Ddos атака сценарий

DDoS-атаки (от англ. Distributed Denial of Service, или «Распределенный отказ в обслуживании») — это хакерская атака с целью вызвать проблемы с открытием сайта.

Атаки типа «Отказ в обслуживании» в основном используются для выведения из строя публичных сайтов. Обычно это сайты крупных государственных органов, банковских и коммерческих структур.

В России инициаторы и участники DDoS-атак наказываются Уголовным кодексом по 272-й статье, которая предусматривает штраф до 500 тысяч рублей либо реальное лишение свободы сроком до семи лет.

Как узнать что сайт ддосят?

Если атака не является скрытой, ее просто опознать по ряду признаков:

• Недоступность сайта целиком.
• Недоступность сайта частично (определенных страниц).
• Некорректный ответ страницы.
• Слишком долгая загрузка страницы.
• Некорректная работа функций сайта, объектов на странице.

Теневые DDoS-атаки определяются при помощи качественного и количественного анализа входящего трафика, который организуется на сетевой стороне.

Зачем заказывают DDoS-атаки

Существуют самые разнообразные сценарии заказа хакерских атак. Вот самые очевидные случаи:

• Один человек. Преследует исключительно собственные цели. Например, месть какой-либо компании или бренду.
• Группа людей. Преследуют цель сделать сайт недоступным и выкинуть его из поисковой выдачи. Например, атака на конкурента.
• Один или группа заказчиков. Преследуют цель получения денежных средств от жертвы.
• Один заказчик. Цель — полностью избавиться от сайта конкурента и сделать его недоступным на максимально продолжительный период времени.

Также их используют для политических протестов и просто для развлечения.

Как строится типичная DDoS-атака

1. Обнаружение незащищенных узлов в сети. Делается это при помощи массовой отправки сценарных запросов.
2. Вторжение первоначальное (атака). Выполняется только на незащищенные (максимально уязвимые) узлы. Цель: взять под контроль как можно больше компьютеров и установить на них вирусы-трояны.
3. Отправка запросов. Теперь захваченные компьютеры используются для отправки запросов на главный компьютер.

У такого сценария есть множество вариантов. О них и пойдет речь далее.

Какие виды и типы DDoS-атак существуют в 2022 году

HTTP-флуд

Это стандартные запросы в заголовке, но они отлично выводят из строя неподготовленные и незащищенные сайты. Суть атаки состоит в том, что злоумышленник отправляет большое количество пакетов с сильными изменениями заголовков. Вычислительная система «клиент-сервер» приступает к их расшифровке, но количество пакетов не снижается. На расшифровку нужно время, а количество пакетов только растет: в итоге происходит коллапс и сайт становится недоступным.

ICMP-флуд

Также известен как Smurf. Злоумышленник посылает запрос типа ping, параллельно происходит отправка подмененного ICMP (сетевой протокол, принадлежащий к стеку TCP/IP). Далее адрес злоумышленника подменяется на адрес атакуемого компьютера. При этом ping начинают отправлять все соответствующие узлы. Пример: 300 узлов, благодаря ICMP и бустерной сети, будут усилены в 300 раз.

Ping-flood — разновидность ICMP-флуд. Очень похож на предыдущий вид атаки, но разница в том, что ping-flood можно выполнить даже без специального ПО. Злоумышленник отправляет на атакуемый сервер эхо-пакеты, которые идут с IP очень широких диапазонов. Вычислительная способность сервера заметно снижается, так как пропускная способность подвергается серьезному испытанию. Сайт становится недоступным.

APDoS

Или «Расширенная постоянная DoS атака» (от англ. Advanced Persistent DoS ). Кроме уже знакомого нам HTTP-флуда, APDoS задействует и другие методы, например, SYN-спам. APDoS может сочетать эти техники, чтобы отправлять на атакуемый сервер тысячи, сотни тысяч и миллионы запросов. Главное отличие Advanced Persistent DoS от других методик — постоянное изменение и комбинирование нескольких видов атак, чтобы сервер не смог вовремя идентифицировать атаку и решить проблему.

UDP-флуд

Также известен как Fraggle. По своему действию полностью идентичен методике ICMP-флуда. Единственное отличие — в типе пакета. В случае UDP-флуда отправляется одноименный UDP-пакет. Схема такая: на 7-й порт хакер посылает echo-команды. Далее происходит подмена IP хакера на IP атакуемого компьютера. Полоса пропускания перегружается из-за огромного количества ответов. Сайт становится полностью недоступным.

SYN-флуд

Заключается в установке так называемых полуоткрытых соединений. Методика все та же: отправка очень большого количества SYN (TCP-флаг, или синхронизация номеров последовательности) на атакуемый сервер.

Разница с UDP-флудом состоит в последующем поведении системы. После того как сервер получил SYN, он обязательно отвечает отправкой подтверждающих флагов SYN+ACK. Но злоумышленник игнорирует этот этап, и полуоткрытое соединение так и остается незавершенным, пока не наступит тайм-аут. Естественно, за это время колоссально увеличивается очередь ожидающих и в итоге система оказывается неработоспособной.

Pulse Wave

Этот вид атак можно опознать через анализ график входящего трафика. Pulse Wave отличается характерными скачкообразными нарастаниями, которые визуально напоминают пилу:

Казалось бы, определить такой трафик несложно — даже по формальным признакам, но на практике сделать это не удается.

Флуд в MAC

У каждого сетевого устройства есть собственный, уникальный MAC — уникальный ID, который автоматически соотносится с каждой единицей Ethernet-оборудования. Коммутаторы интерпретируют такие адреса самостоятельно и ресурсы выделяют для каждого из них по отдельности. Цель хакера — перегрузить таблицу MAC-адресов. Отправка большого количества запросов приводит к исчерпанию памяти коммутатора. Ресурсы и производительность системы снижаются до 0.

Атака на NTP

Заключается в использовании так называемых серверов публичного времени по NTP (от англ. Network Time Protocol, или сетевой временный протокол). Сейчас эта уязвимость хорошо известна, но в 13-14-х годах NTP-атаки наделали много шума: через эту уязвимость организовывалось множество атак на сайты крупного бизнеса и государственных структур.

Логика атак на NTP заключается в подмене IP: мошенники отправляют на сервер огромное количество запросов. Сервер, как обычно, должен сделать UDP-ответ на каждый такой запрос. Но так как IP был подменен, суммарное количество таких ответов растет в геометрической прогрессии. В итоге сервер оказывается «обездвижен».

Ping of Death

Старая техника, связанная с обработкой исключений в программном коде. Сейчас Ping of Death уже не используется злоумышленниками, потому что в 2022 году пропускная способность публичных и частных сетей многократно увеличилась. Суть: злоумышленник отправлял большое количество пингов, при этом задействовались сразу несколько видов протоколов. Итог: сервер переставал отвечать и перегружался.

Slowloris

Этот тип атак похож на уже рассмотренный нами SYN-флуд, но в этом случае полуоткрытыми остаются не отдельные соединения, а сразу все подключение к определенному серверу. Затем такое соединение оставляется открытым как можно дольше, после происходит копирование полуоткрытого соединения. В итоге вместо одного появляются тысячи и сотни тысяч подключений — на основе того самого первоначального целевого соединения. Естественно, сервер будет завершать подобные подключения по установленному таймауту, а это займет очень большое количество времени.

Подытожим самые частые сценарии DDoS-атак:

1. Корневые серверы DNS + ПО, установленное на таких серверах и нахождение в таких программах дыр.
2. Все методики, связанные с переполнением пропускной способности или флудом.
3. Эксплойты. Самописные решения злоумышленников, которые позволяют атаковать самые сложные сетевые системы. Эксплойты возможны из-за формальных ошибок в коде. Самые частые сценарии таких ошибок: необрабатываемый сценарий, запрос к некорректному участку адресного пространства, инициализация некорректной инструкции. Например, обращение по null-адресу (адресу, который не существует). Технику эксплойтов используют опытные хакеры, так как нужно писать код.

Другие сценарии атак на основе формальных ошибок в коде: переполнение буфера, обработка исключений.

4. Недостаток производительности и недостаток вычислительных ресурсов. Самые частые сценарии этой категории:
   • атака второго рода (злоумышленник заставляет серверную защиту отклонять все валидные обращения, подменяя их статус на вредоносный);
   • отправка ненасыщенных пакетов;
   • недостаточная проверка пользовательских данных;
   • флуд-файлы регистрации (log-файлы);
   • доступ к CGI с дальнейшим созданием скрипта.

На каком уровне может произойти DDoS-атака

Чтобы понять особенность DDoS-атак, нужно рассмотреть уровни, на которых она может произойти. Для этого нужно углубиться в модель OSI.

В интернете сегодня используется семиуровневая сетевая модель OSI:

Хакерская атака типа «Отказ в обслуживании» может происходить на любом уровне этой модели. Мы дадим несколько сценариев воздействия DDoS-атаки для каждого уровня OSL:

1. На первом (физическом) уровне может происходить разрушение физических ресурсов с дальнейшим выходом из строя части сетевой инфраструктуры.

Главные данные: биты. Пример: любые DOS-атаки.

DoS — то же самое, что и DDoS (атака типа отказа в обслуживании). Разница в том, что DoS-атака осуществляется с одного хоста, а DDoS — с нескольких.

2. На втором уровне (канал) может происходить блокировка портов путем отправки большого количества пакетов.

Главные данные: кадры. Пример: флуд в MAC.

3. На третьем уровне (сетевом) может происходить уменьшение пропускной способности сетевой инфраструктуры с последующей вероятной перегрузкой.

Главные данные: сетевые пакеты. Пример: атака в ICMP.

4. На четвертом уровне (транспортном) может происходить перегрузка канала по числу возможных соединений или по другим показателям.

Главные данные: сегменты. Пример: SYN и его разновидности.12

5. На пятом уровне (сеансовый) может теряться функциональность оборудования. Например, сетевой коммутатор может стать неуправляемым, так как происходит атака непосредственно на telnet — сетевой протокол, используемый для виртуального доступа к компьютеру и для обеспечения двустороннего, совместного и текстового канала связи между двумя машинами.

Главные данные: сами данные. Пример: каноническая DOS-атака на сервер telnet.

6. На шестом уровне (представление) может затрагиваться SSL. Например, все SSL-подключения перестают опознаваться, следует перезагрузка системы, но проблема не решается.

Главные данные: сами данные. Пример: DoS-атака с использованием поддельных SSL-запросов.

7. На седьмом уровне (приложение) сервер может потерять вычислительную мощность, серверные ресурсы станут бесполезными.

Главные данные: сами данные. Пример: GET и POST запросы в HTTP, например — PDF GET.

Как защититься от DDos-атак?

В 2022 году способов защиты предостаточно. Есть инструменты универсального действия, например CloudFlare, есть сложные брандмауэрные защиты на уровне сетевых приложений. Несмотря на такие разработки, 100 % защиты все еще не придумано.

Есть 5 подходов к построению сетевой инфраструктуры, которые позволят защитить ваш сайт от DDoS-атак:

1. Масштабируемость вычислительных возможностей сервера. Атака на перегруз производительности сервера и пропускную способность подключения — два самых распространенных сценария DDoS-активностей. Решение: выбирать облачные серверы, чтобы гибко менять производительность системы исходя из текущих потребностей.
2. Локализация точек атаки и уменьшение их числа. Чем меньше зон вы оставите открытыми для злоумышленника, тем эффективнее будет защита сайта. Обязательно внедрите Elastic Load Balancing (или другой балансировщик сетевой нагрузки) и ACL (network access control list).

   Сетевой ACL используется для фильтрации трафика. Грубо говоря — чтобы был только разрешенный трафик. ACL в сети выполняет ту же функцию, что и ACL файловой системы, поскольку учетные данные устройств проверяются по утвержденному списку. Однако сетевой ACL отличается тем, что защищает сеть, а не каталоги или файлы внутри сети

   ACL позволяет автоматически фильтровать вредный трафик, отделяя его от хорошего, и позволяет работать с любыми второстепенными протоколами. Но если хакер решил построить атаку на первостепенных пакетах, ACL становится бесполезным. По мере необходимости внедрите CDN (Content Delivery Network). Преимущества CDN:

   • Более быстрое время загрузки сайта.
   • Быстрая масштабируемость ресурсов сервера во время интенсивного трафика.
   • Сводит к минимуму риск опасных пиков трафика.
   • Снижает затраты на инфраструктуру за счет разгрузки трафика (меньше нагрузки на источник).
   • В общем — лучшая производительность сайта.
3. Специальные брандмауэры. Они помогут локализовать DDoS-атаки, которые происходят на седьмом уровне OSL (приложение). К таким решениям можно отнести WAF-экраны, например, «Брандмауэр для интернет-приложений AWS». Он эффективен даже против сложных сценариев атак — например, подмены запросов или замены SQL. Брандмауэры типа AWS умеют отличать вредоносный трафик от качественного и автоматически его локализовывать.
4. Потенциал пропускной способности. Необходимо заранее удостовериться в том, что выбранный хостинг практикует выдачу увеличенной пропускной способности в экстренных ситуациях. Подстроиться под нужды реальных пользователей, расположенных наиболее близко к вашей инфраструктуре, поможет Amazon Route 53 — коммерческий DNS-сервис, сервис сопутствующих сетевых услуг и уже упомянутый выше CDN. Создавая сетевые приложения, помните, что расширенный пропускной потенциал является гарантией от любых DDoS-атак, направленных исключительно на подобную перегрузку.
5. Ориентир на максимальное количество трафика, который без перебоев и задержек может отработать ваш хост. В идеале необходимо проработать признаки качественного трафика и в дальнейшем внедрить техническое решение, позволяющее проводить попакетное сравнивание всего трафика с наиболее качественными, эталонными значениями. В случае успешной настройки такой системы при попытке DDoS-атаки подозрительный трафик просто не будет обрабатываться.

Кроме вышеуказанных методов для защиты, можно рекомендовать превентивные и узконаправленные решения:

1. Инструменты, ограничивающие флуд в пропускном канале: например, связка Apache + nginx, самостоятельно ngx_http_limit_req_module.
2. Предотвращение триггеров, вызывающих негативную реакцию определенных групп людей (публичные заявления компаний касательно политических, гендерных, религиозных тем часто бывают оскорбительными).
3. Задействование оборудования, устанавливающегося непосредственно перед сетевой инфраструктурой для фильтрации входящего трафика. Например, устройства по типу DefensePro® или Impletec iCore. Такое фильтрующее оборудование — один из лучших инструментов для борьбы с DDoS-атаками.
4. Переговоры с исполнителями или организаторами хакерской атаки. Найти их бывает сложно, но если это вам удалось, начинайте диалог. При этом важно обращаться к правовым и юридическим мерам. Как минимум — мотивировать прекращение атаки на сайт, руководствуясь статьями Уголовного кодекса РФ.
5. Программный сервер и другое противохакерское ПО. Помогут остановить самые примитивные сценарии DDoS-атак: AWS Shield Advanced или King Servers Anti DDoS.
6. Фильтрация при помощи сетевых экранов — когда нужно заблокировать определенный поток и ACL (выше мы уже разбирали этот инструмент подробно). Межсетевые экраны имеют существенные ограничения: например, не позволяют заранее идентифицировать качественный и вредоносный трафик.
7. Распределение систем и их постоянный бэкап. Даже если какой-то один узел выйдет из строя, в ходе той же DDoS-атаки, сайт останется доступным.
8. Перенаправление вредоносного трафика на атакующий сервер. Если у вас есть технические и вычислительные возможности для такого маневра, он может быть весьма оправданным. В ряде случаев злоумышленник просто прекратит свою деятельность.
9. Локализация дыр в сетевых службах и соответствующих системах с дальнейшим устранением уязвимостей в этих узлах. Эта техника эффективна против многих DDoS-атак — кроме тех, которые используют флудовые методы атаки.

Для тех, кто ищет, как сделать Ддос-атаку, хочется напомнить, что подобные действия наказываются законодательством многих стран и очень часто — реальными тюремными сроками. Поэтому, перед тем как затевать такие вещи, нужно тщательно все взвесить, стоит ли оно того.

Данная статья не является руководством для осуществления Ddos-атак, а написана исключительно для ознакомления, так как вся предоставленная ниже информация может быть найдена в открытых источниках.

Что такое Ддос-атака?

Под Ddos-атакой понимают специальные действия определенных людей, направленные на блокировку какого-либо веб—ресурса. Под такими действиями понимают массовую отсылку запросов на сервер или веб—сайт, который нужно «положить». Количество подобных запросов должно превышать все возможные лимиты, чтобы защитные инструменты провайдера заблокировали атакуемый веб—ресурс.

Реальная Ddos-атака практически невозможна без помощи других пользователей или специальных программ. Один человек с одного компьютера не способен «руками» отослать нужное количество запросов, чтобы веб—ресурс «лег». Поэтому многих и интересует, как можно сделать Ддос-атаку при помощи сторонних программ. Но об этом чуть ниже.

Почему Ddos-атаки имеют успех?

Ddos-атака — это реальный способ «насолить» конкуренту, и некоторые веб—предприниматели не гнушаются пользоваться этим «черным инструментом» конкурентной борьбы. Обычно Ддос-атака бывает эффективной из-за проблем провайдеров:

• ненадежные межсетевые экраны;

• бреши в системе безопасности;

• проблемы в операционной системе серверов;

• нехватка системной мощности для обработки запросов;

• и др.

Именно эти проблемы и дают возможность осуществить эффективную Ddos-атаку. Поэтому проблема безопасности у IT-компаний всегда стоит на первом месте. Но современная защита стоит дорого, а потому условно считается, что чем больше денег компания-провайдер тратит на защиту своих ресурсов, тем надежнее защита. Но не все провайдеры у нас такие, как Microsoft или Yahoo (хотя и эти компании подвергались Ddos-атакам!), есть и менее финансово обеспеченные, которые более всего подвержены Ддосу.

Виды Ддос-атак

Даже у Ддос-атак есть собственная классификация. Вот как она выглядит:

1. Массовое направление на сервер некорректных инструкций, выполнение которых приводит к аварийному завершению работы.

2. Массовое направление пользовательских данных на сервер, что приводит к их бесконечной обработке и повышению нагрузки на сам сервер.

3. Массовое направление неправильных инструкций к серверу, что также увеличивает его нагрузку.

4. Массовая атака ложными адресами, что приводит к «забиванию» каналов связи.

Обобщив, можно сказать, что Ddos-атака — это «массовость» каких-либо действий, которые могут сделать так, что сервер перестанет работать. 

Ddos-атака: как сделать

Перед тем как сделать Ддос-атаку, нужно знать, для чего и на кого она рассчитана. Как правило, такие атаки плотно связаны с конкретным сайтом и конкретным хостингом. У каждого хостинга могут быть свои слабые места, поэтому «точки атак» могут быть разные. Из этого следует, что и инструменты, и подходы для совершения Ддос-атаки нужно подбирать конкретно под ресурс и хостинг, потому что один и тот же инструмент на разных ресурсах может сработать, а может и нет.

Программа для Ddos-атак по IP и URL

Самой распространенной подобной программой является LOIC. Это не какая-то сверхсекретная утилита из darknet — это приложение есть в открытом доступе, и, в принципе, любой желающий может его скачать и использовать.

Эта программа рассчитана для Ddos-атак, когда вам заранее известен IP и URL атакуемого ресурса. Чтобы воспользоваться данной программой, нужно:

1. Найти и скачать ее из интернета, она там есть в открытом доступе.

2. Активировать это приложение при помощи файла «loic.exe».

3. Ввести в открывшихся полях IP и URL атакуемого ресурса.

4. Отрегулировать уровень передачи запросов.

5. Нажать для старта кнопку «imma chargin mah lazer».

Конечно, запуском одной такой программы с одного компьютера вы, скорее всего, не сможете навредить ресурсу, потому что у него сработает его система безопасности. Но если будет 10 запущенных программ на один ресурс? А 100? 

Еще инструменты, как сделать Ддос-атаку

Как уже говорили, уровень безопасности у разных ресурсов будет разный, поэтому, если не помогла программа LOIC, хотя при «массовости» она может помочь, можно попробовать что-то из следующего списка простых и не очень инструментов, нацеленных «положить» сервер различными запросами:

1. Fg Power Ddoser

2. Silent Ddoser

3. Dnet Ddoser

4. Darth Ddoser

5. Hypo Crite

6. Host Booter 

7. Good Bye v3/0-v5.0

8. Black Peace Group Ddoser

Можно также использовать Ddos-атаку из «зараженной» программы, для этого подойдут следующие инструменты:

1. PHPDos

2. TWBooter

3. Dark Shell

4. War Bot

5. Infinity Bot

6. Darkness

7. Russkill

8. Armageddon

Если после применения инструментов, которые описаны выше, вы так и не нашли подходящий, то можете воспользоваться услугами Ddos-сервисов:

1. Wild Ddos

2. Death Ddos Serice

3. Ddos SerVis

4. Beer Ddos

5. No Name

6. Oxia Ddos Service

7. Wotter Ddos Service

8. Ice Ddos

Заключение

Список программ и инструментов «как можно сделать Ддос-атаку», на самом деле, очень большой. А это означает, что данное незаконное действие является весьма популярным среди пользователей.

Убедительная просьба, перед тем как планировать или организовывать Ddos-атаку, подумайте, нужно ли вам это? Хотим еще раз напомнить, что Ddos-атаки уголовно наказуемы!

Лучший способ защитить себя в кибермире — это знать, как проводить атаки. Если вы хотите попробовать метод DDoS-атаки, ниже приведены некоторые из лучших инструментов DDoS-атаки, которые вы можете использовать на рынке. Вы согласитесь со мной, что это может быть неприятно, когда вы заходите на сайт для выполнения продуктивной задачи, но не можете продолжить работу из-за перегруженности Интернета. Иногда сайт может получать большой трафик по истинным причинам, а иногда это может быть результатом злонамеренных действий хакеров. DoS-атаки — это термин, используемый для описания таких преднамеренных атак на веб-сервер. Кибер-атака, известная как «отказ в обслуживании», или «DOS», не позволяет авторизованным пользователям использовать ресурс, такой как веб-сайт, электронная почта, сеть и т.д. Однако атаки, известные как распределенный отказ в обслуживании (DDoS), стали представлять опасность для существующих сетей. Атаки типа «распределенный отказ в обслуживании» используют набор зараженных рабочих станций для предотвращения доступа обычных пользователей к ресурсам. Наводняя компьютерную сеть пакетами данных, все эти зараженные компьютеры атакуют одну и ту же жертву. Атака на уровне приложений, атака по протоколу или атака на основе объема — все это примеры DDoS-атак. Хакер может получить тюремный срок, поскольку это незаконно. Однако для правильного проведения таких кибер-DDoS-атак необходимо предпринять ряд действий. Тем не менее, в приведенный ниже список включены как открытые (бесплатные), так и коммерческие (платные) инструменты для DDoS-атак.

LOIC

Известным DoS-инструментом, ставшим легендарным среди хакеров, является LOIC. Low Orbit Ion Canon, или сокращенно LOIC, был первоначально создан на языке C# компанией Praetox Technologies. Тем не менее, впоследствии он был помещен в общественное достояние. Этот инструмент атаки, как правило, чрезвычайно полезен в DDOS-атаках, использующих преимущества огромных объемов. Он направляет соединения компьютерных сетей к определенным архитектурам серверов. Поскольку ни один компьютер, как правило, не может отправить запрос, достаточно мощный, чтобы поглотить всю доступную пропускную способность сервера, он заставляет компьютерные сети отправлять бессмысленные пакеты на заранее выбранные серверы. Эта программа запрашивает данные с сервера через HTTP, TCP и UDP.

Особенности:

• Инструмент для DDoS-атак LOIC является бесплатным.
• Пользователи могут проводить стресс-тесты благодаря этому.
• Он не скрывает IP-адрес, даже когда прокси-сервер недоступен.
• Его можно использовать для выявления DDoS-приложений, которые могут использовать хакеры.

HULK (HTTP Unbearable Load King)

Еще одним эффективным инструментом DOS-атаки является HULK, который создает отдельный запрос для каждого отправляемого им запроса, чтобы замаскировать активность веб-сервера. Он официально называется HTTP Unbearable Load King (HULK) и является одним из бесплатных инструментов DDoS-атак. В настоящее время, когда протоколы передачи данных являются нормой для связи между компьютером и сервером, перегрузить серверы множеством таких, казалось бы, легитимных запросов очень просто. HULK действует именно таким образом. Программа HULK на языке Python может быть использована в любой операционной системе, где установлен Python. Linux, Windows и Mac — вот несколько таких ОС. Коммутаторы, маршрутизаторы и брандмауэры могут быть протестированы с помощью программы HULK.

Особенности:

• Эта технология позволяет нам создавать отличительный сетевой трафик.
• Сервер кэша можно обойти с помощью HULK.
• Этот инструмент может быть использован пользователями для изучения.

PYLORIS

PyLoris — это мощный инструмент для проведения скрытных DDoS-атак. Это еще одна часть программного обеспечения для тестирования уязвимостей сети, которая анализирует уязвимости сети с помощью распределенной атаки типа «отказ в обслуживании» (DDoS). PyLoris имеет удобный графический интерфейс пользователя (GUI), который обеспечивает простоту использования. Он поможет вам контролировать плохо обрабатываемые одновременные соединения и управлять DDoS-атаками в режиме онлайн. С помощью SOCKS-прокси и SSL-соединений эта программа может начать DoS-атаку на сервер. Среди протоколов, которые она может атаковать, — HTTP, IMAP, FTP, SMTP и Telnet.  Программа имеет зависимость от python, но ее установка также может быть затруднена. Тем не менее, она может проводить атаки на различные протоколы.

Особенности:

• Для запуска PyLoris можно использовать Python.
• Он имеет удобный графический интерфейс пользователя (GUI).
• Благодаря этому инструменту вы можете атаковать, используя заголовки HTTP-запросов.
• Linux, Mac OS и Windows поддерживаются этой утилитой.
• Используется новейшая кодовая база (кодовая база — это коллекция исходного кода, используемая для создания определенной программной системы).
• С шапкой из 50 нитей и общим количеством 10 соединений, он имеет более сложную альтернативу.

TORS HAMMER

Атаки внутри сети Tor возможны с помощью молотка Tor. Для того чтобы анонимизировать атаку и ограничить доступные методы смягчения последствий, молоток Tor был создан для работы через сеть Tor. Этот онлайн-инструмент DDoS может использоваться для атак на веб-серверы и веб-приложения. Уровень 7 модели OSI описывает его работу. Утилита открывает множество «мертвых» соединений, что приводит к зависанию приложения, поскольку оно не может отправить ответ. Однако она разработана специально для скрытых атак, а не для сокрушительного движения, как настоящий молот Тора. Утилита использует анонимность, чтобы пройти через брандмауэры и средства защиты.

Особенности:

• В нем хранятся HTTP POST запросы и соединения от 1000 до 30000.
• Он позволяет нам создавать разметку насыщенного текста, используя Markdown (инструмент синтаксиса форматирования обычного текста).
• Молоток Tor’а автоматически преобразует URL в ссылки.
• С помощью этого инструмента мы можем быстро связать другие артефакты в нашем проекте.
• Tor’s Hammer использует ресурсы веб-сервера, создавая несколько сетевых соединений.

DAVOSET

С помощью программы DAVOSET можно начать DDoS-атаки, злоупотребляя любой функцией веб-сайта. Злоупотребляя функциональностью любого веб-сайта, пользователи этого программного обеспечения могут начать DDoS-атаки. Программа командной строки DAVOSET упрощает проведение широкомасштабных атак типа «отказ в обслуживании». Для связи между веб-сайтами обычно используются структуры, применяемые в данном контексте. Она использует недостатки внешних сущностей XML, среди прочих структур. DAVOSET — это инструмент DDoS-атак с открытым исходным кодом, который прост в использовании. Пользователи могут использовать командную строку для атаки сайтов, используя список зомби-серверов, а также удалять нерабочие сервисы из списков зомби-серверов.

Особенности:

• Одним из инструментов DDoS, поддерживающих cookies, является этот.
• Доступен интерфейс командной строки для этой DDoS-атаки на программное обеспечение с открытым исходным кодом.
• Кроме того, DAVOSET может помочь нам противостоять атакам, использующим внешние сущности XML (атака на приложение, анализирующее входные данные XML).

GOLDEN EYE

На GitHub можно загрузить GoldenEye, бесплатную программу с открытым исходным кодом. Выполняя HTTP-запрос к серверу, программа запускает DDoS-атаку. Для предотвращения разрыва сокетного соединения она использует сообщение KeepAlive в сочетании с параметрами cache-control. Для создания фреймворка для этой утилиты использовался .NET Core. Мы можем использовать многочисленные базовые классы и расширения, предоставляемые этой утилитой, в нашей повседневной работе. Серверы — единственная аудитория для GoldenEye. Хотя он был создан как тестовый инструмент для серверов, хакеры нашли способы его эксплуатации и теперь могут использовать его в сложных DDoS-атаках.

Особенности:

• Это один из простых в использовании инструментов DDoS, написанных на языке Python.
• GoldenEye — это бесплатный инструмент с открытым исходным кодом, который можно загрузить с GitHub.
• Для проведения атаки типа «отказ в обслуживании» GoldenEye может генерировать значительный объем трафика ботнета.
• В GoldenEye используется полностью легальный HTTP.
• Этот инструмент позволяет проводить DDoS-атаки на любой веб-сервер.
• GoldenEye бомбардирует цель запросами, что вызывает большой трафик от ботнетов.

RUDY

Are You Dead Yet? — это сокращение от RUDY. Это бесплатный инструмент DDoS-атаки, который упрощает проведение DDoS-атаки в Интернете. RUDY — популярный инструмент для низких и медленных атак, ограничивающий количество сессий веб-сервера, он нацелен на облачные сервисы. RUDY используется в сочетании с дополнительными инструментами. Первый шаг — найти серверы со встроенными веб-формами. С помощью RUDY можно проводить HTTP DDoS-атаки путем отправки полей длинной формы. Когда такие серверы определены, а формы отмечены, инструмент атаки RUDY используется для отправки HTTP-запросов с необычайно большим содержимым.

Особенности:

• Это простой и удобный инструмент.
• Он автоматически просматривает целевой DDoS-сайт и обнаруживает встроенные веб-формы.
• RUDY позволяет проводить HTTP DDoS-атаки с использованием длинных полей.
• Этот инструмент предоставляет интерактивное консольное меню.
• Этот инструмент бесплатной DDoS-атаки автоматически определяет поля формы для отправки данных.

SLOWLORIS

SlowLoris, несомненно, является одним из лучших инструментов для DDoS-атак. Slowloris доказал свою эффективность в тестах против известных программ для веб-серверов, включая Apache. Он работает, открывая столько соединений с целевым веб-сервером, сколько может, и поддерживая их открытыми столько времени, сколько может. Благодаря простому, но элегантному дизайну, атака потребляет очень мало пропускной способности и воздействует только на веб-сервер на целевом узле, практически не оказывая негативного влияния на другие службы или порты. Злоумышленники также могут подключаться к серверу жертвы и держать эти соединения открытыми столько, сколько потребуется, используя программу SlowLoris.

Особенности:

• Slowloris использует полностью легальный HTTP-трафик.
• Этот инструмент позволяет проводить DDoS-атаки на любой веб-сервер.
• Мы можем получить этот инструмент бесплатно с GitHub, поскольку он имеет открытый исходный код.
• Для проведения атаки типа «отказ в обслуживании» Slowloris может генерировать значительный объем трафика ботнета.
• Забрасывая цель запросами, Slowloris создает ботнет с высоким трафиком.

DDOSIM (симулятор DDoS)

Эта программа в основном используется для моделирования DDoS-атак прикладного уровня на определенные хосты. Для запуска атак уровня 7 на эти серверы, этот инструмент генерирует несколько фиктивных хостов. На основании того, как механизм безопасности сервера справился с этой атакой, оценивается его сила. Утилита создана на C++ и лучше всего работает на LINUX, хотя может быть модифицирована для работы на других операционных системах. Она использует множество стратегий атаки, чтобы продемонстрировать разнообразие подходов и широту когнитивного процесса хакера. DOSIM имитирует несколько зомби-хостов (со случайными IP-адресами). Полные TCP-соединения устанавливаются с целевым сервером. После установления соединения DDOSIM начинает разговор с прослушивающей программой.

Особенности:

• Этот DDoS-тест показывает, может ли сервер противостоять атакам, направленным на конкретное приложение.
• Благодаря ему вы можете устанавливать полные TCP-соединения с целевым сервером.
• DDoSIM предлагает множество способов начать сетевую атаку.
• На любом сетевом порту может возникнуть поток TCP-соединений.

HOIC

Широко используемый и бесплатный инструмент для DDoS-атак HOIC доступен на платформах Linux, Windows и Linux. Помимо возможности отправлять различные виды пакетов, HOIC обладают более высокой скоростью генерации запросов, чем LOIC. Используя запросы HTTP POST и HTTP GET, HOIC может осуществлять DDoS-атаки. HOIC может производить до 250 мусорных пакетов в секунду и отправлять их в качестве запросов на серверы. Атаки этого инструмента не производят больших объемов. По мере повышения сложности этих атак их обнаружение становится все более трудным. Уже включенные скрипты-бустеры помогают злоумышленникам избежать обнаружения. Многие пользователи HOIC используют шведские прокси в дополнение к бустерным скриптам, чтобы скрыть свое местоположение.

Особенности:

• Высокоскоростной HTTP-поток с несколькими потоками
• Одновременно может быть атаковано до 256 сайтов DDoS.
• Вы можете измерить мощность с помощью счетчика, которым он оснащен.
• Эта программа, устойчивая к DDoS, переносится на Linux и Mac OS.
• Количество нитей, используемых в текущей атаке, зависит от вас.
• Пользователи могут контролировать атаки, используя низкий, средний и высокий уровни инструмента.

PRTG

Как инструмент, существующий с 1997 года, PRTG (Paessler Route Traffic Grapher) не участвует в атаках напрямую. Однако принцип его работы может быть полезен для смягчения последствий DDOS-атак. В основном он используется в качестве статистического инструмента для мониторинга трафика сервера и объема используемой полосы пропускания, а также для оповещения при обнаружении каких-либо нарушений в этой деятельности. Она известна своими высокоразвитыми возможностями управления инфраструктурой. Используя такие технологии, как SNMP, WMI, Sniffing, REST APIS, SQL и другие, программа следит за ИТ-инфраструктурой. Она также хорошо противостоит атакам типа «отказ в обслуживании» и имеет интуитивно понятный пользовательский интерфейс.

Особенности:

• С помощью пингования заранее определенных диапазонов IP-адресов PRTG может проверять сегменты сети.
• Она помогает потребителям создавать веб-страницы с самыми последними данными мониторинга в предпочтительном оформлении.
• Простое и адаптируемое оповещение.
• Разнообразие пользовательских интерфейсов
• Пользователи получают уведомления при обнаружении предупреждений или аномальных измерений сети.

OWASP DDOS HTTP POST

Проект Open Web Application Security Project — это то, что означает OWASP. С помощью этого инструмента пользователи могут проверить, насколько устойчива безопасность их онлайн-приложения к распространенным DDOS-атакам. В зависимости от того, кто его использует, он невероятно успешен как в качестве симулятора атаки, так и в реальных атаках. Кроме того, самой простой техникой проверки системы на угрозы прикладного уровня является OWASP HTTP Post. В результате, атаки сетевого и транспортного уровней с его помощью невозможны. По словам автора, эти инструменты легче обнаружить. Недостаток HTTP GET DDOS заключается в том, что он не работает на веб-серверах IIS или веб-серверах с ограничениями по таймауту для HTTP-заголовков.

Особенности:

• Коммерческое использование абсолютно бесплатно.
• Пользователи могут проводить атаки типа «отказ в обслуживании» с одной машины.
• Результаты могут быть доступны пользователям в соответствии с предлагаемой лицензией.
• Он позволяет пользователям делиться инструментом и передавать его другим людям.
• Он помогает пользователям определить мощность сервера.
• С помощью этой программы можно проверить наличие угроз прикладного уровня.

Sucuri

Sucuri — это бесплатная DDoS-программа, которая защищает вас от потенциальных атак. С помощью Web Application Firewall она обеспечивает комплексную защиту вашего сайта от вирусов и хакеров (WAF). WAF блокирует большинство вредоносных действий и не позволяет хакерам проникнуть в вашу систему. Sucuri также защищает вас от взлома паролей методом перебора. Важная информация для входа на ваш сайт не будет скомпрометирована или раскрыта таким образом. Подход Sucuri к защите от сетевых атак включает в себя инвестирование в ресурсы во всех точках PoP. Он построен на основе сети Anycast, которая позволяет распределять весь входящий трафик по сети и явно блокирует весь трафик, не связанный с HTTP/HTTPS.

Особенности:

• Ему нужны только учетные данные веб-сервера и обновление DNS, что делает настройку простой.
• Они останавливают DDoS-атаки на уровнях 3, 4 и 7.
• Они предлагают функцию Protect Page Feature, которую можно активировать, добавив пароли, CAPTCHA, 2FA и другие меры безопасности на определенные важные веб-сайты.
• Он защищает от вредоносных программ и взломов с помощью брандмауэра веб-приложений (WAF).
• Они постоянно контролируют все политики сервера и обновления патчей, которые защищают ваш сайт.

Hyenae

Hyenae (приложение для Linux) — это программа для моделирования атак, которая включает в себя кластеризуемый удаленный демон, интерактивный помощник атаки и возможность моделирования различных ситуаций MITM, DoS и DDoS атак. Она известна тем, что является чрезвычайно адаптируемой и универсальной. Его можно использовать для проведения различных DDOS-атак в контролируемых условиях. Поэтому он часто является лучшим инструментом для проведения PEN-тестирования. Благодаря интеллектуальной рандомизации адресов на основе подстановочных знаков и очень настраиваемому управлению генерацией пакетов, Hyenae также поставляется с удаленным демоном для создания распределенных сетей атак. Это очень гибкий и независимый от платформы генератор сетевых пакетов.

Особенности:

• Отравление ARP-кэша и переполнение ARP-запросов.
• Наводнение сеанса PPPoE и слепое завершение сеанса
• Сброс TCP-соединения на основе ICMP, атака Smurf на основе ICMP и Echo flooding на основе ICMP.
• TCP-SYN flooding, TCP-Land attack, Blind TCP-Connection reset и TCP-Land attack.
• UDP flooding.
• Активный захват маршрутизатора Cisco HSRP.
• Интеллектуальная рандомизация с использованием подстановочных знаков.
• Конфигурация адресов пакетов на основе шаблонов.
• Поддержка HyenaeFE QT-Frontend.

Hping

Эффективным инструментом DDoS-атак является Hping. Он используется для передачи пакетов через TCP/IP, UDP, ICMP и SYN/ACK и отображения ответов цели, подобно тому, как это делает программа ping для ответов ICMP. С его помощью можно успешно провести даже трехстороннюю сетевую атаку на ответ сервера. Она может практически передавать любые протокольные пакеты на нужные серверы. Тем не менее, он особенно известен тем, что показывает реакцию целей в сценарии атаки, что указывает на то, что он также является полезным инструментом моделирования DDoS. Однако Hping больше не находится в активной разработке. Пользователи время от времени предлагают изменения, которые затем включаются в основное дерево исходников. Репозиторий Hping на Github является штаб-квартирой разработчиков.

Особенности:

• Расширенное тестирование производительности сетей.
• Превосходное сканирование портов.
• Реализуйте трехстороннюю атаку сетевого ответа сервера.

XOIC

Еще одним отличным инструментом для DDoS-атак является XOIC. Это еще одна программа для Windows, которая может безошибочно запускать DoS/DDoS-атаки. Создатель XOIC утверждает, что он более мощный, чем мультиплатформенный LOIC с открытым исходным кодом. В режиме атаки XOIC использует дополнительный ICMP-флуд. XOIC также содержит тестовый режим, который можно использовать для оценки эффективности хоста, запускающего атаку, хотя оба типа атак связаны с трафиком. Однако XOIC можно рассматривать как преимущество для поражения этих целей, если вы работаете с крошечными обычными веб-сайтами. Существует три различных варианта атаки. Режим по умолчанию, типичный режим атаки DOS и режим DoS-атаки на основе TCP/HTTP/UDP/ICMP.

Особенности:

• Простой в использовании графический интерфейс
• Он предлагает три различных варианта атаки.
• Обычный режим DoS-атаки TCP/HTTP/UDP/ICMP
• Режим тестирования покажет, сколько времени требуется вашему компьютеру для обработки 10 000 запросов.
• Атака на отказ в обслуживании на основе сообщений TCP/HTTP/UDP/ICMP

THC-SSL-DOS

Хакерская группа The Hacker’s Choice (THC) создала DOS THC-SSL в качестве доказательства концепции, чтобы убедить производителей исправить критическую уязвимость SSL. Закрывая каждое SSL-соединение, она вызывает задержку сервера. Возможно использование всего одной машины. Он работает путем запуска обычного SSL квитирования, а затем сразу же запрашивает повторное согласование ключа шифрования. Этот ресурсоемкий запрос на повторное согласование повторяется до тех пор, пока не будут израсходованы все ресурсы сервера. Этой асимметричной особенностью пользуется THC-SSL-DOS, которая перегружает сервер и выводит его из сети. Одно TCP-соединение используется в этой атаке для запуска тысяч повторных переговоров, используя функцию безопасного повторного согласования SSL.

Особенности:

• SSL secure Renegotiation

Эталон сервера обеспечивается инструментом эталонного тестирования Apache (особенно HTTP-серверов). Определить скорость сервера веб-сайта можно с помощью Apache Bench (ab), широко известного инструмента для тестирования нагрузки HTTP и бенчмаркинга производительности. С другой стороны, он используется для отслеживания статистики веб-сервера в режиме реального времени. В результате его легко модифицировать для широкомасштабных атак, исходящих из одного источника. После запуска приложения в течение одной минуты, удобный интерфейс выдает результаты. Веб-сервер Apache автоматически устанавливает Apache Bench (AB), хотя пользователь может установить его и отдельно как инструмент Apache. API ASP.NET Core также могут быть использованы с Apache Bench.

Особенности:

• С его помощью можно мгновенно отслеживать статистику вашего веб-сервера.
• Его можно использовать для проведения нагрузочных испытаний.
• Его пользовательский интерфейс прост в использовании.
• Он совместим с API Asp.NET Core.

Часто задаваемые вопросы

Законны ли средства DDoS-атак? DDoS-атаки могут быть катастрофическими для бизнеса, поскольку они лишают текущих и потенциальных клиентов доступа к их веб-сайту. Однако DDoS-атака является незаконной и подлежит юридическому наказанию. С другой стороны, инструменты DDoS-атаки являются зависимыми. Эти инструменты были созданы с единственной целью мониторинга, тестирования и блокирования DDoS-атак. Тесты DDoS-атак — это реальные, контролируемые атаки, которые помогают найти уязвимые места в вашей системе и разработать стратегию защиты вашего бизнеса. Однако существует еще несколько инструментов DDoS, которые могут нанести вред в руках пользователя со злыми намерениями.

Можно ли использовать инструменты DDoS-атаки для проведения реальной DDoS-атаки? Да, их можно использовать для взлома сервера, чтобы вывести из строя надежные веб-серверы. Однако следует помнить, что эти инструменты DDoS-атаки изначально не были созданы для проведения атаки. Многие из них созданы для имитации кибератак, чтобы люди могли узнать, как работают кибер-DDoS операции, а не для реальных незаконных атак. В руках злонамеренного пользователя инструмент может вызвать хаос.

Какой инструмент для DDoS-атак является лучшим? Тема выбора лучшего инструмента субъективна. В зависимости от функциональности, которая вас интересует. Для ускорения и автоматизации таких кибератак существует множество решений для DDoS-атак. SLOWLORIS использует HTTP-заголовки, тогда как DDoSIM и Tor’s Hammer работают на седьмом уровне архитектуры OSI. Вредоносный трафик рассеивается HOIC и LOIC с помощью бустерных кодов, что затрудняет идентификацию атаки. HULK и Golden Eye были впервые разработаны для тестирования, но теперь используются и в коварных целях. Учитывая обилие доступных инструментов для DDoS-атак, очень важно убедиться, что функции инструмента соответствуют вашим потребностям.

Заключение

Для предотвращения атак на безопасность вашей системы, если вы специалист по кибербезопасности, будет выгодно, чтобы вы были максимально знакомы с этими технологиями. Кроме того, для ускорения и автоматизации таких кибератак существует ряд инструментов DDoS-атак. Существуют различные инструменты DDoS-атак, и некоторые из них вредны и полезны для проведения симуляций. В этой статье мы рассмотрели несколько подходящих из них и их роль. Если вы ищете надежный и безопасный инструмент для DDoS-атак, вам следует начать с них.

Просмотров: 147

Распределенные атаки типа «отказ от обслуживания» (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Атаки DoS и DDoS часто встречаются в мире интернет-безопасности. Во-первых, они не направлены на уязвимости, которые могут быть исправлены; во-вторых, каждый отдельный пакет является вполне легитимным — лишь их совокупность приводит к разрушительным последствиям, и, в-третьих, такие атаки носят продолжительный характер – они длятся несколько часов или дней, вместо нескольких секунд или минут.

В течение многих лет атакам DoS и DDoS не уделяли должного внимания, поскольку они считались нишевыми. Ситуация резко изменилась в 2011 году, когда группа Anonymous выбрала DoS/DDoS-атаки в качестве основного метода нападения. Воодушевленная мощностью и разрушительными последствиями такой атаки, группа Anonymous превратила ее в основной метод борьбы, привлекая к нему внимание не только сообщества специалистов по безопасности, но и широкой публики. Несмотря на то, что активность группы снизилась в 2012 году, она заложила основу для дальнейшего развития данного типа атак. Многие группы хакеров начали использовать DoS/DDoS – хактивисты, финансово мотивированные преступные организаций и даже правительственные структуры заинтересовались открывающимися возможностями.

• Ошибки в программном коде, для эксплуатации которых применяются специальные эксплойты – программы, или фрагменты кода, использующие уязвимости в ПО, в ходе атаки. WinNuke и Ping of death – примеры эксплойтов, неспособных установить контроль над системой врага, но успешно осуществляющих ddos-атаку.
• «Недопроверка» пользовательских данных — приводит к повышенному длительному потреблению ресурсов процессора, либо к выделению большого объёма оперативной памяти (вплоть до исчерпания процессорных ресурсов и доступной памяти).
• Флуд (от англ. flood —«переполнение») — большое количество бессистемных и бессмысленных вопросов к системе с целью вывести ее из строя (причины — исчерпания ресурсов системы: памяти, процессора или каналов связи).
• Атака второго рода — вызывает ложное срабатывание системы защиты и приводит к недоступности ресурса.

По прогнозам аналитиков Gartner, в 2013 году до 25% распределенных атак с отказом в обслуживании будет нацелено на конкретные приложения. С помощью целевых DDoS-атак и социальной инженерии мошенники пытаются проникнуть в банковские системы, предупреждают аналитики.

Первые подобные атаки против банков были отмечены в США во второй половине 2012 года. Через каналы Интернет на банковские сайты иногда направлялось в секунду до 70 гигабит шумового трафика. До сих пор большинство атак на уровне сети поглощало не более пяти гигабит в секунду. Переход на уровень приложений и повышение интенсивности атак приводило к полной невозможности использования сайтов.

Но основной задачей DDoS-атак, по мнению аналитиков, является отвлечение внимания служб безопасности банков. В отчете Gartner приводятся примеры того, как мошенники входят в доверие к клиентам банков, представляясь сотрудниками полиции или служащими банка, которым поручено помочь клиенту перейти на новый счет.

Аналитики рекомендуют внедрение многоуровневых технологий защиты от DDoS-атак, предотвращения мошенничества и удостоверения личности.

Теоретические основы

• DoS и DDoS атаки. часть № 1 теоретические основы

• DoS и DDoS атаки. Часть № 2 Арсенал противника

• DoS и DDoS атаки. Часть № 3. Сканирование

Тенденции развития инструментов атаки

DDoS – «Сделай сам»

Инструменты для организации DDoS-атак превратилась в предмет торговли. Конечно, их еще нельзя найти в свободной продаже в интернет-магазинах, но на нелегальных сайтах можно найти огромное количество различных вариантов – пакеты инструментов DDoS, прайс-листы и даже услуги организации DDoS-атак. Доступность таких DDoS пакетов снизила требования к организации сетевых атак и атак на приложения. Любой желающий, от частных лиц до криминальных киберорганизаций, может легко настроить ботнет для запуска атаки.

Пакеты инструментов для DDoS-атак

Пакеты инструментов, для использования которых не требуется писать код или быть опытным хакером, позволяют новичкам легко настроить ботнет. Пакет инструментов для DDoS-атак представляют собой пакет ПО, состоящего из двух компонентов — конструктора ботов и сервера управления.

• Bot Builder — инструмент для пошагового создания ботов с графическим интерфейсом, который позволяет атакующему создать исполняемый файл (бот), распространяемый на компьютеры, которые будут являться частью ботнета. Созданный бот содержит адрес сервера управления, с которым он может обмениваться данными.
• Центр управления (Command and Control, C&C) — представляет собой страницу администратора, которая используется злоумышленником для отслеживания состояния ботов и отправления команд.

Сразу после установки C&C и подготовки исполняемого бота, злоумышленник должен передать бот как можно большему количеству других компьютеров, которые станут частью ботнета, используя общедоступные методы, такие как социальная инженерия и атаки для попутной загрузки, когда веб-браузер, будь это Internet Explorer или Chrome, используется для того, чтобы обманным образом побудить пользователя загрузить и запустить вредоносное ПО. Как только армия ботов достигает нужных размеров, можно запускать атаку.

Как любые профессиональные разработчики ПО, разработчики инструментов для DDoS-атак совершенствуют свои продукты и выпускают новые версии, которые затем публикуются и продаются. В мире нелегального ПО большинство таких пакетов представляют собой версии других ботов, исполняемые файлы и/или исходный код которых был изменен и переименован. Группа инструментов, произведенных от общего источника, обычно называется «семейством».

DDoS-атаки на заказ

Распространенность DDoS-программ способствовала также появлению услуг заказных DDoS-атак. Преступные киберорганизации пользуются простотой применения пакетов для DDoS, чтобы на различных нелегальных форумах предлагать услуги выполнения таких атак.

Типичный «бизнес-сценарий» заказа DDoS-атаки может включать такие предложения, как «вывести из строя веб-сайт конкурентов» или, наоборот, применить вымогательство типа «заплатите нам за то, чтобы мы не выводили из строя ваш сайт».

Опасности IoT-устройств

• Университет Твенте, Нидерланды: В 2012 году произведено 9 млрд IoT устройств и ожидается, что в 2020 году их будет не менее 24 млрд
• Согласно оценкам Cisco, процент интернет-трафика, генерируемого устройствами, не являющимися персональными компьютерами, увеличится почти 70% до 70% к 2019 г.
• IoT-устройства, скомпрометированные вредоносными программами, могут стать платформой для нежелательного трафика
• Вычислительные мощности IoT-устройств (домашних роутеров) превышают профильные требования к данным устройствам
• Используя среднюю скорость соединения 15,85 Мбит/с (данные операторов связи), для генерирования DDOS-атаки шириной 586 Гб/с требуется приблизительно 37 890 устройств

TCP Middlebox Reflection — усиление атак в 65 раз

Основная статья: TCP Middlebox Reflection

На что нацелена DDos-атака

Чтобы эффективно защититься от ddos-атак, необходимо разграничивать потенциальные опасности. В зависимости от объекта атаки:

• Ресурсоемкие пакеты с поддельными адресами «забивают» каналы связи, что усложняет или блокирует доступ на сайт легитимных пользователей. Широкая пропускная способность каналов связи поможет защититься от атак этого типа.
• Если атаке подвергаются ресурсы системы, то ее производительность снижается, в результате чего система работает медленно или зависает. Атакующим прекрасно известно, какие пакеты данных нужно отправить компьютеру-жертве для загрузки.
• Уязвимости ПО использует разрушающая атака, которая может изменить конфигурацию и параметры системы. Любые несанкционированные изменения должны отслеживаться и устраняться. Свой скрипт защиты от ddos применятеся в каждом отдельном случае.

Уязвимыми элементами являются сервер, межсетевой экран и канал интернет

• Серверы являются уязвимыми по той простой причине, что злоумышленники часто организуют свои атаки таким образом, чтобы они потребляли больше ресурсов, чем те, которыми обладает сервер.
• Интернет-канал становится уязвимым для атак, которые нацелены на истощение пропускной способности, и называются «объемный флуд». К таким атакам относятся UDP-флуд или TCP-флуд, потребляющие много пропускной способности канала.
• Несмотря на то, что межсетевой экран является инструментом обеспечения безопасности и не должен служить уязвимым местом для DoS/DDoS-атаки, во время проведения таких атак, как SYN-флуд, UDP-флуд и переполнение соединения, злоумышленники могут генерировать многие состояния, что истощают ресурсы межсетевого экрана до тех пор, пока он сам не становится слабым местом инфраструктуры

Атаки на CDN

• Основная статья: DoS-атаки на сети доставки контента, CDN Content Delivery Network

Атака на сайт

Цель одна – «подвесить» систему, вывести Ваш сайт из строя. Конкуренты на рынке разбираются друг с другом с помощью профессиональных хакеров. Существует даже так называемый ddos-бизнес. Защита от ddos-атак в таких условиях просто необходима. В свое время ddos-атакам подвергались, например, сайт газеты «Коммерсантъ», радиостанции «Эхо Москвы» и даже сайт Кремля, также часто жертвами становятся сайты банков и интернет-магазины. В зависимости от сезона атакуются разные сайты.

Обычной практикой становится превентивная защита от DDoS-атак. Как сообщают наши эксперты, многие компании, сталкивавшиеся в прошлом с атаками, встают на защиту от кибератак еще за месяц до начала «высокого» для своего бизнеса сезона.

Защита должна быть активирована на всех уровнях:

• Провайдер может предоставить базовую защиту. Также мы советуем приобретать хостинг с защитой от ddos. Это многоуровневая система, которая защитит Ваш сайт от атаки.
• Защититься от ddos-атак на уровне сети поможет межсетевой экран и файрвол. При ddos-атаке на сервер это поможет распознать угрозу и выиграть время для защиты, а небольшая атака может быть остановлена и этими средствами.
• Важно использовать актуальное оборудование, что поможет защититься от ddos на уровне hardware. Также необходимо следить за тем, чтобы программное обеспечение не имело ошибок и уязвимостей.

DDoS-атаки в России

• Основная статья: DDoS-атаки в России
• Основная статья: DDoS-атаки на банки в России

DDoS-атаки в медицине

• Основная статья: [[DDoS-атаки в медицинеъъ

Защита от DDoS-атак

Основная статья: Защита от DDoS-атак

Destruction of Service, DeOS (прерывание обслуживания)

Основная статья по этой теме опубликована здесь.

2023

Россия заняла 4-е место в мире по числу DDoS-атак на госорганы и компании

Россия по итогам 2022 заняла 4-е место в мире по числу DDoS-атак на госорганы и компании. Об этом свидетельствуют обнародованные 17 января 2023 года данные компании StormWall, работающей в сфере кибербезопасности.

Согласно исследованию, странами-лидерами по количеству DDoS-атак в 2022 году были Китай и Индия. Доля РФ в общем объеме таких кибернападений — 8,4%.

В StormWall проанализировали показатели атак на различные индустрии в 2022 году и определили, что большинство DDoS-атак в мире было направлено на финансовую отрасль (28% от общего числа атак), телекоммуникационную сферу (18%), госсектор (14%) и ритейл (12%). Кроме того, злоумышленники организовали много DDoS-атак на развлекательную сферу (10%) и сферу страхования (7%).

Отмечается, что число DDoS-атак на финансовый сектор выросло в 18 раз, на телеком-сферу — в 12 раз, на госсектор — в 25 раз, на ритейл — в 8 раз. Также был зафиксирован значительный рост атак на другие индустрии: число атак на развлекательную сферу выросло в 4 раза, на сферу страхования в 12 раз, на СМИ — в 30 раз, на сферу образования — в 2 раза и на логистическую отрасль — в 4 раза.

Большинство атак в 2022 году осуществлялось по протоколу HTTP/HTTPS (78%). На втором месте находятся атаки по протоколу TCP/UDP (16%), атаки по протоколу DNS составили 2%, остальные атаки 4%. Максимальная мощность достигала 2 Тбит/с или 1 млн. запросов в секунду благодаря использованию ботнетов для организации атак. Важной особенностью 2022 года стало увеличение продолжительности атак: в 2021 году атаки длились в среднем 4 часа, а в 2022 году атаки продолжались в среднем уже 8 часов.

По мнению экспертов, число кибератак на другие отрасли также будет планомерно расти, при этом DDoS-атаки будут чаще использоваться для маскировки других целевых атак для нарушения работоспособности систем и кражи персональных данных. При этом в данный момент нет причин прогнозировать существенный рост атак на другие индустрии, поскольку атаки политически мотивированных активистов к концу 2022 года практически прекратились.

Специалисты ожидают роста числа киберинцидентов до 300% на нефтегазовый сектор и энергетическую отрасль в феврале и марте 2023 года в связи с огромным влиянием этих индустрий на текущую политическую ситуацию в мире. ^[1]

В Дании хакеры вывели из строя сайты ЦБ и семи банков

10 января 2023 года стало известно о том, что злоумышленники нарушили работу веб-сайтов центрального банка Дании и семи частных банков страны. Подробнее здесь.

2022

Общее число DDoS-атак в мире выросло в 2022 году более чем на 73%

27 января 2023 года компания Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представила статистику DDoS-атак и BGP-инцидентов в 2022 году.

По информации компании, 2022 год стал не просто рекордным, а беспрецедентным по количеству DDoS-атак и их интенсивности. Минимальные показатели последних десяти месяцев прошедшего года были на порядок выше пиковых значений в дофевральский период.

В начале 2022 года большинство атак было базового уровня, и только в 4 квартале вместе с ростом DDoS-активности мы стали наблюдать увеличение сложности нападений. В определенный момент базовые атаки перестали быть результативными: индустрия научилась с ними бороться, и злоумышленники начали эскалацию сложности, чтобы добиться результата.

По сравнению с 2021 годом, в 2022 году общее количество атак выросло на 73.09%. Самыми атакуемыми секторами оказались СМИ (18,5%), банки (9,9%) и платежные системы (13%).

Банки и платежные системы – это самый прибыльный сектор с точки зрения организации атак, а средства массовой информации всегда находятся на острие атаки, когда происходят любые социально-политические конфликты в обществе. отметил Александр Лямин

Наибольшее число атак пришлось на первый квартал 2022 года – 43,2%, во втором и третьем квартале количество нападений стало снижаться – 23,3% и 20,5% соответственно. В четвертом квартале было зафиксировано 13,11% атак.

Длительность DDoS-атак возросла в десятки раз за 2022 год, по сравнению с 2021. Так, если в первом квартале 2021 года максимальная продолжительность
нападений составляла 10 часов, то в аналогичном периоде 2022 года этот показатель был равен 10 с половиной суткам. Помимо увеличения интенсивности
атак, начиная с 4 квартала 2022 года, наблюдается рост сложности и изощренности нападений.

Если ранее атакующие стремились оптимизировать время использования ботнетов, то, начиная с 2022 года, им стали доступны ресурсы, позволяющие продолжать атаку неделями напролёт. Количественный пик атак определённо уже пройден: массовые незатейливые атаки, которые многие ресурсы быстро «валили с ног», свое отработали. Теперь в соревновании брони и снаряда ожидается следующий этап: вместо массовости, перед злоумышленниками стоит задача обеспечения результативности. Будет расти изощренность нападений, и методы их нейтрализации, которые были эффективными еще вчера, завтра с большой вероятностью работать не будут. Количество атак начнет падать, а их сложность будет расти. В 2023 году мы ожидаем усиление атак уровня приложений (Application Layer) – это изощренные атаки, трафик которых мимикрирует под поведение обычных пользователей. Подобные нападения чрезвычайно трудно выявлять и нейтрализовывать. прокомментировал Александр Лямин

В 2022 году число автономных систем (АС), затронутых перехватами трафика, сократилось почти в 2 раза – c 4778 в 2021 году до 2576 в 2022-м.

Количество российских автономных систем, которые анонсировали чужие подсети, то есть перехватывали трафик, также уменьшилось с 871 АС в 2021 году
до 649 в 2022-м.

Прослеживается положительная тенденция – число аномалий маршрутизации – перехватов трафика, как ошибочных, так и злонамеренных, начинает постепенно снижаться. Связано это, в первую очередь, с тем, что ряд операторов связи в 2022 году внедрили механизмы защиты от аномалий маршрутизации, такие как RPKI (Resource Public Key Infrastructure), кроме того, под давлением Tier-1- поставщиков владельцы клиентских автономных систем начинают более корректно настраивать свои сети. дополнил Александр Лямин

ИТ-инфраструктура правительства Сербии вышла из строя после массированной DDoS-атаки

7 января 2023 года правительство Сербии сообщило о массированных DDoS-атаках, нацеленных на веб-сайт и ИТ-инфраструктуру Министерства внутренних дел страны. Работа онлайн-сервисов была нарушена. Подробнее здесь.

ФБР накрыло 48 доменов DDoS-наемников

Министерство юстиции США конфисковало 48 доменов и предъявило обвинения шести подозреваемым в администрировании booter-сервисов. Кроме того, подозреваемые обвинены в использовании IP-стрессеров против чужих сетей и серверов, что является нарушением закона. Об этом стало известно 15 декабря 2022 года.

Booter’ы, также известные как booter-сервисы, представляют собой услуги DDoS-атак, предоставляемые по запросу и предлагаемые предприимчивыми преступниками с целью вывести из строя веб-сайты и сети. Другими словами, booter’ы – это незаконное использование IP-адресов.

Как выяснили специальные агенты ФБР, киберпреступники оплачивают услуги таких сервисов криптовалютой.

И хотя почти все сайты booter’ов/стрессеров заставляют пользователя принять соглашение, в котором прописан запрет на использование услуг для проведения атак, владельцы таких платформ сами рекламируют их на хакерских форумах.

Недавно прокуратура США объявила о предъявлении обвинений шести лицам за администрирование booter-сервисов. Среди подозреваемых – один человек из Техаса, трое из Флориды, один из Нью-Йорка и еще один с Гавайев, которые предположительно управляли платформами RoyalStresser.com, SecurityTeam.io, Astrostress.com, Booter.sx, Ipstressor.com и TrueSecurityServices.io.

А в рамках более масштабной операции против DDoS-наемников, которая получила название Operation PowerOFF, ФБР и международные правоохранительные органы смогли конфисковать 48 интернет-доменов, используемых booter-сервисами по всему миру. Кроме того, правоохранители работают над тем, чтобы на всех конфискованных доменах было сообщение о том, что использование подобных сервисов незаконно^[2].

На Google обрушались мощнейшая DDoS-атака в истории

18 августа 2022 года Google сообщил о крупнейшей из когда-либо зафиксированных компанией распределенных атак по принципу «отказ в обслуживании» (DDoS). Постарадал один из клиентов компании, пользующихся ее облачными услугами. Подробнее здесь.

Найден способ усиления DDoS-атак в 65 раз

Аналитики компании Akamai сообщили, что все чаще наблюдают применение в DDoS-атаках приема, который позволяет усиливать их в 65 раз. В результате злоумышленники, используя очень ограниченные ресурсы, могут запускать атаки катастрофических масштабов и надолго выводить целевую инфраструктуру из строя. Об этом стало известно 16 марта 2022 года.

Прием получил название TCP Middlebox Reflection — отраженные атаки с использованием промежуточных устройств TCP. Промежуточным устройством называется сетевой аппарат, производящий инспекцию пакетов или фильтрацию контента, которым обмениваются другие интернет-устройства. В частности, такие аппараты применяются в система глубокой инспекции пакетов (DPI).

В августе 2021 г. исследователи из нескольких американских университетов описали технологию атаки, которая использует такие устройства для усиления DDoS. Идея заключается в том, чтобы использовать уязвимые файерволы и системы реализации политик фильтрации контента в промежуточных устройствах, используя специально подготовленные последовательности TCP-пакетов, на которые эти устройства вынужденно дают особенно массированный ответ.

В частности, на специальный 33-байтных SYN-пакет систему можно заставить выдавать ответ размером 2156 байт, то есть, коэффициент усиления составляет примерно 65 раз.

В Akamai указывают, что по всему миру выявлены сотни тысяч промежуточных устройств, беззащитных перед таким способом эксплуатации.

Данный вектор превосходит все популярные способы амплификации DDoS-атак, в том числе считавшиеся наиболее опасными, такие как отражение UDP-пакетов и т. п.

Уже наблюдались атаки, нацеленные на банковские, туристические, игровые ресурсы, а также на СМИ и сервис-провайдеров. Пока, впрочем, наиболее мощная атака, использовавшая этот вектор, достигла интенсивности 11 гигабит в секунду, что по нынешним временам не так много.

Атакам подвергаются те ресурсы, для которых они оказываются наиболее болезненными, — отметила Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Что касается малой интенсивности, то, полагаю, пройдет очень немного времени, прежде чем мы увидим рекордную по интенсивности атаку с использованием этого вектора[3].

В Андорре полностью пропал интернет после DDoS-атаки

В конце января 2022 года атака хакеров во время многодневного турнира по Minecraft SquidCraft Games обрушила серверы единственного интернет-провайдера Andorra Telecom европейского княжества Андорра. Провайдер подвергся неоднократным распределенным атакам хакерами на вычислительную систему с целью довести её до отказа в обслуживании. Интернет по всему государству не работал около получаса, отмечает издание Tom’s Hardware. Подробнее здесь.

2021

Число DDoS-атак на одну компанию в 2021 году увеличилось в 3 раза

29 октября 2021 года Сторм системс (StormWall) сообщила о том, что число DDoS-атак на одну компанию в 2021 году увеличилось в 3 раза.

Природа DDoS-атак постоянно меняется. Эксперты компании StormWall следят за тенденциями в области организации DDoS-атак и недавно выявили ряд трендов. Специалисты обнаружили, что с января по сентябрь 2021 года среднее число DDoS-атак на одну компанию во всем мире увеличилось в 3 раза. Для анализа были использованы данные клиентов StormWall. Кроме того, выросло число атак по протоколу TCP. Это связано с тем, что в последнее время сильно подешевели ботнеты, которые позволяют запускать атаки мощностью в несколько сотен гигабит.

В период с января по сентябрь 2021 года доля DDoS-атак на протоколы TCP составила 45% от общего количества всех DDoS-атак, причем в тот же промежуток времени 2020 года доля DDoS-атак по протоколу TCP была только 14%. Доля атак по протоколу UDP с января по сентябрь 2021 года составила 22%, в то время как в 2020 году этот показатель был 34%. Сравнение статистики показывает, что доля атак типа UDP Flood снижается, в то время как атаки типа TCP Flood находится в стадии стремительного роста и становятся все более популярными среди хакеров. Данный тренд наблюдается во всем мире.

Изменения коснулись и других типов атак. С января по сентябрь 2021 года доля DDoS-атак по протоколу HTTP составили 30% от общего количества атак, хотя в 2020 году доля этого типа атак была 51%. Анализ статистики показывает, что хакеров стали меньше интересовать атаки на сайты на уровне приложений (HTTP). Это связано с тем, что на конец октября 2021 года пакетный флуд (TCP/UDP) часто эффективнее и дешевле HTTP-флуда, даже если целью атаки является вебсайт, поскольку в Интернете есть множество предложений по приобретению доступа к мощным ботнетам для организации атак (свыше 200 Гбит/с), работающим на пакетном уровне, по низкой цене (от $100 в сутки).

По мнению экспертов, в связи со сложной экономической ситуацией в мире, хакеры будут продолжать экспериментировать с типами DDoS атак, а также будут стараться снизить свои издержки по организации киберинцидентов. Возможно, что киберпреступники начнут более активно экспериментировать с редко используемыми типами DDoS-атак, использующими уязвимости конкретных приложений и требующих меньшей мощности для того, чтобы вывести жертву из строя:в будущем доля таких атак может значительно повыситься.

Зарегистрирована крупнейшая DDoS-атака в истории — она шла с 70 тыс. источников

В середине октября 2021 года компания Microsoft сообщила о крупнейшей DDoS-атаке в истории. Компания утверждает, что атака длилась более 10 минут, с кратковременными всплесками трафика, пик которых составил 2,4 Тбит/с, 0,55 Тбит/с и 1,7 Тбит/с. Подробнее здесь.

Tet: DDoS-атаки теперь длятся дольше

Компания Tet 10 марта 2021 года поделилась основными вызовами в сфере кибербезопасности в 2021 году, а также сравнили их уровень опасности с 2020 годом.

Главные вызовы для кибербезопасности в 2021 году будут связаны с вирусами в электронных письмах, продуманными фишинговыми кампаниями, слабо защищенными конечными устройствами, на которых люди работают из дома, а также ростом популярности электронной коммерции.

В 2020 году Tet (ранее Lattelecom) предотвратил 2400 DDoS-атак (Distributed Denial of Service — распределенные атаки типа «отказ в обслуживании»), а также заблокировал 140 тысяч вредоносных писем, что на 50% больше, чем годом ранее.

Глядя на статистику 2020 года, мы видим, что пандемия отразилась и на киберпространстве, поскольку выросло как число вирусов, так и нападений. Согласно данным Tet, самым популярным для DDoS-атак периодом стал втором квартал 2020 года, в который начался массовый переход на работу из дома. В третьем и четвертом кварталах киберпреступники сфокусировались на нападениях, направленных против финансовых учреждений и критической инфраструктуры государств, — говорит управляющий ИТ-безопасностью Tet Улдис Либиетис.

По данным аналитиков Tet, DDoS-атаки теперь длятся еще дольше — если ранее они занимали десятки минут, то теперь хакеры могут атаковать компанию несколько часов, а затем повторить нападение. В связи с ростом популярности электронной коммерции и цифровых технологий в целом, тенденция на усложнение DDoS-атак продолжится и в 2021 году.

Управление несколькими потоками данных, размером более 100 Гбит/с с небольшими перерывами на протяжении нескольких дней, нереально организовать одному человеку или небольшому кругу лиц. Такие действия целенаправленно координируются. Остается лишь гадать, кто на самом деле заказывает и планирует подобные атаки. Одно ясно точно — в 2021 году они никуда не исчезнут, — делится Улдис.

Еще одна заметная тенденция — скомпрометированное программное обеспечение. На март 2021 года от таких типов атак страдают и ИТ-гиганты.

ИТ-решения нередко имеют в своей основе ПО, написанное третьими лицами и состоящее из продуктов многих небольших разработчиков или открытого кода. Хакеры пользуются этим, чтобы попасть в крупные системы с помощью малых звеньев в цепочке создания решения. Мы ожидаем увеличение подобных инцидентов в 2021 году, — рассказывает Улдис.

Похожая ситуация уже произошла в 2020 году с SolarWinds Orion, когда многие компании, в том числе Microsoft и VMware стали жертвами, используя ПО от надежного производителя, которое оказалось скомпрометированным. В первую очередь это говорит о том, что организациям, которые сами занимаются разработкой, придется внедрять новые или кардинально менять существующие процессы для контроля компонентов ПО и процесса разработки.

До сих пор актуальной остается проблема зараженных электронных писем. С августа 2020 года специалисты Tet по информационной безопасности наблюдают стремительный рост вирусной активности — количество вредоносных файлов в электронных письмах выросло почти вдвое (до 140 000). Особого внимания в последние годы заслуживал вирус Emotet, остановить деятельность которого удалось в начале 2021 года благодаря скоординированной работе сразу нескольких государств.

Тревожная тенденция наблюдается с распространением вирусов через файлы формата .edoc и .asice, которые люди открывают, несмотря на предупреждения антивируса. Также эксперты Tet фиксируют все более продуманные фишинговые кампании. Переводчик Google и подобные работает все лучше, благодаря чему нападающие за границей могут создавать все более качественные и убедительные письма и рекламу на русском языке.

Исходя из данных 2020 года, а также видя, как развивается ситуация с пандемией и ее последствиям во всем мире, уже на март 2021 года понятно, что в фокусе кибермошенников находится конечный пользователь и его устройства.

Зачем пытаться взломать периметр безопасности предприятия, файрволл или хорошо защищенное облако, если вместо этого можно сфокусироваться на самом слабо защищенном звене — человеке? Старое ПО, отсутствие защиты от вирусов, наличие прав администратора, ограниченные возможности контроля сотрудников или вообще его отсутствие делают работников легкой мишенью. Для защиты против угроз придется улучшить как знания работников, так и внедрить дополнительные решения по безопасности, — добавляет Улдис.

2020

«Ростелеком»: на фоне пандемии количество DDoS-атак на онлайн-торговлю выросло в два раза

За 2020 год количество DDoS-атак на онлайн-магазины увеличилось в 2 раза в сравнении с 2019 годом. Об этом 16 февраля 2021 года сообщила компания «Ростелеком-Солар». По данным экспертов направления «Кибербезопасность» компании «Ростелеком», пик активности хакеров пришелся на 4 квартал, когда произошло почти 40% всех DDoS-атак. Это связано с резким увеличением спроса на услуги онлайн-магазинов, так как в этот период начинается сезон распродаж и подготовка к новогодним праздникам.

В случае успешной реализации ущерб от подобных атак мог составить в среднем около 600 тыс руб. в день для крупного онлайн-магазина и 50–100 тыс руб. в день – для небольшого.

Интернет-торговля находится в фокусе внимания киберпреступников уже не первый год. Однако на фоне введения различных карантинных мер популярность этой отрасли возросла, что сделало ее еще более привлекательной целью для злоумышленников.

Целями DDoS-атак на ритейл остаются: удар по репутации магазина, нанесение бизнесу серьезного финансового вреда, а также вымогательство, когда хакеры совершают слабую показательную атаку и требуют деньги, чтобы предотвратить более масштабный сбой. Иногда DDoS-атака используется как своего рода «шумовая завеса», отвлекающая ИБ-службу компании-жертвы от другого, более серьезного инцидента – например, кражи конфиденциальных данных покупателей.

На фоне резкого увеличения спроса на онлайн-услуги злоумышленники стали искать быстрые и дешевые методы организации DDoS «здесь и сейчас». При этом киберпреступники делали ставку на длительность атак, чтобы «измотать» жертву и наверняка вывести из строя ее ресурсы. Использование простых технологий для организации DDoS в целом отличает 2020 год. Этот тренд прослеживается в контексте атак не только на онлайн-ритейл, но и на другие отрасли, – отметил Тимур Ибрагимов, руководитель направления Anti-DDoS сервисов Solar MSS компании «Ростелеком».

В отчетный период хакеры отдавали предпочтение простым методам организации DDoS, однако их инструментарий стал более разнообразным. Если раньше более чем 80% атак на онлайн-ритейл приходилось на UDP-flood, то в 2020 году его доля сократилась до четверти. Суть метода заключается в том, что сервер-жертва получает огромное количество UDP-пакетов, которые занимают всю полосу пропускания. В итоге канал сервера оказывается перегружен и не может обрабатывать другие запросы.

SYN-flood, на который годом ранее приходилось менее 10% атак, в 2020 сравнялся по количеству с UDP-flood. В этом случае, получая запрос на подключение, сервер-жертва резервирует свои ресурсы и ожидает завершения установки соединения, которого так и не происходит. Такие полуоткрытые соединения переполняют очередь подключений, вынуждая сервер отказывать в обслуживании реальным клиентам.

В целом злоумышленники старались использовать весь доступный арсенал инструментов, чтобы реализовать атаку. Помимо SYN- и UDP-flood также активно применялись TCP Reset Flood, атаки фрагментированными пакетами, DNS- и NTP-amplification и подобные инструменты.

StormWall: во время пандемии количество DDoS-атак на онлайн-ритейл выросло в 4 раза

13 ноября 2020 года компания StormWall сообщила, что провела исследование DDoS-атак, осуществленных на ресурсы компаний, работающих в сфере онлайн-ритейла. Во время проведения исследования были использованы данные клиентов StormWall, работающих в разных сегментах электронной коммерции. Эксперты обнаружили, что во время пандемии, в период с февраля по октябрь 2020 года, число DDoS-атак на сервисы онлайн-ритейла увеличилось в 4 раза по сравнению с аналогичным периодом 2019 года. Прдробнее здесь.

Хакеры заблокировали сайт ЦБ Белоруссии

26 октября 2020 года Национальный банк Белоруссии пережил кибератаку, при которой его сайт вышел из строя. Ответственность за блокировку взяла на себя анонимная хакерская группировка «Киберпартизаны». Подробнее здесь.

Новозеландская фондовая биржа не работала 4 дня из-за кибератак

В конце августа 2020 года фондовая биржа Новой Зеландии оказалось под ударом кибератак и не работала 4 дня подряд. Периодические перебои начались во вторник 25 августа, в результате чего торговля ценными бумагами остановилась до окончания биржевого дня. Подробнее здесь.

Украина пережила крупнейшую DDoS-атаку в истории. 1/10 всех сетей была под ударом

В конце июля 2020 года стало известно о крупнейшей DDoS-атаки в истории Украины. Под ударом оказалась десятая часть всех телекоммуникационных сетей в стране.

Как сообщает «РБК-Украина» со ссылкой на заместителя секретаря Совета нацбезопасности и обороны Украины (СНБО) Сергея Демедюка, многократные атаки с помощью ботов продолжались от 40 минут до 1,5 часа в течение нескольких дней, достигнув значения около 780 Гбит/с. Хакерам удалось добиться отключения 15% мирового интернета. После утечки данных в даркнете появились реальные IP-адреса 45 сайтов с доменом «gov.ua» и свыше 6,5 тыс. с доменом «ua», рассказал Демедюк.

По словам Демедюка, таких кибернападений на Украину ещё не было: хакеры использовали не мощности зараженных устройств, а стримингового видеопотока для нагрузки на IP-адрес. Целью DDoS-атак было нарушение работы телекоммуникационных провайдеров, заявил он.

Кроме того, как подчеркнул представитель СНБО, атака осуществлялась не на конкретные адреса, а целыми диапазонами, при этом использовались сломанные веб-камеры.

Их дефолтные настройки (например, login: admin, password: admin) были одной из основных причин получения несанкционированного доступа к удаленному управлению, — заявил Сергей Демедюк, добавив, что к концу июля 2020 года СНБО сейчас работает над тем, чтобы зафиксировать все цифровые следы этой атаки и собрать данные в различных частях мира, где были зафиксированы такие атаки.

По данным Центра кибербезопасности при Национальной комиссии по регулированию в сфере связи и информатизации (НКРСИ), во втором квартале 2020 года DDoS-атаки стали причиной 46% киберинцидентов в государственном секторе. При этом в негосударственном секторе этот долевой показатель составил 1%.^[4]

Amazon отразила крупнейшую DDoS-атаку в истории

В середине июня 2020 года стало известно, что в феврале Amazon с помощью сервиса AWS Shield отразила самую крупную DDoS-атаку в истории, которая на пике мощности достигла скорости 2,3 Тбит/с. Подробнее здесь.

2019

Школьники устраивают массовые DDoS-атаки

11 ноября 2019 года «Лаборатория Касперского» обнародовала результаты исследования, которые показали 32-процентный рост числа DDoS-атак в мире по итогам третьего квартала относительно аналогичного периода 2018-го. Примерно такой же всплеск кибернападений произошёл в сравнении со второй четверти 2019 года.

По данным экспертов, школьники оказались ответственны почти за половину DDoS-атак в третьем квартале. При этом Россия оказалась в числе лидирующих стран, где были обнаружены DDoS-атаки на образовательные ресурсы.

Самым бурным днем в этом отношении за отчетный квартал оказалось 22 июля. Тогда было зафиксировано 467 DDoS-атак. Самым спокойным оказалось 11 августа с 65 атаками.

Отчасти именно активизация DDoS-дилетантов в третьем квартале 2019 года привела к тому, что за эти три месяца ощутимо сократилось число «умных» атак — технически более сложных и требующих от злоумышленников большей изобретательности, — говорится в исследовании.

В «Лаборатории Касперского» подсчитали, за 2018–2019 учебный год пользователи были более 350 тыс. раз атакованы через электронные учебники и рефераты. Специалисты указывают, что подобные вирусы представляют большую опасность для крупных компаний, чем для рядовых пользователей, и отмечают рост хакерской активности в сфере образования во всем мире.

Согласно прогнозам российского производителя антивирусо, в четвёртом квартале 2019 года количество атак наверняка вновь вырастет в преддверии праздников.

Вал атак на ресурсы из сектора образования прекратится к зиме, однако полностью их оставят в покое только к лету, с наступлением каникул, уверены эксперты.

Менеджер по развитию бизнеса Kaspersky DDoS Protection в России Алексей Киселёв говорит, что DDoS-атаки является вторым по популярности типом атак на малый и средний бизнес.^[5]

Число DDoS-атак в мире подскочило на 180%

Количество DDoS-атак в мире по итогам 2019 года подскочило на 180% относительно 2018-го, подсчитали в компании Neustar, специализирующейся на технологиях обеспечения информационной безопасности.

Эксперты не уточнили количество кибернападений вида «отказ в обслуживании» и лишь сообщили, что рост наблюдается во всех категориях атак. Наиболее высокая динамика снова зарегистрирована среди атак мощностью до 5 Гбит/с.

Самая сильная атака в 2019 году имела мощность 587 Гбит/с, что на 31% превосходит максимальный показатель предыдущего года. Предельная интенсивность DDoS-атаки в 2019 году измерялась 343 млн пакетов в секунду — это на 252% больше, чем годом ранее.

Однако, несмотря на растущие пики, средний размер атаки (12 Гбит/с) и интенсивность (3 млн пакетов в секунду) оставались неизменными. Самый продолжительная одиночная атака в 2019 году длилась три дня, 13 часов и восемь минут.

Также эксперты отметили рост числа так называемых умных DDoS-атак, которые осуществляются очень опытными киберпреступниками, и атак, прямо нацеленных на сетевую инфраструктуру.

В 2019 году примерно 85% всех атак использовали не менее двух векторов угроз. Это число сопоставимо с показателем за 2018 год; однако число атак с использованием двух или трех векторов возросло с 55% до 70%, соответственно уменьшилось число простых одно-векторных атак и сложных четырех- и пяти-векторных атак.

В Neustar также опросили специалистов по информационной безопасности, и 58% из них назвали DDoS-атаки растущим фронтом киберугроз наряду с социальной инженерией с использованием электронной почты (59%) и вирусами-вымогателями (56%).

Эксперты предупреждают, что в связи с растущим переходом сотрудников компаний и госучреждений на удалённую работу количество DDoS-атак может увеличиваться.^[6]

Qrator Labs: Основные тенденции в области сетевой безопасности и доступности интернета

6 февраля 2020 года компания Qrator Labs представила тренды в сфере сетевой безопасности в 2019 году.

Рост рынка IoT означает, что злоумышленники при желании могут эксплуатировать уязвимые устройства, создавая значительную пропускную полосу атаки – как это произошло в середине года, когда протокол WSDD был задействован для нанесения видимого ущерба. Протокол Apple ARMS, который был задействован для получения коэффициента амплификации порядка 35,5, также был виден в атаках на сеть фильтрации Qrator Labs.

В течение 2019 года были выявлены амплификаторы (PCAP), а также на практике был зафиксирован давно известный вектор атаки с использованием TCP-амплификации (реплицированный SYN/ACK- флуд).

Техника атаки типа Amplification («усиление») заключается в том, что на уязвимый сервер, принадлежащей третьей ничего не подозревающей стороне, отправляется запрос, который этим сервером многократно тиражируется и направляется на веб-сайт жертвы. В данном случае для усиления атаки использовались протоколы LDAP и TCP.

Атаки, задействующие вектор амплификации SYN-ACK, стали одной из наиболее серьезных сетевых угроз, тогда как до 2019 года оставались лишь теорией. Одна из первых громких атак с использованием техники SYN-ACK амплификации была организована на международную хостинговую платформу Servers.com. Трафик амплификации SYN/ACK достигал пиковых значений в 208 миллионов пакетов в секунду, а наиболее длительный период атаки с непрерывной бомбардировкой «мусорным» трафиком составил 11,5 часов.

Довольно интересным является и то, что наиболее часто использовавшийся в прошлом метод реакции в виде сброса всего UDP-трафика, виртуально нейтрализующего большую долю атак с использованием амплификации, совсем не помогает нейтрализовать вектор SYN-ACK. Меньшие интернет-компании испытывают огромные трудности при нейтрализации подобных угроз, так как она требует задействования более комплексных мер по борьбе с DDoS-атаками.

В 2019 году был выявлен класс проблем, связанный с использованием протокола BGP для оптимизации прохождения сетей операторов связи. Многие компании хотят автоматически контролировать поток исходящего трафика, это позволяет им существенно снизить расходы. С этой целью устанавливаются различные устройства, использующие специфичные тактики для работы с протоколом BGP, которые могут работать, только если вокруг них корректно настроены фильтры, предотвращающие утечку маршрутов. К сожалению, существует мало специалистов, умеющих правильно настраивать фильтры, в связи с чем оптимизаторы постоянно «прорываются» и маршруты утекают в неизвестном направлении.

Так, в январе 2020 года на одну из точек обмена трафиком в Санкт-Петербурге внезапно были перенаправлены маршруты до Google, Facebook, Instagram от провайдера из Донецкой Народной Республики, который занимался оптимизацией трафика. Подобные инциденты опасны не только возникновением ошибок в сети, но злонамеренным перехватом трафика (атаки Man-in-the-middle).

В последнее время из-за закупки BGP-оптимизаторов такие ситуации происходят регулярно. Индустрия квалифицированных сетевых инженеров активно выступает за ограничение использования оптимизаторов, поскольку работать с ними никто не умеет. Однако уже и в России можно наблюдать, как многие компании начинают закупать BGP-оптимизаторы для снижения расходов на трафик, что в свете введения в действие законодательства про точки обмена трафиком и автономные системы может дать очень неприятный кумулятивный эффект.

«Преступники могут монетизировать ботнет-сети несколькими способами. Наиболее распространенные из них ̶ реализация сервисов DDoS-атак, майнинг криптовалют, использование в целевых атаках ̶ в частности, для подбора паролей к серверам, или просто сдача ботнета в аренду. При этом мы наблюдаем появление по-настоящему многофункциональных ботнетов, яркий тому пример ̶ Neutrino, который не только эксплуатирует уязвимости для взлома серверов и майнит криптовалюту, но и взламывает чужие веб-шеллы, перехватывая контроль над уже взломанными кем-то ресурсами. По данным на февраль 2020 года Neutrino входит в тройку лидеров по числу атак на ханипоты Positive Technologies»,

Несмотря на то что производители мобильных устройств стараются поддерживать как можно больше версий современных приложений, в 2019 году стало заметно, что многие из них всё же перестают обновляться на старых устройствах. В большей степени это касается популярного браузера – Chrome. По данным на февраль 2020 года существуют целые парки устройств, на которых работают старые версии браузера, а новые – становятся не доступны. Эти старые версии браузеров содержат в себе уязвимости, которые могут привести к утечке персональных данных и финансовой информации.

С другой стороны, на многих устройствах Chrome продолжает активно обновляться, за счет чего компания Google предположительно проводит A/B тестирование браузера на пользователях.

Все привыкли считать, что, когда выходит очередная версия браузера, все компьютеры автоматически до нее обновляются. Однако это не совсем так. Google одновременно выпускает две минорные версии браузера Chrome (затрагивающие менее значительные улучшения и доработки) и часть пользовательских устройств обновляет до одной, половину – до другой. Вероятнее всего, это делается для тестирования протокола QUIC, который поддерживается в Google Chrome. QUIC (Quick UDP Internet Connections) —экспериментальный интернет-протокол, разработанный Google для замены старого стека протоколов WWW. Уязвимость QUIC состоит в том, что его непродуманное внедрение в интернет-сервисах может ослабить их защиту от DDoS-атак. Популярные у злоумышленников наборы инструментария для организации DDoS-атак обладают встроенной поддержкой UDP, что может представлять большую угрозу для QUIC, чем для традиционных WWW-протоколов, основанных на TCP.

Ситуация с тестированием Chrome показывает, как Google разрабатывает сетевые протоколы нового поколения. Подобным образом выявляется, в какой из версий Chrome лучше отзывчивость, где лучше работают различные сетевые параметры, у кого из пользователей страница открывается быстрее. Для пользователей такая ситуация существенна с той точки зрения, что у двух отдельно взятых людей сайты могут начать открываться немного по-разному. Также это показатель того, как быстро Google (или другие компании, например, Telegram) может развернуть новый протокол, например, для обхода блокировок, на всех устройствах мира.

«По нашим оценкам, общее количество DDoS-атак за 2019 год выросло примерно в 1,5 раза. Такое увеличение числа инцидентов было достигнуто за счет роста атак на отдельные индустрии: банки, платежные системы, криптобиржи, онлайн-ритейл, сайты знакомств. Можно наблюдать, что в последний год наблюдался передел определенных рынков между отдельными его игроками. И если крупный бизнес может выдержать нападения, то для среднего бизнеса это большая проблема: у небольших компаний часто нет свободных финансовых ресурсов для использования внешних решений по защите на постоянной основе, поэтому они чаще других становятся жертвами DDoS-атак»,

По формальным данным Qrator Labs, атаки на сектор СМИ уменьшились на 7,59%, однако ситуация несколько сложнее, чем кажется. В конце 2019 – начале 2020 года нападения на масс-медиа выросли на порядок. В последние годы большинство российских СМИ начали использовать бесплатные или недорогие средства защиты от DDoS, в частности, зарубежные. Поскольку бюджетная защита часто имеет соответствующий уровень качества (ввиду, в особенности, ошибок при её внедрении), в конце 2019 года индустрия наблюдала множество успешных атак на сайты средств массовой информации. В итоге злоумышленники поняли, что большинство сайтов СМИ можно легко обрушить даже минимальными усилиями, и в последнее время они начали делать это просто ради развлечения.

«В 2020 году будет наблюдаться продолжение ситуации с атаками на медиа. Уже в начале года появилось большое количество инфоповодов, многие из которых вызвали живой отклик в умах людей, как позитивный, так и негативный. За бурными всплесками в инфопространстве обычно следуют активные попытки взломов и DDoS-атаки, к которым индустрия СМИ может быть не готова»,

Данные компании Positive Technologies, специализирующейся на разработке ПО и оказании сервисов в области кибербезопасности, показывают, что с точки зрения атакуемых киберпреступниками индустрий лидерство по итогам года осталось за государственными учреждениями, компаниями промышленной и финансовой отраслей, а также медицинскими и научными организациями. В большинстве случаев объектом кибератаки в течение года оставались компьютеры, серверы и сетевое оборудование целевых компаний.

«Для защиты от массовых атак достаточно следовать типовым рекомендациям. Но такой подход не работает при сложных целенаправленных атаках профессиональных хакеров. Нужно изучать их техники и инструменты, внедрять специализированные системы защиты, которые способны такие инструменты и техники обнаружить: SIEM (Security information and event management), NTA (Network traffic analysis), песочницы (Sandbox) и т.п. И конечно, важно повышать практические навыки сотрудников службы ИБ, ведь противостояние сложным угрозам требует высокой квалификации персонала»,

По данным Positive Technologies, атаки на веб-ресурсы организаций вошли в ТОП-3 по популярности среди киберпреступников, но при этом не превысили 20% в общем числе. Наиболее подвержены им оказались государственные учреждения и, в частности, порталы государственных и муниципальных услуг.

«Атака на веб-приложение – один из наиболее популярных методов атак в принципе. В рамках тестирований уровня безопасности наши эксперты регулярно подтверждают факты возможного проникновения в сети компаний через уязвимые сайты. Но если организация использует средства для защиты, то вероятность успешной атаки значительно снижается. Появляется шанс вовремя среагировать на угрозу и заблокировать атакующего. К сожалению, сайты госорганизаций содержат множество уязвимостей, а защите веб-приложений не уделяется должного внимания. В фокусе – безопасность сайтов государственного или регионального значения, при этом множество менее значимых ресурсов все еще остается уязвимо. Преступники знают и пользуются этим, например для кражи информации, дэфейса, майнинга или просто для отладки новых инструментов атаки перед проведением атак на более крупные цели. К наиболее уязвимым можно причислить также сайты образовательных и медицинских учреждений», отметил Евгений Гнедин, руководитель отдела аналитики информационной безопасности Positive Technologies

Китай вновь использует для DDoS-атак «Великую пушку»

По данным аналитиков AT&T Cybersecurity, китайские власти вновь активировали «Великую пушку» (Great Cannon) — мощный инструмент для DDoS-атак, который в последний раз использовался два года назад^[7][8].

Последний раз «Великая пушка» применялась в 2017 году^[9], когда китайские власти использовали ее для DDoS-атак на Mingjingnews.com, китайский новостной сайт в Нью-Йорке. До этого инструмент использовался для организации DDoS-атак на GitHub, так как там размещают утилиты, помогающие китайским пользователям обходить национальный файрвол, и GreatFire.org — портал, посвященный интернет-цензуре по всему миру.

Согласно отчету 2015 года, составленному специалистами Citizen Lab, «Великая пушка» и «Великий китайский файрвол» использовали схожий код и располагались на одних и тех же серверах. Так, DDoS-инструмент перехватывал трафик, предназначенный для сайтов, расположенных в Китае, и вставлял JavaScript в ответы, получаемые пользователями в браузерах. Этот вредоносный JavaScript выполнялся в браузерах и тайно осуществлял доступ к сайту-жертве, создавая гигантские всплески трафика.

Теперь эксперты AT&T Cybersecurity утверждают, что «Великую пушку» используют снова. На этот раз мишенью для атак стал сайт LIHKG.com — это онлайн-платформа, где организаторы протестов в Гонконге делятся информацией о местах проведения ежедневных демонстраций. Также сайт является местом сбора для жителей Гонконга, где они публикуют истории о злоупотреблениях полиции и куда загружают видеодоказательства.

По информации аналитиков, первые DDoS-атаки на LIHKG были обнаружены 31 августа 2019 года, а последняя атака была зафиксирована 27 ноября 2019 года. Исследователи пишут, что в ходе августовских атак использовался JavaScript, очень похожий на код, который был обнаружен ранее, во время атак на Mingjingnews.com в 2017 году.

Число технически сложных DDoS-атак во втором квартале выросло на 32%

5 августа 2019 года стало известно, что число технически сложных DDoS-атак выросло на 32% по cравнению с аналогичным периодом 2018 года и составила почти половину (46%) от общего числа этих киберугроз.

Как сообщалось, во втором квартале была зафиксирована атака длительностью 509 часов (21 день). Это рекорд: ранее он составлял 329 часов. В целом же доля длительных атак стала меньше, чем в начале года.

Количество DDoS-атак, направленные на ресурсы, расположенные в России, осталось, по сравнению с вторым кварталом 2018 года, примерно на прежнем уровне, снизившись на 9%.

Обычно злоумышленники, которые пытаются «положить» сайты для развлечения, уходят на каникулы до сентября. А вот профессионалы, которые стоят за технически сложными атаками, наоборот, как показала наша статистика, работают летом ещё интенсивнее. Компаниям следует обратить на это внимание. Многие организации хорошо защищены от больших объёмов нежелательного трафика, но этого недостаточно в случае «умных» атак, которые требуют распознавания нелегитимной активности, даже если её не очень много. Поэтому мы рекомендуем компаниям убедиться в том, что их решения для защиты от DDoS готовы к отражению этого типа киберугроз. рассказал Алексей Киселёв, менеджер по развитию бизнеса Kaspersky DDoS Protection в России

«Лаборатория Касперского» советует принять следующие меры для защиты от DDoS-атак:

• убедиться, что корпоративные веб-сайты и IT-ресурсы в состоянии обрабатывать большое количество трафика;
• использовать специализированные защитные решения. ^[10]

Пальма первенства по количеству атак, направленных против целей в конкретном регионе, по-прежнему остается за Китаем (63,80%), на втором месте все так же США (17,57%), а на третьем — Гонконг (4,61%).

Колебания в первой тройке незначительны, но в рейтинге снова появились страны, от которых не ожидается DDoS-активности: на сей раз это Нидерланды (4-е место с 1,54%) и Тайвань (7-е место с 1,15%).

На август 2019 года десятка лидеров по количеству уникальных мишеней примерно соответствует десятке лидеров по количеству атак: первые три места также заняли Китай (55,17%), США (22,22%) и Гонконг (4,53%). Кроме них в первую десятку по этому критерию вошли Тайвань (1,61%) и Ирландия (1%).

Самым бурным месяцем в этом квартале стал апрель 2019 года, на который пришелся в том числе и пик атак, самым тихим — следующий за ним май.

Статистически больше всего атак совершалось в понедельник (17,55%), а самым спокойным днем стало воскресенье (10,45%).

Наибольшая доля мусорного трафика в квартале по-прежнему приходилась на SYN-флуд (82,43%), за которым следовал UDP (10,94%). Однако HTTP и TCP-трафик поменялись местами: последний выбился вперед (3,26%), а доля первого составила лишь 2,77%.

Доли Windows- и Linux-ботнетов почти не изменились по сравнению с прошлым кварталом.

В географическом рейтинге по количеству командных серверов ботнетов лидируют США (44,14%), на втором месте Нидерланды (12,16%), а на третьем — Великобритания (9,46%). Интересно, что в этом квартале десятку лидеров покинула Россия.

Показатели первой тройки стран по количеству атак, направленных против целей в конкретной стране, в этом квартале почти не изменились: на первом месте по-прежнему Китай, хотя его доля снизилась примерно на 4 п. п. и составила 63,80%. На втором месте США с практически прежней долей (17,57%), а на третьем — Гонконг, чей «вклад» в общее число кибератак (4,61%) также изменился очень мало.

Тенденция прошлых кварталов продолжается: в десятке вновь появляются неожиданные гости. На сей раз это Нидерланды, занявшие четвертое место с 1,54%, и Тайвань, оказавшийся 7-м с долей 1,15%. И если Нидерланды уже попадали в десятку в 2016 году или подходили к ней близко, то для Тайваня это довольно значительный рост показателей. Десятку покинули Франция и Саудовская Аравия, а Канада опустилась с 4-го места на 8-е, хотя в численном выражении ее доля даже повысилась, составив 0,93%. Вьетнам занял последнее место в десятке (0,68%), а Великобритания поднялась в рейтинге на одну позицию, став шестой (1,20%). Сингапур по-прежнему пятый, хотя его доля также подросла (до 1,25%).

Распределение числа уникальных целей более или менее соответствует распределению числа атак. Первые четыре места совпадают: Китай с 55,17% (его доля уменьшилась, и тоже примерно на 4 п. п.), США с 22,22% (их доля выросла примерно на 1 п. п.), Гонконг с 4,53% (доля снизилась всего на 0,2 п. п.) и Нидерланды с 2,34% (тут изменения оказались значительны, потому что в прошлом квартале Нидерланды даже не входили в десятку).

В области географического распределения командных серверов ботнетов лидерство по-прежнему остается за США (44,14%). Кроме них в первую тройку вошли Нидерланды (12,16%) и Великобритания (9,46%). Китай оказался только на пятом месте (4,95%), а доля Южной Кореи составила 1,80%, что сделало ее предпоследней в этом рейтинге. Кроме того, в десятку в этом квартале попала Греция (1,35%), однако выпали Румыния, и — что особенно неожиданно — Россия.^[11]

Хакеру дали 2 года тюрьмы за DDoS-атаки на Sony

В начале июля 2019 года 23-летний хакер из штата Юта Остин Томпсон был приговорён к 27 месяцам тюрьмы и выплате штрафа в размере $95 тыс. за серию DDoS-атак на игровые серверы Sony и других компаний. Подробнее здесь.

Разгромив заказной DDoS-сервис, власти решили покарать и его клиентов

Европол и другие правоохранительные организации начали активные розыски пользователей сервисов заказных DDoS-атак. Это стало продолжением международной операции Power Off, в результате которой в апреле 2018 г. сыщики нейтрализовали крупнейший DDoS-сервис Webstresser.org и арестовали его владельцев^[12].

В результате операции в руки правоохранителей попали сведения о клиентах Webstersser.org. На момент его нейтрализации у сервиса было 136 тыс. зарегистрированных клиентов, а всего правоохранительные органы получили данных на 151 тыс. пользователей DDoS-сервиса.

Атаки заказывались на самые разные объекты, от игровых серверов до банков и правительственных учреждений.

Европол объявил, что полиция Великобритании теперь проводит широкомасштабную операцию по поиску клиентов Webstresser. Следователи уже навестили нескольких подозреваемых и изъяли не менее 60 личных устройств для анализа. Готовятся обвинения против 250 человек — пользователей как Webstresser, так и других аналогичных сервисов.

2018

Падение средней длительности DDoS-атак до 2,5 часов на фоне роста их интенсивности

12 февраля 2019 года Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представил отчет о состоянии сетевой безопасности в 2018-2019 годах.

Ключевые наблюдения 2018 года:

• Средняя длительность DDoS-атак упала до 2,5 часов;
• 2018 год показал наличие вычислительной силы, способной генерировать атаки интенсивностью сотни гигабит в секунду внутри одной страны или региона;
• Интенсивность DDoS-атак продолжает расти вместе с одновременным ростом доли атак с использованием HTTPS (SSL);
• Большая часть современного трафика генерируется на мобильных устройствах, представляя собой задачу для организаторов DDoS и следующий вызов для компаний, занимающихся защитой сетей;
• Протокол BGP стал вектором атаки, на 2 года позже ожидаемого срока;
• Манипуляции DNS по-прежнему являются наиболее разрушительным вектором атаки;
• Ожидается появление амплификаторов, таких как memcached и CoAP;
• Все отрасли одинаково уязвимы перед кибератаками любого рода.

2018 год начался с рекордных по интенсивности атак с memcached амплификацией, ознаменовавших начало очередной эры DDoS-атак. 2018 год продемонстрировал, что, помимо манипуляций с BGP, терабитные DDoS-атаки способны вывести из строя интернет-провайдеров среднего уровня, если не самых крупных.

Серьезную угрозу представляют высокоинтенсивные DDoS-атаки, сосредоточенные в одном регионе. Подобные атаки интенсивностью в 500 Гбит/сек, сгенерированные на 100% внутри одного региона, уже были зафиксированы в 2018 году. Такие события будут происходить все чаще во многих странах и регионах, чьи сети стали быстрыми и эффективными. Европа, Россия, Китай, Америка, Индия — все эти огромные территории уже обладают устойчивыми сетями, готовыми к тому, чтобы быть нацеленными на выведение из строя региональные цели.

Число зашифрованных атак значительно выросло. В предыдущие годы подобные атаки были редки, и злоумышленники использовали в первую очередь старый вектор HTTP. Боты, способные к использованию шифров, представляют собой первостепенную опасность, так как обладают широкими способностями к обучению.

Протокол BGP становится всё более востребованным у атакующих, которые все чаще используют его для перехвата трафика и перенаправления пользователей на фальшивые фишинговые страницы. При этом шифрование не защитит пользователей от обмана, так как злоумышленники научились подписывать SSL-сертификаты, а потому такие страницы не вызывают подозрения у рядового посетителя ввиду отсутствия наглядной разницы между настоящей, легитимной веб-страницей и фальшивой.

Манипуляции DNS, такие как cache poisoning (повреждение целостности данных в системе DNS путём заполнения кэша DNS-сервера данными, не исходящими от авторитетного DNS-источника), очень часто сопровождают попытки перехвата с помощью BGP. В 2018 году Qrator Labs стала свидетелем кражи разнообразных криптовалют, организованных с использованием связки именно этих двух протоколов.

DNS амплификация была и остается одним из самых известных векторов DDoS-атак канального уровня. В случае атаки интенсивностью в сотни гигабит в секунду существует немалая вероятность перегрузки подключения к вышестоящему провайдеру.

Ботнеты значительно развились за 2018 год, а их владельцы придумали очередное занятие — кликфрод. С улучшением технологий машинного обучения и получением в руки headless-браузеров (работающих без сетевых заголовков) занятие кликфродом значительно упростилось и удешевилось всего за два года.

Машинное обучение уже достигло массового рынка и стало вполне доступным. В связи с этим появление первых, основанных на ML-алгоритмах, DDoS-атак ожидается в ближайшее время, особенно учитывая снижающуюся стоимость управления и повышающуюся точность аналитики таких сетей.

Боты

Идентификация становится крайне серьезной проблемой и задачей в современном интернете, так как самые продвинутые боты даже не пытаются изображать человека – они им управляют и находятся в одном с ним пространстве. Проблематика ботов-сканеров и многих других подвидов заключается в очень важной экономической компоненте. Если 30% трафика нелегитимны и происходят от нежелательных источников, то 30% затрат на поддержку такого трафика оказываются бесполезны.

Парсеры и сканеры, являющиеся частью широкой проблематики ботов, вышли на горизонт только в 2018 году. Во время эпидемии парсинга, которую в Qrator Labs наблюдали в России и СНГ всю вторую половину 2018 года, стало очевидно, что боты далеко продвинулись в вопросах шифрования. Один запрос в минуту – это вполне нормальная интенсивность для бота, которую очень сложно заметить без анализа запросов и исходящего трафика ответов.

Снижение поощрения атакующего – единственный способ противодействия. Попытка остановить ботов не принесет ничего, кроме потраченных времени и средств. Если что угодно кликает на то, что дает прибыль – необходимо отменить эти клики; при парсинге можно включить слой `фальшивой` информации, через которую с легкостью пройдет обычный пользователь в поисках корректной и достоверной информации.

Интернет Вещей

IoT как индустрия не совершил значительного прогресса в сторону улучшения своей общей безопасности за 2018 год. Исследователи обнаружили класс индустриального оборудования, которое массово подключается к сетям и обладает значительными уязвимостями. Недавние открытия относительно протокола CoAP свидетельствуют, что подобных незакрытых точек эксплуатации может быть очень много.

Амплификаторы на базе IoT являются очевидным дальнейшим развитием идеи уязвимых сервисов. Более того, домашние подключенные устройства представляют собой лишь статистическую верхушку этого айсберга. Есть и другие группы `подключенных устройств`, сообщающихся с помощью протоколов, которые выбраны непредсказуемо и не обеспечивают достаточную защиту устройств.

Незакрытые уязвимости в индустриальном интернете вещей будут эксплуатироваться и дальше при условии неизменности текущего подхода к разработке.

На протяжении уже длительного времени мы живем в мире мультифакторных атак, эксплуатирующих атакующие возможности сразу нескольких протоколов для выведения цели из работоспособного состояния.

DDoS-атаки долгое время были серьезной проблемой лишь для ограниченного числа бизнес отраслей, таких как электронная коммерция, торговля и биржа, банкинг и платежные системы. Но с продолжающимся развитием интернета наблюдаются DDoS-атаки увеличенной интенсивности и частоты в абсолютно всех частях интернета. Эпоха DDoS началась с определенного порога пропускной способности домашних роутеров и, неудивительно, что с появлением микрочипа в каждой физической вещи вокруг ландшафт атак начал стремительно меняться. 2018 год был годом возможностей для «темной стороны». В Qrator Labs увидели рост атак с одновременным их усложнением и увеличением как объема в сетевых терминах, так и частоты.

Qrator Labs: ключевые тренды в области интернет-безопасности

Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, в марте 2018 года опубликовала обзор основных трендов 2017 года в области интернет-безопасности в России и в мире. В отчете описаны
главные тенденции и проблемы в области доступности и безопасности веб-ресурсов, связанные с угрозами DDoS-атак и взломов.

В 2017 году зафиксирована растущая диверсификация угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем практически для любой организации.

Если 2016 год можно было назвать годом ботнетов и терабитных атак, то 2017 год стал годом сетей и маршрутизации. Такие инциденты, как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и `Ростелекомом` в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческим фактором, основанные на недостаточной автоматизации процессов.

Интернет вещей

Основное различие между 2016 и 2017 годом заключается в том, что злоумышленники переключили собственное внимание со взлома отдельных устройств на атаки на облака и IoT-платформы. Интернет вещей предоставляет злоумышленникам доступ к тысячам полностью работоспособных устройств одновременно, часто подобные проникновения остаются незамеченными. Экономическая эффективность — причина, по которой мы ожидаем увеличения частоты подобных атак на целые облака и платформы в 2018 году, — отметил генеральный директор и основатель Qrator Labs Александр Лямин.

Многие IoT-устройства все еще взламываются с использованием тривиальных способов, таких как уязвимости в веб-интерфейсе. Почти все такие уязвимости критичны, и у производителя крайне ограниченные возможности по быстрому созданию патча и доставке его в виде обновления.

Взломы IoT-устройств участились с тех пор, как инструментарий Mirai стал базовым фреймворком для создания ботнета в 2017 году. Эксперты предсказывают появление еще больших по количеству и масштабу задействованных устройств и, конечно, гораздо более опасных ботнетов с точки зрения возможностей. Qrator Labs ожидает активное появление еще более крупных ботнетов, чем Mirai, способных к flood-атакам даже без использования amplification-протоколов.

Инфраструктурное наследие

В 2017 году инциденты маршрутизации стали такими же печально известными, как и ботнеты в 2016 году. Известно, что такие инциденты могут быть не менее масштабными и опасными, чем атаки рекордного ботнета, оставляя без доступа к популярным ресурсам почти целую страну.

По мнению экспертов Qrator Labs, в случае протокола BGP (Border Gateway Protocol) необходимо быть предельно осторожными, так как потенциальный урон может быть колоссален. Поскольку BGP управляет передачей всего трафика от одной AS (автономной системы) к другой, речь идет не только об увеличенных задержках в доступе к ресурсам для пользователей, но, что более важно, о появлении вероятности MiTM-атаки на шифрованный трафик. Подобные инциденты могут затронуть миллионы пользователей в разных странах.

Уязвимости и интранет

2017 стал настоящим годом взломов. От эпидемий шифровальщиков до открытий архивов Vault7 и Shadow Brokers, в дополнение к заметным утечкам вследствие человеческих ошибок, где Uber и Equifax представляют собой два наиболее громких примера.

2017 год продемонстрировал, насколько разнообразные виды оборудования могут быть уязвимы к различным типам кибератак. В будущем будет фиксироваться еще больше инцидентов, связанных с устаревшим программным и аппаратным обеспечением, считают в Qrator Labs.

Атаки с использованием смартфонов могут производиться как на основе заражения вредоносными приложениями, даже в случае их установки из официальных магазинов, так и с помощью подобных BlueBorne уязвимостей. Браузерные расширения и плагины, сетевые устройства (которые уже достаточно пострадали в течение последних трех лет), любое оборудование на стыках провайдеров — все может быть неоднократно протестировано на устойчивость к атакам и, вероятно, в конечном счете, не устоит.

Криптомания

Рынок ICO стал настоящим откровением для хакеров в 2017 году. Тенденция нападения в наиболее стрессовый для организации момент (сбор средств, рекламные кампании) сохраняется, и с растущим количеством криптовалютных проектов атаки на взлом комбинируются с DDoS. Если рынок эмитирования криптовалютных токенов продолжит свой рост — данная тенденция лишь усилится, полагают в Qrator Labs.

ICO представляют особый интерес для всех рыночных сторон. В этом рынке уже задействованы огромные объемы средств, а техническая сторона реализации многих проектов откровенно слабая. Они постоянно взламываются.
Майнинг-пулы атакуются в последние секунды подписи каждого блока с целью получения вознаграждения за подпись блока конкурирующим пулом. Облачные криптовалютные кошельки постоянно под атакой — в течение 2017 года происходили крупные взломы таких сервисов с потерей всех криптовалют их создателями.

Об исследовании

Обзор подготовлен специалистами Qrator Labs при информационной поддержке компании «Валарм» на основе мониторинга ситуации в отрасли, а также на базе статистики, собранной по клиентам компаний в 2017 году.

В даркнете можно заказать DDoS-атаку за $10 в час

Исследователи безопасности из компании Armor опубликовали^[13] в марте 2018 года отчет о подпольных рынках в даркнете. Эксперты изучили расценки на самые популярные виды хакерских товаров и услуг^[14].

Согласно докладу, DDoS-атаку можно заказать всего за $10 в час, $200 в день или за $500 — $1 тыс. за неделю. Исследователи также обнаружили в продаже банковские ботнеты (аренда стоит $750 в месяц), наборы эксплоитов ($1400 в месяц), эксплоиты для уязвимостей в WordPress ($100), скиммеры ($1500) и хакерские обучающие программы ($50).

Наиболее распространенным товаром в даркнете остаются данные банковских карт. Цена варьируется в зависимости от страны происхождения.

Различная информация о кредитных картах, часто полученная с помощью вредоносных программ для PoS-терминалов или в интернете, стоит дешевле, однако полные данные, необходимые для создания копий карт, обойдутся в два или три раза дороже.

Мошенники также могут купить доступ к взломанным банковским счетам. Цены на счета варьируются в зависимости от суммы денег, которая на них хранится. Злоумышленники используют банковские трояны для получения доступа к счетам, а мошенники, в свою очередь, покупают доступ, приобретают с помощью карт различные товары, а затем перепродают их, получая прибыль.

Помимо этого, в даркнете можно найти поддельные документы. В частности, речь идет о различных удостоверениях личности, паспортах, водительских правах, гринкартах США, рецептах на лекарства, банковских выписках и пр. Паспорта, удостоверения личности и водительские права обычно являются самыми дорогими, причем наиболее ценными являются документы граждан из стран Северной Америки.

Рынки и форумы «Теневой паутины» также предлагают множество взломанных учетных записей. Доступ к взломанному аккаунту в социальных сетях в среднем стоит около $13. Хакеры могут предлагать доступ к учетным записям в Facebook, Twitter, Instagram, Hulu, Netflix, Spotify, Amazon, Skype и пр.

Американский провайдер подвергся самой мощной DDoS-атаке в истории

Компания Arbor Networks обнаружила крупнейшую DDoS-атаку на одного из американских провайдеров, трафик которой достигал 1,7 терабит в секунду. В ней использовался механизм, открытый в конце февраля, и использованный в предыдущей самой сильной DDoS-атаке, которая произошла 28 февраля, сообщает в марте 2018 года Ars Technica. Специалисты опасаются, что обнаруженный механизм будет часто использоваться для таких мощных атак в ближайшем будущем^[15].

Во время DDoS-атаки злоумышленники направляют с множества компьютеров на серверы жертвы так много запросов, что серверы перестают справляться и становятся недоступными для пользователей. Помимо этого их опасность заключается в том, что сервер может повести себя нештатно и, к примеру, выдать злоумышленникам часть данных.

Существует множество методов DDoS-атаки, в том числе атаки, при которых злоумышленник обращается к публичным серверам и подменяет свой адрес на адрес жертвы. В результате эти серверы посылают ответные пакеты уже не злоумышленнику, а жертве. Этот вид атаки может использоваться вместе с усилением — это значит, что на каждый посланный запрос сервер посылает жертве пакет большего размера. В зависимости от метода коэффициент усиления может достигать десятков и даже сотен раз.

В конце февраля несколько интернет-компаний обнаружили новый, еще более мощный вариант этого механизма. На этот раз злоумышленники стали использовать незащищенные Memcached-серверы, используемые для кэширования и ускорения загрузки некоторых данных. Главное отличие заключалось в коэффициенте усиления — в некоторых случаях он достигал уже более пятидесяти тысяч раз. К примеру, исследователи воспроизвели атаку и смогли добиться 750-килобайтного ответа на 15-байтный запрос. Стоит отметить, что такой способ атаки был описан китайскими исследователями еще в 2017 году.

Зафиксирована первая «настоящая» DDoS IPv6 атака

Сеть DNS-службы Neustar стала жертвой первой зафиксированной «настоящей» IPv6 DDoS-атаки. Источниками «атаки по словарю» являются порядка 1,9 тыс. узлов IPv6, принадлежащих к более чем 650 сетям. Об этом в марте 2018 года сообщило издание SC Magazine UK^[16].

По словам представителей Neustar, данная атака примечательна тем, что злоумышленники используют новые методы вместо копирования уже существующих, однако с применением IPv4. Атаки IPv6 могут причинить серьезный вред, например, превысить объемы памяти современных средств безопасности за счет большого количества адресов, доступных хакерам.

В общей сложности IPv6 содержит более чем в 7.9×1028 раз больше адресов чем IPv4, который использует 32-битные адреса и позволяет организовать порядка 4,3 млрд адресов. Таким образом количество потенциальных атак также вырастает в разы. При этом, множество сетей, поддерживающих протокол IPv6, не поддерживают инструменты для противодействия хакерам.

Как отметили специалисты, в текущем году наблюдается значительный рост количества IPv4 атак – оно удвоилось в сравнении с аналогичным периодом 2017 года.

2017

Qrator Labs: Рейтинг устойчивости национальных сегментов интернета

В начале июля компания Qrator Labs по результатам исследования национальных сегментов 244 стран мира составила рейтинг государств в порядке возрастания показателя, отражающего зависимость доступности национальных сегментов интернета от отказов в работе наиболее значимых операторов связи.

Рейтинг устойчивости национальных сегментов сети интернет впервые был представлен Qrator Labs в 2016 году. Для расчета показателя по каждой исследуемой стране на основе данных сервиса Maxmind была составлена карта, на которой все операторы связи были распределены по национальным сегментам интернета. В этом году дополнительно была проведена процедура нормировки — оценивался не столько факт присутствия оператора в конкретном регионе, сколько значимость этого присутствия в заданном национальном сегменте.

На следующем этапе с использованием модели отношений между операторами связи проекта Qrator.Radar для каждого оператора был сделан расчет степени влияния отказа его работы на конкретный национальный сегмент (какой процент национальных операторов, или автономных систем, станет недоступным в глобальной сети в случае отказа этого оператора).

Далее для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента операторов заданного национального сегмента. Эти операторы перечислены в третьем столбце таблицы, приведенной ниже.

Топ-15 стран по устойчивости национальных сегментов сети интернет

Место в рейтинге	Страна	Оператор связи (номер Автономной Системы)	Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, %
1	Германия (DE)	Versatel (8881)	2.29696
2	Гонконг (HK)	Level 3 Communications (3356)	2.65659
3	Швейцария (CH)	Swisscom (3303)	3.57245
4	Канада (CA)	Bell Backbone (577)	3.67367
5	Франция (FR)	Cogent (174)	3.68254
6	Великобритания (GB)	Cogent (174)	3.76297
7	Бельгия (BE)	Telenet (6848)	3.93768
8	Украина (UA)	UARNet (3255)	3.95098
9	США (US)	Cogent (174)	3.97103
10	Бангладеш (BD)	Fiber @ Home (58587)	5.29293
11	Румыния (RO)	RTD (9050)	5.35451
12	Бразилия (BR) — новичок	Telefonica (12956)	5.39138
13	Россия (RU)	Rostelecom (12389)	5.73432
14	Ирландия (IE)	Cogent (174)	5.87254
15	Чехия (CZ)	SuperNetwork (39392)	5.88389

«Результаты этого года показывают, что тенденции остаются неизменными: в верхней части таблицы, как и в 2016 году, оказались страны, в которых телекоммуникационный рынок является зрелым и характеризуется высокой степенью диверсификации. В этих странах присутствует большое количество операторов связи, поэтому сбой в работе даже крупного провайдера окажет влияние лишь на небольшое число других сетей», — прокомментировал итоги исследования Александр Лямин, генеральный директор Qrator Labs.

В 2017 году компания отметила еще одну тенденцию — растет значение региональных операторов из разряда Tier-2. В некоторых странах они стали играть роль ключевых, сместив лидеров рынка уровня Tier-1.

«К примеру, в Германии крупнейший оператор связи — Deutsche Telekom, но более существенное влияние на глобальную связность национального сегмента оказывает другая компания — Versatel. Это говорит о том, что рынок продолжает развиваться и диверсифицироваться», — подчеркнули в Qrator Labs.

«Лаборатория Касперского»: Обзор рынка и стоимости DDoS-сервисов

«Лаборатория Касперского (Kaspersky)» опубликовала в марте 2017 года обзор рынка DDoS-сервисов, их расценок и предлагаемых услуг. В публикации особо отмечается, что подобные ресурсы выглядят как сайты вполне легитимных ИТ-компаний, со всеми разделами и функциями, какие только можно было бы от них ожидать, не исключая «личные кабинеты»^[17].

Системой Kaspersky DDoS Intelligence в первые три месяца 2017 года были зафиксированы атаки по целям, расположенным в 72 странах мира.

Распределение уникальных мишеней DDoS-атак по странам:

Первое место по числу серверов управления ботнетами остается за Южной Кореей, а на второе вышли США. Нидерланды впервые c апреля 2015 года вытеснили из тройки лидеров Китай, который опустился на седьмую позицию. Россия осталась на четвертом месте. Кроме того, из десятки стран с наибольшим числом командных серверов вышли Япония, Украина и Болгария. Вместо них появились Гонконг, Румыния и Германия.

Распределение по операционным системам в этом квартале тоже изменилось. Потеснив ботнеты из устройств Интернета вещей на Linux, на первый план вышли Windows-боты: их доля выросла с 25% в прошлом квартале до 60% в январе-марте 2017.

За отчетный период не было зарегистрировано ни одной атаки с усилением, зато наблюдался рост числа атак с использованием шифрования. Это соответствует прошлогодним прогнозам «Лаборатории Касперского»: набирают популярность сложные DDoS-атаки, которые нелегко обнаружить стандартными защитными инструментами.

В целом, начало года было довольно тихим — наибольшее число атак (994) наблюдалось 18 февраля, а рекорд по продолжительности нападения составил всего 120 часов. Это значительно меньше, чем в четвертом квартале 2016 года: тогда самая продолжительная атака длилась 292 часа.

«Эти веб-сервисы представляют собой полностью функциональные веб-приложения, которые позволяют зарегистрированным клиентам… планировать бюджет на DDoS-атаки. Некоторые операторы даже предлагают бонусные баллы за каждую атаку, проведенную с помощью их сервиса. Иными словами, у киберпреступников есть свои программы лояльности и обслуживания клиентов», — говорится в публикации антивирусной компании.

Владельцы подобных сервисов предлагают организовать атаки на любые ресурсы, с сохранением полной анонимности клиентов и бесплатным тестированием атаки в течение 15 минут.

Проведение DDoS-атак в последние годы резко подешевело: интернет изобилует ботнетами, используемыми и для проведения атак, и для распространения вредоносного ПО и спама.

В среднем, по подсчетам «Лаборатории Касперского» с клиента просят около $25 в час, притом, что реальная себестоимость атаки, по мнению экспертов, намного ниже.

В своих расчетах авторы публикации на SecureList исходят из примерных расходов злоумышленников на инфраструктуру. В качестве примера приводятся расценки на использование облака Amazon EC2.

Цена на виртуальный выделенный сервер с минимальной конфигурацией (а для DDoS-атаки важнее ширина канала связи, а не конфигурация рабочей станции) составляет около $0,0065 в час. Соответственно, 50 виртуальных серверов для организации DDoS-атаки малой мощности на онлайн-магазин обойдется киберпреступникам $0,325 в час. Учитывая дополнительные расходы (например, на SIM-карты для регистрации аккаунта и привязки к нему кредитной карты), часовая DDoS-атака с использованием облачного сервиса обойдется преступникам в $4.

Соответственно, реальная стоимость атаки с использованием ботнета, насчитывающего 1 тыс. рабочих станций, стоит около $7 в час. Это означает, что организаторы DDoS-атак получают прибыль в размере порядка $18 за каждый час атаки.

В действительности стоимость DDoS-атаки варьируется довольно заметно, в зависимости от ряда факторов. Атаки на государственные ресурсы обойдутся, скорее всего, дороже, чем на онлайн-магазины, и к тому же далеко не все операторы ботнетов согласятся подобные атаки проводить: такие ресурсы находятся под постоянным наблюдением правоохранительных органов, а киберпреступники не очень хотят «светить» свои ботнеты.

Если атакуемый ресурс находится под защитой специализированного сервиса, фильтрующего мусорный трафик, стоимость, скорее всего, возрастет многократно. На одном из сервисов атака на обычный сайт предлагается по цене $50-100, однако, если есть защита от DDoS, цена сразу вырастает до $400. Некоторые сервисы даже предлагают блокировку домена на уровне регистратора, но это самая дорогостоящая услуга — клиенту она будет стоить от $1 тыс. и более.

Важный фактор — это также и состав ботнета. Создание и поддержка ботнета из 1 тыс. персональных компьютеров (а тем более 100 серверов) обходится существенно дороже, чем поддержка вредоносной сети, состоящей из 1 тыс. видеокамер с уязвимой прошивкой.

Наконец, на ценообразование влияет сценарий атаки (например, клиент может попросить время от времени переключаться с SYN-флуда на UDP-флуд или использовать одновременно сразу несколько вариантов атаки), и географическое положение заказчика. За организацию атаки с жителя США, например, попросят больше, чем с жителя России.

Интересно, что некоторые сервисы по организации атак даже публикуют общее количество своих клиентов, и их могут быть десятки тысяч. Свои услуги киберпреступники рекламируют без обиняков. «Предлагаем вашему вниманию услуги по устранению сайтов и серверов конкурентов при помощи DDoS-атаки», — гласит запись на главной странице одного такого ресурса.

Желающие платить за подобную форму давления существуют, и они явно готовы выкладывать круглые суммы за DDoS-атаки: в 2016 г. самая длительная DDoS-атака продолжалась 292 часа — около 12 дней.

Со своей стороны, злоумышленники иногда не гнушаются одновременно предлагать услуги защиты от DDoS-атак, равно как и требовать деньги за несовершение или прекращение уже начатой атаки.

2016

Данные «Лаборатории Касперского»

По данным «Лаборатории Касперского», в 2016 году DDoS-атаки зафиксировал каждый четвертый банк (26%). Для финансовых организаций в целом этот показатель составил 22%. По данным исследования, средний ущерб от DDoS-атаки для банков составил 1 172 000 долларов, в то время как для предприятий других сфер — 952 000 долларов.

При этом 52% пострадавших столкнулись с недоступностью или ухудшением качества работы публичных веб-сервисов на продолжительное время – от нескольких часов до нескольких дней. И как минимум в 43% случаев DDoS-атака использовалась как маскировка при проведении других вредоносных операций. Целью подобных атак чаще всего становятся сайты банков – они были затронуты в половине зафиксированных случаев (49%). Однако это не единственное уязвимое место. Почти такое же количество респондентов (48%) подверглись DDoS-атакам на свой интернет-банкинг и онлайн-сервисы.

По данным «Лаборатории Касперского», в третьем квартале 2016 г. от DDoS-атак пострадали веб-ресурсы в 67 странах мира. Абсолютное большинство их (97%) пришлось всего на три страны: Китай, США и Южную Корею. При этом Китаю «досталось» больше всех — 63% DDoS-атак были нацелены на ресурсы именно этого государства. На фоне тройки лидеров число атак, зафиксированных в России, выглядит неубедительно, однако по сравнению с предыдущим кварталом оно заметно увеличилось — с 0,8% до 1,1%.

Между тем, Китай бьет рекорды и по другим квартальным показателям. Так, самая долгая атака в отчетном периоде продолжалась 184 часа (7,6 дня) и была нацелена на китайского провайдера. А популярный китайский поисковик стал рекордсменом по числу DDoS-атак на одну и ту же цель — за третий квартал ресурс был атакован 19 раз.

В целом же эксперты «Лаборатории Касперского» заметили увеличение числа «умных» атак, которые используют защищенные https-соединения и таким образом избегают распознавания защитными системами. Чаще всего при подобных DDoS-атаках злоумышленники создают сравнительно небольшие по объему потоки запросов к «тяжелой» части веб-сайтов — например, к поисковым формам — и отправляют их с использованием https-протоколов, защищенных шифрованием. Системы распознавания и предотвращения DDoS-атак, в свою очередь, зачастую не способны расшифровывать трафик «на лету» и пропускают все запросы на сервер веб-ресурса. Таким образом, запросы атакующих остаются незамеченными, и DDoS-атака становится успешной даже при низкой интенсивности, пояснили в компании.

Еще одной тенденцией остается увеличение доли атак с Linux-ботнетов — в третьем квартале она выросла на 8 процентных пунктов и достигла к октябрю 79%. Это отчасти коррелируется с ростом популярности и без того самого распространенного метода SYN-DDoS, для которого Linux-ботнеты являются наиболее подходящим инструментом. Однако на Linux сегодня работают и многие устройства интернета вещей, например, маршрутизаторы, которые все чаще оказываются замечены в составах различных бот-сетей. Именно поэтому особое внимание экспертов привлекла публикация исходного кода ботнета Mirai, который содержит встроенный сканнер, находящий уязвимые устройства интернета вещей и включающий их в состав ботнета.

Вероятность того, что компания, один раз ставшая жертвой DDoS-атаки, подвергнется ей еще раз, весьма высока. Это подтверждают 77% российских организаций, неоднократно испытавших на себе действие этой угрозы в течение года, при этом более трети (37%) компаний были атакованы четыре или больше раз. Эта статистика подтверждает тот факт, что защитные инструменты от DDoS-атак обязательно должны входить в систему безопасности компании, и важным критерием их эффективности является способность обеспечить непрерывность работы корпоративных онлайн-сервисов непосредственно во время атаки, подчеркнули в компании.

Что касается продолжительности DDoS-атак, то в 40% случаев они длятся не более часа, а в 13% — до нескольких недель. Чаще всего жертвами этого вида угроз в России становятся компании, активно использующие различные веб-сервисы для своей основной деятельности — предприятия электронной коммерции, финансовые учреждения, государственные органы, СМИ. Также зачастую с DDoS-атаками сталкиваются высокотехнологичные организации, такие как телекоммуникационные и ИБ-компании.

Негативно влияет на репутацию компаний не только сам факт атаки, но и то, что нередко они узнают о ней от внешних источников: в 21% случаев — от клиентов, а в 29% случаев — от подрядчика, проводящего анализ защищенности ИТ-инфраструктуры организации. По мнению экспертов «Лаборатории Касперского», это неудивительно, ведь чаще всего киберпреступники атакуют внешние ресурсы: клиентские порталы (40%), коммуникационные сервисы (36%) и сайты (52%).

Данные Qrator Labs

Динамика DDoS-атак в 2015 — 2016

Бум стартапов и последующий рост числа подключённых устройств — это новое поле богатых возможностей, где можно создать не один ещё более крупный и опасный ботнет. В 2016 году внезапно появился считавшийся недостижимым терабит в секунду.

Одновременно заметно упал уровень необходимого опыта и знаний для организации DDoS атак. Сегодня для осуществления удачной атаки даже на крупные сайты и приложения достаточно видеоинструкции на YouTube или немного криптовалюты для оплаты услуг сервиса типа booter. Поэтому в 2017 году самым опасным человеком в сфере кибербезопасности может оказаться, например, обычный подросток с парой биткойнов в кошельке.

Амплификация

Для увеличения мощности атак злоумышленники амплифицируют атаки. Атакующий увеличивает объём отсылаемого «мусорного» трафика путём эксплуатации уязвимостей в сторонних сервисах, а также маскирует адреса реального ботнета. Типичный пример атаки с амплификацией — это трафик DNS-ответов на IP-адрес жертвы.

Другой вектор — WordPress, повсеместный и функциональный движок для блогов. Среди прочих функций в этой CMS есть функция Pingback, с помощью которой автономные блоги обмениваются информацией о комментариях и упоминаниях. Уязвимость в Pingback позволяет специальным XML-запросом заставить уязвимый сервер запросить любую веб-страницу из Интернета. Полученный злонамеренный трафик называют WordPress Pingback DDoS.

Атака на HTTPS не сложнее, чем на HTTP: нужно лишь указать другой протокол. Для нейтрализации же потребуется канал шириной от 20 Гбит/с, возможность обрабатывать трафик прикладного уровня на полной пропускной способности соединения и расшифровывать все TLS-соединения в реальном времени — значительные технические требования, исполнить которые могут далеко не все. К этой комбинации факторов добавляется огромное число уязвимых серверов на WordPress — в одной атаке можно задействовать сотни тысяч. У каждого сервера неплохое соединение и производительность, а участие в атаке для обычных пользователей незаметно.

BGP и утечки маршрутов

Отцы-основатели Интернета вряд ли могли предвидеть, что он вырастет до своих текущих объёмов. Та сеть, которую они создавали, была построена на доверии. Это доверие было утрачено в периоды бурного роста Интернета. Протокол BGP создавали, когда общее число автономных систем (AS) считали десятками. Сейчас их более 50 тысяч.

Протокол маршрутизации BGP появился в конце восьмидесятых как некий набросок на салфетке трёх инженеров. Неудивительно, что он отвечает на вопросы ушедшей эпохи. Его логика гласит, что пакеты должны идти по лучшему из доступных каналов. Финансовых отношений организаций и политики огромных структур в нём не было.

Но в реальном мире деньги — на первом месте. Деньги отправляют трафик из России куда-то в Европу, а затем возвращают обратно на Родину — так дешевле, чем использовать канал внутри страны. Политика не даёт двум поссорившимся провайдерам обмениваться трафиком напрямую, им легче договориться с третьей стороной.

Другая проблема протокола — отсутствие встроенных механизмов проверок данных по маршрутизации. Отсюда берут корни уязвимости BGP hijacking, утечек маршрутов и зарезервированных номеров AS. Не все аномалии злонамеренны по своей природе, часто технические специалисты не до конца понимают принципы функционирования протокола. «Водительских прав» на вождение BGP не дают, штрафов нет, зато доступно большое пространство для разрушений.

Типичный пример утечек маршрутов: провайдер использует список префиксов клиентов как единственный механизм фильтрации исходящих анонсов. Вне зависимости от источника анонсов клиентские префиксы всегда будут анонсироваться по всем доступным направлениях. Пока существуют анонсы напрямую, данная проблема остаётся труднодетектируемой. В один момент сеть провайдера деградирует, клиенты пытаются увести анонсы и отключают BGP-сессию с проблемным провайдером. Но оператор продолжает анонсировать клиентские префиксы во всех направлениях, создавая тем самым утечки маршрутов и стягивая на свою проблемную сеть значительную часть клиентского трафика. Разумеется, так можно организовывать атаки Man in the Middle, чем некоторые и пользуются.

Для борьбы с утечками в anycast-сетях мы разработали ряд поправок и представили их Инженерному совету Интернета (IETF). Изначально мы хотели понять, когда в такие аномалии попадают наши префиксы, и по чьей вине. Поскольку причиной большинства утечек оказалась неправильная настройка, мы поняли, что единственный способ решить проблему — устранить условия, в которых ошибки инженеров способны влиять на других операторов связи.

IETF разрабатывает добровольные стандарты Интернета и помогает их распространению. IETF — это не юридическое лицо, а сообщество. У такого метода организации есть множество плюсов: IETF не зависит от правовых вопросов и требований какой-либо страны, его нельзя засудить, взломать или атаковать. Но IETF не платит зарплаты, всё участие добровольно. Вся деятельность едва ли выходит на приоритет выше, чем «неприбыльная». Поэтому разработка новых стандартов идёт медленно.

Обсуждать или предлагать черновики стандартов может любой желающий — в IETF нет требований членства. В рабочей группе идёт основной процесс. Когда достигнуто согласие об общей теме, то с авторами предложения начинают обсуждения и доработку черновика. Результат уходит директору области, цель которого — перепроверка документа. Затем документ направляют в IANA, поскольку всеми изменениями протокола управляет именно эта организация.

Если наш черновик с новым расширением BGP пройдёт все круги ада, то поток утечек маршрутов иссякнет. Злонамеренные утечки никуда не уйдут, но для решения этой задачи есть лишь один вариант — постоянный мониторинг.

Прогноз

По статистике, полученной компанией Wallarm (Валарм) Онсек (Onsec) с развёрнутых компанией honeypot’ов, в 2016 году между публичным эксплойтом и его массовой эксплуатацией проходит в среднем 3 часа. В 2013 году этот срок составлял неделю. Злоумышленники становятся всё более подготовленными и профессиональными. Ускорение продолжится, мы ожидаем сокращения этого временного промежутка до 2 часов в ближайшем будущем. И снова лишь проактивный мониторинг способен предотвратить эту угрозу и застраховать от чудовищных последствий.

Взлом и сетевое сканирование уже достигли небывалого масштаба. Всё больше злоумышленников в этом году обзаведётся предварительно отсканированными диапазонами IP-адресов, сегментированных по используемым технологиям и продуктам — к примеру, «все серверы WordPress». Увеличится число атак на новые технологические стеки: микроконтейнеры, приватные и публичные облака (AWS, Azure, OpenStack).

В следующие один или два года мы ожидаем увидеть ядерный тип атак на провайдеров и другую инфраструктуру, когда пострадают связанные автономные системы или целые регионы. Последние несколько лет битвы меча и щита привели к более продвинутым методам нейтрализации. Но отрасль часто забывала о legacy, и технический долг довёл атаки до небывалой простоты. Начиная с этого момента, выстоять против рекордных нападений смогут лишь построенные со знанием дела гео-распределённые облачные системы.

Qrator Labs: устойчивость национальных сегментов Интернета в мире

7 июня 2016 года компания Qrator Labs сообщила о результатах исследования влияния возможных сбоев в работе сетей операторов связи на глобальную доступность национальных сегментов сети интернет.

Исследование проводилось в национальных сегментах 236 стран мира — всех, где действует Интернет. Результатом исследования стал рейтинг стран в порядке возрастания показателя, отражающий степень зависимости доступности^[18] национальных сегментов интернета от сбоев в работе отдельных операторов.

Расчет этого показателя для каждой исследуемой страны сделан по следующей методике:

• первым этапом на основе данных Maxmind составлена карта сетевых префиксов операторов, на которой анонсируемые префиксы распределены по национальным сегментам сети интернет.
• на втором этапе с использованием системы моделирования работы глобального интернета Qrator.Radar для каждого оператора проведен расчет степени влияния отказа его работы на конкретный национальный сегмент: определялось число префиксов национального сегмента, теряющих глобальную доступность в интернете.

Для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента префиксов заданного национального сегмента. Эти операторы перечислены во втором столбце таблиц, приведенных ниже.

На глобальную доступность национального сегмента сети интернет влияет состояние рынка страны. Чем выше зрелость рынка и степень его диверсифицированности (в частности, чем больше операторов среднего размера имеют доступ к трансграничному переходу), тем стабильнее работа всего национального сегмента.

В половине Америки «лег» интернет после DDoS-атаки на DNS-серверы компании Dyn

21 сентября 2016 г. пользователи интернета в США столкнулись с проблемой – десятки востребованных ресурсов были недоступны, либо работали с ошибками. В их число вошли социальная сеть Twitter, платежная система PayPal, новостной сайт Reddit, музыкальный сервис Spotify и другие^[20][21].

Проблемы доступа коснулись жителей густонаселенного Восточного побережья США, где проживает до половины населения страны, частично тихоокеанского побережья и отчасти Великобритании.

Как выяснилось, причиной неполадок была широкомасштабная DDoS-атака на DNS-серверы компании Dyn, которая является провайдером доменных имен. Проблема затронула практически все Восточное побережье США.

DNS-серверы отвечают за связь между доменным именем (например, ya.ru) и IP-адресом (213.180.204.3 соответственно). Если DNS-сервер не может ответить пользователю, браузер не знает, откуда получать информацию. Поэтому эти серверы можно отнести к ключевой инфраструктуре интернета — тем более, если речь идет о крупном провайдере услуг, который используют сервисы с миллионами пользователей^[22].

При DDoS-атаке сервер нагружается «мусорным» трафиком, в результате чего для обычных пользователей доступ ограничивается. В случае с провайдером Dyn для атаки использовались устройства «интернета вещей» — камеры, роутеры и так далее.

Часть ответственности лежит и на производителях техники. Они ничего не делают для того, чтобы пользователи изменяли стандартные пароли на камерах, роутерах, принтерах и других устройствах. Из-за этого получить к ним доступ очень просто. В итоге атаки идут с принтеров Xerox и Panasonic, а также камер с роутерами от менее известных компаний.

Действия компании

В 11:10 по всемирному времени (14:10 по Москве) Dyn сообщила на своем сайте, что ее сотрудники начали борьбу с атакой. Компания предупредила, что пользователи могут испытывать неудобства, связанные с задержками DNS-запросов и зонального распространения. В 13:20 по всеобщему времени Dyn заявила, что работа DNS-серверов полностью восстановлена

Какие ресурсы были недоступны

Во время атаки пользователи потеряли доступ к таким востребованным ресурсам, как веб-сервис для хостинга IT-проектов GitHub, сайт для поиска услуг Yelp, онлайн-словарь сленга Urban Dictionary, фотохостинг Pinterest, сервис обмена фотографиями Imgur, сервис по созданию сайтов Weebly, сервис загрузки контента Playstation Network и другим.

Федеральная торговая комиссия США подала в суд на D-Link

Федеральная торговая комиссия США (Federal Trade Commission, FTC) подала иск^[23] к тайваньской компании D-Link за то, что производитель не обеспечил безопасность своих продуктов, оставив их уязвимыми к хакерским атакам. Согласно исковому заявлению, D-Link не реализовала необходимые механизмы защиты в выпускаемых компанией маршрутизаторах и подключаемых к интернету видеокамерах, тем самым «поставив под угрозу безопасность тысяч потребителей»^[24].

Причиной подачи иска послужило использование киберпреступниками незащищенных устройств «Интернета вещей» (IoT) для создания ботнетов, используемых для осуществления масштабных DDoS-атак. К таковым в частности относится ботсеть Mirai, состоящая из маршрутизаторов, веб-камер и видеорегистраторов с ненадежными заводскими паролями. С помощью данного ботнета в прошлом году были осуществлены мощнейшие за всю историю DDoS-атаки. Кроме того, Mirai использовался для отключения интернета на восточном побережье США.

Сам ботнет Mirai состоял из подключённых к Интернету устройств с парами-логин пароль по умолчанию и достаточно простыми уязвимостями. Мы полагаем, что это — лишь первенец в целом поколении ботнетов на основе Интернета вещей. Даже решение проблемы одного Mirai не поможет. Злоумышленники сначала просто перебирали пароли, теперь ищут уязвимости и бэкдоры, доходит до изучения кода свежей прошивки устройства на предмет возможных «дырок» с последующей их эксплуатацией в течение считанных часов.

2014

Данные Qrator Labs

12 марта 2015 года стали известны результаты исследования киберугроз^[25], проведенного по итогам 2014 года компаниями Qrator Labs и Wallarm (Валарм) Онсек (Onsec)^[26].

По оценке компании Qrator Labs, представленной в марте 2015 года, 2014 год по количеству высокоскоростных DDoS-атак стал пиковым. Увеличилось и среднее количество DDoS-атак в день: c 18 до 28. Аналитики Qrator Labs считают, что в 2014 году произошел феноменальный рост количества атак со скоростью свыше 100 Гбит/сек. Прогнозируется, что количество таких атак в 2015 году снизится. Эксперты отметили многократный рост инцидентов, связанных с DDoS-атаками за последние 5 лет, атак повышенной сложности, что предполагает возможность увеличения числа атак в 2015 году, минимум на 20%. Рост количества атак связывают, в основном, с обострением конкурентной борьбы.

В 2014 году Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9,519 DDoS-атак. Максимальное число атак в день, направленных на клиентов компании, сократилось со 151 до 131. Среднее количество DDoS-атак в день возросло c 18 до 28.

По словам Александра Лямина, руководителя Qrator Labs, в 2014 году наблюдался рост числа атак повышенной сложности – со скоростью более 100 Гбит/с. В 2015 году высокоскоростные атаки (более 100 Гбит/с) пойдут на спад – пик пройден в 2014 году.

В конкретном случае разговор идет об атаках на входящий канал провайдера с целью: забить его «паразитным» трафиком. Атак такого типа стало меньше, но существенно выросли скорости. В зону риска попадают небольшие операторы связи и хостинг-компании. Доля атак со скоростью более 1 Гбит/с возросла с 2,58% в 2013 году до 5,47% в 2014 году. В 2014 году практически с «нуля» значительно выросли доли атак со скоростью более 10 Гбит/с (с 0,7% до 2,72%), то есть, они наблюдались примерно каждый рабочий день. Число атак более 100 Гбит/с выросло в 11 раз (с 0,1% до 1,32%). Специалисты Qrator отметили, что одной из тенденций, способствующих этому стало упрощение технологии организации DDoS-атак.

DDoS-атаки с помощью ботнетов на серверы и операционные системы остаются по-прежнему наиболее популярными среди злоумышленников. Александр Лямин отметил рост в 2014 году средних и максимальных размеров наблюдаемых ботнетов, что, по его мнению, говорит о возвращении ботнетов-монстров.

Наметился общий тренд по снижению атак класса DNS/NTP Amplification, на которые ранее приходилось более половины всех инцидентов, но злоумышленники активнее начинают нападать на сетевую инфраструктуру операторов.

Общее количество атак, зарегистрированных на компании—клиенты Wallarm (Валарм) Онсек (Onsec) в 2014 году, превышает 750 000. По словам Ивана Новикова, генерального директора Wallarm (Валарм) Онсек (Onsec), в зону риска в 2014-2015 году попали индустрия игр, рекламные сети CPA, электронная коммерция (магазины и аукционы), платежные системы и банки, СМИ. При этом если платежные системы и банки, интернет-ритейлеры и СМИ всегда были целью атак, то теперь заметно возросла активность злоумышленников в секторах, где к информационной безопасности раньше не было повышенного внимания.

Самыми распространенным остаются атаки с помощью ботнетов на сервера и ОС для исчерпания ресурсов сервера. На 50% в 2014 году вырос максимальный размер ботнета, задействованном в одной атаке: с 281 тыс. до 420 тыс. машин. Размер среднего ботнета показал 27% рост (с 1,5 тыс. до 1,9 тыс. машин).

«В 2014 году мы наблюдали случаи нападения непосредственно на сетевую инфраструктуру операторов, к которым они оказались не готовы. Есть гипотеза, что злоумышленники взяли под контроль большое количество чужого мощного сетевого оборудования — несколько сотен тысяч подключенных к Интернету маршрутизаторов и коммутаторов по всему миру, чьи владельцы не поменяли пароль с заводского, установленного по умолчанию. Теперь эти ресурсы без ведома их хозяев используются для масштабных нападений такого рода», — цитирует руководителя Qrator Labs Александра Лямина «Российская Газета».

График агрессивности, 2014

Кроме того, Qrator.Radar по итогам 2014 года зафиксировала рост частоты объемных Volumetric-атак, используемых как адресный инструмент против крупных целей. Широкое распространение этого вида DDoS специалисты Qrator Labs связывают с тем, что технологии атаки стали доступны низкоквалифицированным специалистам.

Массовому распространению способствовало упрощение технологии организации, а также снижение себестоимости Volumetric-атак, в том числе за счет возможности привлекать низкоквалифицированных специалистов. В настоящее время стоимость одной такой атаки снизилась до 10-50 долларов в сутки за 1 ГБ полосу. Наиболее распространенным остается метод усиления (Amplification), используемый для отправки длинных запросов ошибки в конфигурации DNS-серверов. Если раньше для организации объемной атаки требовалось формировать ботнет, то теперь возможность подделать IP-адрес жертвы и отправить запрос на уязвимый DNS-сервер позволяет злоумышленникам тратить значительно меньше ресурсов, в том числе времени на организацию атаки. Судя по всему, детальная схема реализации этих атак становится широкодоступной. В 2013 году популярным инструментом для Volumetric-атак были DNS-амплифиакторы. В 2014 году киберпреступники чаще использовали NTP- и SSDP-амплификаторы.

«График таких объемных атак перестал быть дискретным, и превратился в большую сплошную волну с красивым фронтом. Мы связываем это с тем, что инструменты, реализующие Volumetric-атаки, доступные раньше отдельным группам, вышли на массовый «хакерский рынок»», — прокомментировал Лямин Александр , руководитель Qrator Labs.

Данные Wallarm

Согласно исследованию Wallarm, в 2014 году топ-фаворитов по количеству атак распределился следующим образом:
базы данных (атаки в 35% случаев), атаки на клиентов/пользователей веб-сайтов (28%) и различные векторы атаки с возможностью удаленного исполнения кода на сервере (19%).

Уязвимость Simple Service Discovery Protocol превращает миллионы точек доступа, веб-камер и принтеров в инструменты DDoS-атак

Специалисты компании PLXsert сообщили в октябре 2014 года об идущих с июля 2014 года массовых DDoS-атаках, осуществляемых с использованием уязвимости протокола Simple Service Discovery Protocol, который применяется для объявления доступности миллионами устройств, поддерживающих стандарт Universal Plug and Play, — домашними маршрутизаторами, точками доступа, кабельными модемами, веб-камерами, принтерами и т. п. Атака организуется путем передачи специально подготовленного пакета SOAP на уязвимое устройство, в результате чего то отправляет ответный пакет по заданному адресу^[27].

Поскольку многие из уязвимых устройств — потребительские, маловероятно, что на них будут установлены заплаты, а в некоторых случаях такая возможность даже не предусмотрена. Учитывая это, специалисты PLXSert прогнозируют, что будут разрабатываться все новые инструменты, облегчающие организацию атак с помощью уязвимых протоколов и создание ботнетов. Такие атаки будет трудно подавлять, поскольку пакеты могут исходить одновременно из массы различных точек.

Чтобы устройство нельзя было задействовать в подобной атаке, специалисты PLXSert рекомендуют заблокировать трафик на порту 1900, используемом уязвимыми протоколами, если UPnP не нужен. В противном случае помогут только заплаты.

Данные Arbor Networks

Компания Arbor Networks представила летом 2014 года данные о DDoS-атаках в глобальной сети в первом полугодии 2014. Статистика неутешительна: и число, и интенсивность атак продолжают стабильно расти.

Так, число DDoS-атак, превышавших на пике трафик в 20 Гб/с, только за первые шесть месяцев нынешнего года превысило общее их число за весь 2013 год. А более чем сто атак первого полугодия 2014 превысили и показатель в 100 Гб/с.

Самая мощная из отмеченных Arbor Networks атак достигала на пике трафика в 154.69 Гб/с и была направлена против цели в Испании. Она использовала принцип отражения запросов NTP. Это сравнительно новая техника атак, основанная на использовании протокола NTP, служащего для синхронизации часов на компьютерах. Протокол NTP отличает то, что на достаточно короткие запросы он выдает развернутые ответы. Соответственно, подделав запрос и указав в нем в качестве отправителя адрес жертвы, можно генерировать очень высокий трафик на указанный IP-адрес. Такие атаки оказались очень популярны в первом полугодии, хотя наибольшее их число пришлось все же на первый квартал-2014. Также обращает на себя внимание рост продолжительности DDos-атак уже в течение этого года. Если в первом квартале средняя атака с объемом трафика свыше 10 Гб/с длилась порядка 54 минут, то во втором – уже 98 минут.

Генеральный директор Технического центра Интернет Алексей Платонов отметил: «DDoS-атаки стали основным «грубым» оружием в корпоративных интернет-войнах, такой дубиной информационной войны. Большие компании стали принимать меры для того, чтобы снизить ущерб от DDoS, но они рассчитаны только на определенную мощность атаки. Соответственно, злоумышленники наращивают мощность, чтобы пробить защиту – идет классическое соревнование брони и снаряда».

2013

Prolexic: Средняя мощность DDoS-атак в этом году выросла в восемь раз

По оценкам специалистов компании Prolexic, занимающейся организацией защиты от распределенных атак, направленных на отказ в обслуживании, в первом квартале 2013 года средняя мощность DDoS-атак составила 48,25 Гбит/с. Это в восемь раз больше, чем в последнем квартале прошлого года.

Мощность атаки на антиспамерскую организацию Spamhaus, оцененная в 300 Гбит/с, как считают в Prolexic, сильно преувеличена, но в марте Prolexic пришлось отражать атаку в 130 Гбит/с. Примерно 25% атак на сайты клиентов Prolexic в первом квартале не превышали по мощности 1 Гбит/с. Однако 11% атак проводилось с мощностью свыше 60 Гбит/с. Организованность и техническая оснащенность атакующих растет, отмечают специалисты. Повысился не только общий объем данных, которыми в ходе DDoS-атаки перегружают канал доступа в Интернет, но и частота отправки пакетов, что создает проблемы не только у непосредственной жертвы атаки, но и у провайдеров, магистральных операторов и компаний, занятых отражением атак.

Количество атак в первом квартале выросло на 1,75% по сравнению с предыдущим кварталом и на 21,75% — по сравнению с первым кварталом 2012 года. При этом выросла доля атак на инфраструктуру провайдеров и операторов связи.

Данные Arbor Networks

Как показало специальное исследование Arbor Networks, характер угроз, связанных с распределенными атаками, меняется во всем мире. По результатам опроса, проведенного в 2013 году, около 70% респондентов, пользующихся услугами ЦОД, сообщили, что столкнулись с DDoS-атаками (в 2012 году таковых было 50%). Одновременно зарегистрировано большое количество атак мощностью свыше 100 Гбит/с. Это весьма дорогостоящие «мероприятия» для рядового злоумышленника, и их обычно организуют «заказчики», активно криминализующие сообщество хакеров, все чаще в политических целях. Значительная часть зарегистрированных инцидентов была направлена на отказ работы приложений — такие атаки теперь наблюдаются регулярно. На 17% увеличилось и число атак на соединения SSL. Около трети респондентов столкнулось с нападениями на DNS-инфраструктуру.

Массированным атакам в 2013 году подвергались ресурсы российских компаний. Достаточно вспомнить серию DDoS-нападений на веб-сайты пяти крупнейших российских банков: в период с 1 по 7 октября 2013 года были атакованы «Альфа-Банк», «Газпромбанк», ВТБ, Сбербанк и Центробанк России. Однако, с тех пор как украинский кризис перешел в острую фазу, число DDoS-атак на ресурсы российских организаций выросло в разы, отмечали участники конференции.

Программно-аппаратные комплексы для защиты от таких атак предлагают несколько компаний: Arbor Networks, Radware, Check Point, а также российская «МФИ Софт». Кроме того, «Лаборатория Касперского (Kaspersky)», BIFIT, Group-IB и Qrator.Radar предоставляют клиентам облачные сервисы защиты от DDoS.

2012

Украина: DDoS-атака – как метод конкурентной борьбы

Около половины DDoS-атак, совершенных на Украине в I полугодии 2012 г., приходилось на сайты представителей бизнеса и торговые площадки. В целом, эксперты зафиксировали 111 атак в украинском сегменте Интернета. Самая продолжительная DDoS-атака в украинском сегменте Интернета длилась более 13 суток.

В мировом масштабе доля Украины как источника DDoS-атак снизилась до 2,8% по сравнению с 12% во II полугодии 2011 г..

Чаще всего заказчиками DDoS-атак являются конкуренты, считают в «Лаборатории Касперского». Дела, открытые правоохранительными органами по факту DDoS-атак, очень редко доходят до суда, признает источник в управлении по борьбе с киберпреступностью МВД. В государственном реестре судебных решений удалось найти лишь одно решение по делу о DDoS-атаке: за блокировку работы платежных систем «ОСМП» и «КиберПлат» в 2009 г. злоумышленник из Белой Церкви был приговорен к трем годам лишения свободы с испытательным сроком в два года.

По оценкам участников рынка, убытки крупных интернет-магазинов от DDoS-атак могут составлять до 300 тыс. долл. в день.

Основная масса хакеров, предоставляющих подобные услуги, – молодые непрофессионалы-одиночки, занимающиеся заражением компьютеров с помощью разработанных самостоятельно или купленных программ, рассказывает администратор «Украинской сети обмена трафиком» (UA-IX) Сергей Полищук. Однако на Украине работают и международные хакерские группировки, управляющие сетями по всему миру. Так, в июле сотрудники российской компании Group-IB заблокировали шесть распложенных в Украине серверов бот-сети Grum, считающейся третьей по величине в мире.

«Положить» сайт на сутки можно за 50-1000 долл. США в зависимости от его посещаемости и уровня защиты серверов. Программу для организации ботнета можно купить за 150 долл. США. Специалисты принимают оплату посредством большинства электронных платежных систем. В Group-IB оценивают доходы хакеров стран СНГ и Прибалтики в 2011 г. в 4,5 млрд долл. США

В Нидерландах предложили легализовать DDoS-атаки

Нидерландская оппозиционная социально-либеральная партия «Демократы 66» выступила летом 2012 года с обескураживающей инициативой, предложив легализовать DDoS-атаки и другие формы проявления несогласия в Интернете и придать им статус акций протеста, закрепив право на подобные «выступления» в Конституции, правда, с ограничениями. Об этом со ссылкой на местные СМИ сообщает агентство РБК.

Однако порядок и реализация форм онлайн-протеста должны быть четко прописаны в законодательстве, отмечают «Демократы 66». Так или иначе, по словам одного из членов партии, Киса Верховена, подобные атаки являются своеобразной демонстрацией, и у него вызывает удивление тот факт, что фундаментальные конституционные права граждан до сих пор не получили распространения в Интернете.

«Демократы 66» уже в ближайшее время планируют завершить работу над законопроектом, после чего он будет внесен на рассмотрение в парламент. В нижней палате парламента страны заседают десять членов партии, в верхней — пять. Позиция других парламентариев не известна.

Смотрите также

Примечания

DoS-атака

DoS (от англ. Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

DDoS-атака.

Распределённая DoS-атака

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.

Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме. Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют мощную DoS-атаку на целевой компьютер.

Существуют также программы для добровольного участия в DDoS-атаках.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Защита

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей4.

Причины использования DDoS-атак

Жертвы DDoS-атак.

Специалисты в области защиты информации выделяют несколько причин использования DDoS-атак.

Личная неприязнь

Эта причина нередко служит поводом для атак на крупные коммерческие и правительственные организации и компании. Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.

Развлечение

В настоящее время всё больше людей интересуются DoS-атаками, и все хотят попробовать себя в этом деле. Поэтому многие начинающие злоумышленники осуществляют DoS-атаки ради развлечения. После успешно проведённого нападения они смотрят масштабы своих разрушений.

Политический протест

Наиболее известными DDoS-атаками с целью политического протеста были акции в поддержку Памятника Воину-освободителю в Эстонии (2007), Южной Осетии (2008), Wikileaks (2011), Megaupload (2012) и EX.UA (2012).

Недобросовестная конкуренция

DDoS-атаки могут осуществляться по заказу недобросовестного конкурента.

Вымогательство или шантаж

DDoS-атаки могут осуществляться с целью вымогательства или шантажа, в этом случае злоумышленник предварительно связывается с владельцем сайта.

Классификация DoS-атак

Работа сервера в нормальном режиме.

Хакерам гораздо легче осуществить DoS-атаку на систему, чем получить полный доступ к ней. Существуют различные причины, из-за которых может возникнуть DoS-условие, то есть такая ситуация, при которой пользователи не могут получить доступ к ресурсам, которые предоставляет сервер, либо доступ к ним существенно затруднен:

Насыщение полосы пропускания

В настоящее время практически каждый компьютер подключён к сети Internet, либо к локальной сети. Это служит отличным поводом для осуществления DoS-атаки за счет переполнения полосы пропускания. Обычно злоумышленники пользуются флудом (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи. Есть несколько разновидностей флуда.

HTTP-флуд и ping-флуд

Это самый примитивный вид DoS-атаки. Насыщение полосы пропускания можно осуществить с помощью обычных ping-запросов только в том случае, если канал атакующего (например 1.544 Мбит/с) намного шире канала компьютера-жертвы, скорость в котором 128 Кбит/с. Но такая атака бесполезна против сервера, так как тот, в свою очередь, обладает довольно широкой полосой пропускания. Для атаки на сервер обычно применяется HTTP-флуд. Атакующий шлёт маленький по объёму HTTP-пакет, но такой, чтобы сервер ответил на него пакетом, размер которого в сотни раз больше. Даже если канал сервера в десять раз шире канала атакующего, то все равно есть большой шанс насытить полосу пропускания жертвы. А для того, чтобы ответные HTTP-пакеты не вызвали отказ в обслуживании у злоумышленника, он каждый раз подменяет свой ip-адрес на ip-адреса узлов в сети.

Smurf-атака (ICMP-флуд)

Атака Smurf или ICMP-флуд — одна из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100 % гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник — это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Поэтому для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов.

Атака Fraggle (UDP-флуд)

Атака Fraggle (осколочная граната)(от англ. _Fraggle attack_) является полным аналогом Smurf-атаки, где вместо ICMP пакетов используются пакеты UDP, поэтому её ещё называют UDP-флуд. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы.

Атака с помощью переполнения пакетами SYN (SYN-флуд)

Установка TCP — соединения.

До появления атаки Smurf была широко распространена атака с помощью переполнения пакетами SYN, также известная под названием SYN-флуд. Для описания её действия можно остановиться на рассмотрении двух систем А и В, которые хотят установить между собой TCP соединение, после которого они смогут обмениваться между собой данными. На установку соединения выделяется некоторое количество ресурсов, этим и пользуются DoS-атаки. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения. Рассмотрим подробнее, как это происходит. Хакер с системы А отправляет пакет SYN системе В, но предварительно поменяв свой IP-адрес на несуществующий. Затем, ничего не подозревая, компьютер В отправляет ответ SYN/ACK на несуществующий IP-адрес и переходит в состояние SYN-RECEIVED. Так как сообщение SYN/ACK не дойдет до системы А, то компьютер В никогда не получит пакет с флагом ACK. Данное потенциальное соединение будет помещено в очередь. Из очереди оно выйдет только по истечении 75 секунд. Этим пользуются злоумышленники и отправляют сразу несколько пакетов SYN на компьютер жертвы с интервалом в 10 секунд, чтобы полностью исчерпать ресурсы системы. Определить источник нападения очень непросто, так как злоумышленник постоянно меняет исходный IP-адрес.

Недостаток ресурсов

Злоумышленники прибегают к данному виду DoS-атаки для захвата системных ресурсов, таких как оперативная и физическая память, процессорное время и другие. Обычно такие атаки проводятся с учётом того, что хакер уже обладает некоторым количеством ресурсов системы. Целью атаки является захват дополнительных ресурсов. Для этого не обязательно насыщать полосу пропускания, а достаточно просто перегрузить процессор жертвы, то есть занять всё допустимое процессорное время.

Отправка «тяжёлых» пакетов

Атакующий посылает серверу пакеты, которые не насыщают полосу пропускания (канал обычно довольно широкий), но тратят всё его процессорное время. Процессор сервера, когда будет их обрабатывать, может не справиться со сложными вычислениями. Из-за этого произойдёт сбой, и пользователи не смогут получить доступ к необходимым ресурсам.

Переполнение сервера лог-файлами

Лог-файлы сервера — это файлы, в которых записываются действия пользователей сети или программы. Неквалифицированный администратор может неправильно настроить систему на своём сервере, не установив определённый лимит. Хакер воспользуется этой ошибкой и будет отправлять большие по объёму пакеты, которые вскоре займут всё свободное место на жёстком диске сервера. Но эта атака сработает только в случае с неопытным администратором, квалифицированные хранят лог-файлы на отдельном системном диске.

Плохая система квотирования

На некоторых серверах есть так называемая CGI-программа, которая связывает внешнюю программу с Web-сервером. Если хакер получит доступ к CGI, то он сможет написать скрипт (англ. scripting language), который задействует немало ресурсов сервера, таких как оперативная память и процессорное время. К примеру, скрипт CGI может содержать в себе циклическое создание больших массивов или вычисления сложных математических формул. При этом центральный процессор может обращаться к такому скрипту несколько тысяч раз. Отсюда вывод: если система квотирования настроена неправильно, то такой скрипт за малое время отнимет все системные ресурсы у сервера. Конечно, выход из этой ситуации очевиден — поставить определённый лимит на доступ к памяти, но и в этом случае процесс скрипта, достигнув этого лимита, будет находиться в ожидании до тех пор, пока не выгрузит из памяти все старые данные. Поэтому пользователи будут испытывать недостаток в системных ресурсах.

Недостаточная проверка данных пользователя

Недостаточная проверка данных пользователя также приводит к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).

Атака второго рода

Это атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Ошибки программирования

Профессиональные реализаторы DoS-атак не используют такой примитивный способ атаки, как насыщение полосы пропускания. Полностью разобравшись в структуре системы жертвы, они пишут программы (эксплойты), которые помогают атаковать сложные системы коммерческих предприятий или организаций. Чаще всего это ошибки в программном коде, приводящие к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.

Недостатки в программном коде

Обработка исключительных ситуаций всегда была головной болью для создателей операционных систем. Злоумышленники ищут ошибки в программном коде какой-либо программы либо операционной системы, заставляют её обрабатывать такие исключительные ситуации, которые она обрабатывать не умеет. За счёт этого возникают ошибки. Простым примером может служить частая передача пакетов, в которой не учитываются спецификации и стандарты RFC-документов. Злоумышленники наблюдают за тем, справляется ли сетевой стек с обработкой исключительных ситуаций. Если нет, то передача таких пакетов приведёт к панике ядра (kernel panic) или даже к краху всей системы в целом.

К этому классу относится ошибка Ping of death, распространённая в 1990-е годы. Длина пакета IPv4 по стандарту RFC 791 IPv4 не может превышать 65 535 байт; компьютеру-жертве посылается ICMP-пакет большей длины, предварительно разбитый на части; у жертвы от такого пакета переполняется буфер. Другая ошибка тех времён — WinNuke (Windows 95 неправильно обрабатывала редкий бит TCP-пакета URG).

Переполнение буфера

Переполнение буфера возникает в том случае, если программа из-за ошибки программиста записывает данные за пределами буфера. Допустим, программист написал приложение для обмена данными по сети, которое работает по какому-либо протоколу. В этом протоколе строго указано, что определённое поле пакета максимум может содержать 65536 байт данных. Но после тестирования приложения оказалось, что в её клиентской части в это поле нет необходимости помещать данные, размер которых больше 255 байт. Поэтому и серверная часть примет не более 255 байт. Далее злоумышленник изменяет код приложения так, что теперь клиентская часть отправляет все допустимые по протоколу 65536 байт, но сервер к их приёму не готов. Из-за этого возникает переполнение буфера, и пользователи не могут получить доступ к приложению.

Маршрутизация и атаки DNS

Все атаки на DNS-серверы можно разбить на два типа:

1) DoS-атаки на уязвимости в программном обеспечении на DNS-серверах

Их ещё называют атаками на кэш. В процессе этой атаки злоумышленник подменяет IP-адрес DNS-сервера домена жертвы. После чего атакуемый при запросе HTML-страницы, попадает либо в «чёрную дыру» (если IP-адрес был заменён на несуществующий), либо прямиком на сервер злоумышленника. Второй случай более плачевен, так как злоумышленник легко может получить доступ к личным данным ничего не подозревающей жертвы. Рассмотрим на примере, как это происходит. Допустим, что клиент хочет попасть на Web-узел компании microsoft.com. Но использовав уязвимость в DNS-сервере компании, злоумышленник подменил IP-адрес узла microsoft.com на свой. Теперь жертва автоматически перенаправляется на узел к атакующему.

2) DDoS атаки на DNS-серверы

Иллюстрация примера атаки через неправильно сконфигурированный DNS-сервер.

Далее речь пойдёт о DDoS-атаках, так как участие DNS-серверов всегда подразумевает наличие большого количества компьютеров. Атаки на DNS-серверы — самые банальные атаки, приводящие к отказу в обслуживании DNS-сервера как путём насыщения полосы пропускания, так и путём захвата системных ресурсов. Но такая атака требует огромного количества компьютеров-зомби. После её успешного проведения пользователи не могут попасть на нужную им страницу в Интернете, потому что DNS-сервер не может преобразовать доменное имя в IP-адрес сайта. Но в настоящее время атаки на DNS-серверы с использованием большого числа компьютеров-зомби (такую систему называют «ботнет») менее актуальны, так как интернет-провайдеры легко замечают большое количество исходящего трафика и блокируют его. Злоумышленники теперь обходятся небольшими ботнетами, либо не используют их вовсе. Основная идея состоит в том, что хакеры используют DNS-серверы, работающие на основе технологии DNSSEC. Мощность атаки возрастает вследствие увеличения отражений DNS-запросов. В идеале DNS-серверы определённого провайдера должны обрабатывать только те запросы, которые пришли к ним от пользователей этого провайдера, но это далеко от реальности. По всему миру очень много некорректно настроенных серверов, которые могут принять запрос от любого пользователя в Интернете. Работники компании CloudFlare утверждают, что в настоящее время в Интернете более 68 тысяч неправильно настроенных DNS-серверов, из них более 800 — в России. Именно такие DNS-серверы используются для DDoS-атак. Основная идея состоит в том, что практически все DNS-запросы шлются по протоколу UDP, в котором сравнительно просто подменить обратный адрес на адрес жертвы. Поэтому через неправильно сконфигурированные DNS-серверы злоумышленник шлёт такой запрос, чтобы ответ на него был как можно больше по объёму (например, это может быть список всех записей в таблице DNS), в котором обратный IP-адрес подменяется на IP-адрес жертвы. Как правило, серверы провайдеров имеют довольно большую пропускную способность, поэтому сформировать атаку в несколько десятков Гбит/c не составляет особого труда.

Расположение неправильно сконфигурированных DNS-серверов.
Красный — около 30 тысяч штук; бледно-бордовый — около 5 тысяч штук; серый — от 10 до 2000 штук; белый — практически нет неправильно настроенных DNS-серверов

Список автономных систем с самым большим числом неправильно сконфигурированных DNS-серверов на 10.11.2013.

Число DNS-серверов	Имя автономной системы
2108	BELPAK-AS Republican Unitary Telecommunication Enterprise Be
1668	HINET Data Communication Business Group
1596	OCN NTT Communications Corporation
1455	TELEFONICA CHILE S.A.
1402	KIXS-AS-KR Korea Telecom
965	Telefonica de Argentina
894	ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information C
827	KDDI KDDI CORPORATION
770	Compa Dominicana de Telefonos, C. por A. — CODETEL
723	CHINANET-BACKBONE No.31,Jin-rong Street
647	LGDACOM LG DACOM Corporation
606	UUNET — MCI Communications Services, Inc. d/b/a Verizon Busi
604	TELKOMNET-AS2-AP PT Telekomunikasi Indonesia
601	COLOMBIA TELECOMUNICACIONES S.A. ESP

Выявление DoS/DDoS-атак

Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют службы обеспечения безопасности. Они помогают произвести некоторые настройки системы. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут. В соответствии с правилами политики обеспечения безопасности, при обнаружении DoS или DDoS-атаки потребуется её регистрация для дальнейшего аудита. После того, как атака была зафиксирована, могут потребоваться службы обеспечения безопасности для некоторых корректировок в системе и для её возвращения к прежнему уровню работы. Также для обнаружения DDoS-атаки могут использоваться службы, не связанные с безопасностью, например, перенаправление трафика по другим каналам связи, включение резервных серверов для копирования информации. Таким образом, средства для обнаружения и предотвращения DDoS-атак могут сильно различаться в зависимости от вида защищаемой системы.

Методы обнаружения DoS-атак можно разделить на несколько больших групп:

• сигнатурные — основанные на качественном анализе трафика.
• статистические — основанные на количественном анализе трафика.
• гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.

Получившие известность DDoS атаки

Визуализация DDoS-атаки

Пик DDoS-атаки на CloudFlare

Воздействие DDoS-атаки на LINX в марте 2013 года.

Архитектура сетей разного уровня в Интернет

Так в 2012 году было проведено несколько крупномасштабных DDoS-атак на DNS-серверы. Первая из них планировалась на 31 марта, но так и не состоялась. Целью злоумышленников из группы Anonymous было довести до отказа всю глобальную сеть Интернет. Они хотели это сделать с помощью DDoS-атаки на 13 корневых DNS-серверов33. Злоумышленники выпустили специальную утилиту Ramp, которая предназначалась для объединения более мелких DNS-серверов и интернет-провайдеров. С помощью них и планировалось вывести из строя глобальную сеть.

Точно такая же атака была проведена в ноябре 2002 года. Её до сих пор считают самой глобальной DoS-атакой на DNS-серверы, так как в результате злоумышленники смогли вывести из строя 7 корневых серверов. Следующая атака прошла в августе на компанию AT&T, являющуюся крупнейшей американской телекоммуникационной компанией. В результате после атаки, которая продлилась 8 часов, вышли из строя DNS-серверы компании. Пользователи некоторое время не могли зайти не только на сайт компании AT&T, но и на коммерческие сайты в её сети.

Ещё одна атака прошла 10 ноября 2012 года на компанию Go Daddy, которая является крупнейшим в мире хостинг-провайдером. Последствия атаки были разрушительны: пострадал не только сам домен www.godaddy.com, но и более 33 миллионов доменов в сети Интернет, которые были зарегистрированы компанией.

Намного раньше, 22 августа 2003 года злоумышленники при помощи вируса Mydoom вывели из строя сайт компании SCO, занимающейся разработкой системного программного обеспечения. Целых 3 дня пользователи не могли попасть на сайт компании.

Атака на Spamhaus

15 сентября 2012 года, крупная DDoS-атака мощностью в 65 Гбит/с обрушилась на компанию CloudFlare, которая является сетью доставки контента, предназначенная для виртуального хостинга. Серверы данной компании расположены по всему миру. Это помогает пользователю загружать страницу в Интернете с ближайшего (с географической точки зрения) сервера CloudFlare намного быстрее. Ранее данная компания выдерживала DDoS-атаки мощностью в несколько десятков Гбит/с, но с атакой в 65 Гбит/с справиться не смогла. Этот пик пришёлся на субботу 15 сентября в 13:00. Сотрудники, работавшие на тот момент в компании CloudFlare, были бывшими хакерами, которым стало интересно разобраться, каким же именно методом была проведена данная DDoS-атака, и как злоумышленники смогли провести её с такой мощностью. Оказалось, что для такой атаки потребовалось бы 65 тысяч ботов, создающих трафик в 1 Мбит/c каждый. Но это невозможно, так как интернет-провайдеры с лёгкостью обнаружат и заблокируют такой большой объём трафика. При этом аренда большого ботнета очень дорого обходится. Поэтому выяснилось, что для такой атаки использовался метод приумножения DNS-запросов через открытые DNS-серверы.

Приблизительно через полгода, 18 марта, началась, по версии газеты The New York Times, самая большая DDoS-атака в истории, жертвой которой стала компания Spamhaus, занимающаяся занесением в чёрный список источников спама. Причиной атаки послужил тот факт, что Spamhaus занесла в чёрный список за рассылку спама голландского хост-провайдера Cyberbunker. Второй свое недовольство выразил с помощью DDoS-атаки с пиковой мощностью в 300 Гбит/с через открытые DNS-серверы. 19 марта мощность достигла 90 Гбит/c, меняя свое значение от 30 Гбит/с. После этого было затишье, но оно продлилось недолго и атака возобновилась с новой силой и 22 марта её мощность достигла 120 Гбит/c. Для отражения атаки компания CloudFlare распределила трафик между своими дата-центрами, после чего Cyberbunker поняла, что не сможет «положить» CloudFlare и начала новую волну атаки на её вышестоящие пиры. Некоторая часть пакетов отфильтровалась на уровне Tier2, остальной трафик попал на уровень Tier1, где мощность и достигла своего максимума в 300 Гбит/c. В этот момент миллионы пользователей сети Интернет почувствовали на себе всю мощь данной атаки, у них тормозили некоторые сайты. В итоге провайдеры выдержали эту атаку, но в Европе было зарегистрировано некоторое увеличение пинга при доступе к различным сайтам. Например, в лондонском центре обмена трафика LINX 23 марта из-за атаки скорость обмена данными упала более чем в два раза. Средняя скорость в 1.2 Тбит/c упала до 0.40 Тбит/c.

Защита от основных видов DoS-атак

В основном защита от DoS-атак строится на правильной настройке компьютера. Следующие меры защиты способны защитить лишь от слабых DoS-атак, либо они будут использоваться в качестве снижения её эффективности.

Защита от HTTP-флуда

Для защиты от HTTP-флуда необходимо увеличить одновременное количество максимальных подключений к базе данных сервера, установить перед Web-сервером Apache производительный Nginx для кэширования запросов.

# Увеличение максимального количества используемых файлов
  worker_rlimit_nofile 80000;
  events {
      # Увеличение максимального количества соединений
      worker_connections 65536;
      # Использование эффективного метода epoll для обработки соединений
      use epoll;
  }
  http {
      gzip off;
      # Отключение таймаута на закрытие keep-alive соединений
      keepalive_timeout 0;
      # Скрытие версии nginx в заголовке ответа
      server_tokens off;
      # Сбрасывание соединения по таймауту
      reset_timedout_connection on;
  }
  # Стандартные настройки для работы в качестве прокси
  server {
      listen 111.111.111.111 default deferred;
      server_name host.com www.host.com;
      log_format IP $remote_addr;
      location / {
          proxy_pass http://127.0.0.1/;
      }
     location ~* .(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ {
         root /home/www/host.com/httpdocs;
     }
  }

Защита от ICMP-флуда

Для того, чтобы защититься от ICMP-флуда нужно отключить ответы на запросы ICMP ECHO:

# sysctl net.ipv4.icmp_echo_ignore_all=1

или с помощью брандмауэра:

# iptables -A INPUT -p icmp -j DROP—icmp-type 8 

Защита от UDP-флуда

Так как UDP-пакеты отсылаются на различные UDP-сервисы, то достаточно просто отключить их от внешнего мира и установить ограничение на количество соединений к DNS-серверу:

# iptables -I INPUT -p udp—dport 53 -j DROP -m iplimit—iplimit-above 1

Защита от SYN-флуда

Защита строится на отключении очереди «полуоткрытых» TCP-соединений:

# sysctl -w net.ipv4.tcp_max_syn_backlog=1024

Включение механизма TCP syncookies:

# sysctl -w net.ipv4.tcp_syncookies=1 

Ограничение максимального числа «полуоткрытых» соединений с одного IP к конкретному порту:

# iptables -I INPUT -p tcp—syn—dport 80 -m iplimit—iplimit-above 10 -j DROP

На подходе к серверу должна быть настроена система анализа трафика, которая поможет вовремя узнать о приближающейся DoS-атаке и принять соответствующие меры по её избежанию.

 # Защита от спуфинга
  net.ipv4.conf.default.rp_filter = 1
  # Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина, она сразу ответит. Значение по умолчанию - 2 часа.
  net.ipv4.tcp_keepalive_time = 60
  # Повторить через 10 секунд
  net.ipv4.tcp_keepalive_intvl = 10
  # Количество проверок перед закрытием соединения
  net.ipv4.tcp_keepalive_probes = 5

Универсальные советы

Также есть несколько универсальных советов, которые помогут подготовить систему к DoS-атаке.

• Все серверы, которые имеют доступ во внешнюю сеть, должны быть подготовлены к удаленной аварийной перезагрузке. Также желательно наличие второго сетевого интерфейса, через который по ssh-соединению можно быстро получить доступ к серверу.
• Программное обеспечение, которое установлено на сервере, должно быть в актуальном состоянии, а именно: должно быть установлено последнее ПО, касающееся обеспечения безопасности системы.
• Все сетевые сервисы должны быть защищены брандмауэром.

Действия в самом начале DoS-атаки

Перед началом самой атаки атакующие компьютеры только набирают обороты, со временем увеличивая поток пакетов на компьютер-жертву. В это время необходимо быстро принять конкретные действия по предотвращению атаки. Например, для определения SYN-флуда необходимо установить число «полуоткрытых» соединений:

grep ":80 " | grep SYN_RCVD

В идеале их не должно быть совсем (максимум 1-3). Если это не так, то можно говорить о наличии DoS-атаки. Сложнее обстоит дело с HTTP-флудом. В самом начале необходимо подсчитать количество подключений на 80 порт и количество процессов Apache. Если они значительно превышают среднестатистические, то следует задуматься.

grep httpd | wc -l |  grep ":80 " | wc -l

Список IP-адресов, с которых идут запросы на подключение можно посмотреть следующей командой:

grep ":80 " | sort | uniq -c | sort -nr | less

Далее следует провести анализ пакетов с помощью команды tcpdump:

# tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 and host IP-сервера

Если наблюдается большой поток однообразных пакетов с разных IP-адресов, которые направлены на один порт, можно смело предполагать, что имеет место DoS-атака. Далее необходимо сбросить все эти соединения (лучше всего это сделать на маршрутизаторе):

# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp—destination-port http -j DROP

Все эти методы обнаружения и предотвращения DoS-атаки дадут лишь некоторое время для обращения к провайдеру. Необходимо предоставить все лог-файлы web-сервера, ядра самого компьютера, брандмауэра и списки всех обнаруженных IP-адресов.

Защита от DDoS-атак

Цитата

«Только атаки дилетантов нацелены на машины. Атаки профессионалов нацелены на людей».
Б. Шнайер

Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния.

Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.

• Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем.
• Ответные меры. Применяя технические и правовые меры, нужно как можно активнее воздействовать на источника и организатора DDoS-атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора.
• Программное обеспечение. На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер.
• Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL. Использование межсетевых экранов блокирует конкретный поток трафика, но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP. Это не замедляет скорость работы сервера, но бесполезно в том случае, если злоумышленник использует первостепенные запросы.
• Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
• Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
• Наращивание ресурсов. Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак.
• Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
• Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
• Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
• Использование оборудования для отражения DDoS-атак. Например, DefensePro® (Radware), SecureSphere® (Imperva), Периметр (МФИ Софт), Arbor Peakflow®, Riorey, Impletec iCore и от других производителей.
• Приобретение сервиса по защите от DDoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.

Также компания Google готова предоставлять свои ресурсы для отображения контента вашего сайта в том случае, если сайт находится под DDoS-атакой. На данный момент сервис Project Shield находится на стадии тестирования, но туда могут быть приняты сайты некоторых тематик. Цель проекта — защитить свободу слова.