Что такое DoS(DDoS)-атака

Однажды в мае 2007 года посетители сайта радио "Эхо Москвы" при заходе на сайт вместо привычных им страниц получали на экран сообщение о перегрузке сервера и невозможности отобразить страницу. Нечто подобное произошло также и с сайтом газеты "Коммерсантъ". Правда иногда доступ восстанавливался, но ненадолго. Администрация указанных компаний сообщила общественности что их сайты подвергаются массированной DDoS-атаке. О какой атаке идет речь?

Чтобы понять что из себя представляет DoS-атака разберем такой пример. Каждые сутки в мире на поверхности земли происходят землетрясения, но сила их сравнительно невелика и не способна причинить вреда строениям. Но иногда, по самым разным причинам возникает землетрясение огромной силы. Если на пути ударной волны попадается здание, оно будет разрушено мощным натиском стихии. Интернет это тоже своего рода поверхность, или лучше сказать территория, только информационная, и в нем есть явление, очень похожее на землетрясение. Если информационная ударная волна накатывает на сайт, это и есть DoS-атака.

Подобно тому, как здание рассчитано на ударную волну определенной силы, например на 6 баллов по шкале Рихтера, точно также сервер, обслуживающий сайт, рассчитан на предельную посещаемость, количество посетителей, которое он может одновременно обслуживать, при превышении этой величины сервер "ложится" переставая отвечать на запросы.

Для чего проводится DoS-атака

Сокращение DoS переводится с английского как Denial of Service - "отказ в обслуживании". Главной целью любой DoS-атаки является перегрузка сервера и создание таких условий его работы, при которых посетитель либо не может получить доступ к нему, либо доступ становится настолько медленным, что полноценная работа с сайтом становится невозможной. Как правило злоумышленники добиваются своей цели, отправляя на сервер бесчисленное множество бесполезных запросов, в результате сервер, обрабатывая их, перестает реагировать на запросы пользователей, они просто "тонут" в информационном "шуме". DoS-атаки используются злоумышленниками для оказания давления на неугодный им сетевой ресурс. Например, DoS-атакам часто подвергаются сайты компаний, занимающиеся торговлей через Интернет. Поскольку каждые сутки простоя таких сайтов грозят компании убытками, иногда значительными, злоумышленники шантажируют и угрожают владельцам DoS-атакой требуя выплатить им некоторую сумму. DoS-атаки могут использоваться в конкурентной борьбе, например известен случай, когда одна из компаний спутникового телевидения из Массачусетса оплатила DoS-атаку на сайты своих прямых конкурентов. Пока сайты конкурентов были недоступны, пользователи обращались за услугами к заказчику атаки.

Как организуется DoS-атака

Методы организации атак хорошо известны специалистом, но несмотря на это успешно противостоять им получается далеко не всегда, что связано прежде всего с тем, что точно отфильтровать "мусорные" запросы от реальных чрезвычайно трудно. DoS-атаки бывают одиночные - организуемые с одного компьютера, и распределенные (DDoS) в которых используется множество компьютеров.

Приведем пример DoS-атаки. Каждый раз, когда между сервером и клиентом устанавливается соединение, происходит обмен специальными служебными пакетами или так называемая синхронизация. Для организации атаки серверу посылается служебный запрос на соединение, сервер выделяет для клиента канал связи и ждет данных. А вот данных он от него не дождется никогда. В результате канал некоторое время будет занят а поскольку таких каналов ограниченное число а подобных соединений устанавливается множество, все каналы оказываются занятыми и получить доступ к сайту обычный посетитель уже не может.

В настоящее время чаще используются DDoS-атаки (Distributed Denial of Service Attack) или как их еще называют "распределенные атаки". Для их организации используется не один а несколько компьютеров, количество которых может быть огромным. С этой целью злоумышленник рассылает через Интернет троянские программы, которые тем или иным способом попав на компьютер пользователя постоянно находятся в памяти никак себя не проявляя, пока им не будет подана команда (способы передачи команд могут быть самые разные). Получив команду троянская программа начинает атаковать сервер-жертву, а поскольку зараженных компьютеров может быть десятки тысяч, нетрудно представить какую нагрузку на сервер это вызовет. Подобные сети из компьютеров-зомби называют botnet-ами, однако стоит сказать что количество распределенных атак через такие сети не так уж и велико, злоумышленники давно поняли, что botnet гораздо выгоднее использовать для рассылки спама, чем для DDoS-атак.

Как защититься от DDoS-атаки

К сожалению на данный момент эффективной защиты от распределенной атаки не существует и потенциально любой ресурс может быть атакован злоумышленниками. Можно лишь смягчить удар. Один из способов - увеличение мощности серверов и пропускной способности каналов связи. Другой - дублирование информации на разных серверах и создание "зеркал" сайта. Также применяются различные методы фильтрации запросов, позволяющие блокировать их еще на подходе к серверу, однако это применимо лишь в том случае, если тип "мусорного" запроса известен. Приведем пример. Простейшая атака может быть осуществлена с помощью стандартных средств операционной системы - команды ping, которая используя служебный запрос протокола ICMP проверяет доступность удаленного компьютера. Если эти запросы посылать в огромных количествах с разных компьютеров, сервер только и будет занят тем, что будет обрабатывать эти запросы, на остальное у него просто не хватит времени. Заблокировав все ICMP запросы эту атаку можно довольно легко предотвратить. Все написанное относится к администраторам сайта или к провайдерам, теперь рассмотрим защиту со стороны обычного пользователя. Главное правило - быть внимательным, не открывайте подозрительных файлов в письмах, если вы заранее не договаривались с отправителем об их получении, троянские программы можно обнаружить и удалить, но это не даст результата если вы тут-же подхватите новые. Ну и конечно используйте самые последние версии антивирусных программ, периодически обновляйте их, даже если у вас постоянно включен антивирусный монитор, все равно периодически проверяйте все диски, также необходимо регулярно обновлять операционную систему.

Новости и публикации

24.03.2012 | Новости безопасности Особенности Internet Explorer в «восьмерке»

Известно, что в новом выпуске браузера Internet Explorer сложный Metro-интерфейс функционирует в одном рабочем окружении с web-элементами. Размыть границы этого интерфейса поможет специальная функция под названием Snap. С ее помощью стандартное изображение экрана можно будет разделить между несколькими активными приложениями. Рабочее окошко браузера Internet Explorer 10 занимает больше половины экрана. Остальная часть дисплея содержит специальную панель, которая напоминает интернет-пейджер или почтовый клиент.

16.02.2011 | Новости безопасности Прогноз от «Лаборатории Касперского» до 2020 года

Антивирусные компании очень редко делают прогнозы о развитии угроз в информационной сфере сроком более 3-х лет. Но если посмотреть на основные изменения и проблемы в области информационной безопасности за период 2000-2010 годов, прибавив к ним современные направления в области совершенствования персональных компьютеров, а так же операционных систем и мобильных телефонов, то такую попытку вполне можно предпринять.

09.02.2011 | Новости безопасности Фальшивые антивирусы наводнили Интернет

Специалисты компании Google оповещают о том что возрасла опасность для безопасности компьютеров, исходящей от распространяемых злоумышленниками в интернет фальшивых антивирусных программ.


RSS