Защита от DDoS атак.

 Как защититься от DDos-атак и других киберугроз?

Кибер-атаки из развлечения школьников стали не только инструментом «конкурентной» борьбы, но и становятся инструментом политической борьбы. Эта реальность с которой так или иначе должны считаться не только коммерческие организации, но государственные институты. Мы расскажем о видах атак и о том, как защитить свою ИТ инфраструктуру.

Суть DDos-атак не изменилась, но нужно защищаться

ИТ-сфера развивается, усложняется, поэтому и усложняются атаки. Технически, DDos-атака как была так и осталось комплексом действий, где цель - “забить” канал связи, при котором будет недоступен сайт/сервис. Это возможно при разных сценариях. Только если раньше атаковались сервера, находящиеся у клиента, теперь атакуются мощности провайдеров. Но у провайдеров (ЦОДов) гораздо больше возможностей защиты. Из-за усложнения ИТ-инфраструктуры меняются составляющие “архитектуры атаки” через которые идет атака. Как правило, сеть любого предприятия состоит из разного рода решений: свичи, роутеры, все они разные по уровню защиты, и поэтому они могут подвергнуться атаке.

Раньше для этого взламывались рабочие компьютеры – но это затратно и не так эффективно. Последний тренд, о котором сообщают ИТ-инженеры по кибер-безопасности - атака через элементы виденаблюдения. Взламываются регистраторы и IP камеры так как чаще всего эти устройства работают на Open Source решениях и уязвимы для злоумышленников. Затем эта ботнет-сеть начинает атаковать какой-то адрес. Такой распределенной сетью, которая атакует (шлет запросы) могут быть любые «вещи с подключением к интернету» ведь той же IP камере, или холодильнику с подключением к сети, все равно, куда слать запрос. Любые датчики, подключенные к интеренету, если они инфицированы - могут быть очень опасной вещью. Таким образом «интернет вещей», который сулит блага цивилизации может обернуться уязвимостью всей огромной современной ИТ-инфраструктуры.

Системы безопасности уже давно могут собирать разные событие в общие лог-файлы, но вопрос в том, что с этим делать - как это интерпретировать? При правильной архитектуре системы безопасности - система может собрать все разрозненные события в одну общую картину, которая сразу проясняет клиенту что и откуда у него было атаковано. Например, кто-то сканировал порты заказчика, а потом началась атака для доступа к данным и т.д. - Такими возможностями «понимания» событий защиты для своих клиентов обладают провайдеры и ЦОДы.

Для справки, основные виды DDos:

UDP-флуд — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть. Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимност

HTTP-флуд - это наиболее распространенная flood атака. В ее основе – отсылка HTTP-запросов GET на 80-й порт. Это приводит к такому состоянию загрузки сервера, что он оказывается неспособным к обработке других запросов. Данная flood атака может быть нацелена как на корень сервера, так и на его скрипт, занятый выполнением ресурсоемких задач. Распознание данной атаки возможно путем выявления быстрого роста количества запросов к одному или нескольким скриптам на сервери и быстрому росту логов сервера.

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.


Важна правильная настройка ИТ безопасности

Также никто не может исключать человеческий фактор, сводящий на нет все усилия по защите ИТ-периметра. Очень часто дело не в качестве решений по безопасности, а в правильном их использовании и настройке. Другими словами, даже приобретя хорошее дорогостоящее решение по защите, само по себе инструмент должен использоваться в правильном варианте ИТ-инфраструктуры.

Атаки есть простые, есть сложные, есть дешевые, а есть дорогие, все зависит от конкретного сайта или сервиса, который хотят атаковать.  В самом простом случае - у клиента забивают канал, в случае сложной атаки - у клиента страдает что-то программно. Также часто хакеры, которые продают DDos-атаки что-то атакуют, чтобы показать «свои возможности» перед потенциальными заказчиками.

Как уже говорилось, DDos-атака может быть частью общего плана злоумышленников – как отвлекающий фактор. Например, взламывается счета компании, выводятся деньги, а затем ддосом ложится сеть, чтобы компании - жертве взлома, было не до того, чтобы не могли ничего сделать - не смогли бы «догнать» свои украденные деньги.

Социальная инженерия как средство взлома

Очень часто злоумышленникам не нужно ничего взламывать, средством «взлома» служит  социальная инженерия – просчет поведения людей. Например, рядом с офисом «теряется» флешка, кто-то из сотрудников находит ее, приносит на работу, вставляет флешку - и вуаля - не нужно ничего взламывать – сеть компании заражена изнутри, в обход всех систем защиты. И сеть огромного предприятия не работает. Особенность таких «заражений» в том, что их очень сложно вылечить, так как заражено вообще все. Устройства сети постоянно перезаражают друг друга. Администратор только вылечил какой-то хост, как он тут же перезаражается. Например, таким образом была заражена сеть супермаркетов электроники и МБТ/КБТ. ИТ-отделу пришлось срочно разбивать на карантинные сектора всю сеть, и поочередно «лечить» все устройства - на 2 дня была парализована работа всей огромной компании. Можно посчитать убытки, ведь для того, что очистить даже самую удаленную кассу, администраторам нужно было физически поехать и очищать устройство от вируса.

Также опасными могут так называемые zero day уязвимости – те «дыры», которые еще неизвестны производителю как уязвимости. И открывая PDF-файл из интернета, вы не можете быть уверены, что это не будет чревато для вашей ит-системы. Тот же Microsoft постоянно шлет патчи по закрытию уязвимости, но здесь все может зависеть от элементарного головотяпства, когда администраторы просто не считают нужным ставить обновления на свой парк машин, которые остаются уязвимыми для внешних и внутренних угроз.

Защита от DDoS атаки.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Атака с модификацией поля TOS (Type of Service (TOS) flood)

 Для выполнения атак этого вида используется поле TOS заголовка IP пакета. В сетях Ethernet это поле используется для уведомления о перегрузке (ECN) и для назначения приоритета обслуживания трафика (DiffServ). Этот тип атак используется достаточно редко. Существует 2 сценария атаки с модификацией поля TOS. В первом случае атакующий подделывает ECN поле в пакетах. Это создает иллюзию перегруженности сети, и сервер самостоятельно ограничивает пропускную способность для отдельных подключений. Во втором случае атакующий использует DiffServ флаги для изменения приоритета трафика. Использование данных флагов не является DDoS атакой как таковой, но может быть применено для увеличения эффективности атаки.
Далее...

заказать ddos

Изображение
Абузоустойчивый хостинг - antiddos.biz Широкую узнаваемость в узких объединениях пользователей получает так и это факт абузоустойчивый хостинг. А теперь давайте вкратце и основательней вникнем в основу действия и попробуем изучить что это за услуга и кому она может быть полезна. В общем понятии - абузоустойчивый хостинг это хостинг который не воспринимает любые претензии и предоставлен для расположения разноцелевого контента. В том числе интернет контента предназначенного на явно незаконные мероприятия. Как вы догадались, предоставлять похожую услугу также относят под статьи права. Абузоустойчивым хостингом чаще всего пользуются аферисты и благодаря существованию похожих серверов, занимаются разносторонней хакерской . Сферы деятельности абузоустойчивого хостинга от компании antiddos.biz
Далее...

Абузоустойчивый хостинг

Изображение
Абузоустойчивый хостинг - antiddos.biz Широкую популярность в особых кругах пользователей получает так называемый абузоустойчивый хостинг. В этой статье чуть-чуть подробней войдем в корень задачи и попробуем понять что это за услуга и кому она может быть полезна. В стандартном понятии - абузоустойчивый хостинг это хостинг который не пропускает всевозможные претензии и предоставлен для расположения разнопланового контента. В том числе интернет контента предназначенного на определенные преступные действия. Как вы и подумали, предоставлять такую сервисную службу также относят под статьи законодательного акта. Абузоустойчивым хостингом чаще всего пользуются злоумышленники и посредством похожих серверов, занимаются различной противозаконной . Действие абузоустойчивого хостинга от компании antiddos.biz
Далее...