Hva er dos ddos-angrep. Hvorfor er DoS- og DDoS-angrep farlige? Metoder for angrep og forsvar

Legg igjen en kommentar 6,950

Hensikten med et DDoS-angrep kan enten være å blokkere en konkurrents prosjekt eller en populær ressurs, eller å få full kontroll over systemet. Når du markedsfører et nettsted, må du ta hensyn til at DoS-betingelser oppstår av følgende årsaker:

på grunn av feil i programkoden som fører til utførelse av ugyldige instruksjoner, tilgang til en ubrukt del av adresserommet, etc.;
på grunn av utilstrekkelig verifisering av brukerdata, noe som kan føre til en lang (eller uendelig) syklus, økt forbruk av prosessorressurser, utmattelse av minne, etc.;
på grunn av flom - et eksternt angrep gjennom et stort antall feil utformede eller meningsløse forespørsler til serveren. Skille mellom oversvømmelse av TCP-delsystem, kommunikasjonskanaler og applikasjonslag
på grunn av ytre påvirkning, hvis formål er å forårsake en falsk drift av beskyttelsessystemet og som et resultat føre til utilgjengelighet av ressursen.

Beskyttelse

DDoS-angrep gjør det vanskeligere fordi sider faller ut av indeksen hvis serveren er nede i lang tid. Signatur-, statistiske og hybridmetoder brukes for å oppdage trusler. De første er basert på kvalitativ analyse, de andre - på kvantitative, de tredje kombinerer fordelene med de tidligere metodene. Mottiltak er passive og aktive, forebyggende og reaktive. Følgende metoder brukes hovedsakelig:

eliminering av personlige og sosiale årsaker som får folk til å organisere DDoS-angrep,
svartholing og trafikkfiltrering,
eliminering av kodesårbarheter i løpet av nettstedsøkemotoroptimalisering,
øke serverressurser, bygge dupliserte og distribuerte systemer for backup-brukertjeneste,
teknisk, organisatorisk og juridisk innvirkning på arrangøren, kildene eller angrepskontrollsenteret,
installasjon av utstyr for å avvise DDoS-angrep (Arbor Peakflow®, DefensePro®, etc.),
kjøpe en dedikert server for å være vert for et nettsted.

DoS-angrep (Denial of Service-angrep)- et angrep på et datasystem for å få det til å mislykkes, det vil si opprettelsen av slike forhold som gjør at de legitime (legitime) brukerne av systemet ikke kan få tilgang til ressursene (serverne) levert av systemet, eller dette tilgang er vanskelig. Feilen i "fiendens"-systemet kan også være et skritt mot å mestre systemet (hvis programvaren i en nødssituasjon gir ut kritisk informasjon - for eksempel en versjon, en del av programkoden osv.). Men oftere er det et mål på økonomisk press: nedetid for en tjeneste som genererer inntekter, regninger fra leverandøren, og tiltak for å unngå et angrep treffer målet betydelig.

Hvis et angrep utføres samtidig fra et stort antall datamaskiner, snakker de om DDoS-angrep (fra det engelske Distributed Denial of Service, et distribuert denial of service-angrep)... I noen tilfeller utløses det faktiske DDoS-angrepet av en utilsiktet handling, for eksempel ved å plassere en lenke på en populær Internett-ressurs til et nettsted som ligger på en lite produktiv server (slashdot-effekt). En stor tilstrømning av brukere fører til overskridelse av tillatt belastning på serveren og følgelig tjenestenekt for noen av dem.

DoS-angrepstyper

Det er forskjellige årsaker til en DoS-tilstand:

* Feil i programkoden som fører til tilgang til en ubrukt del av adresserommet, kjøring av en ugyldig instruksjon eller annet ubehandlet unntak når serverprogrammet krasjer. Et klassisk eksempel er adressering til en null-adresse. Utilstrekkelig verifisering av brukerdata, noe som fører til en uendelig eller lang syklus eller økt langsiktig forbruk av prosessorressurser (opp til utmattelse av prosessorressurser) eller tildeling av en stor mengde RAM (opp til utmatting av tilgjengelig minne).

* Oversvømmelse(engelsk flood - "flood", "overflow") - et angrep assosiert med et stort antall vanligvis meningsløse eller feil utformede forespørsler til et datasystem eller nettverksutstyr, som har som mål eller ført til systemfeil på grunn av utmattelse av systemressurser - prosessor, minne eller kommunikasjonskanaler.

* Type II angrep- et angrep som søker å forårsake en falsk drift av beskyttelsessystemet og dermed føre til utilgjengelighet av en ressurs. Hvis et angrep (vanligvis en flom) utføres samtidig fra et stort antall IP-adresser - fra flere datamaskiner spredt i nettverket - så kalles det i dette tilfellet et distribuert denial of service (DDoS) angrep.

Flomtyper

En flom er en enorm strøm av meningsløse forespørsler fra forskjellige datamaskiner for å okkupere et "fiende" system (prosessor, RAM eller kommunikasjonskanal) med arbeid og dermed midlertidig deaktivere det. Konseptet "DDoS-angrep" tilsvarer praktisk talt konseptet "flom", og i hverdagen brukes begge ofte om hverandre ("flood the server" = "override the DDoS server").

For å lage en flom kan både vanlige nettverksverktøy som ping (dette er kjent for eksempel internettsamfunnet "Upyachka") og spesielle programmer brukes. DDoS-funksjoner er ofte "sydd sammen" i botnett. Hvis et skriptsårbarhet på tvers av nettsteder eller muligheten til å inkludere bilder fra andre ressurser blir funnet på et nettsted med høy trafikk, kan dette nettstedet også brukes til et DDoS-angrep.

Enhver datamaskin som kommuniserer med omverdenen via TCP/IP er underlagt følgende typer flom:

* SYN flom- i denne typen flomangrep sendes et stort antall SYN-pakker over TCP-protokollen til den angrepne verten (forespørsler om å åpne en forbindelse). Samtidig, etter kort tid, går antall sockets (programvarenettverkskontakter, porter) som er tilgjengelige for åpning på den angrepne datamaskinen ut og serveren slutter å svare.

* UDP-flom- denne typen flom angriper ikke måldatamaskinen, men dens kommunikasjonskanal. ISPer antar rimeligvis at UDP-pakker skal leveres først, mens TCP-pakker kan vente. Et stort antall UDP-pakker av forskjellige størrelser tetter opp kommunikasjonskanalen, og serveren som kjører over TCP-protokollen slutter å svare.

* ICMP-flom- det samme, men bruker ICMP-pakker.

Mange tjenester er utformet på en slik måte at en liten forespørsel kan forårsake et stort forbruk av datakraft på serveren. I dette tilfellet er det ikke kommunikasjonskanalen eller TCP-delsystemet som blir angrepet, men selve tjenesten (tjenesten) - av en flom av slike "syke" forespørsler. For eksempel er webservere sårbare for HTTP-oversvømmelse - en enkel GET / eller en kompleks databasespørring som GET /index.php?search= kan brukes til å deaktivere en webserver.<случайная строка>.

DoS-angrepsdeteksjon

Det hendte at de negative konsekvensene av et angrep (flomangrep) resulterte i unødvendige utgifter for å betale for overflødig Internett-trafikk, som først ble avslørt ved mottak av en faktura fra en Internett-leverandør. I tillegg er mange inntrengningsdeteksjonsmetoder ineffektive nær målet, men effektive på nettverksryggrad. I dette tilfellet er det tilrådelig å installere deteksjonssystemene der, og ikke vente på at den angrepne brukeren legger merke til det og ber om hjelp. I tillegg, for å effektivt kunne motvirke DoS-angrep, er det nødvendig å kjenne til typen, arten og andre kjennetegn ved DoS-angrep, og deteksjonssystemer lar deg raskt få tak i denne informasjonen.

DoS-angrepsdeteksjonsmetoder kan deles inn i flere store grupper:

* signatur- basert på kvalitativ trafikkanalyse,

* statistisk- basert på kvantitativ trafikkanalyse,

* hybrid (kombinert)- kombinere fordelene med begge metodene ovenfor.

DoS-beskyttelse

Mottiltak mot DoS-angrep kan deles inn i passive og aktive, samt forebyggende og reaktive. Nedenfor er en kort liste over hovedmetodene.

* Forebygging. Forebygging av årsaker som får visse personer til å organisere og gjennomføre DoS-angrep. (Svært ofte er nettangrep generelt et resultat av personlige klager, politiske, religiøse og andre uenigheter, provoserende oppførsel til offeret, etc.)

* Filtrering og svartholing. Blokkering av trafikk fra angripende maskiner. Effektiviteten til disse metodene avtar etter hvert som du kommer nærmere målet for angrepet og øker etter hvert som du kommer nærmere angrepsmaskinen.

* Eliminering av sårbarheter. Fungerer ikke mot flomangrep, der "sårbarheten" er begrensetheten til visse systemressurser.

* Bygge opp ressurser. Naturligvis gir det ikke absolutt beskyttelse, men det er en god bakgrunn for bruk av andre typer beskyttelse mot DoS-angrep.

* Spredning. Bygge distribuerte og duplisere systemer som ikke vil slutte å betjene brukere, selv om noen av elementene deres blir utilgjengelige på grunn av et DoS-angrep.

* Unnvikelse. Flytte det umiddelbare målet for angrepet (domenenavn eller IP-adresse) bort fra andre ressurser, som ofte også påvirkes sammen med det direkte målet for angrepet.

* Proaktiv respons. Innvirkning på kilder, arrangør eller angrepskontrollsenter, både av menneskeskapte og ved organisatoriske og juridiske midler.

* Bruk av utstyr for å avvise DoS-angrep. For eksempel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® og andre produsenter.

* Kjøpe en tjeneste for å beskytte mot DoS-angrep. Relevant hvis flommen overskrider båndbredden til nettverkskanalen.

På et datasystem for å få det til å mislykkes, det vil si opprettelsen av forhold under hvilke lovlige (legitime) brukere av systemet ikke kan få tilgang til ressursene (serverne) levert av systemet, eller denne tilgangen er vanskelig. Svikt i et "fiende"-system kan også være et skritt mot å mestre systemet (hvis programvaren i en nødsituasjon gir ut kritisk informasjon - for eksempel en versjon, en del av programkoden osv.). Men oftere er det et mål på økonomisk press: nedetid for en tjeneste som genererer inntekter, regninger fra leverandøren, og tiltak for å unngå et angrep treffer målet betydelig.

Hvis et angrep utføres samtidig fra et stort antall datamaskiner, snakker de om DDoS-angrep(fra engelsk. nektet tilgang til tjenester, distribuert tjenestenektangrep). I noen tilfeller utløses det faktiske DDoS-angrepet av en utilsiktet handling, for eksempel ved å plassere en lenke på en populær Internett-ressurs til et nettsted som ligger på en lite produktiv server (slashdot-effekt). En stor tilstrømning av brukere fører til overskridelse av tillatt belastning på serveren og følgelig tjenestenekt for noen av dem.

DoS-angrepstyper

Det er forskjellige årsaker til en DoS-tilstand:

Feil i programkoden, noe som fører til tilgang til en ubrukt del av adresserommet, utførelse av en ugyldig instruksjon, eller annet ubehandlet unntak når en unormal avslutning av serverprogrammet - serverprogrammet oppstår. Et klassisk eksempel er null reversering (eng. null) adresse.
Utilstrekkelig validering av brukerdata fører til en uendelig eller lang syklus eller økt langsiktig forbruk av prosessorressurser (opp til utmattelse av prosessorressurser) eller tildeling av en stor mengde RAM (opp til oppbrukt tilgjengelig minne).
Oversvømmelse(eng. oversvømmelse- "flom", "overløp") - et angrep assosiert med et stort antall vanligvis meningsløse eller feilformaterte forespørsler til et datasystem eller nettverksutstyr, rettet mot eller fører til en systemfeil på grunn av utmattelse av systemressurser - en prosessor , minne eller kommunikasjonskanaler.
Type II angrep- et angrep som søker å forårsake en falsk drift av beskyttelsessystemet og dermed føre til utilgjengelighet av en ressurs.

Hvis et angrep (vanligvis en flom) utføres samtidig fra et stort antall IP-adresser - fra flere datamaskiner spredt i nettverket - kalles det i dette tilfellet distribuert tjenestenekt angrep ( DDoS).

Utnytter feil

Utnytte refererer til et program, et stykke programvarekode eller en sekvens av programvarekommandoer som utnytter sårbarheter i programvare og brukes til å utføre et angrep på et cybersystem. Av utnyttelsene som fører til et DoS-angrep, men uegnet for eksempel for å ta kontroll over et «fiende»-system, er de mest kjente WinNuke og Ping of death.

Oversvømmelse

For en flom som et brudd på nettetikett, se Flood.

Oversvømmelse ringe en enorm strøm av meningsløse forespørsler fra forskjellige datamaskiner for å okkupere "fiendens" system (prosessor, RAM eller kommunikasjonskanal) med arbeid og dermed midlertidig deaktivere det. Konseptet "DDoS-angrep" tilsvarer praktisk talt konseptet "flom", og i hverdagen brukes begge ofte om hverandre ("flood the server" = "override the DDoS server").

Kommunikasjonskanal og TCP-delsystem oversvømmelse

Enhver datamaskin som kommuniserer med omverdenen via TCP/IP er underlagt følgende typer flom:

SYN-flom - i denne typen flomangrep sendes et stort antall SYN-pakker over TCP-protokollen (forespørsler om å åpne en forbindelse) til den angrepne verten. Samtidig, etter kort tid, er antall tilgjengelige sockets for åpning (programvarenettverkskontakter, porter) på den angrepne datamaskinen oppbrukt og serveren slutter å svare.
UDP-flom - denne typen flom angriper ikke måldatamaskinen, men dens kommunikasjonskanal. ISPer antar rimeligvis at UDP-pakker skal leveres først, og TCP kan vente. Et stort antall UDP-pakker av forskjellige størrelser tetter opp kommunikasjonskanalen, og serveren som kjører over TCP-protokollen slutter å svare.
ICMP flom - det samme, men bruker ICMP-pakker.

Påføringsnivå flom

DoS-angrepsdeteksjon

Det antas at det ikke kreves spesialverktøy for å oppdage DoS-angrep, siden faktumet av et DoS-angrep ikke kan overses. I mange tilfeller er dette sant. Imidlertid ble det ganske ofte observert vellykkede DoS-angrep, som ble lagt merke til av ofrene først etter 2-3 dager. Det skjedde at de negative konsekvensene av angrepet ( oversvømmelse angrep) resulterte i unødvendige utgifter for å betale for overflødig Internett-trafikk, som først ble avslørt ved mottak av en faktura fra en Internett-leverandør. I tillegg er mange inntrengningsdeteksjonsmetoder ineffektive nær målet, men effektive på nettverksryggrad. I dette tilfellet er det tilrådelig å installere deteksjonssystemene der, og ikke vente på at den angrepne brukeren legger merke til det og ber om hjelp. I tillegg, for å effektivt kunne motvirke DoS-angrep, er det nødvendig å kjenne til typen, arten og andre kjennetegn ved DoS-angrep, og deteksjonssystemer lar deg raskt få tak i denne informasjonen.

DoS-angrepsdeteksjonsmetoder kan deles inn i flere store grupper:

signaturbasert - basert på kvalitativ trafikkanalyse.
statistisk - basert på kvantitativ trafikkanalyse.
hybrid (kombinert) - kombinerer fordelene med begge metodene ovenfor.

DoS-beskyttelse

Mottiltak mot DoS-angrep kan deles inn i passive og aktive, samt forebyggende og reaktive.

Nedenfor er en kort liste over hovedmetodene.

Forebygging. Forebygging av årsaker som får visse personer til å organisere og gjennomføre DoS-angrep. (Svært ofte er nettangrep generelt et resultat av personlige klager, politiske, religiøse og andre uenigheter, provoserende oppførsel til offeret, etc.)
Filtrering og svartholing. Blokkering av trafikk fra angripende maskiner. Effektiviteten til disse metodene avtar etter hvert som du kommer nærmere målet for angrepet og øker etter hvert som du kommer nærmere angrepsmaskinen.
Omvendt DDOS- omdirigere trafikken som ble brukt til angrepet til angriperen.
Eliminering av sårbarheter. Fungerer ikke mot oversvømmelse- angrep der "sårbarheten" er begrensetheten til visse systemressurser.
Bygge opp ressurser. Naturligvis gir det ikke absolutt beskyttelse, men det er en god bakgrunn for bruk av andre typer beskyttelse mot DoS-angrep.
Spredning. Bygge distribuerte og duplisere systemer som ikke vil slutte å betjene brukere, selv om noen av elementene deres blir utilgjengelige på grunn av et DoS-angrep.
Unnvikelse. Flytte det umiddelbare målet for angrepet (domenenavn eller IP-adresse) bort fra andre ressurser, som ofte også påvirkes sammen med det direkte målet for angrepet.
Proaktiv respons. Innvirkning på kilder, arrangør eller angrepskontrollsenter, både av menneskeskapte og ved organisatoriske og juridiske midler.
Bruk av utstyr for å avvise DoS-angrep. For eksempel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® og andre produsenter.
Kjøpe en tjeneste for å beskytte mot DoS-angrep. Relevant hvis flommen overskrider båndbredden til nettverkskanalen.

se også

Notater (rediger)

Litteratur

Chris Kaspersky Datavirus, innvendig og utvendig. - Peter. - SPb. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analyse av typiske sikkerhetsbrudd i nettverk = Intrusion Signatures and Analysis. - New Riders Publishing (engelsk) SPb .: Forlag "Williams" (russisk), 2001. - S. 464. - ISBN 5-8459-0225-8 (russisk), 0-7357-1063-5 ( engelsk)
Morris, R.T= En svakhet i 4.2BSD Unix TCP / IP-programvaren. - Computing Science Technical Report No.117. - AT&T Bell Laboratories, februar 1985.
Bellovin, S.M.= Sikkerhetsproblemer i TCP/IP-protokollpakken. - Computer Communication Review, Vol. 19, nr.2. - AT&T Bell Laboratories, april 1989.
= daemon9 / rute / uendelig "IP-spooling Demystified: Trust Realationship Exploitation". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, juli 1996.
= daemon9 / rute / uendelig "Prosjekt Neptun". - Phrack Magazine, Vol.7, Issue 48 .-- Guild Production, juli 1996.

Lenker

DoS-angrep i Open Directory Project-lenkekatalogen (

Trusselnivået avhenger direkte av styrken og varigheten av angrepet

Dos-angrep (Denial of Service).

Logikken i angrepet er å skape forhold der vanlige eller legitime brukere av systemet ikke kan få tilgang til ressursene som tilbys av nettstedet, eller denne tilgangen til dem er vanskelig.

I de fleste tilfeller er et DoS-angrep et mål på kommersielt press på nettsteder. Den enkle siden som genererer inntekter, regninger fra leverandøren, tiltak for å unngå angrep traff eieren av ressursen betydelig i lommen.
DoS-angrep kan også målrettes mot politiske, religiøse eller andre motiver når angriperne er uenige i innholdet og retningslinjene til nettstedet.

Et DoS-angrep på et nettsted kan også være et forspill til å hacke et nettsted hvis, når serverprogramvaren eller nettstedkoden svikter, den gir ut kritisk informasjon - for eksempel programvareversjonen, en del av programkoden, serverstier osv. .).

I tilfellet når et angrep utføres samtidig fra et stort antall datamaskiner, snakker de om et DDoS-angrep (Distributed Denial of Service).

DDos (Distributed Denial of Service)-angrep

Teknologiene for å utføre DoS- og DDoS-angrep er forskjellige, fra en enkel bulk på en ressurs, til en "smart" DoSa-teknikk som angriper spesifikke svake eller langvarige nettstedsskript.

Nettkriminelle utnytter ofte sårbarheter i serverprogramvare. Eldre versjoner av serverprogramvare er utsatt for flere sårbarheter, inkludert sårbarhet for DoS- og DDoS-angrep. Utnyttelser som bruker disse sårbarhetene, brukes til å organisere DoS- og DDoS-angrep.

En smart DDoSa-teknikk er også et tjenestenektangrep ved å overskride grensene satt av vertsleverandører.

Nesten alle vertssider har udokumenterte tjenestebegrensninger, for eksempel antall engangsanrop til serverfilsystemet, prosessorbelastningsgrenser, etc. Med denne informasjonen retter angriperen et angrep på et nettsted eller en server, hvis formål er å overskride disse grensene.

Klassifisering av DoS- og DDoS-angrep:

BANDWIDTH SATURATION - et angrep assosiert med et stort antall meningsløse forespørsler til nettstedet, med sikte på at det mislykkes på grunn av utmattelse av systemressurser - prosessor, minne eller kommunikasjonskanaler.
HTTP-flom og PING-flom er primitive DoS-angrep rettet mot å mette båndbredde og nekte et nettsted. Suksessen til et angrep avhenger direkte av forskjellen i kanalbredder mellom det angrepne stedet og den angripende serveren.
SMURF - angrep (ICMP - flom) - et av de farligste DDoS-angrepene når en angriper bruker kringkasting for å sjekke arbeidsnodene i systemet ved å sende en ping-forespørsel. I den sender angriperen en falsk ICMP-pakke til kringkastingsadressen. Deretter endres angriperens adresse til offerets adresse. Alle noder vil sende henne et svar på ping-forespørselen. Derfor vil en ICMP-pakke sendt av en angriper gjennom et forsterkernettverk som inneholder 200 noder, forsterkes 200 ganger.
FRAGGLE - angrep (UDP - flom) - et angrep som ligner på SMURF - et angrep der UDP-pakker brukes i stedet for ICMP-pakker. Prinsippet for driften av dette angrepet er enkelt: ekkokommandoer sendes til den angrepne serveren på en kringkastingsforespørsel. Deretter erstattes angriperens ip-adresse med offerets ip-adresse, som snart mottar mange svarmeldinger. Dette angrepet resulterer i båndbreddemetning og fullstendig tjenestenekt til offeret. Hvis ekkotjenesten fortsatt er deaktivert, vil ICMP-meldinger bli generert, noe som også vil føre til båndbreddemetning.
ATTACK BY SYN PACKETS (SYN-flom) - essensen av angrepet er som følger: to servere etablerer en TCP-forbindelse, hvis installasjon er tildelt en liten mengde ressurser. Ved å sende noen falske forespørsler kan du bruke opp alle systemressursene som er tildelt for å etablere en tilkobling. Dette gjøres ved å erstatte den sanne IP-en med en ikke-eksisterende IP-adresse til den angripende serveren ved sending av SYN-pakker. Server - offeret vil opprette en kø med ubehandlede forbindelser som vil tømme ressursene hans.
Det er ekstremt vanskelig å fastslå kilden til et slikt angrep. de sanne adressene til de angripende serverne erstattes med ikke-eksisterende.

I noen tilfeller fører en utilsiktet handling, for eksempel å plassere på en populær ressurs en lenke til et nettsted som ligger på en ikke veldig rask og ytende server (slashdot-effekt), til et faktisk DDoS-angrep.

En stor tilstrømning av brukere fører også til overskridelse av tillatt belastning på serveren og følgelig tjenestenekt.

DoS- og DDoS-beskyttelse

Det er ingen universell beskyttelse mot DoS- og DDoS-angrep.
Det er ingen garantert beskyttelse mot et kraftig DDoS-angrep.

DoS- eller DDoS-beskyttelsesstrategi avhenger direkte av typen, logikken og kraften til selve angrepet

Revisjon av nettstedsikkerhet

Garantert nettsidebeskyttelse mot hacking og angrep

Et DoS-angrep er et angrep som lammer en PC eller server. Dette skyldes det faktum at det sendes et stort antall forespørsler, som kommer med ganske høy hastighet på den angrepne nettressursen. Et DDoS-angrep er et angrep som utføres samtidig fra et stort antall datamaskiner.

Lær mer om DoS-angrep

DoS (engelsk Denial of Service) betyr bokstavelig talt "denial of service". Dette angrepet har to alternativer. Hvis angrepet utføres på den første måten, brukes sårbarheten til programvaren installert på datamaskinen som skal angripes. Dette sikkerhetsproblemet kan forårsake en fatal feil på en datamaskin, noe som resulterer i en systemomfattende funksjonsfeil. Hvis den andre metoden brukes, utføres et DoS-angrep ved å sende et veldig stort antall informasjonspakker til en datamaskin. Hver pakke med informasjon som sendes fra en datamaskin til en annen, behandles i noen tid.

Hvis det under behandlingen kommer en ny forespørsel, så "kommer den inn i køen" og tar opp en viss mengde fysiske ressurser i hele systemet. Men hvis et stort antall informasjonspakker sendes til en datamaskin, vil en så stor belastning tvinge datamaskinen til å raskt koble fra Internett eller ganske enkelt fryse, som er det arrangørene av DoS-angrepet prøver å oppnå.

Mer om DDoS-angrep

DDoS-angrep (Distributed Denial of Service) er et slags DoS-angrep. Et slikt angrep blir organisert av et stort antall datamaskiner. På grunn av dette er selv slike servere som har en enorm båndbredde av Internett-kanaler utsatt for angrep.

Men et DDoS-angrep finner ikke alltid sted på grunn av noens dårlige vilje. Noen ganger kan denne effekten oppstå ved et uhell. Dette kan skje hvis for eksempel en lenke (lenke) i en svært populær nettressurs har blitt plassert på et nettsted som ligger på en server. Dette fenomenet kalles splashdot-effekten.

Du må vite at et DDoS-angrep nesten alltid utføres for kommersielle formål, fordi organiseringen vil kreve en enorm mengde både tid og materialkostnader, som du må innrømme at ikke alle har råd til. Ganske ofte, når du organiserer et DDoS-angrep, brukes et spesielt nettverk av datamaskiner kalt et botnett.

Hva er et botnett? Et botnett er et nettverk av datamaskiner som har blitt infisert med en spesiell type virus. Alle infiserte datamaskiner er eksternt eid av nettkriminelle, ofte vet ikke eierne av disse datamaskinene engang at de deltar i et DDoS-angrep. Datamaskiner blir infisert med et spesifikt virus eller et program som skjuler seg som nyttig. Deretter, ved hjelp av dette programmet, installeres ondsinnet kode på datamaskinen, som fungerer i den såkalte "usynlige" modusen, slik at antivirus ikke legger merke til det. På et visst tidspunkt aktiverer botnett-eieren disse programmene og begynner å sende forespørsler til serveren, som blir angrepet av nettkriminelle.

Når de utfører et DDoS-angrep, bruker nettkriminelle ofte den såkalte «DDoS-klyngen». DDoS Cluster er en så spesiell trelagsarkitektur for et PC-nettverk. I en slik struktur er det vanligvis en eller flere kontrollerte konsoller som signaliserer begynnelsen på et DDoS-angrep.

Dette signalet blir deretter overført til vertsdatamaskinene (vertsdatamaskiner er noe sånt som mellomledd mellom konsoller og agentdatamaskiner). Agentdatamaskiner er datamaskinene som angriper serveren. Ofte er eierne av vertsdatamaskiner og agentdatamaskiner ikke engang klar over at de deltar i angrepet.

DDoS-beskyttelse kan være annerledes. Dette skyldes det faktum at typene av disse angrepene i seg selv er forskjellige. Det er fire hovedtyper: UDP-flom, TCP-flom, TCP SYN-flom og ICMP-flom. Et DDoS-angrep blir enda farligere hvis angripere kombinerer alle eller noen av disse metodene.

En universell metode for beskyttelse mot denne typen angrep er ennå ikke oppfunnet. Men hvis du følger noen enkle regler, kan risikoen for et angrep reduseres til nesten null. Det er nødvendig å eliminere programvaresårbarheter, og det er også nødvendig å øke ressursene, samt å spre dem. Datamaskinen må ha en pakke med programmer for beskyttelse mot denne typen angrep (minst minimalt).