DDoS-ataka – viena pigiausių ir patikimiausių kenkimo konkurentams priemonių. Šio nusikalstamo verslo pelnas gana didelis, o bandymai priešintis kibernusikaltėliams tradicinėmis priemonėmis retai būna sėkmingi. Ar verta susitaikyti su srauto lavina ir laukti atakos pabaigos, stebint augančius nuostolius? Ar egzistuoja efektyvios apsaugos sistemos?
Iš pradžių tai, kas dabar vadinama paskirstytomis DoS-atakomis, buvo naudojama tinklo pralaidumo tyrimui. Tačiau piktavaliai gana greitai suvokė kenksmingą šios technologijos potencialą. 1997-aisiais DDoS ataka beveik parai iš rikiuotės išvedė „Microsoft“ tinklalapį. 1999-aisiais interneto kenkėjai išvedė iš rikiuotės tokių stambių kompanijų, kaip „Yahoo“, CNN, „eBay“ serverius. 2002-ųjų spalis pažymėtas stambia ataka prieš pagrindinius interneto serverius. Atakos aukomis tapo septyni iš trylikos serverių.
DDoS ataka nepraeina be pasekmių nė vienai kompanijai: kai kam tai gresia nuostoliais, o kai kam ir reputacijos praradimu.
DoS ataka (angl. Denial of Service — „atsisakymas aptarnauti“) ir DDoS-ataka (Distributed Denial of Service — „paskirstytas atsisakymas aptarnauti“) — tai atakų prieš kompiuterines sistemas rūšys. Jų tikslas yra sukurti tokias sąlygas, kad teisėtiems sistemos naudotojams jos ištekliai taptų neprieinami ar apsunkinamas jų gavimas. |
---|
Jos ypač skaudžiai atsiliepia, pavyzdžiui, kompanijoms, užsiimančioms telekomunikacijomis ir jos sau tiesiog negali leisti tapti piktavalių aukomis. Be žlugusios reputacijos, kompanijos patiria visiškai apčiuopiamus tiesioginius ir netiesioginius finansinius nuostolius. Užblokuotas tinklalapis daugeliui organizacijų reiškia negautas pajamas, o atakos atrėmimo išlaidos ar kreipimasis į kitus interneto tiekėjus skaudžiai atsiliepia biudžetui. Apsauga nuo DDoS atakų ypač svarbi internetinėms parduotuvėms, tinklaraščių tarnyboms, naujienų tarnyboms ir kitoms kompanijoms, kurių veiklai būtina, kad jų tinklalapiu nuolat galėtų naudotis klientai.
Nuo ko saugotis?
DDoS atakos gali būti naudojamos ir kaip priedanga kenksmingų šnipinėjančių programų įdiegimui, kuriomis gauta informacija parduodama konkurentams.
Nepaisant to, kad ES valstybės nuolat griežtina internetiniams nusikaltėliams skiriamas bausmes (pavyzdžiui, Vokietijoje programišius gali netekti laisvės 10-čiai metų), tokio tipo nusikaltimų nemąžta. „Symantec“ kompanija kompiuterių-zombių tinklų naudojimą DDoS atakoms, vadina viena didžiausių grėsmių internetiniam verslui praėjusiais metais.
Kompiuterių-zombių tinklas (angl. botnet) – grupė tinkle esančių kompiuterių, užkrėstų specialiu kodu (botu), suteikiančiu galimybę vienam žmogui nuotoliniu būdu per internetą juos visus valdyti. Paprastai naudojami DDoS atakų rengimui arba brukalų siuntinėjimui, nes tokiu būdu lengvai prasprūsta pro apsaugines programas. |
---|
Visų pirma taip yra todėl, kad nusikaltėlį ne taip paprasta aptikti. Dabar DDoS atakų rengimu užsiima ne entuziastai-vienišiai, o nusikalstamos grupuotės. Atakos organizavimui būtinas kruopštus pasirengimas: reikia parašyti ir paleisti programas, kurios perims tūkstančių naudotojų kompiuterių kontrolę. Iš šių kompiuterių ir bus sudarytas zombių tinklas, kuris vykdys pačią ataką, generuodamas kenksmingą srautą. Visgi didelių finansinių investicijų DDoS atakų suruošimas nereikalauja, kas daro šias atakas nusikaltėliams ypač patraukliomis.
Taip DDoS atakos tampa galingu nesąžiningos konkurencijos, politinio spaudimo ar biržos machinacijų įrankiu.
Atakų tipai
DDoS atakos neturi visuotinai pripažįstamos klasifikacijos. Šiuo metu informacinio saugumo specialistai išskiria keletą DDoS atakų vykdymo metodų. Pirmasis, HTTP GET, – tai suplanuotas didelio skaičiaus užklausų pasiuntimas iš kompiuterių-zombių tinklo į interneto serverį, taip išsekinant visus jo resursus. Kitas būdas, DNS flood, – tai didelio skaičiaus DNS užklausų perdavimas, dėl ko domenų vardų serveris tampa nebeprieinamu kitiems naudotojams, nes resursai užimti užklausų apdorojimu. Dar vienas metodas, UDP flood, – tai daugybės didžiulių UDP (User Datagram Protocol) paketų siuntimas aukai. Taip išnaudojama atakuojamos sistemos perdavimo kanalų talpa. Ir paskutinis DDos atakos tipas, TCP SYN flood, – tai daugybės užklausų TCP susijungimui su „taikiniu“ pradėti siuntimas. Taip galų gale sistemai tenka naudoti visus savo išteklius šių dalinių prisijungimų apdorojimui. Dažniausiai, vykdant DDoS ataką, vienu metu ar paeiliui, taikomi visi aprašyti atakos būdai.
Tačiau visų DDoS atakų mechanizmas yra toks pats – didelis skaičius užklausų iš daugybės kompiuterių tuo pačiu metu siunčiama į vieną ir tą patį tinklo išteklių. Tokio masto srauto išaugimas išveda iš rikiuotės serverį, į kurį nukreiptos užklausos. Visos DoS atakos skirtos sistemos resursų išsekinimui.
Tipinė tinklo, iš kurio vykdoma ataka, sandara yra trijų lygių, ją dar vadina „DDoS klasteriu“. Jo struktūrą sudaro viena ar keletas vadovaujančių konsolių, iš kurių nusikaltėlis pradeda ataką. Antrame lygyje yra pagrindiniai kompiuteriai, kurie atakos pradžios signalą persiunčia į trečiąjį lygį – iš anksto organizuotą kompiuterių-zombių tinklą.
Tokio DDoS atakų valdymo pliusas yra tas, kad atsekti schemą iš kitos pusės yra gana sudėtinga. Daugiausia, ką galima nustatyti – pagrindinių kompiuterių buvimo vietą.
Kaip kovoti?
Kova su DDoS atakomis – sudėtinga. Pirmiausia, labai sunku nustatyti atakos organizatorių, o naudotojai, kurių kompiuteriai kuria parazitinį srautą, dažnai nė neįtaria, kad jų kompiuteris tapo nusikaltėlių įrankiu. Antra, praktiškai neįmanoma atskirti kenksmingo srauto nuo įprasto, nes tai tokios pačios užklausos, kaip teisėtų klientų, tik nepalyginamai gausesnės.
IP klastojimas (angl. spoofing, spoof – mistifikacija) ataka, kai naudojamas svetimas IP adresas, siekiant apgauti saugumo sistemas. Šis metodas naudojamas kai kuriose atakose, o jo principas yra neteisingo adreso įrašymas IP paketo išeities (source) adreso eilutėje. Taip nuslepiamas tikrasis atakuojančiojo adresas, siekiant išsiųsti atsakomąjį paketą reikiamu adresu ir kitais tikslais. |
---|
Tinklo srauto anomalijų analizė – vienintelis efektyvus DDoS atakų aptikimo metodas. Saugumo atžvilgiu, DDoS atakos yra vienos sudėtingiausių internetinių grėsmių, todėl efektyvių gynybos priemonių vykdymas yra labai sudėtingas organizacijai, kurios veikla priklauso nuo interneto. DDoS ataką labai sunku aptikti ir sustabdyti, nes „kenksmingus“ paketus labai sunku atskirti nuo „teisėtų“. Tinklo įrenginiai ir tradiciniai techniniai sprendimai, skirti tinklo perimetro gynimui, kaip tarptinkliniai ekranai ir įsibrovimų aptikimo sistemos (IDS), yra svarbūs internetinės saugos strategijos komponentai, tačiau vieni jie neužtikrina visiškos apsaugos nuo DDoS atakų.
Tarptinkliniai ekranai, analizuodami tinklo paketus, juos praleidžia arba sustabdo. Bet DDoS ataka gali būti sėkmingai vykdoma ir tokio ekrano praleidžiamais paketais. O klasikinės IDS, veikiančios srauto signatūrų analizės principu, lygina tikrinamą srautą su žinomais kenksmingo srauto šablonais. Bet kadangi DDoS atakų generuojamas srautas – įprastiniai tinklo paketai, kurių kiekvienas, atskirai paimtas, jokios grėsmės nekelia, IDS tokios atakos neaptiks. Kai kada, vykdant tokias atakas, naudojamas šaltinio IP klastojimas, todėl tampa nebeįmanoma kenksmingo srauto sutapdinti su konkrečiu šaltiniu.
Komparatorius (analoginių signalų) – elektroninė schema, įvestyje priimanti du analoginius signalus ir išvestyje pateikianti loginį „0“ arba „1“, nelygu, kuris signalas stipresnis. |
---|
Šiuolaikinės apsaugos nuo DDoS atakų priemonės gana efektyviai išaiškina atakas ir sumažina arba panaikina tinklo operatorių ir jų klientų nuostolius.
Bendru atveju, apsaugos nuo DDoS atakų priemonės yra „apmokomos“, kai DDoS ataka prieš konkretų resursą nevyksta. Tuo metu įrenginys statistinės analizės metodais nustato ir įsimena, koks srautas konkrečiam ištekliui yra normalus. Kai srautas į ginamą išteklių ryškiai skiriasi nuo normalaus, tai laikoma DDoS ataka. Ją aptikusi, sistema praneša operatoriui, o esant tinkamiems nustatymams, aktyvuoja apsaugos posistemę. Komparatorius (analoginių signalų) – elektroninė schema, įvestyje priimanti du analoginius signalus ir išvestyje pateikianti loginį „0“ arba „1“, nelygu, kuris signalas stipresnis. Atoveiksmio etape posistemė analizuoja srautą ir sukuria nuolat besikeičiantį filtrų rinkinį, kurie perduodami komparatoriui. Pastarasis nukreipia srautą į autentifikacijos modulį. Atrinkusi srautą, nepraėjusį autentifikacijos, posistemė nukreipia srautą į greičio ribotuvą, kur atrenkamas srautas, viršijantis tam tikrą nustatytą greitį. Po šių procedūrų legitymus srautas pasiekia savo tikslą. Kai srautas grįžta į normos ribas, posistemė deaktyvuojasi ir srauto maršrutas grįžta į optimalų režimą. Tokia schema leidžia išteklius naudoti efektyviausiai.
Parengta pagal safe.cnews.ru.