак типа «деградация обслуживания» еще больше усложняется вопросом различения того, действительно ли сервер подвергается атаке или испытывает более высокие, чем обычно, нагрузки законного трафика. [57]
Если злоумышленник проводит атаку с одного хоста, она будет классифицирована как DoS-атака. Любая атака на доступность будет классифицирована как атака типа «отказ в обслуживании». С другой стороны, если злоумышленник использует несколько систем для одновременного запуска атак на удаленный хост, это будет классифицировано как DDoS-атака. Вредоносное ПО может нести механизмы DDoS-атак; одним из наиболее известных примеров этого является MyDoom . Его механизм DoS срабатывал в определенную дату и время. Этот тип DDoS включал жесткое кодирование целевого IP-адреса перед выпуском вредоносного ПО, и для запуска атаки не требовалось никакого дальнейшего взаимодействия. Система также может быть скомпрометирована трояном, содержащим зомби -агента . Злоумышленники также могут взламывать системы, используя автоматизированные инструменты, которые используют уязвимости в программах, прослушивающих соединения с удаленных хостов. Этот сценарий в первую очередь касается систем, действующих как серверы в Интернете. Stacheldraht является классическим примером инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые являются скомпрометированными системами, которые выдают команды зомби-агентам, которые в свою очередь облегчают DDoS-атаку. Агенты компрометируются злоумышленником через обработчики. Каждый обработчик может контролировать до тысячи агентов. [52] В некоторых случаях машина может стать частью DDoS-атаки с согласия владельца, например, в Operation Payback , организованной группой Anonymous . Эти атаки могут использовать различные типы интернет-пакетов, такие как TCP, UDP, ICMP и т. д.
Эти наборы скомпрометированных систем известны как ботнеты . Инструменты DDoS, такие как Stacheldraht, по-прежнему используют классические методы DoS-атак, основанные на подмене IP-адресов и усилении, такие как атаки smurf и атаки fraggle (типы атак с потреблением полосы пропускания). Также могут использоваться SYN-флуды (атаки с голоданием ресурсов). Более новые инструменты могут использовать DNS-серверы для целей DoS. В отличие от механизма DDoS MyDoom, ботнеты могут быть направлены против любого IP-адреса. Script kiddies используют их, чтобы лишить законных пользователей доступа к известным веб-сайтам. [58] Более изощренные злоумышленники используют инструменты DDoS в целях вымогательства , в том числе против своих конкурентов по бизнесу. [59] Сообщалось, что существуют новые атаки с устройств Интернета вещей (IoT), которые были задействованы в атаках типа «отказ в обслуживании». [60] В одной из известных атак пик составил около 20 000 запросов в секунду, которые поступали примерно с 900 камер видеонаблюдения. [61] У GCHQ Великобритании есть инструменты, созданные для DDoS-атак, под названием PREDATORS FACE и ROLLING THUNDER. [62]
Простые атаки, такие как SYN-флуд, могут появляться с широким диапазоном исходных IP-адресов, создавая видимость распределенного DoS. Эти флуд-атаки не требуют завершения трехстороннего рукопожатия TCP и пытаются исчерпать очередь назначения SYN или пропускную способность сервера. Поскольку исходные IP-адреса могут быть тривиально подделаны, атака может исходить из ограниченного набора источников или даже исходить от одного хоста. Улучшения стека, такие как SYN-куки, могут быть эффективным средством против переполнения очереди SYN, но не решают проблему исчерпания пропускной способности. В 2022 году атаки TCP были ведущим методом в инцидентах DDoS, на которые приходилось 63% всей активности DDoS. Сюда входят такие тактики, как TCP SYN , TCP ACK и TCP-флуд. Поскольку TCP является самым распространенным сетевым протоколом, его атаки, как ожидается, останутся преобладающими в сфере угроз DDoS. [15]
В 2015 году DDoS-ботнеты, такие как DD4BC, стали более заметными, нацелившись на финансовые учреждения. [63] Кибер-вымогатели обычно начинают с атаки низкого уровня и предупреждения о том, что более масштабная атака будет проведена, если выкуп не будет выплачен в биткоинах . [64] Эксперты по безопасности рекомендуют целевым веб-сайтам не платить выкуп. Злоумышленники, как правило, прибегают к расширенной схеме вымогательства, как только понимают, что цель готова заплатить. [65]
Впервые обнаруженная в 2009 году, атака HTTP Slow POST отправляет полный, законный заголовок HTTP POST , который включает поле Content-Length для указания размера тела сообщения, которое должно следовать. Однако затем злоумышленник продолжает отправлять фактическое тело сообщения с чрезвычайно низкой скоростью (например, 1 байт/110 секунд). Поскольку все сообщение является правильным и полным, целевой сервер попытается подчиниться полю Content-Length в заголовке и дождется передачи всего тела сообщения, что может занять очень много времени. Злоумышленник устанавливает сотни или даже тысячи таких соединений, пока все ресурсы для входящих соединений на сервере жертвы не будут исчерпаны, что делает любые дальнейшие соединения невозможными, пока все данные не будут отправлены. Примечательно, что в отличие от многих других атак DDoS или DDoS, которые пытаются подчинить сервер, перегружая его сеть или ЦП, атака HTTP Slow POST нацелена на логические ресурсы жертвы , что означает, что у жертвы все еще будет достаточно пропускной способности сети и вычислительной мощности для работы. [66] В сочетании с тем фактом, что Apache HTTP Server по умолчанию принимает запросы размером до 2 ГБ, эта атака может быть особенно мощной. Атаки HTTP slow POST трудно отличить от легитимных соединений, и поэтому они способны обойти некоторые системы защиты. OWASP , проект по безопасности веб-приложений с открытым исходным кодом , выпустил инструмент для проверки безопасности серверов против этого типа атак. [67]
Атака Challenge Collapsar (CC) — это атака, при которой стандартные HTTP-запросы часто отправляются на целевой веб-сервер. Единые идентификаторы ресурсов (URI) в запросах требуют сложных трудоемких алгоритмов или операций с базой данных, которые могут исчерпать ресурсы целевого веб-сервера. [68] [69] [70] В 2004 году китайский хакер по прозвищу KiKi изобрел хакерский инструмент для отправки таких запросов с целью атаки на межсетевой экран NSFOCUS под названием Collapsar, и поэтому хакерский инструмент был известен как Challenge Collapsar, или сокращенно CC . Соответственно, этот тип атаки получил название CC-атака . [71]
Атака smurf основана на неправильно настроенных сетевых устройствах, которые позволяют отправлять пакеты всем компьютерным хостам в определенной сети через широковещательный адрес сети, а не на определенную машину. Атакующий будет отправлять большое количество IP- пакетов с поддельным исходным адресом, чтобы он выглядел как адрес жертвы. [72] Большинство устройств в сети по умолчанию будут отвечать на это, отправляя ответ на исходный IP-адрес. Если количество машин в сети, которые получают и отвечают на эти пакеты, очень велико, компьютер жертвы будет затоплен трафиком. Это перегружает компьютер жертвы и может даже сделать его непригодным для использования во время такой атаки. [73]
Ping flood основан на отправке жертве подавляющего числа ping- пакетов, обычно с использованием команды ping с Unix-подобных хостов. [a] Его очень просто запустить, основным требованием является доступ к большей пропускной способности, чем у жертвы. Ping of death основан на отправке жертве искаженного ping-пакета, что приведет к системному сбою в уязвимой системе. Атака BlackNurse является примером атаки, использующей требуемые ICMP-пакеты Destination Port Unreachable.
Nuke — это старомодная атака типа «отказ в обслуживании» против компьютерных сетей , состоящая из фрагментированных или иным образом недействительных пакетов ICMP, отправляемых на цель, достигаемая с помощью модифицированной утилиты ping для многократной отправки этих поврежденных данных , тем самым замедляя пораженный компьютер до полной остановки. [74] Конкретным примером атаки типа «отказ в обслуживании», которая получила некоторую известность, является WinNuke , которая эксплуатировала уязвимость в обработчике NetBIOS в Windows 95. Строка внеполосных данных была отправлена на порт TCP 139 компьютера жертвы, в результате чего он завис и отображался синий экран смерти . [74]
Злоумышленники нашли способ использовать ряд ошибок в одноранговых серверах для инициирования DDoS-атак. Наиболее агрессивная из этих одноранговых DDoS-атак использует DC++ . В одноранговой сети нет ботнета, и злоумышленнику не нужно общаться с клиентами, которых он подрывает. Вместо этого злоумышленник действует как кукловод , инструктируя клиентов крупных одноранговых файлообменных хабов отключиться от своей одноранговой сети и вместо этого подключиться к веб-сайту жертвы. [75] [76] [77]
Постоянный отказ в обслуживании (PDoS), также известный как phlashing, [78] — это атака, которая наносит системе настолько сильный ущерб, что требуется замена или переустановка оборудования. [79] В отличие от распределенной атаки типа «отказ в обслуживании», атака PDoS использует уязвимости безопасности, которые позволяют осуществлять удаленное администрирование на интерфейсах управления оборудования жертвы, такого как маршрутизаторы , принтеры или другое сетевое оборудование . Злоумышленник использует эти уязвимости для замены прошивки устройства измененным, поврежденным или дефектным образом прошивки — процесс, который, если он выполняется законно, известен как перепрошивка. Цель состоит в том, чтобы вывести устройство из строя , сделав его непригодным для использования по его первоначальному назначению, пока его не починят или не заменят. PDoS — это чисто аппаратная атака, которая может быть намного быстрее и требует меньше ресурсов, чем использование ботнета в DDoS-атаке. Из-за этих особенностей, а также потенциальной и высокой вероятности использования уязвимостей безопасности на сетевых встроенных устройствах, эта техника привлекла внимание многочисленных хакерских сообществ. BrickerBot , вредоносное ПО, нацеленное на устройства IoT, использовало атаки PDoS для отключения своих целей. [80] PhlashDance — это инструмент, созданный Ричем Смитом (сотрудником лаборатории безопасности систем Hewlett-Packard ), который использовался для обнаружения и демонстрации уязвимостей PDoS на конференции EUSecWest Applied Security Conference 2008 года в Лондоне, Великобритания. [81]
Распределенная атака типа «отказ в обслуживании» может включать отправку поддельных запросов определенного типа на очень большое количество компьютеров, которые будут отвечать на запросы. При использовании подмены адреса интернет-протокола исходный адрес устанавливается на адрес целевой жертвы, что означает, что все ответы будут отправляться (и заполнять) цель. Эта отраженная форма атаки иногда называется распределенной отражающей атакой типа «отказ в обслуживании» ( DRDoS ). [82] Атаки ICMP-эхо-запросов ( Smurf-атаки ) можно считать одной из форм отраженной атаки, поскольку хосты-флудеры отправляют эхо-запросы на широковещательные адреса неправильно настроенных сетей, тем самым побуждая хосты отправлять пакеты эхо-ответа жертве. Некоторые ранние программы DDoS реализовали распределенную форму этой атаки.
Атаки усиления используются для увеличения пропускной способности, которая отправляется жертве. Многие сервисы могут быть использованы для работы в качестве отражателей, некоторые из которых сложнее заблокировать, чем другие. [83] US-CERT заметил, что разные сервисы могут приводить к разным факторам усиления, как показано в таблице ниже: [84]
Атаки с усилением DNS включают отправку злоумышленником запроса на поиск имени DNS одному или нескольким публичным серверам DNS, подделывая исходный IP-адрес целевой жертвы. Злоумышленник пытается запросить как можно больше информации, тем самым усиливая ответ DNS, который отправляется целевой жертве. Поскольку размер запроса значительно меньше ответа, злоумышленник может легко увеличить объем трафика, направляемого на цель. [90] [91]
SNMP и NTP также могут использоваться в качестве отражателей в атаке с усилением. Примером усиленной DDoS-атаки через сетевой протокол времени (NTP) является команда monlist, которая отправляет сведения о последних 600 хостах, которые запросили время с сервера NTP обратно запрашивающему. Небольшой запрос на этот сервер времени может быть отправлен с использованием поддельного исходного IP-адреса некоторой жертвы, что приведет к ответу в 556,9 раз больше размера запроса, отправляемого жертве. Это усиливается при использовании ботнетов, которые все отправляют запросы с одним и тем же поддельным источником IP, что приведет к отправке огромного объема данных обратно жертве. Очень сложно защититься от этих типов атак, поскольку данные ответа поступают с легитимных серверов. Эти запросы атаки также отправляются через UDP, который не требует подключения к серверу. Это означает, что исходный IP-адрес не проверяется при получении запроса сервером. Чтобы повысить осведомленность об этих уязвимостях, были начаты кампании, направленные на поиск векторов усиления, которые привели к тому, что люди починили свои резолверы или полностью отключили их. [ необходима цитата ]
Ботнет Mirai работает, используя компьютерного червя , чтобы заразить сотни тысяч устройств IoT по всему Интернету. Червь распространяется через сети и системы, беря под контроль плохо защищенные устройства IoT, такие как термостаты, часы с поддержкой Wi-Fi и стиральные машины. [92] Владелец или пользователь обычно не имеет немедленного указания на то, когда устройство заражено. Само устройство IoT не является прямой целью атаки, оно используется как часть более крупной атаки. [93] Как только хакер поработил желаемое количество устройств, он дает им команду попытаться связаться с интернет-провайдером. В октябре 2016 года ботнет Mirai атаковал Dyn , который является интернет-провайдером для таких сайтов, как Twitter , Netflix и т. д. [92] Как только это произошло, все эти веб-сайты были недоступны в течение нескольких часов.
Атака RUDY нацелена на веб-приложения, истощая доступные сеансы на веб-сервере. Подобно Slowloris, RUDY удерживает сеансы на паузе, используя бесконечные передачи POST и отправляя произвольно большое значение заголовка content-length. [94]
Манипулирование максимальным размером сегмента и выборочным подтверждением (SACK) может использоваться удаленным одноранговым узлом для вызова отказа в обслуживании путем целочисленного переполнения в ядре Linux, что может привести к панике ядра . [95] Джонатан Луни обнаружил CVE - 2019-11477, CVE-2019-11478, CVE-2019-11479 17 июня 2019 года. [96]
Атака Shrew представляет собой атаку типа «отказ в обслуживании» на протокол управления передачей , где злоумышленник использует методы «человек посередине» . Она использует уязвимость механизма тайм-аута повторной передачи TCP, используя короткие синхронизированные пакеты трафика для прерывания соединений TCP на том же канале. [97]
Атака медленного чтения отправляет законные запросы прикладного уровня, но очень медленно считывает ответы, дольше сохраняя открытыми соединения в надежде исчерпать пул соединений сервера. Медленное чтение достигается объявлением очень маленького числа для размера окна приема TCP и в то же время медленной очисткой буфера приема TCP клиентов, что приводит к очень низкой скорости потока данных. [98]
Сложная атака DDoS с низкой пропускной способностью — это форма DoS, которая использует меньше трафика и повышает свою эффективность, нацеливаясь на слабое место в конструкции системы жертвы, т. е. злоумышленник отправляет в систему трафик, состоящий из сложных запросов. [99] По сути, сложная атака DDoS обходится дешевле из-за использования меньшего трафика, имеет меньший размер, что затрудняет ее идентификацию, и она способна нанести вред системам, защищенным механизмами управления потоком. [99] [100]
SYN -флуд происходит, когда хост отправляет поток TCP/SYN-пакетов, часто с поддельным адресом отправителя. Каждый из этих пакетов обрабатывается как запрос на соединение, заставляя сервер создавать полуоткрытое соединение , отправлять обратно пакет TCP/SYN-ACK и ждать пакета в ответ с адреса отправителя. Однако, поскольку адрес отправителя поддельный, ответ никогда не приходит. Эти полуоткрытые соединения исчерпывают доступные соединения, которые может установить сервер, не давая ему отвечать на законные запросы до тех пор, пока атака не закончится. [101]
Атака teardrop включает отправку искаженных фрагментов IP с перекрывающимися, слишком большими полезными нагрузками на целевую машину. Это может привести к сбою различных операционных систем из-за ошибки в их коде повторной сборки фрагментации TCP/IP . [102] Операционные системы Windows 3.1x , Windows 95 и Windows NT , а также версии Linux до версий 2.0.32 и 2.1.63 уязвимы для этой атаки. [b] Одним из полей в заголовке IP является поле смещения фрагмента , указывающее начальную позицию или смещение данных, содержащихся во фрагментированном пакете, относительно данных в исходном пакете. Если сумма смещения и размера одного фрагментированного пакета отличается от суммы и размера следующего фрагментированного пакета, пакеты перекрываются. Когда это происходит, сервер, уязвимый для атак teardrop, не может повторно собрать пакеты, что приводит к состоянию отказа в обслуживании. [105]
Voice over IP сделало злонамеренное создание большого количества телефонных голосовых вызовов недорогим и легко автоматизированным, позволяя при этом искажать происхождение вызовов посредством подмены идентификатора вызывающего абонента . По данным Федерального бюро расследований США , отказ в обслуживании телефонии (TDoS) появился как часть различных мошеннических схем:
TDoS может существовать даже без интернет-телефонии . В скандале с глушением телефонов на выборах в Сенат Нью-Гемпшира в 2002 году телемаркетологи использовались для затопления политических оппонентов ложными звонками, чтобы заблокировать телефонные банки в день выборов. Широкое распространение номера также может заполнить его достаточным количеством звонков, чтобы сделать его непригодным для использования, как это произошло случайно в 1981 году с несколькими абонентами +1- код города -867-5309, заваленными сотнями звонков ежедневно в ответ на песню " 867-5309/Jenny ". TDoS отличается от других телефонных преследований (таких как звонки-розыгрыши и непристойные телефонные звонки ) количеством исходящих звонков. Постоянно занимая линии повторяющимися автоматическими звонками, жертва не может совершать или получать как обычные, так и экстренные телефонные звонки. Связанные с этим эксплойты включают атаки с затоплением SMS и черный факс или непрерывную передачу факса с использованием бумажной петли у отправителя.
Требуется больше ресурсов маршрутизатора, чтобы отбросить пакет со значением TTL 1 или меньше, чем для пересылки пакета с более высоким значением TTL. Когда пакет отбрасывается из-за истечения TTL, ЦП маршрутизатора должен сгенерировать и отправить ответ ICMP о превышении времени . Генерация большого количества таких ответов может перегрузить ЦП маршрутизатора. [108]
Атака UPnP использует существующую уязвимость в протоколе Universal Plug and Play (UPnP), чтобы обойти сетевую безопасность и затопить сеть и серверы цели. Атака основана на технике усиления DNS, но механизм атаки — это маршрутизатор UPnP, который пересылает запросы из одного внешнего источника в другой. Маршрутизатор UPnP возвращает данные на неожиданный порт UDP с поддельного IP-адреса, что затрудняет выполнение простых действий по прекращению потока трафика. По словам исследователей Imperva , наиболее эффективным способом остановить эту атаку для компаний является блокировка маршрутизаторов UPnP. [109] [110]
В 2014 году было обнаружено, что Simple Service Discovery Protocol (SSDP) использовался в DDoS -атаках, известных как атака SSDP с отражением и усилением . Многие устройства, включая некоторые домашние маршрутизаторы, имеют уязвимость в программном обеспечении UPnP, которая позволяет злоумышленнику получать ответы с UDP-порта 1900 на адрес назначения по своему выбору. С помощью ботнета из тысяч устройств злоумышленники могут генерировать достаточные скорости передачи пакетов и занимать полосу пропускания для переполнения каналов, вызывая отказ в обслуживании. [111] [112] [113] Из-за этой слабости сетевая компания Cloudflare описала SSDP как «Глупо простой протокол DDoS». [114]
ARP-спуфинг — это распространенная DoS-атака, использующая уязвимость в протоколе ARP, которая позволяет злоумышленнику связать свой MAC-адрес с IP-адресом другого компьютера или шлюза , в результате чего трафик, предназначенный для исходного подлинного IP-адреса, перенаправляется на IP-адрес злоумышленника, что приводит к отказу в обслуживании.
Защитные ответы на атаки типа «отказ в обслуживании» обычно включают использование комбинации инструментов обнаружения атак, классификации трафика и реагирования, направленных на блокировку трафика, который инструменты идентифицируют как нелегитимный, и разрешение трафика, который они идентифицируют как легитимный. [115] Список инструментов реагирования включает следующее.
Весь трафик, предназначенный жертве, перенаправляется для прохождения через центр очистки или центр очистки с помощью различных методов, таких как: изменение IP-адреса жертвы в системе DNS, методы туннелирования (GRE/VRF, MPLS, SDN), [116] прокси-серверы, цифровые кросс-соединения или даже прямые каналы. Центр очистки отделяет плохой трафик (DDoS, а также другие распространенные интернет-атаки) и передает только хороший законный трафик на сервер жертвы. [117] Жертве необходимо центральное подключение к Интернету, чтобы использовать этот вид услуг, если только она не находится в том же помещении, что и центр очистки. Атаки DDoS могут подавить любой тип аппаратного брандмауэра, и прохождение вредоносного трафика через большие и зрелые сети становится все более эффективным и экономически устойчивым против DDoS. [118]
Аппаратное обеспечение интерфейса приложения — это интеллектуальное оборудование, размещаемое в сети до того, как трафик достигнет серверов. Его можно использовать в сетях совместно с маршрутизаторами и коммутаторами , а также как часть управления полосой пропускания . Аппаратное обеспечение интерфейса приложения анализирует пакеты данных по мере их поступления в сеть, а также идентифицирует и отбрасывает опасные или подозрительные потоки.
Подходы к обнаружению DDoS-атак на облачные приложения могут быть основаны на анализе уровня приложения, указывающем, является ли входящий массовый трафик законным. [119] Эти подходы в основном полагаются на идентифицированный путь ценности внутри приложения и отслеживают ход выполнения запросов на этом пути с помощью маркеров, называемых ключевыми индикаторами завершения . [120] По сути, эти методы являются статистическими методами оценки поведения входящих запросов для обнаружения чего-то необычного или ненормального. Аналогией является универмаг, где клиенты тратят в среднем известный процент своего времени на различные действия, такие как подбор товаров и их осмотр, их возврат, наполнение корзины, ожидание оплаты, оплата и уход. Если толпа клиентов пришла в магазин и провела все свое время, подбирая товары и возвращая их, но так и не сделала никаких покупок, это можно было бы пометить как необычное поведение.
При маршрутизации через черную дыру весь трафик на атакованный DNS или IP-адрес отправляется в черную дыру (нулевой интерфейс или несуществующий сервер). Для большей эффективности и во избежание влияния на сетевое подключение, управление может осуществляться интернет-провайдером. [121] DNS sinkhole направляет трафик на допустимый IP-адрес, который анализирует трафик и отклоняет плохие пакеты. Sinkholing может быть неэффективным для серьезных атак.
Системы предотвращения вторжений (IPS) эффективны, если атаки имеют сигнатуры, связанные с ними. Однако тенденция среди атак заключается в том, что они имеют законный контент, но плохие намерения. Системы предотвращения вторжений, которые работают на распознавании контента, не могут блокировать DoS-атаки на основе поведения. [45] IPS на базе ASIC может обнаруживать и блокировать атаки типа «отказ в обслуживании», поскольку они обладают вычислительной мощностью и детализацией для анализа атак и действуют как автоматический выключатель . [45]
Более сосредоточенная на проблеме, чем IPS, система защиты от DoS (DDS) может блокировать DoS-атаки на основе соединения и те, которые имеют законный контент, но плохие намерения. DDS также может противостоять как атакам на протокол (таким как teardrop и ping of death), так и атакам на основе скорости (таким как ICMP-флуд и SYN-флуд). DDS имеет специально созданную систему, которая может легко идентифицировать и препятствовать атакам типа «отказ в обслуживании» на большей скорости, чем система на основе программного обеспечения. [122]
В случае простой атаки брандмауэр можно настроить так, чтобы он блокировал весь входящий трафик от злоумышленников на основе протоколов, портов или исходных IP-адресов. Однако более сложные атаки будет сложно заблокировать с помощью простых правил: например, если идет постоянная атака на порт 80 (веб-служба), невозможно отбросить весь входящий трафик на этом порту, поскольку это помешает серверу получать и обслуживать законный трафик. [123] Кроме того, брандмауэры могут быть слишком глубоко в сетевой иерархии, при этом маршрутизаторы подвергаются неблагоприятному воздействию до того, как трафик попадет на брандмауэр. Кроме того, многие инструменты безопасности по-прежнему не поддерживают IPv6 или могут быть неправильно настроены, поэтому брандмауэры могут быть обойдены во время атак. [124]
Подобно коммутаторам, маршрутизаторы имеют некоторые возможности ограничения скорости и ACL . Они также настраиваются вручную. Большинство маршрутизаторов могут быть легко перегружены DoS-атакой. Nokia SR-OS с использованием процессоров FP4 или FP5 предлагает защиту от DDoS. [125] Nokia SR-OS также использует Nokia Deepfield Defender на основе аналитики больших данных для защиты от DDoS. [126] Cisco IOS имеет дополнительные функции, которые могут уменьшить влияние затопления. [127]
Большинство коммутаторов имеют некоторые возможности ограничения скорости и ACL . Некоторые коммутаторы обеспечивают автоматическое или общесистемное ограничение скорости , формирование трафика , отложенное связывание ( сращивание TCP ), глубокую проверку пакетов и фильтрацию bogon (фильтрация фиктивных IP-адресов) для обнаружения и устранения DoS-атак с помощью автоматической фильтрации скорости и отказоустойчивости и балансировки WAN-канала. Эти схемы будут работать до тех пор, пока DoS-атаки могут быть предотвращены с их помощью. Например, SYN-флуд можно предотвратить с помощью отложенного связывания или TCP-сплайсинга. Аналогично, DoS на основе контента можно предотвратить с помощью глубокой проверки пакетов. Атаки с использованием марсианских пакетов можно предотвратить с помощью фильтрации bogon. Автоматическая фильтрация скорости может работать, пока заданные пороговые значения скорости установлены правильно. Отказоустойчивость WAN-канала будет работать, пока оба канала имеют механизм предотвращения DoS. [45]
Угрозы могут быть связаны с определенными номерами портов TCP или UDP. Блокировка этих портов на брандмауэре может смягчить атаку. Например: при атаке с отражением SSDP ключевым смягчением является блокировка входящего трафика UDP на порту 1900. [128]
Непреднамеренный отказ в обслуживании может произойти, когда система в конечном итоге отказывается, не из-за преднамеренной атаки одного человека или группы людей, а просто из-за внезапного огромного всплеска популярности. Это может произойти, когда чрезвычайно популярный веб-сайт публикует заметную ссылку на второй, менее подготовленный сайт, например, как часть новостной статьи. Результатом является то, что значительная часть постоянных пользователей основного сайта — потенциально сотни тысяч людей — нажимают на эту ссылку в течение нескольких часов, оказывая на целевой веб-сайт тот же эффект, что и DDoS-атака. VIPDoS — это то же самое, но особенно когда ссылку размещает знаменитость. Когда Майкл Джексон умер в 2009 году, такие веб-сайты, как Google и Twitter, замедлились или даже вышли из строя. [129] Серверы многих сайтов думали, что запросы были от вируса или шпионского ПО, пытающегося вызвать атаку типа «отказ в обслуживании», предупреждая пользователей, что их запросы выглядят как «автоматизированные запросы от компьютерного вируса или шпионского приложения». [130]
Новостные сайты и сайты ссылок – сайты, чья основная функция заключается в предоставлении ссылок на интересный контент в других местах Интернета – с наибольшей вероятностью вызывают это явление. Каноническим примером является эффект Slashdot при получении трафика со Slashdot . Он также известен как « смертельное объятие Reddit » [131] и « эффект Digg ». [132]
Подобный непреднамеренный отказ в обслуживании может также произойти через другие средства массовой информации, например, когда URL упоминается по телевидению. В марте 2014 года, после того как рейс 370 Malaysia Airlines пропал, DigitalGlobe запустила краудсорсинговый сервис, на котором пользователи могли помочь в поиске пропавшего самолета на спутниковых снимках. Ответ перегрузил серверы компании. [133] Непреднамеренный отказ в обслуживании может также возникнуть в результате заранее запланированного события, созданного самим веб-сайтом, как это было в случае с переписью в Австралии в 2016 году. [134]
По крайней мере в одном таком случае были предприняты юридические действия. В 2006 году Universal Tube & Rollform Equipment Corporation подала в суд на YouTube : огромное количество потенциальных пользователей YouTube.com случайно ввели URL-адрес компании tube, utube.com. В результате компании tube пришлось потратить большие суммы денег на обновление своей пропускной способности. [135] Компания, по-видимому, воспользовалась ситуацией, и теперь utube.com содержит рекламу и получает доход от рекламы.
Известно также, что маршрутизаторы создают непреднамеренные DoS-атаки, поскольку маршрутизаторы D-Link и Netgear перегружают серверы NTP , перегружая их без учета ограничений по типам клиентов или географических ограничений.
В безопасности компьютерных сетей backscatter является побочным эффектом поддельной атаки типа «отказ в обслуживании». В этом виде атаки злоумышленник подделывает (или фальсифицирует) исходный адрес в IP-пакетах, отправляемых жертве. Как правило, машина жертвы не может отличить поддельные пакеты от легитимных, поэтому жертва отвечает на поддельные пакеты так, как она это делает обычно. Эти ответные пакеты известны как backscatter. [136]
Если злоумышленник подделывает исходные адреса случайным образом, пакеты ответов backscatter от жертвы будут отправлены обратно в случайные пункты назначения. Этот эффект может использоваться сетевыми телескопами как косвенное доказательство таких атак. Термин анализ backscatter относится к наблюдению за пакетами backscatter, прибывающими в статистически значимую часть пространства IP-адресов , для определения характеристик DoS-атак и жертв.
Во многих юрисдикциях есть законы, согласно которым атаки типа «отказ в обслуживании» являются незаконными. ЮНКТАД подчеркивает, что 156 стран, или 80% в мире, приняли законы о киберпреступности для борьбы с ее широкомасштабным воздействием. Уровень принятия варьируется в зависимости от региона: в Европе этот показатель составляет 91%, а в Африке — 72%. [138]
7 января 2013 года группа Anonymous разместила петицию на сайте whitehouse.gov с просьбой признать DDoS законной формой протеста, аналогичной протестам Occupy , утверждая, что цели обоих протестов одинаковы. [146]
{{cite book}}
: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link){{cite book}}
: CS1 maint: location missing publisher (link) CS1 maint: multiple names: authors list (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link){{cite web}}
: CS1 maint: bot: original URL status unknown (link)Остин Томпсон, он же DerpTrolling, который прославился в 2013 году, запустив атаки типа "распределенный отказ в обслуживании" (DDoS) против крупных компаний, выпускающих видеоигры, был приговорен федеральным судом к 27 месяцам тюремного заключения. Томпсон, житель Юты, также должен будет выплатить 95 000 долларов Daybreak Games, которая принадлежала Sony, когда она пострадала от рук DerpTrolling. В период с декабря 2013 года по январь 2014 года Томпсон также разрушил Steam от Valve — крупнейшую платформу цифровой дистрибуции для ПК-игр, — а также сервис Origin от Electronic Arts и BattleNet от Blizzard. Перебои длились от нескольких часов до нескольких дней.