Название компании
Голубятников Артем Олегович
Студент кафедры защищенных систем связи, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича, г. Санкт-Петербург
Аннотация: Со временем мир стал цифровым, и возникла полная зависимость от Интернета. Многие другие гаджеты постоянно взаимосвязаны в экосистеме Интернета. Этот факт сделал Интернет глобальным источником информации для каждого существа. Несмотря на все это, знания киберпреступников о злоумышленниках расширились, что привело к появлению различных методологий атак в Интернете и его хранилищах данных. В этой статье будут обсуждаться происхождение и значение отказов в обслуживании (DoS) и распределенного отказа в обслуживании (DDoS). Атаки такого рода остаются наиболее эффективными методами, используемыми злоумышленниками для нанесения существенного ущерба с точки зрения операционного, репутационного и финансового ущерба организациям во всем мире. Подобные атаки снижают производительность и доступность сети. Сеть жертвы переполнена огромным нелегальным трафиком, что препятствует прохождению подлинного трафика для авторизованных пользователей. В документе будут рассмотрены механизмы обнаружения и методы смягчения этой сетевой угрозы.
Ключевые слова: DDoS (распределенные атаки типа «отказ в обслуживании») и DoS (атаки типа «отказ в обслуживании») , DAC (коэффициент атаки DDoS) , Flood , SIEM (информация о безопасности и управление событиями) , CISA (Агентство по кибербезопасности и безопасности инфраструктуры) , NIST (Национальный институт стандартов) и технологии) , XDR (расширенное обнаружение и реагирование) , ACK-SYN (пакет подтверждения синхронизации) , ICMP (протокол управляющих сообщений Интернета) , Кибервойна
Abstract: Over time, the world has transformed digitally and there is total dependence on the internet. Many more gadgets are continuously interconnected in the internet ecosystem. This fact has made the Internet a global information source for every being. Despite all this, attacker knowledge by cybercriminals has advanced and resulted in different attack methodologies on the internet and its data stores. This paper will discuss the origin and significance of Denial of Service (DoS) and Distributed Denial of Service (DDoS). These kinds of attacks remain the most effective methods used by the bad guys to cause substantial damage in terms of operational, reputational, and financial damage to organizations globally. These kinds of attacks have hindered network performance and availability. The victim’s network is flooded with massive illegal traffic hence, denying genuine traffic from passing through for authorized users. The paper will explore detection mechanisms, and mitigation techniques for this network threat.
Keywords: DDoS (Distributed Denial of Service Attacks) and DoS (Denial of Service Attacks), DAC (DDoS Attack Coefficient), Flood, SIEM (Security Information and Event Management), CISA (Cybersecurity and Infrastructure Security Agency), NIST (National Institute of Standards and Technology), XDR (Extended Detection and Response), ACK-SYN (Synchronize Acknowledge Packet), ICMP (Internet Control Message Protocol), Cyberwarfare
1. Введение
Многие предприятия и компании перешли на цифровую трансформацию, чтобы получить конкурентное преимущество перед другими в стремлении открыть новые возможности. Цифровая трансформация привела к взрывному росту количества подключенных к Интернету устройств: от устройств Интернета вещей до смартфонов, ноутбуков и серверов. Это сопровождалось рядом проблем, в том числе меняющимся ландшафтом киберугроз.
Знания злоумышленников выросли в геометрической прогрессии, причем злоумышленники всегда опережают защитников. У них больше возможностей и времени, чем когда-либо прежде. Инструменты искусственного интеллекта и машинного обучения предоставили хакерам дополнительное преимущество для проведения очень смертоносных атак. Киберпреступники имеют доступ к передовым инструментам и методам со множеством вариантов комплектов эксплойтов, которые позволяют им выявлять и использовать уязвимости еще до того, как их обнаружат защитники.
Злоумышленники используют свои подпольные форумы и даркнет, чтобы делиться технологиями и быть в курсе последних направлений атак. Существует слишком большая мотивация, согласно которой некоторые хакеры спонсируются государствами, что приводит к изменению и усложнению тенденции в экосистеме кибербезопасности.
Среди запущенных смертельных атак есть атаки типа «отказ в обслуживании».
Следует отметить, что злоумышленники создали очень крупные ботнеты, которые образуют армии взломанных устройств, используемых для генерации DDoS-трафика. По мере того, как ботнеты становятся больше, масштабы DDoS-атак также увеличиваются, что делает их борьбу с ними дорогостоящей [ 1 ].
Атака типа «отказ в обслуживании» (DoS) — это кибератака, цель которой — заблокировать законным или авторизованным пользователям доступ к машинам или сетевым службам, сделав машину или сеть временно или на неопределенный срок недоступными.
DoS-атака делает машину или другие устройства недоступными для законных пользователей. Атака осуществляется путем перегрузки целевой машины массовыми запросами до тех пор, пока машина не будет перегружена и не сможет обрабатывать нормальный трафик. При DoS-атаке один компьютер запускает атаку на сеть или другие клиентские машины [ 2 ].
DDoS-атака — это когда хакер отправляет несколько файлов, которые переполняют трафик на сервер-жертву. Сервер будет перегружен и, следовательно, перестанет нормально функционировать. При DDoS-атаках несколько систем, распределенных в Интернете, одновременно атакуют один сервер [ 3 ].
2. Происхождение и тенденции распределенных атак типа «отказ в обслуживании» (DDoS)
Первая в истории атака типа «отказ в обслуживании» (DoS) произошла в 1974 году и была осуществлена 13-летним Дэвидом Деннисом. Он был студентом Университета Иллинойса. Деннису удалось вывести из строя 31 компьютерный терминал PLATO. Это было во время эксперимента, когда он написал программу, однако юридической подоплеки как таковой не было. Хакеры того времени переняли этот принцип и написали более сложные коды из кибер-эгоистических побуждений, чтобы организовать DDoS-атаки [ 4 ].
Эти атаки продолжают развиваться. Например, в 1996 году компания Panix, третий старейший интернет-провайдер в мире, базирующаяся в Нью-Йорке, США, пострадала от DDoS-атаки SYN Flood. Используя эти поддельные пакеты SYN, хакер прервал предоставление услуг и работу сети, используя поддельный IP-адрес, чтобы перегрузить серверы компании. Сообщалось, что сервер перестал обрабатывать реальные запросы. Компании Panix потребовалось целых 36 часов, чтобы оправиться от этой атаки, которая считалась крупнейшей DDoS-атакой того времени [ 5 ].
В 1999 году киберпреступнику удалось сокрушить сеть Университета Миннесоты с помощью масштабной UDP-флуд-атаки, продолжавшейся более 48 часов. Эта атака послужила сигналом общественности о том, что DDoS-атаки реальны, и компаниям пришлось принять к сведению их, приняв соответствующие меры по смягчению последствий [ 5 ].
Ведущее информационное агентство Reuters сообщило, что сервер гигантской технологической компании в России под названием «Яндекс» подвергся крупной распределенной атаке типа «отказ в обслуживании» (DDoS), известной как одна из крупнейших в истории Интернета, с разрушительными 22 миллионами запросов в год. во-вторых, все они были отброшены российским Яндексом [ 6 ] .
Константин. (2016, 28 июня) PC World сообщил, что «25 000 камер видеонаблюдения и цифровых видеорегистраторов были скомпрометированы и использованы для выполнения DDoS-атак». Сообщается, что злоумышленники отправляли 50 000 HTTP-запросов в секунду, чтобы затопить и сокрушить цель [ 5 ].
Википедия, Google раскрыли одну из крупнейших DDoS-атак, когда 17 сентября 2020 года они испытали атаку с объемным пиком 2,54 Тбит/с. [ 4 ] .
Однако в 2022 году Microsoft смягчила крупнейшую DDOS-атаку в истории Интернета, достигнув максимальной скорости DDoS-атаки в 3,47 Тбит/с [ 3 ].
В июне 2023 года Агентство кибербезопасности и безопасности инфраструктуры США предупредило общественность о массовых и продолжающихся распределенных атаках типа «отказ в обслуживании» (DDoS) на организации США в различных отраслях. Если такая тенденция сохранится, то общественности следует напомнить, что DDoS-атаки продолжают становиться все более сильными и продвинутыми, поэтому организациям следует разработать стандартные операционные процедуры, чтобы удержать киберпреступников от DDoS-атак [1 ] .
DDoS-атака 7- го уровня была начата против служб Microsoft Azure, One Drive и Outlook злоумышленником под названием Storm-1359, широко известным как Anonymous [ 4 ].
DDoS-атаки получили дальнейшее развитие и используются в качестве оружия в кибервойне. Например, Аарон и др . В мае 2009 года, в мае 2007 года, между Эстонией и Россией возникло недопонимание. Это произошло потому, что Эстония запретила строительство нефтепровода в Германию через свою землю. Этот вопрос раздражал российское правительство, ради которого оно предприняло усилия по подрыву экономики Эстонии. Россия применила все известные традиционные вооружения и методы, такие как транспортировка и перекрытие линий снабжения. Именно в этом конфликте Россия применила новую тактику, получившую название кибервойны, при которой DDoS-атаки были направлены против правительства Эстонии. Это лишило правительство Эстонии возможности выполнять нормальные функции.
Инновации в области Интернета вещей (IoT) и их обширные возможности взаимодействия по всей вселенной повысили эффективность и производительность. Однако это также нанесло ущерб цифровой инфраструктуре, поскольку является известным фактором увеличения количества DDoS-атак. Безопасность IoT-устройств оказалась слабой. Это сделало их уязвимыми для таких атак, в результате которых киберпреступники использовали их для рассылки большого количества несанкционированного трафика. Это связано с тем, что киберпреступники в очень больших количествах захватывают устройства IoT для создания огромных ботнетов, что значительно увеличивает объем данных с гигабайт до терабайт, которые может отправить киберпреступник.
3. Важность DDoS-атак для киберпреступников
Цель DDoS для киберпреступников — перегрузить системные ресурсы и, следовательно, вывести их из строя, привести к сбою или стать уязвимыми из-за массовых запросов. Конструкция Интернета во многом способствует успеху DDoS-атак с несколькими взаимосвязанными устройствами.
Киберпреступники используют DDoS-атаки для шантажа, например, они могут потребовать от владельцев систем или владельцев веб-сайтов заплатить выкуп, чтобы остановить любую DDoS-атаку.
Киберпреступники используют DDoS-атаки для получения конкурентного преимущества, например, некоторые компании могут использовать их против конкурирующих предприятий.
Киберпреступники использовали DDoS-атаки для активистского поведения, протестов и отодвигания на задний план.
4. Индикаторы DDoS-атак
Ниже приведены некоторые индикаторы DDoS-инцидента.
а) Одним из признаков DDoS-атаки обычно является низкая производительность сети. Например, пользователь будет испытывать медлительность при доступе к веб-сайту или открытии файлов.
б) Мониторинг может показать высокую загрузку процессора и памяти.
в) Приложения могут работать необычно медленно.
г) DDoS-атаки могут характеризоваться аномально высоким сетевым трафиком.
д) Веб-сайты и приложения становятся недоступными и недоступными.
5. Примеры DDoS
5.1. SYN-флуд
SYN-флуд, злоумышленник будет бомбардировать массивный трафик TCP SYN-пакетами с поддельных исходных IP-адресов в сторону жертвы. Поддельных IP-адресов может быть один или несколько. Затем пострадавший источник установит обратную связь с злоумышленником с помощью пакетов SYN, отправив пакеты ACK-SYN на поддельные IP-адреса. Поддельный IP-адрес не будет отвечать так, как должно было бы быть при обычном подтверждении подтверждения. Результатом будет создание полуоткрытого соединения, которое впоследствии будет поставлено в очередь на заданный период, что, в свою очередь, превысит порог ожидающих соединений и, следовательно, отбросит все последующие запросы, что приведет к DDoS-атаке авторизованных пользователей. Киберпреступники намерены чрезмерно использовать все ресурсы жертвы, чтобы сделать ее нереагирующей на запросы авторизованных пользователей [ 1 ].
5.2. Ping of Death
«Ping of Death отправляет фрагментированные эхо-запросы ICMP, которые после повторной сборки превышают максимальный размер IP-пакета и превышают указанный предел IP (65536 байт), отправляются на компьютер-жертву, что приводит к его зависанию, перезагрузке или сбою. » [ 2 ] .
5.3. DNS-флуд
Это пример DDoS-атаки, когда киберпреступник заливает серверы системы доменных имен (DNS), чтобы помешать разрешению записей ресурсов зоны и ее подзон. Этот вид атаки является одной из самых сложных DDoS-атак, поскольку ее обнаружение и предотвращение очень сложны. Во время DNS-флуда поддельный IP-адрес будет отправлять большое количество DNS-запросов на сервер-жертву. Пакеты запроса имитируют реальный запрос DNS, и их очень трудно отличить от законных. Дело в том, что сервер должен обслуживать все входящие DNS-запросы, ему не хватает ресурсов. Вся существующая пропускная способность ввода-вывода сервера будет использоваться до тех пор, пока она не будет полностью исчерпана [ 2 ].
5.4. Наземная атака
Это еще одна атака типа «отказ в обслуживании», при которой злоумышленник манипулирует и подделывает IP-адреса источника и назначения, чтобы они выглядели одинаково. Когда уязвимая машина получает сообщение от злоумышленника, она отвечает на адрес назначения, фактически отправляя пакет на повторную обработку в бесконечном цикле. Уязвимая машина зависнет из-за неопределенного потребления ресурсов ЦП [ 2 ].
5.5. Атака почтовой бомбы
При атаке почтовой бомбы злоумышленник пересылает электронные письма на сервер жертвы, вызывая перегрузку очереди почтовых серверов, что в свою очередь приводит к сбою сервера. Чтобы обнаружить атаку почтовой бомбы, система обнаружения вторжений может искать множество сообщений электронной почты, которые все приходят от или отправляются конкретному пользователю в течение заданного порога времени. Например, правило брандмауэра может быть настроено на срабатывание, если почтовые сообщения, направляемые на порт SMTP 25 для установленного сеанса TCP, превышают 850 писем в секунду.
5.6. HTTP-флуд
При HTTP-флудинге трехстороннее рукопожатие устанавливается при соединении злоумышленника. За этим следуют HTTP-запросы большого объема, предназначенные для того, чтобы сервер перегрузил свои ресурсы с точки зрения процессора, памяти и пропускной способности. Слишком большое насыщение HTTP-запросов GET или POST приведет к тому, что цель не сможет ответить на обычный трафик, что приведет к отказу в обслуживании любых дополнительных запросов от законных пользователей.
6. Смягчение последствий DDoS-атак
Чтобы смягчить последствия и справиться с проблемами, возникающими в результате DDoS-атак, специалистам по безопасности потребуется комплексный подход, направленный на борьбу с киберугрозами на всех уровнях. Ужасно то, что, несмотря на то, что организации ужесточили свои защитные механизмы, киберпреступники оказались впереди защитников, в результате чего они, в свою очередь, ответили новыми типами атак, нацеленными на многочисленные приложения и службы.
Смягчение последствий DDoS-атак должно включать в себя создание межсетевых экранов людьми и эффективные совместные усилия в рамках экосистемы кибербезопасности. Это должно включать в себя обмен информацией об угрозах и векторах атак, а также изучение опыта друг друга, чтобы быть в курсе новейших векторов атак. Разрабатывайте стратегии эффективного противодействия DDoS-атакам всей командой. Это может включать сотрудничество между организациями, интернет-провайдерами (ISP) и правоохранительными органами.
CISA посоветовала компаниям связаться со своим интернет-провайдером, чтобы определить, подверглась ли их сеть прямой атаке или на их стороне произошел сбой, и косвенно вы стали жертвой. Сообщение с вашим интернет-провайдером о результатах очень важно для предотвращения DDoS-атак. Интернет-провайдер может затем посоветовать, какие действия следует предпринять. Возможно, вы сможете посоветовать вам соответствующий курс действий [ 3 ].
Компаниям следует использовать балансировщики нагрузки и межсетевые экраны, чтобы защитить данные от таких атак. Это перенаправит трафик на другие серверы, уменьшит количество отдельных точек сбоя и повысит устойчивость данных сервера. Брандмауэр блокирует нежелательный трафик и обрабатывает запросы, поступающие с определенной скоростью. Он проверяет наличие нескольких атак с IP-адреса.
Бесконечная емкость выделяет больше полосы пропускания и ресурсов для предотвращения засорения данных, хотя это очень дорого и не рекомендуется.
Компании могут использовать технологии резервирования. При резервировании устройство или данные будут дублироваться или зеркально отображаться, чтобы предотвратить их потерю или недоступность. В этом случае, если основная инфраструктура подвергается атакам DDoS, то вторичная инфраструктура обеспечит отказоустойчивость, к которой организация может перейти, пока команда прорабатывает возможность остановить DDoS.
Мониторинг — один из способов смягчения последствий DDoS. Организациям следует развернуть SIEM и XDR для борьбы с информацией о безопасности и управлением событиями. По мнению Microsoft, SIEM поможет компаниям обнаруживать, анализировать и реагировать на угрозы безопасности до того, как они дестабилизируют бизнес-операции. Он обеспечивает выявление угроз в режиме реального времени и реагирование на них [ 2 ].
Использование систем предотвращения вторжений (IDPS), таких как SNORT, может смягчить практически все типы DDoS. Как только правила SNORT будут настроены соответствующим образом, сопоставление контента и анализ протокола позволят обнаружить атаки. Например, правило snort может быть разработано для идентификации пакетов смерти, посредством чего измеряется размер пакета ICMP, и если обнаруживается, что он превышает определенный порог байтов, правило выполняется [1 ] .
Для DNS-флудинга правило Snort может быть разработано таким образом, чтобы оно сработало, когда количество DNS-запросов к DNS-серверу превышает выбранный порог, например, если оно превышает 1000 запросов в секунду.
Кроме того, правило может быть настроено для обнаружения наземных атак, например, правило Snort с ключевым словом «sameip» используется в правиле, которое проверяет и сравнивает значения IP-адреса источника и назначения, чтобы увидеть, совпадают ли они. Правило будет активировано, если условие истинно.
Чтобы обнаружить HTTP-флуд, правило Snort проверяет для каждого установленного TCP-сеанса количество GET-запросов, полученных сервером. Правило snort сработает, если количество UDP-пакетов в секунду превышает 1500 [ 4 ].
Чтобы смягчить DDoS-атаки на уровне 7, рекомендуется использовать службы защиты, такие как брандмауэр веб-приложений (WAF) [ 3 ].
Другие меры по смягчению последствий DDoS включают установку исправлений и усиление систем защиты, например, отключение и удаление любых приложений и служб, которые не нужны на сервере, чтобы снизить вероятность использования или запуска DDoS преступниками. Используйте надежные пароли. Компании могут перейти к поставщикам облачных услуг с расширенными функциями безопасности для обнаружения и предотвращения DDoS-атак.
7. Выводы
Будущее DDoS-атак находится в плохом состоянии. Текущая тенденция показывает, что DDoS-атаки будут становиться все более массовыми и частыми. Создание устройств Интернета вещей (IoT) с внедрением по всему миру более быстрых интернет-технологий, таких как 5G, оказалось смертельным. Во время недавней пандемии COVID-19 многие компании подверглись цифровой трансформации, что сделало их потенциальными целями для DDoS-атак, что привело к экспоненциальному увеличению количества этих атак.
Текущие исследования показывают, что криминальные атаки DDoS растут, причем большинство организаций пытаются защитить свои данные и информацию от злоумышленников и хакеров-преступников. Знания злоумышленника возросли. Стоит отметить, что киберпреступники сейчас используют облачные технологии для эффективного выполнения DDoS. Однако организациям следует рассмотреть возможность использования новых технологий, тактик и методов, используемых хакерами, для защиты своей информации и данных.
Коэффициент DDoS-атаки (DAC) был разработан компанией NetScout Systems, Inc., которая является одним из поставщиков продуктов для управления производительностью приложений и управления ими. DAC показал, что в середине 2020 года было зарегистрировано более 4 миллионов DDoS-атак, что означает рост на 15% по сравнению с предыдущим годом. DAC определяется как объем DDoS-трафика, который проходит через Интернет в каждой стране или регионе в любую минуту [ 5 ].
Литература
Красов А. и соавт. Использование методов математического прогнозирования для оценки нагрузки на вычислительные мощности сети IoT // 4-я Международная конференция по будущим сетям и распределенным системам (ICFNDS). – 2020. – С. 1-6.
Гельфанд А. М. и др. ИНТЕРНЕТ ВЕЩЕЙ (IoT): УГРОЗЫ БЕЗОПАСНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 215-220.
Гельфанд А. М. и др. Исследование распределенного механизма безопасности для устройств интернета вещей с ограниченными ресурсами //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2020). – 2020. – С. 321-326.
Косов Н. А. и др. АНАЛИЗ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ ДЛЯ ДЕТЕКТИРОВАНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ //Цифровизация образования: теоретические и прикладные исследования современной науки. – 2021. – С. 33-37.
Косов Н. А., Тимофеев Р. С. СРАВНЕНИЕ МЕТОДОВ ОБУЧЕНИЯ СВЁРТОЧНЫХ НЕЙРОННЫХ СЕТЕЙ //Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2021). – 2021. – С. 526-530.