Дослідження мережевих атак

Згідно зі звітом [14] опублікованому компанією Arbor Networks, що надає одні з кращих рішень для забезпечення стабільної роботи інформаційних систем і має величезний досвід у питаннях боротьби з DDoS-атаками, в 2012;му році зростання кількості та інтенсивності атак сповільнилося в порівнянні з попередніми роками. При цьому комплексні атаки і атаки рівня додатків продовжують розвиватися, стаючи більш складними.

46% атак ставилися до комплексним DDoS-атакам, що використовують відправку сміттєвого трафіку, SYN-флуд (відправка великої кількості запитів на підключення по протоколу TCP) і UDP Flood (відправка великої кількості безлічі UDP-пакетів), а так само атаки з використанням протоколів рівня додатків. У відсотковому значенні атаки з використанням рівня додатків стали самими поширеними і склали близько 85%. Однак, у порівнянні з минулими роками пропорції заявлених атак цього типу практично не змінилися по відношенню до більшості служб, таких як HTTP, DNS і SMTP. Єдиним аспектом атак рівня додатків, який явно пережив зміни, став HTTPSпротокол, рівень застосування яких піднявся з 24% до 37%.

Згідно зі звітом існує певна стурбованість з приводу компрометації робочих станцій. Існує ймовірність того, що комп’ютери, що належать до корпоративної мережі, можуть бути частиною ботнету (мережа із заражених комп’ютерів, які використовуються в атаці). Така ситуація призводить до посилення ефекту від атаки, так як захист може бути спрямована тільки на зовнішню мережа, ігноруючи внутрішньомережний корпоративний трафік.

Збільшення кількості хостів, що входять до ботсеті, не викликає здивування, враховуючи кількість і складність існуючих на сьогоднішній день вірусів, темпи їх розвитку та витікаючу з цього неможливість побудувати надійну систему захисту на основі антивірусних програм і систем виявлення вторгнень.

Найсильнішою DDoS-атакою за 2012;ий рік виявилася атака, яка обрушилася на сервера компанії Cloudflare 15-го вересня. В результаті сервіс Cloudflare виявився тимчасово недоступний частини користувачів. Варто зауважити, що компанія є мережею доставки контенту і під її управлінням перебуває кілька дата-центрів у різних регіонах. Компанія легко витримує DDoS-атаки в десятки гігабіт, але з атакою в 65 Гбіт / с впорається не змогла.

У березня 2013 року компанія Spamhaus, яка становить бази даних про серверах, що використовуються хакерами, що допомагає поштовим службам фільтрації спаму і іншого небажаного контенту, занесла в свій чорний список ряд серверів, що належать голландській компанії CyberBunker. Компанія CyberBunker заявила, що Spamhaus не має права вказувати що публікувати і що не публікувати в інтернеті. Голландська компанія розгорнула найпотужнішу DDoS-атаку за весь час. Її потужність досягала 300Гбіт / с. Атака такої потужності не змогла надати великого шкоди, так як була задіяна технологія захисту, а саме: розподіл трафіку по різних дата-центрам і подальша його фільтрація. Ця атака мала певний ефект на всю мережу Інтернет, що було виражено у збільшенні пінгу до деяких європейських сайтів. Провайдери нормально витримали атаку, але були сильно загружені.

По складності придушення, а так само з мотивації проведення DDoS-атаки можна розділити на такі категорії як: вандалізм — зазвичай це не розподілені атаки, а атаки які ведуться з одного-двох хостів, зловмисник швидше за все не отримує від цього будь-якої вигоди, а робить це через образу на власників якого або ресурсу, знання його в цій області обмежені простими методами атак знайдені в мережі Інтернет. Дані атаки відбиваються досить легко, тому що теж не вимагають високої кваліфікації в галузі захисту комп’ютерних мереж від зовнішніх атак, і часто вирішується блокуванням конкретного IP або простий фільтрацією пакетів по поміченою закономірності; нігілізм — по суті, причини фактично ідентичні причин при вандалізмі, але дії відбуваються більш цілеспрямовано, і це вже розподілена атака. У ній бере участь група людей, яка незадоволена тими чи іншими інформаційними приводами. Зазвичай це простий bat-скрипт, в якому використовується команда ping з великим розміром перевірочного пакету і перераховані яких атакували ресурси, ніяких знань від користувача не потрібно, достатньо лише запустити скрипт. Блокується така атака зазвичай досить легко, блокується все навантаження отримана за протоколом ICMP; бізнес — зловмисники використовують даний вид атак, не тільки як засіб для власного збагачення, а й надають DDOS-атаки як послугу.

Розглянемо принципи, за якими була здійснена найпотужніша атака. Згідно зі звітом [14] в основі даної атаки лежить UDP-флуд, який супроводжується SYNфлудом. Це вказує на наявність досить великого числа підконтрольних серверів.

Рис. 2.1 — Схематичне представлення мережевої атаки

Також в ході даної атаки була використана технологія посилення атаки. Множення первісного шкідливого трафіку здійснювалося за рахунок відображення DNS-запитів через DNS-Резолвер, які встановлені у кожного інтернет — провайдера. Зазвичай DNS-Резолвер сконфігуровані так, щоб обробляти тільки запити своїх користувачів, але існує велика кількість компаній, які неправильно їх сконфигурировали, так що Резолвер приймає запити від будь-якого користувача інтернету. Так само буде цікаво помітити, що значною мірою посилення відбувалося завдяки великим ключам DNSSEC, які включені в тіло відповіді, а адже протокол DNSSEC впроваджувався з метою підвищити безпеку системи DNS.