IX Международная студенческая научная конференция Студенческий научный форум - 2017

ВВЕДЕНИЕ

DDOS-атака (с англ. Distributed Denial of Service — «отказ от обслуживания») — это атака на сайт, основной целью которой является выведение его из строя путём подачи большого количества ложных запросов. В результате такой атаки сервера, обслуживающие сайт, вынуждены обрабатывать чрезмерный объём ложных запросов, и сайт становится недоступным для простого пользователя.

Цель DDoS-атаки — полное прекращение работы атакуемого сервера за счёт подачи на него большого количества ложных запросов.

Популярными жертвами таких атак становятся множество компаний по всему миру, онлайн-сервисы которых критичны для бизнеса — среди них интернет-магазины, коммерческие и информационные сайты. Хакеры в последнее время используют такой вид атак с целью вымогательства, требуя денег за прекращение атаки, или ведут информационную войну. Атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-ресурсов.

1 ИСТОРИЯ ВОЗНИКНОВЕНИЯ DDOS-АТАК

На DDoS-атаки начали жаловаться ещё в 1996 году. Однако широкое внимание к проблеме возникло только в конце 1999 года, когда практически одновременно были выведены из строя веб-сервисы крупнейших мировых корпораций (Amazon, Yahoo, CNN, eBay, E-Trade и других). Принимать срочные меры по решению проблемы стали только в декабре 2000 года, когда вновь были совершены воздействия на сервера ключевых корпораций.

Рождение такого вида проблемы было довольно безобидным, мирным. Естественно, с самого начала никто не задумывался о том, что может появиться некая необходимость по защите сайтов от DDoS атак: все думали, что DoS или Denial of Service Effect будет эффективно использоваться на благо всего общества. С помощью DoS тестировались компьютерные системы, а также проверяли их стойкость и надежность.

Но время идет, и то, что когда то использовалось для тестов и проверок, на сегодняшний день стало хорошим оружием для нападения серверов и сайтов, при этом, заставляя владельца серьёзно задуматься вопросом своей безопасности в Интернете.

Сегодня, защита от атак DDOS – это в первую очередь пересечение злоумышленной деятельностью рассчитанной на то, что бы вся компьютерная система отказала бы в обслуживании. Если нападение такого рода было успешным, то в этом случае нарушается корректная работа оборудования, а также перестают выполняться функции, обеспечивающие нормальное функционирование сервера и обслуживающие пользователей.

2 ОСНОВНЫЕ ВИДЫ DDOS-АТАК

Существует немало видов DDoS атак, у каждой свой почерк и способы преодоления. Не все атаки можно ослабить или побороть. Иногда даже нет смысла пытаться, и проще переждать, грустно подсчитывая убытки. Изложить подробно механизмы противостояния каждому типу невозможно, об этом можно писать книги и защищать диссертации. Основные виды атак кратко описаны ниже.

Самый простой вид атаки — HTTP-запросы. С помощью таких запросов, например, любой посетитель общается с вашим сайтом посредством браузера. В основе запроса лежит HTTP-заголовок. HTTP заголовки — это поля, которые описывают, какой именно ресурс запрашивается, например, URL-адрес или форма, или JPEG. Запрашивающая сторона может использовать сколько угодно заголовков, придавая им нужные свойства. Проводящие DDoS-атаку злоумышленники могут изменять эти и многие другие HTTP-заголовки, делая их труднораспознаваемыми для выявления атаки. Вдобавок, HTTP заголовки могут быть написаны таким образом, чтобы управлять кэшированием и прокси-сервисами. Например, можно дать команду прокси-серверу не кэшировать информацию.

HTTP GET и HTTP POST – методы передачи данных серверу, различающиеся лишь тем, что метод GET передает данные серверу используя URL, когда POST передает данные, используя тело HTTP запроса. Каждый из описанных выше HTTP-методов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер.

SYN-флуд (TCP/SYN) устанавливает полуоткрытые соединения с узлом. Когда жертва принимает SYN-пакет через открытый порт, она должна послать в ответ SYN-ACK пакет и установить соединение. После этого инициатор посылает получателю ответ с ACK-пакетом. Данный процесс условно называется рукопожатием. Однако, во время атаки SYN-флудом рукопожатие не может быть завершено, т.к. злоумышленник не отвечает на SYN-ACK сервера-жертвы. Такие соединения остаются полуоткрытыми до истечения тайм-аута, очередь на подключение переполняется и новые клиенты не могут подключиться к серверу.

UDP-флуд чаще всего используются для широкополосных DDoS-атак в силу их бессеансовости, а также простоты создания сообщений протокола 17 (UDP) различными языками программирования.

ICMP-флуд. Протокол межсетевых управляющих сообщений (ICMP) используется в первую очередь для передачи сообщений об ошибках и не используется для передачи данных. ICMP-пакеты могут сопровождать TCP-пакеты при соединении с сервером. ICMP-флуд — метод DDoS атаки на 3-м уровне модели OSI, использующий ICMP-сообщения для перегрузки сетевого канала атакуемого.

MAC-флуд — редкий вид атаки, при котором атакующий посылает множественные пустые Ethernet-фреймы с различными MAC-адресами. Сетевые свитчи рассматривают каждый MAC-адрес в отдельности и, как следствие, резервируют ресурсы под каждый из них. Когда вся память на свитче использована, он либо перестает отвечать, либо выключается. На некоторых типах роутеров атака MAC-флудом может стать причиной удаления целых таблиц маршрутизации, таким образом нарушая работу целой сети.

3 КАК ПРОИСХОДИТ DDOS-АТАКА?

Обычно атака организуется при помощи троянских программ. Троянская программа (также — троян) — вредоносная программа, используемая хакерами для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Размещается программа на открытые ресурсы, носители информации или присылается с помощью служб обмена сообщениями (например, электронной почтой) из расчёта на их запуск на конкретном, «целевом» компьютере.. Предварительно трояны заражают недостаточно защищённые компьютеры обычных пользователей и могут довольно долгое время вообще никак себя не проявлять на заражённом компьютере, ожидая команды от своего хозяина. Компьютер может подвергнуться такой атаке при посещении различных заражённых сайтов, при получении почты или при установке нелицензионного программного обеспечения. Когда злоумышленник собирается начать атаку, он даёт команду, и все ранее заражённые компьютеры начинают одновременно слать запросы на сайт-жертву.

4 КАК ЗАЩИТИТЬСЯ ОТ DDOS?

К сожалению, универсальных мер защиты от DDoS-атак до сих пор не существует. Тут необходим комплексный подход, который будет включать меры аппаратного, программного и даже организационного характера.

В первую очередь, не нужно привлекать к себе (своему сайту) лишнее внимание радикально настроенной общественности, публикуя контент, способный задеть расовые, национальные или религиозные чувства каких либо индивидов. Если же произошла атака на веб-ресурс, аппаратные ресурсы веб-сервера обязательно должны иметь некоторый резерв производительности, а распределенные и дублирующие системы — построены максимально эффективно. Без понимания принципов работы DDoS, эффективную защиту построить просто невозможно. Для осуществления DDoS-атак используется большое количество компьютеров, зараженных вредоносным кодом. Эти компьютеры объединяются в ботнеты (“bot-net” — сети зомби-машин), которые по приказу злоумышленника осуществляют DDoS-атаки, причем владельцы компьютеров зачастую даже не подозревают об этом. Как было сказано выше, универсальных мер защиты попросту нет, но атаку все же можно отразить. В большинстве таких случаев, ботов можно обмануть воспользовавшись javascript-редиректом.

Однако защитится от DDoS можно и на программном уровне. В этом поможет бесплатный скрипт – DDoS Deflate. С его помощью можно легко избавится от слабого флуда и DDoS. Скрипт использует команду «netstat» для обнаружения атак, после чего блокирует IP адреса вредителей с помощью фаервола. Но не стоит расслабляться и считать, что слабый DDoS не сможет нанести ущерб серверу.

5 ОСУЩЕСТВЛЕНИЕ DDOS-АТАКИ

В настоящее время осуществить атаку на сервер или сайт может любой желающий, даже простой пользователь интернета. При этом, придется сильно потратиться. Сейчас в сети существует множество интернет-ресурсов, предлагающие по вашему заказу сделать DDoS-атаку на любой сервер или сайт. При всем этом, им неважны цели вашего заказа, будь то тест защиты вашего же сервера или разборки с конкурентами. В этой области существует отдельный рынок, где различные сервисы устанавливают свои цены на услуги и контроль качества. На некоторых ресурсах даже имеются бонусы для постоянных клиентов. Как правило, такие ресурсы обещают профессиональный софт, постоянную поддержку и мониторинг. Но всегда существует вероятность, что такие сервисы сами являются мошенниками и после оплаты заказа могут просто исчезнуть и не выходить на связь. С учетом того, какие проблемы доставляют DDoS-атаки, легализовать такой вид деятельности довольно сложно, поэтому огромное количество таких сайтов создаются для обмана пользователей. Цена на такие услуги в разных источниках разная, в основном диапазон держится около 3000 до 30000 рублей в сутки в зависимости от сложности выполнения и от целей заказчика.

Однако существуют и анти-сервисы, которые предлагают услуги защиты от сетевых атак. У таких ресурсов уже есть некая положительная репутация, и, в отличие сайтов, предлагающих заказать DDoS, такой вид бизнеса легко легализовать, поэтому такие услуги предлагают даже сами хостинги сайтов и серверов.

6 УЩЕРБ ОТ DDOS-АТАК

Прекращение стабильной работы сайта приводит к падению репутации среди клиентов и публики, что является лишь частью проблемы. Массивная DDoS-атака может привести к выставлению провайдером услуг или хостинг компанией огромного счета. Многие провайдеры блокируют доступ к данным для владельцев ресурсов под DDoS-атакой, пока такой счет не будет оплачен. В дополнение к основным потерям, существует риск невозможности получения данных с атакуемого ресурса, что может нанести еще один удар по бизнесу. В некоторых случаях услуга хостинга Вашего веб-сайта может быть немедленно аннулирована ввиду угрозы для всей сети провайдера.

Неавторизованное распространение личных данных или потеря информации с атакуемого ресурса может привести к достаточно серьезным последствиям, учитывая сложившуюся ситуацию в мире. Это не редкость, когда DDoS-атаки маскируют попытки взлома и направлены на получение данных клиентов.

Исследование, проведенное специалистами, показывает, что DDoS-атаки наносят значительный финансовый ущерб всем организациям, против которых они совершались. Эксперты пришли к такому выводу, опросив системных администраторов, сотрудников службы безопасности, сетевых архитекторов, работников web-сайтов и разработчиков 270 американских организаций, в которых работает от 250 человек.

По данным специалистов, около половины опрашиваемых сказали, что на сайты организаций, в которых они работали, совершались DDoS-атаки. Исследование показало, что ущерб, наносимый организациям вследствие DDoS-атак, в среднем равен $40 тысячам в час. Тем не менее, были случаи, когда за один час компании теряли более $100 тысяч прибыли. С учетом того, что 49% всех атак длились от 6 до 24 часов, средний ущерб от одной DDoS-атаки равен $500 тысячам, хотя некоторые компании говорили о миллионах долларов потерь.

Организации, ставшие жертвами DDoS-атак, в дальнейшем сталкивались с потерей доверия со стороны клиентов, кражей данных о клиентах и потере интеллектуальной собственности. Большая часть пострадавших от DDoS-атак меняла серверное ПО и оборудование. В половине случаев после атаки на серверах компаний обнаруживалось установленное вредоносное ПО.

7 НАКАЗАНИЕ ЗА ОСУЩЕСТВЛЕНИЕ DDOS-АТАК В РФ

Российское Законодательство рассматривает DDoS атаку в качестве нелегального доступа к информации, приводящего к блокированию или уничтожению ценных данных. Наказание за DDoS атаку в России прописано в Уголовном Кодексе и представляет собой денежные штрафы, исправительные работы, условное осуждение или реальное лишение свободы.

Лица совершившие DDoS атаку и причинившие серьезный ущерб деятельности организации из корыстных побуждений, должны быть оштрафованы на более крупные суммы, наказаны исправительными работами, осуждены в условном или реальном порядке. DDoS атаки, осуществляемые группой лиц по предварительной договоренности, оцениваются Законодательством как более тяжкие преступления и предусматривают такие наказания как: штрафы до пятисот тысяч рублей, лишение права занимать определенную должность, ограничение свободы или исправительные работы.

Ряд российских интернет-компаний инициировали внесение поправок в Уголовный кодекс РФ. Главу 28 УК «Преступления в сфере компьютерной информации» предлагается дополнить новыми квалифицирующими признаками, в том числе по организации и совершению DDоS-атак, за фишинг и спам.

Глава 28 УК РФ содержит три статьи: статья 272 «Неправомерный доступ к компьютерной информации», статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ» и статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Эти статьи предусматривают разнообразное наказание, в том числе лишение свободы сроком до семи лет.

Вывод

В случае DDos-атаки может быть полностью нарушена работа любого ресурса — от небольшого информационного сайта до крупного интернет-магазина или почтового сервера. Во время атаки на сервер сайта поступают миллионы запросов от пользователей, что приводит к его перегрузке и, соответственно, недоступности. Не успевая обрабатывать огромное количество запросов, сервер вначале начинает просто тормозить, а затем и вовсе прекращает работу.

Гибель корпоративного сайта — событие неприятное. Однако оно становится полностью катастрофичным, если от работы портала напрямую зависит прибыль компании или если атака происходит во время проведения грамотной, продуманной, хорошо спланированной и оплаченной интернет-кампании по продвижению и раскрутке.

Не застрахованы от DDos-атак и частные лица, последнее время получил распространение такой вариант «мести». Хорошо известны и идеологические атаки, направленные на «неправильные» с точки зрения организаторов атак ресурсы. Известны и случаи вымогательства со стороны самих хакеров, которые требуют денег за прекращение подобных атак — однако по понятным причинам, это не частый вариант развития событий, поскольку исполнители предпочитают не обнаруживать себя.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1. Введение, История возникновения DDoS-атак, Как происходит DDoS-атака? [Электронный курс] – Режим доступа: http://www.aif.ru/dontknows/eternal/1149114 (Дата обращения: 25.11.2016)

2. Как защититься от DDoS? [Электронный курс] – Режим доступа: https://habrahabr.ru/post/129181/ (Дата обращения: 26.11.2016)

3. Основные виды DDoS-атак [Электронный курс] – Режим доступа: https://firstvds.ru/technology/types-of-ddos (Дата обращения: 26.11.2016)

4. Ущерб от DDoS-атак [Электронный курс] – Режим доступа: https://server-cloud.com/ru/ddos-protection (Дата обращения: 27.11.2016)

5. Ущерб от DDoS-атак [Электронный курс] – Режим доступа: http://www.securitylab.ru/news/461836.php (Дата обращения: 27.11.2016)

6. Наказание за осуществление DDoS-атак в РФ [Электронный курс] – Режим доступа: http://sd-company.su/article/security/nakazanie-ddos-ataku-rossii (Дата обращения: 28.11.2016)

Код для цитирования: Скопировать