DDoS-атак

Распределенным атакам «отказ в обслуживании» подвержены информационные системы и сайты организаций различных сфер деятельности и государственных учреждений, сайты СМИ и электронной коммерции — все они являются потенциальными целями DDoS-атак. «Лаборатория Касперского" зафиксировала двукратное увеличение количества DDoS-атак на российский бизнес. По результатам исследования в 2017 году каждая третья российская компания хотя бы раз подверглась DDoS-атаке. В 2016 году таких было в два раза меньше. Атаки наносят вред репутации, приводят к значительному снижению производительности сервисов, маскируют незаконное проникновение в корпоративную сеть, отвлекают от кражи конфиденциальной информации и финансов. Ущерб от таких кибератак может достигать десятков миллионов рублей.

Особую актуальность защита от DDoS-атак приобретает в период проведения чемпионата мира по футболу 2018. Опыт предыдущих массовых мероприятий показывает высокую активность хакеров.

• Цель данной работы - изучить актуальные методы и инструменты для раннего выявления распределенных атак и выяснить, насколько распространены DDoS-атаки сегодня в Интернете, какие типы DDoS-атак существуют и как они работают.
• Изучить механизмы защиты от DDoS-атак.

Для достижения этой цели в дипломной работе поставлены следующие задачи:

• 1. Провести анализ нынешних DDoS-атак. Выявить склонность к развитию атак средней и малой силы, нацеленных на региональные ресурсы.
• 2. Провести анализ средств противодействия.
• 3. Изучить особенности DDoS-атак областного уровня. Выявить требования к методу и средству по обнаружению атак и дальнейшему противодействию им.

DDoS - это атака, целью которой является ограничение доступа к веб-ресурсу путем ее загрузки огромным количеством трафика в виде «запросов» или данных.

        Атаки подобного вида имеют все шансы быстро израсходовать все мощности сервера, вследствие чего последует ряд негативных последствий: упущенный доход, отсутствие возможности воспользоваться услугами и осуществить разнообразные денежные переводы и т.д.

В DDoS-атаках задействованы четыре компонента:

• Злоумышленник
• Жертва
• Управляющая программа
• Зомби-сеть (Бот-нет)

Механизмы защиты от атак, использующих отражение трафика.

• Общий механизм предотвращения отражения трафика RAD

(Reflector Attack Defense)

В основе метода используется message authentication code (MAC) (код аутентификации сообщения) - специальный набор символов, который добавляется к сообщению и предназначен для обеспечения его целостности и аутентификации источника данных. Когда тот или иной узел отправляет запрос, он помещает MAC в отведенное поле. В ответе на это сообщение размещается тот же самый MAC, что и в запросе. Узел, получив ответ на запрос, сверяет MAC из отправленного им запроса и MAC из полученного ответа. Если MAC совпадают, сообщение принимается. В противном случае считается, что ответ представляет собой отраженный трафик и сообщение отклоняется.

• В основе метода защиты DAAD (DNS Amplification Attacks Detector) лежит тот факт, что при атаке DNS атакуемый узел получает большое количество ответов на отправленные ранее запросы.

В данном методе требуется вести базу адресов DNS-серверов, на которые отправлялись запросы от того или иного узла. Все получаемые ответы должны проверяться, и если входящий пакет действительно является ответом на запрос, он будет принят. Если же с узла, которому адресован ответ, не отправлялся DNS-запрос на данный сервер, такой пакет должен быть отклонен. Данный метод весьма эффективен, однако следует помнить, что ведение подобных баз требует большого объема ресурсов.

Механизм RRL (Response Rate Limiting), направленный на ограничение числа уникальных ответов от DNS-сервера. Этот механизм защиты используется на сто- роне DNS-сервера и анализирует исключительно исходящий трафик, полностью игнорируя входящий. Суть метода заключается в том, что адреса, на которые был отправлен ответ, записываются. При этом задается ограничение числа ответов сервера на каждый адрес. Если это число превышено, ответы на данный адрес больше не высылаются. Такой метод эффективен для снижения потока вредоносного трафика от сервера.