Атака типа «отказ в обслуживании»
Эта статья нуждается в дополнительных цитатах для проверки . ( февраль 2024 г. ) |
В вычислительной технике атака типа «отказ в обслуживании» ( DoS-атака ) — это кибератака , при которой злоумышленник пытается сделать машину или сетевой ресурс недоступными для предполагаемых пользователей, временно или на неопределенный срок нарушая работу хоста, подключенного к сети . Отказ в обслуживании обычно достигается путем переполнения целевой машины или ресурса лишними запросами в попытке перегрузить системы и предотвратить выполнение некоторых или всех законных запросов. [ 1 ] Диапазон атак широко варьируется: от наводнения сервера миллионами запросов с целью снижения его производительности, перегрузки сервера значительным количеством недействительных данных до отправки запросов с незаконным IP-адресом . [ 2 ]
При распределенной атаке типа «отказ в обслуживании» ( DDoS-атака ) входящий трафик, заливающий жертву, исходит из множества различных источников. Для смягчения атак этого типа необходимы более сложные стратегии; простой попытки заблокировать один источник недостаточно, поскольку источников несколько. [ 3 ] DoS- или DDoS-атака аналогична ситуации, когда группа людей толпится у входной двери магазина, затрудняя вход законным покупателям, тем самым нарушая торговлю и теряя деньги бизнеса. Преступники, совершающие DoS-атаки, часто нацелены на сайты или службы, размещенные на высококлассных веб-серверах, таких как банки или по кредитным картам платежные шлюзы . Месть и шантаж , [ 4 ] [ 5 ] [ 6 ] а также хактивизм , [ 7 ] может мотивировать эти нападения.
История
[ редактировать ]Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( июль 2017 г. ) |
Panix , третий старейший интернет-провайдер в мире, стал целью первой DoS-атаки. 6 сентября 1996 года компания Panix подверглась атаке SYN-флуд , в результате которой ее услуги были отключены на несколько дней, в то время как поставщики оборудования, в частности Cisco , придумали адекватную защиту. [ 8 ] Еще одна ранняя демонстрация DoS-атаки была проведена Ханом С. Смитом в 1997 году во время мероприятия DEF CON , в результате чего доступ в Интернет на Лас-Вегас-Стрип был нарушен более чем на час. Публикация примера кода во время мероприятия привела к онлайн-атаке Sprint , EarthLink , E-Trade и других крупных корпораций. в следующем году [ 9 ] Крупнейшая на сегодняшний день DDoS-атака произошла в сентябре 2017 года, когда Google Cloud подвергся атаке с пиковым объемом 2,54 Тбит/с , о которой Google сообщил 17 октября 2020 года. [ 10 ] Рекордсменом считалась атака, осуществленная неназванным клиентом американского поставщика услуг Arbor Networks , достигшая пиковой скорости около 1,7 Тбит/с . [ 11 ]
В феврале 2020 года Amazon Web Services подверглась атаке с пиковым объемом 2,3 Тбит/с . [ 12 ] В июле 2021 года CDN-провайдер Cloudflare похвастался, что защитил своего клиента от DDoS-атаки глобального ботнета Mirai с частотой до 17,2 млн запросов в секунду. [ 13 ] Российский поставщик услуг по предотвращению DDoS-атак Яндекс заявил, что 5 сентября 2021 года он заблокировал DDoS-атаку по HTTP-конвейеру, исходившую от непропатченного сетевого оборудования Mikrotik. [ 14 ] В первой половине 2022 года российское вторжение в Украину существенно сформировало ландшафт киберугроз: рост кибератак приписывают как спонсируемым государством субъектам, так и глобальной хактивистской деятельности. Самым заметным событием стала DDoS-атака в феврале, крупнейшая в Украине, которая нарушила работу государственного и финансового секторов. Эта волна киберагрессии распространилась на западных союзников, таких как Великобритания, США и Германия. В частности, в финансовом секторе Великобритании наблюдалось увеличение количества DDoS-атак со стороны государственных субъектов и хактивистов, направленных на подрыв союзников Украины. [ 15 ]
В феврале 2023 года Cloudflare столкнулась с атакой со скоростью 71 миллион запросов в секунду, которая, по утверждению Cloudflare, была крупнейшей HTTP-DDoS-атакой на тот момент. [ 16 ] HTTP-DDoS-атаки измеряются HTTP-запросами в секунду, а не пакетами в секунду или битами в секунду. 10 июля 2023 года платформа фанфиков Archive of Our Own (AO3) подверглась DDoS-атаке, что привело к сбою в работе служб. Анонимный Судан , утверждающий, что нападение было вызвано религиозными и политическими причинами, был воспринят AO3 и экспертами скептически. Flashpoint, поставщик информации об угрозах, отметил прошлую деятельность группы, но усомнился в ее заявленных мотивах. AO3, поддерживаемая некоммерческой организацией Transformative Works (OTW) и полагающаяся на пожертвования, вряд ли сможет выплатить выкуп в биткойнах в размере 30 000 долларов США . [ 17 ] [ 18 ] В августе 2023 года группа хактивистов NoName057 атаковала несколько итальянских финансовых учреждений, осуществив медленные DoS-атаки . [ 19 ] 14 января 2024 года они осуществили DDoS-атаку на швейцарские федеральные сайты, вызванную присутствием президента Зеленского на Всемирном экономическом форуме в Давосе . Национальный центр кибербезопасности Швейцарии быстро смягчил атаку, обеспечив безопасность основных федеральных служб, несмотря на временные проблемы с доступом на некоторых веб-сайтах. [ 20 ] В октябре 2023 года эксплуатация новой уязвимости в протоколе HTTP/2 привела к тому, что рекорд крупнейшей HTTP-DDoS-атаки был побит дважды: один раз с атакой со скоростью 201 миллион запросов в секунду, зафиксированной Cloudflare. [ 21 ] и снова с атакой 398 миллионов запросов в секунду, зафиксированной Google . [ 22 ]
Типы
[ редактировать ]Атаки типа «отказ в обслуживании» характеризуются явной попыткой злоумышленников предотвратить законное использование службы. Существует две основные формы DoS-атак: те, которые приводят к сбою служб, и те, которые приводят к переполнению служб. Распространены наиболее серьезные атаки. [ 23 ]
Распределенный DoS
[ редактировать ]Распределенная атака типа «отказ в обслуживании» (DDoS) происходит, когда несколько систем переполняют полосу пропускания или ресурсы целевой системы, обычно одного или нескольких веб-серверов. [ 23 ] DDoS-атака использует более одного уникального IP-адреса или компьютеров, часто с тысяч хостов, зараженных вредоносным ПО . [ 24 ] [ 25 ] Распределенная атака типа «отказ в обслуживании» обычно включает более 3–5 узлов в разных сетях; меньшее количество узлов может квалифицироваться как DoS-атака, но это не DDoS-атака. [ 26 ] [ 27 ]
Несколько машин могут генерировать больше атакующего трафика, чем одна машина, несколько атакующих машин труднее отключить, чем одну атакующую машину, а поведение каждой атакующей машины может быть более скрытным, что затрудняет ее отслеживание и выключение. Поскольку входящий трафик, заливающий жертву, исходит из разных источников, остановить атаку просто с помощью входной фильтрации может быть невозможно . Это также затрудняет различение легитимного пользовательского трафика от атакующего трафика, когда он распространяется по нескольким точкам происхождения. В качестве альтернативы или дополнения DDoS-атаки могут включать подделку IP-адресов отправителей ( подмена IP-адреса ), что еще больше усложняет идентификацию и отражение атаки. Эти преимущества злоумышленника создают проблемы для защитных механизмов. Например, простая покупка большей входящей полосы пропускания, чем текущий объем атаки, может не помочь, поскольку злоумышленник может просто добавить больше атакующих машин. [ нужна ссылка ] В последние годы масштабы DDoS-атак продолжали расти и к 2016 году превысили терабит в секунду . [ 28 ] [ 29 ] Некоторыми распространенными примерами DDoS-атак являются UDP-флуд , SYN-флуд и усиление DNS . [ 30 ] [ 31 ]
Йо-йо атака
[ редактировать ]Атака «йо-йо» — это особый тип DoS/DDoS, направленный на облачные приложения, использующие автомасштабирование . [ 32 ] [ 33 ] [ 34 ] Злоумышленник генерирует поток трафика до тех пор, пока облачная служба не масштабируется наружу, чтобы справиться с увеличением трафика, а затем останавливает атаку, оставляя жертву с избыточными ресурсами. Когда жертва снова уменьшается, атака возобновляется, в результате чего ресурсы снова увеличиваются. Это может привести к снижению качества обслуживания в периоды увеличения и уменьшения масштаба и финансовой утечке ресурсов в периоды избыточного выделения ресурсов, при этом работа осуществляется с меньшими затратами для злоумышленника по сравнению с обычной DDoS-атакой, поскольку для этого требуется только генерировать трафик в течение части периода атаки.
Атаки на уровне приложений
[ редактировать ]DDoS-атака прикладного уровня (иногда называемая DDoS-атакой уровня 7 ) — это форма DDoS-атаки, при которой злоумышленники нацелены на прикладного уровня . процессы [ 35 ] [ 26 ] Атака чрезмерно использует определенные функции или возможности веб-сайта с намерением отключить эти функции или функции. Эта атака на уровне приложения отличается от всей сетевой атаки и часто используется против финансовых учреждений, чтобы отвлечь персонал ИТ и службы безопасности от нарушений безопасности. [ 36 ] В 2013 году DDoS-атаки на уровне приложений составили 20% всех DDoS-атак. [ 37 ] Согласно исследованию Akamai Technologies , с четвертого квартала 2013 года по четвертый квартал 2014 года произошло «на 51 процент больше атак на уровне приложений» и «на 16 процентов больше» с третьего квартала 2014 года по четвертый квартал 2014 года. [ 38 ] В ноябре 2017 года; Джунаде Али, инженер Cloudflare, отметил, что, хотя атаки на сетевом уровне по-прежнему имеют высокую мощность, они происходят реже. Али также отметил, что, хотя атаки на уровне сети становятся все реже, данные Cloudflare показывают, что атаки на уровне приложений по-прежнему не проявляют никаких признаков замедления. [ 39 ]
Прикладной уровень
[ редактировать ]Модель OSI (ISO/IEC 7498-1) — это концептуальная модель, которая характеризует и стандартизирует внутренние функции системы связи путем разделения ее на уровни абстракции . Модель является продуктом проекта «Взаимосвязь открытых систем» Международной организации по стандартизации (ISO). Модель группирует схожие коммуникационные функции в один из семи логических уровней. Уровень обслуживает слой выше него и уровень ниже него. Например, уровень, который обеспечивает безошибочную связь в сети, обеспечивает путь связи, необходимый приложениям выше него, в то время как он вызывает следующий более низкий уровень для отправки и получения пакетов, проходящих по этому пути. В модели OSI определение прикладного уровня является более узким, чем это часто реализуется. Модель OSI определяет уровень приложения как пользовательский интерфейс. Прикладной уровень OSI отвечает за отображение данных и изображений пользователю в распознаваемом человеком формате и за взаимодействие с уровень представления ниже него. В реализации уровни приложения и представления часто комбинируются.
Метод атаки
[ редактировать ]Простейшая DoS-атака основана, главным образом, на грубой силе, наводняя цель огромным потоком пакетов, перенасыщая пропускную способность соединения или истощая системные ресурсы цели. Наводнения, перенасыщающие полосу пропускания, зависят от способности злоумышленника генерировать ошеломляющий поток пакетов. Распространенным способом достижения этой цели сегодня является распределенный отказ в обслуживании с использованием ботнета . DDoS-атака на уровне приложений осуществляется в основном для конкретных целевых целей, включая нарушение транзакций и доступа к базам данных. Он требует меньше ресурсов, чем атаки на сетевом уровне, но часто сопровождает их. [ 40 ] Атака может быть замаскирована под легитимный трафик, за исключением того, что она нацелена на определенные пакеты или функции приложения. Атака на уровне приложений может нарушить работу таких служб, как поиск информации или функции поиска на веб-сайте. [ 37 ]
Расширенный постоянный DoS
[ редактировать ]Усовершенствованный постоянный DoS (APDoS) связан с расширенной постоянной угрозой и требует специальных мер по предотвращению DDoS . [ 41 ] Эти атаки могут продолжаться неделями; самый длительный непрерывный период, отмеченный до сих пор, длился 38 дней. Эта атака включала около 50+ петабит (50 000+ терабит) вредоносного трафика. [ 42 ] Злоумышленники в этом сценарии могут тактически переключаться между несколькими целями, чтобы отвлечься и избежать защитных контрмер DDoS, но при этом в конечном итоге сосредоточить основной удар атаки на одной жертве. В этом сценарии злоумышленники, имеющие постоянный доступ к нескольким очень мощным сетевым ресурсам, способны поддерживать длительную кампанию, генерируя огромные уровни неусиленного DDoS-трафика. APDoS-атаки характеризуются:
- перед атакой расширенная разведка ( OSINT и обширное сканирование-ловушка, предназначенное для уклонения от обнаружения в течение длительных периодов времени)
- тактическое исполнение (атака с участием как первичных, так и вторичных жертв, но основное внимание уделяется первичным)
- явная мотивация (расчетный результат игры/цель)
- большая вычислительная мощность (доступ к значительной мощности компьютера и пропускной способности сети)
- одновременные многопоточные атаки на уровне OSI (сложные инструменты, работающие на уровнях с 3 по 7)
- настойчивость в течение длительных периодов времени (объединение всего вышеперечисленного в согласованную, хорошо управляемую атаку по ряду целей). [ 43 ]
Отказ в обслуживании как услуга
[ редактировать ]Некоторые поставщики предоставляют так называемые службы загрузки или стресса , которые имеют простой веб-интерфейс и принимают оплату через Интернет. Продаваемые и рекламируемые как инструменты стресс-тестирования, они могут использоваться для выполнения несанкционированных атак типа «отказ в обслуживании» и позволяют технически неискушенным злоумышленникам получить доступ к сложным инструментам атак. [ 44 ] Трафик, создаваемый устройством, вызывающим стресс у потребителей, обычно питается от ботнета и может варьироваться от 5 до 50 Гбит/с, что в большинстве случаев может лишить среднего домашнего пользователя доступа в Интернет. [ 45 ]
Марковская атака типа «отказ в обслуживании»
[ редактировать ]Атака типа «отказ в обслуживании», модулированная по Маркову, происходит, когда злоумышленник разрушает пакеты управления, используя скрытую модель Маркова . Атаки на основе модели Маркова преобладают в онлайн-играх, поскольку нарушение управляющего пакета подрывает игровой процесс и функциональность системы. [ 46 ]
Симптомы
[ редактировать ]Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) выявила следующие симптомы атаки типа «отказ в обслуживании»: [ 47 ]
- необычно низкая производительность сети (открытие файлов или доступ к веб-сайтам),
- недоступность определенного веб-сайта или
- невозможность доступа к любому веб-сайту.
Техники атаки
[ редактировать ]Инструменты атаки
[ редактировать ]В таких случаях, как MyDoom и Slowloris , инструменты встроены во вредоносное ПО и запускают атаки без ведома владельца системы. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентскую программу для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби , которые, в свою очередь, облегчают DDoS-атаку. Агенты подвергаются риску через обработчики злоумышленником, использующим автоматизированные процедуры для использования уязвимостей в программах, которые принимают удаленные соединения, выполняемые на целевых удаленных хостах. Каждый обработчик может управлять до тысячи агентов. [ 48 ]
В других случаях машина может стать частью DDoS-атаки с согласия владельца, например, в операции «Расплата», организованной группой Anonymous . Низкоорбитальная ионная пушка обычно использовалась таким образом. Наряду с High Orbit Ion Cannon сегодня доступен широкий спектр инструментов DDoS, включая платные и бесплатные версии, с различными функциями. Для них существует подпольный рынок на хакерских форумах и IRC-каналах.
Атаки на уровне приложений
[ редактировать ]Атаки на уровне приложений используют эксплойты , вызывающие DoS , и могут привести к тому, что работающее на сервере программное обеспечение заполнит дисковое пространство или израсходует всю доступную память или процессорное время . Атаки могут использовать определенные типы пакетов или запросы на подключение для насыщения ограниченных ресурсов, например, занимая максимальное количество открытых соединений или заполняя дисковое пространство жертвы журналами. Злоумышленник, имеющий доступ на уровне оболочки к компьютеру жертвы, может замедлить его работу до тех пор, пока он не станет непригодным для использования, или вывести его из строя, используя вилочную бомбу . Другой вид DoS-атаки на уровне приложения — это XDoS (или XML DoS), которым могут управлять современные брандмауэры веб-приложений (WAF). Все атаки, относящиеся к категории использования таймаута . [ 49 ]
Медленные DoS-атаки реализуют атаку на уровне приложения. Примерами угроз являются Slowloris, устанавливающий ожидающие соединения с жертвой, или SlowDroid , атака, выполняемая на мобильных устройствах. Другой целью DDoS-атак может быть создание дополнительных затрат для оператора приложения, когда последний использует ресурсы на основе облачных вычислений . В этом случае обычно используемые приложениями ресурсы привязаны к необходимому уровню качества обслуживания (QoS) (например, ответы должны быть менее 200 мс), и это правило обычно связано с автоматизированным программным обеспечением (например, Amazon CloudWatch [ 50 ] ), чтобы получить больше виртуальных ресурсов от провайдера для удовлетворения определенных уровней QoS для возросших запросов. Основным стимулом таких атак может быть побуждение владельца приложения повысить уровень эластичности для обработки возросшего трафика приложения, вызвать финансовые потери или заставить его стать менее конкурентоспособным. Банановая атака — еще один особый тип DoS. Он включает в себя перенаправление исходящих сообщений от клиента обратно на клиента, предотвращение внешнего доступа, а также затопление клиента отправленными пакетами. Наземная . атака относится к этому типу
Атаки с ухудшением качества обслуживания
[ редактировать ]Пульсирующие зомби — это взломанные компьютеры, которые запускают периодические и кратковременные флуды веб-сайтов-жертв с целью просто замедлить их работу, а не вывести из строя. Этот тип атаки, называемый деградацией обслуживания , может быть труднее обнаружить и может нарушать и препятствовать соединению с веб-сайтами в течение длительных периодов времени, что потенциально может вызвать более общий сбой, чем атака типа «отказ в обслуживании». [ 51 ] [ 52 ] Выявление атак, направленных на ухудшение качества обслуживания, еще более осложняется необходимостью выяснения того, действительно ли сервер подвергается атаке или испытывает более высокие, чем обычно, нагрузки законного трафика. [ 53 ]
Распределенная DoS-атака
[ редактировать ]Если злоумышленник организует атаку с одного хоста, это будет классифицировано как DoS-атака. Любая атака на доступность будет классифицироваться как атака типа «отказ в обслуживании». С другой стороны, если злоумышленник использует множество систем для одновременной атаки на удаленный хост, это будет классифицироваться как DDoS-атака. Вредоносное ПО может использовать механизмы DDoS-атак; одним из наиболее известных примеров был MyDoom . Его механизм DoS сработал в определенную дату и время. Этот тип DDoS включал жесткое кодирование целевого IP-адреса перед выпуском вредоносного ПО, и для запуска атаки не требовалось никакого дальнейшего взаимодействия. Система также может быть скомпрометирована трояном, содержащим агент -зомби . Злоумышленники также могут проникнуть в системы с помощью автоматизированных инструментов, использующих недостатки программ, прослушивающих соединения с удаленных хостов. Этот сценарий в первую очередь касается систем, выступающих в качестве серверов в сети. Stacheldraht — классический пример инструмента DDoS. Он использует многоуровневую структуру, в которой злоумышленник использует клиентская программа для подключения к обработчикам, которые представляют собой скомпрометированные системы, которые выдают команды агентам-зомби, что, в свою очередь, облегчает DDoS-атаку. Агенты скомпрометированы злоумышленником через обработчики. Каждый обработчик может управлять до тысячи агентов. [ 48 ] В некоторых случаях машина может стать участником DDoS-атаки с согласия владельца, например, в операции «Расплата» , организованной группой Anonymous . Эти атаки могут использовать различные типы интернет-пакетов, такие как TCP, UDP, ICMP и т. д.
Эти совокупности скомпрометированных систем известны как ботнеты . Инструменты DDoS, такие как Stacheldraht, по-прежнему используют классические методы DoS-атак, основанные на подмене и усилении IP-адресов, такие как смурф-атаки и Fraggle-атаки (типы атак с использованием полосы пропускания). SYN-флуд Также можно использовать (атаку истощения ресурсов). Новые инструменты могут использовать DNS-серверы для целей DoS. В отличие от механизма DDoS MyDoom, ботнеты можно настроить против любого IP-адреса. Скрипт-кидди используют их, чтобы запретить законным пользователям доступ к известным веб-сайтам. [ 54 ] Более изощренные злоумышленники используют инструменты DDoS в целях вымогательства , в том числе против своих конкурентов по бизнесу. [ 55 ] Сообщалось о новых атаках со стороны устройств Интернета вещей (IoT), которые участвовали в атаках типа «отказ в обслуживании». [ 56 ] В одной известной атаке максимальная частота запросов составила около 20 000 в секунду и поступила примерно от 900 камер видеонаблюдения. [ 57 ] Великобритании У GCHQ есть инструменты, созданные для DDoS, под названием PREDATORS FACE и ROLLING THUNDER. [ 58 ]
Простые атаки, такие как SYN-флуд, могут проявляться с широким диапазоном исходных IP-адресов, создавая видимость распределенного DoS. Эти флуд-атаки не требуют завершения трехэтапного установления связи TCP и не пытаются исчерпать целевую очередь SYN или пропускную способность сервера. Поскольку исходные IP-адреса могут быть легко подделаны, атака может исходить из ограниченного набора источников или даже с одного хоста. Усовершенствования стека, такие как файлы cookie SYN, могут быть эффективным средством предотвращения переполнения очереди SYN, но не решают проблему исчерпания пропускной способности. В 2022 году TCP-атаки были ведущим методом DDoS-инцидентов, на их долю пришлось 63% всей DDoS-активности. Сюда входят такие тактики, как TCP SYN , TCP ACK и TCP-флуд. Поскольку TCP является наиболее распространенным сетевым протоколом, ожидается, что его атаки по-прежнему будут преобладать в сфере DDoS-угроз. [ 15 ]
DDoS-вымогательство
[ редактировать ]В 2015 году возросла популярность DDoS-ботнетов, таких как DD4BC, которые нацелены на финансовые учреждения. [ 59 ] Кибер-вымогатели обычно начинают с атаки низкого уровня и предупреждения о том, что будет проведена более крупная атака, если выкуп не будет выплачен в биткойнах . [ 60 ] Эксперты по безопасности рекомендуют целевым веб-сайтам не платить выкуп. Злоумышленники, как правило, прибегают к расширенной схеме вымогательства, как только понимают, что цель готова заплатить. [ 61 ]
HTTP медленная POST DoS-атака
[ редактировать ]Впервые обнаруженная в 2009 году, медленная атака HTTP POST отправляет полный легитимный заголовок HTTP POST , который включает поле Content-Length для указания размера тела сообщения, которому следует следовать. Однако затем злоумышленник продолжает отправлять тело сообщения с чрезвычайно низкой скоростью (например, 1 байт/110 секунд). Поскольку все сообщение правильное и полное, целевой сервер попытается следовать полю Content-Length в заголовке и будет ждать передачи всего тела сообщения, что может занять очень много времени. Злоумышленник устанавливает сотни или даже тысячи таких подключений до тех пор, пока все ресурсы для входящих подключений на сервере-жертве не будут исчерпаны, что делает дальнейшие подключения невозможными до тех пор, пока не будут отправлены все данные. Примечательно, что в отличие от многих других DDoS-атак или DDoS-атак, которые пытаются подчинить сервер путем перегрузки его сети или процессора, медленная HTTP-атака POST нацелена на логические ресурсы жертвы, что означает, что у жертвы все еще будет достаточно пропускной способности сети и обработки данных. мощность для работы. [ 62 ] В сочетании с тем фактом, что HTTP-сервер Apache по умолчанию принимает запросы размером до 2 ГБ, эта атака может быть особенно мощной. Медленные HTTP-атаки POST трудно отличить от законных соединений, поэтому они могут обходить некоторые системы защиты. OWASP , проект безопасности веб-приложений с открытым исходным кодом , выпустил инструмент для проверки безопасности серверов от атак такого типа. [ 63 ]
Вызов атаки Коллапсара (CC)
[ редактировать ]Атака Challenge Collapsar (CC) — это атака, при которой стандартные HTTP-запросы часто отправляются на целевой веб-сервер. Унифицированные идентификаторы ресурсов (URI) в запросах требуют сложных трудоемких алгоритмов или операций с базой данных, которые могут исчерпать ресурсы целевого веб-сервера. [ 64 ] [ 65 ] [ 66 ] В 2004 году китайский хакер по прозвищу KiKi изобрел хакерский инструмент для отправки подобных запросов на атаку брандмауэра NSFOCUS под названием Collapsar, и поэтому хакерский инструмент стал известен как Challenge Collapsar, или CC сокращенно . Следовательно, этот тип атаки получил название CC-атака . [ 67 ]
Флуд протокола управляющих сообщений Интернета (ICMP)
[ редактировать ]Атака smurf основана на неправильно настроенных сетевых устройствах, которые позволяют отправлять пакеты всем компьютерным хостам в определенной сети через широковещательный адрес сети, а не через конкретный компьютер. Злоумышленник отправит большое количество IP- пакетов с поддельным адресом источника, который будет выглядеть как адрес жертвы. [ 68 ] Большинство устройств в сети по умолчанию ответят на это, отправив ответ на исходный IP-адрес. Если количество машин в сети, которые получают эти пакеты и отвечают на них, очень велико, компьютер жертвы будет перегружен трафиком. Это перегружает компьютер жертвы и может даже сделать его непригодным для использования во время такой атаки. [ 69 ]
Пинг-флуд основан на отправке жертве огромного количества пинг- пакетов, обычно с использованием команды ping с Unix-подобных хостов. [ а ] Запустить его очень просто, основным требованием является доступ к большей пропускной способности, чем у жертвы. Пинг смерти основан на отправке жертве искаженного пинг-пакета, который приведет к сбою системы в уязвимой системе. Атака BlackNurse является примером атаки с использованием необходимых ICMP-пакетов «Порт назначения недоступен».
Ядерное оружие
[ редактировать ]Ядерная атака — это старомодная атака типа «отказ в обслуживании» против компьютерных сетей , состоящая из фрагментированных или иным образом недействительных пакетов ICMP, отправленных цели, достигаемая с помощью модифицированной утилиты ping для многократной отправки этих поврежденных данных , тем самым замедляя работу пораженного компьютера до тех пор, пока оно полностью останавливается. [ 70 ] Конкретным примером ядерной атаки, получившей некоторую известность, является WinNuke , которая использовала уязвимость в обработчике NetBIOS в Windows 95 . Строка внеполосных данных была отправлена на TCP- порт 139 компьютера жертвы, что привело к его блокировке и отображению синего экрана смерти . [ 70 ]
Одноранговые атаки
[ редактировать ]Злоумышленники нашли способ использовать ряд ошибок в одноранговых серверах для инициирования DDoS-атак. Самая агрессивная из этих одноранговых DDoS-атак использует DC++ . При одноранговой сети нет бот-сети, и злоумышленнику не нужно связываться с клиентами, которых он подрывает. Вместо этого злоумышленник действует как кукловод , инструктируя клиентов крупных одноранговых центров обмена файлами отключиться от их одноранговой сети и вместо этого подключиться к веб-сайту жертвы. [ 71 ] [ 72 ] [ 73 ]
Постоянные атаки типа «отказ в обслуживании»
[ редактировать ]Постоянный отказ в обслуживании (PDoS), также известный как флэшинг, [ 74 ] — это атака, которая настолько сильно повреждает систему, что требуется замена или переустановка оборудования. [ 75 ] В отличие от распределенной атаки типа «отказ в обслуживании», атака PDoS использует недостатки безопасности, которые позволяют удаленно администрировать интерфейсы управления оборудования жертвы, такого как маршрутизаторы , принтеры или другое сетевое оборудование . Злоумышленник использует эти уязвимости устройства для замены прошивки модифицированным, поврежденным или дефектным образом прошивки — процесс, который, если он выполнен законно, известен как перепрошивка. Цель состоит в том, чтобы заблокировать устройство, сделав его непригодным для использования по первоначальному назначению до тех пор, пока оно не будет отремонтировано или заменено. PDoS — это чисто аппаратная атака, которая может быть намного быстрее и требует меньше ресурсов, чем использование ботнета в DDoS-атаке. Из-за этих особенностей, а также потенциальной и высокой вероятности взлома безопасности встроенных сетевых устройств этот метод привлек внимание многочисленных хакерских сообществ. BrickerBot , вредоносная программа, нацеленная на устройства IoT, использовала PDoS-атаки для отключения своих целей. [ 76 ] PhlashDance — это инструмент, созданный Ричем Смитом (сотрудником лаборатории системной безопасности Hewlett-Packard ), который использовался для обнаружения и демонстрации уязвимостей PDoS на конференции EUSecWest Applied Security Conference 2008 года в Лондоне, Великобритания. [ 77 ]
Отраженная атака
[ редактировать ]Распределенная атака типа «отказ в обслуживании» может включать отправку поддельных запросов определенного типа очень большому количеству компьютеров, которые будут отвечать на запросы. При использовании подмены адреса интернет-протокола исходный адрес устанавливается равным адресу целевой жертвы, что означает, что все ответы будут отправляться (и лавинно распространяться) на цель. Эту форму отраженной атаки иногда называют распределенной отражающей атакой типа «отказ в обслуживании» ( DRDoS ). [ 78 ] Атаки эхо-запроса ICMP ( атаки Smurf ) можно рассматривать как одну из форм отраженных атак, поскольку хосты лавинной рассылки отправляют эхо-запросы на широковещательные адреса неправильно сконфигурированных сетей, тем самым побуждая хосты отправлять пакеты эхо-ответа жертве. Некоторые ранние программы DDoS реализовывали распределенную форму этой атаки.
Усиление
[ редактировать ]Атаки с усилением используются для увеличения пропускной способности, передаваемой жертве. Многие сервисы можно использовать в качестве отражателей, некоторые из которых сложнее заблокировать, чем другие. [ 79 ] US-CERT отметил, что разные услуги могут привести к разным коэффициентам усиления, как указано в таблице ниже: [ 80 ]
Протокол | Коэффициент усиления | Примечания |
---|---|---|
Митель МиКоллаб | 2,200,000,000 [ 81 ] | |
Мемкеш | 50,000 | Исправлено в версии 1.5.6 [ 82 ] |
НТП | 556.9 | Исправлено в версии 4.2.7p26 [ 83 ] |
ПАРТИИ | 358.8 | |
DNS | до 179 [ 84 ] | |
КОТД | 140.3 | |
Сетевой протокол Quake | 63.9 | Исправлено в версии 71 |
БитТоррент | 4.0 - 54.3 [ 85 ] | Исправлено в libuTP с 2015 года. |
КоАП | 10 - 50 | |
ОРУЖИЕ | 33.5 | |
SSDP | 30.8 | |
Что | 16.3 | |
SNMPv2 | 6.3 | |
Протокол Steam | 5.5 | |
NetBIOS | 3.8 |
Атаки с усилением DNS включают в себя злоумышленник, отправляющий запрос на поиск DNS-имени на один или несколько общедоступных DNS-серверов, подделывая исходный IP-адрес целевой жертвы. Злоумышленник пытается запросить как можно больше информации, тем самым усиливая ответ DNS, отправляемый целевой жертве. Поскольку размер запроса значительно меньше ответа, злоумышленник легко может увеличить объем трафика, направляемого на цель. [ 86 ] [ 87 ]
SNMP и NTP также могут использоваться в качестве отражателей при атаке с усилением. Примером усиленной DDoS-атаки через протокол сетевого времени (NTP) является команда monlist, которая отправляет сведения о последних 600 хостах, запросивших время с NTP-сервера, обратно запрашивающей стороне. Небольшой запрос к этому серверу времени может быть отправлен с использованием поддельного исходного IP-адреса какой-либо жертвы, в результате чего ответ в 556,9 раз превышает размер запроса, отправляемого жертве. Это усиливается при использовании ботнетов, которые отправляют запросы с одного и того же поддельного IP-источника, что приводит к отправке огромного количества данных обратно жертве. Защититься от подобных атак очень сложно, поскольку данные ответа поступают с законных серверов. Эти запросы на атаку также отправляются через UDP, который не требует подключения к серверу. Это означает, что исходный IP-адрес не проверяется при получении запроса сервером. Чтобы привлечь внимание к этим уязвимостям, были начаты кампании, посвященные поиску векторов усиления, которые привели к тому, что люди исправили свои резолверы или полностью отключили резолверы. [ нужна ссылка ]
Ботнет Мирай
[ редактировать ]Ботнет Mirai использует компьютерного червя для заражения сотен тысяч устройств Интернета вещей в Интернете. Червь распространяется через сети и системы, контролируя плохо защищенные устройства Интернета вещей, такие как термостаты, часы с поддержкой Wi-Fi и стиральные машины. [ 88 ] Владелец или пользователь обычно не имеют немедленного указания о том, когда устройство заразится. Само устройство IoT не является непосредственной целью атаки, оно используется как часть более крупной атаки. [ 89 ] Как только хакер поработил желаемое количество устройств, он дает им указание попытаться связаться с интернет-провайдером. В октябре 2016 года ботнет Mirai атаковал Dyn , который является интернет-провайдером для таких сайтов, как Twitter , Netflix и т. д. [ 88 ] Как только это произошло, все эти веб-сайты были недоступны в течение нескольких часов.
RU-Уже мертв? (РУДИ)
[ редактировать ]Атака RUDY нацелена на веб-приложения путем истощения доступных сеансов на веб-сервере. Как и Slowloris, RUDY останавливает сеансы, используя бесконечные передачи POST и отправляя заголовок произвольно большой длины. [ 90 ]
МЕШОК Паника
[ редактировать ]Управление максимальным размером сегмента и выборочным подтверждением (SACK) может использоваться удаленным узлом, чтобы вызвать отказ в обслуживании из-за целочисленного переполнения в ядре Linux, что потенциально может вызвать панику ядра . [ 91 ] Джонатан Луни обнаружил CVE . 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479 от 17 июня 2019 г. [ 92 ]
Атака строптивой
[ редактировать ]Атака «строптивая» — это атака типа «отказ в обслуживании» на протокол управления передачей , при которой злоумышленник использует методы «человек посередине» . Он использует слабость механизма тайм-аута повторной передачи TCP, используя короткие синхронизированные пакеты трафика для разрыва TCP-соединений по тому же каналу. [ 93 ]
Атака медленного чтения
[ редактировать ]Атака медленного чтения отправляет законные запросы уровня приложения, но считывает ответы очень медленно, оставляя соединения открытыми дольше в надежде исчерпать пул соединений сервера. Медленное чтение достигается за счет объявления очень малого размера окна приема TCP и одновременного медленного опорожнения буфера приема TCP клиентов, что приводит к очень низкой скорости потока данных. [ 94 ]
Сложная распределенная атака типа «отказ в обслуживании» с низкой пропускной способностью
[ редактировать ]Сложная DDoS-атака с низкой пропускной способностью — это форма DoS, которая использует меньше трафика и повышает ее эффективность, нацеливаясь на слабое место в конструкции системы жертвы, т. е. злоумышленник отправляет системе трафик, состоящий из сложных запросов. [ 95 ] По сути, сложная DDoS-атака обходится дешевле из-за использования меньшего трафика, имеет меньший размер, что затрудняет ее идентификацию, и способна нанести вред системам, защищенным механизмами управления потоками. [ 95 ] [ 96 ]
Син-флуд
[ редактировать ]возникает SYN-флуд , когда хост отправляет поток TCP/SYN-пакетов, часто с поддельным адресом отправителя. Каждый из этих пакетов обрабатывается как запрос на соединение, заставляя сервер создавать полуоткрытое соединение , отправлять обратно пакет TCP/SYN-ACK и ждать ответного пакета от адреса отправителя. Однако, поскольку адрес отправителя подделан, ответ так и не приходит. Эти полуоткрытые соединения исчерпывают доступные соединения, которые может установить сервер, не позволяя ему отвечать на законные запросы до тех пор, пока атака не завершится. [ 97 ]
Каплевидные атаки
[ редактировать ]Каплевидная атака включает в себя отправку искаженных IP-фрагментов с перекрывающимися, слишком большими полезными данными на целевой компьютер. Это может привести к сбою различных операционных систем из-за ошибки в их TCP/IP коде повторной сборки фрагментации . [ 98 ] Операционные системы Windows 3.1x , Windows 95 и Windows NT , а также версии Linux до версий 2.0.32 и 2.1.63 уязвимы для этой атаки. [ б ] Одним из полей IP-заголовка является поле смещения фрагмента , указывающее начальную позицию или смещение данных, содержащихся во фрагментированном пакете, относительно данных в исходном пакете. Если сумма смещения и размера одного фрагментированного пакета отличается от суммы смещения и размера следующего фрагментированного пакета, пакеты перекрываются. Когда это происходит, сервер, уязвимый для атак типа «Teardrop», не может повторно собрать пакеты, что приводит к состоянию отказа в обслуживании. [ 101 ]
Отказ в обслуживании телефонии
[ редактировать ]Голос по IP сделал неправомерное выполнение большого количества телефонных голосовых вызовов недорогим и легко автоматизированным, в то же время позволяя искажать происхождение вызовов посредством подмены идентификатора вызывающего абонента . По данным Федерального бюро расследований США , отказ в обслуживании телефонии (TDoS) появлялся в рамках различных мошеннических схем:
- Мошенник связывается с банкиром или брокером жертвы, выдавая себя за жертву, чтобы запросить перевод средств. Попытка банкира связаться с жертвой для проверки перевода не удалась, поскольку телефонные линии жертвы забиты фиктивными звонками, что делает жертву недоступной. [ 102 ]
- Мошенник связывается с потребителями с фиктивным требованием получить непогашенный кредит до зарплаты на тысячи долларов. Когда потребитель возражает, мошенник в ответ заваливает работодателя жертвы автоматическими звонками. В некоторых случаях отображаемый идентификатор вызывающего абонента подделывается, чтобы выдать себя за полицию или правоохранительные органы. [ 103 ]
- Прихлопывание : мошенник связывается с потребителями с фиктивным требованием о взыскании долга и угрожает вызвать полицию; Когда жертва отказывается, мошенник наводняет номера местной полиции звонками, в которых идентификатор вызывающего абонента подделывается, чтобы отобразить номер жертвы. Вскоре к дому жертвы прибывает полиция, пытаясь выяснить причину звонков.
TDoS может существовать даже без интернет-телефонии . Во время скандала с глушением телефонных разговоров в Сенате штата Нью-Гемпшир в 2002 году телемаркетеры использовались для того, чтобы завалить политических оппонентов ложными звонками с целью заблокировать телефонные банки в день выборов. Повсеместная публикация номера также может привести к тому, что на него будет поступать достаточное количество звонков, чтобы сделать его непригодным для использования, как это случайно произошло в 1981 году с несколькими абонентами с кодом +1 -867-5309, ежедневно заваленными сотнями звонков в ответ на песню « 867-5309 ». /Дженни ». TDoS отличается от других видов телефонного преследования (таких как розыгрыши и непристойные телефонные звонки ) количеством исходящих звонков. Постоянно занимая линии и совершая повторяющиеся автоматические вызовы, жертва не может совершать или принимать как обычные, так и экстренные телефонные звонки. Связанные с этим эксплойты включают атаки SMS-рассылки и «черный» факс или непрерывную передачу факса с использованием бумажной петли у отправителя.
Атака по истечении срока TTL
[ редактировать ]1 или меньше требуется больше ресурсов маршрутизатора, Для отбрасывания пакета со значением TTL чем для пересылки пакета с более высоким значением TTL. Когда пакет отбрасывается из-за истечения срока TTL, ЦП маршрутизатора должен сгенерировать и отправить ответ ICMP о превышении времени . Генерация многих из этих ответов может привести к перегрузке процессора маршрутизатора. [ 104 ]
UPnP-атака
[ редактировать ]Атака UPnP использует существующую уязвимость в протоколе Universal Plug and Play (UPnP), чтобы обойти сетевую безопасность и затопить сеть и серверы цели. Атака основана на методе усиления DNS, но механизмом атаки является маршрутизатор UPnP, который перенаправляет запросы от одного внешнего источника к другому. Маршрутизатор UPnP возвращает данные на неожиданный порт UDP с поддельного IP-адреса, что затрудняет выполнение простых действий по прекращению потока трафика. По мнению исследователей Imperva , наиболее эффективный способ остановить эту атаку — заблокировать UPnP-маршрутизаторы. [ 105 ] [ 106 ]
Атака с отражением SSDP
[ редактировать ]В 2014 году было обнаружено, что простой протокол обнаружения служб (SSDP) использовался в DDoS- атаках, известных как отражения SSDP атака с усилением . Многие устройства, в том числе некоторые домашние маршрутизаторы, имеют уязвимость в программном обеспечении UPnP, которая позволяет злоумышленнику получать ответы с порта UDP 1900 на адрес назначения по своему выбору. Имея ботнет из тысяч устройств, злоумышленники могут генерировать достаточную скорость передачи пакетов и занимать полосу пропускания для насыщения каналов, вызывая отказ в обслуживании. [ 107 ] [ 108 ] [ 109 ] Из-за этой слабости сетевая компания Cloudflare назвала SSDP «глупым простым протоколом DDoS». [ 110 ]
Подмена ARP
[ редактировать ]Подмена ARP — это распространенная DoS-атака, которая включает в себя уязвимость в протоколе ARP, которая позволяет злоумышленнику связать свой MAC-адрес с IP-адресом другого компьютера или шлюза , в результате чего трафик, предназначенный для исходного подлинного IP-адреса, перенаправляется на IP-адрес другого компьютера или шлюза. злоумышленнику, вызывая отказ в обслуживании.
Техники защиты
[ редактировать ]Защитные меры реагирования на атаки типа «отказ в обслуживании» обычно включают использование комбинации инструментов обнаружения атак, классификации трафика и реагирования с целью блокировать трафик, который инструменты идентифицируют как незаконный, и разрешать трафик, который они идентифицируют как законный. [ 111 ] Список инструментов реагирования включает следующее.
Восходящая фильтрация
[ редактировать ]Весь трафик, предназначенный жертве, перенаправляется через центр очистки или центр очистки с помощью различных методов, таких как: изменение IP-адреса жертвы в системе DNS, методы туннелирования (GRE/VRF, MPLS, SDN), [ 112 ] прокси, цифровые кросс-соединения или даже прямые каналы. Центр очистки отделяет плохой трафик (DDoS, а также другие распространенные интернет-атаки) и передает на сервер жертвы только хороший легитимный трафик. [ 113 ] Чтобы воспользоваться услугами такого рода, жертве необходимо централизованное подключение к Интернету, если только она не находится на территории того же объекта, что и центр уборки. DDoS-атаки могут преодолеть любой тип аппаратного брандмауэра, а передача вредоносного трафика через крупные и развитые сети становится все более эффективной и экономически устойчивой против DDoS. [ 114 ]
Аппаратное обеспечение внешнего интерфейса приложения
[ редактировать ]Аппаратное обеспечение внешнего интерфейса приложения — это интеллектуальное оборудование, размещаемое в сети до того, как трафик достигнет серверов. Его можно использовать в сетях совместно с маршрутизаторами и коммутаторами , а также как часть управления полосой пропускания . Аппаратное обеспечение внешнего интерфейса приложения анализирует пакеты данных по мере их поступления в сеть, а также идентифицирует и удаляет опасные или подозрительные потоки.
Ключевые индикаторы завершения уровня приложения
[ редактировать ]Подходы к обнаружению DDoS-атак на облачные приложения могут основываться на анализе уровня приложений, указывающем, является ли входящий массовый трафик законным. [ 115 ] Эти подходы в основном полагаются на идентифицированный путь ценности внутри приложения и отслеживают ход выполнения запросов по этому пути с помощью маркеров, называемых ключевыми индикаторами завершения . [ 116 ] По сути, эти методы представляют собой статистические методы оценки поведения входящих запросов, чтобы определить, происходит ли что-то необычное или ненормальное. Можно провести аналогию с обычным универмагом, где покупатели в среднем тратят известный процент своего времени на различные действия, такие как получение товаров и их осмотр, помещение их обратно, наполнение корзины, ожидание оплаты, оплата. , и ухожу. Если в магазин пришла толпа покупателей и все время собирала товары и складывала их обратно, но так и не совершила ни одной покупки, это можно было бы расценить как необычное поведение.
Черная дыра и воронка
[ редактировать ]При маршрутизации через черную дыру весь трафик к атакованному DNS или IP-адресу отправляется в черную дыру (нулевой интерфейс или несуществующий сервер). Чтобы повысить эффективность и избежать влияния на сетевое подключение, им может управлять интернет-провайдер. [ 117 ] Воронка DNS направляет трафик на действительный IP-адрес, который анализирует трафик и отклоняет неправильные пакеты. Синхолинг может оказаться неэффективным при серьезных атаках.
Профилактика на основе IPS
[ редактировать ]Системы предотвращения вторжений (IPS) эффективны, если атаки имеют связанные с ними сигнатуры. Однако среди атак наблюдается тенденция иметь законный контент, но с плохими намерениями. Системы предотвращения вторжений, работающие над распознаванием контента, не могут блокировать DoS-атаки на основе поведения. [ 41 ] IPS на базе ASIC может обнаруживать и блокировать атаки типа «отказ в обслуживании», поскольку они обладают вычислительной мощностью и степенью детализации для анализа атак и действуют как автоматический выключатель в автоматическом режиме. [ 41 ]
Защита на основе DDS
[ редактировать ]Система защиты от DoS (DDS), более ориентированная на проблему, чем IPS, может блокировать DoS-атаки на основе соединения, а также атаки с законным контентом, но с плохими намерениями. DDS также может противостоять как протокольным атакам (таким как «слеза» и «пинг смерти»), так и атакам на основе скорости (таким как ICMP-флуд и SYN-флуд). DDS имеет специально созданную систему, которая может легко идентифицировать и препятствовать атакам типа «отказ в обслуживании» с большей скоростью, чем программная система. [ 118 ]
Брандмауэры
[ редактировать ]В случае простой атаки брандмауэр можно настроить так, чтобы блокировать весь входящий трафик злоумышленников на основе протоколов, портов или исходных IP-адресов. Однако более сложные атаки будет трудно заблокировать с помощью простых правил: например, если происходит продолжающаяся атака на порт 80 (веб-сервис), невозможно отбросить весь входящий трафик на этот порт, поскольку это не позволит серверу получение и обслуживание легитимного трафика. [ 119 ] Кроме того, брандмауэры могут располагаться слишком глубоко в сетевой иерархии, что негативно скажется на маршрутизаторах еще до того, как трафик достигнет брандмауэра. Кроме того, многие инструменты безопасности до сих пор не поддерживают IPv6 или могут быть настроены неправильно, поэтому во время атак можно обойти брандмауэры. [ 120 ]
Маршрутизаторы
[ редактировать ]Подобно коммутаторам, маршрутизаторы имеют некоторые возможности ограничения скорости и ACL . Они тоже настраиваются вручную. Большинство маршрутизаторов могут быть легко перегружены DoS-атакой. Nokia SR-OS, использующая процессоры FP4 или FP5, обеспечивает защиту от DDoS. [ 121 ] Nokia SR-OS также использует Nokia Deepfield Defender на основе анализа больших данных для защиты от DDoS. [ 122 ] Cisco IOS имеет дополнительные функции, которые могут уменьшить влияние лавинной рассылки. [ 123 ]
Переключатели
[ редактировать ]Большинство коммутаторов имеют некоторые возможности ограничения скорости и ACL . Некоторые коммутаторы обеспечивают автоматическое или общесистемное ограничение скорости , формирование трафика , отложенное связывание ( сращивание TCP ), глубокую проверку пакетов и фильтрацию богонов (фильтрация фиктивных IP-адресов) для обнаружения и устранения DoS-атак посредством автоматической фильтрации скорости, а также аварийного переключения и балансировки каналов WAN. Эти схемы будут работать до тех пор, пока с их помощью можно предотвратить DoS-атаки. Например, SYN-флуд можно предотвратить с помощью отложенного связывания или сплайсинга TCP. Аналогично, DoS на основе контента можно предотвратить с помощью глубокой проверки пакетов. Атаки с использованием марсианских пакетов можно предотвратить с помощью богонной фильтрации. Автоматическая фильтрация ставок может работать, если заданные пороговые значения скорости установлены правильно. Переключение при сбое WAN-канала будет работать, если оба канала имеют механизм предотвращения DoS. [ 41 ]
Блокировка уязвимых портов
[ редактировать ]Например, при атаке с отражением SSDP; Ключевым средством устранения проблемы является блокировка входящего UDP-трафика через порт 1900 на брандмауэре. [ 124 ]
Непреднамеренный отказ в обслуживании
[ редактировать ]Непреднамеренный отказ в обслуживании может произойти, когда система оказывается отключена не из-за преднамеренной атаки со стороны одного человека или группы людей, а просто из-за внезапного резкого скачка популярности. Это может произойти, когда чрезвычайно популярный веб-сайт размещает заметную ссылку на второй, менее подготовленный сайт, например, в рамках новостной статьи. В результате значительная часть постоянных пользователей основного сайта – потенциально сотни тысяч людей – нажимают на эту ссылку в течение нескольких часов, оказывая на целевой сайт тот же эффект, что и DDoS-атака. VIPDoS — то же самое, но особенно когда ссылку разместил знаменитость. Когда Майкл Джексон умер в 2009 году, такие сайты, как Google и Twitter, замедлили работу или даже вышли из строя. [ 125 ] Серверы многих сайтов считали, что запросы исходят от вируса или шпионского ПО, пытающегося вызвать атаку типа «отказ в обслуживании», предупреждая пользователей, что их запросы выглядят как «автоматические запросы от компьютерного вируса или шпионского приложения». [ 126 ]
Новостные сайты и сайты ссылок – сайты, основной функцией которых является предоставление ссылок на интересный контент в других местах Интернета – чаще всего вызывают это явление. Канонический пример — эффект Slashdot при получении трафика от Slashdot . Это также известно как « Reddit объятия смерти » и «эффект Дигга ». Также известно, что маршрутизаторы создают непреднамеренные DoS-атаки, поскольку маршрутизаторы D-Link и Netgear перегружают NTP-серверы, переполняя их, не соблюдая ограничений типов клиентов или географических ограничений. Аналогичный непреднамеренный отказ в обслуживании может произойти и через другие средства, например, когда URL-адрес упоминается по телевидению. Если сервер индексируется Google или другой поисковой системой в периоды пиковой активности или во время индексирования у него недостаточно доступной пропускной способности, он также может подвергнуться воздействию DoS-атаки. [ 41 ] [ не удалось пройти проверку ] [ нужна ссылка ]
По крайней мере, в одном таком случае были предприняты юридические действия. В 2006 году компания Universal Tube & Rollform Equipment Corporation подала в суд на YouTube : огромное количество потенциальных пользователей YouTube.com случайно набрали URL-адрес компании по производству трубок — utube.com. В результате компании, производящей трубки, пришлось потратить большие суммы денег на повышение пропускной способности. [ 127 ] Похоже, компания воспользовалась ситуацией: на utube.com теперь размещена реклама для получения дохода от рекламы. В марте 2014 года, после того как рейс 370 Malaysia Airlines пропал, DigitalGlobe запустила краудсорсинговый сервис, с помощью которого пользователи могли помочь найти пропавший самолет на спутниковых снимках. Ответ привел к перегрузке серверов компании. [ 128 ] Непреднамеренный отказ в обслуживании также может быть результатом заранее запланированного события, созданного самим веб-сайтом, как это было в случае с переписью населения в Австралии в 2016 году. [ 129 ] Это может быть вызвано тем, что сервер предоставляет какую-либо услугу в определенное время.
Побочные эффекты атак
[ редактировать ]обратное рассеяние
[ редактировать ]В безопасности компьютерных сетей обратное рассеяние — это побочный эффект поддельной атаки типа «отказ в обслуживании». При атаках такого типа злоумышленник подделывает (или подделывает) исходный адрес в IP-пакетах, отправляемых жертве. В общем, машина-жертва не может отличить поддельные пакеты от законных пакетов, поэтому жертва реагирует на поддельные пакеты, как обычно. Эти пакеты ответа известны как обратное рассеяние. [ 130 ]
Если злоумышленник подменяет исходные адреса случайным образом, пакеты ответа обратного рассеяния от жертвы будут отправлены обратно в случайные места назначения. Этот эффект может быть использован сетевыми телескопами как косвенное свидетельство подобных атак. Термин «анализ обратного рассеяния» относится к наблюдению за пакетами обратного рассеяния, поступающими в статистически значимую часть пространства IP-адресов , для определения характеристик DoS-атак и жертв.
Законность
[ редактировать ]Во многих юрисдикциях действуют законы, согласно которым атаки типа «отказ в обслуживании» являются незаконными. ЮНКТАД подчеркивает, что 156 стран, или 80% в мире, приняли законы о киберпреступности для борьбы с ее широкомасштабным воздействием. Уровень внедрения варьируется в зависимости от региона: в Европе — 91%, а в Африке — 72%. [ 132 ]
- В США атаки типа «отказ в обслуживании» могут считаться федеральным преступлением в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях , за которые предусмотрены наказания, включая годы тюремного заключения. [ 133 ] Отдел компьютерных преступлений и интеллектуальной собственности США Министерства юстиции занимается случаями DoS и DDoS. В одном из примеров: в июле 2019 года Остин Томпсон, известный как DerpTrolling , был приговорен федеральным судом к 27 месяцам тюремного заключения и возмещению 95 000 долларов США за проведение многочисленных DDoS-атак на крупные компании, занимающиеся видеоиграми, которые нарушали работу их систем от нескольких часов до нескольких дней. [ 134 ] [ 135 ]
- В европейских странах совершение преступных атак типа «отказ в обслуживании» может, как минимум, привести к аресту. [ 136 ] Соединенное Королевство необычно тем, что оно специально объявило вне закона атаки типа «отказ в обслуживании» и установило максимальное наказание в виде 10 лет тюремного заключения в Законе о полиции и правосудии 2006 года , который внес поправки в раздел 3 Закона о неправомерном использовании компьютеров 1990 года . [ 137 ]
- В январе 2019 года Европол объявил, что «в настоящее время во всем мире проводятся действия по отслеживанию пользователей» Webstresser.org, бывшего рынка DDoS-атак, который был закрыт в апреле 2018 года в рамках операции Power Off. [ 138 ] Европол заявил, что полиция Великобритании провела ряд «оперативных операций», нацеленных на более чем 250 пользователей Webstresser и других DDoS-сервисов. [ 139 ]
7 января 2013 года Anonymous петицию разместили на сайте whitehouse.gov с просьбой признать DDoS юридической формой протеста, аналогичной протестам Occupy , при этом утверждая, что сходство в целях обоих одинаково. [ 140 ]
См. также
[ редактировать ]- BASHLITE – Вредоносное ПО для систем Linux
- Атака «Миллиард смеха» - атака типа «отказ в обслуживании» на парсеры XML с использованием расширения сущности.
- Черный факс - розыгрышная передача факса, предназначенная для траты чернил или бумаги получателя.
- Ботнет – сбор скомпрометированных подключенных к Интернету устройств, контролируемых третьей стороной.
- Blaster (компьютерный червь) - компьютерный червь для Windows 2003 г.
- Атака с оценкой четкого канала – атака типа «отказ в обслуживании» против сети Wi-Fi.
- Dendroid (вредоносное ПО) – вредоносное ПО для Android.
- Распределенные атаки типа «отказ в обслуживании» на корневые серверы имен — тип кибератаки
- DNS Flood – атака типа «отказ в обслуживании», направленная на DNS-сервер.
- Форк-бомба — тип программной атаки типа «отказ в обслуживании».
- High Orbit Ion Cannon – инструмент для атак типа «отказ в обслуживании» (HOIC)
- DDoS «наезд и бегство» - тип кибератаки типа «отказ в обслуживании».
- Промышленный шпионаж . Использование шпионажа в коммерческих целях, а не в целях безопасности.
- Бесконечный цикл – идиома программирования
- Система обнаружения вторжений — устройство или программное обеспечение для защиты сети.
- Killer poke - Программные средства повреждения оборудования компьютера.
- Кружевная карта - перфокарта со всеми пробитыми отверстиями.
- Low Orbit Ion Cannon - приложение для стресс-тестирования сети с открытым исходным кодом и атаки типа «отказ в обслуживании» (LOIC)
- Атака смешанной угрозы
- Система обнаружения сетевых вторжений — устройство или программное обеспечение для защиты сети.
- Кибератака Dyn 2016 г. – Кибератака 2016 г. в Европе и Северной Америке.
- Операция PowerOFF – Совместная операция по закрытию DDoS-сайтов
- Бумажный терроризм : использование поддельных юридических документов как метод преследования.
- Project Shield - служба защиты от распределенного отказа в обслуживании (анти-DDoS)
- ReDoS – атака типа «отказ в обслуживании» с использованием регулярных выражений
- Атака на истощение ресурсов
- SlowDroid – экспериментальная атака типа «отказ в обслуживании»
- Slowloris (компьютерная безопасность) – программное обеспечение для выполнения атаки типа «отказ в обслуживании».
- Виртуальная сидячая забастовка – онлайн-техника гражданского неповиновения
- Веб-оболочка — интерфейс, обеспечивающий удаленный доступ к веб-серверу.
- Радиопомехи - помехи авторизованной беспроводной связи.
- XML-атака типа «отказ в обслуживании»
- Xor DDoS – вредоносное ПО для Linux с возможностями руткита
- Zemra —
- Зомби (компьютеры) – взломанный компьютер, используемый для вредоносных задач в сети.
Примечания
[ редактировать ]- ^ Флаг -t в системах Windows гораздо менее способен перегрузить цель, а также флаг -l (размер) не позволяет отправлять размер пакета, превышающий 65500 в Windows.
- ^ Хотя в сентябре 2009 года уязвимость в Windows Vista называлась каплевидной атакой , она была нацелена на SMB2 , который находится на более высоком уровне, чем TCP-пакеты, которые использовали слезоточивые пакеты). [ 99 ] [ 100 ]
Ссылки
[ редактировать ]- ^ «Понимание атак типа «отказ в обслуживании»» . США-CERT. 6 февраля 2013 года . Проверено 26 мая 2016 г.
- ^ Эллейти, Халед; Благович, Дражен; Ченг, Ван; Сидело, Поль (1 января 2005 г.). «Методы атак типа «отказ в обслуживании»: анализ, реализация и сравнение» . Публикации факультета компьютерных наук и инженерного факультета .
- ^ «Что такое DDoS-атака? - Значение DDoS» . Касперский . 13 января 2021 г. Проверено 5 сентября 2021 г.
- ^ Принц, Мэтью (25 апреля 2016 г.). «Пустые DDoS-угрозы: встречайте коллектив Армады» . CloudFlare . Проверено 18 мая 2016 г.
- ^ «Президент Brand.com Майк Заммуто раскрывает попытку шантажа» . 5 марта 2014 г. Архивировано из оригинала 11 марта 2014 г.
- ^ «Майк Заммуто из Brand.com обсуждает вымогательство на Meetup.com» . 5 марта 2014 г. Архивировано из оригинала 13 мая 2014 г.
- ^ Халпин, Гарри (17 декабря 2010 г.). «Философия анонима» . Радикальная философия.com . Проверено 10 сентября 2013 г.
- ^ «Распределенные атаки типа «отказ в обслуживании» — Журнал интернет-протокола — Том 7, номер 4» . Циско . Архивировано из оригинала 26 августа 2019 года . Проверено 26 августа 2019 г.
- ^ Смит, Стив. «5 известных ботнетов, которые держали Интернет в заложниках» . tqеженедельно . Проверено 20 ноября 2014 г.
- ^ Чимпану, Каталин. «Google заявляет, что в 2017 году смягчила крупнейшую из известных на сегодняшний день DDoS-атак на скорости 2,54 Тбит/с» . ЗДНет . Проверено 16 сентября 2021 г.
- ^ Гудин, Дэн (5 марта 2018 г.). «Американский поставщик услуг пережил самый крупный зарегистрированный DDoS в истории» . Арс Техника . Проверено 6 марта 2018 г.
- ^ «Amazon «предотвращает крупнейшую в истории кибератаку DDoS» » . Новости Би-би-си . 18 июня 2020 г. Проверено 11 ноября 2020 г.
- ^ «Cloudflare смягчила рекордную DDoS-атаку в 17,2 миллиона запросов в секунду» . Неделя Безопасности . 23 августа 2021 г.
- ^ «Яндекс атакован мощным DDoS-ботнетом Meris» . Threatpost.com . 10 сентября 2021 г. Проверено 23 декабря 2021 г.
- ^ Перейти обратно: а б Команда Azure Network Security (21 февраля 2023 г.). «Обзор 2022 года: тенденции и аналитика DDoS-атак» . Блог Microsoft по безопасности . Проверено 7 апреля 2024 г.
- ^ «Cloudflare смягчает рекордную DDoS-атаку с частотой 71 миллион запросов в секунду» . Блог Cloudflare . 13 февраля 2023 г. Проверено 13 января 2024 г.
- ^ Уэзербед, Джесс (11 июля 2023 г.). «Сайт фанфиков AO3 отключен от сети из-за волны DDoS-атак» . Грань . Проверено 9 апреля 2024 г.
- ^ «Наш собственный архив недоступен из-за DDoS-атаки» . Полигон . 10 июля 2023 г.
- ^ «Седьмой день кибератак на Италию. NoName057(16) возвращается в Банки и телекоммуникации» . 6 августа 2023 г.
- ^ swissinfo.ch, SWI (17 января 2024 г.). «Швейцария подверглась кибератаке после визита президента Украины» . SWI swissinfo.ch . Проверено 8 апреля 2024 г.
- ^ «HTTP/2 Rapid Reset: деконструкция рекордной атаки» . Блог Cloudflare . 10 октября 2023 г. Проверено 13 января 2024 г.
- ^ «Google смягчила крупнейшую на сегодняшний день DDoS-атаку, достигшую максимума в 398 миллионов запросов в секунду» . Блог Google Cloud . 10 октября 2023 г. Проверено 13 января 2024 г.
- ^ Перейти обратно: а б Тагави Заргар, Саман (ноябрь 2013 г.). «Обзор механизмов защиты от массовых атак распределенного отказа в обслуживании (DDoS)» (PDF) . Обзоры и учебные пособия IEEE по коммуникациям. стр. 2046–2069. Архивировано (PDF) из оригинала 7 марта 2014 г. Проверено 7 марта 2014 г.
- ^ Халифе, Солтаниан, Мохаммад Реза (10 ноября 2015 г.). Теоретические и экспериментальные методы защиты от DDoS-атак . Амири, Ирадж Садег, 1977-. Уолтем, Массачусетс. ISBN 978-0128053997 . OCLC 930795667 .
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка ) - ^ «Ваш сайт укусил зомби?» . Облачный брик. 3 августа 2015 г. Проверено 15 сентября 2015 г.
- ^ Перейти обратно: а б «DDoS-атаки седьмого уровня». Институт информационной безопасности .
- ^ Рагхаван, С.В. (2011). Расследование обнаружения и смягчения атак типа «отказ в обслуживании» (DoS) . Спрингер. ISBN 9788132202776 .
- ^ Гудин, Дэн (28 сентября 2016 г.). «Сообщается, что рекордные DDoS-атаки были осуществлены более чем 145 тысячами взломанных камер» . Арс Техника . Архивировано из оригинала 2 октября 2016 года.
- ^ Хандельвал, Свати (26 сентября 2016 г.). «Крупнейшая в мире DDoS-атака со скоростью 1 Тбит/с началась с 152 000 взломанных смарт-устройств» . Хакерские новости. Архивировано из оригинала 30 сентября 2016 года.
- ^ Кумар, Бхаттачарья, Дхруба; Калита, Джугал Кумар (27 апреля 2016 г.). DDoS-атаки: эволюция, обнаружение, предотвращение, реагирование и устойчивость . Бока-Ратон, Флорида. ISBN 9781498729659 . OCLC 948286117 .
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка ) - ^ «Imperva, Глобальная картина угроз DDoS, отчет за 2019 год» (PDF) . Imperva.com . Имперва . Архивировано (PDF) из оригинала 9 октября 2022 года . Проверено 4 мая 2020 г.
- ^ Сайдс, Мор; Бремлер-Барр, Анат ; Розенсвейг, Элиша (17 августа 2015 г.). «Атака йо-йо: уязвимость в механизме автоматического масштабирования» . Обзор компьютерных коммуникаций ACM SIGCOMM . 45 (4): 103–104. дои : 10.1145/2829988.2790017 .
- ^ Барр, Анат; Бен Дэвид, Ронен (2021). «Автомасштабирование Kubernetes: уязвимость к атакам йо -йо и их смягчение». Материалы 11-й Международной конференции по облачным вычислениям и науке о сервисах . стр. 34–44. arXiv : 2105.00542 . дои : 10.5220/0010397900340044 . ISBN 978-989-758-510-4 . S2CID 233482002 .
- ^ Сюй, Сяоцюн; Ли, Джин; Ю, Хунфан; Ло, Лонг; Вэй, Сюэтао; Солнце, Банда (2020). «На пути к смягчению атак Yo-Yo в механизме автоматического масштабирования облака» . Цифровые коммуникации и сети . 6 (3): 369–376. дои : 10.1016/j.dcan.2019.07.002 . S2CID 208093679 .
- ^ Ли, Ньютон (2013). Борьба с терроризмом и кибербезопасность: полная информационная осведомленность . Спрингер. ISBN 9781461472056 .
- ^ «Gartner сообщает, что 25 процентов распределенных атак типа «отказ в обслуживании» в 2013 году будут основаны на приложениях» . Гартнер . 21 февраля 2013 года. Архивировано из оригинала 25 февраля 2013 года . Проверено 28 января 2014 г.
- ^ Перейти обратно: а б Джиновский, Джон (27 января 2014 г.). «Что следует знать об усугублении DDoS-атак» . Банковский журнал ABA . Архивировано из оригинала 9 февраля 2014 года.
- ^ «Состояние Интернета за четвертый квартал 2014 г. — Отчет о безопасности: цифры — Блог Akamai» . blogs.akamai.com .
- ^ Али, Джунаде (23 ноября 2017 г.). «Новый ландшафт DDoS» . Блог Cloudflare .
- ^ Хиггинс, Келли Джексон (17 октября 2013 г.). «DDoS-атака использовала «безголовый» браузер в 150-часовой осаде» . Мрачное чтение . Информационная неделя. Архивировано из оригинала 22 января 2014 года . Проверено 28 января 2014 г.
- ^ Перейти обратно: а б с д и Киюна и Коньерс (2015). Справочник по кибервойнам . Лулу.com. ISBN 978-1329063945 .
- ^ Илашку, Ионут (21 августа 2014 г.). «38-дневная DDoS-атака составляет более 50 петабит при плохом трафике» . Новости софтпедии . Проверено 29 июля 2018 г.
- ^ Голд, Стив (21 августа 2014 г.). «Компания по производству видеоигр подверглась 38-дневной DDoS-атаке» . Журнал SC, Великобритания . Архивировано из оригинала 1 февраля 2017 года . Проверено 4 февраля 2016 г.
- ^ Кребс, Брайан (15 августа 2015 г.). «Стресс-тестирование служб загрузчика с финансовой точки зрения» . Кребс о безопасности . Проверено 9 сентября 2016 г.
- ^ Мубаракали, Азат; Шринивасан, Картик; Мухалид, Рехам; Джаганатан, Субаш CB; Марина, Нинослав (26 января 2020 г.). «Проблемы безопасности в Интернете вещей: обнаружение распределенных атак типа «отказ в обслуживании» с использованием машинных экспертных систем вектора поддержки» . Вычислительный интеллект . 36 (4): 1580–1592. дои : 10.1111/монета.12293 . ISSN 0824-7935 . S2CID 214114645 .
- ^ Бефекаду, Гетачев К.; Гупта, Виджай; Анцаклис, Панос Дж. (2015). «Чувствительный к риску контроль в рамках марковских модулированных стратегий атак типа «отказ в обслуживании» (DoS)» . Транзакции IEEE при автоматическом управлении . 60 (12): 3299–3304. дои : 10.1109/TAC.2015.2416926 . S2CID 9510043 . Проверено 19 октября 2023 г.
- ^ Макдауэлл, Минди (4 ноября 2009 г.). «Совет по кибербезопасности ST04-015. Понимание атак типа «отказ в обслуживании»» . Группа готовности США к компьютерным чрезвычайным ситуациям . Архивировано из оригинала 4 ноября 2013 года . Проверено 11 декабря 2013 г.
- ^ Перейти обратно: а б Диттрих, Дэвид (31 декабря 1999 г.). «Стачелдрахт» распространял инструмент для атак типа «отказ в обслуживании» . Университет Вашингтона. Архивировано из оригинала 16 августа 2000 года . Проверено 11 декабря 2013 г.
- ^ Камбьясо, Энрико; Папалео, Джанлука; Чиола, Джованни; Айелло, Маурицио (2015). «Проектирование и моделирование следующей медленной DoS-атаки». Конференция «Вычислительный интеллект в безопасности информационных систем» (СНГ 2015) . 249-259. Спрингер.
- ^ «Амазон CloudWatch» . Amazon Веб-сервисы, Inc.
- ^ Энциклопедия информационных технологий . Атлантические издатели и дистрибьюторы. 2007. с. 397. ИСБН 978-81-269-0752-6 .
- ^ Швабах, Аарон (2006). Интернет и право . АВС-КЛИО. п. 325. ИСБН 978-1-85109-731-9 .
- ^ Лу, Сичэн (2005). Сеть и мобильные вычисления . ISBN . 978-3-540-28102-3 .
- ^ Бойл, Филипп (2000). «Институт SANS – Часто задаваемые вопросы по обнаружению вторжений: инструменты распределенных атак типа «отказ в обслуживании»: н/д» . Институт САНС. Архивировано из оригинала 15 мая 2008 года . Проверено 2 мая 2008 г.
- ^ Лейден, Джон (23 сентября 2004 г.). «Американская фирма, выпускающая кредитные карты, борется с DDoS-атакой» . Регистр . Проверено 2 декабря 2011 г.
- ^ Свати Кхандельвал (23 октября 2015 г.). «Взлом камер видеонаблюдения для проведения DDoS-атак» . Хакерские новости .
- ^ Зейфман, Игаль; Гайер, Офер; Уайлдер, Ор (21 октября 2015 г.). «Ботнет CCTV DDoS на нашем заднем дворе» . incapsula.com .
- ^ Гленн Гринвальд (15 июля 2014 г.). «ВЗЛОМ ОНЛАЙН-ОПРОСОВ И ДРУГИЕ СПОСОБЫ БРИТАНСКИХ ШПИОНОВ СТРЕМЯТСЯ КОНТРОЛИРОВАТЬ ИНТЕРНЕТ» . Перехват_ . Проверено 25 декабря 2015 г.
- ^ «Кто стоит за DDoS-атаками и как защитить свой сайт?» . Облачный брик. 10 сентября 2015 года . Проверено 15 сентября 2015 г.
- ^ Солон, Оливия (9 сентября 2015 г.). «Кибер-вымогатели, нацеленные на финансовый сектор, требуют выкуп в биткойнах» . Блумберг . Проверено 15 сентября 2015 г.
- ^ Гринберг, Адам (14 сентября 2015 г.). «Akamai предупреждает об усилении активности группы вымогателей DDoS» . Журнал СК . Проверено 15 сентября 2015 г.
- ^ «План OWASP — Строуман — Layer_7_DDOS.pdf» (PDF) . Откройте проект безопасности веб-приложений . 18 марта 2014 г. Архивировано (PDF) из оригинала 9 октября 2022 г. . Проверено 18 марта 2014 г.
- ^ «Инструмент публикации HTTP OWASP» . Архивировано из оригинала 21 декабря 2010 года.
- ^ «Что такое атака CC?» . HUAWEI CLOUD — развивайтесь с помощью интеллекта . Архивировано из оригинала 5 марта 2019 года . Проверено 5 марта 2019 г.
- ^ 刘鹏; 郭洋. «Метод, устройство и система защиты от атак CC (Challenge Collapsar)» . Гугл Патенты . Архивировано из оригинала 5 марта 2019 года . Проверено 5 марта 2018 г.
- ^ Цзэн Сяньли; Гуан Чжилай; устройство защиты от атак CC (Challenge Collapsar)» . и « Архивировано из оригинала 5 г. марта 2018 Метод
- ^ «Прошлая и настоящая жизнь CC, самого печально известного хакерского инструмента в истории» . NetEase (на упрощенном китайском языке) . Drive China Net (Пекин, 24 июля 2014 г.). Архивировано из оригинала 5 марта 2019 г. Проверено 5 марта 2019 г.
- ^ Сунь, Фэй Сянь (2011). «Модель оценки риска атак смурфов на основе теории опасности» . Ключевые инженерные материалы . 467–469: 515–521. doi : 10.4028/www.scientific.net/KEM.467-469.515 . ISSN 1662-9795 . S2CID 110045205 .
- ^ «Виды DDoS-атак» . Ресурсы по распределенным атакам типа «отказ в обслуживании» (DDoS), Лаборатория всеобъемлющих технологий Университета Индианы . Лаборатория расширенного сетевого управления (ANML). 3 декабря 2009 г. Архивировано из оригинала 14 сентября 2010 г. . Проверено 11 декабря 2013 г.
- ^ Перейти обратно: а б «Что такое ядерное оружие? | Radware — DDoSPedia» . Security.radware.com . Проверено 16 сентября 2019 г.
- ^ Пол Соп (май 2007 г.). «Пролексическое распределенное оповещение об атаке типа «отказ в обслуживании»» . Пролексик Технологии Инк . Архивировано из оригинала 3 августа 2007 года . Проверено 22 августа 2007 г.
- ^ Роберт Лемос (май 2007 г.). «Одноранговые сети, используемые для DOS-атак» . БезопасностьФокус. Архивировано из оригинала 24 сентября 2015 года . Проверено 22 августа 2007 г.
- ^ Фредрик Ульнер (май 2007 г.). «Отрицание распределенных атак» . DC++: Только эти парни, понимаешь? . Проверено 22 августа 2007 г.
- ^ Лейден, Джон (21 мая 2008 г.). «Флаш-атака разрушает встроенные системы» . Регистр . Проверено 7 марта 2009 г.
- ^ Джексон Хиггинс, Келли (19 мая 2008 г.). «Постоянная атака типа «отказ в обслуживании» саботирует оборудование» . Мрачное чтение. Архивировано из оригинала 8 декабря 2008 года.
- ^ « BrickerBot» приводит к PDoS-атаке» . Радварное ПО . 4 мая 2017 г. Проверено 22 января 2019 г.
- ^ «Конференция EUSECWest по прикладной безопасности: Лондон, Великобритания» EUSecWest. Архивировано 2008. 1 февраля 2009 года.
- ^ Россов, Кристиан (февраль 2014 г.). «Ад усиления: новый взгляд на сетевые протоколы для злоупотреблений DDoS» (PDF) . Интернет-сообщество. Архивировано из оригинала (PDF) 4 марта 2016 года . Проверено 4 февраля 2016 г.
- ^ Паксон, Верн (2001). «Анализ использования отражателей для распределенных атак типа «отказ в обслуживании»» . ICIR.org.
- ^ «Оповещение (TA14-017A) Атаки с усилением на основе UDP» . США-CERT. 8 июля 2014 года . Проверено 8 июля 2014 г.
- ^ «CVE-2022-26143: уязвимость нулевого дня для запуска DDoS-атак с усилением UDP» . Cloudflare Блог . 8 марта 2022 г. Проверено 16 марта 2022 г.
- ^ «Примечания к выпуску Memcached 1.5.6» . Гитхаб . 27 февраля 2018 года . Проверено 3 марта 2018 г.
- ^ «DRDoS/Атака с усилением с использованием команды ntpdc monlist» . support.ntp.org. 24 апреля 2010 года . Проверено 13 апреля 2014 г.
- ^ ван Рейсвейк-Дей, Роланд (2014). «DNSSEC и его потенциал для DDoS-атак: комплексное исследование». Материалы конференции по измерениям в Интернете 2014 года . АКМ Пресс. стр. 449–460. дои : 10.1145/2663716.2663731 . ISBN 9781450332132 . S2CID 2094604 .
- ^ Адамский, Флориан (2015). «Обмен файлами P2P в аду: использование уязвимостей BitTorrent для запуска распределенных отражающих DoS-атак» .
- ^ Вон, Рэндал; Эврон, Гади (2006). «Атаки с усилением DNS» (PDF) . ИЗОТФ. Архивировано из оригинала (PDF) 14 декабря 2010 года.
- ^ «Оповещение (TA13-088A) Атаки с усилением DNS» . США-CERT. 8 июля 2013 года . Проверено 17 июля 2013 г.
- ^ Перейти обратно: а б Колиас, Константинос; Камбуракис, Георгиос; Ставру, Ангелос; Воас, Джеффри (2017). «DDoS в IoT: Mirai и другие ботнеты». Компьютер . 50 (7): 80–84. дои : 10.1109/MC.2017.201 . S2CID 35958086 .
- ^ Кузманович, Александр; Найтли, Эдвард В. (25 августа 2003 г.). «Низкоскоростные атаки типа «отказ в обслуживании», нацеленные на TCP: землеройка против мышей и слонов». Материалы конференции 2003 года по приложениям, технологиям, архитектурам и протоколам компьютерной связи . АКМ. стр. 75–86. CiteSeerX 10.1.1.307.4107 . дои : 10.1145/863955.863966 . ISBN 978-1581137354 . S2CID 173992197 .
- ^ «Ру-пока-мертв» . 8 сентября 2016 г. [ нужен неосновной источник ]
- ^ «Паника SACK и другие проблемы с отказом в обслуживании TCP» . Убунту Вики . 17 июня 2019 года. Архивировано из оригинала 19 июня 2019 года . Проверено 21 июня 2019 г.
- ^ «CVE-2019-11479» . КВЕ . Архивировано из оригинала 21 июня 2019 года . Проверено 21 июня 2019 г.
- ^ Ю Чен; Кай Хван; Ю-Квонг Квок (2005). «Фильтрация смелых DDoS-атак в частотной области». Конференция IEEE по 30-летию локальных компьютерных сетей (LCN'05)l . стр. 8 стр. doi : 10.1109/LCN.2005.70 . hdl : 10722/45910 . ISBN 978-0-7695-2421-4 . S2CID 406686 .
- ^ «Что такое DDoS-атака с медленным чтением?» . Системы НетСкаут .
- ^ Перейти обратно: а б Бен-Порат, У.; Бремлер-Барр, А.; Леви, Х. (1 мая 2013 г.). «Уязвимость сетевых механизмов к сложным DDoS-атакам». Транзакции IEEE на компьютерах . 62 (5): 1031–1043. дои : 10.1109/TC.2012.49 . ISSN 0018-9340 . S2CID 26395831 .
- ^ орбитальный спутник (8 сентября 2016 г.). «Медленный HTTP-тест» . СоурсФордж .
- ^ Эдди, Уэсли (август 2007 г.). «Атаки TCP SYN Flood и общие меры по их устранению» . Tools.ietf.org . дои : 10.17487/RFC4987 . РФК 4987 . Проверено 2 декабря 2011 г.
- ^ «Рекомендация CERT CA-1997-28 IP-атаки типа «отказ в обслуживании»» . СЕРТ. 1998 год . Проверено 18 июля 2014 г.
- ^ «Windows 7 и Vista подвергаются «атаке слезы» » . ЗДНет . 8 сентября 2009 г. Архивировано из оригинала 6 ноября 2010 г. . Проверено 11 декабря 2013 г.
- ^ «Рекомендации Microsoft по безопасности (975497): Уязвимости в SMB делают возможным удаленное выполнение кода» . Microsoft.com. 8 сентября 2009 года . Проверено 2 декабря 2011 г.
- ^ Бхардвадж, Акашдип (12 июня 2023 г.), «Решения для DDoS-атак на облачную среду» , New Age Cyber Threat Mitigation для сетей облачных вычислений , BENTHAM SCIENCE PUBLISHERS, стр. 42–55, doi : 10.2174/9789815136111123010006 , ISBN 978-981-5136-11-1 , получено 9 февраля 2024 г.
- ^ «ФБР — ложные телефонные звонки отвлекают потребителей от настоящей кражи» . ФБР.gov. 11 мая 2010 года . Проверено 10 сентября 2013 г.
- ^ «Предупреждения о мошенничестве Центра жалоб на интернет-преступления (IC3) от 7 января 2013 г.» . IC3.gov . 7 января 2013 года . Проверено 10 сентября 2013 г.
- ^ «Идентификация и смягчение атак с истечением срока действия TTL» . Сиско Системы . Проверено 24 мая 2019 г.
- ^ «Новый метод DDoS-атаки использует UPnP» . Мрачное чтение . Проверено 29 мая 2018 г.
- ^ «Новый метод DDoS-атаки требует нового подхода к усилению защиты от атак — блог | Imperva» . Блог | Имперва . 14 мая 2018 года . Проверено 29 мая 2018 г.
- ^ «Многогосударственный центр обмена информацией и анализа» . СНГ .
- ^ «Атаки с усилением на основе UDP» . 18 декабря 2019 г.
- ^ «Глупо простой протокол DDoS (SSDP) генерирует DDoS со скоростью 100 Гбит/с» . Блог Cloudflare . 28 июня 2017 г.
- ^ «Глупо простой протокол DDoS (SSDP) генерирует DDoS со скоростью 100 Гбит/с» . Блог Cloudflare . 28 июня 2017 г. Проверено 13 октября 2019 г.
- ^ Лукас, Г.; Оке, Г. (сентябрь 2010 г.). «Защита от атак типа «отказ в обслуживании»: опрос» (PDF) . Вычислить. Дж. 53 (7): 1020–1037. дои : 10.1093/comjnl/bxp078 . Архивировано из оригинала (PDF) 24 марта 2012 года . Проверено 2 декабря 2015 г.
- ^ «Шунт синхронного трафика на основе MPLS (NANOG28)» . Riverhead Networks, Cisco, Colt Telecom . НАНОГ28. 3 января 2003 г. Архивировано из оригинала 15 мая 2021 г. Проверено 10 января 2003 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ^ «Методы отвлечения и просеивания для отражения DDoS-атак» . Сиско, Риверхед Нетворкс . НАНОГ23. 23 октября 2001 г. Архивировано из оригинала 15 мая 2021 г. Проверено 30 октября 2001 г.
{{cite web}}
: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) - ^ «Снижение последствий DDoS-атак с помощью региональных центров очистки (январь 2004 г.)» (PDF) . SprintLabs.com . Спринт ATL Research. Архивировано из оригинала (PDF) 21 сентября 2008 года . Проверено 2 декабря 2011 г.
- ^ Алькахтани, С.; Гэмбл, РФ (1 января 2015 г.). «DDoS-атаки в сервисных облаках». 2015 48-я Гавайская международная конференция по системным наукам . стр. 5331–5340. дои : 10.1109/HICSS.2015.627 . ISBN 978-1-4799-7367-5 . S2CID 32238160 .
- ^ Кузиурис, Джордж (2014). «КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ЗАВЕРШЕНИЯ: минимизация эффекта DoS-атак на эластичные облачные приложения на основе контрольных точек цепи Маркова на уровне приложения». БЛИЖЕ Конференция . стр. 622–628. дои : 10.5220/0004963006220628 . ISBN 978-989-758-019-2 .
- ^ Патрикакис, К.; Масикос, М.; Зурараки, О. (декабрь 2004 г.). «Распределенные атаки типа «отказ в обслуживании»» . Журнал Интернет-протокола . 7 (4): 13–35. из оригинала 27 декабря. Архивировано Получено 13 января.
- ^ Попескич, Вальтер (16 октября 2012 г.). «Как предотвратить или остановить DoS-атаки?» .
- ^ Фрутан, Пол (24 июня 2004 г.). «Как защититься от DDoS-атак» . Компьютерный мир . Архивировано из оригинала 2 июля 2014 года . Проверено 15 мая 2010 г.
- ^ «Проблемы уязвимости кибербезопасности стремительно растут» . ComputerWeekly.com . Проверено 13 августа 2018 г.
- ^ «Технология сетевых процессоров FP» . Проверено 15 июня 2024 г.
- ^ Nokia Deepfield Defender
- ^ Сюзен, Мехмет. «Некоторые советы по IoS для интернет-провайдеров (провайдеров)» (PDF) . Архивировано из оригинала (PDF) 10 сентября 2008 года.
- ^ «SSDP DDoS-атака | Cloudflare» .
- ^ Шилс, Мэгги (26 июня 2009 г.). «После смерти Джексона сеть замедляется» . Новости Би-би-си .
- ^ «Приносим извинения. Ошибка автоматического запроса» . Форумы по продуктам Google › Форум поиска Google . 20 октября 2009 года . Проверено 11 февраля 2012 г.
- ^ «YouTube подал в суд на сайт, похожий на звук» . Новости Би-би-си . 2 ноября 2006 г.
- ^ Билл Чаппелл (12 марта 2014 г.). «Люди перегружают веб-сайт, надеясь помочь в поиске пропавшего самолета» . ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР . Проверено 4 февраля 2016 г.
- ^ Палмер, Дэниел (19 августа 2016 г.). «Эксперты ставят под сомнение заявления Census DDoS» . Разделитель . Проверено 31 января 2018 г.
- ^ «Анализ обратного рассеяния (2001)» . Анимации (видео). Кооперативная ассоциация анализа интернет-данных . Проверено 11 декабря 2013 г.
- ^ «ФБР арестовало 15 сайтов, предназначенных для проведения DDoS-атак по найму» . Котаку . 6 января 2019 г.
- ^ «Всемирное законодательство о киберпреступности | ЮНКТАД» . unctad.org . Проверено 8 апреля 2024 г.
- ^ «Кодекс США: раздел 18,1030. Мошенничество и связанная с ним деятельность, связанная с компьютерами | Государственная типография» . gpo.gov. 25 октября 2002 года . Проверено 15 января 2014 г.
- ^ «Житель Юты приговорен за преступление, связанное со взломом компьютеров» . 2 июля 2019 г. Архивировано из оригинала 10 июля 2019 г.
- ^ Смолакс, Макс (4 июля 2019 г.). «Получите ответ: два года в тюрьме за разрушивший игру DDoS-паршивец DerpTrolling» . Регистр . Проверено 27 сентября 2019 г.
Остин Томпсон, известный как DerpTrolling, получивший известность в 2013 году благодаря организации распределенных атак типа «отказ в обслуживании» (DDoS) против крупных компаний, производящих видеоигры, был приговорен федеральным судом к 27 месяцам тюремного заключения. Томпсон, житель штата Юта, также должен будет выплатить 95 000 долларов компании Daybreak Games, которая принадлежала Sony, когда она пострадала от рук DerpTrolling. В период с декабря 2013 по январь 2014 года Томпсон также отключил Steam Valve — крупнейшую платформу цифрового распространения игр для ПК, а также сервис Origin от Electronic Arts и BattleNet от Blizzard. Беспорядки длились от нескольких часов до нескольких дней.
- ^ «Международные действия против киберпреступной группы DD4BC» . ЕВРОПОЛ . 12 января 2016 г.
- ^ «Закон о неправомерном использовании компьютеров 1990 года» . legal.gov.uk — Национальный архив Великобритании . 10 января 2008 г.
- ^ «Новости» . Европол . Проверено 29 января 2019 г.
- ^ «Власти по всему миру преследуют пользователей крупнейшего веб-сайта, занимающегося DDoS-атаками» . Европол . Проверено 29 января 2019 г.
- ^ «Анонимная петиция о DDoS-атаких: группа призывает Белый дом признать распределенный отказ в обслуживании протестом» . HuffingtonPost.com. 12 января 2013 г.
Дальнейшее чтение
[ редактировать ]- Итан Цукерман; Хэл Робертс; Райан МакГрэйди; Джиллиан Йорк; Джон Палфри (декабрь 2011 г.). «Распределенные атаки типа «отказ в обслуживании» против независимых СМИ и правозащитных сайтов» (PDF) . Беркмановский центр Интернета и общества при Гарвардском университете. Архивировано из оригинала (PDF) 26 февраля 2011 года . Проверено 2 марта 2011 г.
- «Сообщения общественных СМИ о DDOS» . Гарвард. Архивировано из оригинала 25 декабря 2010 года.
- Мир ПК: DDoS-атаки на уровне приложений становятся все более изощренными
Внешние ссылки
[ редактировать ]- RFC 4732 Вопросы отказа в обслуживании в Интернете
- Отчет Akamai о состоянии интернет-безопасности — ежеквартальная статистика тенденций в области безопасности и Интернета
- W3C Часто задаваемые вопросы по безопасности во Всемирной паутине
- cert.org Руководство CERT по DoS-атакам. (исторический документ)
- Сводный отчет ATLAS — глобальный отчет о DDoS-атаках в режиме реального времени.
- Низкоорбитальная ионная пушка — известный инструмент стресс-тестирования сети
- Высокоорбитальная ионная пушка — простой HTTP-флудер
- LOIC SLOW. Попытка внедрить SlowLoris и медленные сетевые инструменты на LOIC.