211652_close_icon
views-count2185 դիտում article-date 17:27 03-11-2014

DDoS-ը` մեծն և սարսափելին

Իսկ Դուք գիտ՞եք, որ ըստ Arbor Networks, Verisign Inc. -ի և մի քանի այլ ընկերությունների անցկացրած հարցումների. • Ամեն օր նկատվում են 2000 DDoS հարձակումներ • Հարձակումը, որը կարող է մի ինչ-որ փոքր ընկերության վերջը լինել, արժի ընդամենը 0 • Ուսումնասրիության մասնակիցների 2/3-ը (63%) տարվա մեջ գոնե մեկ անգամ տուժել են DDoS հարձակումից • Բացի ուղղակի վնասներից և հաճախորդների վստահության կորստից, հարձակումները ազդում են նաև աշխատանքի արդյունավետության վրա • Հարցվածների 11%-ը հարձակման են ենթարկվել տարեկան 6 և ավել անգամ • Վերջին 12 ամիսների ընթացքում հարձակման ենթարկվածների 46%-ը անհասանելի է եղել մոտ 5 ժամ, իսկ 23%-ը՝ 12 ժամից ավելի • Հարցվածների 1/3 մասի մոտ անհասանելիությունը կապված է եղել DDoS հարձակումների հետ Ինչպիսի՞ն է լինում DDoS-ը, հնարավո՞ր է արդյոք պայքարել դրա դեմ և հնարավո՞ր է խուսափել դրանից: Այդ մասին կխոսենք այս հոդվածում: [b]Ինչպիսի՞ն ես դու, DDoS:[/b] :) Բոլոր DDoS հարձակումները կարելի է բաժանել 3 մեծ խմբերի` • Ծավալային • Հարձակումներ ՝ արձանագրությունների մակարդակի • Հարձակումներ՝ հավելվածների մակարդակի [i]Հարձակման առանձին տեսակների մասին կխոսենք ավելի ուշ, իսկ հիմա մի փոքր ուսումնասիրենք խմբերը:[/i] [b]Հարձակումներ՝ ուղղված ծավալին[/b] Հարձակման այս տեսակն ուղղված է թողունակության ալիքների գերբեռնմանը, հետևաբար հարձակման ուժը չափվում է բիտ/վայրկյանով: Այս տեսակին պատկանում են տարբեր տեսակի ֆլուդներ՝ UDP, ICMP և կեղծ հոսքերի այլ փաթեթներ: Հարձակման ուժն ամեն տարի ավելանում է, և եթե հեռավոր 2002-ին 400 մբիտ/վայրկյանը թվում էր ահռելի, ապա հիմա առանձին հարձակումներ անցնում են 100 գբիտ/վայրկյանից և ընդունակ են ոչնչացնել որոշ տվյալների բազաներ: Թերևս նման հարձակումների դեմ պայքարի միակ միջոցը ֆիլտրացումն է՝ տվյալների կենտրոնի (եթե այն ընձեռնում է նման հնարավորություն) կամ պաշտպանության մասնագիտացված ծառայությունների մակարդակում: Նրանք ունեն ալիքի բավականին հզորություն և հաշվողական ռեսուրսներ, որպեսզի հարթեն ծավալը և օգտատիրոջ սերվերին ուղարկեն արդեն ֆիլտրացված ծանրաբեռնվածություն: [b]Հարձակումներ՝ արձանագրությունների մակարդակով[/b] Այս տեսակն ուղղված է սարքավորումների կրճատմանը կամ տարբեր արձանագրությունների խոցելիությանը: Այս հարձակումները ներգործում են սերվերի կամ այլ միջանկյալ սարքավորումների վրա մակաբույծ փաթեթների միջոցով, ինչի արդյունքում համակարգերը ի վիճակի չեն լինում մշակել օգտակարներ փաթեթները: Հարձակման ուժը որոշվում է 1 վայրկյանում ուղարկված փաթեթների քանակով: Այս տեսակին են պատկանում SYN ֆլուդը, «մահացու պինգը», մասնատված փաթեթներով հարձակումները և այլն: Այս մակարդակում սարքավորումային պաշտպանությունը դառնում է զգալիորեն արդյունավետ: Նման սարքավորումներ արտադրողների կողմից ստեղծված հատուկ ալգոռիթմերը օգնում են տեսակավորել և ֆիլտրել ծանրաբեռնվածությունը: Բնական է՝ չկան անթերի ալգոռիթմեր, և մակաբույծ ծանրաբեռնվածության մի ինչ-որ մաս այնուամենայնիվ կհասնի Ձեզ, իսկ օգտակարի ինչ-որ մաս կարող է կորչել:Ֆիլտրացիայի կողմնակի ծառայությունները ևս կարող են շատ արդյունավետ լինել: [b]Հարձակումներ՝ հավելվածների մակարդակում[/b] Ինչպես պարզ է դառնում անվանումից, հարձակումներն ուղղված են հավելվածների և օպերացիոն համակարգերի (Apache, Windows, OpenBSD և այլն) խոցելիությանը: Նրանք հանգեցնում են ինչ-որ հավելվածի կամ օպերացիոն համակարգի ամբողջական անսարքության: Այդ հարձակումների շարքին են դասվում Slowloris-ը, զրոյական օրվա հարձակումները և այլն: Որպես կանոն, արտաքինից միանգամայն օգտակար թվացող այս հարցումները շարքից հանում են վեբ-սերվերը: Հաճախականությունը չափվում է վայրկյանում եղած հարցումների քանակով: Հարձակման այս տեսակն համարվում է առավել «մահացու»: Նրանք չափազանք նեղ ուղղվածություն ունեն, որի պատճառով կարող են ստեղծել բավականին լուրջ խնդիրներ հարձակման ենթարկվողի համար՝ հարձակում գործողի ռոսուրսների քիչ օգտագործման դեպքում: Վերջին 3-4 տարիների ընթացքում հարձակման այս տեսակը դարձել է գերակշռող, և սովորական HTTP ֆլուդը GET հարցումներով հանդիսանում է ամենաքիչ տարածված տեսակը: Այս տեսակի հարձակումների դեմ պայքարի միջոցների թվում, բացի վերը նշված ծառայություններից և սարքավորումներից, կարելի է ներառել նաև ներդրված ծրագրային ալգոռիթմերը, որոնք վերլուծում են հարցումները և ստեղծում ֆաերուոլի կանոններ՝ ըստ վերլուծությունից ստացված արդյունքների: [u]Մի քիչ ավելի մանրամասն[/u] Գոյություն ունեն DDoS հարձակումների շատ տեսակներ, դրանցից յուրաքանչյուրն ունի սեփական ձեռագիրը և հաղթահարելու սեփական ձևերը: Ոչ բոլոր հարձակումներն է հնարավոր թուլացնել կամ կանխել: Երբեմն նույնիսկ իմաստ չկա փորձելու: Անհնար է առանձին նկարագրել յուրաքանչյուր տեսակին դիմադրելու մեխանիզմները, դրա մասին կարելի է գրել գրքեր և պաշտպանել դիսերտացիաներ: Փորձենք նկարագրել հարձակումների ամենատարածված տեսակները և դիմակայելու հիմնական սկզբունքները: [b]UPD flood[/b] Հարձակման նման տեսակն օգտագործում է պարզագույն UPD արձանագրություն: Բնորոշ հատկանիշներն են՝ սեսսիայի տեղակայման և ինչ-որ պատասխանի ուղարկման անհրաժեշտության բացակայություն: Հոստ-մեքենայի պատահական պորտերին գալիս են անթիվ քանակությամբ փաթեթներ՝ ստիպելով շարունակ ստուգել՝ արդյոք տվյալ պորտը լսում է ինչ-որ հավելվածի, սխալի դեպքում հետ է ուղարկում «ICMP Destination Unreachable» փաթեթը: Բնականաբար նման ակտիվությունը կլանում է հոստ-մեքենայի ռեսուրսները՝ բերելով նրան անհասանելիության: Այս խնդրից թեկուզ մասնակի ազատվելու պարզագույն միջոցներից է UDP ծանրաբեռնվածության արգելափակումն է: Ավելի մասշտաբային հարձակումների դեպքում կհամապատասխանեն պաշտպանության սարքավորումային միջոցները և ցանցի ֆիլտրացումը: [b]ICMP flood[/b] Համապատասխանում է UDP ֆլուդին: Հոստ-մեքենային ուղարկվում են պինգ հարցումներ՝ առավելագույն հաճախականությամբ՝ ստպելով տալ էխո-պատասխաններ: Ցանցային հանգույցի հասանելիության ստուգման օգտակար սարքավորումը դառնում է համակարգի ռեսուրսների ագահ կլանող: Հենց այդ պատճառով համակարգի որոշ ղեկավարներ արգելափակում են ICMP հարցումները ֆաերուոլ մակարդակում: Սերվերը կամ ցանկացած այլ ցանցային սարքավորում կլինի ամբողջությամբ հասանելի, բայց պինգ ուղարկելը կլինի անհնար: [b]SYN ֆլուդ[/b] Այս տեսակի հարձակման դեքում օգտագործվում է TCP արձանագրության հիմքում եղած բազային սկզբունքներից մեկը՝ «եռակի ձեռքսեղմման սկզբունքը»: Մեքենան, որը նախաձեռնում է կապը, հոստ մեքենային ուղարկում է SYN փաթեթ: Հոստը պատասխանում է SYN-ACK փաթեթով, ինչին նախաձեռնող մեքենան պետք է պատասխանի ACK փաթեթով: SYN ֆլուդի դեպքում ACK փաթեթը չի ուղարկվում, ինչի արդյունքում միացումը որոշ ժամանակ բաց է մնում և փակվում է ժամանակի վերջանալու հետ: Քանի որ միացումների քանակը, որ հոստ-մեքենան կարող է միաժամանակ բաց պահել, սահմանափակ է, վաղ թե ուշ առաջանում է գերբեռնում՝ առաջացնելով օգտակար փաթեթների մշակման մերժում: [b]MAC flood[/b] Հարձակման բավականին էկզոտիկ տեսակ՝ հիմնականում ուղղված ցանցային սարքավորումներին: Հարձակվող կողմը ուղարկում է տարբեր MAC հասցեներ ունեցող դատարկ Ethernet փաթեթներ: Անջատիչը այդ փաթեթները դիտարկում է որպես առանձին փաթեթներ և դրանցից յուրաքանչյուրի համար պահեստավորում ռեսուրսների որոշակի քանակ: Ռեսուրսների հագեցումը կարող է հանգեցնել նրան, որ անջատիչը կդադարի պատասխանել հարցումներին: [b]Մահացու ping[/b] Այս տեսակն հանդիպում է տարբեր անվանումներով՝ Ping of Death (մահվան պինգ), Teardrop (արցունք) և այլն: Այսօր այն չի համարվում շատ լուրջ սպառնալիք, բայց նախկինում ամեն ինչ այլ կերպ էր: IP փաթեթի առավելագույն չափսը՝ 65535 բայտ: Սակայն ցանցով փոխանցման ընթացքում փաթեթը բաժանվում է պատուհանի չափսին համապատասխանող մասերի: Այսպիսով, ստացված ենթափաթեթների հետ մանիպուլյացիաներ կատարելու արդյունքում կարելի է հասնել նրան, որ հետադարձ հավաքումից կստացվի փաթեթ, որը կգերազանցի առավելագույն չափսը: Սա կարող է հանգեցնել հիշողության առանձնացված բուֆերի հագեցման և այլ փաթեթների սպասարկման մերժման: [b]Slowloris[/b] Աձանձնահատուկ զարգացած և նեղ մասնագիտացված հարձակման տեսակ է, որը թույլ է տալիս հարաբերականորեն քիչ ռեսուրսներին շարքից հանել վեբ-սերվերը՝ ձեռք չտալով մյուս արձանագրություններին: Հարձակվող սերվերը փորձում է բացել ինչքան հնարավոր է շատ HTTP միացումներ և պահել դրանք ինչքան հնարավոր է երկար՝ աստիճանաբար ուղարկելով հաճախակի հարցումներ: Հարձակման ենթակա սերվերի միաժամանակյա միացումների թույլատրելի քանակն արագ սպառվում է, և այն դադարում է ստանալ օգտակար հարցումներ: Սա ուղղվում է այսպիսի միացումների արգելափակման միջոցով: [b]Անդրադարձված հարձակումներ[/b] Հարձակման այս տեսակի ժամանակ կեղծ IP հասցեներով փաթեթներ են ուղարկվում հնարավոր առավելագույն քանակությամբ մեքենաների, որոնք գերբեռնում են զոհի սերվերը: Տարածված օրինակներից է սխալ կարգավորված DNS սերվերների օգտագործումը: DNS սերվերներին իբր IP զոհի կողմից ուղարկվում են ոչ մեծ հարցումներ: Սերվերի պատասխանի չափսը մոտ 10 անգամ գերազանցում է հարցման չափսին: Այսպիսով, հարձակվող սերվերը, ուղարկելով 100 մբիտ/վրկ կեղծ հարցումներ, կարող է ուղարկել հարձակման ենթարկվողին գիգաբիտ ծավալով մակաբույծ ծանրաբեռնվածություն: [b]Սերվիսի քայքայում[/b] Այս տեսակի հիմնական բնույթը իրական լսարանի գործողությունների մեծաքանակ նմանակումն է: Պարզագույն տարբերակը՝ կայքի նույն էջի հաճախակի հարցումները: Հաղթահարվում է էջի ժամանակավոր արգելափակմամբ: Ավելի բարդ հարձակվող համակարգերը պատահականորեն կանցնեն Ձեր կայք՝ հարցում կատարելով ոչ միայն html փաստաթղթին, այլ նաև բոլոր ուղեկցող նկարներին, գրվածքներին և ոճերի ֆայլերին: Արդյունքում զոմբի-համակարգիչները կխլեն սերվերի ռեսուրսները և կհանգեցնեն քայքայման: [i]Դիմակայելու ընդհանուր սկզբունքն է վարքային վերլուծությունը և կասկածելի IP-ների ցուցադրումը ֆաերուոլի մակարդակում: [/i] [b]Ոչ դիտավորյալ DDoS[/b] Սա, ըստ երևույթին, չի կարելի հարձակում անվանել: DDoS-ի այս տեսակը պատահում է այն ժամանակ, երբ ինչ-որ կայքի հղումը հայտնվում է, օրինակ, թոփ նորությունների ռեսուրսում կամ հայտնի բլոգում՝ առաջացնելով այցելությունների քանակի հանկարծակի աճ, որին կայքը պատրաստ չէ: Նեղ շրջանակում տարածված օրինակ է համարվում հաբրաէֆեկտը: Սրա դեմ պայքարել պետք չէ, ավելին՝ պետք է ուրախանալ, որ Ձեր կայքն աճում է: [b]Զրոյական օրվա հարձակում[/b] Այս տեսակին պատկանում են այն հարձակումները, որոնք ֆիքսվում են առաջին անգամ: Ինչպես և նոր վիրուսների, բակտերիաների և մակաբույծների դեպքում,այստեղ ևս կպահանջվի ժամանակ հարձակումը վերլուծելու և համապատասխան դեղամիջոց գտնելու համար: [b]Բազմավեկտորային հարձակումներ[/b] Հարձակումների առավել բարդ տեսակ է: Հարձակվող կողմն օգտագործում է հարձակման մի քանի տարբեր եղանակներ և սարքավորումներ, ինչը էականորեն դժվարեցնում է կամ նույնիսկ անհնար է դարձնում դրա դեմ պայքարը: [b]Ինչքանո՞վ է սա հասանելի[/b] Անսահմանորեն հասանելի է: Այսօր համացանցում գոյություն ունեն DDoS իրականացնելու շատ հասանելի հավելվածներ: Դրանցից շատերն օգտագործում են հարձակումների այնպիսի մեխանիզմներ, որոնց դժվար է դիմակայել, մյուսները թույլ են տալիս միավորել բոլոր օգտատերերին ինքնակամ բոտնեթում, ինչը հնարավորություն է տալիս օգտվել նրանց ռեսուրսներից՝ հարձակումներ իրականացնելու համար: Ընդ որում, առաջին հայացքից սիրողական թվացող նման հարձակումներին դժվար է լինում դիմակայել նույնիսկ լավ պատրաստված համակարգերի դեպքում: Այլ տարբերակ է բոտնեթի համար ռեսուրսների վարձակալումը: Համացանցում լի են բավականին սիմվոլիկ գումարի դիմաց նման ծառայություններ առաջարկող ռեսուրսները` սկսած ժամում 5$ից մինչև օրական 40$: [b]Ինչի՞ համար է սա պետք[/b] Երևի պատասխանը պարզ է բոլորի համար: Ամենից հաճախ պատճառն հանդիսանում է անբարեսիրտ մրցակցությունը: Հարձակման ենթարկվող կայքերի և ռեսուրսների տեսականին բավական լայն է: Այսօր դրանք ոչ միայն ֆինանսական ընկերություններ են, խաղային կայքեր կամ համացանցային խանութներ, լինում են հարձակման դեպքեր անգամ կառավարական կայքերի վրա: [u]Հարձակման կազմակերպման միջոցների լայն հասանելիությունը հանգեցնում է դրանց տարածմանը կյանքի ամենատարբեր բնագավառներում: [/u] [b]Ինչպե՞ս համակերպվել սրա հետ[/b] Մենք շատ ենք հանդիպել տարբեր տեսակների և մասշտաբի DDoS հարձակումների: Որոշ հարձակումներ կարելի է հաղթահարել սերվերում ֆաերուոլի ճիշտ կարգավորմամբ, կան նաև դեպքեր, որոնք պահանջում են սարքավորումային կամ արտաքին ֆիլտրացում: Օգտատերը և միայն նա պետք է առավել հետաքրքրված լինի տվյալների անվտանգությամբ և հասանելիությամբ: Այդ պատճառով պահուստային կրկնօրինակումը, ծրագրային խնդիրների ճիշտ ժամանակին հեռացումը և սերվիսի հետ DDoS-ից պաշտպանվելու համաձայնագրի առկայությունը սեփական ծրագրի մասին հոգ տանող յուրաքանչյուր մարդու սրբազան պարտականությունները պետք է լինեն: Այնուամենայնիվ, մենք սիրով կկիսվենք բավականին օգտակար խորհուրդներով: Եթե Ձեր ծրագիրն վերաբերում է ռեոուրսների այն տեսակին, որոնք առավել հաճախ են ենթարկվում հարձակումների, Ձեզ պետք է մտածել որոշ պարզ և անհրաժեշտ քայլերի մասին, որոնք կօգնեն խուսափել հարձակումներից կամ գոնե կրճատել բացասական ազդեցությունները: Ուսումնասիրե՛ք Ձեր ցանցը: Յուրաքանչյուր սերվիս ունի ցանցի օգտագործման որոշակի առանձնահատկություններ՝ ծանրաբեռնվածության տեսակ և ծավալ, օրական կոր և այլն: Օրինակ, չափահասների համար նախատեսված կայքերին բնորոշ է ծանրաբեռնվածության աճը երեկոյան ժամերին, որը աստիճանաբար նվազում է կեսգիշերին մոտ՝ գումարած մի փոքր աճ ճաշի ընդմիջման ժամերին: Մի՛ զլացեք ուսումնասիրել ստանդարտ հատկանիշները և կանոնավոր հետևել ընթացիկ պատկերին: Հարձակումներն հաճախ սկսվում են ալիքի նման՝ ամեն ինչ սկսվում է ակտիվության թեթևակի բարձրացմամբ, որը շուտով սկսում է ակտիվորեն աճել: Եթե կարողանաք որսալ ալիքի սկիզբը, հնարավորություն կունենաք նախօրոք քայլեր ձեռնարկել: Իմացեք՝ ում հետ կապնվել: Դուք պետք է հստակորեն իմանաք՝ ում պետք է դիմել հարձակման կամ դրա վտանգի առկայության դեպքում: Դա կարող է լինել անվտանգության ներքին ծառայությունը, գործընկերը, տվյալների կենտրոնի ճարտարագետը, անվտանգության հարցերով զբավղող սպասարկման ծառայությունը և այլն: Այս ամենի ընտրությունը պետք է արվի նախապես, հակառակ դեպքում հարձակման ժամանակ որոշելը, թե ում կարելի է դիմել, կարող է ավելի ծայրահեղ արդյունքների հանգեցնել: Կազմե՛ք գործողությունների պլան: Եթե նախագծում մասնակցում են 2-3 մարդ, ապա կարելի է գործողությունների համաձայնեցումը կատարել և բանավոր: Բայց եթե Դուք ունեք բավականին մեծ աշխատակազմ, կան շուրջօրյա աշխատող հերթապահներ, ամենից ճիշտ կլինի գրավոր կազմել քայլերի ճիշտ հերթականություն: Անցկացրե՛ք փորձեր: Այս կետն հատկապես արդիական է, եթե Դուք ունեք բավականին մեծ և ծայրահեղ հավելված: Գործարաններում հաճախ կատարում են փորձնական տարահանումներ հրդեհներին կամ այլ բնական աղետներին պատրաստ լինելու նպատակով: DDoS-ը ևս ինչ-որ չափով աղետ է համարվում, ինչու՞ այս դեպքի համար ևս ձեռք չառնվեն կանոնավոր փորձարկումներ: Այն թույլ կտա հիմնավորել հմտությունները և վեր հանել խոցելի կողմերը: Իմացե՛ք՝ ինչն արգելափակել: Ցանկացած սերվիս ունի աշխատանքի համար անհրաժեշտ պորտերի ամբողջություն: Նախապես արգելափակե՛ք ֆաերուոլում ավելորդ ամեն ինչ: Այն թույլ կտա կրճատել հարձակման հարթակը: Եթե ունեք հիմնական հաճախորդների ցուցակ, հոգ տարեք, որ նրանց հասցեները ևս լինեն սպիտակ ցուցակում, որպեսզի հարձակման դեպքում նրանք չտուժեն: Իմացե՛ք՝ որտեղ արգելափակել: Արգելափակել ծանրաբեռնվածությունը ֆաերուոլում, թե՞ ռոուտերում: Միացնել սարքավորումային DDoS-ը, թե՞ ծանրաբեռնվածության ֆիլտրացման արտաքին սերվիսը: Եթե Դուք նախընտրել եք անվտանգության ապահովումը ամբողջությամբ չթողնել կողմնակի ծառայությունների խղճին, այլ անցկացնել բազային վերլուծություն և լուծել խնդրի գոնե մի մասն ինքնուրույն, մի՛ մոռացեք պլանի մեջ նշել նաև խնդիրների վերհանման գործընթացի և այս կամ այն իրավիճակում քայլերի կանոնակարգման մասին: [u][b]Ինչպես արդեն նշեցինք, այս քայլերը կօգնեն նվազագույնի հասցնել կորուստները: [/b][/u] Նյութի աղբյուրը՝ [url=http://maxarts.am/hy/b_item/7/]MAXARTS LLC[/url]

Նմանատիպ նյութեր