LA CLOCHE

Il y a ceux qui ont lu cette nouvelle avant vous.
Abonnez-vous pour recevoir les derniers articles.
E-mail
Nom
Nom de famille
Comment voulez-vous lire La cloche
Pas de spam

Le FSB a ouvert une procédure pénale sur le fait d'une attaque DDoS massive contre les banques russes. Attaques DOS et DDoS : concept, types, méthodes de détection et de protection Attaques ddos ​​massives

Partager
Partager
Tweeter
Comme
Comme

La situation économique instable des deux dernières années a entraîné une augmentation significative du niveau de concurrence sur le marché, ce qui a entraîné une augmentation de la popularité des attaques DDoS - méthode efficace causant des dommages économiques.

En 2016, le nombre de commandes commerciales pour l'organisation d'attaques DDoS a été multiplié par plusieurs. Les attaques DDoS massives sont passées du domaine de la pression politique ciblée, comme ce fut le cas, par exemple, en 2014, au segment des entreprises de masse. La tâche principale des attaquants est le plus rapidement possible et avec coût minime rendre la ressource inaccessible afin d'en tirer de l'argent des concurrents, se donner des conditions d'extorsion, etc. Les attaques DDoS sont de plus en plus utilisées, ce qui stimule la recherche de moyens de plus en plus massifs de protection des entreprises.

Dans le même temps, le nombre d'attaques ne cesse de croître, malgré des succès notables dans la lutte contre les DDoS. Selon Qrator Labs, en 2015, le nombre d'attaques DDoS a augmenté de 100 %. Et ce n'est pas surprenant, car leur coût est tombé à environ 5 $ de l'heure, et les outils pour leur mise en œuvre sont entrés sur le marché noir massif. Voici quelques-unes des principales tendances des attaques par déni de service distribué qui sont prévues pour les prochaines années.

Attaques par amplification UDP

Les attaques conçues pour épuiser la capacité des canaux incluent l'amplification UDP. De tels incidents étaient les plus courants en 2014 et sont devenus une tendance brillante en 2015. Cependant, leur nombre a déjà atteint son apogée et diminue progressivement - les ressources pour mener de telles attaques sont non seulement limitées, mais également en forte baisse.

Un amplificateur est un service UDP public qui fonctionne sans authentification, qui peut envoyer une réponse beaucoup plus importante à une petite requête. L'attaquant, en envoyant de telles requêtes, remplace son adresse IP par l'adresse IP de la victime. En conséquence, le trafic de retour dépassant de loin débit le canal de l'attaquant est redirigé vers la ressource Web de la victime. DNS, NTP, SSDP et d'autres serveurs sont utilisés pour participer involontairement à des attaques.

Attaques d'applications Web L7

En lien avec la réduction du nombre d'amplificateurs, l'organisation d'attaques sur les applications web au niveau L7 à l'aide de botnets classiques revient sur le devant de la scène. Comme vous le savez, un botnet est capable de mener des attaques réseau à l'aide de commandes à distance, et les propriétaires d'ordinateurs infectés peuvent même ne pas en être conscients. En raison de la surcharge du service avec des demandes « poubelles », les demandes d'utilisateurs légitimes restent généralement sans réponse ou un temps déraisonnable est nécessaire pour les réponses.

Les botnets deviennent de plus en plus intelligents aujourd'hui. Lors de l'organisation des attaques correspondantes, la technologie de pile de navigateur complet est prise en charge, c'est-à-dire l'émulation complète de l'ordinateur de l'utilisateur, du navigateur et du développement de scripts java. Des techniques comme celle-ci sont excellentes pour déguiser les attaques L7. Il est presque impossible de distinguer manuellement un bot d'un utilisateur. Cela nécessite des systèmes utilisant la technologie d'apprentissage automatique, grâce auxquels le niveau de résistance aux attaques augmente, les mécanismes sont améliorés et la précision des tests augmente.

Problèmes BGP

En 2016, une nouvelle tendance est apparue - les attaques sur l'infrastructure réseau, y compris celles basées sur l'exploitation des vulnérabilités du protocole BGP. Les problèmes du protocole de routage BGP, sur lequel repose tout l'Internet, sont connus depuis plusieurs années, mais ces dernières années, ils ont de plus en plus entraîné de graves conséquences négatives.

Les anomalies de réseau associées au routage au niveau de la couche réseau inter-domaines peuvent affecter un grand nombre d'hôtes, de réseaux et même la connectivité et la disponibilité mondiales d'Internet. Le type de problème le plus courant est Route Leaks - une "fuite" d'un itinéraire qui se produit à la suite de sa publicité dans la mauvaise direction. Jusqu'à présent, les vulnérabilités BGP sont rarement utilisées délibérément : le coût d'organisation d'une telle attaque est assez élevé, et les incidents surviennent principalement en raison d'erreurs banales dans les paramètres réseau.

Cependant, ces dernières années, l'ampleur des groupes criminels organisés sur Internet a considérablement augmenté. Par conséquent, selon les prévisions de Qrator Labs, les attaques liées aux problèmes BGP deviendront populaires dans un avenir prévisible. Un exemple frappant est le détournement d'adresses IP par le célèbre cybergroupe Hacking Team, effectué par l'ordre de l'État : la police italienne a dû prendre le contrôle de plusieurs ordinateurs, à l'égard desquels des actions d'enquête ont été menées.

IncidentsTCP

La pile réseau TCP/IP a un certain nombre de problèmes qui deviendront particulièrement aigus cette année. Afin de maintenir la croissance active des vitesses, l'infrastructure Internet doit être constamment mise à jour. La vitesse connexion physiqueà Internet se multiplient toutes les quelques années. Au début des années 2000. 1 Gbps est devenu la norme, aujourd'hui l'interface physique la plus populaire est de 10 Gbps. Cependant, l'introduction massive de la nouvelle norme pour l'interface physique, 100 Gbit/s, a déjà commencé, ce qui pose des problèmes avec le protocole TCP/IP obsolète, qui n'est pas conçu pour des débits aussi élevés.

Par exemple, il devient possible en quelques minutes de récupérer un numéro de séquence TCP - un identifiant numérique unique qui permet (ou plutôt, autorisé) aux partenaires sur une connexion TCP/IP de s'authentifier mutuellement au moment de l'établissement de la connexion et d'échanger des données , préservant leur ordre et leur intégrité. À des vitesses de 100 Gbit/s, une ligne dans les fichiers journaux du serveur TCP concernant une connexion ouverte et/ou des données envoyées via celle-ci ne garantit plus que l'adresse IP fixe a effectivement établi une connexion et transmis ces données. En conséquence, une opportunité s'ouvre pour organiser des attaques d'une nouvelle classe, et l'efficacité des pare-feu peut considérablement diminuer.

Les vulnérabilités TCP/IP ont attiré l'attention de nombreux chercheurs. Ils pensent que déjà en 2016, on entendra parler d'attaques « très médiatisées » liées à l'exploitation de ces « trous ».

Futur proche

Aujourd'hui, le développement des technologies et des menaces ne suit pas la spirale "classique", car le système n'est pas fermé - il est influencé par de nombreux facteurs externes. Le résultat est une spirale avec une amplitude croissante - elle monte vers le haut, la complexité des attaques augmente et la portée des technologies s'étend considérablement. Notons plusieurs facteurs qui ont un impact sérieux sur le développement du système.

La principale, bien sûr, est la migration vers le nouveau protocole de transport IPv6. Fin 2015, IPv4 est obsolète, et IPv6 arrive sur le devant de la scène, ce qui amène de nouveaux défis : désormais chaque appareil a une adresse IP, et ils peuvent tous communiquer directement entre eux. Oui, il existe de nouvelles recommandations sur la façon dont les terminaux doivent fonctionner, mais comment l'industrie fera face à tout cela, en particulier les opérateurs de télécommunications, le segment des produits de masse et les fournisseurs chinois, est une question ouverte. IPv6 change la donne.

Un autre défi est la croissance significative des réseaux mobiles, leurs vitesses et leur endurance. Si auparavant le botnet mobile créait des problèmes, d'abord pour l'opérateur télécom lui-même, aujourd'hui, alors que la communication 4G devient plus rapide que l'Internet filaire, les réseaux mobiles avec un grand nombre d'appareils, y compris ceux fabriqués en Chine, se transforment en une excellente plate-forme pour effectuer des DDoS et attaques de pirates... Et des problèmes se posent non seulement pour l'opérateur télécom, mais aussi pour les autres acteurs du marché.

Le monde émergent de « l'Internet des objets » constitue une menace sérieuse. De nouveaux vecteurs d'attaque apparaissent comme un grand nombre d'appareils et l'utilisation de Technologie sans fil les connexions ouvrent des perspectives vraiment infinies pour les pirates. Tous les appareils connectés à Internet peuvent potentiellement faire partie de l'infrastructure de l'attaquant et être impliqués dans des attaques DDoS.

Malheureusement, les fabricants de toutes sortes d'appareils électroménagers connectés au Réseau (bouilloires, téléviseurs, voitures, multicuiseur, balances, prises intelligentes, etc.) n'assurent pas toujours le bon niveau de protection. Souvent, ces appareils utilisent d'anciennes versions de systèmes d'exploitation populaires, et les fournisseurs ne se soucient pas de les mettre à jour régulièrement - en les remplaçant par des versions qui ont éliminé les vulnérabilités. Et si l'appareil est populaire et largement utilisé, les pirates informatiques ne manqueront pas l'occasion d'exploiter ses vulnérabilités.

Les signes avant-coureurs du problème de l'IoT sont déjà apparus en 2015. Selon les données préliminaires, la dernière attaque contre Blizzard Entertainment a été menée à l'aide d'appareils IoT. Un code malveillant a été détecté en cours d'exécution sur des théières et des ampoules modernes. Les chipsets facilitent également la tâche des pirates. Il n'y a pas si longtemps, un chipset peu coûteux a été lancé, conçu pour divers équipements pouvant "communiquer" avec Internet. Ainsi, les attaquants n'ont pas besoin de pirater 100 000 firmwares personnalisés - ils ont juste besoin de "casser" un chipset et d'accéder à tous les appareils qui en dépendent.

Il est prévu que très bientôt tous les smartphones basés sur d'anciens Versions Android seront membres d'au moins un botnet. Ils seront suivis de toutes les prises "intelligentes", réfrigérateurs et autres appareils électroménagers... Dans quelques années, des botnets de théières, babyphones et multicuiseurs nous attendent. L'« Internet des objets » nous apportera non seulement commodité et caractéristiques supplémentaires, mais aussi beaucoup de problèmes. Lorsqu'il y a beaucoup de choses dans l'IoT et que chaque broche peut envoyer 10 octets, de nouveaux défis de sécurité se poseront et devront être résolus. Et nous devons nous y préparer aujourd'hui.

Brian Krebs a déjà travaillé pour le Washington Post, enquêtant pour eux sur la sécurité Internet. Plus tard, le journaliste a démissionné pour créer son propre blog. L'ex-journaliste n'a pas changé sa spécialisation, pour laquelle il a payé en septembre lorsqu'il a révélé l'arnaque de deux adolescents israéliens.

Ainsi, Brian Krebs vaquait à ses occupations habituelles, enquêtait sur les crimes sur Internet. À cette époque, sa liste de cas résolus comprenait le cas du virus Stuxnet, qui collectait des données à partir d'ordinateurs personnels et d'installations industrielles. Krebs a été le premier à parler publiquement du virus en 2010. Trois ans plus tard, Brian a découvert l'homme qui vendait des informations de carte pour les acheteurs de Target. La vengeance des cybercriminels était spécifique, la police a été appelée chez lui.

Je pense donc que Brian a compris de quoi les pirates étaient capables, même s'il aurait à peine pu imaginer l'ampleur possible lorsqu'il a publié un article en septembre sur des adolescents israéliens engagés dans des attaques DDoS. Le même jour, les pirates ont été arrêtés, mais plus tard libérés sous caution. Coïncidence ou non, à partir de ce moment, le site de Brian a dû repousser une attaque DDoS majeure à laquelle l'une des principales sociétés de sécurité Internet au monde n'a pas réussi à faire face. Akamai a fourni une protection DDoS pour le blog de Krebs pendant quatre ans. Dans sa publication, un spécialiste de la sécurité Internet a parlé du service vDOS, qui en version officielle testé des charges sur les chantiers, mais en fait perturbé leur travail. Selon une estimation approximative, les créateurs du service ont réussi à s'approprier environ 600 000 dollars.

Les assistants de Krebs ont réussi à télécharger les bases de données, à l'aide desquelles les adresses réelles des serveurs en Bulgarie à partir desquels les attaques DDoS ont été menées ont été identifiées. Comme vous pouvez l'imaginer, les pirates informatiques sont intéressés à cacher leurs véritables adresses IP. Après avoir analysé les données, Brian a pu établir les noms et même les numéros de téléphone des Israéliens qui pourraient être les propriétaires du service.

Plus tard, on a appris que le jour de la publication du message, deux adolescents avaient été arrêtés, mais ont été rapidement relâchés. Et déjà le 10 septembre, le site de Brian Krebs commençait à avoir des problèmes. Au maximum, la puissance d'attaque a atteint 140 gigabits par seconde. Les pirates offensés n'ont pas manqué de laisser des messages à Krebs " godiefaggot ". Pendant un certain temps, le blog a même cessé de fonctionner, mais les spécialistes d'Akamai ont réussi à le restaurer. Mais les attaques ne se sont pas arrêtées là. Et le 20 septembre, sa capacité était déjà de 665 gigabits par seconde. Akamai a été contraint de renoncer à la maintenance du blog de Krebs pour assurer la sécurité des abonnés payants. La puissance de l'attaque à laquelle le site a été soumis était deux fois plus forte que ce que les spécialistes d'Akamai ont dû observer jusqu'à présent. Certains journalistes ont convenu qu'il s'agissait de la plus grande attaque de toute l'histoire d'Internet. Par exemple, début 2016, le site Web de la BBC a été attaqué avec un débit de 602 gigabits par seconde. Le record est battu quelques mois plus tard.

Apparemment, le poste de Krebs a blessé les attaquants au vif. L'attaque a été menée à l'aide de caméras IP, de routeurs et d'autres "Internet des objets", pour lesquels les utilisateurs définissent des mots de passe standard. Les pirates n'ont même pas essayé de brouiller les pistes et ont allumé les adresses de la plupart des appareils qui pourraient encore être utilisés pour d'autres attaques financières. Encore une fois, ils ne sont pas devenus sages avec les formes des mots. Le surnom d'un des créateurs de vDOC - AppleJ4ck - pouvait être lu dans certaines requêtes POST de l'attaque contenant la chaîne "freeapplej4ck". Seule l'intervention de Google a permis de restaurer le site grâce aux investigations de Krebs. Le Project Shield du géant de l'Internet protège les sites Web des journalistes et médias indépendants contre les cyberattaques.

Et dans la première publication, après la restauration du site, Brian Krebs parlait de censure sur Internet. Des outils efficaces sont disponibles non seulement pour l'État, mais aussi pour les criminels. Les attaques DDoS peuvent constituer un obstacle sérieux aux enquêtes indépendantes dans l'économie de marché actuelle. Tous les médias n'ont pas un budget de 200K$ pour la cyberprotection.

Erreur dans le texte ? Sélectionnez-le avec votre souris ! Et appuyez sur : Ctrl + Entrée

Andrey Golovachev a rappelé sur sa page Facebook que la carrière politique de tous les présidents ukrainiens s'est terminée en catastrophe. Selon le politologue, Leonid Kuchma a reçu un

Il y a environ six mois, le public a appris que la célèbre actrice russe Anastasia Zavorotnyuk avait reçu un diagnostic de tumeur cérébrale maligne. A ce jour, non

En discutant des préoccupations du président Volodymyr Zelenskiy lors de sa visite au Vatican, certains observateurs ont noté qu'il s'agissait du premier cas de ce type dans l'histoire lorsque des responsables de l'église St.

Les attaques DoS et DDoS sont des influences externes agressives sur les ressources informatiques d'un serveur ou poste de travail, menée dans le but de faire échouer cette dernière. Par défaillance, nous n'entendons pas une défaillance physique d'une machine, mais l'inaccessibilité de ses ressources pour les utilisateurs consciencieux - un échec du système à les entretenir ( énigme o F S service, d'où l'abréviation DoS).

Si une telle attaque est effectuée à partir d'un seul ordinateur, elle est classée comme DoS (DoS), si elle provient de plusieurs - DDoS (DDoS ou DDoS), ce qui signifie "RÉ distribué énigme o F S service "- déni de service distribué. Parlons ensuite des raisons pour lesquelles les attaquants effectuent de telles actions, de ce qu'elles sont, des dommages qu'elles causent aux personnes attaquées et de la manière dont ces dernières peuvent protéger leurs ressources.

Qui peut subir des attaques DoS et DDoS

Les attaques ciblent les serveurs d'entreprise des entreprises et des sites Web, beaucoup moins souvent - les ordinateurs personnels personnes... Le but de telles actions, en règle générale, est celui d'infliger un préjudice économique aux personnes attaquées et de rester dans l'ombre. Dans certains cas, les attaques DoS et DDoS sont l'une des étapes du piratage de serveur et visent à voler ou à détruire des informations. En fait, une entreprise ou un site Web appartenant à n'importe qui peut devenir victime de cybercriminels.

Schéma illustrant l'essence d'une attaque DDoS :

Les attaques DoS et DDoS sont le plus souvent menées à l'instigation de concurrents malhonnêtes. Ainsi, en « remplissant » le site Web d'une boutique en ligne qui propose un produit similaire, vous pouvez temporairement devenir un « monopoleur » et récupérer ses clients par vous-même. En « déposant » le serveur d'entreprise, il est possible de perturber le travail d'une entreprise concurrente et de réduire ainsi sa position sur le marché.

Attaques à grande échelle qui peuvent causer des dommages importants, sont généralement menées par des cybercriminels professionnels pour beaucoup d'argent. Mais pas toujours. Les hackers amateurs homebrew peuvent attaquer vos ressources - par intérêt, et les vengeurs parmi les employés licenciés, et simplement ceux qui ne partagent pas votre point de vue sur la vie.

Parfois, l'impact est effectué dans le but d'extorsion, tandis que l'attaquant demande ouvertement de l'argent au propriétaire de la ressource pour arrêter l'attaque.

Les serveurs d'entreprises publiques et d'organisations bien connues sont souvent attaqués par des groupes anonymes de pirates hautement qualifiés dans le but d'influencer des fonctionnaires ou de provoquer un tollé général.

Comment les attaques sont menées

Le principe de fonctionnement des attaques DoS et DDoS est d'envoyer un large flux d'informations au serveur, qui, au maximum (dans la mesure où les capacités du pirate le permettent), charge les ressources de calcul du processeur, de la RAM, obstrue les canaux de communication ou remplit l'espace disque. La machine attaquée ne peut pas gérer les données entrantes et cesse de répondre aux demandes des utilisateurs.

Ça ressemble à ça travail normal serveur visualisé dans le programme Logstalgia :

L'efficacité des attaques DOS uniques n'est pas très élevée. De plus, une attaque à partir d'un ordinateur personnel fait courir le risque à un attaquant d'être identifié et attrapé. Les attaques distribuées (DDoS) provenant de réseaux dits zombies ou de botnets génèrent des bénéfices bien plus importants.

Voici comment le site Norse-corp.com affiche l'activité du botnet :

Un réseau zombie (botnet) est un groupe d'ordinateurs qui n'ont aucune connexion physique entre eux. Ils sont unis par le fait qu'ils sont tous sous le contrôle de l'attaquant. Le contrôle s'effectue par cheval de Troie, qui pour le moment ne peut se manifester d'aucune façon. Lors de l'exécution d'une attaque, le pirate informatique demande aux ordinateurs infectés d'envoyer des requêtes au site Web ou au serveur de la victime. Et lui, incapable de résister à l'assaut, cesse de répondre.

Voici comment Logstalgia montre l'attaque DDoS :

N'importe quel ordinateur peut rejoindre le botnet. Et même un smartphone. Il suffit d'attraper le cheval de Troie et de ne pas le détecter à temps. Soit dit en passant, le plus grand botnet avait près de 2 millions de machines dans le monde, et leurs propriétaires n'avaient aucune idée de ce qu'ils faisaient.

Méthodes d'attaque et de défense

Avant de lancer une attaque, un hacker découvre comment la mener à bien avec un maximum d'effet. Si le nœud attaqué présente plusieurs vulnérabilités, l'impact peut s'effectuer dans différentes directions, ce qui compliquera considérablement la réponse. Par conséquent, il est important que chaque administrateur de serveur étudie tout cela " endroits étroits»Et, si possible, renforcez-les.

Inondation

L'inondation, en termes simples, est une information qui ne porte pas de charge sémantique. Dans le cadre d'attaques DoS/DDoS, un flood est une avalanche de requêtes vides et dénuées de sens d'un niveau ou d'un autre, que le nœud récepteur est contraint de traiter.

Le but principal de l'utilisation du flooding est de boucher complètement les canaux de communication, de saturer la bande passante au maximum.

Types d'inondations :

  • MAC flood - impact sur les communicateurs réseau (blocage des ports avec des flux de données).
  • ICMP flood - inondant la victime de requêtes d'écho de service en utilisant un réseau zombie ou en envoyant des requêtes "au nom" de l'hôte attaqué afin que tous les membres du botnet lui envoient une réponse d'écho en même temps (attaque Schtroumpf). Un cas particulier d'inondation ICMP est l'inondation ping (envoi de requêtes ping au serveur).
  • SYN flood - Envoi de plusieurs requêtes SYN à la victime, remplissage de la file d'attente de connexion TCP en créant un grand nombre de connexions semi-ouvertes (en attente de confirmation du client).
  • UDP flood - fonctionne selon le schéma des attaques Smurf, où les datagrammes UDP sont envoyés à la place des paquets ICMP.
  • HTTP flood - inondant le serveur de nombreux messages HTTP. Une option plus sophistiquée est un flot HTTPS, où les données transmises sont pré-cryptées, et avant que l'hôte attaqué ne les traite, il doit les décrypter.


Comment se protéger des inondations

  • Configurez la validation et le filtrage des adresses MAC sur les commutateurs réseau.
  • Limitez ou refusez le traitement des demandes d'écho ICMP.
  • Bloquer les paquets provenant d'une adresse ou d'un domaine spécifique, ce qui donne lieu à des soupçons de manque de fiabilité.
  • Limitez le nombre de connexions semi-ouvertes avec une seule adresse, réduisez leur temps de rétention, allongez la file d'attente des connexions TCP.
  • Désactivez les services UDP de recevoir du trafic de l'extérieur ou limitez le nombre de connexions UDP.
  • Utilisez des CAPTCHA, des délais et d'autres techniques de protection anti-bot.
  • Augmenter quantité maximale Connexions HTTP, configurez la mise en cache des demandes à l'aide de nginx.
  • Augmenter la bande passante canal réseau.
  • Si possible, allouez un serveur distinct pour le traitement de la cryptographie (le cas échéant).
  • Créez un canal de sauvegarde pour l'accès administratif au serveur en cas d'urgence.

Surcharge des ressources matérielles

Il existe des types d'inondation qui n'affectent pas le canal de communication, mais les ressources matérielles de l'ordinateur attaqué, les chargeant au maximum et les faisant geler ou planter. Par exemple:

  • Créer un script qui sera publié sur un forum ou un site où les utilisateurs ont la possibilité de laisser des commentaires est une énorme quantité de inutile informations textuelles jusqu'à ce que tout l'espace disque soit plein.
  • La même chose, seuls les journaux du serveur rempliront le lecteur.
  • Chargement d'un site où une certaine transformation des données saisies est effectuée par un traitement continu de ces données (envoi de paquets dits "lourds").
  • Chargement du processeur ou de la mémoire en exécutant du code via l'interface CGI (la prise en charge de CGI vous permet d'exécuter n'importe quel programme externe sur le serveur).
  • Déclenchement d'un système de sécurité, qui rend le serveur inaccessible de l'extérieur, etc.


Comment se protéger contre la surcharge des ressources matérielles

  • Augmentez les performances matérielles et l'espace disque. Lorsque le serveur fonctionne en mode normal, au moins 25 à 30 % des ressources doivent rester libres.
  • Engagez des systèmes pour analyser et filtrer le trafic avant de le transmettre au serveur.
  • Limiter l'utilisation des ressources matérielles par les composants du système (définir des quotas).
  • Stockez les fichiers journaux du serveur sur un lecteur séparé.
  • Répartir les ressources sur plusieurs serveurs indépendants. Ainsi, si une partie tombe en panne, les autres restent fonctionnelles.

Vulnérabilités dans les systèmes d'exploitation, les logiciels, le micrologiciel de l'appareil

Il y a infiniment plus d'options pour mener de telles attaques que d'utiliser les inondations. Leur mise en œuvre dépend des compétences et de l'expérience de l'attaquant, de sa capacité à trouver des erreurs dans le code du programme et à les utiliser à son profit et au détriment du propriétaire de la ressource.

Une fois qu'un pirate a découvert une vulnérabilité (une erreur logicielle qui peut être utilisée pour perturber le système), tout ce qu'il a à faire est de créer et d'exécuter un exploit - un programme qui exploite cette vulnérabilité.

L'exploitation des vulnérabilités n'a pas toujours pour but de provoquer uniquement un déni de service. Si le pirate a de la chance, il pourra prendre le contrôle de la ressource et disposer de ce "cadeau du destin" à sa discrétion. Par exemple, utilisez pour distribuer malware, voler et détruire des informations, etc.

Méthodes pour contrer l'exploitation des vulnérabilités dans les logiciels

  • Installez en temps opportun des mises à jour qui éliminent les vulnérabilités des systèmes d'exploitation et des applications.
  • Isolez tous les services administratifs des accès tiers.
  • Utiliser des moyens de surveillance constante du fonctionnement de l'OS serveur et des programmes (analyse comportementale, etc.).
  • Abandonnez les programmes potentiellement vulnérables (gratuits, auto-écrits, rarement mis à jour) au profit de programmes éprouvés et bien protégés.
  • Utilisez des moyens prêts à l'emploi pour protéger les systèmes contre les attaques DoS et DDoS, qui existent à la fois sous la forme de systèmes matériels et logiciels.

Comment déterminer si une ressource a été attaquée par un pirate informatique

Si l'attaquant parvient à atteindre l'objectif, il est impossible de ne pas remarquer l'attaque, mais dans certains cas, l'administrateur ne peut pas déterminer exactement quand elle a commencé. C'est-à-dire qu'il faut parfois plusieurs heures entre le début de l'attaque et des symptômes visibles. Cependant, pendant l'exposition latente (jusqu'à ce que le serveur "se couche"), il existe également certains signes. Par exemple:

  • Comportement contre nature applications serveur ou système opérateur(gel, arrêt avec erreurs, etc.).
  • Charge du processeur RAM et l'accumulateur monte brusquement du niveau d'origine.
  • Le volume de trafic sur un ou plusieurs ports augmente de manière significative.
  • Il y a plusieurs appels de clients vers les mêmes ressources (ouverture d'une page du site, téléchargement du même fichier).
  • L'analyse des journaux du serveur, du pare-feu et des périphériques réseau montre un grand nombre de requêtes monotones provenant de diverses adresses, souvent dirigées vers un port ou un service spécifique. Surtout si le site s'adresse à un public restreint (par exemple russophone) et que les demandes viennent du monde entier. Parallèlement, une analyse qualitative du trafic montre que les demandes n'ont aucun sens pratique pour les clients.

Tout ce qui précède n'est pas un signe à 100% d'une attaque, mais c'est toujours une raison de prêter attention au problème et de prendre les mesures de protection appropriées.

Qui est attaqué ?

Selon la Banque centrale, en 2016, le nombre d'institutions financières russes a presque doublé. En novembre, des attaques DDoS ont visé cinq grandes banques russes. À la fin de l'année dernière, la Banque centrale a signalé des attaques DDoS contre des institutions financières, y compris la Banque centrale. « Le but des attaques était de perturber les services et, par conséquent, de saper la crédibilité de ces organisations. Ces attaques étaient remarquables par le fait qu'il s'agissait de la première utilisation à grande échelle de l'Internet des objets en Russie. Fondamentalement, l'attaque impliquait des caméras Internet et des routeurs domestiques », ont noté les services de sécurité des grandes banques.

Dans le même temps, les attaques DDoS n'ont pas causé de dommages importants aux banques - elles sont bien protégées. De telles attaques, bien qu'elles aient causé des problèmes, n'étaient pas critiques et n'ont violé aucun service. Néanmoins, on peut affirmer que l'activité anti-bancaire des pirates informatiques a considérablement augmenté.

En février 2017, les services techniques du ministère russe de la Santé ont repoussé la plus grande attaque DDoS de ces dernières années, qui a culminé à 4 millions de requêtes par minute. Il y a eu des attaques DDoS contre les registres gouvernementaux, mais elles ont également échoué et n'ont entraîné aucune modification des données.

Cependant, les victimes des attaques DDoS sont autant d'organisations et d'entreprises qui disposent d'une « défense » aussi puissante. En 2017, les dommages causés par les cybermenaces devraient augmenter - ransomwares, DDoS et attaques sur les appareils IoT.


Les appareils IoT gagnent en popularité en tant qu'outil pour mener des attaques DDoS. Un événement notable a été l'attaque DDoS lancée en septembre 2016 à l'aide du code malveillant Mirai. Des centaines de milliers de caméras et d'autres appareils de systèmes de vidéosurveillance y ont servi de moyen d'attaque.

Elle a été menée contre l'hébergeur français OVH. C'était l'attaque DDoS la plus puissante - près de 1 Tbit / s. Les pirates utilisant un botnet en ont utilisé 150 000. Appareils IoT, principalement des caméras de vidéosurveillance. Les attaques utilisant le botnet Mirai ont donné naissance à de nombreux botnets à partir d'appareils IoT. Selon les experts, en 2017, les botnets IoT continueront d'être l'une des principales menaces dans le cyberespace.


Selon le rapport d'incident de violation de données (DBIR) de Verizon en 2016, le nombre d'attaques DDoS a considérablement augmenté au cours de la dernière année. Les plus touchés au monde sont l'industrie du divertissement, les organisations professionnelles, l'éducation, l'informatique et la vente au détail.

Une tendance notable dans les attaques DDoS est l'extension de la "liste des victimes". Il comprend maintenant des représentants de pratiquement toutes les industries. En outre, les méthodes d'attaque sont en cours d'amélioration.
Selon Nexusguard, fin 2016, il y a eu une augmentation notable du nombre d'attaques DDoS mixtes impliquant de multiples vulnérabilités. Le plus souvent, ils ont été exposés à des organisations financières et gouvernementales. Le motif principal des cybercriminels (70 % des cas) est le vol de données ou la menace de leur destruction à des fins de rançon. Moins communément, des objectifs politiques ou sociaux. C'est pourquoi une stratégie de défense est importante. Elle peut se préparer à une attaque et minimiser ses conséquences, réduire les risques financiers et de réputation.

Suite des attaques

Quelles sont les conséquences d'une attaque DDoS ? Lors d'une attaque, la victime perd des clients à cause de travail lent ou l'inaccessibilité totale du site, la réputation de l'entreprise en pâtit. Le fournisseur de services peut bloquer l'adresse IP de la victime pour minimiser les dommages causés aux autres clients. Il faudra du temps, et peut-être de l'argent, pour tout restaurer.
Selon une enquête d'entreprise, les attaques DDoS sont considérées par la moitié des organisations comme l'une des cybermenaces les plus graves. La menace DDoS est encore plus élevée que la menace d'accès non autorisé, de virus, de fraude et de phishing, sans parler des autres menaces.

Les pertes moyennes dues aux attaques DDoS dans le monde sont estimées à 50 000 $ pour les petites organisations et près de 500 000 $ pour les grandes entreprises. Éliminer les conséquences d'une attaque DDoS nécessitera du temps de travail supplémentaire pour les employés, détourner des ressources d'autres projets pour assurer la sécurité, développer un plan de mise à jour logicielle, mettre à niveau les équipements, etc.


La réputation de l'organisation attaquée peut être endommagée non seulement en raison des mauvaises performances du site Web, mais également en raison du vol de données personnelles ou d'informations financières.
Selon l'enquête de l'entreprise, le nombre d'attaques DDoS augmente de 200 % par an, avec 2 000 attaques de ce type signalées chaque jour dans le monde. Le coût d'organisation d'une attaque DDoS hebdomadaire n'est que d'environ 150 $, et les pertes moyennes de la victime sont de plus de 40 000 $ par heure.

Types d'attaques DDoS

Les principaux types d'attaques DDoS sont les attaques massives, les attaques de protocole et les attaques d'application. Dans tous les cas, le but est de désactiver le site ou de voler des données. Un autre type de cybercriminalité est la menace d'une attaque de rançon DDoS. Des groupes de hackers comme Armada Collective, Lizard Squad, RedDoor et ezBTC sont célèbres pour cela.

L'organisation des attaques DDoS est devenue beaucoup plus simple : il existe désormais des outils automatisés largement disponibles qui ne nécessitent pratiquement pas de connaissances particulières de la part des cybercriminels. Il y a aussi services payants DDoS pour cible d'attaque anonyme. Par exemple, le service vDOS propose ses services sans vérifier si le client est le propriétaire du site, qui veut le tester « en charge », ou si c'est fait dans le but d'une attaque.


Les attaques DDoS sont des attaques provenant de nombreuses sources qui empêchent les utilisateurs légitimes d'accéder au site attaqué. Pour ce faire, un grand nombre de requêtes sont envoyées au système attaqué, auxquelles il ne peut pas faire face. Des systèmes compromis sont généralement utilisés à cette fin.

La croissance annuelle du nombre d'attaques DDoS est estimée à 50 % (selon les informations), mais les données provenant de différentes sources diffèrent, et tous les incidents ne sont pas connus. La puissance moyenne des attaques DDoS de couche 3/4 est passée ces dernières années de 20 à plusieurs centaines de Go/s. Bien que les attaques DDoS massives et les attaques au niveau du protocole soient désagréables en elles-mêmes, les cybercriminels les combinent de plus en plus avec des attaques DDoS de couche 7, c'est-à-dire au niveau des applications, visant à modifier ou à voler des données. De telles attaques « multi-vecteurs » peuvent être très efficaces.


Les attaques multi-vecteurs représentent environ 27% du nombre total d'attaques DDoS.

Dans le cas d'une attaque DDoS massive (volume based), un grand nombre de requêtes sont utilisées, souvent envoyées depuis des adresses IP légitimes, de sorte que le site "se noie" dans le trafic. Le but de telles attaques est de "boucher" toute la bande passante disponible et de bloquer le trafic légitime.

Dans le cas d'une attaque au niveau de la couche protocole (par exemple, UDP ou ICMP), le but est d'épuiser les ressources du système. Pour cela, des requêtes ouvertes sont envoyées, par exemple des requêtes TCP/IP avec une fausse IP, et en raison de l'épuisement des ressources du réseau, il devient impossible de traiter les requêtes légitimes. Les représentants typiques sont les attaques DDoS, connues dans les cercles étroits sous le nom de Smurf DDos, Ping of Death et SYN flood. Un autre type d'attaque DDoS au niveau du protocole consiste à envoyer un grand nombre de paquets fragmentés que le système ne peut pas gérer.

Les attaques DDoS de couche 7 sont l'envoi de requêtes apparemment inoffensives qui semblent être le résultat d'une activité normale de l'utilisateur. Généralement, des botnets et des outils automatisés sont utilisés pour les mettre en œuvre. Des exemples notables sont Slowloris, Apache Killer, les scripts intersites, l'injection SQL, l'injection de fichiers à distance.

En 2012-2014, la plupart des attaques DDoS massives étaient des attaques sans état (sans état et sans session) - elles utilisaient le protocole UDP. Dans le cas de Stateless, de nombreux paquets circulent dans une session (par exemple, l'ouverture d'une page). Qui a commencé la session (a demandé la page), les appareils sans état, en règle générale, ne savent pas.

Protocole UDP sous réserve d'usurpation d'identité - remplacement d'adresse. Par exemple, si vous souhaitez attaquer le serveur DNS à 56.26.56.26 à l'aide de l'attaque d'amplification DNS, vous pouvez créer un ensemble de paquets avec l'adresse d'expéditeur 56.26.56.26 et les envoyer aux serveurs DNS du monde entier. Ces serveurs enverront une réponse au 56.26.56.26.

La même méthode fonctionne pour les serveurs NTP, les appareils compatibles SSDP. Le NTP est peut-être la méthode la plus populaire : au second semestre 2016, il a été utilisé dans 97,5% des attaques DDoS.
Les meilleures pratiques actuelles (BCP) 38 recommandent aux FAI de configurer des passerelles pour empêcher l'usurpation d'identité - l'adresse de l'expéditeur, le réseau source est surveillé. Mais cette pratique n'est pas suivie par tous les pays. De plus, les attaquants contournent les contrôles BCP 38 en passant aux attaques avec état au niveau de la couche TCP. Selon le F5 Security Operations Center (SOC), ces attaques ont dominé au cours des cinq dernières années. En 2016, il y a eu deux fois plus d'attaques TCP que d'attaques UDP.

Les attaques de couche 7 sont principalement utilisées par les pirates professionnels. Le principe est le suivant : une URL "lourde" est prise (avec fichier PDF ou une requête à une grande base de données) et se répète des dizaines ou des centaines de fois par seconde. Les attaques de couche 7 sont terribles et difficiles à reconnaître. Ils représentent désormais environ 10 % des attaques DDoS.


Corrélation de différents types d'attaques DDoS selon le Verizon Data Breach Investigations Report (DBIR) (2016).

Souvent, les attaques DDoS sont programmées pour coïncider avec des périodes de trafic de pointe, telles que les jours de vente en ligne. De grands flux de données personnelles et financières attirent actuellement les pirates.

Attaques DDoS sur DNS

Le Domain Name System (DNS) joue un rôle fondamental dans la performance et la disponibilité d'un site. En fin de compte - dans le succès de votre entreprise. Malheureusement, l'infrastructure DNS est souvent la cible d'attaques DDoS. En supprimant votre infrastructure DNS, les attaquants peuvent endommager votre site Web, la réputation de votre entreprise et vos performances financières. Pour contrer les menaces actuelles, l'infrastructure DNS doit être hautement résiliente et évolutive.
Essentiellement DNS - base distribuée des données qui, entre autres, mappent des noms de sites faciles à lire à des adresses IP, ce qui permet à l'utilisateur d'accéder au site souhaité après avoir entré l'URL. La première interaction de l'utilisateur avec le site commence par des requêtes DNS envoyées au serveur DNS avec l'adresse du domaine Internet de votre site. Leur traitement peut représenter jusqu'à 50 % du temps de chargement des pages Web. Ainsi, une diminution des performances DNS peut entraîner le départ de l'utilisateur du site et une perte pour l'entreprise. Si votre serveur DNS cesse de répondre à la suite d'une attaque DDoS, personne ne pourra accéder au site.

Les attaques DDoS sont difficiles à détecter, surtout au début lorsque le trafic semble normal. L'infrastructure DNS peut être sujette à divers types d'attaques DDoS. Parfois, il s'agit d'une attaque directe sur les serveurs DNS. Dans d'autres cas, des exploits sont utilisés, utilisant des systèmes DNS pour attaquer d'autres éléments de l'infrastructure ou des services informatiques.


Les attaques DNS Reflection exposent la cible à des réponses DNS massives et fausses. Pour cela, des botnets sont utilisés, infectant des centaines et des milliers d'ordinateurs. Chaque bot d'un tel réseau génère plusieurs requêtes DNS, mais utilise la même adresse IP cible que l'IP source (usurpation d'identité). Le service DNS répond à cette adresse IP.

Cela permet d'obtenir un double effet. Système cible des milliers et des millions de réponses DNS sont bombardées, et le serveur DNS peut « se coucher » sans faire face à la charge. La requête DNS elle-même fait généralement moins de 50 octets et la réponse est dix fois plus longue. De plus, les messages DNS peuvent contenir de nombreuses autres informations.

Supposons qu'un attaquant ait émis 100 000 requêtes DNS courtes de 50 octets (5 Mo au total). Si chaque réponse contient 1 Ko, alors le total est déjà de 100 Mo. D'où le nom d'amplification. La combinaison d'attaques DNS Reflection et Amplification peut avoir des conséquences très graves.


Les demandes ressemblent à du trafic régulier et les réponses sont un tas de messages grande taille dirigé vers le système cible.

Comment se protéger des attaques DDoS ?

Comment se protéger des attaques DDoS, quelles mesures prendre ? Tout d'abord, ne le remettez pas « à plus tard ». Certaines considérations doivent être prises en compte lors de la configuration du réseau, du démarrage des serveurs et du déploiement du logiciel. Et chaque changement ultérieur ne devrait pas augmenter la vulnérabilité aux attaques DDoS.
  • Sécurité des codes. Les considérations de sécurité doivent être prises en compte lors de l'écriture du logiciel. Il est recommandé de suivre les normes de « codage sécurisé » et de tester minutieusement votre logiciel pour éviter les bogues et les vulnérabilités courants tels que les scripts intersites et l'injection SQL.

  • Élaborer un plan d'action de mise à jour du logiciel. Il devrait toujours y avoir une possibilité de « revenir en arrière » en cas de problème.

  • Gardez votre logiciel à jour. Si vous avez réussi à lancer les mises à jour, mais qu'il y a eu des problèmes, reportez-vous au point 2.

  • N'oubliez pas de restreindre l'accès. L'administrateur et/ou les comptes doivent être protégés par des mots de passe forts et régulièrement modifiés. Un audit périodique des droits d'accès, la suppression en temps voulu des comptes des employés retraités sont également requis.

  • L'interface d'administration ne doit être accessible qu'à partir du réseau interne ou via VPN. Fermer l'accès VPN en temps opportun pour les employés qui ont quitté leur emploi, sans parler des employés licenciés.

  • Incluez l'atténuation des attaques DDoS dans votre plan de reprise après sinistre. Le plan devrait inclure des moyens d'identifier le fait d'une telle attaque, des contacts pour la communication avec un fournisseur d'accès Internet ou d'hébergement, un arbre « d'escalade des problèmes » pour chaque département.

  • L'analyse des vulnérabilités aidera à identifier les problèmes dans votre infrastructure et vos logiciels, et à réduire les risques. Un simple test de vulnérabilité OWASP Top 10 identifiera les problèmes les plus critiques. Les tests de pénétration seront également utiles - ils vous aideront à trouver points faibles.

  • La protection DDoS matérielle peut être coûteuse. Si votre budget ne le permet pas, il existe une bonne alternative - la protection DDoS "à la demande". Un tel service peut être activé en modifiant simplement le schéma de routage du trafic dans situation d'urgence, ou est protégé en permanence.

  • Utilisez un partenaire CDN. Les réseaux de diffusion de contenu vous permettent de diffuser le contenu du site sur un réseau distribué. Le trafic est réparti sur plusieurs serveurs, ce qui réduit la latence lors de l'accès aux utilisateurs, y compris ceux géographiquement distants. Ainsi, alors que le principal avantage du CDN est la vitesse, il sert également de barrière entre le serveur principal et les utilisateurs.

  • Utilisez le pare-feu d'application Web - un pare-feu pour les applications Web. Il surveille le trafic entre un site ou une application et le navigateur, vérifiant la légitimité des demandes. En travaillant au niveau de la couche d'application, WAF peut détecter les attaques contre les modèles stockés et exposer un comportement inhabituel. Les attaques de couche application ne sont pas rares dans le commerce électronique. Comme pour les CDN, vous pouvez utiliser les services WAF dans le cloud. Cependant, la configuration des règles nécessite une certaine expérience. Idéalement, toutes les applications principales devraient être protégées par WAF.

    • Protection DNS

    Comment protéger votre infrastructure DNS des attaques DDoS ? Les pare-feux et IPS réguliers n'aideront pas ici, ils sont impuissants contre une attaque DDoS complexe sur DNS. En fait, les pare-feu et les systèmes de prévention des intrusions sont eux-mêmes vulnérables aux attaques DDoS.
    Ils peuvent venir à la rescousse services cloud trafic de nettoyage : il est envoyé à un certain centre, où il est vérifié et redirigé vers sa destination. Ces services sont utiles pour le trafic TCP. Ceux qui gèrent leur propre infrastructure DNS peuvent prendre les mesures suivantes pour atténuer l'impact des attaques DDoS.
  • La surveillance des serveurs DNS pour détecter les activités suspectes est la première étape de la sécurisation de votre infrastructure DNS. Les solutions DNS commerciales et les produits open source tels que BIND fournissent des statistiques en temps réel qui peuvent être utilisées pour détecter les attaques DDoS. La surveillance des attaques DDoS peut être une tâche gourmande en ressources. Il est préférable de créer un profil de base d'infrastructure dans des conditions d'exploitation normales, puis de le mettre à jour de temps en temps à mesure que l'infrastructure évolue et que les modèles de trafic changent.

  • Des ressources de serveur DNS supplémentaires peuvent aider à faire face aux attaques à petite échelle en fournissant une infrastructure DNS redondante. Les ressources du serveur et du réseau devraient être suffisantes pour traiter plus de demandes. Bien sûr, la redondance coûte de l'argent. Vous payez pour des ressources serveur et réseau qui ne sont normalement pas utilisées dans des conditions normales. Et avec une "réserve" de pouvoir importante, cette approche a peu de chances d'être efficace.

  • L'activation de la limitation du taux de réponse DNS (RRL) réduira la probabilité que le serveur soit impliqué dans une attaque DDoS Reflection en réduisant la vitesse de sa réponse aux demandes répétées. Les RRL sont prises en charge par de nombreuses implémentations DNS.

  • Utilisez des configurations à haute disponibilité. Vous pouvez vous défendre contre les attaques DDoS en déployant DNS sur un serveur à haute disponibilité (HA). Si un serveur physique « tombe en panne » à la suite de l'attaque, le service DNS peut être restauré sur le serveur de sauvegarde.

    • La meilleure façon de protéger DNS contre les attaques DDoS est d'utiliser un réseau Anycast géographiquement dispersé. Les réseaux DNS distribués peuvent être mis en œuvre en utilisant deux approches différentes : l'adressage Unicast ou Anycast. La première approche est beaucoup plus simple à mettre en œuvre, mais la seconde est beaucoup plus résistante aux attaques DDoS.

    Dans le cas d'Unicast, chacun des Serveurs DNS votre entreprise reçoit une adresse IP unique. DNS maintient une table des serveurs DNS de votre domaine et des adresses IP correspondantes. Lorsque l'utilisateur saisit une URL, l'une des adresses IP est sélectionnée au hasard pour exécuter la demande.

    Avec le schéma d'adressage Anycast, différents serveurs DNS partagent une adresse IP commune. Lorsque l'utilisateur entre une URL, l'adresse collective des serveurs DNS est renvoyée. Le réseau IP achemine la demande vers le serveur le plus proche.

    Anycast offre des avantages de sécurité fondamentaux par rapport à Unicast. Unicast fournit les adresses IP de serveurs individuels, afin que les attaquants puissent lancer des attaques ciblées contre des serveurs physiques spécifiques et machines virtuelles, et lorsque les ressources de ce système sont épuisées, une panne de service se produit. Anycast peut aider à atténuer les attaques DDoS en répartissant les requêtes sur un groupe de serveurs. Anycast est également utile pour isoler les effets d'une attaque.

    Protection DDoS fournie par le fournisseur

    Concevoir, déployer et exploiter un réseau mondial Anycast prend du temps, de l'argent et du savoir-faire. La plupart des organisations informatiques n'ont pas les compétences et les moyens financiers pour le faire. Vous pouvez confier votre infrastructure DNS à un prestataire de services managés spécialisé dans le DNS. Ils ont les connaissances nécessaires pour protéger le DNS des attaques DDoS.

    Les fournisseurs de services DNS gérés exploitent des réseaux Anycast à grande échelle et ont des points de présence dans le monde entier. Les experts en sécurité réseau surveillent le réseau 24/7/365 et appliquent des outils spéciaux pour atténuer l'impact des attaques DDoS.


    Des services sont également proposés par certains hébergeurs : le trafic réseau est analysé 24h/24 et 7j/7, votre site sera donc relativement sécurisé. Une telle protection est capable de résister à des attaques puissantes - jusqu'à 1500 Gbps. En même temps, le trafic est payant.

    Une autre option consiste à protéger les adresses IP. Le fournisseur place l'adresse IP, que le client a choisie comme étant protégée, dans un réseau d'analyseur spécial. L'attaque compare le trafic vers le client à des modèles d'attaque connus. Par conséquent, le client ne reçoit que du trafic propre et filtré. Ainsi, les utilisateurs du site peuvent ne pas savoir qu'une attaque a été menée contre celui-ci. Pour organiser cela, un réseau distribué de nœuds de filtrage est créé afin que pour chaque attaque, il soit possible de sélectionner le nœud le plus proche et de minimiser le délai de transmission du trafic.

    Le résultat de l'utilisation des services de protection contre les attaques DDoS sera la détection et la prévention des attaques DDoS en temps opportun, la continuité du site et sa disponibilité constante pour les utilisateurs, la minimisation des pertes financières et de réputation dues aux temps d'arrêt du site ou du portail.

    Partager
    Partager
    Tweeter
    Comme
    Comme

    Lire aussi

    LA CLOCHE

    Il y a ceux qui ont lu cette nouvelle avant vous.
    Abonnez-vous pour recevoir les derniers articles.
    E-mail
    Nom
    Nom de famille
    Comment voulez-vous lire La cloche
    Pas de spam