Атаки с распределенным отказом в обслуживании DDoS

DDoS

Атаки с распределенным отказом в обслуживании DDoS 

Это постоянно растущая угроза для предприятий малого и среднего бизнеса, которые ежегодно расширяются по масштабам и частоте. 10-й ежегодный Всемирный отчет по безопасности инфраструктуры Arbor Network (WISR), обзор людей в рамках оперативной безопасности сообщества, только подтверждает эту реальность.

Более трети (38%) респондентов в 2014 году сообщили о 21 нападении DDoS в месяц с более чем 25% в 2013 году. Это не те телые 8 Гбит / с, к которым мы привыкли. Самая большая зарегистрированная атака в 2014 году составила 400 Гбит / с, а некоторые другие сообщили со скоростью более 100 Гбит / с.

 

application-layer targets DDoS

Поскольку атаки DDoS выросли в размерах, они также становятся все более изощренными в своей эффективности и реализации, и их гораздо труднее обнаружить, чем в прошлые годы. Инфраструктура, которая позволяет эти атаки, также выросла.

Как и Amazon Web Services (AWS), злоумышленники могут легко приобретать бот-сети по требованию для атак DDoS и взлома паролей в рутине — среди других задач. Ниже мы рассмотрим наиболее распространенные типы DDoS-атак, испытанных сегодня, и выделим несколько существенных результатов отчета Arbor. Типы DDoS-атак

DDoS Тип №1: объемные атаки Volumetric

Наиболее распространенные типы DDoS -атак, составляющие около 65% от общего числа зарегистрированных, согласно Arbor. Эти атаки используют несколько зараженных систем, которые часто являются частью бот-сети, для наводнения сетевых уровней значительным количеством, казалось бы, законного трафика.

Это потребляет чрезмерное количество полос пропускания внутри и / или за пределами сети и приводит к тому, что сетевые операции становятся болезненно вялыми или просто нефункциональными. Поскольку волюметрические атаки по существу «объединяются с бандой» в сети, их гораздо труднее смягчить, чем атаки из одного источника. Объемные атаки бывают разных форм, в том числе:

• Потоки протокола пользовательских дейтаграмм (UDP).

Случайные порты на сервере заливаются UDP-пакетами, заставляя сервер многократно проверять и реагировать на несуществующие приложения в портах. В результате потопа UDP система не может реагировать на законные приложения.

• Наводнения ICMP.

Сервер заливается ICMP-эхо-запросами из нескольких поддельных IP-адресов. Поскольку целевой сервер обрабатывает и отвечает на эти ложные запросы, он в конечном итоге перегружен и не может обрабатывать действительные запросы эхо-запросов ICMP.

DDoS Тип №2. Атаки на уровне приложения

Атаки уровня приложения составляют около 17% всех зарегистрированных DDoS -атак. Они нацеливают пакеты веб-приложений, чтобы нарушить передачу данных между хостами. Например, HTTP Flood использует несколько зараженных компьютеров, чтобы заставить тратить чрезмерное количество ресурсов при ответе на HTTP-запрос.

С точки зрения злоумышленника потоп HTTP — это гораздо более эффективная угроза, чем другие типы атак, поскольку для наружного использования сервера не требуется использовать большую пропускную способность.

Хотя HTTP-потоп обычно является наиболее распространенной атакой на уровне приложения, это всего лишь один из многих доступных инструментов атаки на уровне приложений. Таблица ниже из Arbor демонстрирует, как злоумышленники постоянно находят новые способы скомпрометировать прикладной уровень.

 

Поскольку потоки HTTP и другие атаки DDoS на уровне приложений имитируют поведение человека и пользователя, их также гораздо труднее обнаружить, чем другие типы атак.

Кроме того, атаки уровня приложения могут также поступать с одной машины, что приводит к сбою трафика. В свою очередь, эти атаки часто попадают под радар систем обнаружения.

Хотя HTTP и DNS-сервисы являются основными целями атак на уровне приложений, HTTPS и SMTP также были ориентированы в 2014 году, хотя и реже, согласно отчету

Arbor Network. В приведенной ниже таблице показано процент респондентов, получивших атаки на перечисленные цели на уровне приложения.

 

Application-layer attacks

Application-layer attacks

 

 

DDoS Тип №3. Активизация состояния

Также известные как атаки протокола, атаки на состояние истощения нацелены на таблицы состояний соединения в брандмауэрах, серверах веб-приложений и других компонентах инфраструктуры. По словам Арбора, атаки на состояние истощения происходят несколько чаще, чем атаки на уровне приложений, на которые приходится около 20% зарегистрированных DDoS-атак в 2014 году.

Одной из наиболее распространенных атак с изнашиванием состояния является печально известная ошибка смерти, в которой 65,536-байтовый пакет ping дефрагментируется и отправляется на целевой сервер как можно быстрее. Как только цель собирает большой пакет, обычно происходит перегрузка буфера. В вероятном сценарии, в котором цель пытается реагировать на пинги, потребляется еще больше полосы пропускания, что в конечном итоге приводит к сбою целевой системы.

Важно отметить, что эти типы DDoS-атак часто используются в сочетании друг с другом для компрометации одной цели. 42% респондентов из отчета Arbor Networks утверждают, что в 2014 году они подверглись нападению с множественной угрозой, что на 3% больше, чем в 2013 году.

Мотивы DDoS -атаки

В то время как любое лицо или организация могут быть объектом атаки DDoS, атаки обычно служат для вымогательства денег или нарушения работы частного или государственного предприятия.

С учетом сказанного, понимание мотивов DDoS имеет важное значение для создания эффективного метода смягчения ущерба от этих атак.

Участники опроса Arbor Networks спросили, какие мотивы, по их мнению, лежат в основе DDoS-атак, которые они испытали в 2014 году. Результаты следующие:

DDoS attack motivations

DDoS attack motivations

Основываясь на этих мотивах, легко понять, почему атаки DDoS стали более сложными, широко распространенными и трудными для обнаружения на протяжении многих лет.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *