(343) 365-02-05 |
DDoS-атаки
DDoS-атака - сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла. Первые сообщения о DDoS-атаках относятся к 1996 году. Но всерьез об этой проблеме заговорили в конце 1999 года, когда были выведены из строя веб-серверы таких корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Спустя год, в декабре 2000-го "рождественский сюрприз" повторился: серверы крупнейших корпораций были атакованы по технологии DDoS при полном бессилии сетевых администраторов. С тех пор сообщение о DDoS-атаке уже не являются сенсацией. Главной опасностью здесь является простота организации и то, что ресурсы хакеров являются практически неограниченными, так как атака является распределенной. Мотивы организаторов подобных атак могут быть разными: проплаченный заказ конкурентов жертвы, вымогательство денег у жертвы, хулиганские побуждения и т.д. Стоимость данного мероприятия начинается от $150 в сутки. Схематически DDoS-атака выглядит примерно так: на выбранный в качестве жертвы сервер обрушивается огромное количество ложных запросов со множества компьютеров с разных концов света. В результате сервер тратит все свои ресурсы на обслуживание этих запросов и становится практически недоступным для обычных пользователей. Циничность ситуации заключается в том, что пользователи компьютеров, с которых направляются ложные запросы, могут даже не подозревать о том, что их машина используется хакерами. Программы, установленные злоумышленниками на этих компьютерах, принято называть "зомби". Известно множество путей "зомбирования" компьютеров - от проникновения в незащищенные сети, до использования программ-троянцев. Этот подготовительный этап является для злоумышленников наиболее трудоемким. Чаще всего злоумышленники при проведении DDoS-атак используют трехуровневую архитектуру, которую называют "кластер DDoS". Такая иерархическая структура содержит:
Управляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки; Проследить такую структуру в обратном направлении практически невозможно. Максимум того, что может определить атакуемый, это адрес агента. Специальные мероприятия в лучшем случае приведут к главному компьютеру. Но, как известно, и компьютеры-агенты, и главные компьютеры являются также пострадавшими в данной ситуации и называются "скомпрометированными". Такая структура делает практически невозможным отследить адрес узла, организовавшего атаку. Другая опасность DDoS заключается в том, что злоумышленникам не нужно обладать какими-то специальными знаниями и ресурсами. Программы для проведения атак свободно распространяются в Сети. Дело в том, что изначально программное обеспечение DDoS создавалось в "мирных" целях и использовалось для экспериментов по изучению пропускной способности сетей и их устойчивости к внешним нагрузкам. Наиболее эффективным в этом случае является использование так называемых ICMP-пакетов (Internet control messaging protocol), т.е. пакетов, имеющих ошибочную структуру. На обработку такого пакета требуется больше ресурсов, после решения об ошибочности пакет отправляется посылающему, следовательно достигается основная цель - "забивается" трафик сети.
За годы это программное обеспечение постоянно модифицировалось и к настоящему времени специалисты по информационной безопасности выделяют следующие виды DDoS-атак: Естественно, наиболее опасными являются программы, использующие одновременно несколько видов описанных атак. Они получили название TFN и TFN2K и требуют от хакера высокого уровня подготовки. Одной из последних программ для организации DDoS-атак является Stacheldracht (колючая проволока), которая позволяет организовывать самые различные типы атак и лавины широковещательных пинг-запросов с шифрованием обмена данными между контроллерами и агентами. На уровне сервера желательно иметь вывод консоли сервера на другой IP-адрес по SSH-протоколу для возможности удаленной перезагрузки сервера. Другим достаточно действенным методом противодействия DDoS-атакам является маскировка IP-адреса. Весьма важным делом в этом направлении является профилактика - программное обеспечение должно быть "отпатчено" от всевозможных "дыр". В последнее время получили довольно широкое распространение DDoS-атаки на телефонные номера. С помощью специального программного обеспечения злоумышленники полностью блокируют работу "заказанной" телефонной линии. На номер постоянно поступает множество звонков по десяткам (иногда и сотням) каналов ip-телефонии, которые просто "забивают" номер и дозвониться на него практически невозможно. При должной предварительной подготовке можно "положить" даже многоканальную линию. Таким методом пользуются обычно для внесения проблем в работу конкурентов. Целые офисы могут длительное время оставаться без связи. Для заказчика стоимость такого "телефонного терроризма" начинается от $30 в час. Как уже отмечалось, обнаружить виртуальных террористов, организовавших DDoS-атаку, задача очень сложная. Законодательство тоже не способствует борьбе с этим явлением. Для привлечения хакера к ответственности предусмотрено только три условия. Это состоявшийся несанкционированный доступ, незаконное использование чужой информации, а также уничтожение файлов компьютерной системы. Увы, наказать за блокировку вашего сайта или телефона по этим параметрам просто невозможно. Другое дело, когда за нормальную, бесперебойную работу ресурса с вас требуют деньги: это уже пахнет вымогательством... |