Компьютерные зомби выходят на связь

Наряду со взломами и вирусным заражением в последнее время мы все чаще становимся свидетелями DDoS-атак, которые используются и как способ вымещения недовольства, и как инструмент конкурентной борьбы. Громкая DDoS-атака последнего времени -- обрушение сервиса livejournal.com.

Забить канал

DDoS-атака позволяет злоумышленникам сделать тот или иной интернет-ресурс или онлайн-сервис недоступными для его легитимных пользователей, то есть для тех, кто использует ресурс по назначению, а именно для получения информации или иной работы.

Цель достигается с помощью атаки на канал связи, который забивается огромной массой паразитных данных, в которой тонут запросы легитимных пользователей, а также с использованием атаки на программное обеспечение серверов или ОС, которые перегружаются бесполезными запросами злоумышленников и лишаются возможности обрабатывать что-либо еще.

Атака производится с огромного количества заранее зараженных специальными вредоносными программами компьютеров, подключенных к сети Интернет, составляющих ботнет-сеть. Боты периодически выходят на связь с указанным в их коде центром управления, который представляет собой специально подготовленный владельцем ботнет-сети сервер, посылают запросы на получение команд на атаку и исполняют их.

Управляемые машины

Владелец зараженного компьютера, как правило, даже не подозревает о том, что его машина используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, -- зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей, хотя в последнее время среди членов ботнет-сети стали встречать сервера, использование которых дает злоумышленникам определенные преимущества.

Ведь сервера -- это постоянно включенные производительные компьютеры, подключенные к сети по скоростным каналам связи, и использование их мощности позволяет организовать мощную атаку без привлечения внимания администраторов к факту загрузки сервера.

Успех DDoS-атак становится возможен по той причине, что владелец ресурса всегда имеет некоторые ограничения: он платит за определенную производительность сервера и емкость канала. Как только мощность атаки превысили один из показателей -- ресурс становится недоступным.

Тревожные симптомы

При отсутствии специализированных средств мониторинга распознать атаку на ресурс часто удается лишь по ее последствиям:

• Жалобы пользователей на недоступность или задержки в работе сервиса;

• Владелец ресурса сам замечает, что ресурс заблокирован провайдером (некоторые провайдеры отключают атакуемые ресурсы от Интернета, чтобы атака не наносила ущерба другим клиентам);

• Повышение загрузки сервера вплоть до потери управления;

• По сбоям в работе используемых им сервисов, например почты, IP-телефонии. Такое возможно, если атакованный ресурс расположен во внутренней сети организации.

Помимо классификации атак по воздействию (канал/ресурс) существует и другие варианты классификации DDoS-атак, например по таким критериям, как:

• Целеуказание, т.е. когда в команде на атаку фигурирует либо IP-адрес ресурса, либо его DNS-имя

• Использование алгоритма подмены адреса отправителя пакетов

• Используемым сетевым протоколам (TCP, UDP, ICMP, HTTP).

В поисках защиты

К сожалению, традиционные методы защиты, такие как межсетевые экраны, средства предотвращения атак и пр., не спасают от DDoS-атак.

Кластеризация или распределение ресурсов, аренда производительных каналов связи могут помочь, но по этому пути идут единицы, так как такой метод дорого обходится.

Кроме того, для того чтобы одолеть созданные дополнительные мощности, злоумышленникам понадобится лишь увеличить масштабы атаки. А с точки зрения вложений злоумышленники потратят намного меньше средств на увеличение мощности атаки по сравнению с расходами компании на подобную защиту.

Именно поэтому для защиты я бы рекомендовал обращаться либо к провайдерам интернет-услуг, либо в специализированные компании, которые предлагают средства защиты от DDoS-атак.

Наиболее распространенные методы хакерских атак

SYN-Flood -- множество ботов направляют на атакуемый узел большое количество запросов на установление соединений. Когда исчерпано количество возможных соединений, сервер перестает отвечать. Более сложная атака заключается в создании полуоткрытых соединений на стороне сервера, то есть в прекращении взаимодействия в процессе установления соединения или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию.

UDP-Flood -- затопление канала жертвы большим количеством «больших» UDP-пакетов. Этим вызывается перегрузка канала связи, и сервер перестает отвечать.

ICMP-Flood или Ping Flood -- затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом атакуемая система должна ответить на каждый такой запрос, тем самым, с одной стороны, создается большое количество ответных пакетов, которые снижают пропускную способность канала, а с другой стороны, загружаются ресурсы сервера.

HTTP-flood -- вызывает перегрузку сервера за счет многократных запросов обычными http-пакетами.

Downloading-flood -- забивает канал жертвы трафиком. Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема.

POST/GET-flood -- вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Это могут быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых запросов, что вызывает нагрузку на сервер приложений и базы данных.

Источник: «Лаборатория Касперского»

Михаил Савельев, менеджер проекта Kaspersky DDoS Prevention, «Лаборатория Касперского»