www.romver.ru / Раздел МоЕ / infobox и DDOS-атака

Vot takoe segodna prislali mne kak tomu, u kogo est' ku4a saytov i raspolojeni oni na infobox.ru

 

Uvajaemiy klient kompanii Infoboks.

30.05.2007 v 11:30 na4alas' DDOS-ataka - do 2 Gb v sekundu.
Atake podvergalis' neym-servera.
V rezul'tate bol'6aa 4ast' kanalov okazalas' peregrujena.
V danniy moment intensivnost' ataki snijena.

--
Vi polu4ili dannoe soob6enie, tak kak avlaetes' kontaktnim licom
po akkauntu s loginom tmp.
Dla nastroyki rassilki na etot adres zaydite v panel' upravlenia
v razdel Platel'6ik ili Kontaktnie lica ili najmite na ssilku
http://support.infobox.ru/unsubscribe.php

--
S uvajeniem,
slujba texni4eskoy podderjki internet-kompanii INFOBOX

www: http://www.infobox.ru
tel./faks: +7 (812) 323-23-23 (Sankt-Peterburg)
tel./faks: +7 (495) 540-31-24 (Moskva)

 

 

Terrorizm - eto, pojaluy, samaa bol'6aa problema 4elove4estva na segodna6niy den'. I virtual'noe soob6estvo zdes' malo 4em otli4aetsa ot real'nogo mira. U6li te romanti4eskie vremena, kogda sobiratel'nim obrazom xakera avlalsa xitriy tip, vzlomav6iy za6itu banka i pereka4av6iy na svoy s4et kruglen'kuu summu. Jestkie vremena - jestkie nravi. Teper' xakeri s pomo6'u ataki na server blokiruut ego rabotu, a zatem vistavlaut xozaevam svoi trebovania. Virtual'niy terror v 4istom vide. Redkiy mesac obxoditsa bez sensacionnix soob6eniy v presse o tom, 4to tot ili inoy server podvergsa DDoS-atake. V dannom obzore popitaemsa razobrat'sa v tom, 4to takoe DDoS-ataka i 4to mojno predprinat', 4tobi snizit' ee opasnost'.

DDoS-ataka - sokra6enie ot Distributed Denial Of Service Attack. Osobennost'u dannogo vida komp'uternogo prestuplenia avlaetsa to, 4to zloumi6lenniki ne stavat svoey cel'u nezakonnoe proniknovenie v za6i6ennuu komp'uternuu sistemu s cel'u kraji ili uni4tojenia informacii. Cel' dannoy ataki - paralizovat' rabotu atakuemogo veb-uzla. Pervie soob6enia o DDoS-atakax otnosatsa k 1996 godu. No vser'ez ob etoy probleme zagovorili v konce 1999 goda, kogda bili vivedeni iz stroa veb-serveri takix korporaciy, kak Amazon, Yahoo, CNN, eBay, E-Trade i rada drugix, nemnogim menee izvestnix. Spusta god, v dekabre 2000-go "rojdestvenskiy surpriz" povtorilsa: serveri krupney6ix korporaciy bili atakovani po texnologii DDoS pri polnom bessilii setevix administratorov. S tex por soob6enie o DDoS-atake uje ne avlautsa sensaciey. Glavnoy opasnost'u zdes' avlaetsa prostota organizacii i to, 4to resursi xakerov avlautsa prakti4eski neograni4ennimi, tak kak ataka avlaetsa raspredelennoy.

Sxemati4eski DDoS-ataka vigladit primerno tak: na vibranniy v ka4estve jertvi server obru6ivaetsa ogromnoe koli4estvo lojnix zaprosov so mnojestva komp'uterov s raznix koncov sveta. V rezul'tate server tratit vse svoi resursi na obslujivanie etix zaprosov i stanovitsa prakti4eski nedostupnim dla obi4nix pol'zovateley. Cini4nost' situacii zaklu4aetsa v tom, 4to pol'zovateli komp'uterov, s kotorix napravlautsa lojnie zaprosi, mogut daje ne podozrevat' o tom, 4to ix ma6ina ispol'zuetsa xakerami. Programmi, ustanovlennie zloumi6lennikami na etix komp'uterax, prinato nazivat' "zombi". Izvestno mnojestvo putey "zombirovania" komp'uterov - ot proniknovenia v neza6i6ennie seti, do ispol'zovania programm-troancev. Pojaluy, etot podgotovitel'niy etap avlaetsa dla zloumi6lennika naibolee trudoemkim.

4a6e vsego zloumi6lenniki pri provedenii DDoS-atak ispol'zuut trexurovnevuu arxitekturu, kotoruu nazivaut "klaster DDoS". Takaa ierarxi4eskaa struktura soderjit:

 

• upravlau6uu konsol' (ix mojet bit' neskol'ko), t.e. imenno tot komp'uter, s kotorogo zloumi6lennik podaet signal o na4ale ataki;
• glavnie komp'uteri. Eto te ma6ini, kotorie polu4aut signal ob atake s upravlau6ey konsoli i peredaut ego agentam-"zombi". Na odnu upravlau6uu konsol' v zavisimosti ot mas6tabnosti ataki mojet prixodit'sa do neskol'kix soten glavnix komp'uterov;
• agenti - neposredstvenno sami "zombirovannie" komp'uteri, svoimi zaprosami atakuu6ie uzel-mi6en'.

Prosledit' takuu strukturu v obratnom napravlenii prakti4eski nevozmojno. Maksimum togo, 4to mojet opredelit' atakuemiy, eto adres agenta. Special'nie meropriatia v lu46em slu4ae privedut k glavnomu komp'uteru. No, kak izvestno, i komp'uteri-agenti, i glavnie komp'uteri avlautsa takje postradav6imi v dannoy situacii i nazivautsa "skomprometirovannimi". Takaa struktura delaet prakti4eski nevozmojnim otsledit' adres uzla, organizovav6ego ataku.

Drugaa opasnost' DDoS zaklu4aetsa v tom, 4to zloumi6lennikam ne nujno obladat' kakimi-to special'nimi znaniami i resursami. Programmi dla provedenia atak svobodno rasprostranautsa v Seti.

 

Delo v tom, 4to izna4al'no programmnoe obespe4enie DDoS sozdavalos' v "mirnix" celax i ispol'zovalos' dla eksperimentov po izu4eniu propusknoy sposobnosti setey i ix ustoy4ivosti k vne6nim nagruzkam. Naibolee effektivnim v etom slu4ae avlaetsa ispol'zovanie tak nazivaemix ICMP-paketov (Internet control messaging protocol), t.e. paketov, imeu6ix o6ibo4nuu strukturu. Na obrabotku takogo paketa trebuetsa bol'6e resursov, posle re6enia ob o6ibo4nosti paket otpravlaetsa posilau6emu, sledovatel'no dostigaetsa osnovnaa cel' - "zabivaetsa" trafik seti.

Za godi eto programmnoe obespe4enie postoanno modificirovalos' i k nastoa6emu vremeni specialisti po informacionnoy bezopasnosti videlaut sleduu6ie vidi DDoS-atak:

• UDP flood - otpravka na adres sistemi-mi6eni mnojestva paketov UDP (User Datagram Protocol). Etot metod ispol'zovalsa v rannix atakax i v nastoa6ee vrema s4itaetsa naimenee opasnim. Programmi, ispol'zuu6ie etot tip ataki legko obnarujivautsa, tak kak pri obmene glavnogo kontrollera i agentov ispol'zuutsa ne6ifrovannie protokoli TCP i UDP.
• TCP flood - otpravka na adres mi6eni mnojestva TCP-paketov, 4to takje privodit k "svazivaniu" setevix resursov.
• TCP SYN flood - posilka bol'6ogo koli4estva zaprosov na inicializaciu TCP-soedineniy s uzlom-mi6en'u, kotoromu, v rezul'tate, prixoditsa rasxodovat' vse svoi resursi na to, 4tobi otslejivat' eti 4asti4no otkritie soedinenia.
• Smurf-ataka - ping-zaprosi ICMP (Internet Control Message Protocol) po adresu napravlennoy 6irokove6atel'noy rassilki s ispol'zovaniem v paketax etogo zaprosa fal'6iviy adres isto4nika v rezul'tate okazivaetsa mi6en'u ataki.
• ICMP flood - ataka, analogi4naa Smurf, no bez ispol'zovania rassilki.

Estestvenno, naibolee opasnimi avlautsa programmi, ispol'zuu6ie odnovremenno neskol'ko vidov opisannix atak. Oni polu4ili nazvanie TFN i TFN2K i trebuut ot xakera visokogo urovna podgotovki.

Odnoy iz poslednix programm dla organizacii DDoS-atak avlaetsa Stacheldracht (kolu4aa provoloka), kotoraa pozvolaet organizovivat' samie razli4nie tipi atak i lavini 6irokove6atel'nix ping-zaprosov s 6ifrovaniem obmena dannimi mejdu kontrollerami i agentami.

Kone4no je, v etom obzore ukazani tol'ko naibolee izvestnie programmi i metodiki DDoS. Na samom dele spektr programm namnogo 6ire i postoanno dopolnaetsa. Po etoy je pri4ine dostato4no naivnim bilo bi opisanie universal'nix nadejnix metodov za6iti ot DDoS-atak. Universal'nix metodov ne su6estvuet, no k ob6im rekomendaciam dla snijenia opasnosti i umen'6enia u6erba ot atak mojno otnesti takie meri, kak gramotnaa konfiguracia funkciy anti-spufinga i anti-DoS na mar6rutizatorax i mejsetevix ekranax. Eti funkcii ograni4ivaut 4islo poluotkritix kanalov, ne pozvolaa peregrujat' sistemu.

Na urovne servera jelatel'no imet' vivod konsoli servera na drugoy IP-adres po SSH-protokolu dla vozmojnosti udalennoy perezagruzki servera. Drugim dostato4no deystvennim metodom protivodeystvia DDoS-atakam avlaetsa maskirovka IP-adresa.

Ves'ma vajnim delom v etom napravlenii avlaetsa profilaktika - programmnoe obespe4enie doljno bit' "otpat4eno" ot vsevozmojnix "dir".

Kak uje otme4alos', obnarujit' virtual'nix terroristov, organizovav6ix DDoS-ataku, zada4a o4en' slojnaa. Poetomu dla bor'bi s dannim vidom ugroz neobxodimo tesnoe sotrudni4estvo administratorov serverov i s internet-provayderami, a takje provayderov s operatorami magistral'nix setey. Potomu 4to, kak i v real'noy jizni, borot'sa s terrorizmom vozmojno tol'ko ob&edineniem zakonoposlu6nix grajdan.

Avtor: Vladimir Malar4uk
Isto4nik: www.hostinfo.ru