Полезные знания "Кратко и Понятно" про DDoS от WEB503

WEB503

DDoS Service
Команда форума
Старший по разделу
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Регистрация
6/5/21
Сообщения
355
Репутация
2.360
Реакции
1.267
RUB
475
Сделок через гаранта
10
Депозит
229 000 рублей
Статей на тему DDOS уже так много , что рассказать что либо новое в этой тематике ,
не раскрывая секретов самих атакующих - сложно.
Мы решили пробежаться по самому основному. Ответить на самые частые вопросы обывателей.
И так приступим :


Что такое DDOS-атака ?


DDoS
(распределенный отказ в обслуживании) - это нападение на сервер, инициированное по нескольким каналам, с целью сделать пропускную способность компьютера или оборудование недоступными. DDoS-атаки - это кибератаки, которые поражают жизненно важную инфраструктуру, чтобы прервать сетевое обслуживание или связь, в результате чего пользователи целевого ресурса сталкиваются с отказом в обслуживании. Атака DDoS нацелена на одно устройство или несколько устройств, объединяя вычислительные мощности нескольких машин, зараженных вредоносным ПО.

Одним из самых опасных векторов атак в арсенале хакеров является DDoS-атака. Атаки типа «отказ в обслуживании» могут произойти в любой момент, затронув любой аспект работы или инфраструктуры веб-сайта и приведя к серьезным сбоям в обслуживании и финансовым потерям. DDoS-атаки раньше были источником развлечения для некоторых хакеров, но данные свидетельствуют о том, что они все чаще используются киберпреступниками для заработка денег или для отключения сайтов компаний по политическим мотивам.

Почему DDoS-атаки так опасны ?

DDoS-атаки могут захлестнуть и перегрузить центры обработки данных, увеличивая расходы поставщиков услуг. Атака Dos может вызвать длительные простои и проблемы с подключением для пользователей. Успешная DDoS-атака может вывести из строя сетевую инфраструктуру в режиме реального времени, вызывая проблемы с безопасностью сети. Ваша группа реагирования на инциденты должна быть оснащена средствами для борьбы с DoS, DDoS и другими серьезными кибератаками.


Как определить DDoS-атаку ?


Сайт или приложение, неожиданно начинает долго загружаться или становится недоступным, наиболее очевидные признаки DDoS-атаки. Однако, поскольку множество других факторов, таких как реальный всплеск трафика, могут вызвать проблемы с производительностью, обычно требуется дальнейший анализ. Следующие признаки DDoS-атаки можно обнаружить с помощью инструментов аналитики трафика:

1)Необычный уровень трафика, исходящего с одного IP-адреса или нескольких IP-адресов.
2)Всплеск трафика от пользователей с общим поведенческим профилем, таким как модель системы, геолокация или версия веб-браузера.
3)Неожиданно высокий спрос на одну страницу или конечную точку.
4)Необычные тенденции трафика, такие как скачки в необычное время дня или модели, которые кажутся неестественными (например, скачки каждые 5 минут)



Принцип DDoS-атак и их работы:


Различные формы DDoS-атак используют разные аспекты сетевого соединения. Чтобы понять, как работают различные DDoS-атаки, вы должны сначала понять, как устанавливается сетевое соединение.

В Интернете сеть состоит из нескольких различных компонентов или «слоев». Каждый слой в модели служит разным целям, подобно тому, как каждый слой в доме служит разным целям.

Модель OSI представляет собой семиуровневую аналитическую структуру для описания сетевой коммуникации.
Найти модель OSI вы можете в нашей рубрике "Кратко и понятно" от WEB 503.



Как предотвратить DDOS-атаку ?


Вы можете помочь избежать распределенной атаки типа «отказ в обслуживании», выполнив следующие действия:

1)Создание стратегии работы с отказами в обслуживании.
2)Обеспечение безопасности ресурсов сети.
3)Фильтрация брандмауэров и маршрутизаторов на границе сети для обнаружения и блокировки DDoS.
4)Блокировка сайта, подвергшегося DDoS-атаке, с маршрутизацией всего трафика на недействительный IP-адрес.



Типы DDoS-атак:


Атаки на уровне приложений

Атака на уровне приложений нацелена на 7-й уровень, который генерирует веб-страницы на сервере и доставляет их в ответ на HTTP-запросы. На стороне клиента один HTTP-запрос является недорогим с вычислительной точки зрения, но для целевого сервера реакция на него может быть дорогостоящей, поскольку сервер часто должен загружать несколько файлов и выполнять запросы к базе данных для создания веб-страницы.

От атак уровня 7 сложно защититься, поскольку отличить вредоносный трафик от легитимного может быть сложно. Целью DDoS-атаки уровня 7 является потребление ресурсов цели, чтобы вызвать атаку типа «отказ в обслуживании».

Уровень приложений сетевой модели OSI является самым верхним и ближайшим к интерфейсу пользователя с устройством. Атаки на уровне приложений в основном сосредоточены на прямом веб-трафике. HTTP, HTTPS, DNS и SMTP также возможны.

Атаки на уровне приложений труднее обнаружить, потому что они обычно включают ограниченное количество устройств, или вовсе только одно. В результате сервер может быть обманут, приняв атаку как очередной всплеск легитимного трафика.

Атаки HTTP Flood
Это нападение аналогично многократному обновлению веб-страницы на нескольких устройствах одновременно - огромное количество HTTP-запросов перегружает сайт, вызывая отказ в обслуживании. Это форма атаки, которая может быть простой или сложной , но довольно часто вполне эффективной.

Более простые реализации могут использовать один и тот же набор атакующих IP-адресов, источников перехода и пользовательских агентов для доступа к одному и тому же URL-адресу. Сложные версии могут использовать большое количество атакующих IP-адресов и использовать случайные источники перехода и пользовательские агенты для нацеливания на случайные URL-адреса.

Атака протокола.
Также известные, как атаки с истощением состояния, прерывают работу из-за использования слишком большого количества ресурсов сервера или ресурсов сетевого оборудования, таких как межсетевые экраны и load-balance. Атаки протокола используют недостатки на уровне 3 и уровне 4 стека протоколов, чтобы сделать цель недоступной. Атака протокола нацелена на таблицы ссылок в сетевых областях, которые напрямую связаны с проверкой соединения. Атакующий компьютер вызовет переполнение буферов памяти в целевой системе и потенциально выйдет из строя устройство, посылая серию медленных эхо-запросов, преднамеренно искаженных эхо-запросов и не полных пакетов. Межсетевые экраны также могут стать целью атаки протокола. Вот почему одного брандмауэра недостаточно для предотвращения атак типа «отказ в обслуживании».

SYN флуд
Хакеры используют рукопожатие TCP с «запросом начального соединения», которые представляют собой SYN-пакеты с поддельными исходными IP-адресами к месту назначения - последовательность обмена данными, с помощью которой два компьютера инициируют сетевое соединение. Целевая машина отвечает на каждый запрос связи, а затем ожидает последнего шага рукопожатия, чего никогда не происходит, тем временем тратя ресурсы цели.

SYN-поток
, который использует метод трехэтапного подтверждения для создания TCP / IP-соединения, является одной из наиболее частых атак на протоколы. Перед формированием ссылки клиент обычно отправляет пакет SYN (синхронизация), получает SYN-ACK (подтверждение синхронизации) и отвечает ACK. Клиент отправляет пакеты SYN только во время атаки, в результате чего сервер отправляет SYN-ACK и ждет финальной фазы, которая никогда не наступает. В результате сетевые услуги становятся перегруженными.

Потенциальные хакеры часто смешивают эти три тактики, чтобы поразить цель со многих сторон, полностью подрывая защиту до того, как могут быть реализованы более сильные и всеобъемлющие контрмеры.

Объемные атаки
Такая атака пытается создать тупик для интернет-трафика, используя всю доступную пропускную способность между жертвой и остальной частью Интернета. Усиление или другой метод сбора большого количества трафика, такой как запросы с ботнета, используются для распределения данных объемом в терабайты по назначению.

Самая популярная DDoS-атака приводит к перегрузке сетевой полосы пропускания машины, перегружая ее поддельными запросами данных на любом открытом порту. Поскольку бот заполняет порты данными, система постоянно ищет вредоносные запросы данных, не оставляя места для прохождения законного трафика. Два наиболее распространенных типа объемных атак - это UDP-флуд и ICMP-флуд.

Протокол пользовательских дейтаграмм (UDP) относится к базовой передаче данных без проверки их целостности. К сожалению, формат UDP хорошо подходит для быстрой передачи данных, что делает его основным оружием злоумышленников.

Протокол управляющих сообщений Интернета (ICMP) - это протокол, который позволяет компьютерам сети соединяться друг с другом. Атака, ориентированная на ICMP, включает в себя нацеливание на узлы, которые отправляют цели ложные запросы об ошибках. Подобно тому, как работает UDP-атака, цель должна соответствовать этим требованиям и не может отвечать на законные.

Усиление DNS
Атаки с усилением используют разрыв в полосе пропускания между злоумышленником и атакованным веб-ресурсом. В результате объем трафика прервет пропускную способность сети, поскольку разница в стоимости увеличивается при выполнении нескольких запросов. Злоумышленник получит больше от меньшего, посылая небольшие запросы, которые приводят к большим ответам. Целевой IP-адрес получает ответ от открытого DNS-сервера после отправки запроса с поддельным IP-адресом (IP-адрес жертвы).


Защита от DDoS-атак


Отличие атак от обычного трафика является серьезной проблемой при борьбе с DDoS-атакой. Например, если в результате нового запуска веб-сайт компании наполнен покупателями, отключение всех посетителей будет ошибкой. Если корпорация неожиданно получает поток трафика от известных злоумышленников, почти наверняка потребуются попытки смягчения последствий.

Проблема состоит в том, чтобы отличить настоящих потребителей от атакующего трафика. DDoS-трафик может принимать различные формы в цифровом Интернете. От незащищенных атак на один источник до динамических и гибких много-векторных атак - трафик может быть спроектирован различными способами. Много-векторная DDoS-атака использует несколько векторов атаки, чтобы преодолеть цель различными способами, потенциально отвлекая усилия по смягчению в любом направлении.

Много-векторный DDoS атакует несколько уровней стека протоколов одновременно, например, усиление DNS (уровни 3/4) в сочетании с HTTP-потоком (уровень 7). Чтобы преодолеть различные траектории, противодействие много-векторной DDoS-атаке требует применения ряда методов.

В целом, чем тоньше угроза, тем сложнее будет отличить атакующий трафик от обычного трафика - цель злоумышленника - как можно глубже вписаться в нее, делая попытки предотвращения как можно более неэффективными.

Усилия по смягчению последствий, которые без разбора снижают или ограничивают риск трафика, смешивают хороший и плохой трафик, а атака может корректироваться, чтобы избежать контрмер. Многоуровневый подход может дать наибольшую пользу в преодолении динамических усилий, направленных на подрыв защиты.


Как защититься от DDoS-атак?


Разработайте план реагирования на DDoS-атаки
Создавайте стратегию предотвращения DDoS-атак, сосредоточенную на всесторонней проверке безопасности.
Когда происходит DDoS-атака, у вас мало времени, чтобы обдумать правильный курс действий. Их необходимо описать заранее, чтобы можно было быстро отреагировать и предотвратить любые негативные последствия.

Первым шагом к надежной оборонительной политике является разработка плана управления чрезвычайными ситуациями. План реагирования на DDoS-атаки может быть очень обширным в зависимости от инфраструктуры. Когда происходит атака вредоносного ПО, первое действие, которое вы предпримете, определит, остановится ли атака. Убедитесь, что центр обработки данных готов и все сотрудники понимают свои роли. Таким образом вы сможете снизить нагрузку на свою компанию и сэкономить месяцы времени на восстановление.

Основные компоненты любой компании одинаковы, а именно:
Составьте исчерпывающий список активов, которые вам понадобятся для развертывания сложных инструментов обнаружения, оценки и фильтрации угроз, а также для защиты оборудования и устройств с повышенной безопасностью. Соберите группу ответа. Определите обязанности основных членов команды, чтобы обеспечить скоординированный ответ на атаку по мере ее возникновения.

Определите протоколы предупреждения и эскалации. Убедитесь, что все сотрудники знают, к кому обращаться в случае нападения.
Включите список внутренних и внешних контактов, которым необходимо уведомить об атаке. Установите методы подключения для клиентов, поставщика облачного хранилища и любых поставщиков средств безопасности.
Защитите инфраструктуру вашей сети.
Только при наличии многоуровневых механизмов защиты риски сетевой безопасности будут снижены.

Расширенные системы обнаружения вторжений и контроля уязвимостей, например, включают межсетевые экраны, VPN, защиту от спама, фильтрацию контента, балансировку нагрузки и другие уровни защиты от DDoS-атак. Они работают вместе, чтобы обеспечить непрерывную и надежную сетевую безопасность, предотвращая DDoS-атаки. Это охватывает все: от обнаружения потенциальных несоответствий трафика до максимально точной остановки атаки.

Поскольку у большинства основного сетевого оборудования есть только минимальные возможности защиты от DDoS-атак, вы можете передать на аутсорсинг любые дополнительные услуги. Вы будете использовать инновационные ресурсы предотвращения и безопасности с оплатой по факту использования с помощью облачных решений. Это фантастический выбор для малых и средних фирм, стремящихся держать свои оборонные бюджеты под контролем.

Кроме того, вы можете убедиться, что системы обновлены. Устаревшие программы обычно имеют наибольшее количество недостатков. Злоумышленники, использующие отказ в обслуживании (DoS), ищут недостатки. Вы закроете двери для злоумышленников, ежедневно исправляя инфраструктуру и загружая новые версии программного обеспечения.

Брандмауэр веб-приложений (WAF) - это механизм, который может помочь предотвратить атаки DDoS на уровне 7. Когда WAF размещается между Интернетом и исходным сайтом, он может действовать как обратный прокси-сервер, защищая предполагаемый сервер от вредоносного трафика.

Атаки уровня 7 можно предотвратить путем фильтрации запросов на основе набора правил, используемых для классификации ресурсов DDoS. Одна из наиболее важных особенностей хорошего WAF - это возможность легко применять пользовательские правила в случае атаки.


Будьте в курсе DoS-атак

DDoS-атаки до боли распространены, и они больше не являются исключительной компетенцией крупных компаний. Все больше нацелены на малый и средний бизнес. Эта тенденция увеличила спрос на многоуровневые технологии безопасности, которые могут полностью покрыть чувствительные рабочие нагрузки.


Ознакомиться и заказать
услуги
DDOS-a можно по в моей теме
ТЫК
 
Последнее редактирование:
  • Теги
    ddos waf web503 атака на сайт брэндмаурэ ддос защита данных защита сайта кратко и понятно статья
  • Сверху Снизу