Отказ в обслуживании: что происходит во время DoS-атаки?

В наше время очень важно подготовиться к различным опасностям, которые таятся в Интернете. Без надлежащей подготовки злоумышленники могут легко проникнуть в системы и манипулировать ими или вывести их из строя. Классической формой атаки является DoS-атака. Что это такое и как от нее защититься?

Первоначально отказ в обслуживании (DoS) означал, что определенные интернет-сервисы в ИТ-системе (например, на сервере) были недоступны в течение ограниченного времени. Это может произойти, когда соответствующие серверы перегружены — например, из-за слишком большого количества пользовательских запросов. Примерами интернет-сервисов являются веб-сайты, службы электронной почты и чаты.

При DoS-атаке злоумышленник намеренно вызывает «отказ в обслуживании». Для этого они «бомбардируют» сетевые соединения ИТ-системы, отвечающие за обмен внешними данными, огромным количеством запросов, которые в итоге перегружают ее. Если количество запросов превышает предел пропускной способности, система замедляется или полностью выходит из строя, что означает, что пользователи больше не могут обращаться к веб-сайтам, функциям электронной почты или интернет-магазинам.

DoS-атака более или менее сопоставима с реальным магазином, в который стекаются сотни людей. Покупатели отвлекают продавцов вводящими в заблуждение вопросами и блокируют ресурсы, но в итоге не совершают покупок. Торговый персонал перегружен до предела, а реальные покупатели больше не могут войти в магазин или получить обслуживание.

В принципе, чистые DoS-атаки относительно просты в осуществлении. Это потому, что нет необходимости проникать в защищенные ИТ-системы. Даже те, у кого небольшой бюджет или практически нет технических знаний, могут осуществить незаконную атаку — например, на конкурента. Киберпреступники предлагают такой вид атаки в темной сети всего за несколько сотен евро. Если компании и организации не подготовлены к DoS-атакам, то максимальный ущерб может быть нанесен при минимальных усилиях.

Возможным признаком того, что кто-то стал жертвой атаки типа «отказ в обслуживании», является необычно медленная работа всей сети, что особенно заметно при открытии файлов или собственных веб-сайтов. Успешную DoS-атаку легко обнаружить: атакованные веб-сайты загружаются очень долго, а некоторые функции, например, системы магазинов, вообще не работают. На пике атаки сайт будет недоступен.

Вы можете определить, стали ли вы жертвой DoS-атаки, наблюдая и анализируя сетевой трафик (мониторинг и анализ сетевого трафика). Это можно сделать либо с помощью брандмауэра, либо с помощью системы обнаружения вторжений, специально установленной для этой цели. Администраторы сети имеют возможность установить правила для обнаружения «аномального» трафика. Если количество подозрительных запросов к системе увеличивается, автоматически поднимается тревога, а значит, можно принять контрмеры.

Существуют весьма разнообразные типы DoS-атак, которые можно условно разделить на атаки на пропускную способность, атаки на системные ресурсы и атаки, использующие бреши в системе безопасности и ошибки в программном обеспечении. Как злоумышленники действуют во время атаки на отказ в обслуживании и какие меры могут помочь системам защититься от нее, лучше всего объяснить на примере атаки «Smurf».

Атака Smurf — это особый тип DoS-атаки, направленной на операционную систему или интернет-соединение или сеть компьютерной системы. При этом атакующий посылает pings, ICMP-пакеты данных типа «эхо-запрос», на широковещательный адрес сети. В этих пакетах данных злоумышленник вводит адрес системы, на которую он нацелился. Впоследствии все компьютеры в сети отвечают системе, на которую направлены запросы, предполагая, что запросы исходят от нее. Чем больше компьютеров принадлежит к сети, используемой злоумышленником, тем большее количество «ответов» будет неудачным. Чем больше их число, тем сильнее атака.

В настоящее время для предотвращения атак Smurf стандартной конфигурацией систем является отказ от ответов на ICMP-пакеты типа «эхо-запрос», а маршрутизаторов — от пересылки пакетов, направленных на широковещательные адреса. Благодаря этим общим мерам безопасности успешные Smurf-атаки стали редкостью.

Для защиты вашей инфраструктуры от атак типа «отказ в обслуживании» можно принять определенные меры. Маршрутизаторы должны быть правильно настроены и защищены с помощью надежных паролей. Установив меры блокировки, можно предотвратить многие DoS-атаки. Это означает, что атакующие пакеты вообще не получают доступа к внутренней инфраструктуре. Хороший брандмауэр обеспечивает дополнительную безопасность.

Если вы заметили, что стали объектом атаки, вы можете использовать и ряд других ресурсов. Например, с помощью балансировки нагрузки можно запросить у хостинг-провайдера кратковременную дополнительную мощность, чтобы атака не удалась.

Для более подробного обзора мер читайте нашу статью о различиях между DDoS- и DoS-атаками.

Большинство DoS-атак происходит в виде распределенных атак типа «отказ в обслуживании» — или сокращенно DDoS-атак. Существенное различие между DDoS и DoS атаками заключается в том, что в то время как DoS атаки исходят из одного источника (например, компьютера или сети), DDoS атаки распространяются косвенно через ботнет, который часто имеет широкое распространение — отсюда и название «распределенный».

Ботнет — это, по сути, набор взломанных устройств, которые неофициально называют зомби. Большинство из них плохо обслуживаются, и владельцы взломанных компьютеров часто не замечают, что на их устройствах установлено вредоносное ПО или что они используются для киберпреступной деятельности. С помощью этой армии компьютеров-зомби оператор ботнета может проводить атаки на другие ИТ-системы.

Существуют бот-сети, состоящие из нескольких миллионов компьютеров. Если все эти компьютеры будут задействованы в DDoS-атаке, количество вредоносных запросов к одной сети может быть огромным. Это одна из основных причин, по которой такие сайты, как Facebook, обладающие огромными ресурсами для предотвращения масштабных DDoS-атак, не являются на 100% безопасными.