Анатомия DDoS

Одним из самых разрушительных хакерских инструментов в последние годы стали так называемые распределенные атаки "отказ в обслуживании" - DDoS (Distributed Denial of Service). В последнее время их чаще называют просто DoS-атаками, или распределенными атаками. Особая опасность этих атак - в крайней простоте их организации. При этом злоумышленники обычно не ставят перед собой цель проникновения в защищенную компьютерную систему; их задача - парализовать работу атакуемого web-узла.

Между тем это одна из самых молодых хакерских технологий - ее осуществление стало возможно только в связи с действительно повсеместным распространением интернета и проникновением его в самые разные сферы общественной жизни. Не случайно о DoS-атаках широко заговорили только после того, как в декабре 1999 года при помощи этой технологии были "завалены" web-узлы таких известных корпораций, как Amazon, Yahoo, CNN, eBay, E-Trade и ряда других, немногим менее известных. Хотя первые сообщения о чем-то похожем появились еще в 1996 году, до "рождественского сюрприза" 1999 года DoS-атаки не воспринимались специалистами по компьютерной безопасности как серьезная угроза, исходящая из Сети. Однако спустя год, в декабре 2000, все повторилось: web-узлы крупнейших корпораций были атакованы по технологии DDoS, а их системные администраторы вновь не смогли ничего противопоставить злоумышленникам. Ну а в 2001 году DoS-атаки стали уже обычным делом. Теперь системные администраторы крупных корпораций и государственных web-узлов со страхом ожидают Рождества-2001. По имеющейся информации, хакеры потратили год на существенную модернизацию своего инструментария, а ведь существующие схемы защиты от DoS-атак и без того недостаточно совершенны.

Собственно говоря, DoS-атаки производятся отнюдь не для кражи информации или какого-либо манипулирования ею. Основная их цель - парализовать работу узла-жертвы. Собственно говоря, это просто сетевой терроризм. Не случайно поэтому американские спецслужбы подозревают, что за многими DoS-атаками на серверы крупных корпораций стоят пресловутые антиглобалисты. Действительно: одно дело - швырнуть кирпич в витрину "Макдональдса" где-нибудь в Мадриде или Праге, и совсем другое - "завалить" сайт этой суперкорпорации, давно уже ставшей своеобразным символом глобализации мировой экономики.

DoS-атаки опасны еще и тем, что для их развертывания кибертеррористам не требуется обладать какими-то особенными знаниями и умениями. Сегодняшний уровень развития соответствующего хакерского инструментария таков, что раздобыть и использовать по назначению программы, необходимые для организации и начала DoS-атаки, - дело нескольких часов для человека, более-менее ясно представляющего себе, что такое интернет и как он функционирует. Все необходимое программное обеспечение вместе с описаниями самой технологии совершенно свободно доступно в Сети. Зато последствия могут быть весьма плачевными - жертва такой атаки может на несколько часов, а порой и дней лишить своих клиентов привычного сервиса. Наверное, не нужно объяснять, чем это чревато для тех же интернет-СМИ или узлов электронной коммерции. Причем защититься от такой атаки весьма сложно.

В общем случае технология DoS-атаки выглядит следующим образом: на выбранный в качестве мишени web-узел обрушивается шквал ложных запросов со множества компьютеров по всему миру. В результате обслуживающие узел серверы оказываются парализованными и не могут обслуживать запросы обычных пользователей. При этом пользователи компьютеров, с которых направляются ложные запросы, и не подозревают о том, что их машина тайком используется злоумышленниками. При проведении атаки DDoS множество компьютерных систем одновременно начинает генерировать DoS-атаки, направленные на общую цель. Такое распределение нагрузки по сотням, а то и тысячам систем оказывается одним из самых лучших способов решения задач, требующих интенсивного использования системных ресурсов - а атаки DDoS относятся именно к таким задачам. При этом распределение рабочей нагрузки среди множества систем не только позволяет увеличить разрушительное действие атаки, но и существенно усложняет действия по защите от нее, а также не позволяет выявить истинный адрес атакующего узла.

Первоочередная задача злоумышленников состоит в том, чтобы получить доступ к достаточному числу узлов Сети, чтобы разместить на них агентов атаки DDoS (так называемых "зомби"). Поскольку это сугубо подготовительный этап, хакеру неважно, какие узлы будут использоваться для атаки, и он просто перебирает все подряд в поисках наименее защищенных. Найти таковые обычно не составляет большого труда - благо, безалаберных сисадминов на планете достаточно. При этом современные инструментальные средства, созданные и используемые хакерами, по большей части автоматизируют данную работу, а также организацию и инициализацию атак. Узлы, на которых размещены агенты DoS-атаки, называются "скомпрометированными".

Обычно при проведении масштабных DDoS-атак злоумышленниками создается трехуровневая архитектура - так называемый "кластер DDoS". Это иерархическая структура, на самой вершине которой находится одна или несколько управляющих консолей. Управляющая консоль - это, собственно, и есть тот самый компьютер, с которого хакер запускает атаку на систему. Управляющая консоль формирует команды, поступающие на следующий иерархический уровень - уровень главных контроллеров. Их на одну консоль может приходиться от десятка до нескольких сотен - в зависимости от масштабов атаки. Это также скомпрометированные web-узлы, но они не участвуют непосредственно в самой атаке. Каждый контроллер, в свою очередь, координирует действия большого количества (порядка нескольких тысяч) агентов-"зомби" - это уже третий уровень кластера. И уже "зомбированные" узлы берут на себя функции по непосредственному проведению атаки на узел-мишень. Проследить эту систему в обратном направлении практически невозможно. Анализ трафика "жертвы" приведет к узлу-агенту, и даже узел-контроллер отыскать непросто, не говоря уже об атакующей консоли.

Сегодня наиболее часто используются следующие пять разновидностей DoS-атак, для проведения которых существует большое количество программного обеспечения и от которых наиболее тяжело защититься:

  • Smurf - ping-запросы ICMP (Internet Control Message Protocol) по адресу направленной широковещательной рассылки. Используемый в пакетах этого запроса фальшивый адрес источника в результате оказывается мишенью атаки. Системы, получившие направленный широковещательный ping-запрос, отвечают на него и "затапливают" сеть, в которой находится сервер-мишень;
  • ICMP flood - атака, аналогичная Smurf, только без усиления, создаваемого запросами по направленному широковещательному адресу;
  • UDP flood - отправка на адрес системы-мишени множества пакетов UDP (User Datagram Protocol), что приводит к "связыванию" сетевых ресурсов;
  • TCP flood - отправка на адрес системы-мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов;
  • TCP SYN flood - при проведении такого рода атаки выдается большое количество запросов на инициализацию TCP-соединений с узлом-мишенью, которому, в результате, приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения.

В случае атаки трафик, предназначенный для переполнения атакуемой сети, необходимо "отсекать" у провайдера услуг интернета, потому что на входе в сеть сделать это уже будет невозможно - вся полоса пропускания будет занята.

Угрозу DoS-атак можно снизить несколькими способами. Во-первых, необходимо правильно сконфигурировать функции анти-спуфинга на маршрутизаторах и межсетевых экранах. Эти функции должны включать, как минимум, фильтрацию RFC 2827. Если хакер будет не в состоянии замаскировать свою истинную личность, он вряд ли решится на проведение атаки. Во-вторых, необходимо включить и правильно сконфигурировать функции анти-DoS на маршрутизаторах и межсетевых экранах. Эти функции ограничивают число полуоткрытых каналов, не позволяя перегружать систему. Также рекомендуется при угрозе DoS-атаки ограничить объем проходящего по сети некритического трафика. Об этом уже нужно договариваться со своим интернет-провайдером. Обычно в подобных случаях ограничивается объем трафика ICMP, так как он используется сугубо для диагностических целей.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

44 за 2001 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Андрей Стальмошенок
Где (в Интернете, какае книги) можно более подробно прочитать о характере, способах атак, защите, применяемых аппаратных и программных средствах для защиты.

Заранее спасибо.