La situazione economica instabile degli ultimi due anni ha portato a un aumento significativo del livello di concorrenza nel mercato, a seguito del quale è aumentata la popolarità degli attacchi DDoS - un metodo efficace per causare danni economici.
Nel 2016, il numero di ordini commerciali per l'organizzazione di attacchi DDoS è aumentato più volte. I massicci attacchi DDoS si sono spostati dall'area della pressione politica mirata, come è avvenuto, ad esempio, nel 2014, al segmento del business di massa. Il compito principale dei cybercriminali è quello di rendere la risorsa inaccessibile il più rapidamente possibile e con il minimo costo per ricevere denaro dai concorrenti per questo, per dotarsi di condizioni di estorsione, ecc. Gli attacchi DDoS vengono utilizzati sempre più attivamente, il che stimola la ricerca di mezzi sempre più ampi per proteggere il business.
Allo stesso tempo, il numero di attacchi continua a crescere, nonostante i notevoli successi nella lotta contro gli attacchi DDoS. Secondo Qrator Labs, gli attacchi DDoS sono aumentati del 100% nel 2015. E non è sorprendente, perché il loro costo è sceso a circa $ 5 l'ora e gli strumenti per la loro implementazione sono entrati nell'enorme mercato nero. Di seguito sono riportate alcune delle principali tendenze negli attacchi di negazione del servizio distribuite previste per i prossimi anni.
Attacchi di amplificazione UDP
Gli attacchi volti a esaurire la capacità del canale includono l'amplificazione UDP. Tali incidenti sono stati i più comuni nel 2014 e sono diventati una tendenza sorprendente nel 2015. Tuttavia, il loro numero ha già raggiunto il suo picco e sta gradualmente diminuendo: la risorsa per eseguire tali attacchi non solo è limitata, ma anche in forte diminuzione.
Un amplificatore è un servizio UDP pubblico che funziona senza autenticazione, che può inviare una risposta molto più ampia a una piccola richiesta. L'aggressore, inviando tali richieste, sostituisce il proprio indirizzo IP con l'indirizzo IP della vittima. Di conseguenza, il traffico di ritorno, che supera di molto la larghezza di banda del canale dell'aggressore, viene reindirizzato alla risorsa Web della vittima. DNS, NTP, SSDP e altri server vengono utilizzati per la partecipazione involontaria agli attacchi.
Attacchi L7 alle applicazioni web
In relazione alla riduzione del numero di amplificatori, torna alla ribalta l'organizzazione di attacchi alle applicazioni web a livello L7 utilizzando le botnet classiche. Come sapete, una botnet è in grado di eseguire attacchi di rete utilizzando comandi remoti e i proprietari dei computer infetti potrebbero non esserne nemmeno consapevoli. Come risultato del sovraccarico del servizio con richieste "inutili", le richieste degli utenti legittimi in genere rimangono senza risposta oppure è necessaria una quantità di tempo irragionevolmente elevata per le risposte.
Le botnet stanno diventando più intelligenti oggi. Quando si organizzano gli attacchi corrispondenti, è supportata la tecnologia dello stack del browser completo, ovvero l'emulazione completa del computer dell'utente, del browser e dello sviluppo di java script. Tecniche come queste sono ottime per mascherare gli attacchi L7. È quasi impossibile distinguere manualmente un bot da un utente. Ciò richiede sistemi che utilizzano la tecnologia di apprendimento automatico, grazie alla quale aumenta il livello di resistenza agli attacchi, i meccanismi vengono migliorati e la precisione dei test aumenta.
Problemi di BGP
Nel 2016 è emersa una nuova tendenza: attacchi all'infrastruttura di rete, compresi quelli basati sullo sfruttamento delle vulnerabilità del protocollo BGP. I problemi del protocollo di routing BGP, su cui si basa l'intera Internet, sono noti da diversi anni, ma negli ultimi anni hanno portato sempre più a gravi conseguenze negative.
Le anomalie di rete associate al routing a livello di rete tra domini possono influenzare un gran numero di host, reti e persino la connettività globale e la disponibilità di Internet. Il tipo più comune di problema è la perdita di rotta, una "perdita" di una rotta che si verifica a seguito della sua pubblicità nella direzione sbagliata. Finora, le vulnerabilità BGP sono raramente utilizzate deliberatamente: il costo per organizzare un attacco di questo tipo è piuttosto elevato e gli incidenti sorgono principalmente a causa di errori banali nelle impostazioni di rete.
Tuttavia, negli ultimi anni, la scala dei gruppi criminali organizzati su Internet è cresciuta in modo significativo, quindi, secondo le previsioni di Qrator Labs, gli attacchi relativi a problemi BGP diventeranno popolari nel prossimo futuro. Un esempio lampante è il dirottamento di indirizzi IP da parte del famoso gruppo cyber Hacking Team, effettuato dall'ordinanza statale: la polizia italiana ha dovuto prendere il controllo di diversi computer, nei confronti dei cui proprietari sono state intraprese azioni investigative.
IncidentiTCP
Lo stack di rete TCP / IP presenta una serie di problemi che diventeranno particolarmente acuti quest'anno. Per mantenere la crescita attiva delle velocità, l'infrastruttura Internet deve essere costantemente aggiornata. Le velocità di connessione fisica a Internet aumentano ogni pochi anni. Nei primi anni 2000. 1 Gbit / s è diventato lo standard, oggi l'interfaccia fisica più popolare è 10 Gbit / s. Tuttavia, la massiccia introduzione di un nuovo standard per l'interfaccia fisica, 100 Gbps, è già iniziata, il che causa problemi con il protocollo TCP / IP obsoleto, che non è progettato per velocità così elevate.
Ad esempio, diventa possibile in pochi minuti raccogliere un numero di sequenza TCP - un identificatore numerico univoco che consente (o meglio, consentito) ai partner su una connessione TCP / IP di eseguire l'autenticazione reciproca al momento della creazione della connessione e scambiare dati, preservandone l'ordine e l'integrità. A velocità di 100 Gbps, una riga nei file di registro del server TCP su una connessione aperta e / o sui dati inviati su di essa non garantisce più che l'indirizzo IP fisso abbia effettivamente stabilito una connessione e trasmesso questi dati. Di conseguenza, si apre un'opportunità per organizzare attacchi di una nuova classe e l'efficienza dei firewall può diminuire in modo significativo.
Le vulnerabilità TCP / IP hanno attirato l'attenzione di molti ricercatori. Credono che già nel 2016 sentiremo parlare di attacchi "di alto profilo" legati allo sfruttamento di questi "buchi".
Prossimo futuro
Oggi, lo sviluppo di tecnologie e minacce non segue la spirale "classica", poiché il sistema non è chiuso, ma è influenzato da molti fattori esterni. Il risultato è una spirale con un'ampiezza in espansione: sale verso l'alto, la complessità degli attacchi cresce e la portata delle tecnologie si espande in modo significativo. Notiamo diversi fattori che hanno un grave impatto sullo sviluppo del sistema.
Il principale, ovviamente, è la migrazione al nuovo protocollo di trasporto IPv6. Alla fine del 2015, IPv4 è stato deprecato e IPv6 sta emergendo, portando con sé nuove sfide: ora ogni dispositivo ha un indirizzo IP e tutti possono comunicare direttamente tra loro. Sì, ci sono nuove raccomandazioni su come dovrebbero funzionare i dispositivi finali, ma come il settore affronterà tutto questo, in particolare gli operatori di telecomunicazioni, il segmento dei prodotti di massa e i fornitori cinesi, è una questione aperta. IPv6 è un punto di svolta.
Un'altra sfida è la crescita significativa delle reti mobili, la loro velocità e resistenza. Se prima la botnet mobile creava problemi, prima di tutto, allo stesso operatore di telecomunicazioni, ora, quando la comunicazione 4G sta diventando più veloce di Internet cablato, le reti mobili con un numero enorme di dispositivi, compresi quelli made in China, si stanno trasformando in un'ottima piattaforma per effettuare attacchi DDoS e hacker. E sorgono problemi non solo per l'operatore di telecomunicazioni, ma anche per altri partecipanti al mercato.
Il mondo emergente dell '"Internet of Things" rappresenta una seria minaccia. Nuovi vettori di attacco stanno emergendo poiché l'enorme numero di dispositivi e l'uso della tecnologia wireless apre opportunità davvero illimitate per gli hacker. Tutti i dispositivi connessi a Internet possono potenzialmente diventare parte dell'infrastruttura dell'aggressore ed essere coinvolti in attacchi DDoS.
Sfortunatamente, i produttori di tutti i tipi di elettrodomestici collegati alla rete (teiere, TV, automobili, multicooker, bilance, prese intelligenti, ecc.) Non sempre forniscono il giusto livello di protezione. Spesso, tali dispositivi utilizzano vecchie versioni dei sistemi operativi più diffusi e i fornitori non si preoccupano di aggiornarli regolarmente, sostituendoli con versioni che presentano vulnerabilità corrette. E se il dispositivo è popolare e ampiamente utilizzato, gli hacker non perderanno l'opportunità di sfruttare le sue vulnerabilità.
I precursori del problema dell'IoT sono apparsi già nel 2015. Secondo i dati preliminari, l'ultimo attacco a Blizzard Entertainment è stato effettuato utilizzando dispositivi IoT. È stato rilevato codice dannoso in esecuzione su teiere e lampadine moderne. I chipset facilitano anche gli hacker. Non molto tempo fa, è stato rilasciato un chipset economico, progettato per varie apparecchiature in grado di "comunicare" con Internet. Pertanto, gli aggressori non hanno bisogno di hackerare 100mila firmware personalizzati: devono solo "rompere" un chipset e ottenere l'accesso a tutti i dispositivi che si basano su di esso.
Si prevede che molto presto tutti gli smartphone basati su versioni precedenti di Android saranno membri di almeno una botnet. Seguiranno tutte le prese intelligenti, i frigoriferi e altri elettrodomestici. Tra un paio d'anni ci aspettano botnet di teiere, baby monitor e multicooker. L'Internet of Things ci porterà non solo comodità e opportunità aggiuntive, ma anche molti problemi. Quando ci sono molte cose nell'IoT e ogni pin può inviare 10 byte, sorgeranno nuove sfide di sicurezza che dovranno essere affrontate. E dovremmo prepararci per questo oggi.
Brian Krebs una volta ha lavorato per il Washington Post, conducendo per loro indagini sulla sicurezza in Internet. Successivamente, il giornalista ha lasciato per avviare il proprio blog. L'ex giornalista non ha cambiato la sua specializzazione, per la quale ha pagato a settembre quando ha rivelato una truffa di due adolescenti israeliani ..
Quindi, Brian Krebs ha svolto i suoi soliti affari, ha indagato sui crimini di Internet. A questo punto, il suo elenco di casi risolti includeva il caso del virus Stuxnet, che raccoglieva dati da computer domestici e impianti industriali. Krebs è stato il primo a parlare pubblicamente del virus nel 2010. Tre anni dopo, Brian ha scoperto un uomo che vendeva informazioni sulla carta per gli acquirenti di Target. La vendetta dei criminali di Internet è stata specifica, la polizia è stata chiamata a casa sua.
Quindi penso che Brian abbia capito di cosa erano capaci gli hacker, anche se difficilmente avrebbe potuto immaginare la scala possibile quando ha pubblicato a settembre un post sugli adolescenti israeliani coinvolti in attacchi DDoS. Lo stesso giorno, gli hacker sono stati arrestati, ma successivamente rilasciati su cauzione. Coincidenza o no, da quel momento in poi, il sito di Brian ha dovuto respingere un massiccio attacco DDoS che una delle principali società di sicurezza Internet al mondo non è riuscita a far fronte. Akamai fornisce protezione DDoS per il blog di Krebs da quattro anni. Nella sua pubblicazione, uno specialista della sicurezza Internet ha parlato del servizio vDOS, che, secondo la versione ufficiale, ha testato i carichi sui siti, ma di fatto ha interrotto il loro lavoro. Secondo una stima approssimativa, i creatori del servizio sono riusciti ad appropriarsi di circa 600mila dollari.
Gli assistenti di Krebs sono riusciti a scaricare i database, con l'aiuto dei quali sono stati identificati gli indirizzi reali dei server in Bulgaria da cui sono stati effettuati gli attacchi DDoS. Come puoi immaginare, gli hacker sono interessati a nascondere i loro veri indirizzi IP. Dopo aver analizzato i dati, Brian è stato in grado di stabilire i nomi e persino i numeri di telefono degli israeliani che potrebbero essere i proprietari del servizio.
Successivamente si è saputo che il giorno in cui il post è stato pubblicato, due adolescenti sono stati arrestati, ma che sono stati presto rilasciati. E già il 10 settembre il sito di Brian Krebs ha iniziato ad avere problemi. Al massimo, la potenza di attacco ha raggiunto i 140 gigabit al secondo. Gli hacker offesi non hanno mancato di lasciare i messaggi di Krebs "godiefaggot". Il blog ha persino smesso di funzionare per un po ', ma gli specialisti di Akamai sono riusciti a ripristinarlo. Ma gli attacchi non si sono fermati qui. E al 20 settembre la sua capacità era già di 665 gigabit al secondo. Akamai è stata costretta a rinunciare alla gestione del blog di Krebs per proteggere gli abbonati a pagamento. La potenza dell'attacco a cui era stato sottoposto il sito era due volte più forte di quanto Akamai aveva osservato finora. Alcuni giornalisti erano completamente d'accordo sul fatto che questo fosse il più grande attacco dell'intera storia di Internet. Ad esempio, all'inizio del 2016, il sito web della BBC è stato attaccato con una velocità di 602 gigabit al secondo. Il record è stato battuto pochi mesi dopo.
A quanto pare, il palo di Krebs ha fatto male agli attaccanti. L'attacco è stato effettuato utilizzando telecamere IP, router e altri "Internet delle cose", per i quali gli utenti impostano password standard. Gli hacker non hanno nemmeno provato a coprire le loro tracce e hanno illuminato gli indirizzi della maggior parte dei dispositivi che potrebbero ancora essere utilizzati per altri attacchi finanziari. Ancora una volta, non abbiamo utilizzato le forme delle parole. Il nickname di uno dei creatori di vDOC - AppleJ4ck - potrebbe essere letto in alcune richieste POST dell'attacco contenenti la stringa "freeapplej4ck". Solo l'intervento di Google ha consentito il ripristino del sito con le indagini di Krebs. Il progetto Shield del gigante di Internet protegge i siti Web di giornalisti e media indipendenti dagli attacchi informatici.
E nella prima pubblicazione, dopo il restauro del sito, Brian Krebs ha parlato di censura su Internet. Strumenti efficaci sono disponibili non solo per lo Stato, ma anche per i criminali. Gli attacchi DDoS possono rappresentare un serio ostacolo alle indagini indipendenti nell'odierna economia di mercato. Non tutti i media hanno un budget di $ 200.000 per la protezione informatica.
Errore nel testo? Selezionalo con il tuo mouse! E premi: Ctrl + Invio
Andrey Golovachev ha ricordato sulla sua pagina Facebook che la carriera politica di tutti i presidenti ucraini è finita in un disastro. Secondo l'esperto politico, Leonid Kuchma ha ricevuto un
Circa sei mesi fa, il pubblico ha appreso che alla famosa attrice russa Anastasia Zavorotnyuk è stato diagnosticato un tumore maligno al cervello. Ad oggi no
Nel discutere le preoccupazioni del presidente Volodymyr Zelenskiy durante la sua visita in Vaticano, alcuni osservatori hanno notato che questo è stato il primo caso del genere nella storia che i funzionari del St.
Gli attacchi DoS e DDoS sono influenze esterne aggressive sulle risorse di elaborazione di un server o di una workstation al fine di portare quest'ultimo al fallimento. Per guasto si intende non il guasto fisico della macchina, ma l'inaccessibilità delle sue risorse per gli utenti coscienziosi - l'incapacità del sistema di servirli ( Denial of Service, che è l'abbreviazione DoS).
Se un tale attacco viene eseguito da un singolo computer, viene classificato come DoS (DoS), se da più - DDoS (DDoS o DDoS), che significa "Ddistribuito Denial of Service "- Denial of Service distribuito. Successivamente, parliamo del motivo per cui gli aggressori eseguono tali azioni, cosa sono, quale danno causano agli attaccati e come questi possono proteggere le loro risorse.
Chi può subire attacchi DoS e DDoS
Gli attacchi prendono di mira i server aziendali di aziende e siti Web, molto meno spesso: personal computer di individui. Lo scopo di tali azioni, di regola, è uno: causare danni economici agli attaccati e rimanere nell'ombra. In alcuni casi, gli attacchi DoS e DDoS sono una delle fasi dell'hacking dei server e mirano a rubare o distruggere le informazioni. In effetti, un'azienda o un sito Web di proprietà di chiunque può diventare vittima di criminali informatici.
Diagramma che illustra l'essenza di un attacco DDoS:
Gli attacchi DoS e DDoS sono spesso eseguiti su suggerimento di concorrenti disonesti. Quindi, "riempiendo" il sito web di un negozio online che offre un prodotto simile, puoi diventare temporaneamente un "monopolista" e raccogliere i suoi clienti per te stesso. "Mettendo giù" il server aziendale, è possibile interrompere il lavoro di un'azienda concorrente e quindi ridurre la sua posizione nel mercato.
Gli attacchi su larga scala che possono causare danni significativi vengono solitamente eseguiti da criminali informatici professionisti per un sacco di soldi. Ma non sempre. Gli hacker amatoriali di homebrew possono attaccare le tue risorse, per interesse e vendicatori tra i dipendenti licenziati e semplicemente quelli che non condividono le tue opinioni sulla vita.
A volte l'impatto viene effettuato con lo scopo di estorsione, mentre l'aggressore chiede apertamente denaro al proprietario della risorsa per fermare l'attacco.
I server di società statali e organizzazioni note sono spesso attaccati da gruppi anonimi di hacker altamente qualificati con l'obiettivo di influenzare i funzionari o provocare una protesta pubblica.
Come vengono eseguiti gli attacchi
Il principio di funzionamento degli attacchi DoS e DDoS è quello di inviare un grande flusso di informazioni al server, il quale, al massimo (per quanto consentito dalle capacità dell'hacker), carica le risorse di calcolo del processore, RAM, ostruisce i canali di comunicazione o riempie lo spazio su disco. La macchina attaccata non può gestire i dati in arrivo e smette di rispondere alle richieste degli utenti.
Ecco come appare il normale funzionamento del server, visualizzato in Logstalgia:
L'efficacia dei singoli attacchi DOS non è molto alta. Inoltre, un attacco al personal computer rischia di essere identificato e catturato. Gli attacchi distribuiti (DDoS) dalle cosiddette reti zombie o botnet forniscono profitti molto maggiori.
Ecco come il sito Norse-corp.com mostra l'attività della botnet:
Una rete zombie (botnet) è un gruppo di computer che non hanno connessione fisica tra loro. Sono accomunati dal fatto che sono tutti sotto il controllo dell'attaccante. Il controllo viene effettuato tramite un programma Trojan, che per il momento potrebbe non manifestarsi in alcun modo. Quando esegue un attacco, l'hacker ordina ai computer infetti di inviare richieste al sito Web o al server della vittima. E lui, incapace di resistere all'assalto, smette di rispondere.
Ecco come Logstalgia mostra l'attacco DDoS:
Qualsiasi computer può aderire alla botnet. E persino uno smartphone. È sufficiente raccogliere il Trojan e non rilevarlo in tempo. A proposito, la botnet più grande aveva quasi 2 milioni di macchine in tutto il mondo ei loro proprietari non avevano idea di cosa stessero facendo.
Metodi di attacco e difesa
Prima di iniziare un attacco, un hacker capisce come eseguirlo con il massimo effetto. Se il nodo attaccato ha diverse vulnerabilità, l'impatto può essere effettuato in diverse direzioni, il che complicherà notevolmente la risposta. Pertanto, è importante che ogni amministratore di server esamini tutti i suoi colli di bottiglia e, se possibile, li rafforzi.
Alluvione
Flood, in termini semplici, è un'informazione che non porta un carico semantico. Nel contesto degli attacchi DoS / DDoS, un'inondazione è una valanga di richieste vuote e prive di significato di un livello o di un altro, che il nodo ricevente è costretto a elaborare.
Lo scopo principale dell'utilizzo del flooding è bloccare completamente i canali di comunicazione, saturare al massimo la larghezza di banda.
Tipi di inondazioni:
- MAC flood - impatto sui comunicatori di rete (blocco delle porte con flussi di dati).
- Inondazione ICMP: inondare la vittima con richieste di eco del servizio utilizzando una rete zombie o inviare richieste "per conto di" l'host attaccato in modo che tutti i membri della botnet gli inviino contemporaneamente una risposta eco (attacco Puffo). Un caso speciale di inondazione ICMP è il ping flood (invio di richieste ping al server).
- SYN flood: invio di più richieste SYN alla vittima, sovraccarico della coda di connessione TCP creando un gran numero di connessioni aperte a metà (in attesa di conferma del client).
- UDP flood: funziona secondo lo schema di attacco Smurf, in cui vengono inviati datagrammi UDP invece dei pacchetti ICMP.
- HTTP flood - inondando il server con numerosi messaggi HTTP. Un'opzione più sofisticata è un flusso HTTPS, in cui i dati trasmessi sono pre-crittografati e prima che l'host attaccato li elabori, deve decrittografarli.
Come proteggersi dalle inondazioni
- Configurare la convalida e il filtraggio degli indirizzi MAC sugli switch di rete.
- Limita o nega l'elaborazione delle richieste di eco ICMP.
- Blocca i pacchetti da un indirizzo o dominio specifico, il che fa sorgere il sospetto di inaffidabilità.
- Imposta un limite al numero di connessioni aperte a metà con un indirizzo, riduci il loro tempo di conservazione, allunga la coda di connessione TCP.
- Disabilita i servizi UDP dalla ricezione del traffico dall'esterno o limita il numero di connessioni UDP.
- Usa CAPTCHA, ritardi e altre tecniche anti-bot.
- Aumenta il numero massimo di connessioni HTTP, configura la cache delle richieste utilizzando nginx.
- Espandere la larghezza di banda del canale di rete.
- Se possibile, allocare un server separato per l'elaborazione della crittografia (se applicabile).
- Creare un canale di backup per l'accesso amministrativo al server in situazioni di emergenza.
Sovraccarico delle risorse hardware
Esistono tipi di inondazioni che non interessano il canale di comunicazione, ma le risorse hardware del computer attaccato, caricandole completamente e provocandone il blocco o l'arresto anomalo. Per esempio:
- Creazione di uno script che pubblicherà un'enorme quantità di informazioni di testo prive di significato su un forum o un sito Web in cui gli utenti hanno l'opportunità di lasciare commenti fino a quando l'intero spazio su disco è pieno.
- La stessa cosa, solo i log del server riempiranno l'unità.
- Caricamento del sito, dove viene eseguita l'eventuale trasformazione dei dati inseriti, mediante elaborazione continua di questi dati (invio dei cosiddetti pacchetti "pesanti").
- Caricamento del processore o della memoria eseguendo il codice tramite l'interfaccia CGI (il supporto CGI consente di eseguire qualsiasi programma esterno sul server).
- Attivazione di un sistema di sicurezza che renda il server inaccessibile dall'esterno, ecc.
Come proteggersi dal sovraccarico delle risorse hardware
- Aumenta le prestazioni dell'hardware e lo spazio su disco. Quando il server funziona in modalità normale, almeno il 25-30% delle risorse deve rimanere libero.
- Attiva i sistemi per analizzare e filtrare il traffico prima di trasmetterlo al server.
- Limitare l'uso delle risorse hardware da parte dei componenti di sistema (impostare le quote).
- Archivia i file di registro del server su un'unità separata.
- Distribuisci le risorse su diversi server indipendenti. In modo che se una parte fallisce, le altre rimangono funzionali.
Vulnerabilità nei sistemi operativi, software, firmware del dispositivo
Ci sono incommensurabilmente più opzioni per eseguire tali attacchi che usare le inondazioni. La loro implementazione dipende dall'abilità e dall'esperienza dell'aggressore, dalla sua capacità di trovare errori nel codice del programma e di utilizzarli a proprio vantaggio ea danno del proprietario della risorsa.
Dopo che un hacker scopre una vulnerabilità (un errore software che può essere utilizzato per interrompere il sistema), tutto ciò che deve fare è creare ed eseguire un exploit, un programma che sfrutta questa vulnerabilità.
Lo sfruttamento delle vulnerabilità non è sempre inteso a causare solo negazione del servizio. Se l'hacker è fortunato, potrà ottenere il controllo della risorsa e disporre di questo "dono del destino" a sua discrezione. Ad esempio, può essere utilizzato per diffondere malware, rubare e distruggere informazioni, ecc.
Metodi per contrastare lo sfruttamento delle vulnerabilità nel software
- Installa tempestivamente gli aggiornamenti che eliminano le vulnerabilità nei sistemi operativi e nelle applicazioni.
- Isolare dall'accesso di terze parti tutti i servizi destinati alla risoluzione di attività amministrative.
- Utilizzare mezzi di monitoraggio costante del funzionamento del sistema operativo del server e dei programmi (analisi comportamentale, ecc.).
- Rinuncia a programmi potenzialmente vulnerabili (gratuiti, autoprodotti, raramente aggiornati) a favore di programmi collaudati e ben protetti.
- Utilizzare mezzi pronti per proteggere i sistemi dagli attacchi DoS e DDoS, che esistono sia sotto forma di sistemi hardware che software.
Come determinare se una risorsa è stata attaccata da un hacker
Se l'aggressore riesce a raggiungere l'obiettivo, è impossibile non notare l'attacco, ma in alcuni casi l'amministratore non può determinare esattamente quando è iniziato. Cioè, a volte ci vogliono diverse ore dall'inizio dell'attacco ai sintomi evidenti. Tuttavia, durante l'esposizione latente (fino a quando il server "si sdraia"), ci sono anche alcuni segni. Per esempio:
- Comportamento innaturale delle applicazioni server o del sistema operativo (blocco, chiusura con errori, ecc.).
- Il carico su processore, RAM e archiviazione aumenta notevolmente rispetto alla linea di base.
- Il volume di traffico su una o più porte aumenta in modo significativo.
- Sono presenti più chiamate di client alle stesse risorse (apertura di una pagina del sito, download dello stesso file).
- L'analisi dei log del server, del firewall e dei dispositivi di rete mostra un gran numero di richieste uniformi da indirizzi diversi, spesso indirizzate a una porta o servizio specifico. Soprattutto se il sito è rivolto a un pubblico ristretto (ad esempio, di lingua russa) e le richieste provengono da tutto il mondo. Allo stesso tempo, un'analisi qualitativa del traffico mostra che le richieste non hanno alcun significato pratico per i clienti.
Tutto quanto sopra non è un segno al 100% di un attacco, ma è sempre un motivo per prestare attenzione al problema e adottare misure protettive adeguate.
Chi viene attaccato?
Secondo la Banca centrale, nel 2016 il numero delle istituzioni finanziarie russe è quasi raddoppiato. A novembre, gli attacchi DDoS hanno preso di mira cinque delle principali banche russe. Alla fine dello scorso anno, la Banca Centrale ha segnalato attacchi DDoS contro istituzioni finanziarie, inclusa la Banca Centrale. “Lo scopo degli attacchi era interrompere i servizi e, di conseguenza, minare la fiducia in queste organizzazioni. Questi attacchi sono stati notevoli in quanto è stato il primo utilizzo su larga scala dell'Internet of Things in Russia. Fondamentalmente, l'attacco ha coinvolto telecamere Internet e router domestici ", hanno osservato i servizi di sicurezza delle grandi banche.Allo stesso tempo, gli attacchi DDoS non hanno causato danni significativi alle banche: sono ben protetti, quindi tali attacchi, sebbene abbiano causato problemi, non sono stati critici e non hanno violato alcun servizio. Tuttavia, si può affermare che l'attività anti-bancaria degli hacker è aumentata in modo significativo.
Nel febbraio 2017, i servizi tecnici del Ministero della Salute russo hanno respinto il più grande attacco DDoS degli ultimi anni, che ha raggiunto il picco di 4 milioni di richieste al minuto. Ci sono stati attacchi DDoS ai registri governativi, ma non hanno avuto successo e non hanno comportato modifiche ai dati.
Tuttavia, le vittime degli attacchi DDoS sono altrettante organizzazioni e aziende che dispongono di una "difesa" così potente. Nel 2017, sono attesi più danni dalle minacce informatiche: ransomware, DDoS e attacchi ai dispositivi IoT.
I dispositivi IoT stanno guadagnando popolarità come strumento per eseguire attacchi DDoS. Un evento degno di nota è stato l'attacco DDoS lanciato nel settembre 2016 utilizzando il codice dannoso Mirai. In esso, centinaia di migliaia di telecamere e altri dispositivi dei sistemi di videosorveglianza hanno agito come mezzo di attacco.
È stato eseguito contro l'hosting provider francese OVH. È stato l'attacco DDoS più potente: quasi 1 Tbit / s. Gli hacker hanno utilizzato una botnet per utilizzare 150.000 dispositivi IoT, principalmente telecamere di videosorveglianza. Gli attacchi che utilizzano la botnet Mirai hanno dato origine a molte botnet da dispositivi IoT. Secondo gli esperti, nel 2017 le botnet IoT continueranno a essere una delle principali minacce nel cyberspazio.
Secondo il rapporto sugli incidenti di violazione dei dati (DBIR) di Verizon del 2016, il numero di attacchi DDoS è aumentato in modo significativo nell'ultimo anno. I più colpiti al mondo sono l'industria dell'intrattenimento, le organizzazioni professionali, l'istruzione, l'IT e la vendita al dettaglio.
Una tendenza notevole negli attacchi DDoS è l'espansione della "lista delle vittime". Ora include rappresentanti di quasi tutti i settori. Inoltre, i metodi di attacco vengono migliorati.
Secondo Nexusguard, alla fine del 2016 si è registrato un netto aumento del numero di attacchi DDoS misti che coinvolgono più vulnerabilità. Molto spesso sono stati esposti a organizzazioni finanziarie e governative. Il motivo principale dei criminali informatici (70% dei casi) è il furto di dati o la minaccia della loro distruzione a scopo di riscatto. Meno comunemente, obiettivi politici o sociali. Ecco perché una strategia di difesa è importante. Può prepararsi a un attacco e minimizzarne le conseguenze, ridurre i rischi finanziari e reputazionali.
Conseguenze degli attacchi
Quali sono le conseguenze di un attacco DDoS? Durante un attacco, la vittima perde i clienti a causa del funzionamento lento o della completa inaccessibilità del sito e la reputazione dell'azienda ne risente. Il fornitore di servizi può bloccare l'indirizzo IP della vittima per ridurre al minimo i danni ad altri clienti. Ci vorrà tempo, e forse denaro, per ripristinare tutto.Secondo un sondaggio aziendale, gli attacchi DDoS sono visti da metà delle organizzazioni come una delle minacce informatiche più gravi. La minaccia di DDoS è addirittura superiore alla minaccia di accessi non autorizzati, virus, frodi e phishing, per non parlare di altre minacce.
Le perdite medie per attacchi DDoS in tutto il mondo sono stimate in $ 50.000 per le piccole organizzazioni e quasi $ 500.000 per le grandi imprese. Eliminare le conseguenze di un attacco DDoS richiederà tempo di lavoro aggiuntivo per i dipendenti, dirottando risorse da altri progetti per garantire la sicurezza, sviluppando un piano di aggiornamento software, aggiornando le apparecchiature, ecc.
La reputazione dell'organizzazione attaccata potrebbe risentirne non solo a causa delle scarse prestazioni del sito Web, ma anche a causa del furto di dati personali o informazioni finanziarie.
Secondo il sondaggio dell'azienda, il numero di attacchi DDoS cresce del 200% all'anno, con 2.000 attacchi di questo tipo segnalati ogni giorno nel mondo. Il costo per organizzare un attacco DDoS di durata settimanale è di soli 150 dollari circa e le perdite della vittima in media superano i 40.000 dollari l'ora.
Tipi di attacchi DDoS
I principali tipi di attacchi DDoS sono attacchi massivi, attacchi al protocollo e attacchi alle applicazioni. In ogni caso l'obiettivo è disabilitare il sito o rubare dati. Un altro tipo di crimine informatico è la minaccia di un attacco di riscatto DDoS. Questo è noto per gruppi di hacker come Armada Collective, Lizard Squad, RedDoor ed ezBTC.L'organizzazione degli attacchi DDoS è diventata molto più semplice: ora ci sono strumenti automatizzati ampiamente disponibili che praticamente non richiedono conoscenze speciali da parte dei cybercriminali. Esistono anche servizi DDoS a pagamento per attacchi anonimi a bersagli. Ad esempio, il servizio vDOS offre i suoi servizi senza verificare se il cliente è il proprietario del sito, che vuole testarlo "sotto carico" o se questo viene fatto con l'obiettivo di un attacco.
Gli attacchi DDoS sono attacchi provenienti da molte fonti che impediscono agli utenti legittimi di accedere al sito attaccato. Per fare ciò, un numero enorme di richieste viene inviato al sistema attaccato, che non può far fronte. Di solito a questo scopo vengono utilizzati sistemi compromessi.
La crescita annuale del numero di attacchi DDoS è stimata al 50% (secondo le informazioni), ma i dati provenienti da diverse fonti differiscono e non tutti gli incidenti vengono resi noti. La potenza media degli attacchi DDoS di livello 3/4 è aumentata negli ultimi anni da 20 a diverse centinaia di GB / s. Sebbene i massicci attacchi DDoS e gli attacchi a livello di protocollo siano di per sé nocivi, i criminali informatici li combinano sempre più spesso con attacchi DDoS di livello 7, cioè a livello di applicazione, volti ad alterare o rubare dati. Tali attacchi "multi-vettore" possono essere molto efficaci.
Gli attacchi multi-vettore rappresentano circa il 27% del numero totale di attacchi DDoS.
Nel caso di un attacco DDoS massiccio (basato sul volume), viene utilizzato un gran numero di richieste, spesso inviate da indirizzi IP legittimi, in modo che il sito "anneghi" nel traffico. L'obiettivo di tali attacchi è "intasare" tutta la larghezza di banda disponibile e bloccare il traffico legittimo.
Nel caso di un attacco al livello del protocollo (ad esempio, UDP o ICMP), l'obiettivo è esaurire le risorse di sistema. Per questo, vengono inviate richieste aperte, ad esempio richieste TCP / IP con IP falso e, a causa dell'esaurimento delle risorse di rete, diventa impossibile elaborare richieste legittime. Rappresentanti tipici sono gli attacchi DDoS, noti in circoli ristretti come Smurf DDos, Ping of Death e SYN flood. Un altro tipo di attacco DDoS a livello di protocollo comporta l'invio di un gran numero di pacchetti frammentati che il sistema non è in grado di affrontare.
Gli attacchi DDoS di livello 7 sono l'invio di richieste apparentemente innocue che sembrano essere il risultato della normale attività dell'utente. Di solito vengono utilizzati botnet e strumenti automatici per implementarli. Esempi degni di nota sono Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.
Nel 2012-2014, la maggior parte dei massicci attacchi DDoS erano attacchi stateless (stateless e sessionless): utilizzavano il protocollo UDP. Nel caso di Stateless, molti pacchetti circolano in una sessione (ad esempio, l'apertura di una pagina). Chi ha avviato la sessione (ha richiesto la pagina), i dispositivi stateless, di regola, non lo sanno.
UDP è suscettibile di spoofing - cambio di indirizzo. Ad esempio, se desideri attaccare il server DNS a 56.26.56.26 utilizzando l'attacco di amplificazione DNS, puoi creare un set di pacchetti con l'indirizzo del mittente 56.26.56.26 e inviarli ai server DNS in tutto il mondo. Questi server invieranno una risposta a 56.26.56.26.
Lo stesso metodo funziona per i server NTP, i dispositivi abilitati per SSDP. NTP è forse il metodo più diffuso: nella seconda metà del 2016 è stato utilizzato nel 97,5% degli attacchi DDoS.
La Best Current Practice (BCP) 38 consiglia ai provider di configurare i gateway per prevenire lo spoofing: l'indirizzo del mittente, la rete di origine è controllata. Ma non tutti i paesi seguono questa pratica. Inoltre, gli aggressori aggirano i controlli di BCP 38 passando agli attacchi con stato a livello TCP. Secondo l'F5 Security Operations Center (SOC), tali attacchi hanno dominato negli ultimi cinque anni. Nel 2016 si sono verificati il \u200b\u200bdoppio degli attacchi TCP rispetto agli attacchi UDP.
Gli attacchi di livello 7 vengono utilizzati principalmente da hacker professionisti. Il principio è il seguente: viene preso un URL "pesante" (con un file PDF o una richiesta a un database di grandi dimensioni) e ripetuto dozzine o centinaia di volte al secondo. Gli attacchi di livello 7 sono terribili e difficili da riconoscere. Ora rappresentano circa il 10% degli attacchi DDoS.
Correlazione di diversi tipi di attacchi DDoS secondo il Verizon Data Breach Investigations Report (DBIR) (2016).
Gli attacchi DDoS sono spesso programmati per coincidere con periodi di traffico di punta, come i giorni di vendita online. Grandi flussi di dati personali e finanziari attirano gli hacker in questo momento.
Attacchi DDoS al DNS
Il Domain Name System (DNS) gioca un ruolo fondamentale nelle prestazioni e nella disponibilità del sito. In definitiva, è il successo della tua attività. Purtroppo, l'infrastruttura DNS è spesso l'obiettivo degli attacchi DDoS. Sopprimendo la tua infrastruttura DNS, gli aggressori possono danneggiare il tuo sito web, la reputazione della tua azienda e le tue prestazioni finanziarie. Per contrastare le minacce odierne, l'infrastruttura DNS deve essere altamente resiliente e scalabile.Fondamentalmente, DNS è un database distribuito che, tra le altre cose, mappa nomi di siti di facile lettura su indirizzi IP, consentendo all'utente di raggiungere il sito desiderato dopo aver inserito l'URL. La prima interazione dell'utente con il sito inizia con le richieste DNS inviate al server DNS con l'indirizzo del dominio Internet del tuo sito. Possono richiedere fino al 50% del tempo di caricamento della pagina web. Pertanto, una diminuzione delle prestazioni DNS può portare l'utente a lasciare il sito e a perdere per l'azienda. Se il tuo server DNS smette di rispondere a causa di un attacco DDoS, nessuno può accedere al sito.
Gli attacchi DDoS sono difficili da rilevare, soprattutto all'inizio quando il traffico sembra normale. L'infrastruttura DNS può essere soggetta a vari tipi di attacchi DDoS. A volte si tratta di un attacco diretto ai server DNS. In altri casi, vengono utilizzati exploit, utilizzando sistemi DNS per attaccare altri elementi dell'infrastruttura o dei servizi IT.
Gli attacchi DNS Reflection espongono l'obiettivo a massicce risposte DNS fasulle. Per questo vengono utilizzate botnet, che infettano centinaia e migliaia di computer. Ogni bot in una rete di questo tipo genera diverse richieste DNS, ma utilizza lo stesso indirizzo IP di destinazione dell'IP di origine (spoofing). Il servizio DNS risponde a questo indirizzo IP.
Ciò ottiene un doppio effetto. Il sistema di destinazione è bombardato da migliaia e milioni di risposte DNS e il server DNS può "sdraiarsi" senza far fronte al carico. La stessa query DNS è in genere inferiore a 50 byte e la risposta è dieci volte più lunga. Inoltre, i messaggi DNS possono contenere molte altre informazioni.
Supponiamo che un utente malintenzionato abbia inviato 100.000 brevi query DNS a 50 byte (5 MB in totale). Se ogni risposta contiene 1 KB, il totale è già 100 MB. Da qui il nome - Amplification (amplification). La combinazione di attacchi DNS Reflection e Amplification può avere conseguenze molto gravi.
Le richieste sembrano traffico regolare e le risposte sono molti messaggi di grandi dimensioni diretti al sistema di destinazione.
Come proteggersi dagli attacchi DDoS?
Come proteggersi dagli attacchi DDoS, quali azioni intraprendere? Prima di tutto, non rimandarlo a dopo. Alcune considerazioni dovrebbero essere prese in considerazione durante la configurazione della rete, l'avvio dei server e la distribuzione del software. E ogni modifica successiva non dovrebbe aumentare la vulnerabilità agli attacchi DDoS.Protezione DNS
Come proteggere la tua infrastruttura DNS dagli attacchi DDoS? I firewall convenzionali e gli IPS non sono d'aiuto qui, sono impotenti contro un complesso attacco DDoS al DNS. In effetti, i firewall e i sistemi di prevenzione delle intrusioni sono essi stessi vulnerabili agli attacchi DDoS.I servizi cloud per la pulizia del traffico possono venire in soccorso: viene inviato a un determinato centro, dove viene controllato e reindirizzato alla sua destinazione. Questi servizi sono utili per il traffico TCP. Chi gestisce la propria infrastruttura DNS può adottare le seguenti misure per mitigare l'impatto degli attacchi DDoS.
Il modo migliore per proteggere il DNS dagli attacchi DDoS sarebbe utilizzare una rete Anycast geograficamente dispersa. Le reti DNS distribuite possono essere implementate utilizzando due diversi approcci: indirizzamento Unicast o Anycast. Il primo approccio è molto più semplice da implementare, ma il secondo è molto più resistente agli attacchi DDoS.
Nel caso di Unicast, a ogni server DNS della tua azienda viene assegnato un indirizzo IP univoco. DNS mantiene una tabella dei server DNS del tuo dominio e degli indirizzi IP corrispondenti. Quando l'utente immette un URL, uno degli indirizzi IP viene selezionato in modo casuale per eseguire la richiesta.
Con lo schema di indirizzamento Anycast, diversi server DNS condividono un indirizzo IP comune. Quando l'utente immette un URL, viene restituito l'indirizzo collettivo dei server DNS. La rete IP instrada la richiesta al server più vicino.
Anycast offre vantaggi di sicurezza fondamentali rispetto a Unicast. Unicast espone gli indirizzi IP dei singoli server, in modo che gli aggressori possano lanciare attacchi mirati contro specifici server fisici e macchine virtuali e, quando le risorse di quel sistema sono esaurite, si verifica un errore del servizio. Anycast può aiutare a mitigare gli attacchi DDoS distribuendo le richieste su un gruppo di server. Anycast è utile anche per isolare gli effetti di un attacco.
Protezione DDoS fornita dall'ISP
Progettare, distribuire e gestire una rete Anycast globale richiede tempo, denaro e know-how. La maggior parte delle organizzazioni IT non ha le competenze e le risorse finanziarie per farlo. Un provider di servizi gestiti specializzato in DNS può essere considerato attendibile per mantenere l'infrastruttura DNS. Hanno le conoscenze necessarie per proteggere il DNS dagli attacchi DDoS.I fornitori di servizi DNS gestiti gestiscono reti Anycast su larga scala e hanno punti di presenza in tutto il mondo. Gli esperti di sicurezza di rete monitorano la rete 24 ore su 24, 7 giorni su 7, 365 giorni l'anno e applicano strumenti speciali per mitigare l'impatto degli attacchi DDoS.
I servizi sono offerti anche da alcuni provider di hosting: il traffico di rete viene analizzato 24 ore su 24, 7 giorni su 7, quindi il tuo sito sarà relativamente sicuro. Tale protezione è in grado di resistere a potenti attacchi, fino a 1500 Gbps. Allo stesso tempo, il traffico viene pagato.
Un'altra opzione è proteggere gli indirizzi IP. Il provider inserisce l'indirizzo IP che il client ha scelto come protetto in uno speciale analizzatore di rete. L'attacco abbina il traffico al client rispetto a modelli di attacco noti. Di conseguenza, il client riceve solo traffico pulito e filtrato. Pertanto, gli utenti del sito potrebbero non sapere che è stato effettuato un attacco su di esso. Per organizzare questo, viene creata una rete distribuita di nodi di filtraggio in modo che per ogni attacco sia possibile selezionare il nodo più vicino e ridurre al minimo il ritardo nella trasmissione del traffico.
Il risultato dell'utilizzo dei servizi di protezione dagli attacchi DDoS sarà il rilevamento e la prevenzione tempestivi degli attacchi DDoS, la continuità del sito e la sua costante disponibilità per gli utenti, la minimizzazione delle perdite finanziarie e di reputazione dovute ai downtime del sito o del portale.
