На уровне сервера желательно иметь вывод консоли сервера на другой
IP-адрес по SSH-протоколу для возможности удаленной перезагрузки
сервера. Другим достаточно действенным методом противодействия
DDoS-атакам является маскировка IP-адреса.
Весьма важным делом в этом направлении является профилактика -
программное обеспечение должно быть "отпатчено" от всевозможных "дыр".
Как уже отмечалось, обнаружить виртуальных террористов,
организовавших DDoS-атаку, задача очень сложная. Поэтому для борьбы с
данным видом угроз необходимо тесное сотрудничество администраторов
серверов и с интернет-провайдерами, а также провайдеров с операторами
магистральных сетей. Потому что, как и в реальной жизни, бороться с
терроризмом возможно только объединением законопослушных гражданКонечно же, в этом обзоре указаны только наиболее известные программы и
методики DDoS. На самом деле спектр программ намного шире и постоянно
дополняется. По этой же причине достаточно наивным было бы описание
универсальных надежных методов защиты от DDoS-атак. Универсальных
методов не существует, но к общим рекомендациям для снижения опасности
и уменьшения ущерба от атак можно отнести такие меры, как грамотная
конфигурация функций анти-спуфинга и анти-DoS на маршрутизаторах и
межсетевых экранах. Эти функции ограничивают число полуоткрытых
каналов, не позволяя перегружать системуSmurf-атака - пинг-запросы ICMP (Internet
Control Message Protocol) по адресу направленной широковещательной
рассылки с использованием в пакетах этого запроса фальшивый адрес
источника в результате оказывается мишенью атаки. ICMP flood - атака, аналогичная Smurf, но без использования рассылки.Естественно, наиболее опасными являются программы, использующие
одновременно несколько видов описанных атак. Они получили название TFN
и TFN2K и требуют от хакера высокого уровня подготовки.
Одной из последних программ для организации DDoS-атак является
Stacheldracht (колючая проволока), которая позволяет организовывать
самые различные типы атак и лавины широковещательных пинг-запросов с
шифрованием обмена данными между контроллерами и агентами
UDP flood - отправка на адрес системы-мишени множества пакетов UDP
(User Datagram Protocol). Этот метод использовался в ранних атаках и в
настоящее время считается наименее опасным. Программы, использующие
этот тип атаки легко обнаруживаются, так как при обмене главного
контроллера и агентов используются нешифрованные протоколы TCP и UDP. TCP flood - отправка на адрес мишени множества TCP-пакетов, что также приводит к "связыванию" сетевых ресурсов. TCP
SYN flood - посылка большого количества запросов на инициализацию
TCP-соединений с узлом-мишенью, которому, в результате, приходится
расходовать все свои ресурсы на то, чтобы отслеживать эти частично
открытые соединения.Дело в том, что изначально программное обеспечение DDoS создавалось
в "мирных" целях и использовалось для экспериментов по изучению
пропускной способности сетей и их устойчивости к внешним нагрузкам.
Наиболее эффективным в этом случае является использование так
называемых ICMP-пакетов (Internet control messaging protocol), т.е.
пакетов, имеющих ошибочную структуру. На обработку такого пакета
требуется больше ресурсов, после решения об ошибочности пакет
отправляется посылающему, следовательно достигается основная цель -
"забивается" трафик сети.
За годы это программное обеспечение постоянно модифицировалось и к
настоящему времени специалисты по информационной безопасности выделяют
следующие виды DDoS-атакДругая опасность DDoS заключается в том, что злоумышленникам не нужно
обладать какими-то специальными знаниями и ресурсами. Программы для
проведения атак свободно распространяются в Сетиуправляющую консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник подает сигнал о начале атаки; главные
компьютеры.
Редактировать
Удалить
|
