DZWON

Są tacy, którzy czytają tę wiadomość przed tobą.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Nazwa
Nazwisko
Jak chciałbyś przeczytać The Bell?
Bez spamu

W związku z faktem masowego ataku DDoS na rosyjskie banki FSB wszczęła sprawę karną. Ataki DOS i DDoS: koncepcja, rodzaje, metody wykrywania i ochrony Masowe ataki ddos

udział
udział
Ćwierkać
Lubić
Lubić

Niestabilna sytuacja gospodarcza ostatnich dwóch lat doprowadziła do znacznego wzrostu poziomu konkurencji na rynku, w wyniku czego wzrosła popularność ataków DDoS – skuteczna metoda powodując szkody gospodarcze.

W 2016 r. kilkakrotnie wzrosła liczba zamówień komercyjnych na organizację ataków DDoS. Masowe ataki DDoS przeniosły się z obszaru ukierunkowanych wpływów politycznych, jak miało to miejsce np. w 2014 roku, do segmentu biznesu masowego. Głównym zadaniem atakujących jest jak najszybciej i z minimalny koszt uczynić zasób niedostępnym w celu zdobycia pieniędzy od konkurencji, zapewnić sobie warunki do wyłudzenia itp. Coraz aktywniej wykorzystywane są ataki DDoS, co stymuluje poszukiwanie coraz większej ilości narzędzi do ochrony biznesu na dużą skalę.

Jednocześnie liczba ataków wciąż rośnie, pomimo znaczących sukcesów w walce z DDoS. Według Qrator Labs w 2015 roku liczba ataków DDoS wzrosła o 100%. I nic dziwnego, skoro ich koszt spadł do około 5 dolarów za godzinę, a narzędzia do ich wdrożenia weszły na ogromny czarny rynek. Zwróćmy uwagę na kilka głównych trendów w rozproszonych atakach typu „odmowa usługi”, które są przewidywane na najbliższe kilka lat.

Ataki wzmacniające UDP

Ataki mające na celu wyczerpanie przepustowości kanału obejmują wzmocnienie UDP. Takie incydenty były najczęstsze w 2014 roku i stały się jasnym trendem w 2015 roku. Jednak ich liczba osiągnęła już swój szczyt i stopniowo spada – zasoby do przeprowadzania takich ataków są nie tylko ograniczone, ale także znacznie ograniczone.

Wzmacniacz to publiczna usługa UDP działająca bez uwierzytelniania, która może wysłać znacznie większą odpowiedź na małe żądanie. Atakujący, wysyłając takie żądania, zastępuje swój adres IP adresem IP ofiary. W rezultacie ruch powrotny znacznie wyższy niż wydajność kanał atakującego jest przekierowywany do zasobów sieciowych ofiary. Serwery DNS, NTP, SSDP i inne są wykorzystywane do nieświadomego udziału w atakach.

Ataki na aplikacje webowe na poziomie L7

Ze względu na zmniejszenie liczby wzmacniaczy, na pierwszy plan wysuwa się ponownie organizacja ataków na aplikacje webowe na poziomie L7 z wykorzystaniem klasycznych botnetów. Jak wiadomo, botnet jest w stanie przeprowadzać ataki sieciowe na zdalne polecenia, a właściciele zainfekowanych komputerów mogą nie być tego świadomi. W wyniku przeciążenia usługi „śmieciowymi” żądaniami, żądania legalnych użytkowników zazwyczaj pozostają bez odpowiedzi lub odpowiedź zajmuje nierozsądnie dużo czasu.

Dzisiaj botnety stają się coraz mądrzejsze. Podczas organizowania odpowiednich ataków wspierana jest technologia Full-browser stack, czyli pełna emulacja komputera użytkownika, przeglądarki i przetwarzania skryptów java. Techniki takie jak te są świetne w maskowaniu ataków L7. Ręczne odróżnienie bota od użytkownika jest prawie niemożliwe. Wymaga to systemów wykorzystujących technologię uczenia maszynowego, dzięki której wzrasta poziom odporności na ataki, usprawniane są mechanizmy, a dokładność wydobywania rośnie.

Problemy z protokołem BGP

W 2016 roku pojawił się nowy trend - ataki na infrastrukturę sieciową, w tym oparte na wykorzystaniu podatności w protokole BGP. Problemy protokołu routingu BGP, na którym opiera się cały Internet, znane są od kilku lat, ale w ostatnich latach coraz częściej prowadzą do poważnych, negatywnych konsekwencji.

Anomalie sieciowe związane z routingiem na poziomie sieci międzydomenowej mogą wpływać na dużą liczbę hostów, sieci, a nawet na globalną łączność i dostępność Internetu. Najbardziej typowym rodzajem problemu są wycieki tras, które wynikają z ogłaszania trasy w złym kierunku. Jak dotąd luki w BGP są rzadko wykorzystywane celowo: koszt zorganizowania takiego ataku jest dość wysoki, a incydenty wynikają głównie z banalnych błędów w ustawieniach sieci.

Jednak w ostatnich latach skala zorganizowanych grup przestępczych w Internecie znacznie wzrosła, więc według QRator Labs w dającej się przewidzieć przyszłości popularne będą ataki związane z problemami BGP. Uderzającym przykładem jest „porwanie” adresów IP (porwanie) przez znaną cybergrupę Hacking Team, przeprowadzone na polecenie rządu: włoska policja musiała przejąć kontrolę nad kilkoma komputerami, przeciwko których właścicielom podjęto działania śledcze.

IncydentyTCP

Stos sieciowy systemu TCP/IP ma szereg problemów, które w tym roku staną się szczególnie dotkliwe. Aby wesprzeć szybki wzrost prędkości, infrastruktura Internetu musi być stale aktualizowana. Prędkości fizyczne połączenie do Internetu rosną co kilka lat. Na początku 2000 roku Standardem stał się 1 Gb/s, dziś najpopularniejszym interfejsem fizycznym jest 10 Gb/s. Jednak masowe wprowadzanie nowego standardu interfejsu fizycznego, 100 Gb/s, już się rozpoczęło, co stwarza problemy z przestarzałym protokołem TCP/IP, który nie jest przeznaczony do tak dużych prędkości.

Na przykład, w ciągu kilku minut możliwe staje się pobranie numeru sekwencyjnego TCP - unikalnego identyfikatora numerycznego, który pozwala (a raczej dozwolonym) partnerom w połączeniu TCP / IP na przeprowadzanie wzajemnego uwierzytelnienia w momencie nawiązywania połączenia i wymieniać dane, zachowując ich porządek i integralność. Przy prędkościach 100 Gb/s wiersz w plikach dziennika serwera TCP o otwartym połączeniu i/lub przesłanych przez niego danych nie gwarantuje już, że stały adres IP rzeczywiście nawiązał połączenie i przesłał te dane. W związku z tym otwiera się szansa na zorganizowanie ataków nowej klasy, a skuteczność zapór ogniowych może znacznie spaść.

Luki w protokole TCP/IP przyciągają uwagę wielu badaczy. Wierzą, że już w 2016 roku usłyszymy o „głośnych” atakach związanych z eksploatacją tych „dziur”.

bliska przyszłość

Dziś rozwój technologii i zagrożeń nie podąża „klasyczną” spiralą, ponieważ system nie jest zamknięty – ma na niego wpływ wiele czynników zewnętrznych. Efektem jest spirala o rosnącej amplitudzie – rośnie, rośnie złożoność ataków, a zasięg technologii znacznie się rozszerza. Zwracamy uwagę na kilka czynników, które mają poważny wpływ na rozwój systemu.

Głównym z nich jest oczywiście migracja do nowego protokołu transportowego IPv6. Pod koniec 2015 r. IPv4 został przestarzały, a na pierwszy plan wysuwa się IPv6, co niesie ze sobą nowe wyzwania: teraz każde urządzenie ma adres IP i wszystkie mogą komunikować się bezpośrednio ze sobą. Owszem, pojawiły się nowe rekomendacje, jak powinny działać urządzenia końcowe, ale jak branża, zwłaszcza operatorzy telekomunikacyjni, segment produktów masowych i chińscy dostawcy, poradzą sobie z tym wszystkim, jest kwestią otwartą. IPv6 zmienia zasady gry.

Kolejnym wyzwaniem jest znaczny wzrost sieci komórkowych, ich szybkości i „wytrzymałości”. O ile wcześniej botnet mobilny stwarzał problemy przede wszystkim samemu operatorowi telekomunikacyjnemu, to teraz, gdy komunikacja 4G staje się szybsza niż internet przewodowy, sieci komórkowe z ogromną liczbą urządzeń, w tym produkowanych w Chinach, stają się doskonałą platformą dla DDoS i ataki hakerów. A problemy pojawiają się nie tylko dla operatora telekomunikacyjnego, ale także dla innych uczestników rynku.

Poważnym zagrożeniem jest wschodzący świat Internetu Rzeczy. Wraz z samą liczbą urządzeń i wykorzystaniem pojawiają się nowe wektory ataków technologia bezprzewodowa połączenia otwierają przed hakerami naprawdę nieograniczone perspektywy. Wszystkie urządzenia podłączone do Internetu mogą potencjalnie stać się częścią infrastruktury intruza i brać udział w atakach DDoS.

Niestety producenci wszelkiego rodzaju sprzętu AGD podłączonego do Sieci (czajniki, telewizory, samochody, multicookery, wagi, inteligentne gniazda itp.) nie zawsze zapewniają odpowiedni poziom ich ochrony. Często takie urządzenia korzystają ze starych wersji popularnych systemów operacyjnych, a dostawcy nie dbają o ich regularne aktualizowanie – zastępując je wersjami, które naprawiają luki. A jeśli urządzenie jest popularne i szeroko stosowane, hakerzy nie przegapią okazji do wykorzystania jego luk w zabezpieczeniach.

Zwiastun problemu IoT pojawił się już w 2015 roku. Według wstępnych danych ostatni atak na Blizzard Entertainment został przeprowadzony przy użyciu urządzeń klasy IoT. Wykryto złośliwy kod, który działa na nowoczesnych czajnikach i żarówkach. Zadanie hakerów upraszczają także chipsety. Nie tak dawno temu wydano niedrogi chipset, przeznaczony do różnych urządzeń, które mogą „rozmawiać” z Internetem. W ten sposób atakujący nie muszą włamywać się do 100 000 spersonalizowanego oprogramowania — wystarczy „złamać” jeden chipset i uzyskać dostęp do wszystkich opartych na nim urządzeń.

Przewiduje się, że już niedługo wszystkie smartfony oparte na starych Wersje na Androida, będzie częścią co najmniej jednego botnetu. Za nimi pójdą wszystkie „inteligentne” gniazdka, lodówki i inne Urządzenia. Za kilka lat czekają na nas botnety czajników, elektronicznych niań i wolnowarów. Internet Rzeczy przyniesie nam nie tylko wygodę i dodatkowe funkcje ale też sporo problemów. Kiedy w IoT jest wiele rzeczy, a każdy pin może wysłać 10 bajtów, pojawią się nowe wyzwania związane z bezpieczeństwem, które trzeba będzie rozwiązać. I powinniśmy się do tego przygotować już dziś.

Brian Krebs pracował kiedyś dla The Washington Post, badając dla nich bezpieczeństwo w Internecie. Dziennikarz zrezygnował później, aby otworzyć własny blog. Były dziennikarz nie zmienił swojej specjalizacji, za co zapłacił we wrześniu, kiedy ujawnił przekręt dwóch izraelskich nastolatków.

Tak więc Brian Krebs zajął się swoimi zwykłymi sprawami, badając przestępstwa internetowe. Do tego czasu jego lista rozwiązanych spraw zawierała przypadek wirusa Stuxnet, który zbierał dane z komputerów domowych i przedsiębiorstw przemysłowych. Krebs jako pierwszy publicznie wypowiedział się na temat wirusa w 2010 roku. Trzy lata później Brian odkrył mężczyznę, który sprzedawał informacje o kartach klientów Target. Zemsta przestępców internetowych była konkretna, do jego domu wezwano policję.

Myślę więc, że Brian rozumiał, do czego zdolni są hakerzy, chociaż nie mógł sobie wyobrazić możliwej skali, gdy we wrześniu opublikował post o izraelskich nastolatkach zaangażowanych w ataki DDoS. Tego samego dnia hakerzy zostali aresztowani, ale później zwolnieni za kaucją. Zbieg okoliczności czy nie, od tego momentu strona Briana musiała odeprzeć poważny atak DDoS, z którym nie poradziła sobie jedna z wiodących firm zajmujących się bezpieczeństwem w Internecie. Akamai przez cztery lata zapewniał bezpłatną ochronę przed atakami DDoS dla bloga Krebsa. W swojej publikacji specjalista ds. bezpieczeństwa internetowego mówił o usłudze vDOS, która według oficjalna wersja przetestował obciążenie witryn, ale faktycznie zakłócił ich pracę. Według przybliżonych szacunków twórcom serwisu udało się zawłaszczyć około 600 tysięcy dolarów.

Asystenci Krebsa zdołali pobrać bazy danych, za pomocą których ustalono prawdziwe adresy serwerów w Bułgarii, z których przeprowadzano ataki DDoS. Jak rozumiesz, hakerzy są zainteresowani ukrywaniem swoich prawdziwych adresów IP. Po przeanalizowaniu danych Brian był w stanie zidentyfikować nazwiska, a nawet numery telefonów Izraelczyków, którzy mogli być właścicielami serwisu.

Później okazało się, że w dniu publikacji posta aresztowano dwóch nastolatków, którzy wkrótce zostali zwolnieni. A już 10 września strona Briana Krebsa zaczęła mieć problemy. Maksymalnie moc ataku osiągnęła 140 gigabitów na sekundę. Obrażeni hakerzy nie omieszkali pozostawić wiadomości Krebsa „idisdohnimudak” („godiefaggot”). Na jakiś czas blog przestał nawet działać, ale specjalistom Akamai udało się go przywrócić. Ale ataki na tym się nie skończyły. A do 20 września jego przepustowość wynosiła już 665 gigabitów na sekundę. Akamai został zmuszony do zaprzestania wspierania bloga Krebsa w celu zapewnienia bezpieczeństwa płatnym subskrybentom. Witryna została uderzona dwukrotnie większą siłą ataku niż Akamai do tej pory. Niektórzy dziennikarze zgodzili się nawet, że był to największy atak w historii Internetu. Na przykład na początku 2016 r. witryna BBC została zaatakowana z przepustowością 602 gigabitów na sekundę. Kilka miesięcy później pobito rekord.

Najwyraźniej post Krebsa dotknął intruzów żywych. Atak został przeprowadzony przy użyciu kamer IP, routerów i innych „Internetu rzeczy”, na których użytkownicy ustawiają standardowe hasła. Hakerzy nawet nie próbowali zatrzeć śladów i ujawnili adresy większości urządzeń, które wciąż mogły zostać wykorzystane do innych ataków finansowych. Znowu nie stali się mądrzejsi w zakresie form słownych. Pseudonim jednego z twórców vDOC, AppleJ4ck, można było odczytać w niektórych atakach POST zawierających ciąg znaków „freeapplej4ck”. Dopiero interwencja Google pozwoliła na przywrócenie strony ze śledztwem Krebsa. Project Shield giganta internetowego chroni witryny niezależnych dziennikarzy i mediów przed cyberatakami.

A w pierwszej publikacji, po przywróceniu strony, Brian Krebs mówił o cenzurze w Internecie. Nie tylko państwo, ale i przestępcy dysponują skutecznymi narzędziami. Ataki DDoS mogą stanowić poważną przeszkodę dla niezależnych dochodzeń w dzisiejszej gospodarce rynkowej. Nie wszystkie media mają budżet w wysokości 200 000 USD na cyberobronę.

Błąd w tekście? Wybierz go myszką! I naciśnij: Ctrl + Enter

Andrey Golovachev przypomniał na swoim profilu na Facebooku, że kariera polityczna wszystkich ukraińskich prezydentów zakończyła się katastrofą. Według politologa Leonida Kuczmy otrzymał

Około sześć miesięcy temu opinia publiczna dowiedziała się, że słynna rosyjska aktorka Anastasia Zavorotnyuk miała złośliwego guza mózgu. Na dzień dzisiejszy nie

Omawiając obawy prezydenta Wołodymyra Zełenskiego podczas wizyty w Watykanie, niektórzy obserwatorzy zauważyli, że jest to pierwszy taki przypadek w historii, kiedy urzędnicy weszli do Bazyliki św. Piotra

Atak DoS i DDoS to agresywny zewnętrzny wpływ na zasoby obliczeniowe serwera lub stanowisko pracy przeprowadzane w celu doprowadzenia tego ostatniego do niepowodzenia. Przez awarię rozumiemy nie fizyczną awarię maszyny, ale niedostępność jej zasobów dla sumiennych użytkowników – awarię systemu do ich obsługi ( D niezachwiany o F S usługi, z której tworzony jest skrót DoS).

Jeśli taki atak jest przeprowadzany z jednego komputera, jest klasyfikowany jako DoS (DoS), jeśli z kilku - DDoS (DDoS lub DDoS), co oznacza "D wydany D niezachwiany o F S usługa” - rozproszona odmowa usługi. Następnie porozmawiamy o tym, dlaczego napastnicy wykonują takie działania, czym one są, jakie szkody wyrządzają zaatakowanym i jak ci ostatni chronią swoje zasoby.

Kogo mogą dotyczyć ataki DoS i DDoS?

Na ataki narażone są serwery korporacyjne przedsiębiorstw i strony internetowe, znacznie rzadziej - komputery osobiste osoby fizyczne. Cel takich działań jest z reguły taki sam – wyrządzić szkodę ekonomiczną atakowanej osobie i jednocześnie pozostać w cieniu. W niektórych przypadkach ataki DoS i DDoS są jednym z etapów hakowania serwerów i mają na celu kradzież lub zniszczenie informacji. W rzeczywistości przedsiębiorstwo lub witryna należąca do kogokolwiek mogą stać się ofiarą atakujących.

Schemat ilustrujący istotę ataku DDoS:

Ataki DoS i DDoS są najczęściej przeprowadzane pod wpływem sugestii nieuczciwych konkurentów. Tak więc „zapełniając” stronę sklepu internetowego, który oferuje podobny produkt, możesz tymczasowo stać się „monopolistą” i wziąć dla siebie swoich klientów. „Odkładając” firmowy serwer można zakłócić pracę konkurencyjnej firmy i tym samym obniżyć jej pozycję na rynku.

Ataki na dużą skalę, które mogą wyrządzić znaczne szkody, są zwykle przeprowadzane przez profesjonalnych cyberprzestępców za duże pieniądze. Ale nie zawsze. Własni hakerzy-amatorzy mogą atakować Twoje zasoby – z zainteresowania, a także mścicieli spośród zwalnianych pracowników oraz po prostu tych, którzy nie podzielają Twoich poglądów na życie.

Czasami uderzenie jest przeprowadzane w celu wymuszenia, podczas gdy atakujący otwarcie żąda od właściciela zasobu pieniędzy za powstrzymanie ataku.

Serwery firm państwowych i znanych organizacji są często atakowane przez anonimowe grupy wysoko wykwalifikowanych hakerów, aby wpłynąć na urzędników lub wywołać publiczne oburzenie.

Jak przeprowadzane są ataki

Zasada działania ataków DoS i DDoS polega na przesyłaniu dużego strumienia informacji do serwera, który maksymalnie (na ile pozwalają na to możliwości hakera) obciąża zasoby obliczeniowe procesora, pamięci RAM, zatyka kanały komunikacyjne lub zajmuje miejsce na dysku. Zaatakowana maszyna nie radzi sobie z przetwarzaniem przychodzących danych i przestaje odpowiadać na żądania użytkowników.

Tak to wygląda normalna praca serwer zwizualizowany w programie Logstalgia:

Skuteczność pojedynczych ataków DOS nie jest bardzo wysoka. Ponadto atak z komputera osobistego naraża atakującego na ryzyko zidentyfikowania i złapania. Dużo większe zyski przynoszą ataki rozproszone (DDoS) przeprowadzane z tzw. sieci zombie lub botnetów.

W ten sposób witryna Norse-corp.com przedstawia aktywność botnetu:

Sieć zombie (botnet) to grupa komputerów, które nie są ze sobą fizycznie połączone. Łączy ich fakt, że wszyscy znajdują się pod kontrolą napastnika. Kontrola sprawowana jest poprzez trojański, które na razie nie może się w żaden sposób objawiać. Podczas przeprowadzania ataku haker instruuje zainfekowane komputery, aby wysłały żądania do witryny lub serwera ofiary. A on, nie mogąc wytrzymać ataku, przestaje odpowiadać.

Oto jak Logstalgia pokazuje atak DDoS:

Do botnetu może dołączyć dowolny komputer. A nawet smartfon. Wystarczy złapać trojana i nie wykryć go na czas. Nawiasem mówiąc, największy botnet liczył prawie 2 miliony maszyn na całym świecie, a ich właściciele nie mieli pojęcia, co mają zrobić.

Metody ataku i obrony

Przed przystąpieniem do ataku haker wymyśla, jak przeprowadzić go z maksymalnym efektem. Jeśli atakowany węzeł ma kilka luk, uderzenie może być prowadzone w różnych kierunkach, co znacznie skomplikuje środki zaradcze. Dlatego ważne jest, aby każdy administrator serwera przestudiował wszystkie jego " wąskie miejsca i wzmacniaj je tam, gdzie to możliwe.

powódź

Flud, w uproszczeniu, to informacja, która nie niesie ze sobą ładunku semantycznego. W kontekście ataków DoS/DDoS powódź to lawina pustych, bezsensownych żądań na takim lub innym poziomie, które węzeł odbierający jest zmuszony przetworzyć.

Głównym celem stosowania floodingu jest całkowite zatkanie kanałów komunikacyjnych, aby maksymalnie nasycić przepustowość.

Rodzaje płynów:

  • MAC flood - wpływ na komunikatory sieciowe (blokowanie portów przez strumienie danych).
  • ICMP flood - zalewanie ofiary żądaniami echa usług za pomocą sieci zombie lub wysyłanie żądań „w imieniu” zaatakowanego hosta, tak aby wszyscy członkowie botnetu jednocześnie wysyłali mu odpowiedź echa (atak Smurf). Szczególnym przypadkiem ICMP flooding jest ping flooding (wysyłanie żądań ping do serwera).
  • SYN flood - wysyłanie wielu żądań SYN do ofiary, przepełnianie kolejki połączeń TCP poprzez tworzenie dużej liczby półotwartych (oczekujących na potwierdzenie klienta) połączeń.
  • UDP flood - działa zgodnie ze schematem ataku Smurf, w którym datagramy UDP są wysyłane zamiast pakietów ICMP.
  • HTTP flood - zalewanie serwera licznymi wiadomościami HTTP. Bardziej wyrafinowaną opcją jest zalanie HTTPS, gdzie przesyłane dane są wstępnie szyfrowane, a zanim atakowany węzeł je przetworzy, musi je odszyfrować.


Jak uchronić się przed zalaniem

  • Skonfiguruj przełączniki sieciowe, aby weryfikować i filtrować adresy MAC.
  • Ogranicz lub wyłącz przetwarzanie żądań ICMP echo.
  • Blokuj pakiety przychodzące z określonego adresu lub domeny, co daje powód do podejrzeń o nierzetelność.
  • Ustaw limit liczby półotwartych połączeń z jednym adresem, skróć czas ich retencji, wydłuż kolejkę połączeń TCP.
  • Wyłącz usługi UDP od odbierania ruchu z zewnątrz lub ogranicz liczbę połączeń UDP.
  • Używaj CAPTCHA, opóźnień i innych technik ochrony przed botami.
  • Zwiększyć maksymalna ilość Połączenia HTTP, skonfiguruj buforowanie żądań za pomocą nginx.
  • Rozwiń przepustowość kanał sieciowy.
  • Jeśli to możliwe, przydziel oddzielny serwer do przetwarzania kryptografii (jeśli jest używany).
  • Utwórz zapasowy kanał dostępu administracyjnego do serwera w sytuacjach awaryjnych.

Przeciążanie zasobów sprzętowych

Istnieją typy powodzi, które wpływają nie na kanał komunikacyjny, ale na zasoby sprzętowe zaatakowanego komputera, ładując je w pełni i powodując zawieszenie lub awarię. Na przykład:

  • Stworzenie skryptu, który będzie publikował na forum lub stronie internetowej, gdzie użytkownicy mają możliwość pozostawienia komentarzy, ogromną ilość bezsensownych informacje tekstowe do momentu zapełnienia całego miejsca na dysku.
  • To samo, tylko logi serwera zapełnią dysk.
  • Ładowanie strony, na której dokonuje się pewnego rodzaju przekształcenie wprowadzonych danych poprzez ciągłe przetwarzanie tych danych (wysyłanie tzw. „ciężkich” pakietów).
  • Ładowanie procesora lub pamięci poprzez wykonanie kodu przez interfejs CGI (obsługa CGI pozwala na uruchomienie jakiegoś zewnętrznego programu na serwerze).
  • Uruchomienie systemu bezpieczeństwa, który sprawia, że ​​serwer jest niedostępny z zewnątrz itp.


Jak uchronić się przed przeciążeniem zasobów sprzętowych

  • Zwiększ wydajność sprzętu i miejsce na dysku. Gdy serwer działa w trybie normalnym, co najmniej 25-30% zasobów powinno pozostać wolnych.
  • Włącz systemy analizy ruchu i filtrowania przed wysłaniem go na serwer.
  • Ogranicz wykorzystanie zasobów sprzętowych przez komponenty systemu (ustaw limity).
  • Przechowuj pliki dziennika serwera na osobnym dysku.
  • Dystrybuuj zasoby na wielu niezależnych serwerach. Tak więc, jeśli jedna część ulegnie awarii, pozostałe nadal będą działać.

Luki w systemach operacyjnych, oprogramowaniu, firmware urządzenia

Możliwości przeprowadzenia takich ataków jest nieporównywalnie więcej niż przy użyciu zalania. Ich implementacja zależy od umiejętności i doświadczenia napastnika, jego umiejętności znajdowania błędów w kodzie programu i wykorzystywania ich dla własnej korzyści oraz ze szkodą dla właściciela zasobu.

Gdy haker odkryje lukę w zabezpieczeniach (błąd w oprogramowaniu, który może zostać wykorzystany do złamania systemu), będzie musiał jedynie stworzyć i uruchomić exploit - program, który wykorzystuje tę lukę.

Wykorzystywanie luk w zabezpieczeniach nie zawsze ma na celu spowodowanie jedynie odmowy usługi. Jeśli haker będzie miał szczęście, będzie mógł przejąć kontrolę nad zasobem i dysponować tym „darem losu” według własnego uznania. Na przykład użyj do dystrybucji złośliwe oprogramowanie, kraść i niszczyć informacje itp.

Metody przeciwdziałania wykorzystywaniu luk w oprogramowaniu

  • Instaluj na czas aktualizacje, które usuwają luki w zabezpieczeniach systemów operacyjnych i aplikacji.
  • Odizoluj od dostępu osób trzecich wszystkie usługi przeznaczone do rozwiązywania zadań administracyjnych.
  • Korzystaj z narzędzi do ciągłego monitorowania działania systemu operacyjnego serwera i programów (analiza behawioralna itp.).
  • Odrzuć potencjalnie wrażliwe programy (bezpłatne, samodzielnie pisane, rzadko aktualizowane) na rzecz sprawdzonych i dobrze chronionych.
  • Korzystaj z gotowych środków ochrony systemów przed atakami DoS i DDoS, które istnieją zarówno w postaci systemów sprzętowych, jak i programowych.

Jak ustalić, czy zasób został zaatakowany przez hakera

Jeśli atakującemu udało się osiągnąć cel, nie można nie zauważyć ataku, ale w niektórych przypadkach administrator nie może dokładnie określić, kiedy się rozpoczął. Oznacza to, że od początku ataku do zauważalnych objawów mija czasem kilka godzin. Jednak podczas ukrytego uderzenia (do momentu, gdy serwer „położy się”), występują również pewne znaki. Na przykład:

  • Nienaturalne zachowanie aplikacje serwerowe lub system operacyjny(zawiesza się, zawiesza itp.).
  • obciążenie procesora, Baran a pojemność magazynowa gwałtownie wzrasta w porównaniu z poziomem początkowym.
  • Natężenie ruchu na co najmniej jednym porcie znacznie wzrasta.
  • Powtarzają się żądania klientów do tych samych zasobów (otwarcie jednej strony serwisu, pobranie tego samego pliku).
  • Analiza logów serwera, firewalla i urządzeń sieciowych pokazuje dużą liczbę powtarzalnych żądań z różnych adresów, często kierowanych na konkretny port lub usługę. Zwłaszcza jeśli witryna jest skierowana do wąskiego grona odbiorców (na przykład rosyjskojęzycznych), a prośby przychodzą z całego świata. Jednocześnie jakościowa analiza ruchu pokazuje, że zapytania nie mają praktycznego sensu dla klientów.

Wszystko to nie jest 100% oznaką ataku, ale zawsze jest powodem do zwrócenia uwagi na problem i podjęcia odpowiednich środków ochronnych.

Kto jest atakowany?

Według Banku Centralnego w 2016 roku liczba rosyjskich instytucji finansowych prawie się podwoiła. W listopadzie ataki DDoS były skierowane na pięć głównych rosyjskich banków. Pod koniec ubiegłego roku Bank Centralny informował o atakach DDoS na instytucje finansowe, w tym Bank Centralny. „Celem ataków było zakłócenie działania usług, a w efekcie podważenie wiarygodności tych organizacji. Ataki te były godne uwagi jako pierwsze w Rosji wykorzystanie Internetu Rzeczy na dużą skalę. Zasadniczo w ataku brały udział internetowe kamery wideo i routery domowe ”- zauważyły ​​służby bezpieczeństwa dużych banków.

Jednocześnie ataki DDoS nie przyniosły bankom znaczących szkód – są dobrze chronione, więc takie ataki, choć sprawiały kłopoty, nie były krytyczne i nie naruszały ani jednej usługi. Niemniej jednak można stwierdzić, że antybankowa aktywność hakerów znacznie wzrosła.

W lutym 2017 r. służby techniczne rosyjskiego Ministerstwa Zdrowia odparły największy atak DDoS ostatnich lat, który osiągnął szczyt 4 mln żądań na minutę. Zdarzały się również ataki DDoS na rejestry rządowe, ale były one również nieskuteczne i nie doprowadziły do ​​żadnych zmian danych.

Jednak liczne organizacje i firmy, które nie mają tak potężnej „obrony”, stają się ofiarami ataków DDoS. W 2017 r. spodziewany jest wzrost szkód spowodowanych cyberzagrożeniami – oprogramowaniem ransomware, DDoS i atakami na urządzenia IoT.


Urządzenia IoT stają się coraz bardziej popularne jako narzędzie do ataków DDoS. Ważnym wydarzeniem był atak DDoS przeprowadzony we wrześniu 2016 r. przy użyciu szkodliwego kodu Mirai. Jako środek ataku działały w nim setki tysięcy kamer i innych urządzeń z systemów monitoringu wideo.

Została przeprowadzona przeciwko francuskiemu dostawcy hostingu OVH. Był to najpotężniejszy atak DDoS - prawie 1 Tbps. Hakerzy wykorzystali botnet do wykorzystania 150 000 Urządzenia IoT, głównie kamery CCTV. Ataki z wykorzystaniem botnetu Mirai doprowadziły do ​​powstania wielu botnetów z urządzeń IoT. Według ekspertów botnety IoT nadal będą jednym z głównych zagrożeń w cyberprzestrzeni w 2017 roku.


Zgodnie z raportem dotyczącym incydentu naruszenia danych Verizon z 2016 r. (DBIR), liczba ataków DDoS znacznie wzrosła w ciągu ostatniego roku. Na świecie najbardziej cierpi przemysł rozrywkowy, organizacje zawodowe, edukacja, IT i handel detaliczny.

Godnym uwagi trendem ataków DDoS jest poszerzanie „listy ofiar”. W jej skład wchodzą obecnie przedstawiciele niemal wszystkich branż. Ponadto udoskonalane są metody ataku.
Według Nexusguard pod koniec 2016 r. liczba ataków DDoS o różnych typach znacznie wzrosła – wykorzystując kilka luk jednocześnie. Najczęściej byli narażeni na organizacje finansowe i rządowe. Głównym motywem cyberprzestępców (70% przypadków) jest kradzież danych lub groźba ich zniszczenia w celu okupu. Rzadziej - cele polityczne lub społeczne. Dlatego ważna jest strategia obrony. Może przygotować się na atak i zminimalizować jego konsekwencje, zmniejszyć ryzyko finansowe i reputacyjne.

Konsekwencje ataków

Jakie są konsekwencje ataku DDoS? Podczas ataku ofiara traci klientów z powodu: powolna praca lub całkowita niedostępność witryny, ucierpi na tym reputacja firmy. Usługodawca może zablokować adres IP ofiary, aby zminimalizować szkody dla innych klientów. Przywrócenie wszystkiego zajmie trochę czasu, a być może i pieniędzy.
Według ankiety przeprowadzonej przez firmę ataki DDoS są uważane przez połowę organizacji za jedno z najpoważniejszych zagrożeń cybernetycznych. Niebezpieczeństwo DDoS jest nawet większe niż niebezpieczeństwo nieautoryzowanego dostępu, wirusów, oszustw i phishingu, nie mówiąc już o innych zagrożeniach.

Średnie straty w wyniku ataków DDoS szacuje się na całym świecie na 50 000 USD w przypadku małych organizacji i prawie 500 000 USD w przypadku dużych przedsiębiorstw. Wyeliminowanie skutków ataku DDoS będzie wymagało dodatkowych godzin pracy pracowników, przekierowania zasobów z innych projektów w celu zapewnienia bezpieczeństwa, opracowania planu aktualizacji oprogramowania, modernizacji sprzętu itp.


Reputacja zaatakowanej organizacji może ucierpieć nie tylko z powodu słabej wydajności strony, ale także z powodu kradzieży danych osobowych lub informacji finansowych.
Według ankiety przeprowadzonej przez firmę, liczba ataków DDoS rośnie rocznie o 200%, przy czym na świecie odnotowuje się codziennie 2000 ataków tego typu. Koszt zorganizowania tygodniowego ataku DDoS to tylko około 150 dolarów, a strata ofiary średnio przekracza 40 000 dolarów na godzinę.

Rodzaje ataków DDoS

Główne typy ataków DDoS to masowe ataki, ataki na poziomie protokołu i ataki na poziomie aplikacji. Tak czy inaczej, celem jest usunięcie witryny lub kradzież danych. Innym rodzajem cyberprzestępczości jest groźba ataku DDoS w celu uzyskania okupu. Słyną z tego grupy hakerskie, takie jak Armada Collective, Lizard Squad, RedDoor i ezBTC.

Organizacja ataków DDoS stała się zauważalnie prostsza: obecnie istnieją powszechnie dostępne zautomatyzowane narzędzia, które praktycznie nie wymagają specjalnej wiedzy od cyberprzestępców. Istnieje również płatne usługi DDoS do anonimowego ataku na cel. Na przykład usługa vDOS oferuje swoje usługi bez sprawdzania, czy klient jest właścicielem witryny, która chce ją przetestować „pod obciążeniem”, czy też robi to z intencją ataku.


Ataki DDoS to ataki wieloźródłowe, które uniemożliwiają uprawnionym użytkownikom dostęp do zaatakowanej witryny. W tym celu do zaatakowanego systemu wysyłana jest ogromna liczba żądań, z którymi nie może sobie poradzić. Zwykle do tego celu wykorzystywane są systemy z naruszonymi zabezpieczeniami.

Roczny wzrost liczby ataków DDoS szacuje się na 50% (według informacji), ale dane z różnych źródeł są różne i nie wszystkie incydenty są znane. Średnia moc ataków DDoS warstwy 3/4 wzrosła w ostatnich latach z 20 do kilkuset GB/s. Chociaż masowe ataki DDoS i na poziomie protokołu są już same w sobie nieprzyjemne, cyberprzestępcy coraz częściej łączą je z atakami DDoS w warstwie 7, czyli na poziomie aplikacji, których celem jest zmiana lub kradzież danych. Takie „wielokierunkowe” ataki mogą być bardzo skuteczne.


Ataki wielowektorowe stanowią około 27% całkowitej liczby ataków DDoS.

W przypadku masowego ataku DDoS (woluminowego) wykorzystywana jest duża liczba żądań, często wysyłanych z legalnych adresów IP, przez co strona zostaje „zatkana” ruchem. Celem takich ataków jest „zablokowanie” całej dostępnej przepustowości i zablokowanie legalnego ruchu.

W przypadku ataku na poziomie protokołu (takiego jak UDP lub ICMP) celem jest wyczerpanie zasobów systemu. W tym celu wysyłane są otwarte żądania, na przykład żądania TCP/IP z fałszywymi adresami IP, a w wyniku wyczerpania zasobów sieciowych niemożliwe staje się przetwarzanie uzasadnionych żądań. Typowymi przedstawicielami są ataki DDoS, znane w wąskich kręgach jako Smurf DDos, Ping of Death i SYN flood. Innym rodzajem ataku DDoS na poziomie protokołu jest wysyłanie dużej liczby pofragmentowanych pakietów, z którymi system nie może sobie poradzić.

Ataki DDoS warstwy 7 polegają na wysyłaniu pozornie nieszkodliwych żądań, które wydają się być wynikiem normalnych działań użytkownika. Zazwyczaj do ich realizacji wykorzystywane są botnety i zautomatyzowane narzędzia. Godne uwagi przykłady to Slowloris, Apache Killer, Cross-site scripting, SQL-injection, Remote file injection.

W latach 2012-2014 większość masowych ataków DDoS stanowiły ataki bezstanowe (bez stanu i śledzenia sesji) – wykorzystywały protokół UDP. W przypadku Stateless, w jednej sesji krąży wiele pakietów (np. otwieranie strony). Kto rozpoczął sesję (prosiła strona), Urządzenia bezstanowe z reguły nie wiem.

Protokół UDP z zastrzeżeniem spoofingu - podmiany adresu. Na przykład, jeśli chcesz zaatakować serwer DNS pod adresem 56.26.56.26 za pomocą ataku wzmocnienia DNS, możesz utworzyć zestaw pakietów o adresie źródłowym 56.26.56.26 i wysłać je do serwerów DNS na całym świecie. Te serwery wyślą odpowiedź do 56.26.56.26.

Ta sama metoda działa w przypadku serwerów NTP, urządzeń obsługujących SSDP. Protokół NTP jest prawdopodobnie najpopularniejszą metodą: w drugiej połowie 2016 r. został wykorzystany w 97,5% ataków DDoS.
Najlepsza bieżąca praktyka (BCP) 38 zaleca, aby dostawcy usług internetowych konfigurowali bramy w celu zapobiegania fałszowaniu — kontrolowany adres źródłowy, kontrolowany przez sieć źródłową. Ale nie wszystkie kraje stosują tę praktykę. Ponadto atakujący omijają kontrolę BCP 38, przełączając się na ataki stanowe w warstwie TCP. Według F5 Security Operations Center (SOC) takie ataki dominowały w ciągu ostatnich pięciu lat. W 2016 roku było dwa razy więcej ataków TCP niż ataków UDP.

Ataki warstwy 7 są najczęściej wykorzystywane przez profesjonalnych hakerów. Zasada jest następująca: pobierany jest „ciężki” adres URL (z plik PDF lub zapytanie do dużej bazy danych) i jest powtarzane dziesiątki lub setki razy na sekundę. Ataki warstwy 7 mają tragiczne konsekwencje i są trudne do rozpoznania. Obecnie stanowią około 10% ataków DDoS.


Stosunek różnych rodzajów ataków DDoS według raportu Verizon Data Breach Investigations Report (DBIR) (2016).

Ataki DDoS często zbiegają się w czasie z okresami szczytowego ruchu, takimi jak dni sprzedaży online. Duże przepływy danych osobowych i finansowych w tym czasie przyciągają hakerów.

Ataki DDoS na DNS

System nazw domen (DNS) odgrywa fundamentalną rolę w wydajności i dostępności strony internetowej. Ostatecznie sukces Twojej firmy. Niestety infrastruktura DNS jest często celem ataków DDoS. Tłumiąc infrastrukturę DNS, atakujący mogą uszkodzić Twoją witrynę, reputację Twojej firmy i wpłynąć na wyniki finansowe. Aby wytrzymać dzisiejsze zagrożenia, infrastruktura DNS musi być wysoce odporna i skalowalna.
Zasadniczo DNS to rozproszona baza dane, które między innymi mapują czytelne dla człowieka nazwy witryn na adresy IP, umożliwiając użytkownikowi przejście do żądanej witryny po wprowadzeniu adresu URL. Pierwsza interakcja użytkownika z witryną rozpoczyna się od zapytań DNS wysyłanych do serwera DNS z adresem domeny internetowej Twojej witryny. Ich przetwarzanie może stanowić do 50% czasu ładowania strony internetowej. W związku z tym pogorszenie wydajności DNS może prowadzić do porzucenia witryny przez użytkownika i straty dla firmy. Jeśli Twój serwer DNS przestanie odpowiadać w wyniku ataku DDoS, nikt nie będzie mógł dostać się do witryny.

Ataki DDoS są trudne do wykrycia, zwłaszcza na początku, gdy ruch wygląda normalnie. Infrastruktura DNS może być podatna na różnego rodzaju ataki DDoS. Czasami jest to bezpośredni atak na serwery DNS. W innych przypadkach wykorzystują exploity, wykorzystując systemy DNS do atakowania innych elementów infrastruktury lub usług IT.


W atakach DNS Reflection cel jest narażony na masowe fałszywe odpowiedzi DNS. W tym celu wykorzystywane są botnety, które infekują setki i tysiące komputerów. Każdy bot w takiej sieci generuje kilka żądań DNS, ale używa tego samego docelowego adresu IP, co źródłowy adres IP (spoofing). Usługa DNS odpowiada na ten adres IP.

Osiąga to podwójny efekt. Docelowy system bombardowany przez tysiące i miliony odpowiedzi DNS, a serwer DNS może się zawiesić, nie mogąc poradzić sobie z obciążeniem. Samo żądanie DNS ma zwykle mniej niż 50 bajtów, a odpowiedź jest dziesięciokrotnie dłuższa. Ponadto wiadomości DNS mogą zawierać wiele innych informacji.

Załóżmy, że atakujący wysłał 100 000 krótkich zapytań DNS o długości 50 bajtów (łącznie 5 MB). Jeśli każda odpowiedź zawiera 1 KB, to w sumie jest to już 100 MB. Stąd nazwa - Amplifikacja (wzmocnienie). Połączenie ataków DNS Reflection i Amplification może mieć bardzo poważne konsekwencje.


Żądania wyglądają jak normalny ruch, ale odpowiedzi to dużo wiadomości duży rozmiar wysłane do systemu docelowego.

Jak uchronić się przed atakami DDoS?

Jak uchronić się przed atakami DDoS, jakie kroki podjąć? Przede wszystkim nie odkładaj tego na później. Podczas konfigurowania sieci, uruchamiania serwerów i wdrażania oprogramowania należy wziąć pod uwagę pewne środki ostrożności. A każda kolejna zmiana nie powinna zwiększać podatności na ataki DDoS.
  • Bezpieczeństwo kodu. Podczas pisania oprogramowania należy wziąć pod uwagę względy bezpieczeństwa. Zaleca się przestrzeganie standardów „bezpiecznego kodowania” i dokładne przetestowanie oprogramowania, aby uniknąć typowych błędów i luk w zabezpieczeniach, takich jak cross-site scripting i SQL injection.

  • Opracuj plan działania dotyczący aktualizacji oprogramowania. Zawsze powinna istnieć opcja „cofnięcia” na wypadek, gdyby coś poszło nie tak.

  • Aktualizuj oprogramowanie w odpowiednim czasie. Jeśli było możliwe podsumowanie aktualizacji, ale wystąpiły problemy, zobacz punkt 2.

  • Nie zapomnij o ograniczeniach dostępu. Administrator i/lub konta powinny być chronione silnymi i regularnie zmienianymi hasłami. Konieczna jest również okresowa kontrola uprawnień dostępu, terminowe usuwanie kont emerytowanych pracowników.

  • Interfejs administratora powinien być dostępny tylko z sieci wewnętrznej lub przez VPN. Terminowo zamknięty dostęp VPN dla emerytowanych i szczególnie zwolnionych pracowników.

  • Uwzględnij łagodzenie DDoS w swoim planie odzyskiwania po awarii. Plan powinien zawierać sposoby identyfikacji faktu takiego ataku, kontakty do kontaktu z dostawcą Internetu lub hostingu, drzewo „eskalacji problemów” dla każdego działu.

  • Skanowanie w poszukiwaniu luk pomoże zidentyfikować problemy w infrastrukturze i oprogramowaniu oraz zmniejszyć ryzyko. Prosty test OWASP Top 10 Vulnerability ujawni najbardziej krytyczne problemy. Przydadzą się też testy penetracyjne – pomogą znaleźć słabe punkty.

  • Ochrona sprzętowa przed atakami DDoS może być kosztowna. Jeśli Twój budżet na to nie pozwala, istnieje dobra alternatywa - ochrona DDoS na żądanie. Taką usługę można włączyć, po prostu zmieniając schemat routingu ruchu w nagły wypadek lub jest trwale chroniony.

  • Użyj partnera CDN. Sieci dostarczania treści umożliwiają dostarczanie treści witryny sieci Web za pośrednictwem sieci rozproszonej. Ruch jest rozprowadzany na wiele serwerów, a opóźnienia w dostępie dla użytkowników są skrócone, w tym także te, które są geograficznie odległe. Tak więc, chociaż główną zaletą CDN jest szybkość, służy ona również jako bariera między głównym serwerem a użytkownikami.

  • Użyj Web Application Firewall - zapory dla aplikacji internetowych. Monitoruje ruch między witryną lub aplikacją a przeglądarką, sprawdzając zasadność żądań. Pracując w warstwie aplikacji, WAF może wykrywać ataki oparte na przechowywanych wzorcach i wykrywać nietypowe zachowanie. Ataki w warstwie aplikacji nie są rzadkością w handlu elektronicznym. Podobnie jak w przypadku CDN, możesz korzystać z usług WAF w chmurze. Jednak konfigurowanie reguł wymaga pewnego doświadczenia. W idealnym przypadku wszystkie główne aplikacje powinny być chronione przez WAF.

    • Ochrona DNS

    A jak zabezpieczyć infrastrukturę DNS przed atakami DDoS? Konwencjonalne zapory ogniowe i IPS nie pomogą tutaj, są bezsilne wobec złożonego ataku DDoS na DNS. W rzeczywistości zapory ogniowe i systemy zapobiegania włamaniom same w sobie są podatne na ataki DDoS.
    Mogą przyjść na ratunek usługi w chmurze czyszczenie ruchu: jest wysyłany do określonego centrum, gdzie jest sprawdzany i przekierowywany z powrotem do miejsca przeznaczenia. Usługi te są przydatne w przypadku ruchu TCP. Osoby zarządzające własną infrastrukturą DNS mogą podjąć następujące kroki w celu złagodzenia skutków ataków DDoS.
  • Monitorowanie serwerów DNS pod kątem podejrzanej aktywności to pierwszy krok do zabezpieczenia infrastruktury DNS. Komercyjne rozwiązania DNS i produkty open source, takie jak BIND, zapewniają statystyki w czasie rzeczywistym, które można wykorzystać do wykrywania ataków DDoS. Monitorowanie ataków DDoS może wymagać dużej ilości zasobów. Najlepiej jest utworzyć podstawowy profil infrastruktury w normalnych warunkach pracy, a następnie aktualizować go od czasu do czasu w miarę rozwoju infrastruktury i zmian wzorców ruchu.

  • Dodatkowe zasoby serwera DNS pomogą radzić sobie z atakami na małą skalę ze względu na nadmiarowość infrastruktury DNS. Zasoby serwera i sieci powinny wystarczyć do obsłużenia większej liczby żądań. Oczywiście redundancja kosztuje. Płacisz za zasoby serwera i sieci, które nie są normalnie używane w normalnych warunkach. A przy znacznej „rezerwie” władzy, takie podejście raczej nie będzie skuteczne.

  • Włączenie funkcji DNS Response Rate Limiting (RRL) zmniejszy prawdopodobieństwo zaangażowania serwera w atak DDoS Reflection – spowolni jego odpowiedź na powtarzające się żądania. Listy RRL są obsługiwane przez wiele implementacji DNS.

  • Użyj konfiguracji wysokiej dostępności. Możesz chronić się przed atakami DDoS, wdrażając usługę DNS na serwerze wysokiej dostępności (HA). Jeśli jeden fizyczny serwer ulegnie awarii w wyniku ataku, usługa DNS może zostać przywrócona na serwerze rezerwowym.

    • Najlepszym sposobem ochrony DNS przed atakami DDoS jest użycie rozproszonej geograficznie sieci Anycast. Rozproszone sieci DNS można zaimplementować przy użyciu dwóch różnych podejść: adresowania Unicast lub Anycast. Pierwsze podejście jest znacznie łatwiejsze do wdrożenia, ale drugie jest znacznie bardziej odporne na ataki DDoS.

    W przypadku Unicast każdy z Serwery DNS Twoja firma otrzymuje unikalny adres IP. DNS utrzymuje tabelę serwerów DNS Twojej domeny i odpowiadających im adresów IP. Gdy użytkownik wprowadza adres URL, jeden z adresów IP jest losowo wybierany w celu wysłania żądania.

    W przypadku schematu adresowania Anycast różne serwery DNS mają wspólny adres IP. Gdy użytkownik wprowadza adres URL, zwracany jest zbiorczy adres serwerów DNS. Sieć IP kieruje żądanie do najbliższego serwera.

    Anycast zapewnia fundamentalne korzyści w zakresie bezpieczeństwa w porównaniu z Unicast. Unicast zapewnia adresy IP poszczególnych serwerów, dzięki czemu atakujący mogą inicjować ukierunkowane ataki na określone serwery fizyczne i wirtualne maszyny, a po wyczerpaniu zasobów tego systemu usługa kończy się niepowodzeniem. Anycast może pomóc w łagodzeniu ataków DDoS poprzez dystrybucję żądań w grupie serwerów. Anycast jest również przydatny do izolowania skutków ataku.

    Ochrona przed atakami DDoS zapewniana przez dostawcę usług internetowych

    Projektowanie, wdrażanie i obsługa globalnej sieci Anycast wymaga czasu, pieniędzy i know-how. Większość organizacji IT nie ma do tego talentów ani środków finansowych. Możesz zaufać swojej infrastrukturze DNS, aby uruchomić zarządzanego dostawcę usług, który specjalizuje się w DNS. Posiadają niezbędną wiedzę, aby chronić DNS przed atakami DDoS.

    Dostawcy zarządzanych usług DNS obsługują sieci Anycast na dużą skalę i mają punkty obecności na całym świecie. Eksperci ds. bezpieczeństwa sieci monitorują sieć 24/7/365 i stosują specjalne narzędzia do łagodzenia skutków ataków DDoS.


    Usługi są również oferowane przez niektórych dostawców usług hostingowych: ruch sieciowy jest analizowany 24 godziny na dobę, 7 dni w tygodniu, dzięki czemu Twoja witryna będzie względnie bezpieczna. Taka ochrona jest w stanie wytrzymać potężne ataki - do 1500 Gb/s. To się opłaca za ruch.

    Inną opcją jest ochrona adresów IP. Dostawca umieszcza adres IP, który klient wybrał jako chroniony w specjalnej sieci analizatora. W ataku ruch do klienta jest dopasowywany do znanych wzorców ataków. W rezultacie klient otrzymuje tylko czysty, przefiltrowany ruch. W ten sposób użytkownicy witryny mogą nie wiedzieć, że dokonano na nią ataku. Aby to zorganizować, tworzona jest rozproszona sieć węzłów filtrujących, tak aby dla każdego ataku możliwe było wybranie najbliższego węzła i zminimalizowanie opóźnienia w transmisji ruchu.

    Efektem korzystania z usług ochrony DDoS będzie terminowe wykrywanie i zapobieganie atakom DDoS, ciągłość działania serwisu i jego stała dostępność dla użytkowników oraz minimalizacja strat finansowych i reputacyjnych spowodowanych przestojem serwisu lub portalu.

    udział
    udział
    Ćwierkać
    Lubić
    Lubić

    Przeczytaj także

    DZWON

    Są tacy, którzy czytają tę wiadomość przed tobą.
    Zapisz się, aby otrzymywać najnowsze artykuły.
    E-mail
    Nazwa
    Nazwisko
    Jak chciałbyś przeczytać The Bell?
    Bez spamu