• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

DDoS – массовое оружие точечного поражения (часть третья). Расширенный арсенал темной силы. Чем пользуются Ситхи в мире DDoS.

  • Автор темы Mr.Dante
  • Дата начала

M

Mr.Dante

Гость
DDoS – массовое оружие точечного поражения (часть третья). Расширенный арсенал темной силы. Чем пользуются Ситхи в мире DDoS.
И снова всем привет. Не так давно мы затронули тему «дудоськи». Ну что, наши маленькие джедаи, сегодня мы продолжим рассказ о том, что дает такая темная сила, как DDoS. Для тех, кто только посетил нас, спешим напомнить:
И сегодня я дополню, нет, наверное, логичнее сказать, освещу немного шире весь функционал DDoS. Мало ли, вдруг вам понадобится знать тему полнее, мы не спрашиваем зачем, конечно же, только в образовательных целях. Если вы понимаете, о чем я. Ну что же, берем свои световые мечи, ибо тема темная, но интересная.

Vaduda_Darth_Vader_with_a_laptop_realistic_graphics_c131665c-21f6-4df6-bbd3-e8db275735b2.png


Методология DDoS – маленький букварь темных делишек
Как уже писал наш коллега X-Shar во второй части цикла, есть несколько видов DDoS-атаки, но сейчас мы пройдемся по ним всем, а не только по флудильной части этого аспекта.

Протокольное наступление
ДДоС атака этого типа направлена всегда на сетевой уровень сервера. Отсюда и название «сетевая атака» или же «транспортная атака». Она привазана перегрузить работу сервера, а точнее его системы, включая брендмауер. Система, которая балансирует нагрузку на серв, при такой атаке просто не справляется. Представьте, что у вас 20 дверей, и в каждую из них стучат или звонят через промежуток меньше секунды. Сойдете с ума? Вот и сервер сходит с катушек.

Самой частой атакой такого уровня, как уже писал наш коллега во второй части цикла о ДДоС, является сетевой флуд. Принимающий узел просто не успевает за многократными обращениями-пустышками.

Да, сервер может использовать внутренние алгоритмы защиты. Например, правило FIFO. Оно заставляет сервер отказаться от обработки вторичных запросов, пока он не закончил с первым. Но флуд настолько забивает пропускной канал, что серверу просто не хватает ресурсов, чтобы даже с первым забросом разобраться. Грубо говоря, он просто не может найти того, кто первый дал ему в щи, потому что пиздят его каждую секунду с разных сторон. Это для тех, кто привык понимать информацию фигурально.

Из видов сетевого флуда можно выделить:

  • HTTP-флуд — на атакуемый сервер отправляется масса обычных или шифрованных HTTP-сообщений, забивающих узлы связи.
  • ICMP-флуд — ботнет злоумышленника перегружает хост-машину жертвы служебными запросами, на которые она обязана давать эхо-ответы. Частный пример такого типа атак — Ping-флуд или Smurf-атака, когда каналы связи заполняются ping-запросами, использующимися для проверки доступности сетевого узла. Именно из-за угрозы ICMP-флуда системные администраторы зачастую целиком блокируют возможность делать ICMP-запросы с помощью фаервола.
  • SYN-флуд — атака воздействует на один из базовых механизмов действия протокола TCP, известного как принцип «тройного рукопожатия» (алгоритм «запрос-ответ»: SYN пакет — SYN-ACK пакет — ACK пакет). Жертву заваливают валом фальшивых SYN-запросов без ответа. Канал пользователя забивается очередью TCP-подключений от исходящих соединений, ожидающих ответного ACK пакета.
  • UDP-флуд — случайные порты хост-машины жертвы заваливаются пакетами по протоколу UDP, ответы на которые перегружает сетевые ресурсы. Разновидность UDP-флуда, направленная на DNS-сервер, называется DNS-флуд.
  • MAC-флуд — целью являются сетевое оборудование, порты которого забиваются потоками «пустых» пакетов с разными MAC-адресами. Для защиты от подобного вида DDoS-атак на сетевых коммутаторах настраивают проверку валидности и фильтрацию MAC-адресов.
Думаете это все в арсенале ситха и темной стороны? Как бы не так. Любителям этого дела еще есть чем вам удивить!

Наступление прикладного уровня
Знаете, в играх вот иногда хочется пушку помощнее. В мире ДДоСа прикладной уровень и есть эта вундервафля. Используется данный метод в тех случаях, когда доступ нужно получить не только к физической памяти, но и к оперативной или даже к процессорному времени.

И тут вам, то есть нам, ну то есть вообще тем, кто этим занимается, даже не обязательно грузить пропускной канал бедного юзера. Раз цель другая – то и методика другая. Здесь занимается все процессорное время, то есть, происходит подтаскивание проца к перегрузке. Нет-нет, это совсем не так как в фильмах, когда зачастую кулзацкеры пытаются что-то взломать через эксель, а в дешевых фильмах вообще нажимают клавиши со скриншотом куска кода на экране. Замечали такое?

Из видов ДДоС атак прикладного уровня, тебе, наш маленький ситх (ну или джедай, тут кому как, но на темной стороне есть печеньки), мы расскажем о:

  • Тяжелые пакеты. То есть, данные со сложными вычислениями. Сервак просто не справляется, как двоечник на контрольной. Мощностей у него не хватает, и он просто начинает блокировать посетителей ресурса.
  • Скриптовые пустышки. Уже из названия понятно, на чем основан принцип. Запускается скрипт, которые создает мусорные данные и буквально заваливает сервак, пока он не начинает захлебываться. Данные эти могут быть разными логами, сгенерированными комментариями и прочим. Если администратор в голове имеет хлебушек, а не мозги, и он не установил лимит на сервере, то все место на жетских дисках можно забить по самый небалуй.
  • Использование системы квотирования. Некоторые серверы используют для связи с внешними программами CGI-интерфейс (Common Gateway Interface, «общий интерфейс шлюза»). Она позволяет назначить рамки, которые определяют каким процессам какие мощности можно выделить. Таким образом, получив доступ к CGI можно создать скрипт, который переназначит мощности, и их хакер может использовать в своих целях. Еще проще, представьте, что вы берете машину у бати, чтобы поехать на дачу, а сами мотнулись к шлюхам и блек-джеку, и еще бензин попутно весь сожгли. Вот что-то типа того.
  • Неполная проверка данных посетителя. Сервер – машина, в ее алгоритме всегда есть задача полного анализа посетителя или пользователя. Если проверка произведена не полностью по той или иной причине (искусственно созданной), зачастую сервер зацикливает эту задачу, пока она не будет выполнена до самого конца. А если таких пользователей тысячи? А сотни тысяч? Смекаешь, наш юный падаван?
  • Атака второго рода. Круто звучит, да? Нам тоже нравится. Чтобы упростить объяснение, давай фигурально опишем сие. Видели фильмы, где какие-нибудь бункеры, когда в них вошел человек, по ошибке намертво запирались? Вот эта атака имеет подобный принцип. У сервера, как уже писалось выше, есть системы защиты. Да, они могут быть полным гавном, но они есть. И есть в них такая функция, как блокировка ресурса от внешних угроз. То есть, сервер, как и ресурс, который на нем, полностью отключается от внешнего мира в целях защиты. Что для этого нужно? Создать урозу.
То есть, атаки прикладного уровня немного отличаются от вышеописанных. Флуд можно описать как атаку клонов, а прикладные атаки как скрытую угрозу. Прямо не ДДоС, а звездные войны.

Наступление на уровне приложений
А мы хорошо разогнались со статьей, да? Погнали еще глубже, так сказать, прочувствуем всю мощь темной силы. Что такое атака на уровне приложений? Фигурально – это использование ошибок и упущений от криворуких кодеров в ПО. То есть, здесь юзаются уязвимости в коде. Причем уязвимости внешнего воздействия. Одной из самых частых атак является «Пинг Смерти», или же Ping of death. — массовая отправка компьютеру жертвы ICMP-пакетов большей длины, вызывающих переполнение буфера.

Перегрузка сетевых каналов – это мелочь, на которую профессионалы в мире хакинга размениваться не будут. Например, для «работы» с крупными компаниями и их системами сетевые атаки особого вреда не принесут. Тогда вступаем флот темной империи ситхов. А именно – эксплойты. Тогда мастера темной стороны пишут программу, цепочку команд или часть программного кода, учитывающие уязвимость ПО жертвы и применяющиеся для наступления на компьютер.

Такие атаки можно грубо обозвать DNS-атаками и разделить их на две группы:

  • Первая группа. Так как у нас тут все в стиле звездных войн, представьте, что это ваши штурмовики. Из наиболее известных таких атак можно привести Zero–day attack («Атака нулевого дня») и Fast Flux DNS («Быстрый поток»). Один из самых распространённых типов DNS-атак называется DNS–Spoofing («DNS-спуфинг»). Для неискушенных в тематике хакинга дадим объяснение - DNS-спуфинг является программируемой подменой DNS-серверов. В ходе такой атаки в буфере самого сервера производится подмена IP-адреса, пользователь в результате переходит на страницу, нужную хакеру. Например, открываешь ты страничку с прикольными обоями, а вылазиет у тебя на весь экран огромный такой буй. И пока ты любуешься, все твои данные качаются на сторонний сервак. Думаете такое не прокатывает? Ошибаетесь. В 2009 году Твиттер был атакован вот таким способом, кстати сделали это иранские хакеры.
  • Вторя группа. А вот это уже тяжелая артиллерия. Это ДДоС-атаки, которые не подменяют ДНС-адреса. Они полностью выводят их из строя. То есть, пользователь не сможет посетить ресурс, так как браузер просто не найдет IP-адрес, которому присуща та или иная ссылка.
Для юмора и фигуральности опишу так. Идешь ты такой за своей любимой шавухой, а тебе в привычном ларьке продает жопку носорога с горчицей – это первая группа. А если ты идешь за шавухой, а ларька нет вообще, а рядом сидящий бомж (браузер) вообще не вдупляет, был ли тут ларек – это вторая группа.

Post Scriptum
На этом третья часть нашего цикла подошла к концу. Написано много, и я надеюсь, что тебя, наш юный падаван, не утомило чтение. И если так, ставь свой класс, подписывайся на все наши каналы, коменти, спрашивай, читай и самообразовывайся. Это не последняя часть, так как в следующих мы поговори более подробно о защите от таких вот атак. Повторюсь, загляни во вторую часть нашего цикла, там много всего интересного, а в первой ты узнаешь в общих чертах, что это вообще за ДДоС.

Напоминаем, что у нас есть:

Как мы можем видеть, вредоносы, как и ПО, которое противодействует им, постоянно совершенствуется. Его дополняют, учат работать с другим ПО, дополняют функциональность. Но, если предпринимать хотя бы первичные действия для своей безопасности в сети, можно минимизировать вероятность заражения своей машины. А в этом вам поможет «Ру-Сфера».

С вами был рупор сетевой безопасности «Ру-Сфера»! будем благодарны за ваш комментарий, вопрос, лайк, подписку и просто за ваше внимание, ведь именно для вас и существует наш ресурс. Не стоит забывать, что у нас есть:

  • Дзен: ;
  • ВК: ;
  • Telegram: ;
  • Портал: .
Будьте бдительны, следите за своей безопасностью и да прибудет с вами сила. Темная или светлая, решать каждому)))! До связи, услышимся на одном из наших ресурсов или в следующей статье! 1100010 1111001 1100101.
 
Верх Низ