Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод на новый заказ в Автор24. Это бесплатно.
Введение
Хотя интернет был разработан, чтобы позволить легко обмениваться информацией между объединенными в сеть компьютерами, он не был разработан с учетом всех требований безопасности. В результате, почти все интернет сервисы могут иметь концептуальные уязвимости. Различные вирусы и атаки, использующие уязвимости архитектуры сети развивались совместно с интернетом. В 1988 году, в сети ARPANET, состоящей из 60000 соединенных машин, самокопирующаяся компьютерная программа, которой затем дали название в честь ее автора, Worm Morris непреднамеренно стала причиной доведения до состояния отказ в обслуживании около 10% всех машин в сети.
Атака типа отказ в обслуживании (DDoS) представляет собой попытку сделать сервер или сетевой ресурс недоступным для легитимных пользователей.
Целью данной работы является определение способов реализации DDoS атак и приведение экономических последствий.
Для этого необходимо выполнить следующие задачи:
Описать признаки данного вида атак;
Определить цели и задачи злоумышленников;
Приветствии основные методы осуществления атак;
Рассмотреть разновидности данных атак;
Определить последствия и методы защиты.
Анализ предметной области
Признаки DDoS атаки
Показателем атаки могут служить:
Необычно низкая производительность сети.
Недоступность сетевого ресурса.
Нехарактерная нагрузка на сетевые ресурсы.
Аномалии в сетевом трафике.
Если проводится масштабная атака, целые географические регионы могут заметить ее последствия. Так в марте 2013 года миллионы пользователей интернета отметили подтормаживания сайтов. Причиной была одна из самых крупных DDoS атак, мощностью около 300 Гбит/с.
Цели DDoS атак
Основными целями атак являются:
Финансовая выгода: Наиболее распространенная категория. В основном атаки в данном случае были заказаны конкурирующими фирмами. Злоумышленники, как правило, отлично подготовлены и имеют большой опыт в проведении атак и даже готовы дать гарантии в успешной реализации атаки. Также можно к данной группе можно отнести хакеров вымогателей и шантажистов с меньшим опытом и ресурсами по реализации атаки.
Личная неприязнь: Злоумышленники из данной категории, как правило, имеют более низкие технические навыки и преследуют личные мотивы во время атак.
Самореализация: злоумышленники этой категории нападают на целевые системы, чтобы поэкспериментировать или узнать, как запускаются различные атаки. Это, как правило, молодые энтузиасты, которые хотят показать свои возможности. В настоящее время существует множество программ, которые можно легко найти в интернете, скачать и воспользоваться, начав DoS или DDoS атаку.
Политический протест: Это относительно новая категория. Различные группы хакеров, такие как Anonymous, совершают атаки, направленные на сторонников законодательства, которые они считают неблагоприятными, и на различные государственные ведомства.
Кибервойны: злоумышленники из этой категории, как правило, относятся к военным, правительственным или террористическим организациям. Потенциальными целями этих атак являются министерства и ведомства, частные и государственные финансовые организации, энергетические и водные инфраструктуры, телекоммуникации и услуги мобильной связи провайдеров. Этим занимаются настоящие и хорошо обученные профессионалы с огромными ресурсами. Они могут затратить много времени и ресурсов для проведения атак, которые могут серьезно принести значительный вред и экономические последствия для страны. Примером кибервойн могут служить атаки на атомную отрасль Ирана [ REF _Ref509838963 \r \h 1].
Основные методы DDoS атак
Атака типа отказ в обслуживании характеризуется явной попыткой атакующих ограничить или прервать доступ законных пользователей сервиса к информации. Есть три основных метода DDoS атак:
Истощение ресурсов системы.
Изменение конфигураций.
Физическое воздействие [ REF _Ref509838975 \r \h 2].
Различные виды DDoS атак
Одной из самых простых DDoS атак является атака на конечные системы, использующая уязвимость в некачественном программном обеспечении. Такое программное обеспечение зачастую не может обработать исключения, появляющиеся во время работы, и прекращает свое выполнение. Например, атака переполнения буфера может быть использована, чтобы скомпрометировать конечную систему, но даже если переполнения буфера не может быть использовано для получения доступа, то, как правило, можно перезаписать память, что приведет к критическому сбою в программном обеспечении. Эта уязвимость может влиять на любое программное обеспечение, которое использует данные, передаваемые через сеть. Таким образом, под возможной угрозой может находиться не только веб-сервер, но и база данных, к которой веб-сервер предоставляет данные [ REF _Ref509839010 \r \h 3].
Код низкого качества может встречаться не только в прикладном программном обеспечении, но и в ядре операционных систем. Классическим примером является так называемый «ping of death», который стал широко известен в 1996 году. Эта уязвимость была обнаружена во многих популярных тогда операционных системах и приводила к сбою получении эхо-запроса, фрагменты которого составляют более 65545 байт, разрешенных в пакете IPv4.
Хотя DDoS атаки, подобные ping of death являются серьезной проблемой, они не являются существенной архитектурной проблемой. После обнаружения подобной атаки, проблемный код можно легко исправить и полностью защититься от подобных атак. Важно не терять возможность обновлять программное обеспечение на используемых системах.
Сетевые приложения работают в условиях ограниченных ресурсов. При обработке сетевого трафика приложения используют эти ресурсы для выполнения задачи, для которой они предназначены. Тем не менее, злоумышленник может совершить атаку на истощение ресурсов, прервать выполнение главной задачи приложения, приводя к исчерпыванию конечного запаса конкретного ресурса [ REF _Ref509839010 \r \h 3].
Основные ресурсы, которые могут быть исчерпаны:
Доступная память.
Загрузка процессора.
Дисковое пространство, доступное для приложения.
Число процессов или потоков, разрешенных для приложения.
Заданное максимальное число одновременных соединений.
Данный список не является полным¸ но охватывает наиболее распространенные и важные параметры.
Некоторые ресурсы, такие как загрузка процессора, являются самовосстанавливающимися – если атака прекращается, загрузка процессора снижается.
Некоторые ресурсы, такие как дисковое пространство, требуют некоторых действий над ними, для освобождения ресурсов - если приложение не может сделать это автоматически, то последствия атаки могут сохраняться и после прекращения атаки.
С данной проблемой сталкиваются наиболее часто при записи файлов отладки и входящей почты, которые хранятся в отдельном разделе диска, для предотвращения истощения памяти всего диска.
Некоторые ресурсы ограничены конфигурацией: максимальным числом процессов, максимальным количество одновременных соединений. Такие ограничения установлены обычно не техническими характеристиками устройств, а выбраны людьми, исходя из требуемых задач. Целью таких ограничений является возможность выполнения других задач, в случае некорректной работы одной из задач. Тем не менее, такие ограничения необходимо выбирать с особым вниманием. Например, если машина является только FTP-сервером, и на ней установлено максимальное количество соединений значительно меньшее количества соединений, при котором она может стабильно работать, то исчерпать ресурсы злоумышленнику будет проще. Однако выбор слишком большого порогового значения также может привести к упрощению задачи атакующего, приводя к, возможно, еще более нежелательным отказам системы.
Концептуально, истощение ресурсов операционной системы и приложения очень похожи. Тем не менее, в случае исчерпания ресурсов приложения, операционная система может защитить другие задачи от воздействия DDoS атаки. В случае, когда операционная система сама исчерпывает выделенные ресурсы, проблема может быть катастрофическая.
Пожалуй, самой известной DDoS атакой на операционную систему является TCP SYN-flood, который по существу является атакой на исчерпание ресурсов памяти. Атакующий отправляет поток пакетов TCP SYN жертве, запрашивая установление соединения, но не завершает установку соединения. Если атакующий генерирует такие пакеты быстрее, чем жертва закрывает полуоткрытые соединения, то атакованная система исчерпает ресурс на соединения и не сможет обслуживать законные соединения. Эта проблема усугубляется при использовании небольшого выделенного пространства для хранения полуоткрытых соединений
. В некоторых случаях при плохой реализации кода данная атака может привести к отказу системы [ REF _Ref509839034 \r \h 4].
Альтернативной атакой является ACK-flood, которая нацелена на исчерпание ресурсов процессора. Атакующий посылает множество TCP-пакетов из соединений, которые никогда не были установлены. Серверу необходимо в таком случае проверить какому соединению соответствует присланный пакет.
Плохо настроенные механизмы аутентификации с использование криптографических методов могут усугубить проблему. Если такой механизм аутентификации позволяет злоумышленнику занять процессор трудоемкой расшифровкой, прежде чем пакет может быть отброшен, то это делает атаку более эффективной.
Исчерпание ресурсов процессора также могут усугубляться плохой обработкой операционной системой входящего трафика. При отсутствии вредоносного трафика, во время увеличения нагрузки, максимальная производительность системы не должна убывать. Однако у многих систем при увеличении нагрузки максимальная производительность снижается за счет увеличения времени на обработку сетевых пакетов.
Многие механизмы аутентификации пользователя пытаются защититься от атак подбора пароля путем блокировки пользователя, после небольшого числа неудачных проверок подлинности. Если злоумышленник может узнать идентификатор пользователя, то он также может заблокировать законного пользователя.
Другой способ блокировки доступа к сервису, использующий механизмы защиты, основан на исчерпании квоты. Это, пожалуй, наиболее распространенный способ в случае небольших веб-серверов, где сервер имеет контракт с хостинговой компанией, обрабатывающей определенное количество трафика в день. Злоумышленник может быстро израсходовать эту квоту и приостановить обслуживание сервера. При отсутствии таких квот, злоумышленник может атаковать систему для увеличения счетов за предоставляемые услуги [ REF _Ref509839034 \r \h 4].
Многие DDoS атаки могут быть запущены против маршрутизаторов. Даже если маршрутизатор не прекращает свою работу, он может выполнять ее достаточно медленно и у некоторых протоколов маршрутизации за это время может истечь срок их жизни. Протоколы маршрутизации также можно использовать для DDoS атак на маршрутизаторы. Самой простой атакой может быть перезапись таблицы маршрутизации. Некоторые атаки позволяют нарушить маршрут трафика и заставить его двигаться по петле, что приведет к значительной нагрузке на устройства маршрутизации и не даст пакетам достигнуть точки назначения. Вдобавок DDoS атакам могут подвергнуться подсистема трансляции адресов и подсистема управления списками доступа, что может привести к отказу системы обнаружения вторжений и системы фильтрации трафика.
В современном интернете DNS имеет важное значение, ведь, если доступ к DNS-серверам сайта заблокирован, то сам сайт недоступен, даже если нет других проблем доступа к сайту. Многие из атак, описанных выше могут быть применены к DNS-серверам. Одна из самых сильных атак произошла в октябре 2002 года, целью который были корневые DNS-серверы. Количество корневых DNS-серверов с тех пор было увеличено, для предотвращения результатов той атаки. Перезаписывая таблицы адресации, злоумышленник может перенаправлять пользователей на несуществующие сервера или на свой сервер, получая доступ к передаваемой информации [ REF _Ref509839051 \r \h 5].
Самой простой DDoS атакой является генерация достаточного количества трафика перегружая канал связи. Это приводит к тому, что при передаче теряется много пакетов от легитимных пользователей сети. В некоторых случаях подобные атаки могут вызвать сбои в маршрутизации трафика. Для предотвращения сбоя маршрутизации необходимо сделать самый высокий приоритет передачи у пакетов маршрутизации, но при достаточно сильной атаки и это может не дать результатов. Даже если маршрутизация не была нарушена, возможна потеря удаленного доступа к устройству через SSH или протоколу SNMP. Это приведет к невозможности настройки оборудования для отражения атаки. Если канал связи имеет низкую пропускную способность, то увеличение приоритета передачи пакетов маршрутизации может привести к вытеснению любых других пакетов, передающихся в сети.
Межсетевые экраны предназначены для защиты систем от нападений. Так как межсетевые экраны фильтруют трафик, который направляется в защищаемую систему, они часто применяются для защиты от атак, направленных на отказ в обслуживании. Однако, при определенных обстоятельствах сам межсетевой экран может быть использован в качестве оружия в DDoS атаке. При достаточно большом объеме трафика, межсетевой экран исчерпывает аппаратные ресурсы и не пропускает легитимный трафик через себя, приводя систему в состояние отказа в обслуживании [ REF _Ref509839051 \r \h 5].
Системы обнаружения вторжений подвержены атакам, подобным атакам на межсетевые экраны. Атакующий может исчерпать доступную вычислительную мощность либо нарушить работу памяти. Отказ системы обнаружения вторжений не приведет к отказу защищаемой системы. Тем не менее, это может привести к тому, что система обнаружения вторжений пропустит атаку, которую должна была заметить.
Некоторые системы обнаружения вторжений являются реактивными, то есть, при обнаружении враждебного события они предпринимают определенные меры для защиты атакуемой системы. В таком случае атакующие пытаются выдать работу защищаемой системы за работу враждебной системы для ее блокировки системой обнаружения вторжений.
Сервера сетевого времени, как правило, не считаются службами безопасности критически важными для работы системы, но при некоторых обстоятельствах они могут быть использованы для совершения DDoS атаки.
В таких случаях чаще всего атакуют сами сервера сетевого времени. Многие конечные системы имеют довольно низкую точность часов и поэтому, не имея доступ к сетевому времени, их часы будут естественным образом дрейфовать. Это может вызвать проблемы с распределенными системами, для которых важна синхронизация времени. Например, синхронизация времени важна для систем контроля версий [ REF _Ref509839051 \r \h 5].
Если злоумышленнику удастся выдать себя за сервер сетевого времени, то он сможет контролировать системные часы подключенных устройств. Это может стать трудно заметной причиной многих неожиданных ошибок, в том числе преждевременного истечения датируемых ресурсов, таких как шифрования или аутентификации ключей. Это, в свою очередь, может привести к отказу в доступе к другим более важным сервисам.
Помимо атак на системы, являющиеся основной целью, не менее эффективными могут быть атаки на вспомогательные системы, такие как система электропитания или система кондиционирования, которые все чаще подключаются к сети.
Вместо того, чтобы посылать атакующие запросы непосредственно к жертве, отраженные DDoS атаки отправляют запросы, которые используют адрес жертвы в качестве адреса источника для отражателей, которые в свою очередь посылают свои ответы жертве атаки. Веб-сервер, DNS-сервер и маршрутизаторы являются примерами отражателей. Веб-сервера и DNS-серверы будут возвращать SYN ACK в ответ на SYN других пакетов TCP, маршрутизаторы возвращают ICMP ответы. Устранение подмены IP адресов не решает проблему подобных атак, в связи с отражателями на уровне приложений, таких как рекурсивные запросы DNS и запросы HTTP proxy [ REF _Ref509839078 \r \h 6].
Многие атаки основаны на генерации большого объема трафика для вывода жертвы из строя.
Самой простой атакой с усилением является «smurf» атака, где ICMP пакет эхо-запроса с поддельным адресом источника жертвы отправляется на широковещательный адрес сети. Каждая система в этой сети пришлет жертве ICMP эхо-ответ. На данный момент такая атака не является проблемой, так как маршрутизаторы обычно отбрасывают подобные пакеты и конечные системы не реагируют на них.
Альтернативной формой усиления атаки является DNS усиление. Злоумышленник отправляет запрос к DNS-серверу, запрашивая доменное имя. Адрес источника запроса подделывается и заменяется на адрес жертвы. Запрос подбирается таким образом, чтобы размер ответа был значительно больше, чем размер запроса, таким образом обеспечивая усиление.
Другой вариант усиления атаки предполагает усиление через повторную передачу. Это типично для TCP-amplification атаки. Злоумышленник отправляет поддельный TCP SYN, где в качестве источника указан адрес жертвы, на произвольный сервер. Еще один вариантом может быть отправка запроса на прокси-сервер.
Описанные ранее атаки представляют собой горизонтальную классификацию, основанную на горизонтальном распределении целей в интернете
Закажи написание реферата по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!
Наш проект является банком работ по всем школьным и студенческим предметам. Если вы не хотите тратить время на написание работ по ненужным предметам или ищете шаблон для своей работы — он есть у нас.
Нужна помощь по теме или написание схожей работы? Свяжись напрямую с автором и обсуди заказ.
В файле вы найдете полный фрагмент работы доступный на сайте, а также промокод referat200 на новый заказ в Автор24.