Ein bisschen über die Arten von DDoS-Angriffen und Schutzmethoden

    Nach unserer Forschung hat die Skala von DDoS-Attacken um etwa 50 Mal in den letzten Jahren gestiegen. Gleichzeitig „markieren“ Cyberkriminelle sowohl lokale Infrastrukturen als auch öffentliche Cloud-Plattformen, auf die sich Kundenentscheidungen konzentrieren.

    „Erfolgreich umgesetzte Angriffe haben einen direkten Einfluss auf Geschäftskunden und haben zerstörerische Folgen“ - kommentierte Darren Anstey (Darren Anstee), Vertreter der Firma Arbor Networks, die liefert Lösungen für die Sicherheit in Netzwerken.

    Gleichzeitig nimmt auch die Häufigkeit von Angriffen zu. Ende 2014 waren es 83.000, und im ersten Quartal 2015 stieg die Zahl auf 126.000. Daher möchten wir in unserem heutigen Material verschiedene Arten von DDoS-Angriffen sowie Möglichkeiten zum Schutz vor ihnen berücksichtigen. / Flickr / Kenny Louie / CC DoS-Angriff (Denial of Service - Denial of Service) ist eine Bombardierung der Server des Opfers in separaten Paketen mit einer gefälschten Absenderadresse. Der Fehler ist in diesem Fall das Ergebnis eines Überlaufs (Verstopfung des Datenverkehrs) des vom Client gemieteten Bandes oder eines erhöhten Ressourcenverbrauchs auf dem angegriffenen System.






    Gleichzeitig maskieren Angreifer die Absenderadresse, um die Möglichkeit einer IP-Blockierung zu verhindern. Wenn der Angriff verteilt und gleichzeitig von einer großen Anzahl von Computern ausgeführt wird, spricht man von einem DDoS-Angriff. Schauen wir uns einige gängige Typen an.

    TCP SYN Flood


    Der Zweck des SYN Flood-Angriffs besteht darin, Systemressourcenüberschreitungen zu verursachen. Für jedes eingehende SYN-Paket reserviert das System bestimmte Ressourcen im Speicher, generiert eine SYN + ACK-Antwort, die kryptografische Informationen enthält, sucht in Sitzungstabellen usw. - das heißt, es verbraucht Prozessorzeit. Denial-of-Service tritt bei einem SYN-Flood-Flow von 100 bis 500.000 Paketen pro Sekunde auf. Und ein Angreifer mit mindestens einem Gigabit-Kanal kann einen Stream von bis zu 1,5 Millionen Paketen pro Sekunde leiten.



    Der Schutz gegen die Art der SYN-Flood-Angriffe erfolgt über DPI-Systeme, die den durch sie fließenden Verkehr analysieren und steuern können. Diese Funktionalität bietet beispielsweise eine SCAT- Lösung von VAS-Experten. Das System erkennt einen Angriff zuerst, wenn der vom Client nicht bestätigte Schwellenwert für SYN-Anforderungen überschritten wird, und reagiert dann unabhängig anstelle der geschützten Site auf diese. Eine TCP-Sitzung wird von geschützten Sites aus organisiert, nachdem der Client die Anforderung bestätigt hat.

    Fragmentierte UDP-Flut


    Dieser Angriff wird von fragmentierten UDP-Paketen kleiner Größe ausgeführt, für deren Analyse und Zusammenstellung die Plattform Ressourcen zuweisen muss. Systeme zur Analyse des tiefen Verkehrs bieten auch Schutz vor dieser Art von Überschwemmung, indem Protokolle verworfen werden, die für die Website des Kunden nicht relevant sind, oder sie auf die Bandbreite beschränkt werden. Für Websites sind die Arbeitsprotokolle beispielsweise HTTP, HTTPS. In diesem Fall können irrelevante Protokolle einfach ausgeschlossen oder in der Bandbreite begrenzt werden.

    Botnet-Angriff


    Angreifer versuchen normalerweise, die Spur des Opfers mit einer großen Anzahl von Paketen oder Verbindungen zu überfluten, wodurch die Netzwerkausrüstung überlastet wird. Solche volumetrischen Angriffe werden mit vielen kompromittierten Systemen ausgeführt, die Teil des Bodnetzes sind.



    In diesem Beispiel (Bild oben) steuert ein Angreifer mehrere „Zombiemaschinen“, um Angriffe auszuführen. "Zombies" kommunizieren mit dem Host-Computer über einen sicheren verdeckten Kanal, und die Steuerung erfolgt häufig über IRC, P2P-Netzwerke und sogar über Twitter.

    Bei dieser Art von Angriff muss der Benutzer nicht die IP-Adresse jedes Computers verbergen. Aufgrund der großen Anzahl von Computern, die an dem Angriff beteiligt sind, führen solche Aktionen zu einer erheblichen Belastung der Site. Darüber hinaus wählen Angreifer normalerweise die ressourcenintensivsten Anforderungen.

    Zum Schutz vor Botnet-Angriffen werden verschiedene Verhaltensstrategien eingesetzt, deren Aufgabe es ist, unerwartete Abweichungen und Verkehrsstöße zu erkennen. Eine weitere Option, die VAS Experts anbietet, ist die Verwendung des Tests.Turing (Seiten mit CAPTCHA).

    In diesem Fall dürfen nur Benutzer mit der Site arbeiten, die den Menschlichkeitstest erfolgreich bestanden haben. Gleichzeitig befindet sich die Captcha-Seite auf einem separaten Server, der den Fluss von Botnet-Anforderungen beliebiger Größe verarbeiten kann.

    Ich möchte auch die Angriffe erwähnen, die vor relativ kurzer Zeit aufgetreten sind. Wir sprechen über Angriffe auf IoT-Geräte, um sie zu "erfassen" und in ein Botnetz für DDoS-Angriffe aufzunehmen.

    Laut dem BerichtSymantec, 2015, brach Rekorde in Bezug auf die Anzahl der Angriffe auf das Internet der Dinge, und acht neue Malware-Familien erschienen im Internet. Die Angriffe wurden aus mehreren Gründen häufiger. Erstens sind viele intelligente Geräte ständig über das Internet verfügbar, verfügen jedoch gleichzeitig nicht über zuverlässige Schutzmittel - die Verarbeitungsleistung lässt dies nicht zu. Darüber hinaus aktualisieren Benutzer häufig keine Software, was nur das Risiko von Hacking erhöht.

    Angreifer verwenden eine einfache Taktik: Sie scannen alle verfügbaren IP-Adressen und suchen nach offenen Telnet- oder SSH-Ports. Wenn solche Adressen gefunden werden, versuchen sie, sich mit einem Standardsatz von Anmeldungen und Kennwörtern anzumelden. Wenn Zugriff auf das Gerät erhalten wird, wird eine Skriptdatei (.sh) heruntergeladen, die den Bot-Körper pumpt, startet und den Zugriff auf das Gerät schließt, Telnet-Ports blockiert und Änderungen an iptables vornimmt, um zu verhindern, dass das System von einem anderen Wurm abgefangen wird.

    Um das Risiko zu minimieren oder das Hacken von IoT-Geräten zu vermeiden, müssen Sie einfache Schritte ausführen: Deaktivieren Sie nicht verwendete Netzwerkfunktionen des Geräts, deaktivieren Sie den Telnet-Zugriff und greifen Sie auf SSH zu, wechseln Sie nach Möglichkeit zu einer Kabelverbindung anstelle von Wi-Fi und aktualisieren Sie die Software regelmäßig.

    Schlumpfangriffe


    Der Angreifer sendet ein gefälschtes ICMP-Echo-Paket an die Broadcast-Adresse. In diesem Fall wird die Quelladresse des Pakets durch die Adresse des Opfers ersetzt, um das Zielsystem zu "ersetzen". Da das Echo-Paket an die Broadcast-Adresse gesendet wurde, geben alle verstärkenden Netzwerkmaschinen ihre Antworten an das Opfer zurück. Nach dem Senden eines ICMP-Pakets an ein Netzwerk von 100 Systemen initiiert der Angreifer eine hundertfache Erhöhung des DDoS-Angriffs.

    Um den Effekt der Verstärkung zu verhindern, empfehlen Netzwerksicherheitsexperten, den direkten Rundfunkbetrieb auf allen Grenzroutern zu verbieten. Es lohnt sich außerdem, das Betriebssystem zusätzlich auf den "stillen" Modus zum Verwerfen von Broadcast-ICMP-Echo-Paketen einzustellen.

    Verbesserter DNS-Angriff


    Ein Gain-Angriff ist der häufigste DDoS-Angriff mit rekursiven Nameservern. Es ähnelt einem Schlumpfangriff, nur dass der Angreifer in diesem Fall kleine Anfragen an den DNS-Resolver sendet, als würde er gezwungen, Antworten an die gefälschte Adresse zu senden.

    Als konkretes Beispiel wurde im Februar 2007 eine Reihe von Angriffen auf Root-DNS-Server ausgeführt, von denen die normale Funktionsweise des gesamten Netzwerks direkt abhängt. Beliebte Verteidigungsmethoden gegen diese Art von Angriff finden Sie auf der Cisco- Website .

    TCP-Reset


    Das Zurücksetzen von TCP erfolgt durch Bearbeiten von RST-Paketen auf einer TCP-Verbindung. Ein RST-Paket ist ein Header, der signalisiert, dass eine erneute Verbindung erforderlich ist. Dies wird normalerweise verwendet, wenn ein Fehler festgestellt wurde oder wenn das Laden von Daten gestoppt werden muss. Ein Angreifer kann eine TCP-Verbindung unterbrechen, indem er ständig ein RST-Paket mit gültigen Werten sendet, wodurch es unmöglich wird, eine Verbindung zwischen der Quelle und dem Empfänger herzustellen.

    Diese Art von Angriff kann verhindert werden - es ist notwendig, jedes übertragene Paket zu überwachen und sicherzustellen, dass die Ziffernfolge in der richtigen Reihenfolge eintrifft. Deep-Traffic-Analysesysteme übernehmen dies.

    Das Hauptziel des Hackens von Geräten ist nun die Organisation von DDoS-Angriffen oder die Verursachung von Schäden durch Einschränkung des Benutzerzugriffs auf die Site im Internet. Daher bieten und organisieren Telekommunikationsbetreiber selbst, Internetanbieter und andere Unternehmen, einschließlich VAS-Experten , auch DDoS-Schutzlösungen - Echtzeit-Verkehrsüberwachung zur Verfolgung von Bandanomalien und Bursts, die Carrier Grade NAT- Funktion , mit der Sie sich „verstecken“ können »Das Gerät des Teilnehmers vor Eindringlingen, das den Zugriff aus dem Internet blockiert, sowie andere intelligente und sogar selbstlernende Systeme.

    Weiterführende Literatur zu DPI (Deep Packet Inspection):


    Jetzt auch beliebt: