Содержание
Что такое DDoS-атаки, и как защитить от них свой сайт?
Методы защиты и предотвращения атак с использованием сервиса защиты от атак типа «распределенный отказ в обслуживании» (DDoS), а также брандмауэра веб-доступа (WAF) и сети доставки контента (CDN)
ЧТО ТАКОЕ DDOS-АТАКИ?
Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.
В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.
Модель взаимодействия открытых систем (OSI)
| # | Уровень 7 | Приложение | Описание | Пример вектора |
| 7 | Приложение | Данные | Сетевой процесс в адрес приложения | флуд DNS-запросов, HTTP-флуд |
| 6 | Представление | Данные | Представление и шифрование данных | SSL-нарушение |
| 5 | Сеанс | Данные | Сеанс связи между хостами | Н/Д |
| 4 | Транспортный | Сегменты | Связь между конечными пунктами и надежность | SYN-флуд |
| 3 | Сетевой | Пакеты | Определение маршрута и логическая адресация | Атаки с отражением UDP-пакетов |
| 2 | Канальный | Кадры | Физическая адресация | Н/Д |
| 1 | Физический | Биты | Среда передачи, сигнал и двоичные данные | Н/Д |
Рассматривая методы предотвращения таких атак, полезно разделить их на две группы: атаки уровня инфраструктуры (уровни 3 и 4) и атаки уровня приложения (уровни 6 и 7).
Атаки уровня инфраструктуры
К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.
Атаки уровня приложения
К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC WordPress (также известные как атаки WordPress Pingback).
Уменьшение зон, доступных для атаки
Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.
План масштабирования
Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.
Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.
Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов.
Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.
Сведения о типичном и нетипичном трафике
Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.
Развертывание брандмауэров для отражения сложных атак уровня приложений
Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Зарегистрируйте аккаунт AWS
На аккаунт будет распространяться уровень бесплатного пользования AWS, который позволяет получить практический опыт работы с платформой, продуктами и сервисами AWS бесплатно.
Учитесь с помощью предварительно сконфигурированного шаблона и пошаговых руководств
Экспериментируйте и учитесь обеспечивать защиту от DDoS-атак на AWS с помощью пошаговых руководств.
Настройте защиту от DDoS-атак на AWS
Защита AWS Shield Standard предоставляется всем клиентам бесплатно.
Поддержка AWS для Internet Explorer заканчивается 07/31/2022. Поддерживаемые браузеры: Chrome, Firefox, Edge и Safari.
Подробнее »
Как происходят DDoS атаки?
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом.
Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти полное прекращение работы веб-ресурса – «отказ в обслуживании» или DoS (Dental-of-service).
Также, в зависимости от целей злоумышленника, результатом работы могут быть:
- Существенное замедление время ответа на запросы;
- Отказ в обслуживании части пользовательских запросов;
- Прикрытие другой зловредной активности на web-ресурсе жертвы;
Топливо для DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров» и любых других устройств, подключённых к сети.
Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Масштабы зомби-сетей впечатляющие. Например, вовремя не обновлённая уязвимость домашних роутеров одно известного вендора позволила заразить и управлять сетью из более 500.
000 устройств по всему миру.
Природа современных DDoS-угроз
С ростом количества устройств подключённых к Интернет, зачастую не защищенных от заражения, стоимость организации DDoS-атак существенно снизилась, что соответственно привело к их увеличению.
Одина из распространённых причин DDoS-атак это вымогательство за остановку атаки тем более, что выплаты с развитием криптовалют зачатую помогают сохранить анонимность злоумышленника. Такие атаки сопровождается письмом с требованием выплаты за прекращение атаки.
В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента: замедлить/Остановить процессы продаж, обслуживания, информирования, атака на SEO позиции и пр. Такая атака оплачивается соответственно конкурентом.
Также нередко встречается «хактивизм» — привлечение внимания к проблеме путем проведения «громких» атак.
Меры противодействия DDoS-угрозам
В настоящее время такая преступная деятельность получила колоссальное распространение. Количество и мощность DDoS-атак растет. Однако количество успешных DDoS-атак уменьшается. Это обусловлено в основном техническими контрмерами, которые успешно применяются для противодействия DDoS-атакам.
В подавляющем большинстве случаев для защиты от DDoS-атак задействуются специализованные компании, что гораздо дешевле самостоятельно организации защиты внутри компании и уж тем более, стоимости последствий успешной DDoS-атаки.
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
- Меры защиты от DDoS-атак
- Что такое троянская программа?
- Что такое компьютерный вирус или компьютерный червь?
- Adware, Pornware и Riskware
- Кто создает вредоносные программы?
Kaspersky
DDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети.
Научитесь защищать свою систему.
Поскольку ямайскому наркобарону вынесен приговор, США по-прежнему хранят молчание о массовых убийствах.
В пятницу федеральный судья США приговорил ямайского силача Кристофера (Дудуса) Коука к двадцати трем годам тюремного заключения. Как я сообщал журналу в декабре, по меньшей мере семьдесят три гражданских лица погибли в процессе вывоза кока-колы с Ямайки и помещения под стражу в США. В то время силы безопасности Ямайки утверждали, что большинство погибших были боевиками, которые погибли, защищая кока-колу в забаррикадированном районе Тиволи Гарденс. Но из этих семидесяти трех предполагаемых боевиков силы безопасности нашли только шесть автоматов. Трое из погибших были женщинами. Один из них был гражданином США. Судя по всему, большинство из них были безоружными гражданскими лицами, схваченными и убитыми после того, как район уже был взят под контроль.
В суде судья Роберт П. Паттерсон заявил, что насильственные преступления Кока-колы компенсируют любое снисхождение, которое он мог бы получить за свои благотворительные дела на Ямайке.
«Я признаю, что он делал хорошие вещи, — сказал Паттерсон. «Но обвиненное поведение было настолько дурным, что это компенсирует хорошее». По словам Стивена Розена, одного из адвокатов Coke, Coke может вернуться на Ямайку как раз к своему шестидесятилетию в 2029 году. «Признание вины было направлено на то, чтобы удержать его от пожизненного заключения», — сказал Розен. «Он вернется, если правительство разрешит, однажды на Ямайку. Это то, чего он хочет».
Поскольку вопрос о будущем Кока-колы приближается к разрешению, вопросы, связанные с гибелью людей, которые привели к его экстрадиции, остаются открытыми. Кокс признался в серьезных преступлениях. Он забаррикадировал свой район, чтобы избежать ареста, и заслуживает большей части вины за убийства в Тиволи. Неужели ради ареста одного наркоторговца, каким бы могущественным он ни был, должны были погибнуть семьдесят три мирных жителя?
Правительство США знает, но не говорит. У Управления по борьбе с наркотиками есть живое видео операции, снятое с самолета Министерства внутренней безопасности, который пролетал над садами Тиволи, когда происходили убийства.
Отснятый материал может оказать неоценимую помощь Эрлу Уиттеру, ямайскому чиновнику, которому поручено расследование массового убийства. Но более чем через два года после нападения D.E.A. до сих пор отказывается его выпускать.
Тем не менее, телеграмма Государственного департамента, полученная The New Yorker , показывает силу, с которой ямайская армия нанесла удар по району Кока-колы, и осведомленность об этом правительства США. В нем, отправленном вскоре после конфликта, говорится, что «JDF [армия Ямайки] открыла огонь из минометов, а затем использовала бульдозеры для прорыва тяжелых баррикад».
Ранения Марджори Хайндс, жительницы Тиволи, о которой я писал в предыдущем рассказе и которая потеряла сознание в результате взрыва как раз в тот момент, когда силы безопасности вошли в район, похоже, соответствуют минометному обстрелу. В медицинском заключении врач, осмотревший Хайндса, отметил «признаки наличия инородного тела (гранулы)» и «обширную рубцовую ткань, снова наводящую на мысль о ожогах… с различной пигментацией, наводящей на мысль о возможной химической (фосфорной) «травме»».
0005
«Я не знаю, является ли J.D.F. применяли минометный огонь», — сообщил по электронной почте бывший премьер-министр Брюс Голдинг, занимавший этот пост во время кризиса в мае 2010 года. Представитель Госдепартамента отказался комментировать телеграмму. Заявление J.D.F. подтвердил, что армия стреляла из минометов, хотя и заявила, что это оружие использовалось, чтобы сбить с толку боевиков. «Минометные снаряды были выпущены по открытой местности в рамках диверсии», — говорится в заявлении. «Ни разу люди или здания не подвергались нападениям». J.D.F. не ответил на вопросы о количестве выпущенных снарядов и о том, были ли они дымовыми, осветительными или осколочно-фугасными.
Сторонники Кока-колы говорят, что он является общественным лидером, или «доном», который обеспечивает бедный район. Свидетели, сотрудничающие с Коуком, обвиняют его в том, что он был безжалостным криминальным авторитетом, который развозил кокаин по всему миру и заключал своих врагов во импровизированную тюрьму, где он устраивал кровавые казни.
(Признание вины Coca-Cola не включает эти предполагаемые убийства.) Большая часть слушаний по вынесению приговора Coke была сосредоточена на показаниях свидетеля обвинения, который показал, что Coca-Cola сама совершила убийства, используя топорик и электропилу. В своем заявлении перед судом в пятницу Coca-Cola оспорила эту версию. «Похоже, они знают меня больше, чем я знаю себя», — сказал он о свидетелях обвинения. «Они говорят о вещах, о которых я никогда не мечтал». Судья Паттерсон, однако, сказал, что утверждения о склонности кока-колы к насилию подтверждаются преступлениями, в которых кока-кола признала себя виновной, включая нанесение ножевых ранений торговцу марихуаной.
Один из тысяч прослушанных звонков на телефон Coca-Cola был представлен в качестве доказательства в прошлом месяце на слушаниях перед вынесением приговора. В 2006 году кока-кола разговаривает на диалекте с коллегой, который слышно клянется в верности. («Человек любит тебя. Мужчина сделает для тебя все, что угодно.
Я не ссорюсь ни с кем, кто не ссорится с тобой».) Временами Кока-кола, кажется, чувствует, что насилие окружающих мешает его бизнесу. («Они не думают, как заработать денег. Они думают только о войне, войне, войне… если война, то война, но мы не можем свернуть с пути, чтобы начать войну».)
Миссия Министерства внутренней безопасности состоит в том, чтобы «обеспечить безопасность и устойчивость страны к терроризму и другим угрозам». Что такое D.H.S. делать на Ямайке, в сотнях миль от берегов США, передавая разведданные ямайским силам, когда они штурмовали Сады Тиволи? Был ли обмен разведывательными данными полной мерой участия нашего правительства в операции? Если бы силы США увидели свидетельства происходящей бойни, предприняли ли они какие-либо попытки вмешаться? И учитывая, что мы были теми, кто настаивал на аресте Кока-колы, каковы наши обязательства перед семьями невинных людей, убитых в процессе?
Выпуск видео Tivoli был бы хорошим началом для ответов на эти вопросы.
Правительство США должно поделиться тем, что ему известно.
Фотография Дэвида Карпа/AP Photo.
Кристофер Коук по прозвищу Дудус приговорен к 23 годам тюремного заключения в США за незаконный оборот наркотиков | Нью-Йорк
Самый печально известный лидер банды Ямайки, который два года назад фактически спровоцировал состояние войны в Кингстоне, когда он сопротивлялся аресту в забаррикадированном районе, которым он управлял как своей личной вотчиной, был приговорен к 23 годам заключения в федеральной тюрьме США. .
Кристофер «Дудус» Коук, 43 года, был приговорен федеральным судьей в Нью-Йорке после того, как в августе прошлого года он признал себя виновным по обвинениям, включавшим в себя незаконный оборот более 3 тонн марихуаны и 30 фунтов (14 кг) кокаина в США. Наркобарону также было приказано выплатить 1,5 миллиона долларов в качестве конфискации прибыли от его глобальной операции по торговле людьми, которая была сосредоточена в Кингстоне, Майами и Нью-Йорке.
«С его осуждением Кока-кола больше не может торговать наркотиками в
США, перемещать оружие через нашу границу или терроризировать людей, а с сегодняшним приговором он теперь проведет очень долгое время в тюрьме за свои преступления», сказал Прит Бхарара, прокурор США на Манхэттене.
Приговор Коуку официально положил конец его насильственному правлению, которое длилось почти 20 лет при соучастии ямайских политических интересов. До того, как он сдался в июне 2010 года, он был в списке самых опасных наркоторговцев мира, составленном Министерством юстиции США.
Он управлял районом Тиволи-Гарденс на западной стороне Кингстона как своего рода обнесенным стеной военным лагерем, в пределах которого его правление было неоспоримым. Через свою банду Shower Posse — намек на пристрастие ее членов к обстрелу людей пулями — также известную как Presidential Click, он управлял государством в государстве.
У него была собственная небольшая армия численностью до 200 солдат и импровизированная тюрьма, в которой он вершил правосудие.
Он даже организовал обучение и средства к существованию для бедных местных семей, что сделало его на одном уровне чрезвычайно популярным.
В рукописном письме, направленном в суд Манхэттена с просьбой о снисхождении к приговору, Кока-кола написал: «Я много занимался благотворительностью и социальными услугами, чтобы помочь членам моего сообщества. Я также провожу много благотворительных мероприятий, таких как в качестве пасхального угощения для пожилых людей в моем сообществе».
Но он также был жестоким. В прошлом месяце суду были представлены доказательства, в которых один из бывших приспешников Coke описал, как главарь банды попадал в тюрьму, управляемую отрядом душ, и расправлялся с соперниками, разрезая их цепной пилой.
Широко распространено мнение, что он так долго оставался неприкосновенным для закона из-за защиты со стороны ведущих ямайских политиков. Когда США потребовали его экстрадиции, правительство Ямайки сначала отказало, уступив лишь в мае 2010 г.