|
|
Интернет : Техника в Интернет ->
|
|
Распределённые DdoS - атаки: чем одолеть лавину? |
|
|
|
|
|
|
Это бесспорно одно из наибольших зол Интернета. Хотя в исполнении DDoS - атаки могут быть не слишком быстрыми и не слишком лёгким занятием, последствия - тяжёлые, а главное, от них очень сложно отбиться. Принято считать, что надёжных средств защиты пока нет...
...Но, попытки создать таковые не прекращаются. Удалось найти одно готовое технологическое решение, а также узреть громкое заявление Intel о том, что они запатентовали технологию защиты от DDoS - атак.
Эта аббревиатура расшифровывается как "распределённая атака, приводящая к отказу в доступе".
Суть таковой состоит в том, что хакер заставляет большое количество компьютерных систем слать бесконечные "мусорные" запросы одному или нескольким серверам, тем самым, вызывая их перегрузку - и отказ в доступе.
Для этого злоумышленник внедряет в насколько возможно большее количество компьютеров троянские программы.
Они могут не выполнять никаких функций и не причинять никакого ущерба до тех пор, пока не будут "разбужены" самим хакером, - или до какого - то определённого, заданного заранее, момента времени.
Вот и представьте себе: несколько тысяч этих троянов "просыпаются" и заставляют компьютеры постоянно слать бессмысленные пакеты данных по одному и тому же адресу. Для сервера это даже не ковровая бомбардировка, это даже не расстрел из сотни крупнокалиберных пулемётов. Это сравнимо, разве что с направленным ядерным взрывом.
Жертвами таких "взрывов" падали в 2000 году всемирно известные ресурсы Amazon.com, Yahoo!, eBay - и ещё ряд сверхпопулярных сайтов.
В октябре 2002 года произошла атака на корневые серверы Интернета - семь из тринадцати оказались временно недоступными.
21 февраля 2003 года произошло DDoS - нападение на LiveJournal.com. Сервис два дня был то недоступен вовсе, то работал кое - как, с пятого на десятое.
Вопрос, зачем кому - то нужно творить такие безобразия - риторический. Это тоже самое, что и написание вирусов.
В интервью "Мембране" хакер Nostalg1c заявил, что взломать чей - то сервер - это отменный способ отомстить.
Но в случае с "глобальными" DDoS - атаками - это просто демонстрация безмозглой силы. Из тех же побуждений деревенские бездельники бьют стёкла в электричках - пойманные за шиворот, они лишь тупо улыбаются и на вопрос "зачем?" вразумительного ответа не дают.
Главная проблема пока в том, что не существует простой и надёжной защиты от таких атак. Потенциально уязвим любой сервер. Если он не защищён никак, то и в результате не слишком массированной атаки он с перепугу упадёт в обморок.
В конце концов, взлом даже самой мощнейшей системы, способной обрабатывать колоссальное количество запросов - это дело техники, а точнее, вопрос количества компьютеров, на которые подсажены трояны.
Главная проблема - это защита
Нельзя, впрочем, сказать, что с DDoS - атакой невозможно справиться. Самое действенное - это поставит брандмауэр (он же Firewall), позакрывать все лишние порты и не пропускать никаких транзакций, кроме как с тех портов и приложений, которые администратор прописал заранее.
Но подобный изоляционизм далеко не всех устраивает.
Можно вручную блокировать источники мусорного трафика - но если таких источников несколько тысяч, это едва ли поможет.
Попытки автоматизировать этот процесс предпринимаются уже довольно давно. Даже выпущены некоторые специализированные решения, например FloodGuard (производитель - Reactive Networks).
FloodGuard - это то, что называется программно - аппаратный комплекс. Довольно крупная и увесистая, надо сказать, штука: 4 см в высоту, 44,7 - в ширину, 68,6 - в длину. Весит почти 16 кг.
Принцип работы этой системы выглядит примерно так.
На брандмауэрах, свитчах и маршрутизаторах располагаются детекторы, которые постоянно мониторят трафик и создают его "профиль" (или "маску"), исходя из таких характеристик, как объём пакетов данных, их тип, источник, направление и так далее.
Соответственно, в случае возникновения каких - то аномалий, детектор немедленно поднимает по тревоге исполнительные модули (actuators), посылая им информацию об этих аномалиях, об источнике атаки, объёмах паразитного трафика и типах посылаемых пакетов.
Исполнительные модули, размещённые в разных сегментах сети на маршрутизаторах, также постоянно отслеживают трафик, и получив данные о появлении паразитных пакетов, начинают отыскивать их в тех данных, которые проходят через них.
Если паразитные пакеты обнаруживаются, исполнительный модуль немедленно посылает сигнал тревоги предыдущему по ходу трафика модулю вместе с рекомендациями по активизации фильтров на соответствующих маршрутизаторах.
Таким образом, лавине "мусорных" данных возводится восходящий заслон, причём блокируется не всё подряд, а именно вредоносный трафик. Заслон может возводиться в автоматическом режиме, но существует возможность ручной настройки.
Что предлагает Intel?
Запатентованная инженерами Дэвидом Патзолу (David Putzolu) и Тоддом Андерсоном (Todd Anderson) система подразумевает модификацию самих маршрутизаторов так, чтобы они автоматически реагировали на сигнал тревоги со стороны атакованного компьютера.
Более того, в патентной заявке Патзолу и Андерсон похваляются тем, что их система взлому подлежать не будет - испытывая судьбу, как выразился журнал New Scientist.
Предполагается, что сигнал тревоги будет содержать копию вредоносного пакета. Маршрутизаторы немедленно создают его профиль (маску) и отсекают все похожие сообщения. Если обнаружится, что вредоносное сообщение обходит возведённый барьер, то сигнал тревоги изменяется и барьер подстраивается так, чтобы наглухо заблокировать паразитный трафик.
Ну, а чтобы злобные хакеры не пытались одурачить компьютеры и заставить их блокировать "законный" трафик, маршрутизатор и атакованный компьютер должны идентифицировать друг друга с помощью "цифровых сертификатов" вроде тех, что используются для обеспечения безопасности финансовых транзакций через Интернет.
Иными словами, нынешнее предложение Intel весьма сходно в технологическом плане с тем, что предлагает - причём уже два года - Reactive Networks.
Просто Intel предлагает выпускать маршрутизаторы нового поколения (очевидно, с security - начинкой от Intel), которые сами будут обнаруживать и блокировать вредоносный трафик, а Reactive Networks уже продаёт "софтово - железный" комплекс, который сам превращается в многоголового "цензора". Или "цербера".
Регистрация ООО самостоятельно: быть или не быть?
Регистрация ООО самостоятельно считается трудоемким процессом и занимает немало времени
В российских регионах борятся за чистоту дворов
В природоохранном законодательстве Ростовской области ожидаются изменения, об этом поступила информация от комитета по охране окружающей среды и природных ресурсов Ростовской области
Комментарии к статье
|
|
|
|
|