DoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют по карману «цели».^[1] В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую плохо написанную систему, не оставляя юридически значимых улик.





Содержание

• 
  1Распределённая DoS-атака
  
• 
  2Защита
  
• 
  3Причины использования DDoS-атак
  
  • 
    3.1Личная неприязнь
    
  • 
    3.2Развлечение
    
  • 
    3.3Политический протест
    
  • 
    3.4Недобросовестная конкуренция
    
  • 
    3.5Вымогательство или шантаж
    
• 
  4Классификация DoS-атак
  
  • 
    4.1Насыщение полосы пропускания
    
    • 
      4.1.1HTTP-флуд и ping-флуд
      
    • 
      4.1.2Smurf-атака (ICMP-флуд)
      
    • 
      4.1.3Атака Fraggle (UDP-флуд)
      
    • 
      4.1.4Атака с помощью переполнения пакетами SYN (SYN-флуд)
      
  • 
    4.2Недостаток ресурсов
    
    • 
      4.2.1Отправка «тяжёлых» запросов
      
    • 
      4.2.2Переполнение сервера лог-файлами
      
    • 
      4.2.3Плохая система квотирования
      
    • 
      4.2.4Недостаточная проверка данных пользователя
      
    • 
      4.2.5Атака второго рода
      
  • 
    4.3Ошибки программирования
    
    • 
      4.3.1Недостатки в программном коде
      
    • 
      4.3.2Переполнение буфера
      
  • 
    4.4Маршрутизация и атаки DNS
    
    • 
      4.4.1DoS-атаки на уязвимости в программном обеспечении на DNS-серверах
      
    • 
      4.4.2DDoS атаки на DNS-серверы
      
• 
  5Выявление DoS/DDoS-атак
  
• 
  6Получившие известность DDoS-атаки
  
• 
  7Защита от DDoS-атак
  
• 
  8Статистика
  
• 
  9См. также
  
• 
  10Примечания
  
• 
  11Литература
  
• 
  12Ссылки
  

Распределённая DoS-атака[править | править код]

---

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке^[2] (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.

Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме.^[3] Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют коллективную DoS-атаку на целевой компьютер.

Существуют также программы для добровольного участия в DDoS-атаках.

В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.

Защита[править | править код]

Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. Фильтры могут реализовываться как на уровне маршрутизаторов, управляемых свитчей, так и специализированными аппаратными средствами.

Причины использования DDoS-атак[править | править код]



Жертвы DDoS-атак.

Специалисты в области защиты информации выделяют несколько причин использования DDoS-атак.^[4]

Личная неприязнь[править | править код

---

]

Эта причина нередко служит поводом для атак на крупные коммерческие и правительственные организации и компании. Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.^[5]

Развлечение[править | править код]

В настоящее время всё больше людей интересуются DoS-атаками, и все хотят попробовать себя в этом деле. Поэтому многие начинающие злоумышленники осуществляют DoS-атаки ради развлечения. После успешно проведённого нападения они смотрят масштабы своих разрушений.^[6]

Политический протест[править | править код]

Основная статья: Хактивизм

Наиболее известными DDoS-атаками с целью политического протеста были акции в поддержку Памятника Воину-освободителю в Эстонии (2007)^[7], Южной Осетии (2008), Wikileaks (2011), Megaupload (2012) и EX.UA (2012), а также против вторжения России на Украину^[8].

Недобросовестная конкуренция[править | править код]

DDoS-атаки могут осуществляться по заказу недобросовестного конкурента.

Вымогательство или шантаж[править | править код]

DDoS-атаки могут осуществляться с целью вымогательства или шантажа, в этом случае злоумышленник предварительно связывается с владельцем сайта.

Классификация DoS-атак[править | править код]

Хакерам гораздо легче осуществить DoS-атаку на систему, чем получить полный доступ к ней. Существуют различные причины, из-за которых может возникнуть DoS-условие, то есть такая ситуация, при которой пользователи не могут получить доступ к ресурсам, которые предоставляет сервер, либо доступ к ним существенно затруднен:^[9]

Насыщение полосы пропускания[править | править код]

Основные статьи: Пропускная способность и Флуд

В настоящее время практически каждый компьютер подключён к сети Internet либо к локальной сети. Это служит отличным поводом для осуществления DoS-атаки за счет переполнения полосы пропускания. Обычно злоумышленники пользуются 

---

флудом (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи. Есть несколько разновидностей флуда.^[10]

HTTP-флуд и ping-флуд[править | править код]

Основная статья: ping-флуд

Это самый примитивный вид DoS-атаки. Насыщение полосы пропускания можно осуществить с помощью обычных ping-запросов только в том случае, если канал атакующего намного шире канала компьютера-жертвы. Но такая атака бесполезна против сервера, так как тот, в свою очередь, обладает довольно широкой полосой пропускания. Для атаки на сервер обычно применяется HTTP-флуд. Атакующий шлёт маленький по объёму HTTP-пакет, но такой, чтобы сервер ответил на него пакетом, размер которого в сотни раз больше. Даже если канал сервера в десять раз шире канала атакующего, то все равно есть большой шанс насытить полосу пропускания жертвы. А для того, чтобы ответные HTTP-пакеты не вызвали отказ в обслуживании у злоумышленника, он каждый раз подменяет свой ip-адрес на ip-адреса узлов в сети.^[11]

Smurf-атака (ICMP-флуд)[править | править код]

Основные статьи: Удалённые сетевые атаки и Широковещательный адрес

Атака Smurf или ICMP-флуд — один из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100 % гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник — это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов.^[12]

Атака Fraggle (UDP-флуд)[править

---

 | править код]

Основная статья: echo

Атака Fraggle (осколочная граната)(от англ. Fraggle attack) является полным аналогом Smurf-атаки, где вместо ICMP пакетов используются пакеты UDP, поэтому её ещё называют UDP-флуд. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. При этом, если служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы.^[12]

Атака с помощью переполнения пакетами SYN (SYN-флуд)[править | править код]

Основные статьи: SYN-флуд и TCP



Установка TCP — соединения

До появления атаки Smurf была широко распространена атака с помощью переполнения пакетами SYN, также известная под названием SYN-флуд.^[13] Для описания её действия можно остановиться на рассмотрении двух систем А и В, которые хотят установить между собой TCP соединение, после которого они смогут обмениваться между собой данными. На установку соединения выделяется некоторое количество ресурсов, этим и пользуются DoS-атаки. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения.^[14] Рассмотрим подробнее, как это происходит. Хакер с системы А отправляет пакет SYN системе В, но предварительно поменяв свой IP-адрес на несуществующий. Затем, ничего не подозревая, компьютер В отправляет ответ SYN/ACK на несуществующий IP-адрес и переходит в состояние SYN-RECEIVED. Так как сообщение SYN/ACK не дойдет до системы А, то компьютер В никогда не получит пакет с флагом ACK.^[15][16] Данное потенциальное соединение будет помещено в очередь. Из очереди оно выйдет только по истечении 75 секунд.^[17] Этим пользуются злоумышленники и отправляют сразу несколько пакетов SYN на компьютер жертвы с интервалом в 10 секунд, чтобы полностью исчерпать ресурсы системы. Определить источник нападения очень непросто, так как злоумышленник постоянно меняет исходный IP-адрес.

---

Смотрите также файлы

• Образ Савелия, богатыря святорусского.docx

• Введение пао Газпромглобальная энергетическая компания.docx

• Тестовое задание 2 Свойства функций входных сопротивлений (проводимостей) пассивных двухполюсников.docx

• Тушение пожаров и ликвидация последствий чс на транспорте (авто, ЖД, авиа, речной, метрополитен).doc

• Употребление кратких форм имен прилагательных Краткая форма прилагательного.pptx