Ինչ են DDoS և Dos հարձակումները

DDoS (անգլերեն` [b]Distributed Denial of Service[/b]՝ ծառայության բաշխված մերժում) , ի սկզբանե ցանցային հարձակման տեսակ՝ հիմնված հարձակման ենթարկվող ծառայության ռեսուրսների անսահմանության վրա, որին կատարվում են անթիվ հարցումներ, որոնք նա չի կարող հաղթահարել և ստիպված է մերժել սպասարկումը կամ սպասեցնել բավականին երկար ժամանակ, ահա այստեղից էլ նրա անվանումը: Երբեմն այս անվանումը կիրառվում է նաև ոչ ցանցային համարժեք իրավիճակներում (օրինակները ներքևում) : Ավելի պարզ ներկայացնենք, թե ինչ է իրենից ներկայացնում DDoS-ը: Երբ,օրինակ, ինչ որ մեկի հետ զրուցում ես, և մոտենում է մի հարբեցող ու սկսում բարձրաձայն անհեթեթ խոսել: Այդ ժամանակ զրուցելը կամ դառնում է անհնար կամ շատ դժվար: Լուծումը՝ կանչում ես անվտանգության աշխատակցին, ով հեռացնում է հարբեցողին: DDoS-ը տարբերվում է նրանով, որ այս դեպքում հավաքվում է հարբեցողների բազմահազարանոց ամբոխ, և նույնիսկ անվտանգության աշխատակիցներին կանչելու դեպքում հնարավոր չի լինի նրանց բոլորին հեռացնել: Նման հարձակման ավելի արդյունավետ տարբերակ լինում է ոչ թե հազարավոր հարբեցողների միջոցով, այլ շուրջ բոլորը եղած խաղաղ օգտատերերի զոմբիացմամբ: Բոլորին միանգամից և անկախ նրանց կամքից` համակարգչի կատարողականությամբ և հաստատակամությամբ: Համակարգչային աշխարհում նման նվաճումը իրականացվում է տռոյանի օգնությամբ: [img]/ups/images/055099700140672587125644.gif[/img] [b]Ջերմամիջուկային DDoS[/b] Իրականացվում է բոտնեթի միջոցով հարյուր հազարավոր մեքենաներով: Նման բոտնեթը հեշտությամբ լցնում է գլխավոր ալիքը 100Գբիտ/վրկ-ում: Առաջին անգամ նման DDoS կատարվել է ռունեթում 2010 թվականի հոկտեմբերին, ինչի արդյունքում УкрТелеком-ը լուրջ խնդիրների առաջ կանգնեց՝ կապված գլխավոր ալիքի հետ: Տուժածը, վերականգնելուվ իր DNS գրառումները, կարողացավ ընդամենը ժամանակավորապես անհասանելի դարձնել ya.ru-ն և անհանգստացնել darpa.net-ին: Նման մասշտաբային DDoS հարձակումներից պաշտպանվելու միջոցներ դեռ չեն մշակվել ոչ մեկի կողմից: 2010 թվականի դեկտեմբերին, ՌԴ-ի ներքին գործերի նախարարության աշխատակիցների և արտասահմանցի մասնագետների հետ համատեղ, ովքեր զբաղվում են IT անվտանգությամբ, .RU միջակայքում հայտնաբերվեց հսկայական բոտնեթ, որը ներառում է 600.000 վարակված զոմբի-համակարգիչներ ամբողջ աշխարհով մեկ: Հայտնաբերված բոտնեթը ղեկավարվում է ռուսական սերվերների կողմից (հայտնի չէ՝ հատկապես որոնց կողմից), ինչպես նաև հաջողվեց պարզել բոտնեթի տիրոջը, նա «crazyese» ծածկանվամբ մեկն էր (բացի նրանից,որ այս մարդը մասնակցում էր հակերային ֆորումների քննարկումններին և տարբեր երկրների կառավարական կայքերի DDoS հարձակումներին, այլևս ոչինչ հայտնի չէ նրա մասին): Բոտնեթի հայտնաբերումից հետո դրա հեղինակով սկսեցին հետաքրքրվել տարբեր երկրների հատուկ ծառայությունները: 2012 թվականի փետրվարի 9-ին ցանցում հայտնվեց նույն «crazyese»-ի ICQ համարը համարը(602720169), որըցանցում հրապարակել էր «crazyese»-ի մրցակիցներից մեկը: Այնուամենայնիվ, համարի տերը այն չի թաքցնում՝ շարունակելով ազատորեն առաջարկել իր ծառայությունները: [img]/ups/images/0177284001406725953838673.gif[/img] Վերջերս հայտնի դարձավ, որ նույն «crazyese»-ին պատկանող բոտնեթ-ցանցի կառավարման կենտրոնից հարձակման են ենթարկվել խոշորագույն համացանցային ռեսուրսներ, ինչպիսիք են lenta.ru, vkontakte.ru, yandex.ru, ozon.ru, nasa.gov, kremlin.ru, facebook.com կայքերը, այս ցանկը անվերջ կարելի է թվարկել: 2011 թվականին, ապրիլի վերջին փորձագետները գրանցեցին «crazyese» ծածկանվամբ հակերի նոր բոտնեթ-ցանց, որի հզորությունը գերազանցում էր 4.7 մլն վարակված համակարգիչներ ամբողջ աշխարհում, որոնց 53% տեղակայված է ԱՄՆ-ում: Ինչպես նաև հաղորդվում է, որ դեկտեմբերին հայտնաբերված բոտնեթը` կազմված է ավելի քան 600.000 «զոմբի-մեքենաներից», հաջողվել է ոչնչացնել, սակայն հակերը դեռևս փնտրվում է: Ցանցային մեծություն համարվող Cisco-ի ծրագրա-արքավորումային համակարգերը հանդիսանում են ամենաարդյունավետները, բայց դրանց համար պետք է բավականին շատ վճարել: IIS սերվերների անվտանգության համար կարելի է օգտվել Microsoft ընկերության առաջարկած ծրագրային լուծումով, բայց, իմանալով այս ընկերության «առատաձեռնության» մասին, դժվար չէ գուշակել, որ այս ծառայությունների համար ևս պետք է վճարել: Ներկայումս DDoS հարձակումները վերածվելեն շահավետ և ակտիվորեն զարգացող ապաստարանի կիբեռհանցագործությունների համար: Google-ում հնարավոր է գտնել տասնյակ «մասնագետների» առաջարկություններ` հակառակորդների կայքերը ոչնչացնելու վերաբերյալ: Այսպիսով, որո՞նք են DDoS հարձակումներից պաշտպանվելու հիմնական սկզբունքները: Նախ և առաջ չպետք է ավելորդ անգամ գրավել արմատական տրամադրվածությամբ հասարակության ուշադրությունը դեպի Ձեր կայքը` զետեղելով նյութեր, որոնցովկարող եք վիրավորել մարդկանց` անդրադառնալով նրանց ռասայական, ազգային կամ կրոնական համոզմունքներին: Եթե, այնուամենայնիվ, Ձեզ պատվիրված է կամ Դուք ուղղակի չեք հետևել նախորդ խորհրդին, պետք է աչալուրջ լինել, վեբ սերվերի մեքենային ռեսուրսները պետք է անպայման ունենան կատարողականության որոշակի ռեզերվ, իսկ բաշխող և պահուստային համակարգերը ստեղծված են առավելագույնս արդյունավետ: Առանց հասկանալու DDoS հարձակման աշխատանքի սկզբունքները, արդյունավետ պաշտպանություն ապահովելն ուղղակի անհնար է: DDoS հարձակում իրականացնելու համար օգտագործվում են մեծ քանակությամբ համակարգիչներ` վարակված վնաս հասցնող կոդով: Այս համակարգիչները միավորվում են բոտնեթներում (“bot-net” — զոմբի-մեքենաների ցանց), որոնք չարագործի հրամանով իրագործում են DDoS հարձակումներ, ընդորում համակարգիչների տերերը հաճախ նույնիսկ չեն էլ գլխիընկնում այդ մասին: [b]DoS հարձակման տեսակները[/b] Հակերներին ավելի հեշտ է իրականացնել DoS հարձակում համակարգի վրա, քան ձեռք բերել ամբողջական հասանելիություն կայքին: Գոյություն ունեն տարբեր պատճառներ, որոնցից հնարավոր է առաջանալ DoS պայմաններ, այսինքն` այնպիսի իրավիճակ, որի դեպքում օգտատերերը չեն կարող ունենալ հասանելիություն ռեսուրսներին, որոնք տրամադրում է սերվերը, կամ դրանց հասանելիությունը էականորեն դժվարանում է: Ներկայումս գործնականում յուրաքանչյուր համակարգիչ միացված է համացանցին կամ տեղական ցանցին: Սա DDoS հարձակման հրաշալի առիթ է հանդիսանում՝ ի հաշիվ թողունակության գերլցված լինելուն: Սովորաբար չարագործները օգտվում են floodից (անգլերեն flood-ջրհեղեղ, վարարում), սա հարձակման ձև է՝ կապված մեծ քանակությամբ սովորաբար անիմաստ կամ սխալ ֆորմատով ձևակերպված հարցումներից` ուղղված համակարգչին կամ ցանցային սարքավորումներին, որը բերում է համակարգի աշխատանքի մերժման` համակարգի ռեսուրսների (պրոցեսսորի, հիշողության կամ կապի ալիքների) սպառման պատճառով: Գոյություն ունեն floodի մի քանի տեսակներ. [b]HTTP flood և ping flood[/b] Սա DDoS հարձակման պարզագույն ձևն է: Թողունակության ալիքի գերբեռնումը հնարավոր է իրականացնել սովորական ping հարցումների միջոցով, միայն եթե հարձակում գործողի ալիքը (օրինակ 1.544 Մբիտ/վրկ) ավելի լայն է զոհ-համակարգչի ալիքից, որի արագությունը 128 Կբիտ/վրկ է: Սակայն հարձակման նման ձևը անզոր է սերվերի դեմ, քանզի այն,իր հերթին, ունի բավականին լայն թողունակության ալիք: Սերվերի վրա հարձակման համար սովորաբար օգտագործվում են HTTP floodները: Հարձակվողը ուղարկում է ծավալով փոքր HTTP փաթեթ, բայց այնպիսին, որին սերվերը կպատասխանի փաթեթով, որի չափը հարյուրավոր անգամ մեծ կլինի: Անգամ եթե սերվերի ալիքը տասն անգամ լայն է հարձակում գործողի ալիքից, միևնույնն է՝ զոհի թողունակության ալիքը գերբեռնելու մեծ հավանականություն կա: Որպեսզի պատասխան HTTP փաթեթները չարագործի մոտ չառաջացնեն ծառայության մերժում, նա ամեն անգամ փոխում է իր IP հասցեն ցանցի IP հասցեով: [b]Smurf հարձակում (ICMP flood)[/b] Smurf հարձակումը կամ ICMP floodը DoS հարձակման ամենավտանգավոր տեսակներից մեկն է, քանի որ նման հարձակումից հետո զոհ-համակարգչի մոտ տեղի է ունենում սպասարկման մերժում 100% երաշխիքով: Չարագործը, ping հարցում ուղարկելով, ստուգում է ցանցում աշխատող հանգույցները: Պարզ է, որ չարագործը միայնակ չի կարող շարքից հանել զոհ-համակարգիչը, դրա համար պահանջվում է ևս մեկ մասնակից՝ ուժեղացնող կապը: Դրա միջոցով հեռարձակվող հասցեով չարագործը ուղարկում է կեղծ ICMP փաթեթ: Այնուհետև հարձակվողի հասցեն փոխվում է զոհի հասցեով: Բոլոր հանգույցները պատասխան կուղարկեն ping հարցմանը: Դրա համար չարագործի կողմից ուժեղացնող կապով ուղարկված ICMP փաթեթը, որը պարունակում է 200 հանգույց, կուժեղանա 200 անգամ: Այդ պատճառով այսպիսի հարձակման համար սովորաբար ընտրվում է մեծ ցանց, որպեսզի զոհ-համակարգիչը ոչ մի հնարավորություն չունենա դիմակայելու: [img]/ups/images/0160724001406726041406623.gif[/img] [b]Fraggle հարձակում (UDP flood)[/b] Fraggle հարձակումը (բեկորային նռնակ, անգլերեն Fraggle attaсk-ից) համարվում է Smurf հարձակման համարժեքը, որտեղ ICMP փաթեթի փոխարեն օգտագործվում են UDP փաթեթներ, դրա համար այն նաև անվանում են UDP flood: Այդ հարձկման աշխատանքի սկզբունքը պարզ է. զոհի 7-րդ պորտին ուղարկվում են echo հրահանգներ լայնահեռարձակման հարցմամբ: Այնուհետև չարագործի IP հասցեն փոխվում է զոհի IP հասցեով, որը շուտով ստանում է բազմաթիվ պատասխան հաղորդագրություններ: Նրանց քանակը կախված է ցանցի հանգույցների քանակից: Այս հարձակումը բերում է թողունակության ալիքների գերբեռնման և զոհի սպասարկման ամբողջական մերժման: Եթե այնուամենայնիվ echo ծառայությունը անջատված է, ապա կստեղծվեն ICMP հաղորդագրություններ, որը ևս բերում է ալիքի գերբեռնվածության: [b]Հարձակում SYN փաթեթների գերբեռնման միջոցով (SYN flood)[/b] TCP կապի հաստատում Smurf հարձակման հայտնվելուց առաջ լայնորեն տարածված էր հարձակումը SYN փաթեթների գերբեռնման միջոցով, որը հայտնի է նաև SYN flood անվամբ: Նրա աշխատանքը նկարագրելու համար պետք է կանգ առնել երկու՝ А և В համակարգերի դիտարկման վրա, որոնք միմյանց մեջ ցանկանում են TCP կապ հաստատել, ինչից հետո նրանք կկարողանան փոխանակվել տվյալներով: Կապի հաստատման համար անհրաժեշտ են որոշ քանակի ռեսուրսներ, հենց սրանից էլ օգտվում են DoS հարձակումները: Ուղարկելով մի քանի կեղծ հարցումներ, կարելի է ծախսել համակարգի բոլոր ռեսուրսները՝ նախատեսված կապի հաստատման համար: Ավելի մանրամասնորեն դիտարկենք, թե ինչպես է այն կատարվում: Հակերը A համակարգից ուղարկում է SYN փաթեթ B համակարգին, բայց նախապես փոխելով իր IP հասցեն գոյություն չունեցողի հետ: Հետո, առանց ինչ-որ բան կասկածելու, B համակարգիչը ուղարկում է պատասխան SYN/ACK գոյություն չունեցող IP հասցեի և տեղափոխվում SYN-RECEIVED վիճակ: Քանզի SYN/ACK հաղորդագրությունը չի հասնի A համակարգին, B համակարգիչը երբեք չի ստանա ACK դրոշով փաթեթ: Տվյալ պոտենցիալ կապը կտեղկայվի հերթի մեջ: Այն հերթից դուրս կգա միայն 75 վայրկյանի ընթացքում: Սրանից օգտվում են չարագործները և ուղարկում են միանգամից մի քանի SYN փաթեթներ զոհի համակարգչին 10 վայրկյան ընդմիջումներով, որպեսզի ամբողջությամբ ոչնչացնեն համակարգի ռեսուրսները: Հարձակման աղբյուրը հայտնաբերելը բավականին դժվար է, քանի որ չարագործը շարունակ փոխում է IP հասցեները: [img]/ups/images/0719661001406726166503893.png[/img] [b]Ռեսուրսների անբավարարություն[/b] Չարագործները օգտագործում են DoS հարձակման այս ձևը համակարգի ռեսուրսները «գրավելու» համար, ինչպիսիք են օպերատիվ և ֆիզիկական հիշողությունները,պրոցեսորային ժամանակը և այլն: Սովորաբար նման հարձակումները իրականացվում են հաշվի առնելով այն, որ հակերը արդեն տիրապետում է որոշակի քանակությամբ համակարգի ռեսուրսների: Հարձակման նպատակն է ձեռք բերել հավելյալ ռեսուրսներ: Դրա համար անհրաժեշտ չէ թողունակության գերբեռնվածություն, բավական է ընդամենը վերագործարկել զոհի համակարգչի պրոցեսորը, այսինքն զբաղեցնել ողջ հասանելի պրոցեսորային ժամանակը: [b]«Ծանր» փաթեթների ուղարկում[/b] Հարձակվողը ուղարկում է սերվերին փաթեթներ, որոնք չեն գերբեռնում թողունակությունը (սովորաբար ալիքը բավականին լայն է լինում), բայց ծախսում են նրա պրոցեսորային ժամանակը: Համակարգչի սերվերը, դրանք մշակելիս, ի վիճակի չի լինի գլուխ հանել բարդ հաշվարկներից: Այդ պատճառով տեղի կունենա խափանում և օգտատերերը չեն ունենա հասանելիություն անհրաժեշտ ռեսուրսներին: [b]Սերվերի գերբեռնում log ֆայլերով[/b] Սերվերի log ֆայլերը այն ֆայլերն են, որտեղ գրանցվում է ցանցի կամ ծրագրի օգտատերերի գործունեությունը: Որակավորում չունեցող ղեկավարը կարող է համակարգի սխալ կարգավորումներ տալ իր սերվերի վրա՝ չտեղադրելով սահմանված չափ: Հակերը կօգտվի այդ սխալից և կուղարկի ծավալով մեծ փաթեթներ, որոնք շուտով կզբաղեցնեն սերվերի կոշտ սկավառակի ամբողջ ազատ տեղը: Բայց այս հարձակումը կաշխատի միայն անփորձ ղեկավարի դեպքում, որակյալ մասնագետները պահում են լոգ ֆայլերը համակարգի առանձին սկավառակի վրա: [b]Քվոտավորման վատ համակարգ[/b] Յուրաքանչյուր սերվերի վրա կա այսպես կոչված CGI ծրագիր, որը կապում է արտաքին ծրագիրը Web սերվերի հետ: Եթե հակերը ձեռք բերի հասանելիություն CGI-ին, ապա նա կարող է գրել գրվածք (անգլ. scripting language), որը խափանում է սերվերի որոշ ռեսուրսներ, ինչպիսիք են օպերատիվ հիշողությունը և պրոցեսորային ժամանակը: Օրինակ՝ CGI գրվածքը կարող է պարունակել խոշոր մասիվների ցիկլային վերարտադրություն կամ բարդ մաթեմատիկական բանաձևերի հաշվում: Ընդ որում կենտրոնական պրոցեսորը կարող է անդրադարձ կատարել այդպիսի գրվածքին մի քանի հազար անգամ: Այստեղից հետևություն. եթե քվոտավորման համակարգը սխալ է կարգավորված, ապա այդպիսի գրվածքը կարճ ժամանակում խլում է սերվերի ողջ համակարգային ռեսուրսները: Իհարկե, ելքը այս իրավիճակից ակնհայտ է՝ սահմանափակումներ դնել հիշողության հասանելիության վրա, բայց և այս դեպքում գրվածքի գործընթացը, հասնելով այդ սահմանին, կգտնվի սպասման վիճակում այնքան ժամանակ, մինչև որ հիշողությունից չի հեռացնի ողջ հին տվյալները: Այդ իսկ պատճառով օգտատերերը կզգան համակարգի ռեսուրսների անբավարարություն: [b]Օգտատերերի տվյալների ոչ բավարար ստուգում[/b] Օգատերերի տվյալների ոչ բավարար ստուգումը ևս կարող է հանգեցնել անվերջ կամ երկարատև ցիկլի կամ պրոցեսորային ռեսուրսների երկարատև օգտագործման կամ մեծ ծավալով օպերատիվ հիշողության կորստի: [b]Երկրորդական հարձակում[/b] Սա հարձակում է, որը ձգտում է առաջացնել համակարգի պաշտպանության կեղծ գործարկում և այդպիսով առաջ բերել ռեսուրսի անհասանելիություն: [b]Ծրագրավորման սխալներ[/b] DoS հարձակումներ իրականացնող մասնագետները չեն օգտագործում հարձակման այնպիսի պարզունակ եղանակ, ինչպիսին է թողունակության ալիքների գերբեռնումը: Ամբողջությամբ տիրապետելով զոհի համակարգի կառուցվածքին, նրանք գրում են ծրագրեր, որոնք օգնում են հարձակում կատարել կազմակերպությունների և կոմերցիոն հիմնարկների բարդ համակարգերի վրա: Ամենից հաճախ դրանք սխալներ են կապված ծրագրային կոդի հետ, որոնք հանգեցնում են անդրադարձի հասցեի դաշտի չօգտագործվող մասում, անթույլատրելի հրահանգների կատարման կամ այլ բացառիկ իրավիճակի, երբ կատարվում է սերվերի ծրագրի վթարային դադարեցում: Դասական օրինակ է հանդիսանում նուլային հասցեով անդրադարձը (անգլ. null): [b]Թերություններ ծրագրային կոդում[/b] Բացառիկ իրավիճակների մշակումը միշտ էլ գլխացավանք է եղել օպերացիոն համակարգեր ստեղծողների համար: Չարագործները փնտրում են սխալներ ինչ-որ ծրագրային կոդում կամ օպերացիոն համակարգում, ստիպում են նրան մշակել այնպիսի բացառիկ դեպքեր, որոնք նա իվիճակի չէ մշակել, այսպես առաջեն գալիս սխալները: Հասարակ օրինակ կարողէ ծառայել փաթեթների ուղարկումը, որտեղ հաշվի չեն առնվում առանձնահատկությունները և RFC փաստաթղթերի ստանդարտները: Չարագործները հետևում են` արդյոք ցանցային ստեքը կարողանում է գլուխ հանել բացառիկ իրավիճակների մշակումից: Եթե ոչ, ապա նման փաթեթների ուղարկումը կհանգեցնի միջուկի խառնաշփոթի (kernel panic) կամ նույնիսկ շարքից կհանի ամբողջ համակարգը: [b]Ping of death[/b] Այս դասին է պատկանում Ping of death սխալը, որը տարածված էր 1990-ականներին: IPv4 փաթեթի երկարությունը ըստ RFC 791 IPv4 ստանդարտի չի կարող գերազանցել 65.535 բայտը, զոհ-համակարգչին ուղարկվում է մեծ երկարությամբ ICMP փաթեթ` նախապես բաժանված մասերի, զոհի մոտ այդ փաթեթից գերբեռնվում է բուֆերը: Այդ ժամանակների այլ սխալներից էր WinNuke-ը (Windows 95 սխալէր մշակում TCP փաթեթի հազվադեպ պատահող URG բիտը): [b]Բուֆերի գերբեռնում[/b] Բուֆերի գերբեռնումը տեղի է ունենում այն դեպքում, երբ ծրագիրը ծրագրավորողի սխալի պատճառով գրանցում է տվյալներ բուֆերի սահմաններից դուրս: Ենթադրենք` ծրագրավորողը գրել է հավելված՝ ցանցում տվյալների փոխանակման համար, որը աշխատում է ըստ ինչ-որ մի արձանագրության: Այդ արձանագրության մեջ հստակ նշված է, որ փաթեթի որոշակի սահմանված դաշտ կարող է ամենաշատը պահել 65.536 բայտ տվյալներ: Բայց հավելվածի փորձարկումից պարզ դարձավ, որ դրա հաճախորդների բաժինը չի կարող տեղավորել 255 բայտից ավելի տվյալներ: Դրա համար սերվերի բաժինը չի ընդունի 255 բայտից ավելի: Ապա չարագործը փոխում է հավելվածի կոդը այնպես, որ հաճախորդների բաժինը այժմ ուղարկում է 65.536 բայտ, սակայն սերվերը պատրաստ չէ այն ընդունելու: Այս պատճառովառաջանում է բուֆերի գերբեռնում, և օգտատերերը զրկվում են հասանելիությունից դեպի հավելված: [b]DNS հարձակումներ[/b] [i]DNS սերվերի վրա կատարվող բոլոր հարձակումները կարելի է բաժանել երկու տեսակի.[/i] DoS հարձակումներ DNS սերվերի ծրագրային ապահովման խոցելի հատվածների վրա Սրանք նաև կոչվում են հարձակումներ քեշի վրա: Այս հարձակման ընթացքում չարագործը փոխում է զոհի DNS սերվերի դոմենի IP հասցեն: Որից հետո զոհը, ուղարկելով HTML էջի հրահանգ, հայտնվում է կամ «սև անցքում» (եթե IP հասցեն փոխվել էր գոյություն չունեցող IP հասցեով) կամ միանգամից չարագործի սերվերում: Երկրորդ դեպքն ավելի վատթար է, քանի որ չարագործը հեշտությամբ կարող է ձեռք բերել հասանելիություն ոչինչ չկասկածող զոհի անձնական տվյալներին: Դիտարկենք օրինակով, թե ինչպես է դա տեղի ունենում: Ենթադրենք՝ հաճախորդը ցանկանում է հայտնվել microsoft.com Web հանգույցում: Բայց, օգտվելով ընկերության DNS սերվերի խոցելիությունից, չարագործը փոխել էր microsoft.com հանգույցի IP հասեն իր հասցեով: Այժմ զոհը ինքնըստինքյան տեղափոխվում է հարձակում գործողի հանգույց: Անդրադառնանք DDoS հարձակումներին, քանի որ DNS սերվերների մասնակցությունը միշտ ենթադրում է մեծ քանակությամբ համակարգիչներ: DNS սերվերների վրա կատարվող հարձակումները ամենապարզ հարձակումներն են, որոնք առաջացնում են DNS սերվերի աշխատանքի խափանում թե՛ թողունակության ալիքների գերբեռնման և թե՛ համակարգի ռեսուրսների գրավման եղանակով, սակայն այսպիսի հարձակումը պահանջում է մեծ քանակությամբ զոմբի համակարգիչներ: Այն հաջողությամբ իրականացնելու դեպքում օգտատերերը չեն կարողանա մուտք գործել համացանցում իրենց անհրաժեշտ էջեր, քանի որ DNS սերվերը չի կարող փոխարկել դոմենի անվանում կայքի IP հասցեում: Բայց ներկայումս հարձակումները DNS սերվերների վրա՝ մեծ թվով զոմբի համակարգիչների օգտագործմամբ (այդ ցանցը կոչվում է բոտնեթ), ավելի քիչ են կիրառելի, քանի որ համացանց տրամադրող ընկերությունները հեշտությամբ նկատում են այսպիսի մեծաքանակ խցանումը և արգելափակում այն: Չարագործներն այժմ աշխատում են ոչ մեծ բոտնեթներով կամ ընդհանրապես դրանք չեն օգտագործում: Հիմնական միտքը կայանում է նրանում, որ հակերները օգտագործում են DNS սերվերները, որոնք աշխատում են DNSSEC տեխնոլոգիայի հիմքով: Հարձակման ուժգնությունը ավելանում է DNS հարցումների անդրադարձման մեծացման արդյունքում: Իրականում համացանց մատակարարողի DNS սերվերները պետք է մշակեն միայն այն հարցումները, որոնք եկել են այդ մատակարարողի օգտատերերից, սակայն սա հեռու է իրական լինելուց: Ամբողջ աշխարհում կան մեծ քանակությամբ սխալ կարգավորված սերվերներ, որոնք կարող են ընդունել հարցումներ համացանցի ցանկացած օգտագործողից: CloudFlare ընկերության աշխատակիցները վստահեցնում են, որ իրականում համացանցում կան ավելի քան 68 հազար սխալ կարգավորված DNS սերվերներ, նրանցից 800-ը՝ Ռուսաստանում: Հենց այսպիսի DNS սերվերներ են օգտագործվում DDoS հարձակումների համար: Հիմնական միտքը կայանում է նրանում, որ գրեթե բոլոր DNS հարցումները ուղարկվում են UDP արձանագրությամբ, որտեղ համեմատաբար հեշտ է փոխարինել հետադարձ հասցեն զոհի հասցեով: Այդ պատճառով սխալ կարգավորված DNS սերվերների միջոցով չարագործն ուղարկում է այնպիսի հարցում, որ դրա պատասխանը լինի հնարավորինս մեծ ծավալով (օրինակ՝ DNS աղյուսակի բոլոր գրառումների ցանկը), որտեղ հետադարձ IP հասցեն կփոխվի զոհի IP hասցեով: Որպես կանոն, մատակարարների սերվերները օժտված են մեծ թողունակությամբ, այդ պատճառով հարձակում կատարելը մի քանի տասնյակ Գբիտ/վրկ-ում առանձնապես ջանքերի չի պահանջի: [b]Պաշտպանություն DDoS հարձակումներից[/b] Ներկայումս անհնար է ամբողջությամբ պաշտպանվել DDoS հարձակումներից, քանի որ կատարելապես ապահով համակարգեր չեն լինում: Այստեղ մարդկային գործոնը ևս շատ մեծ դեր է խաղում, քանի որ համակարգի ղեկավարի ցանկացած սխալ կարող է հանգեցնել բավականին անցանկալի հետևանքների: Սակայն, չնայած այս ամենին, ներկայումս գոյություն ունեն բազմաթիվ ինչպես ծրագրա-սարքավորումային պաշտպանության միջոցներ, այնպես էլ դիմադրության կազմակերպված մեթոդներ: DDoS հարձակումների դիմադրության եղանակները կարելի է բաժանել երկու խմբի՝ պասիվ և ակտիվ, ինչպես նաև նախազգուշական և արձագանքման: Ներքևում տրված է հիմնական մեթոդների հակիրճ ցուցակը: Կանխում. պատճառների հայտնաբերում, որոնք դրդում են այս կամ այն անձանց կազմակերպել և իրականացնել DDoS հարձակումներ: (Շատ հաճախ կիբեր հարձակումները հանդիսանում են անձնական, քաղաքական, կրոնական և այլ բնույթի վիրավորանքների և անհամաձայնությունների արդյունք): Պետք է ժամանակին հայտնաբերել DDoS հարձակման պատճառները, որից հետո անել հետևություններ՝ ապագայում նման հարձակումներից խուսափելու համար: Պատասխան քայլեր.կիրառելով տեխնիկական և իրավական քայլեր, պետք է հնարավորինս ակտիվորեն ազդել DDoS հարձակման աղբյուրի և հեղինակի վրա: Ներկայումս կան անգամ հատուկ ընկերություններ, որոնք օգնում են ոչ միայն գտնել հարձակումը կատարած մարդուն, այլ նաև կազմակերպչին: Ծրագրային ապահովում.ժամանակակից սարքավորումային և ծրագրային ապահովման շուկայում գոյություն ունի նաև այն, ինչը կարող է պաշտպանել փոքր և միջին ձեռնարկատիրություններին թույլ DDoS հարձակումներից: Այս միջոցները սովորաբար իրենցից ներկայացնում են փոքր սերվերներ: Ֆիլտրացում և բլեկհոլինգ. հարձակում կատարող մեքենաներից ստացվող խցանումների արգելափակում: Այս միջոցների արդյունավետությունը նվազում է ըստ հարձակման օբյեկտի մոտենալու և աճում է ըստ հարձակման մեքենայինմոտենալու: Այս դեպքում ֆիլտրացումը կարող է լինել երկու տեսակի՝ միջցանցային էկրանների օգտագործում և ACL ցուցակների օգտագործում: Միջցանցային էկրանների օգտգործումը արգելափակում է խցանման որոշկի հատված, բայց հնարավորություն չի տալիս տարբերակել«լավ» խցանումը «վատից»: ACL ցուցակները ֆիլտրում են երկրոդական արձանագրությունները և չեն անդրադառնում TCP արձանագրություններին: Սա չի դանդաղեցնում սերվերի աշխատանքի արագությունը, բայց այն ապարդյուն է այն դեպքում, երբ չարագործը օգտագործում է առաջնակարգ հարցումներ: Հետադարձ DDoS` հարձակման ուղղության փոփոխում դեպի հարձակում կատարողին: Հարձակման ենթարկվող սերվերի բավականին հզոր լինելու դեպքում հնարավոր է ոչ միայն հաջողությամբ անդրադարձել հարձակումը, այլ նաև շարքից հանել հարձակում իրականացնողի սերվերը: Խոցելիության վերացում.չի աշխատում այն flood հարձակումների դեմ, որոնց համար խոցելիություն է համարվում այս կամ այն համակարգի ռեսուրսի վերջավորությունը: Այս եղանակը ուղղվածէ համակարգերում սխալների հեռացմանը: Ռեսուրսների ստեղծում.կատարյալ պաշտպանություն, իհարկե, չի ապահովում, բայց լավ հենարան է հանդիսանում DDoS հարձակումների դեմ կիրառվող պաշտպանության այլ տեսակների համար: Տարծում. համակարգի ապակենտրոնացում և կրկնօրինակում, որը թույլ կտա չդադարեցնել աշխատանքը, եթե անգամ որոշ տարրեր DDoS հարձակման արդյունքում անհասանելի լինեն: Խուսափում. հարձակման անմիջական թիրախի (դոմենի անուն կամ IP հասցե) հեռացում այլ ռեսուրսներից, որոնք ևս հաճախ ենթարկվում են հարձակման հիմնական թիրախի հետ միասին: [i]Ակտիվ պատասխան քայլեր.ազդեցություն հարձակման աղբյուրների, կազմակերպչի կամ հարձակման ղեկավարման կենտրոնի վրա՝ ինչպես տեխնոգեն, այնպես էլ կազմակերպչական և իրավական միջոցներով: DDoS հարձակումներն անդրադարձնող սարքավորումների կիրառում. օրինակ՝ DefensePro® (Radware), SecureSphere® (Imperva),Arbor Peakflow®, Riorey, Impletec iCore և այլ արտադրողներ:[/i] [u]Մենք` որպես [url=http://maxarts.am/hy/]MAXARTS[/url] IT ընկերություն, ամեն օր գործ ենք ունենում DDoS հարձակումների հետ մեր հաճախորդների կայքերում և ունենք նրանց դեմ պայքարելու որոշակի փորձ: Ինչպես արդեն նշվել է` պաշտպանության ունիվերսալ ձևեր ուղղակի գոյություն չունեն, բայց հարձակումը այնուամենայնիվ հնարավոր է անդրադարձել:[/u] [b]Օգտագործված ռեսուրսներ[/b] http://lurkmore.to/DDoS http://habrahabr.ru/post/129181/ http://ru.wikipedia.org/wiki/DoS-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0 Թարգմանեց՝ [b]Անժելա Ավետիսյանը[/b]