Katta ddos ​​hujumlari. Yangi massiv DDoS hujumlari

So‘nggi ikki yildagi beqaror iqtisodiy vaziyat bozordagi raqobat darajasining sezilarli darajada oshishiga olib keldi, buning natijasida iqtisodiy zarar yetkazishning samarali usuli bo‘lmish DDoS hujumlarining ommaviyligi oshdi.

2016-yilda DDoS hujumlarini tashkil qilish uchun tijorat buyurtmalari soni bir necha barobar oshdi. Massiv DDoS hujumlari, masalan, 2014 yilda bo'lgani kabi, maqsadli siyosiy ta'sir doirasidan ommaviy biznes segmentiga o'tdi. Buzg'unchilarning asosiy vazifasi - buning uchun raqobatchilardan pul olish, o'zlarini tovlamachilik uchun shart-sharoitlar bilan ta'minlash va hokazolar uchun resurslarni iloji boricha tezroq va minimal xarajat bilan kirish mumkin bo'lmagan holga keltirishdir. korxonalarni himoya qilishning tobora keng ko'lamli vositalarini izlashni rag'batlantiradi.

Shu bilan birga, DDoSga qarshi kurashda sezilarli muvaffaqiyatlarga qaramay, hujumlar soni o'sishda davom etmoqda. Qrator Labs ma'lumotlariga ko'ra, 2015 yilda DDoS hujumlari soni 100 foizga oshgan. Va bu ajablanarli emas, chunki ularning narxi soatiga taxminan 5 dollarga tushdi va ularni amalga oshirish vositalari ommaviy qora bozorga kirdi. Kelgusi bir necha yil davomida prognoz qilinadigan tarqatilgan xizmat ko'rsatishni rad etish hujumlarining bir nechta asosiy tendentsiyalarini ko'rsatamiz.

UDP kuchaytirish hujumlari

Kanal sig'imini tugatishga qaratilgan hujumlar orasida UDP Amplification mavjud. Bunday hodisalar 2014-yilda eng ko‘p uchraydi va 2015-yilda yorqin tendentsiyaga aylandi.Ammo ularning soni allaqachon o‘zining eng yuqori cho‘qqisiga chiqdi va asta-sekin kamayib bormoqda – bunday hujumlarni amalga oshirish uchun resurs nafaqat chekli, balki keskin kamayib bormoqda.

Kuchaytirgich autentifikatsiyasiz ishlaydigan va kichik so'rov uchun bir necha barobar kattaroq javob yuborishi mumkin bo'lgan umumiy UDP xizmatidir. Buzg'unchi bunday so'rovlarni yuborish orqali o'zining IP manzilini jabrlanuvchining IP manzili bilan almashtiradi. Natijada, tajovuzkorning kanal sig'imidan ancha yuqori bo'lgan qaytish trafiki qurbonning veb-resursiga yo'naltiriladi. DNS, NTP, SSDP va boshqa serverlar hujumlarda beixtiyor ishtirok etish uchun ishlatiladi.

L7 darajasidagi veb-ilovalarga hujumlar

Kuchaytirgichlar sonining qisqarishi tufayli klassik botnetlardan foydalangan holda L7 darajasida veb-ilovalarga hujumlarni tashkil etish yana birinchi o'ringa chiqmoqda. Ma'lumki, botnet masofaviy buyruqlar yordamida tarmoq hujumlarini amalga oshirishga qodir va zararlangan kompyuterlarning egalari bundan bexabar ham bo'lishi mumkin. Xizmatning "keraksiz" so'rovlar bilan haddan tashqari yuklanishi natijasida qonuniy foydalanuvchilarning so'rovlari javobsiz qolmoqda yoki javoblar uchun asossiz ko'p vaqt talab etiladi.

Bugungi kunda botnetlar yanada aqlli bo'lib bormoqda. Tegishli hujumlarni tashkil qilishda Full-brauzer stek texnologiyasi qo'llab-quvvatlanadi, ya'ni foydalanuvchi kompyuteri, brauzerining to'liq emulyatsiyasi va java skriptini qayta ishlash. Bunday usullar L7 hujumlarini mukammal tarzda yashirishi mumkin. Botni foydalanuvchidan qo'lda ajratish deyarli mumkin emas. Buning uchun bizga mashinani o'rganish texnologiyasidan foydalanadigan tizimlar kerak, buning natijasida hujumlarga qarshilik darajasi oshadi, mexanizmlar yaxshilanadi va ishlov berishning aniqligi oshadi.

BGP bilan bog'liq muammolar

2016 yilda yangi tendentsiya paydo bo'ldi - tarmoq infratuzilmasiga, shu jumladan BGP protokoli zaifliklaridan foydalanishga asoslangan hujumlar. Butun Internetga asoslangan BGP marshrutlash protokoli bilan bog'liq muammolar bir necha yillardan beri ma'lum bo'lgan, ammo so'nggi yillarda ular tobora jiddiy salbiy oqibatlarga olib keldi.

Domenlararo tarmoq darajasida marshrutlash bilan bog'liq tarmoq anomaliyalari ko'p sonli xostlar, tarmoqlar va hatto global ulanish va Internetning mavjudligiga ta'sir qilishi mumkin. Muammoning eng tipik turi bu Route Leaks - bu noto'g'ri yo'nalishda e'lon qilinishi natijasida yuzaga keladigan marshrut "oqish". Hozircha BGP zaifliklari qasddan kamdan-kam qo'llaniladi: bunday hujumni tashkil qilish narxi ancha yuqori va hodisalar asosan tarmoq sozlamalaridagi ahamiyatsiz xatolar tufayli yuzaga keladi.

Biroq, so'nggi yillarda Internetdagi uyushgan jinoiy guruhlarning ko'lami sezilarli darajada oshdi, shuning uchun Qrator Labs ma'lumotlariga ko'ra, BGP muammolari bilan bog'liq hujumlar yaqin kelajakda mashhur bo'ladi. Hukumat buyrug'i ostida amalga oshirilgan taniqli Hacking Team kiber-guruhining IP manzillarini "o'g'irlash" yorqin misoldir: Italiya politsiyasi egalariga qarshi tergov harakatlari olib borilgan bir nechta kompyuterlarni nazoratga olishi kerak edi.

HodisalarTCP

TCP/IP tizimining tarmoq stekida bu yil ayniqsa keskin bo'ladigan qator muammolar mavjud. Tezlikning tez o'sishini ta'minlash uchun Internet infratuzilmasini doimiy ravishda yangilab turish kerak. Jismoniy Internetga ulanish tezligi bir necha yilda bir marta oshadi. 2000-yillarning boshlarida. 1 Gbit/s standartga aylandi, bugungi kunda eng mashhur jismoniy interfeys 10 Gbit/s. Biroq, 100 Gbit/s yangi jismoniy interfeys standartini ommaviy joriy etish allaqachon boshlangan, bu esa eskirgan TCP/IP protokoli bilan bog'liq muammolarni keltirib chiqaradi, bu esa bunday yuqori tezliklar uchun mo'ljallanmagan.

Misol uchun, bir necha daqiqada TCP tartib raqamini tanlash mumkin bo'ladi - bu ulanish o'rnatilgan va TCP/IP ulanishidagi sheriklarga o'zaro autentifikatsiyani amalga oshirishga imkon beradigan (aniqrog'i, ruxsat etilgan) noyob raqamli identifikator. ma'lumotlar almashish, ularning tartibi va yaxlitligini saqlash. 100 Gbit/s tezlikda TCP server jurnalidagi ochiq ulanish va/yoki u orqali yuborilgan maʼlumotlar haqidagi satr endi belgilangan IP-manzil haqiqatda ulanishni oʻrnatganligi va bu maʼlumotlarni uzatganligini kafolatlamaydi. Shunga ko'ra, hujumlarning yangi sinfini tashkil qilish imkoniyati ochiladi va xavfsizlik devorlari samaradorligi sezilarli darajada pasayishi mumkin.

TCP/IP zaifliklari ko'plab tadqiqotchilarning e'tiborini tortdi. Ular 2016 yilda biz ushbu "teshiklardan" foydalanish bilan bog'liq "yuqori darajadagi" hujumlar haqida eshitamiz, deb hisoblashadi.

Yaqin kelajak

Bugungi kunda texnologiyalar va tahdidlarning rivojlanishi "klassik" spiralda sodir bo'lmaydi, chunki tizim yopiq emas - bu ko'plab tashqi omillar ta'sirida. Natijada ortib borayotgan amplituda spirali paydo bo'ladi - u yuqoriga ko'tariladi, hujumlarning murakkabligi oshadi va texnologiyalarning qamrovi sezilarli darajada kengayadi. Tizimning rivojlanishiga jiddiy ta'sir ko'rsatadigan bir nechta omillarni qayd etamiz.

Asosiysi, albatta, yangi IPv6 transport protokoliga o'tish. 2015-yil oxirida IPv4 bekor qilindi va IPv6 birinchi o‘ringa chiqdi, bu esa o‘zi bilan yangi muammolarni keltirib chiqardi: endi har bir qurilma IP-manzilga ega va ularning barchasi bir-biriga bevosita ulanishi mumkin. Ha, oxirgi qurilmalar qanday ishlashi kerakligi bo'yicha yangi tavsiyalar paydo bo'lmoqda, ammo sanoat, ayniqsa telekommunikatsiya operatorlari, ommaviy mahsulot segmenti va xitoylik sotuvchilar bularning barchasini qanday engishlari ochiq savol. IPv6 - bu o'yinni tubdan o'zgartiruvchi.

Yana bir qiyinchilik - mobil tarmoqlarning sezilarli darajada o'sishi, ularning tezligi va chidamliligi. Agar ilgari mobil botnet, birinchi navbatda, aloqa operatorining o'zi uchun muammolarni keltirib chiqargan bo'lsa, endi 4G aloqasi simli Internetga qaraganda tezlashayotgan bir paytda, juda ko'p sonli qurilmalarga ega mobil tarmoqlar, shu jumladan Xitoyda ishlab chiqarilganlar ham mobil tarmoqlarga aylanmoqda. DDoS va xakerlik hujumlarini amalga oshirish uchun ajoyib platforma. Va muammolar nafaqat aloqa operatori, balki bozorning boshqa ishtirokchilari uchun ham paydo bo'ladi.

Rivojlanayotgan narsalar interneti dunyosi jiddiy xavf tug'dirmoqda. Yangi hujum vektorlari paydo bo'lmoqda, chunki qurilmalarning ko'pligi va simsiz aloqa texnologiyasidan foydalanish xakerlar uchun haqiqatan ham cheksiz imkoniyatlarni ochib beradi. Internetga ulangan barcha qurilmalar tajovuzkorlar infratuzilmasining bir qismiga aylanishi va DDoS hujumlarida ishtirok etishi mumkin.

Afsuski, tarmoqqa ulangan barcha turdagi maishiy texnika ishlab chiqaruvchilari (choynaklar, televizorlar, avtomobillar, multivarkalar, tarozilar, aqlli rozetkalar va boshqalar) har doim ham ular uchun tegishli himoya darajasini ta'minlay olmaydi. Ko'pincha, bunday qurilmalar mashhur operatsion tizimlarning eski versiyalaridan foydalanadi va sotuvchilar ularni muntazam yangilab turish - ularni zaifliklarni bartaraf etgan versiyalar bilan almashtirish haqida qayg'urmaydi. Va agar qurilma mashhur bo'lsa va keng qo'llanilsa, xakerlar uning zaifliklaridan foydalanish imkoniyatini qo'ldan boy bermaydilar.

IoT muammosining prekursorlari 2015-yildayoq paydo bo‘lgan.Dastlabki ma’lumotlarga ko‘ra, Blizzard Entertainment’ga so‘nggi hujum IoT-sinfdagi qurilmalar yordamida amalga oshirilgan. Zamonaviy choynaklar va lampochkalarda ishlaydigan zararli kod aniqlandi. Chipsetlar xakerlarning vazifasini ham osonlashtiradi. Yaqinda Internet bilan "muloqot qila oladigan" turli xil uskunalar uchun mo'ljallangan arzon chipset chiqarildi. Shunday qilib, tajovuzkorlarga 100 ming moslashtirilgan proshivkani buzish kerak emas - bitta chipsetni "buzish" va unga asoslangan barcha qurilmalarga kirish uchun etarli.

Tez orada Androidning eski versiyalari asosidagi barcha smartfonlar kamida bitta botnetning bir qismi bo'lishi taxmin qilinmoqda. Ulardan keyin barcha "aqlli" rozetkalar, muzlatgichlar va boshqa maishiy texnikalar keladi. Bir necha yil ichida biz choynaklar, chaqaloq monitorlari va multivarklardan tayyorlangan botnetlarni ko'ramiz. Narsalar interneti bizga nafaqat qulaylik va qo'shimcha imkoniyatlar, balki ko'plab muammolarni ham olib keladi. IoT-da ko'p narsalar mavjud bo'lganda va har bir pin 10 bayt yuborishi mumkin bo'lsa, hal qilinishi kerak bo'lgan yangi xavfsizlik muammolari paydo bo'ladi. Va bugun siz bunga tayyorgarlik ko'rishingiz kerak.

Brayan Krebs bir vaqtlar The Washington Post gazetasida ishlagan va ular uchun Internet xavfsizligi bo'yicha tadqiqotlar olib borgan. Jurnalist keyinroq o‘z blogini ochishdan voz kechdi. Sobiq jurnalist o'z mutaxassisligini o'zgartirmadi, buning uchun u sentabr oyida ikki isroillik o'smirning firibgarligini fosh qilganda to'ladi.

Shunday qilib, Brayan Krebs Internetdagi jinoyatlarni tergov qilib, odatdagi ishini qilardi. Bu vaqtga kelib, uning hal qilingan holatlar ro'yxatiga uy kompyuterlari va sanoat korxonalaridan ma'lumotlarni to'playdigan Stuxnet virusi ishi kiritilgan. Krebs 2010 yilda virus haqida birinchi bo'lib ochiq gapirgan. Uch yil o'tgach, Brayan Target do'konidagi xaridorlarga karta ma'lumotlarini sotayotgan odamni topdi. Internet jinoyatchilarning qasosi aniq edi, uning uyiga politsiya chaqirildi.

Shunday qilib, menimcha, Brayan xakerlar nimalarga qodirligini tushundi, garchi u sentabr oyida isroillik o‘smirlarning DDoS hujumlarini amalga oshirayotgani haqidagi postini e’lon qilganida, ehtimoliy miqyosni tasavvur ham qilmagan bo‘lsa-da. Shu kuni xakerlar hibsga olingan, biroq keyinchalik garov evaziga qo‘yib yuborilgan. Tasodifmi yoki yo'qmi, o'sha paytdan boshlab Brayanning sayti etakchi internet xavfsizligi kompaniyalaridan birining jiddiy DDoS hujumiga qarshi turishi kerak edi. Akamai to'rt yil davomida Krebs blogini DDoS hujumlaridan bepul himoya qildi. O'z nashrida Internet xavfsizligi bo'yicha mutaxassis vDOS xizmati haqida gapirdi, u rasmiy versiyaga ko'ra, saytlarda yukni sinab ko'rdi, lekin aslida ularning ishlashini buzdi. Taxminiy hisob-kitoblarga ko‘ra, servis yaratuvchilari 600 ming dollarga yaqin mablag‘ni o‘zlashtirishga muvaffaq bo‘lishgan.

Krebsning yordamchilari Bolgariyadagi DDoS hujumlari amalga oshirilgan serverlarning haqiqiy manzillarini aniqlashga yordam beruvchi maʼlumotlar bazalarini yuklab olishga muvaffaq boʻldi. Siz tasavvur qilganingizdek, xakerlar o'zlarining haqiqiy IP manzillarini yashirishdan manfaatdor. Brayan ma'lumotlarni tahlil qilgach, xizmat egalari bo'lishi mumkin bo'lgan isroilliklarning ismlari va hatto telefon raqamlarini aniqlay oldi.

Keyinchalik ma'lum bo'lishicha, post e'lon qilingan kuni ikki o'smir hibsga olingan, ammo tez orada qo'yib yuborilgan. Va 10 sentyabr kuni Brayan Krebsning veb-saytida muammolar paydo bo'la boshladi. Maksimal hujum kuchi soniyasiga 140 gigabitga yetdi. Xafa bo'lgan xakerlar Krebsning "godiefagot" xabarlarini qoldirmadi. Bir muncha vaqt davomida blog hatto ishlashni to'xtatdi, ammo Akamai mutaxassislari uni qayta tiklashga muvaffaq bo'lishdi. Ammo hujumlar shu bilan to'xtab qolmadi. 20-sentyabrga kelib esa uning quvvati sekundiga 665 gigabitni tashkil qildi. Akamai obunachilarning to'lash xavfsizligini ta'minlash uchun Krebsning blogini yuritishni to'xtatishga majbur bo'ldi. Sayt duchor bo'lgan hujumning kuchi Akamai mutaxassislari hozirgacha ko'rganidan ikki baravar katta edi. Ba'zi jurnalistlar hattoki bu Internet tarixidagi eng yirik hujum ekanligiga rozi bo'lishdi. Misol uchun, 2016 yil boshida BBC veb-saytiga sekundiga 602 gigabit sig'im bilan hujum qilingan. Bir necha oy o'tgach, rekord yangilandi.

Ko'rinishidan, Krebsning posti hujumchilarning asabiga tegdi. Hujum IP-kameralar, marshrutizatorlar va foydalanuvchilar standart parollar o'rnatgan boshqa "Internet narsalari" yordamida amalga oshirildi. Xakerlar o'z izlarini yashirishga ham urinmadilar va boshqa moliyaviy hujumlar uchun ishlatilishi mumkin bo'lgan aksariyat qurilmalarning manzillarini fosh qilishdi. Shunga qaramay, biz so'z shakllari bilan bezovta qilmadik. "freeapplej4ck" qatorini o'z ichiga olgan hujumning ba'zi POST so'rovlarida vDOC yaratuvchilaridan biri AppleJ4ck taxallusini o'qish mumkin edi. Faqat Google aralashuvi Krebsning tekshiruvlari bilan saytni qayta tiklashga imkon berdi. Internet gigantining Project Shield dasturi mustaqil jurnalistlar va ommaviy axborot vositalarining veb-saytlarini kiberhujumlardan himoya qiladi.

Va birinchi nashrda, sayt qayta tiklanganidan so'ng, Brayan Krebs Internetda tsenzura haqida gapirdi. Nafaqat davlat, balki jinoyatchilar ham samarali vositalarga ega. DDoS hujumlari bugungi bozor iqtisodiyotida mustaqil tekshiruvlar uchun jiddiy to'siq bo'lishi mumkin. Hamma ommaviy axborot vositalarida kibermudofaa uchun 200 ming dollarlik byudjet ajratilmagan.

Matnda xato bormi? Uni sichqoncha bilan tanlang! Va bosing: Ctrl + Enter

Andrey Golovachev o‘zining Facebook’dagi sahifasida Ukrainaning barcha prezidentlarining siyosiy faoliyati falokat bilan yakunlanganini esladi. Siyosiy ekspertning fikricha, Leonid Kuchma ostida qabul qilingan

Taxminan olti oy oldin jamoatchilik taniqli rossiyalik aktrisa Anastasiya Zavorotnyukga miyaning xavfli o'smasi tashxisi qo'yilganini bilib oldi. Bugundan boshlab yo'q

Prezident Vladimir Zelenskiyning Vatikanga tashrifi chog‘ida xavotirlarini muhokama qilar ekan, ba’zi kuzatuvchilar rasmiylarning Avliyo Pyotr soboriga tashrif buyurishi tarixda birinchi marta sodir bo‘lganini ta’kidladilar.

Bugun serverga Ddos hujumlari atrofidagi vaziyatga oydinlik kiritishga harakat qilaylik. Shunga qaramay, bu muammo haqiqatan ham hosting mavzusi bilan kesishadi.

Vaziyat juda yoqimsiz. Tasavvur qiling-a, kecha men WordPress-ga yangi plaginni o'rnatdim va bir muncha vaqt o'tgach, to'satdan, bam! - brauzerdagi blog ochilishni to'xtatadi. Bundan tashqari, boshqa saytlar bir vaqtning o'zida mukammal tarzda bemaqsad qiladi. Fikrlar ichimga kirib ketdi - men plagin bilan nimanidir buzdim. Men sahifani qayta yuklash uchun ko'p marta bosing va hech narsa sodir bo'lmaydi! Keyin, u haqiqatan ham ishlay boshladi, lekin men bir necha yoqimsiz daqiqalarni boshdan kechirishim kerak edi.

Va bugun pochtada men TimeWeb texnik yordamidan xatni ko'raman. Men buni yashirmayman, men u erda hostingni olaman. Va nimani yashirish kerak, shunchaki Whois-ga sayt manzilini kiriting.
Xat shunday:

“Hurmatli foydalanuvchilar.
Bugun, 2011-yil 2-dekabr, Moskva vaqti bilan soat 16:32 da TIMEWEB texnologik platformasiga yirik DDOS hujumi boshlandi, bu esa baʼzi saytlar va serverlar ishini toʻxtatdi.
TIMEWEB muhandislari vaziyatni nazoratga olishdi va soat 18:45 ga kelib saytning barqaror ishlashi to'liq tiklandi..."

Men ular qaerdan kelganini aniqlashga qaror qildim Ddos serverga hujum qiladi va baribir bu nima? Va bu men qazib olgan narsam.

Ddos serverga hujum qiladi - bu nima?

Birinchidan, keling, Wiki-ga qaraylik, usiz qayerda bo'lar edik:

DOS ATTACK (ingliz tilidan. Xizmatni rad etish, xizmat ko'rsatishdan bosh tortish) - kompyuter tizimiga uni ishdan chiqish, ya'ni tizimning qonuniy (qonuniy) foydalanuvchilari tizim (serverlar, xizmatlar) tomonidan taqdim etilgan resurslarga kira olmaydigan holatga keltirish maqsadida hujum qiyin. "Dushman" tizimining ishlamay qolishi yoki o'z-o'zidan maqsad bo'lishi mumkin (masalan, mashhur veb-saytni ishlamay qoldirish) yoki tizim nazoratini qo'lga kiritish yo'lidagi qadamlardan biri (agar favqulodda vaziyatda dasturiy ta'minot muhim ma'lumotlarni ishlab chiqarsa - masalan, versiya, dastur kodining bir qismi va boshqalar. .d.).

Agar hujum bir vaqtning o'zida ko'p sonli kompyuterlardan amalga oshirilsa, ular DDOS ATTACK haqida gapirishadi (ingliz tilidan. Taqsimlangan Xizmatni rad etish, tarqatilgan xizmat rad etish hujumi). Ba'zi hollarda, haqiqiy DDoS hujumi qonuniy harakat tufayli yuzaga keladi, masalan, mashhur Internet-resursda unchalik samarali bo'lmagan serverda joylashgan saytga havolani joylashtirish. Foydalanuvchilarning katta oqimi serverdagi ruxsat etilgan yukdan oshib ketishiga va natijada ularning ba'zilariga xizmat ko'rsatishni rad etishga olib keladi.

Shunday qilib, bir tomondan, hujum ob'ekti - ma'lum bir server yoki veb-sayt bo'lsa, ikkinchi tomondan, hujum ob'ektiga DDoS hujumini tashkil qiluvchi hujumchilar guruhi.

Ddos hujumi tashkilotchilari qanday maqsadlarni ko'zlaydilar?

Eng zararsiz sabablardan biri oddiy kiberbullyingdir. Hujumlarni tashkil qilish uchun dasturlarning aksariyati Internetda erkin mavjud bo'lganligi bilan vaziyat yanada og'irlashadi.

Adolatsiz raqobat yanada jiddiy DDoS hujumlarini keltirib chiqaradi. Bu erda maqsadlar boshqacha - raqobatchining serverini tushirish, shu bilan raqibning ishini buzish va bunga qo'shimcha ravishda bozorda raqobatchi uchun salbiy imidj yaratish. Serverni buzish ham mumkin, chunki ommaviy hujum paytida dastur kodlari ko'rinishidagi ma'lumotlar ommaviy ko'rinishga o'tib ketishi mumkin.

Shuningdek, Ddos hujumi usulidan foydalanib, turli Ddos guruhlari o'zlarining mavjudligini e'lon qilishlari yoki server egalariga talab va ultimatumlarni taqdim etishlari mumkin.

Mana bir nechta misollar Ddos serverga hujum qiladi Men Lurkomoryeda topdim:

  • OOFR (Rossiyaning Birlashgan Faglari Tashkiloti), u quyidagi mem guruhlarini o'z ichiga oladi: Xurofotli moxov koloniyasi, LiveJournalning qulagan qismi va, albatta, Upyachka tomonidan boshqariladi.

OPFRning asosiy qurbonlari:

  1. www.mail.ru (BEETLES loyihasi uchun),
  2. www.gay.com (gey bo'lgani uchun),
  3. www.4chan.org ("Onotole" xudosini haqorat qilgani uchun),
  4. www.wikipedia.org (UPCHK haqidagi maqola uchun, unda mushuklarga nisbatan haqorat (Kote), moderator bir oy ichida olib tashlamagan)

DDoS hujumlaridan himoya qilish sohasida ishlayotgan ko'plab tashkilotlar, bu sohadagi yutuqlarga qaramay, asosan hujumlarni tashkil qilish qulayligi tufayli tahdidning ortib borayotgan xavfini tan olishadi.

KELING OZTA NATIJANI XULOSALASH:

Biz, oddiy internet foydalanuvchilari, bizning o'z farzandimiz - veb-saytlar uchun xostingni ijaraga olgan hosterlar tomonidan kiberhujumlardan qanday himoyalanganligi ko'proq qiziqtirilishi kerak. Ushbu alohida holatda ko'rib turganimizdek, TimeWeb muammoni tezda hal qildi. Bu haqda menga pochta orqali xabar bergani uchun unga ikkinchi plyus beraman.

Aytgancha, men yaqinda TimeWeb-ga yana bir oddiy test topshirdim.

Bu bugungi kun uchun Ddos hujumlari haqida.

Tez orada ular nima ekanligi va kiberhujumlardan himoya qanday tashkil etilgani haqida gaplashamiz.

DoS va DDoS hujumi - bu server yoki ish stantsiyasining hisoblash resurslariga tajovuzkor tashqi ta'sir, ikkinchisini muvaffaqiyatsizlikka olib kelish uchun. Muvaffaqiyatsizlik deganda biz mashinaning jismoniy ishdan chiqishini emas, balki uning resurslarining vijdonli foydalanuvchilarga erishib bo'lmasligini - tizimning ularga xizmat ko'rsatishdan bosh tortishini tushunamiz ( D g'alati o f S xizmat, bu DoS qisqartmasi kelib chiqadi).

Agar bunday hujum bitta kompyuterdan amalga oshirilsa, u DoS (DoS) deb tasniflanadi, agar bir nechta bo'lsa - DDoS (DiDoS yoki DDoS), ya'ni “D taqsimlangan D g'alati o f S xizmat" - tarqatilgan xizmat ko'rsatishni rad etish. Keyinchalik, tajovuzkorlar nima uchun bunday hujumlarni amalga oshirishi, ular nima, ular hujum qilinganlarga qanday zarar etkazishi va ikkinchisi o'z resurslarini qanday himoya qilishi mumkinligi haqida gapiramiz.

Kim DoS va DDoS hujumlaridan aziyat chekishi mumkin?

Korxonalar va veb-saytlarning korporativ serverlariga, kamroq - jismoniy shaxslarning shaxsiy kompyuterlariga hujum qilinadi. Bunday harakatlarning maqsadi, qoida tariqasida, bitta - hujum qilingan shaxsga iqtisodiy zarar etkazish va soyada qolish. Ba'zi hollarda DoS va DDoS hujumlari serverni buzish bosqichlaridan biri bo'lib, axborotni o'g'irlash yoki yo'q qilishga qaratilgan. Aslida, har kimga tegishli kompaniya yoki veb-sayt tajovuzkorlar qurboniga aylanishi mumkin.

DDoS hujumining mohiyatini ko'rsatadigan diagramma:

DoS va DDoS hujumlari ko'pincha insofsiz raqobatchilarning tashabbusi bilan amalga oshiriladi. Shunday qilib, shunga o'xshash mahsulotni taklif qiladigan onlayn-do'konning veb-saytini "buzish" orqali siz vaqtincha "monopolist" bo'lishingiz va uning mijozlarini o'zingiz uchun olishingiz mumkin. Korporativ serverni "qo'yish" orqali siz raqobatdosh kompaniyaning ishini buzishingiz va shu bilan uning bozordagi mavqeini kamaytirishingiz mumkin.

Katta zarar keltirishi mumkin bo'lgan keng ko'lamli hujumlar odatda professional kiberjinoyatchilar tomonidan katta pul evaziga amalga oshiriladi. Lekin har doim emas. Sizning resurslaringizga qiziqish tufayli uyda o'sgan havaskor xakerlar, ishdan bo'shatilgan xodimlar orasidan qasos oluvchilar va shunchaki hayot haqidagi qarashlaringiz bilan o'rtoqlashmaydiganlar hujum qilishi mumkin.

Ba'zida ta'sir qilish tovlamachilik maqsadida amalga oshiriladi, tajovuzkor esa hujumni to'xtatish uchun resurs egasidan ochiqchasiga pul talab qiladi.

Davlat kompaniyalari va taniqli tashkilotlarning serverlariga ko‘pincha mansabdor shaxslarga ta’sir o‘tkazish yoki jamoatchilik noroziligiga sabab bo‘lish maqsadida yuqori malakali xakerlarning anonim guruhlari hujum qiladi.

Hujumlar qanday amalga oshiriladi

DoS va DDoS hujumlarining ishlash printsipi serverga ma'lumotlarning katta oqimini yuborishdan iborat bo'lib, u maksimal darajada (xakerning imkoniyatlari imkon qadar) protsessorning hisoblash resurslarini, operativ xotirani yuklaydi, aloqa kanallarini yopib qo'yadi yoki disk maydonini to'ldiradi. . Hujum qilingan mashina kiruvchi ma'lumotlarni qayta ishlay olmaydi va foydalanuvchi so'rovlariga javob berishni to'xtatadi.

Logstalgia dasturida tasvirlangan serverning normal ishlashi shunday ko'rinadi:

Yagona DOS hujumlarining samaradorligi unchalik yuqori emas. Bundan tashqari, shaxsiy kompyuterdan qilingan hujum tajovuzkorni aniqlash va qo'lga olish xavfini keltirib chiqaradi. Zombi tarmoqlari yoki botnetlardan amalga oshirilgan taqsimlangan hujumlar (DDoS) ancha katta foyda keltiradi.

Norse-corp.com veb-sayti botnet faolligini shunday ko'rsatadi:

Zombi tarmog'i (botnet) - bu bir-biri bilan jismoniy aloqasi bo'lmagan kompyuterlar guruhi. Ularning umumiy tomoni shundaki, ularning barchasi hujumchi nazorati ostida. Boshqarish troyan dasturi orqali amalga oshiriladi, bu hozircha hech qanday tarzda o'zini namoyon qilmasligi mumkin. Hujumni amalga oshirayotganda, xaker zararlangan kompyuterlarga qurbonning veb-saytiga yoki serveriga so'rov yuborishni buyuradi. Va u bosimga dosh berolmay, javob berishni to'xtatadi.

Logstalgia DDoS hujumini shunday ko'rsatadi:

Mutlaqo har qanday kompyuter botnetga qo'shilishi mumkin. Va hatto smartfon. Troyanni qo'lga olish va o'z vaqtida aniqlanmaslik kifoya. Aytgancha, eng katta botnet butun dunyo bo'ylab deyarli 2 million mashinadan iborat bo'lib, ularning egalari nima qilayotganlarini bilishmagan.

Hujum va mudofaa usullari

Hujumni boshlashdan oldin, xaker uni maksimal samara bilan qanday amalga oshirishni aniqlaydi. Agar hujum qilingan tugun bir nechta zaifliklarga ega bo'lsa, ta'sir turli yo'nalishlarda amalga oshirilishi mumkin, bu esa qarshi harakatni sezilarli darajada murakkablashtiradi. Shuning uchun, har bir server ma'muri uchun uning barcha "torbog'lari" ni o'rganish va iloji bo'lsa, ularni kuchaytirish muhimdir.

To'fon

To'fon, oddiy so'z bilan aytganda, hech qanday ma'noga ega bo'lmagan ma'lumotdir. DoS/DDoS hujumlari kontekstida toshqin - bu yoki boshqa darajadagi bo'sh, ma'nosiz so'rovlarning ko'chkisi, qabul qiluvchi tugun ularni qayta ishlashga majbur bo'ladi.

Suv toshqinidan foydalanishning asosiy maqsadi aloqa kanallarini to'liq yopish va tarmoqli kengligini maksimal darajada to'yintirishdir.

Suv toshqini turlari:

  • MAC toshqini - tarmoq kommunikatorlariga ta'sir qilish (ma'lumotlar oqimi bilan portlarni blokirovka qilish).
  • ICMP suv toshqini - jabrlanuvchini zombi tarmog'idan foydalangan holda xizmat aks sadosi so'rovlari bilan to'ldirish yoki hujum qilingan tugun "nomidan" so'rovlarni yuborish, shunda botnetning barcha a'zolari bir vaqtning o'zida unga aks-sado javobini (Smurf hujumi) yuborishadi. ICMP toshqinining alohida holati ping toshqinidir (serverga ping so'rovlarini yuborish).
  • SYN toshqini - jabrlanuvchiga ko'plab SYN so'rovlarini yuborish, ko'p sonli yarim ochiq (mijozning tasdiqlashini kutish) ulanishlarini yaratish orqali TCP ulanish navbatini to'ldirish.
  • UDP toshqin - Smurf hujum sxemasiga muvofiq ishlaydi, bu erda ICMP paketlari o'rniga UDP datagramlari yuboriladi.
  • HTTP toshqin - serverni ko'plab HTTP xabarlari bilan to'ldirish. Keyinchalik murakkab variant - HTTPS suv toshqini, bu erda yuborilgan ma'lumotlar oldindan shifrlangan va hujum qilingan tugun uni qayta ishlashdan oldin uni shifrini ochishi kerak.


O'zingizni suv toshqinidan qanday himoya qilish kerak

  • Yaroqliligini tekshirish va MAC manzillarini filtrlash uchun tarmoq kalitlarini sozlang.
  • ICMP echo so'rovlarini qayta ishlashni cheklash yoki o'chirish.
  • Muayyan manzil yoki domendan keladigan paketlarni blokirovka qiling, bu uning ishonchsizligidan shubhalanishga sabab bo'ladi.
  • Bitta manzil bilan yarim ochiq ulanishlar soniga cheklov qo'ying, ularni ushlab turish vaqtini qisqartiring va TCP ulanishlari navbatini uzaytiring.
  • UDP xizmatlarini tashqaridan trafikni qabul qilishni o'chirib qo'ying yoki UDP ulanishlar sonini cheklang.
  • CAPTCHA, kechikishlar va boshqa botlarni himoya qilish usullaridan foydalaning.
  • HTTP ulanishlarining maksimal sonini oshiring, nginx yordamida so'rovni keshlashni sozlang.
  • Tarmoq kanali sig‘imini kengaytirish.
  • Iloji bo'lsa, kriptografiya bilan ishlash uchun alohida server ajrating (agar foydalanilsa).
  • Favqulodda vaziyatlarda serverga ma'muriy kirish uchun zaxira kanalini yarating.

Uskuna resurslarining haddan tashqari yuklanishi

Aloqa kanaliga emas, balki hujumga uchragan kompyuterning apparat resurslariga ta'sir qiladigan suv toshqini turlari mavjud, ularni quvvatiga yuklaydi va muzlash yoki ishdan chiqishga olib keladi. Masalan:

  • Forumda yoki veb-saytda juda ko'p ma'nosiz matn ma'lumotlarini joylashtiradigan skript yaratish, bu erda foydalanuvchilar butun disk maydoni to'ldirilgunga qadar sharh qoldirish imkoniyatiga ega.
  • Xuddi shu narsa, faqat server jurnallari diskni to'ldiradi.
  • Kiritilgan ma'lumotlarning qandaydir o'zgarishi amalga oshiriladigan saytni yuklash, ushbu ma'lumotlarni doimiy ravishda qayta ishlash ("og'ir" deb ataladigan paketlarni yuborish).
  • CGI interfeysi orqali kodni bajarish orqali protsessor yoki xotirani yuklash (CGI qo'llab-quvvatlashi serverda istalgan tashqi dasturni ishga tushirish imkonini beradi).
  • Xavfsizlik tizimini ishga tushirish, serverni tashqaridan kirish imkonsiz qilish va h.k.


O'zingizni apparat resurslarini ortiqcha yuklashdan qanday himoya qilish kerak

  • Uskuna unumdorligini va disk maydonini oshiring. Server normal ishlayotganida, resurslarning kamida 25-30% bepul qolishi kerak.
  • Serverga uzatishdan oldin trafikni tahlil qilish va filtrlash tizimlaridan foydalaning.
  • Tizim komponentlari (belgilangan kvotalar) tomonidan apparat resurslaridan foydalanishni cheklash.
  • Server jurnali fayllarini alohida diskda saqlang.
  • Resurslarni bir-biridan mustaqil ravishda bir nechta serverlar bo'ylab taqsimlang. Shunday qilib, agar bir qism ishlamay qolsa, qolganlari ishlaydi.

Operatsion tizimlar, dasturiy ta'minot, qurilma proshivkalarida zaifliklar

Ushbu turdagi hujumni amalga oshirish uchun suv toshqini ishlatishdan ko'ra beqiyos ko'proq imkoniyatlar mavjud. Ularni amalga oshirish tajovuzkorning malakasi va tajribasiga, uning dastur kodidagi xatolarni topish va ulardan o'z foydasiga va resurs egasining zarariga foydalanish qobiliyatiga bog'liq.

Xaker zaiflikni (tizimning ishlashini buzish uchun ishlatilishi mumkin bo'lgan dasturiy ta'minotdagi xatolik) aniqlagandan so'ng, u faqat ekspluatatsiya - bu zaiflikdan foydalanadigan dasturni yaratish va ishga tushirishi kerak.

Zaifliklardan foydalanish har doim ham faqat xizmat ko'rsatishdan bosh tortish uchun mo'ljallanmagan. Agar xaker omadli bo'lsa, u resursni boshqarishi va ushbu "taqdir sovg'asi" dan o'z xohishiga ko'ra foydalanishi mumkin. Masalan, undan zararli dasturlarni tarqatish, ma'lumotlarni o'g'irlash va yo'q qilish va hokazolar uchun foydalaning.

Dasturiy ta'minotning zaifliklaridan foydalanishga qarshi kurash usullari

  • Operatsion tizimlar va ilovalarning zaifliklarini qoplaydigan yangilanishlarni o'z vaqtida o'rnating.
  • Ma'muriy vazifalarni hal qilish uchun mo'ljallangan barcha xizmatlarni uchinchi tomon kirishidan ajratib oling.
  • Server OT va dasturlarning ishlashini doimiy monitoring qilish vositalaridan foydalaning (xulq-atvor tahlili va boshqalar).
  • Tasdiqlangan va yaxshi himoyalangan dasturlar foydasiga potentsial zaif dasturlardan (bepul, o'z-o'zidan yozilgan, kamdan-kam yangilanadigan) voz keching.
  • Tizimlarni DoS va DDoS hujumlaridan himoya qilish uchun tayyor vositalardan foydalaning, ular ham apparat, ham dasturiy tizimlar shaklida mavjud.

Resurs xaker tomonidan hujumga uchraganligini qanday aniqlash mumkin

Agar hujumchi maqsadga erisha olsa, hujumni sezmaslik mumkin emas, lekin ba'zi hollarda administrator uning qachon boshlanganini aniqlay olmaydi. Ya'ni, ba'zida hujum boshlanishidan sezilarli alomatlarga bir necha soat o'tadi. Biroq, yashirin ta'sir paytida (server ishlamaguncha) ma'lum belgilar ham mavjud. Masalan:

  • Server ilovalari yoki operatsion tizimning g'ayritabiiy xatti-harakatlari (muzlatish, xatolar bilan tugatish va boshqalar).
  • Protsessor, operativ xotira va xotiradagi yuk asl darajaga nisbatan keskin ortadi.
  • Bir yoki bir nechta portlarda trafik hajmi sezilarli darajada oshadi.
  • Mijozlardan bir xil manbalarga bir nechta so'rovlar mavjud (bir xil veb-sayt sahifasini ochish, bir xil faylni yuklab olish).
  • Server, xavfsizlik devori va tarmoq qurilmalari jurnallarining tahlili ko'pincha ma'lum bir port yoki xizmatga yo'naltirilgan turli manzillardan ko'p sonli monoton so'rovlarni ko'rsatadi. Ayniqsa, agar sayt tor auditoriyaga (masalan, rus tilida so'zlashuvchi) qaratilgan bo'lsa va so'rovlar butun dunyodan kelgan bo'lsa. Trafikning sifatli tahlili shuni ko'rsatadiki, so'rovlar mijozlar uchun amaliy ahamiyatga ega emas.

Yuqorida aytilganlarning barchasi hujumning 100% belgisi emas, lekin bu har doim muammoga e'tibor berish va tegishli himoya choralarini ko'rish uchun sababdir.

Ushbu tashkilot, .tr zonasida domen nomlarini ro'yxatdan o'tkazishdan tashqari, Turkiya universitetlari bilan magistral aloqalarni ham ta'minlaydi. Anonim xakerlar Turkiya rahbariyatini IShIDni qo‘llab-quvvatlashda ayblab, hujum uchun javobgarlikni o‘z zimmasiga oldi.

DDoS ning birinchi belgilari 14-dekabr kuni ertalab paydo bo'ldi, 40 Gbit / s gacha bo'lgan arzimas trafik hujumi ostida beshta NIC.tr serveri qulab tushdi. Muammo NIC.tr muqobil NS infratuzilmasini ta'minlovchi RIPE muvofiqlashtirish markaziga ham ta'sir qildi. RIPE vakillari hujum RIPE xavfsizlik choralarini chetlab o'tadigan tarzda o'zgartirilganini ta'kidladilar.

Keng miqyosli DDoS hujumlari veb-xizmatlarni buzishning eng samarali usuliga aylanmoqda – hujumlar narxi doimiy ravishda pasayib bormoqda, bu esa quvvatni oshirish imkonini beradi: bor-yo‘g‘i ikki yil ichida DDoS hujumining o‘rtacha quvvati 4 baravarga, 8 Gbit/s ga yetdi. O'rtacha qiymatlar bilan taqqoslaganda, Turkiyaning milliy domen zonasiga qilingan hujum ta'sirli ko'rinadi, ammo mutaxassislar ta'kidlashicha, 400 Gbit / s darajasidagi DDoS hujumlari tez orada odatiy holga aylanadi.

Turkiya hujumining o‘ziga xosligi shundaki, hujumchilar to‘g‘ri nishonni tanlaganlar: nisbatan kam sonli IP-manzillarga e’tibor qaratish orqali ular bor-yo‘g‘i 40 gigabitlik hujum bilan butun mamlakat infratuzilmasini amalda buzib tashlashga muvaffaq bo‘lishgan.

Turkiyaning Milliy kiber hodisalarga qarshi kurash markazi boshqa mamlakatlardan NIC.tr serverlariga kelayotgan barcha trafikni bloklab qo‘ydi, buning natijasida 400 000 turk veb-saytlari ishlamay qoldi va barcha elektron pochta xabarlari jo‘natuvchilarga qaytarildi. Keyinchalik markaz shubhali IP manzillarni tanlab bloklab, taktikani o‘zgartirishga qaror qildi. .tr zonasidagi domenlar uchun DNS serverlari Turkiyaning Superonline va Vodafone internet provayderlari yordamida davlat va xususiy serverlar oʻrtasida soʻrovlarni tarqatish uchun qayta konfiguratsiya qilindi.

Hujum qilingan domenlar o'sha kuniyoq onlayn rejimiga qaytdi, biroq ko'plab saytlar va elektron pochta xizmatlari bir necha kun davomida uzilishlar bilan ishlashda davom etdi. Nafaqat mahalliy kompaniyalar va davlat tashkilotlari, balki .tr zonasida domen nomini tanlagan ko'plab milliy veb-resurslar ham ta'sir ko'rsatdi; jami 400 mingga yaqin veb-saytlar, ularning 75 foizi korporativdir. Turk milliy domenidan ta’lim muassasalari, munitsipalitetlar va harbiylar ham foydalanadi.

"Anonim" bayonot bergunga qadar, ko'pchilik DDoS hujumida Turkiya va Rossiya o'rtasidagi keskin munosabatlar tufayli ruslarni aybladi. O‘z vaqtida xuddi shunday sabablarga ko‘ra rossiyalik xakerlar Estoniya (2007), Gruziya (2008) va Ukrainaga (2014) keng ko‘lamli kiberhujumlarga aloqadorlikda gumon qilingan edi. Ba'zi ekspertlar turkiyalik DDoS ni Rossiyaning Sputnik axborot saytiga turk kiberguruhlarining DDoS hujumiga ruslarning javobi deb hisoblashdi.

Anonim bayonot "rus izi" gipotezasini har qanday asosdan mahrum qildi. Shuningdek, xakerlar Turkiya IShIDga yordam berishni to‘xtatmasa, Turkiya aeroportlari, banklari, hukumat serverlari va harbiy tashkilotlariga hujum qilish bilan tahdid qilmoqda.