La situation économique instable des deux dernières années a conduit à une augmentation significative du niveau de concurrence sur le marché, à la suite de laquelle la popularité des attaques DDoS - une méthode efficace pour causer des dommages économiques - a augmenté.
En 2016, le nombre de commandes commerciales pour l'organisation d'attaques DDoS a été multiplié par plusieurs. Les attaques DDoS massives sont passées du domaine de la pression politique ciblée, comme ce fut le cas, par exemple, en 2014, au segment des entreprises de masse. La tâche principale des cybercriminels est de rendre la ressource inaccessible le plus rapidement possible et à un coût minime afin d'obtenir de l'argent de ses concurrents pour cela, de se fournir des conditions d'extorsion, etc.
Dans le même temps, le nombre d'attaques continue de croître, malgré des succès notables dans la lutte contre les DDoS. Selon Qrator Labs, les attaques DDoS ont augmenté de 100% en 2015. Et ce n'est pas surprenant, car leur coût est tombé à environ 5 dollars de l'heure et les outils pour leur mise en œuvre sont entrés sur le marché noir massif. Voici quelques-unes des principales tendances des attaques par déni de service distribuées qui sont prévues pour les prochaines années.
Attaques d'amplification UDP
Les attaques visant à épuiser la capacité du canal incluent l'amplification UDP. Ces incidents étaient les plus courants en 2014 et sont devenus une tendance frappante en 2015. Cependant, leur nombre a déjà atteint son apogée et diminue progressivement - les ressources pour mener de telles attaques sont non seulement limitées, mais également en forte diminution.
Un amplificateur est un service UDP public qui fonctionne sans authentification, qui peut envoyer une réponse beaucoup plus grande pour une petite requête. L'attaquant, en envoyant de telles requêtes, remplace son adresse IP par l'adresse IP de la victime. En conséquence, le trafic de retour, qui est beaucoup plus élevé que la bande passante du canal de l'attaquant, est redirigé vers la ressource Web de la victime. Les serveurs DNS, NTP, SSDP et autres sont utilisés pour participer involontairement à des attaques.
Attaques d'applications Web L7
Dans le cadre de la réduction du nombre d'amplificateurs, l'organisation d'attaques sur les applications web au niveau L7 à l'aide de botnets classiques revient à nouveau au premier plan. Comme vous le savez, un botnet est capable de mener des attaques réseau à l'aide de commandes à distance, et les propriétaires d'ordinateurs infectés peuvent même ne pas en être conscients. En raison de la surcharge du service avec des demandes «inutiles», les demandes des utilisateurs légitimes restent généralement sans réponse, ou un temps excessivement long est nécessaire pour les réponses.
Les botnets sont de plus en plus intelligents aujourd'hui. Lors de l'organisation des attaques correspondantes, la technologie Full-browser stack est prise en charge, c'est-à-dire une émulation complète de l'ordinateur, du navigateur et du développement de scripts Java de l'utilisateur. Des techniques comme celles-ci sont excellentes pour masquer les attaques L7. Il est presque impossible de distinguer manuellement un bot d'un utilisateur. Cela nécessite des systèmes qui utilisent la technologie d'apprentissage automatique, grâce à laquelle le niveau de résistance aux attaques est augmenté, les mécanismes sont améliorés et la précision des tests augmente.
Problèmes BGP
En 2016, une nouvelle tendance est apparue: les attaques contre l'infrastructure réseau, y compris les attaques basées sur l'exploitation de vulnérabilités dans le protocole BGP. Les problèmes du protocole de routage BGP, sur lequel repose tout Internet, sont connus depuis plusieurs années, mais ces dernières années, ils ont de plus en plus entraîné de graves conséquences négatives.
Les anomalies de réseau associées au routage au niveau de la couche réseau interdomaine peuvent affecter un grand nombre d'hôtes, de réseaux et même la connectivité et la disponibilité globales d'Internet. Le type de problème le plus courant est Route Leaks - une "fuite" d'une route qui se produit à la suite de son annonce dans la mauvaise direction. Jusqu'à présent, les vulnérabilités BGP sont rarement utilisées délibérément: le coût d'organisation d'une telle attaque est assez élevé et les incidents surviennent principalement en raison d'erreurs courantes dans les paramètres réseau.
Cependant, ces dernières années, l'ampleur du crime organisé sur Internet a considérablement augmenté, de sorte que les attaques liées aux problèmes BGP deviendront populaires dans un avenir prévisible, selon Qrator Labs. Un exemple frappant est le détournement d'adresses IP par le célèbre groupe cyber Hacking Team, réalisé par l'ordre de l'État: la police italienne a dû prendre le contrôle de plusieurs ordinateurs, contre lesquels les propriétaires des enquêtes ont été menées.
IncidentsTCP
La pile réseau TCP / IP présente un certain nombre de problèmes qui deviendront particulièrement aigus cette année. Afin de maintenir la croissance active des vitesses, l'infrastructure Internet doit être constamment mise à jour. Les vitesses de connexion Internet physique augmentent toutes les quelques années. Au début des années 2000. 1 Gbit / s est devenu la norme, aujourd'hui l'interface physique la plus populaire est de 10 Gbit / s. Cependant, l'introduction massive du nouveau standard pour l'interface physique, 100 Gbit / s, a déjà commencé, ce qui pose des problèmes avec le protocole TCP / IP obsolète, qui n'est pas conçu pour des débits aussi élevés.
Par exemple, il devient possible en quelques minutes de récupérer un numéro de séquence TCP - un identifiant numérique unique qui permet (ou plutôt autorisé) les partenaires sur une connexion TCP / IP d'effectuer une authentification mutuelle au moment de l'établissement de la connexion et d'échanger des données, en préservant leur ordre et leur intégrité. À des vitesses de 100 Gbit / s, une ligne dans les fichiers journaux du serveur TCP concernant une connexion ouverte et / ou des données envoyées ne garantit plus que l'adresse IP fixe a effectivement établi une connexion et transmis ces données. En conséquence, une opportunité s'ouvre pour organiser des attaques d'une nouvelle classe, et l'efficacité des pare-feu peut considérablement diminuer.
Les vulnérabilités TCP / IP ont attiré l'attention de nombreux chercheurs. Ils estiment que déjà en 2016, nous entendrons parler d'attaques «de haut niveau» liées à l'exploitation de ces «trous».
Futur proche
Aujourd'hui, le développement des technologies et des menaces ne suit pas la spirale «classique», puisque le système n'est pas fermé - il est influencé par de nombreux facteurs externes. Le résultat est une spirale avec une amplitude croissante - elle monte, la complexité des attaques augmente et la portée de la technologie se développe considérablement. Notons plusieurs facteurs qui ont un impact sérieux sur le développement du système.
Le principal, bien sûr, est la migration vers le nouveau protocole de transport IPv6. Fin 2015, IPv4 est devenu obsolète, et IPv6 prend le dessus, apportant avec lui de nouveaux défis: désormais, chaque appareil a une adresse IP, et ils peuvent tous communiquer directement entre eux. Oui, il y a de nouvelles recommandations sur la façon dont les appareils finaux devraient fonctionner, mais comment l'industrie va faire face à tout cela, en particulier les opérateurs de télécommunications, le segment des produits de masse et les fournisseurs chinois, est une question ouverte. IPv6 change la donne.
Un autre défi est la croissance significative des réseaux mobiles, leur vitesse et leur endurance. Si auparavant le botnet mobile posait des problèmes, tout d'abord, pour l'opérateur télécom lui-même, maintenant, alors que la communication 4G devient plus rapide que l'Internet filaire, les réseaux mobiles avec un grand nombre d'appareils, y compris ceux fabriqués en Chine, se transforment en une excellente plate-forme pour les attaques DDoS et les pirates informatiques. Et des problèmes se posent non seulement pour l'opérateur télécom, mais également pour d'autres acteurs du marché.
Le monde émergent de «l'Internet des objets» constitue une menace sérieuse. De nouveaux vecteurs d'attaque émergent à mesure que le grand nombre d'appareils et l'utilisation de la technologie sans fil ouvrent des opportunités vraiment illimitées aux pirates. Tous les appareils connectés à Internet peuvent potentiellement faire partie de l'infrastructure de l'attaquant et être impliqués dans des attaques DDoS.
Malheureusement, les fabricants de tous types d'appareils électroménagers connectés au Réseau (théières, téléviseurs, voitures, multicuiseur, balances, prises intelligentes, etc.) n'offrent pas toujours le niveau de protection adéquat. Souvent, ces appareils utilisent d'anciennes versions de systèmes d'exploitation populaires et les fournisseurs ne se soucient pas de les mettre à jour régulièrement - en les remplaçant par des versions présentant des vulnérabilités corrigées. Et si l'appareil est populaire et largement utilisé, les pirates ne manqueront pas l'occasion d'exploiter ses vulnérabilités.
Les signes avant-coureurs du problème de l'IoT sont apparus déjà en 2015. Selon des données préliminaires, la dernière attaque contre Blizzard Entertainment a été menée à l'aide d'appareils IoT. Un code malveillant a été détecté sur des théières et des ampoules modernes. Les chipsets facilitent également la tâche des pirates. Il n'y a pas si longtemps, un chipset bon marché a été lancé, conçu pour divers équipements pouvant «communiquer» avec Internet. Ainsi, les attaquants n'ont pas besoin de pirater 100 000 firmwares personnalisés - ils ont juste besoin de «casser» un chipset et d'accéder à tous les périphériques qui en sont basés.
Il est prévu que très prochainement, tous les smartphones basés sur d'anciennes versions d'Android seront membres d'au moins un botnet. Toutes les prises, réfrigérateurs et autres appareils ménagers intelligents suivront. Dans quelques années, les botnets de théières, babyphones et multicuiseurs nous attendent. L'Internet des objets nous apportera non seulement de la commodité et des opportunités supplémentaires, mais aussi beaucoup de problèmes. Lorsqu'il y a beaucoup de choses dans l'IoT et que chaque broche peut envoyer 10 octets, de nouveaux défis de sécurité surgiront qu'il faudra relever. Et nous devons nous y préparer aujourd'hui.
Brian Krebs a déjà travaillé pour le Washington Post, menant des enquêtes pour eux sur la sécurité Internet. Plus tard, le journaliste a démissionné pour créer son propre blog. L'ex-journaliste n'a pas changé sa spécialisation, pour laquelle il a payé en septembre quand il a révélé une arnaque de deux adolescents israéliens.
Ainsi, Brian Krebs vaquait à ses occupations habituelles, enquêtait sur les crimes sur Internet. À cette époque, sa liste de cas résolus comprenait le cas du virus Stuxnet, qui recueillait des données sur des ordinateurs personnels et des usines industrielles. Krebs a été le premier à parler publiquement du virus en 2010. Trois ans plus tard, Brian a découvert un homme qui vendait des informations de carte pour les acheteurs cibles. La vengeance des cybercriminels était spécifique, la police a été appelée chez lui.
Je pense donc que Brian a compris de quoi les hackers étaient capables, bien qu'il aurait difficilement pu imaginer l'ampleur possible lorsqu'il a publié un article en septembre sur des adolescents israéliens engagés dans des attaques DDoS. Le même jour, les hackers ont été arrêtés, puis libérés sous caution. Coïncidence ou non, à partir de ce moment-là, le site de Brian a dû lutter contre une attaque DDoS massive à laquelle l'une des principales sociétés de sécurité Internet du monde n'a pas réussi à faire face. Akamai a fourni une protection DDoS pour le blog de Krebs pendant quatre ans. Dans sa publication, un spécialiste de la sécurité Internet a évoqué le service vDOS qui, selon la version officielle, testait les charges sur les sites, mais perturbait en fait leur travail. Selon une estimation approximative, les créateurs du service ont réussi à s'approprier environ 600 mille dollars.
Les assistants de Krebs ont réussi à télécharger les bases de données, à l'aide desquelles les adresses réelles des serveurs en Bulgarie à partir desquels les attaques DDoS ont été menées ont été identifiées. Comme vous pouvez l'imaginer, les pirates sont intéressés à cacher leurs vraies adresses IP. Après avoir analysé les données, Brian a pu établir les noms et même les numéros de téléphone des Israéliens qui pourraient être les propriétaires du service.
Plus tard, on a appris que le jour de la publication du message, deux adolescents ont été arrêtés, mais qui ont été rapidement libérés. Et déjà le 10 septembre, le site de Brian Krebs a commencé à avoir des problèmes. Au maximum, la puissance d'attaque atteint 140 gigabits par seconde. Les hackers offensés n'ont pas manqué de laisser des messages à Krebs "godiefaggot". Le blog a même cessé de fonctionner pendant un certain temps, mais les spécialistes d'Akamai ont réussi à le restaurer. Mais les attaques ne se sont pas arrêtées là. Et le 20 septembre, sa capacité était déjà de 665 gigabits par seconde. Akamai a été contraint de refuser de maintenir le blog de Krebs pour protéger les abonnés payants. La puissance de l'attaque à laquelle le site a été soumis était deux fois plus forte qu'Akamai l'avait observé jusqu'à présent. Certains journalistes ont convenu qu'il s'agissait de la plus grande attaque de l'histoire d'Internet. Par exemple, début 2016, le site Web de la BBC a été attaqué avec un taux de 602 gigabits par seconde. Le record a été battu quelques mois plus tard.
Apparemment, le poste de Krebs a blessé les assaillants au plus vite. L'attaque a été menée à l'aide de caméras IP, de routeurs et d'autres «Internet des objets», pour lesquels les utilisateurs ont défini des mots de passe standard. Les hackers n'ont même pas essayé de couvrir leurs traces et ont éclairé les adresses de la plupart des appareils qui pourraient encore être utilisés pour d'autres attaques financières. Encore une fois, nous n’avons pas utilisé de formes de mots. Le surnom de l'un des créateurs de vDOC - AppleJ4ck - pouvait être lu dans certaines requêtes POST de l'attaque contenant la chaîne "freeapplej4ck". Seule l'intervention de Google a permis de restaurer le site grâce aux investigations de Krebs. Le Project Shield du géant de l'Internet protège les sites Web des journalistes et des médias indépendants des cyberattaques.
Et dans la première publication, après la restauration du site, Brian Krebs a évoqué la censure sur Internet. Des outils efficaces sont disponibles non seulement pour l'État, mais également pour les criminels. Les attaques DDoS peuvent constituer un sérieux obstacle aux enquêtes indépendantes dans l'économie de marché actuelle. Tous les médias n'ont pas un budget de 200 000 dollars pour la cyberprotection.
Erreur dans le texte? Sélectionnez-le avec votre souris! Et appuyez sur: Ctrl + Entrée
Andrey Golovachev a rappelé sur sa page Facebook que la carrière politique de tous les présidents ukrainiens s'est terminée par un désastre. Selon l'expert politique, Leonid Kuchma a reçu un
Il y a environ six mois, le public a appris que la célèbre actrice russe Anastasia Zavorotnyuk avait été diagnostiquée avec une tumeur maligne au cerveau. À partir d'aujourd'hui, non
En discutant des préoccupations du président Volodymyr Zelenskiy lors de sa visite au Vatican, certains observateurs ont noté qu'il s'agissait du premier cas de ce genre dans l'histoire que des responsables de St.
Les attaques DoS et DDoS sont des influences externes agressives sur les ressources informatiques d'un serveur ou d'un poste de travail visant à faire échouer ce dernier. Par défaillance, nous entendons non pas la défaillance physique de la machine, mais l'inaccessibilité de ses ressources pour les utilisateurs consciencieux - l'échec du système à les entretenir ( réenial of Service, qui est l'abréviation DoS).
Si une telle attaque est menée à partir d'un seul ordinateur, elle est classée comme DoS (DoS), si elle provient de plusieurs - DDoS (DDoS ou DDoS), ce qui signifie "RÉistribué réenial of Service "- déni de service distribué. Ensuite, parlons de la raison pour laquelle les attaquants mènent de telles actions, de ce qu'ils sont, du préjudice qu'ils causent à l'attaqué et de la manière dont ces derniers peuvent protéger leurs ressources.
Qui peut souffrir d'attaques DoS et DDoS
Les attaques visent les serveurs d'entreprise des entreprises et des sites Web, beaucoup moins souvent - les ordinateurs personnels des particuliers. Le but de ces actions, en règle générale, en est un: infliger un préjudice économique aux attaqués et rester dans l'ombre. Dans certains cas, les attaques DoS et DDoS sont l'une des étapes du piratage de serveur et visent à voler ou à détruire des informations. En fait, une entreprise ou un site Web appartenant à n'importe qui peut devenir victime de cybercriminels.
Schéma illustrant l'essence d'une attaque DDoS:
Les attaques DoS et DDoS sont le plus souvent menées à l'instigation de concurrents malhonnêtes. Ainsi, en «remplissant» le site Web d'une boutique en ligne qui propose un produit similaire, vous pouvez temporairement devenir un «monopoleur» et récupérer ses clients par vous-même. En «posant» le serveur d'entreprise, il est possible de perturber le travail d'une entreprise concurrente et de réduire ainsi sa position sur le marché.
Les attaques à grande échelle qui peuvent causer des dommages importants sont généralement menées par des cybercriminels professionnels pour beaucoup d'argent. Mais pas toujours. Les hackers amateurs de Homebrew peuvent également attaquer vos ressources - par intérêt, et les vengeurs parmi les employés licenciés, et simplement ceux qui ne partagent pas votre point de vue sur la vie.
Parfois, l'impact est effectué dans le but d'extorsion, tandis que l'attaquant demande ouvertement de l'argent au propriétaire de la ressource pour arrêter l'attaque.
Les serveurs des entreprises publiques et des organisations bien connues sont souvent attaqués par des groupes anonymes de hackers hautement qualifiés dans le but d'influencer les fonctionnaires ou de provoquer un tollé public.
Comment les attaques sont menées
Le principe de fonctionnement des attaques DoS et DDoS est d'envoyer un gros flux d'informations au serveur, qui, au maximum (dans la mesure où les capacités du pirate le permettent), charge les ressources de calcul du processeur, de la RAM, obstrue les canaux de communication ou remplit de l'espace disque. La machine attaquée ne peut pas gérer les données entrantes et cesse de répondre aux demandes des utilisateurs.
Voici à quoi ressemble le fonctionnement normal du serveur, visualisé dans Logstalgia:
L'efficacité des attaques DOS uniques n'est pas très élevée. De plus, une attaque contre un ordinateur personnel expose un attaquant au risque d'être identifié et attrapé. Les attaques distribuées (DDoS) provenant de réseaux dits zombies ou de botnets génèrent des bénéfices beaucoup plus importants.
Voici comment le site Norse-corp.com affiche l'activité du botnet:
Un réseau zombie (botnet) est un groupe d'ordinateurs qui n'ont pas de connexion physique entre eux. Ils sont unis par le fait qu'ils sont tous sous le contrôle de l'attaquant. Le contrôle est effectué au moyen d'un programme cheval de Troie qui, pour le moment, ne peut en aucun cas se manifester. Lors d'une attaque, le pirate informatique ordonne aux ordinateurs infectés d'envoyer des requêtes au site Web ou au serveur de la victime. Et lui, incapable de résister à l'assaut, cesse de répondre.
Voici comment Logstalgia montre l'attaque DDoS:
Tout ordinateur peut rejoindre le botnet. Et même un smartphone. Il suffit de récupérer le cheval de Troie et de ne pas le détecter à temps. À propos, le plus grand botnet comptait près de 2 millions de machines dans le monde, et leurs propriétaires n'avaient aucune idée de ce qu'ils faisaient.
Méthodes d'attaque et de défense
Avant de lancer une attaque, un hacker détermine comment la mener à bien avec le maximum d'effet. Si le nœud attaqué présente plusieurs vulnérabilités, l'impact peut être réalisé dans différentes directions, ce qui compliquera considérablement la réponse. Par conséquent, il est important que chaque administrateur de serveur examine tous ses goulots d'étranglement et, si possible, les renforce.
Inonder
Flood, en termes simples, est une information qui ne porte pas de charge sémantique. Dans le contexte des attaques DoS / DDoS, une inondation est une avalanche de requêtes vides et dénuées de sens d'un niveau ou d'un autre, que le nœud récepteur est obligé de traiter.
Le but principal de l'utilisation de l'inondation est de bloquer complètement les canaux de communication, de saturer la bande passante au maximum.
Types d'inondations:
- MAC flood - impact sur les communicateurs réseau (blocage des ports avec des flux de données).
- ICMP flood - inonder la victime de requêtes d'écho de service en utilisant un réseau zombie ou en envoyant des requêtes "au nom" de l'hôte attaqué afin que tous les membres du botnet lui envoient simultanément une réponse d'écho (attaque Smurf). Un cas particulier d'inondation ICMP est l'inondation ping (envoi de requêtes ping au serveur).
- SYN flood - Envoi de plusieurs requêtes SYN à la victime, remplissant la file d'attente de connexion TCP en créant un grand nombre de connexions semi-ouvertes (en attente de confirmation du client).
- UDP flood - fonctionne selon le schéma d'attaque Smurf, où les datagrammes UDP sont envoyés à la place des paquets ICMP.
- Inondation HTTP - inondant le serveur de nombreux messages HTTP. Une option plus sophistiquée est une inondation HTTPS, où les données transmises sont pré-cryptées, et avant que l'hôte attaqué ne les traite, il doit les décrypter.
Comment se protéger des inondations
- Configurez la validation et le filtrage des adresses MAC sur les commutateurs réseau.
- Limiter ou refuser le traitement des demandes d'écho ICMP.
- Bloquer les paquets d'une adresse ou d'un domaine spécifique, ce qui donne lieu à des soupçons de manque de fiabilité.
- Fixez une limite au nombre de connexions semi-ouvertes avec une adresse, réduisez leur temps de rétention, allongez la file d'attente de connexion TCP.
- Désactivez les services UDP de recevoir du trafic de l'extérieur ou limitez le nombre de connexions UDP.
- Utilisez des CAPTCHA, des retards et d'autres techniques anti-bot.
- Augmentez le nombre maximum de connexions HTTP, configurez la mise en cache des demandes à l'aide de nginx.
- Développez la bande passante du canal réseau.
- Si possible, allouez un serveur distinct pour le traitement de la cryptographie (le cas échéant).
- Créez un canal de sauvegarde pour l'accès administratif au serveur dans les situations d'urgence.
Surcharge des ressources matérielles
Il existe des types d'inondations qui n'affectent pas le canal de communication, mais les ressources matérielles de l'ordinateur attaqué, en les chargeant complètement et en les bloquant ou en plantant. Par exemple:
- Création d'un script qui affichera une énorme quantité d'informations textuelles sans signification sur un forum ou un site Web où les utilisateurs ont la possibilité de laisser des commentaires jusqu'à ce que tout l'espace disque soit plein.
- La même chose, seuls les journaux du serveur rempliront le lecteur.
- Chargement du site, où une certaine transformation des données saisies est effectuée, par un traitement continu de ces données (envoi de paquets dits «lourds»).
- Chargement du processeur ou de la mémoire en exécutant du code via l'interface CGI (le support CGI vous permet d'exécuter n'importe quel programme externe sur le serveur).
- Déclenchement d'un système de sécurité, qui rend le serveur inaccessible de l'extérieur, etc.
Comment se protéger contre la surcharge des ressources matérielles
- Augmentez les performances matérielles et l'espace disque. Lorsque le serveur fonctionne en mode normal, au moins 25 à 30% des ressources doivent rester libres.
- Engagez les systèmes d'analyse et de filtrage du trafic avant de le transmettre au serveur.
- Limitez l'utilisation des ressources matérielles par les composants du système (définissez des quotas).
- Stockez les fichiers journaux du serveur sur un lecteur distinct.
- Répartissez les ressources sur plusieurs serveurs indépendants. De sorte que si une partie tombe en panne, les autres restent fonctionnelles.
Vulnérabilités dans les systèmes d'exploitation, les logiciels, le micrologiciel de l'appareil
Il y a infiniment plus d'options pour mener de telles attaques que d'utiliser l'inondation. Leur mise en œuvre dépend de la compétence et de l'expérience de l'attaquant, de sa capacité à trouver des erreurs dans le code du programme et à les utiliser à son profit et au détriment du propriétaire de la ressource.
Une fois qu'un pirate a découvert une vulnérabilité (une erreur logicielle qui peut être utilisée pour perturber le système), tout ce qu'il a à faire est de créer et d'exécuter un exploit - un programme qui exploite cette vulnérabilité.
L'exploitation des vulnérabilités n'est pas toujours destinée à provoquer uniquement un déni de service. Si le pirate a de la chance, il pourra prendre le contrôle de la ressource et disposer de ce "cadeau du destin" à sa discrétion. Par exemple, il peut être utilisé pour propager des logiciels malveillants, voler et détruire des informations, etc.
Méthodes pour contrer l'exploitation des vulnérabilités dans les logiciels
- Installez en temps opportun des mises à jour couvrant les vulnérabilités des systèmes d'exploitation et des applications.
- Isolez de l'accès tiers tous les services destinés à résoudre les tâches administratives.
- Utilisez des outils de surveillance continue du système d'exploitation et des programmes du serveur (analyse comportementale, etc.).
- Abandonnez les programmes potentiellement vulnérables (gratuits, auto-écrits, rarement mis à jour) au profit de programmes éprouvés et bien protégés.
- Utilisez des moyens prêts à l'emploi pour protéger les systèmes contre les attaques DoS et DDoS, qui existent à la fois sous la forme de systèmes matériels et logiciels.
Comment déterminer si une ressource a été attaquée par un hacker
Si l'attaquant réussit à atteindre l'objectif, il est impossible de ne pas remarquer l'attaque, mais dans certains cas, l'administrateur ne peut pas déterminer exactement quand elle a commencé. Autrement dit, il faut parfois plusieurs heures entre le début de l'attaque et les symptômes visibles. Cependant, lors d'une exposition latente (jusqu'à ce que le serveur "se couche"), il y a aussi certains signes. Par exemple:
- Comportement non naturel des applications serveur ou du système d'exploitation (gel, arrêt avec erreurs, etc.).
- La charge sur le processeur, la RAM et le stockage augmente considérablement par rapport à la référence.
- Le volume de trafic sur un ou plusieurs ports augmente considérablement.
- Il y a plusieurs appels de clients vers les mêmes ressources (ouverture d'une page du site, téléchargement du même fichier).
- L'analyse des journaux du serveur, du pare-feu et des périphériques réseau montre un grand nombre de requêtes uniformes provenant de différentes adresses, souvent dirigées vers un port ou un service spécifique. Surtout si le site est destiné à un public restreint (par exemple, russophone) et que les demandes proviennent du monde entier. Dans le même temps, une analyse qualitative du trafic montre que les demandes n'ont aucune signification pratique pour les clients.
Tout ce qui précède n'est pas le signe à 100% d'une attaque, mais c'est toujours une raison de prêter attention au problème et de prendre les mesures de protection appropriées.
Qui est attaqué?
Selon la Banque centrale, en 2016, le nombre d'institutions financières russes a presque doublé. En novembre, des attaques DDoS ont visé cinq grandes banques russes. À la fin de l'année dernière, la Banque centrale a signalé des attaques DDoS contre des institutions financières, y compris la Banque centrale. «Le but des attaques était de perturber les services et, par conséquent, de saper la confiance dans ces organisations. Ces attaques étaient remarquables en ce qu'il s'agissait de la première utilisation à grande échelle de l'Internet des objets en Russie. Au fond, l'attaque impliquait des caméras Internet et des routeurs domestiques », ont noté les services de sécurité des grandes banques.Dans le même temps, les attaques DDoS n'ont pas causé de dommages importants aux banques - elles sont bien protégées, de sorte que de telles attaques, bien qu'elles aient causé des problèmes, n'étaient pas critiques et ne violaient aucun service. Néanmoins, on peut affirmer que l'activité anti-bancaire des hackers a considérablement augmenté.
En février 2017, les services techniques du ministère russe de la Santé ont repoussé la plus grande attaque DDoS de ces dernières années, qui a culminé à 4 millions de requêtes par minute. Il y a eu des attaques DDoS contre les registres gouvernementaux, mais elles ont également échoué et n'ont entraîné aucune modification des données.
Cependant, les victimes d'attaques DDoS sont autant d'organisations et d'entreprises qui disposent d'une «défense» aussi puissante. En 2017, on s'attend à plus de dommages dus aux cybermenaces - ransomwares, DDoS et attaques sur les appareils IoT.
Les appareils IoT gagnent en popularité en tant qu'outil permettant de mener des attaques DDoS. Un événement notable a été l'attaque DDoS lancée en septembre 2016 à l'aide du code malveillant Mirai. Dans ce document, des centaines de milliers de caméras et autres appareils de systèmes de vidéosurveillance ont agi comme des moyens d'attaque.
Elle a été menée contre l'hébergeur français OVH. C'était l'attaque DDoS la plus puissante - près de 1 Tbit / s. Les pirates ont utilisé un botnet pour utiliser 150 000 appareils IoT, principalement des caméras CCTV. Les attaques utilisant le botnet Mirai ont donné naissance à de nombreux botnets d'appareils IoT. Selon les experts, en 2017, les botnets IoT continueront d'être l'une des principales menaces du cyberespace.
Selon le rapport d'incident de violation de données Verizon 2016 (DBIR), le nombre d'attaques DDoS a considérablement augmenté l'année dernière. Dans le monde, les plus touchés sont l'industrie du divertissement, les organisations professionnelles, l'éducation, l'informatique et la vente au détail.
Une tendance notable dans les attaques DDoS est l'extension de la «liste des victimes». Il comprend désormais des représentants de pratiquement toutes les industries. De plus, les méthodes d'attaque sont en cours d'amélioration.
Selon Nexusguard, fin 2016, il y a eu une augmentation marquée du nombre d'attaques DDoS mixtes impliquant plusieurs vulnérabilités. Le plus souvent, ils ont été exposés à des organisations financières et gouvernementales. Le motif principal des cybercriminels (70% des cas) est le vol de données ou la menace de leur destruction à des fins de rançon. Moins fréquemment, des objectifs politiques ou sociaux. C'est pourquoi une stratégie de défense est importante. Il peut se préparer à une attaque et minimiser ses conséquences, réduire les risques financiers et de réputation.
Conséquences des attaques
Quelles sont les conséquences d'une attaque DDoS? Lors d'une attaque, la victime perd des clients en raison d'un fonctionnement lent ou d'une inaccessibilité totale du site, et la réputation de l'entreprise en souffre. Le fournisseur de services peut bloquer l'adresse IP de la victime pour minimiser les dommages causés aux autres clients. Il faudra du temps, et peut-être de l'argent, pour tout restaurer.Selon une enquête entreprise, les attaques DDoS sont considérées par la moitié des entreprises comme l'une des cybermenaces les plus graves. La menace de DDoS est encore plus élevée que la menace d'accès non autorisé, de virus, de fraude et de phishing, sans parler des autres menaces.
Les pertes moyennes dues aux attaques DDoS dans le monde sont estimées à 50 000 USD pour les petites organisations et à près de 500 000 USD pour les grandes entreprises. Éliminer les conséquences d'une attaque DDoS nécessitera du temps de travail supplémentaire pour les employés, détourner des ressources d'autres projets pour assurer la sécurité, développer un plan de mise à jour logicielle, mettre à niveau l'équipement, etc.
La réputation de l'organisation attaquée peut souffrir non seulement de la mauvaise performance du site Web, mais également du vol de données personnelles ou d'informations financières.
Selon l'enquête de l'entreprise, le nombre d'attaques DDoS augmente de 200% par an, avec 2000 attaques de ce type signalées chaque jour dans le monde. Le coût de l'organisation d'une attaque DDoS hebdomadaire n'est que d'environ 150 USD et les pertes moyennes des victimes dépassent 40 000 USD par heure.
Types d'attaques DDoS
Les principaux types d'attaques DDoS sont les attaques massives, les attaques de protocole et les attaques d'applications. Dans tous les cas, le but est de désactiver le site ou de voler des données. Un autre type de cybercriminalité est la menace d'une attaque de rançon DDoS. Pour cela, des groupes de hackers tels que l'Armada Collective, Lizard Squad, RedDoor et ezBTC sont célèbres.L'organisation des attaques DDoS est devenue beaucoup plus facile: il existe désormais des outils automatisés largement disponibles qui ne nécessitent pratiquement pas de connaissances particulières de la part des cybercriminels. Il existe également des services DDoS payants pour les attaques de cibles anonymes. Par exemple, le service vDOS propose ses services sans vérifier si le client est le propriétaire du site, qui souhaite le tester «sous charge», ou si cela est fait dans le but d'une attaque.
Les attaques DDoS sont des attaques provenant de nombreuses sources qui empêchent les utilisateurs légitimes d'accéder au site attaqué. Pour ce faire, un grand nombre de requêtes sont envoyées au système attaqué, ce qu'il ne peut pas gérer. Des systèmes généralement compromis sont utilisés à cette fin.
La croissance annuelle du nombre d'attaques DDoS est estimée à 50% (selon les informations), mais les données provenant de différentes sources diffèrent et tous les incidents ne sont pas connus. La puissance moyenne des attaques DDoS de couche 3/4 est passée ces dernières années de 20 à plusieurs centaines de Go / s. Alors que les attaques DDoS massives et au niveau des protocoles sont désagréables en soi, les cybercriminels les combinent de plus en plus avec des attaques DDoS de couche 7, c'est-à-dire au niveau des applications, visant à modifier ou à voler des données. De telles attaques «multi-vecteurs» peuvent être très efficaces.
Les attaques multi-vecteurs représentent environ 27% du nombre total d'attaques DDoS.
Dans le cas d'une attaque DDoS massive (basée sur le volume), un grand nombre de requêtes sont utilisées, souvent envoyées à partir d'adresses IP légitimes, de sorte que le site «se noie» dans le trafic. Le but de ces attaques est de «bloquer» toute la bande passante disponible et de bloquer le trafic légitime.
Dans le cas d'une attaque au niveau de la couche protocole (par exemple, UDP ou ICMP), le but est d'épuiser les ressources du système. Pour cela, des requêtes ouvertes sont envoyées, par exemple des requêtes TCP / IP avec une fausse IP, et du fait de l'épuisement des ressources réseau, il devient impossible de traiter les requêtes légitimes. Les représentants typiques sont les attaques DDoS, connues dans les cercles étroits sous le nom de Smurf DDos, Ping of Death et SYN flood. Un autre type d'attaque DDoS au niveau du protocole consiste à envoyer un grand nombre de paquets fragmentés que le système ne peut pas gérer.
Les attaques DDoS de couche 7 sont l'envoi de requêtes apparemment inoffensives qui semblent être le résultat d'une activité normale de l'utilisateur. Les botnets et les outils automatisés sont généralement utilisés pour les implémenter. Des exemples notables sont Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.
En 2012-2014, la plupart des attaques DDoS massives étaient des attaques sans état (sans état et sans session) - elles utilisaient le protocole UDP. Dans le cas de Stateless, de nombreux paquets circulent en une seule session (par exemple, l'ouverture d'une page). Qui a commencé la session (demandé la page), les appareils sans état, en règle générale, ne savent pas.
UDP est sensible à l'usurpation d'identité - changement d'adresse. Par exemple, si vous souhaitez attaquer le serveur DNS à 56.26.56.26 à l'aide de l'attaque d'amplification DNS, vous pouvez créer un ensemble de paquets avec l'adresse d'expéditeur 56.26.56.26 et les envoyer aux serveurs DNS du monde entier. Ces serveurs enverront une réponse au 56.26.56.26.
La même méthode fonctionne pour les serveurs NTP, les appareils compatibles SSDP. NTP est peut-être la méthode la plus populaire: au second semestre 2016, elle a été utilisée dans 97,5% des attaques DDoS.
Best Current Practice (BCP) 38 recommande aux fournisseurs de configurer les passerelles pour éviter l'usurpation d'identité - l'adresse de l'expéditeur, le réseau source est contrôlé. Mais tous les pays ne suivent pas cette pratique. De plus, les attaquants contournent les contrôles BCP 38 en passant aux attaques avec état au niveau de la couche TCP. Selon le F5 Security Operations Center (SOC), de telles attaques ont dominé les cinq dernières années. En 2016, il y a eu deux fois plus d'attaques TCP que d'attaques UDP.
Les attaques de couche 7 sont principalement utilisées par les pirates professionnels. Le principe est le suivant: une URL "lourde" est prise (avec un fichier PDF ou une requête à une grande base de données) et répétée des dizaines ou des centaines de fois par seconde. Les attaques de couche 7 sont terribles et difficiles à reconnaître. Ils représentent désormais environ 10% des attaques DDoS.
Corrélation des différents types d'attaques DDoS selon le rapport d'enquête sur les violations de données de Verizon (DBIR) (2016).
Les attaques DDoS sont souvent programmées pour coïncider avec des périodes de pointe de trafic, telles que les jours de vente en ligne. De vastes flux de données personnelles et financières attirent les pirates en ce moment.
Attaques DDoS sur DNS
Le système de noms de domaine (DNS) joue un rôle fondamental dans les performances et la disponibilité du site. En fin de compte, c'est le succès de votre entreprise. Malheureusement, l'infrastructure DNS est souvent la cible d'attaques DDoS. En supprimant votre infrastructure DNS, les attaquants peuvent nuire à votre site Web, à la réputation de votre entreprise et à vos performances financières. Pour contrer les menaces d'aujourd'hui, l'infrastructure DNS doit être hautement résiliente et évolutive.Fondamentalement, DNS est une base de données distribuée qui, entre autres, mappe des noms de site faciles à lire sur des adresses IP, permettant à l'utilisateur d'accéder au site après avoir entré l'URL. La première interaction de l'utilisateur avec le site commence par des requêtes DNS envoyées au serveur DNS avec l'adresse du domaine Internet de votre site. Ils peuvent prendre jusqu'à 50% du temps de chargement de la page Web. Ainsi, une diminution des performances DNS peut conduire l'utilisateur à quitter le site et à perdre son activité. Si votre serveur DNS cesse de répondre suite à une attaque DDoS, personne ne peut accéder au site.
Les attaques DDoS sont difficiles à détecter, surtout au début lorsque le trafic semble normal. L'infrastructure DNS peut être soumise à différents types d'attaques DDoS. Il s'agit parfois d'une attaque directe sur les serveurs DNS. Dans d'autres cas, des exploits sont utilisés, en utilisant des systèmes DNS pour attaquer d'autres éléments de l'infrastructure ou des services informatiques.
Les attaques DNS Reflection exposent la cible à de fausses réponses DNS massives. Pour cela, des botnets sont utilisés, infectant des centaines et des milliers d'ordinateurs. Chaque bot d'un tel réseau génère plusieurs requêtes DNS, mais utilise la même adresse IP cible que l'adresse IP source (usurpation d'identité). Le service DNS répond à cette adresse IP.
Cela produit un double effet. Le système cible est bombardé de milliers et de millions de réponses DNS, et le serveur DNS peut «s'allonger» sans faire face à la charge. La requête DNS elle-même est généralement inférieure à 50 octets et la réponse est dix fois plus longue. De plus, les messages DNS peuvent contenir de nombreuses autres informations.
Supposons qu'un attaquant émette 100 000 requêtes DNS courtes de 50 octets (5 Mo au total). Si chaque réponse contient 1 Ko, le total est déjà de 100 Mo. D'où le nom - Amplification (amplification). La combinaison d'attaques DNS Reflection et Amplification peut avoir des conséquences très graves.
Les demandes ressemblent à du trafic normal et les réponses sont de nombreux messages volumineux dirigés vers le système cible.
Comment se protéger des attaques DDoS?
Comment se protéger des attaques DDoS, quelles mesures prendre? Tout d'abord, ne le remettez pas à plus tard. Certaines considérations doivent être prises en compte lors de la configuration du réseau, du démarrage des serveurs et du déploiement du logiciel. Et chaque changement ultérieur ne devrait pas augmenter la vulnérabilité aux attaques DDoS.Protection DNS
Comment protéger votre infrastructure DNS contre les attaques DDoS? Les pare-feu réguliers et IPS n'aideront pas ici, ils sont impuissants contre une attaque DDoS complexe sur DNS. En fait, les pare-feu et les systèmes de prévention des intrusions sont eux-mêmes vulnérables aux attaques DDoS.Les services cloud de nettoyage du trafic peuvent venir à la rescousse: il est envoyé vers un certain centre, où il est vérifié et redirigé vers sa destination. Ces services sont utiles pour le trafic TCP. Ceux qui gèrent leur propre infrastructure DNS peuvent prendre les mesures suivantes pour atténuer l'impact des attaques DDoS.
La meilleure façon de protéger le DNS des attaques DDoS serait d'utiliser un réseau Anycast dispersé géographiquement. Les réseaux DNS distribués peuvent être mis en œuvre en utilisant deux approches différentes: l'adressage Unicast ou Anycast. La première approche est beaucoup plus simple à mettre en œuvre, mais la seconde est beaucoup plus résistante aux attaques DDoS.
Dans le cas de la monodiffusion, chacun des serveurs DNS de votre entreprise se voit attribuer une adresse IP unique. DNS maintient une table des serveurs DNS de votre domaine et des adresses IP correspondantes. Lorsque l'utilisateur entre une URL, l'une des adresses IP est sélectionnée au hasard pour exécuter la demande.
Avec le schéma d'adressage Anycast, différents serveurs DNS partagent une adresse IP commune. Lorsque l'utilisateur entre une URL, l'adresse collective des serveurs DNS est renvoyée. Le réseau IP achemine la demande vers le serveur le plus proche.
Anycast offre des avantages de sécurité fondamentaux par rapport à Unicast. Unicast fournit les adresses IP de serveurs individuels, de sorte que les attaquants peuvent lancer des attaques ciblées contre des serveurs physiques et des machines virtuelles spécifiques, et lorsque les ressources de ce système sont épuisées, une panne de service se produit. Anycast peut aider à atténuer les attaques DDoS en distribuant les demandes sur un groupe de serveurs. Anycast est également utile pour isoler les effets d'une attaque.
Protection DDoS fournie par le FAI
Concevoir, déployer et exploiter un réseau mondial Anycast demande du temps, de l'argent et du savoir-faire. La plupart des organisations informatiques n'ont pas les compétences et les financements nécessaires pour ce faire. Vous pouvez confier votre infrastructure DNS à un fournisseur de services gérés spécialisé dans le DNS. Ils ont les connaissances nécessaires pour protéger le DNS des attaques DDoS.Les fournisseurs de services DNS gérés exploitent des réseaux Anycast à grande échelle et ont des points de présence dans le monde entier. Les experts en sécurité réseau surveillent le réseau 24 heures sur 24, 7 jours sur 7, 365 jours par an et appliquent des outils spéciaux pour atténuer l'impact des attaques DDoS.
Des services sont également proposés par certains hébergeurs: le trafic réseau est analysé 24h / 24 et 7j / 7, votre site sera donc relativement sûr. Une telle protection est capable de résister à des attaques puissantes - jusqu'à 1500 Gbps. Dans le même temps, le trafic est payé.
Une autre option consiste à protéger les adresses IP. Le fournisseur place l'adresse IP que le client a choisie comme étant protégée dans un analyseur de réseau spécial. L'attaque associe le trafic vers le client aux modèles d'attaque connus. En conséquence, le client ne reçoit que du trafic propre et filtré. Ainsi, les utilisateurs du site peuvent ne pas savoir qu'une attaque a été faite sur celui-ci. Pour organiser cela, un réseau distribué de nœuds de filtrage est créé afin que pour chaque attaque, il soit possible de sélectionner le nœud le plus proche et de minimiser le délai de transmission du trafic.
Le résultat de l'utilisation des services de protection contre les attaques DDoS sera la détection et la prévention en temps opportun des attaques DDoS, la continuité du site et sa disponibilité constante pour les utilisateurs, la minimisation des pertes financières et de réputation dues aux temps d'arrêt du site ou du portail.
