DoS и DDoS-атаки: значение и различия. Что собой представляет DDoS-атака Отличие dos от ddos

DoS и DDoS-атаки: значение и различия. Что собой представляет DDoS-атака Отличие dos от ddos

DoS и DDoS-атаки: значение и различия. Что собой представляет DDoS-атака Отличие dos от ddos

Целью DDoS-атаки может быть как блокирование проекта конкурента или популярного ресурса, так и получение полного контроля над системой. При раскрутке сайта учитывают, что DoS-условия возникают по следующим причинам:

  • из-за ошибок в программном коде, которые приводят к выполнению недопустимых инструкций, обращению к неиспользуемой части адресного пространства и т.д.;
  • из-за недостаточной проверки данных пользователей, что может привести к длительному (или бесконечному) циклу, увеличенному потреблению ресурсов процессора, исчерпанию памяти и др.;
  • из-за флуда — внешней атаки посредством большого числа неправильно сформированных или бессмысленных запросов к серверу. Различают флуд TCP-подсистемы, каналов связи и прикладного уровня
  • из-за внешнего воздействия, цель которого - вызвать ложное срабатывание защитной системы и, как следствие, привести к недоступности ресурса.

Защита

DDoS-атаки осложняют , так как при достаточно продолжительной неработоспособности сервера страницы выпадают из индекса. Для обнаружения угрозы используют сигнатурные, статистические и гибридные методы. Первые базируются на качественном анализе , вторые - на количественном, третьи сочетают достоинства предыдущих способов. Меры противодействия бывают пассивными и активными, превентивными и реакционными. В основном применяются следующие способы:

  • устранение личных и социальных причин, побуждающих людей организовывать DDoS-атаки,
  • блэкхолинг и фильтрация трафика,
  • ликвидация уязвимостей кода в ходе поисковой оптимизации сайта,
  • наращивание ресурсов сервера, построение продублированных и распределенных систем для резервного обслуживания пользователей,
  • техническое и организационно-правовое воздействие на организатора, источники или центр управления атакой,
  • установка оборудования по отражению DDoS-атак (Arbor Peakflow®, DefensePro® и др.),
  • покупка выделенного сервера для хостинга сайта.

Одна из частых ошибок, которая встречается среди кибержурналистов-дилетантов, - это путаница в терминах, обозначающих виды атак на Интернет-ресурсы. Например, DoS и DDoS - это не одно и то же. Хотя аббревиатуры различаются всего лишь на одну букву, за ней скрывается огромная фактическая разница.

Сегодня довольно редко пишут о том, что такое атака DoS (Denial of Service) , т.к. эти атаки практически не используются в связи со своей низкой эффективностью. Однако именно схема DoS - основа современных кибератак на отказ в обслуживании.

DoS-атака представляет собой генерацию "мусорного" трафика с одного устройства (IP-адреса) на ресурс-"жертву" (например, сайт). Цель - исчерпать вычислительные и иные мощности "жертвы", чтобы заблокировать работу последней.

Т.к. Интернет, компьютерная техника и сетевое оборудование развиваются стремительно, набирая мощность, то объем одной DoS-атаки очень скоро стал слишком мал, чтобы заблокировать сколько-нибудь значимый ресурс. Поэтому хакеры нашли самый очевидный способ усиления DoS-атаки: проводить ее с нескольких устройств (IP-адресов) одновременно. Так и появилась распределенная (или массивная) кибератака на отказ в обслуживании - DDoS (Distributed Denial of Service) . Ее гораздо сложнее отфильтровать, а мощность может достигать 1 Tbps.

Кроме того, DoS-атаку легко отразить, когда она уже началась: вычислить IP, с которого идут зловредные пакеты трафика, и занести его в . А когда атака идет со множества IP-адресов, то задача усложняется. Например, для защиты ресурса можно заблокировать все запросы, идущие из одной страны, к которой "привязаны" юридически атакующие айпишники, но тогда и легитимные пользователи оттуда будут лишены доступа к сайту.

В некоторым смысле, если говорить про определение DDoS - это подвид DoS-атаки произошедший от нее путем изменения схемы, но других форм подобных атак нет и первая вытеснила вторую из арсенала хакера. Поэтому в подавляющем количестве случаев корректнее будет использовать термина DDoS-атака либо русскоязычный перевод - распределенная атака на отказ в обслуживании.

Схема такой атаки состоит из трех ключевых элементов: управляющая машина, с которой подаются управляющие сигналы на консоли, через которые сигналы распределяются по миллионам устройств пользователей (взломанных либо зараженных вредоносным кодом). Именно эти устройства и называются ботами. Если раньше это были в основном ПК, то сегодня ботнет атака может осуществляться при помощи роутеров, видеорегистраторов, смартфонов и пр. - любых устройств, имеющих интерфейс для подключения к Интернету. Пользователь бота чаще всего даже не догадывается, что его используют для незаконных деяний.

Сегодня в Интернете в свободном доступе можно найти множество предложений организовать DDoS-тестирование любого сайта за смешную оплату 15-20 $. У таких "хакеров" обычно нет мощного сервера или ботнета (сети из взломанных устройств) для организации массивной кибератаки, и за такие деньги максимум будет проведена DoS, с которой может справиться любой грамотный сисадмин.

Однако значение DoS не стоит недооценивать - именно на них тренируются начинающие злоумышленники, и поскольку такие случаи крайне редко расследуются, то многие остаются безнаказанными.

Если вы работаете в области компьютерных технологий или в области сетевой безопасности, я уверен, что вам знаком термин «отказ в обслуживании», который в просторечье именуется как «DoS атака». В настоящее время это один из наиболее распространенных типов сетевых атак, проводимых в Интернете. Для тех кто не в теме, я проведу «ликбез» и попытаюсь объяснить, что такое DoS атака, в самой доступной и понятной форме.
А началось все с того что один из рабочих сайтов лежал вчера около двух часов. Хостится сайт на NIC.RU, не из самых дешевых, и вроде бы не новички, но, как говорится «и на старуху бывает проруха».

DDoS — отказ в обслуживании

Что такое DOS атака?
Отказ в обслуживании или «DoS атаки» являются одним из видов сетевых атак, предназначены для того, чтобы «затопить» целевые сети или машины большим количеством бесполезного трафика, так чтобы перегрузить атакуемую машину и в конечном итоге поставить ее «на колени». Основная суть DoS атаки, сделать службы, работающие на целевой машине (например, веб-сайт, DNS сервер и пр.) временно недоступными для предполагаемых пользователей. DDoS атаки, как правило, осуществляются на веб-сервера, на которых находятся жизненно важные услуги, такие как банковские сервисы, электронная коммерции, обработка персональных данных, кредитных карт.
Распространенный вариант DOS атаки, известной как DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) атака, стал весьма популярным в последние годы, поскольку это очень мощная и трудно обнаружимая атака. Атака DoS имеет одно место происхождения, а атака DDoS происходит от нескольких IP-адресов, распределенных по нескольким сетям. Как работает DDoS показано на следующей диаграмме:

В отличие от атаки DoS, когда злоумышленник использует для атаки один единственный компьютер или сеть, чтобы атаковать цель, DDoS атака исходит от многочисленных компьютеров и серверов, предварительно зараженных, принадлежащих как правило различным сетям. Так как злоумышленник использует компьютеры и серверы из различных сетей, и даже разных стран, то входящий трафик, по началу, не вызывает подозрений у служб безопасности, так как, его трудно обнаружить.

Можно ли бороться с DoS/DDoS атаками?
Атакующие с помощью DoS-атак могут быть легко добавлены в черный список брандмауэра, с помощью всяческих скриптов и фильтров (по IP-адресам или диапазонам адресов), от которых происходит слишком много запросов, или соединений. DDoS атаки определить слишком сложно, так как входящие запросы выглядеть более или менее естественно, ведь бывает скажем, наплыв клиентов и др.. В этом случае трудно найти разницу между подлинным и вредоносным трафиком. Чрезмерное усиление мер безопасности на брандмауэре может привести к ложным срабатываниям и поэтому настоящие клиенты могут быть отвергнут системой, что согласитесь не есть очень хорошо.

Когда наплыв ложных «клиентов» начинает увеличивается в геометрической прогрессии, делать уже что либо становится поздно, если конечно у вас не сидит целый штат сисадминов и программистов отвечающих как раз за защиту от атак такого рода, ваши сервера становятся не поворотливыми и медлительными, и в конце концов, перестают реагировать на «внешние раздражители», ожидая, когда же на конец закончится этот поток спама.
А в это время злобные хакеры воплощают в жизнь свои темные планы.

Практически любой веб-ресурс, будь то сайт или сервис, открыт для доступа обычным пользователям. Достаточно открыть браузер и набрать нужный адрес. Однако, такая доступность сопряжена с некоторыми проблемами безопасности, в частности с возможностью проведения таких атак, как Denial of Service (DoS) - "Отказ в обслуживании" и Distributed Denial of Service (DDoS) - "Распределенный отказ в обслуживании".

Что такое атака Отказ в обслуживании (DoS)?

Прежде, чем отвечать на вопрос "что такое атака Отказ в обслуживании (DoS)", необходимо посмотреть на то, каким образом происходит обмен данными в интернете и какие мощности предоставляются веб-ресурсам. Для более легкого понимания, рассмотрим наиболее распространенный вариант.

Веб-сайты и сервисы (далее веб-сайт или сайт) располагаются на отдельных компьютерах, так же именуемых серверами. На этих серверах им выделяется определенная часть ресурсов для функционирования (дисковое пространство, оперативная память, процессорное время). Каждое открытие пользователем веб-страницы в браузере означает для веб-сайта то, что ему нужно занять определенную часть этих ресурсов для формирования этой страницы. Поэтому, за определенный период времени, сайт может сформировать только ограниченное число страниц. Это означает, что если сайт открыло больше пользователей, чем то количество, на которое веб-сайт рассчитан, то часть пользователей в ответ получат либо ошибку о невозможности открыть сайт (например, сайт не доступен), либо предупреждение о перегрузке сайта с просьбой подождать (например, сайт временно недоступен, попробуйте открыть его минут через 5-10).

Суть атаки Отказ в обслуживании (DoS) заключается в ее названии, а именно в том, что атака приводит к недоступности сайта для пользователей. Технически, это достигается за счет того, что злоумышленник постоянно открывает большое число веб-страниц, чем занимает практически все ресурсы у сайта и не дает возможность другим пользователям получить доступ к сайту. Этот процесс можно сравнить с ловлей рыбы рядом с человеком, который горстями разбрасывает еду для рыб. В данном случае, сколько бы вы не закидывали удочку в реку, шансы поймать рыбу будут практически нулевыми.

Сегодня, данный вид атаки редко встречается, так как найти и определить злоумышленника очень просто - это тот, от кого постоянно идет большое число запросов на открытие страниц. Поэтому, достаточно часто, когда вы слышите слова "Дос атака" или читаете текст, где употребляется слово "DoS", речь идет о DDoS атаке.

Что такое атака Распределенный отказ в обслуживании (DDoS)?

Атака Распределенный отказ в обслуживании (DDoS) использует ту же идею, что и DoS атака, но технически отличается. Суть атаки так же следует из ее названия - на сайт одновременно обращается множество компьютеров злоумышленника с запросом на получение страниц, что в итоге приводит к тем же последствиям, что и при DoS атаке. Этот процесс можно сравнить с той же ловлей рыбы, но в парке, где ходят толпы людей и по очереди бросают еду в воду. За счет того, что таких людей много, забрасывание удочки будет приводить к тем же результатам, что и в предыдущем сравнении. Однако, реализовать данную атаку сложнее, так как для ее проведения требуется достаточно много компьютеров. По этой причине, для реализации данной атаки, чаще всего, прибегают к использованию ботнет сетей.

Примечание : Иногда DDoS атака происходит непредумышленно, когда огромное число пользователей по какой-либо случайности заходит на сайт. К примеру, при анонсировании небольшого сайта на порталах с огромной посещаемостью, такой сайт может попросту не справиться с наплывом пользователей и временно быть не доступен.

Ботнет сеть представляет собой логически организованную сеть из множества зараженных компьютеров пользователей (такие компьютеры еще называют зомби), которая управляется одним или несколькими злоумышленниками и которая будет выполнять нужные злоумышленникам действия. В случае с DDoS, речь идет об отправке запросов на открытие страниц сайта всеми или частью зомбированных компьютеров ботнет сети. Технически, создание ботнет сетей происходит за счет инфицирования компьютеров обычных пользователей троянами, червями и прочими вредоносными программами. Которые после заражения отсылают информацию о себе на управляющие звенья, тем самым добавляясь к сети. Обычно, такие вредоносные программы редко проявляют какую-либо видимую вредоносную активность на компьютерах пользователей, дабы избежать лишних проверок системы антивирусами и прочими средствами безопасности. Это позволяет им оставаться в ботнет сети продолжительное время.

Примечание : Для большинства пользователей таких зараженных компьютеров максимальным эффектом будут лишь периодические скачки в сетевой активности, которую если раньше можно было легко заметить (особенно, во времена модемов), то сегодня, при наличии высокоскоростного интернета, такую активность сложно определить без специальных средств.

Сегодня, данный вид атаки встречается все чаще, ведь кроме того, что ее сложнее отследить, в случае больших ботнет сетей, ее попросту невозможно быстро обезвредить.

Примечание : Основной для роста числа DDoS атак является стремительное увеличение числа компьютеров, расширение области программного обеспечения, развитие скоростей обмена данными и ряд других факторов.

Заключительные слова о DoS и DDoS

Вывод из строя сайта даже на небольшой промежуток времени может сказываться не только на показателях, но и на количестве пользователей. К примеру, отсутствие доступа на крупном проекте с многомиллионной посещаемостью даже на несколько часов вполне может означать отток пользователей на конкурирующие проекты (с учетом, промежутка времени, в основном это коснется пользователей, относительно недавно начавших использовать ресурс).


Самое обсуждаемое
Каком уровне модели osi работает Каком уровне модели osi работает
Тестирование системной платы Тестирование системной платы
Узнаем, что можно сделать из старого бесперебойника от компьютера Использование бесперебойника Узнаем, что можно сделать из старого бесперебойника от компьютера Использование бесперебойника


top