Data postarii 2012-05-29      Subiect: Ce este un atac DDoS?      Categorie: Securitate server

DDoS - pericol mult mai mare  

      Problemele discutate în secţiunea precedentă descriu DDoS drept o posibilitate înfricoşătoare. Cercetătorii în domeniul securităţii computerelor şi reţelelor sunt conştienţi că există multe posibilităţi înfricoşătoare care nu ajung niciodată să se materializeze.


Încearcă doar aceşti cercetători să panicheze publicul cu pericolul DDoS?


      Din păcate, atacurile DDoS nu sunt ficţiune sau speculaţie. Ele au loc zilnic, impotriva unei game variate de site-uri. În afara celor câteva atacuri DDoS bine-cunoscute, depre care presa a tot scris, există şi studii ştiinţifice asupra frecvenţei acestor atacuri care demonstrează că ele sunt reale.

 

Cât de vulnerabili sunteţi la DDoS? Cât de vulnerabil e site-ul meu?

 

     Dacă acceptaţi ideea că atacurile DDoS sunt un pericol real la adresa unor site-uri de internet, întrebarea care apare este următoarea: cât de vulnerabil e site-ul meu?           

 

            Răspunsul simplu e că dacă site-ul dumneavoastră  este conectat la internet, atunci sunteţi o ţintă potenţială a atacurilor DDoS. Un atac DDoS poate ţinti orice adresă IP şi, dacă este destul de puternic, este foarte probabil să aibă şi succes. Afaceri mari sau mici, ISP-uri, organizaţii guvernamentale care se bazează pe relaţionare, chiar şi persoanele private se numără printre cei care pot fi afectaţi de DDOS. Cu cât aveţi mai mult de a face cu Internetul în afacere cu atât mai mare va fi paguba suferită în cazul în care atacul DDoS vă trece offline pe o perioadă mai mare de timp.


      Chiar dacă maşina dumneavoastră e apărată de NAT [4], un firewall sau de alte forme de protecţie care vă apără de traficul arbitrar direcţionat asupra dumneavoastră, rămâneţi totuşi vulnerabil la atacurile DDoS mai sofisticate.
Un atacator priceput poate relua sau păcăli traficul direct care merge către nodul tău, sau indirect, prin denial-of-service, aglomerând NAT-ul, firewall-ul, routerul sau legătura de reţea.
    

       Aşa cum am mai discutat anterior, administrarea atentă a sistemului şi a reţelei nu vă apără automat de un atac. Chiar dacă anumite măsuri pot preveni atacurile, site-ul tot va fi predispus la masive atacuri tip flooding.
Măsurile de prevenire, precum capacitatea mare a serverului şi a reţelei, vă pot feri de multe atacuri DDoS dar nu vă pot garanta imunitatea. Fără îndoială, există câteva lucruri care pot fi făcute ca să vă diminuaţi vulnerabilitatea la atacurile DDoS şi să apăreţi ca o ţintă mai puţin atractivă.


      Nivelul de echipare poate ajuta, deoarece s-a dovedit că atacatorii ocazionali au la dispoziţie doar câteva zeci de maşini la dispoziţie. Eliminarea vulnerabilităţilor poate fi, de asemenea, de folos, pentru că opresc atacurile la adresa unde sunt vulnerabilităţi. Dacă opţiunea dumneavoastră este  să vă menţineţi la un nivel redus de vizibilitate în reţea, atacatorul va trebui să găsească anumite informaţii mai ascunse înainte să îşi declanşeze atacul. Există anumiţi paşi ce pot fi făcuţi pentru a vă întări reţeaua şi, de asemenea, răspunsuri eficiente la atac ce pot ameliora efectul DDoS.. Un număr de produse comerciale s-au dovedit de success în apărarea multor forme de atacuri DDoS.

      
      În general, practica a demonstrat că atacurile DDoS care au loc nu sunt atât de catastrofice precum ar părea. Chiar şi acele atacuri vizibile asupra unor site-uri importante de internet nu au fost chiar atât de greu de stăpânit din momentul în care apărătorii şi-au dat seama de natura atacului şi au avut un pic de timp să răspundă la el. Chiar dacă nu sunteţi ameninţat de perspectiva de a fi o victimă a DDoS, un alt element al atacului DDoS vă poate cauza probleme. Pentru a izbuti un atac de succes atacatorul compromite, în mod obişnuit, un număr mare de maşini. Dacă maşina dumneavoastră este printre ele, probabil nu vă doriţi să vă împărţiţi resursele cu un infractor care cu siguranţă nu împărtăşeşte aceleaşi valori. În cel mai rău caz, vă puteţi găsi în situaţia de a vă trezi cu pagube de pe urma atacului sau de a vi se fura sau distruge date de către atacatorul care v-a preluat maşina. Beneficiile pe care atacatorii le obţin sunt destul de motivante ca să compromită din ce în ce mai multe maşini, ceea ce înseamnă că maşina dumneavoastră poate să ajungă să fie controlată de altcineva.

 

 Cum au loc atacurile DDoS

 

      Un atac DDoS trebuie pregătit cu atenţie de către atacator. Acesta în primul rand îşi recrutează armata de agenţi. Aceasta se întâmplă prin căutarea maşinilor vulnerabile, apoi pătrunderea în ele şi instalarea codului de atac. Atacatorul stabileşte apoi canale de comunicaţie între maşini astfel încât ele să poată fi controlate şi angajate de o manieră coordonată. Acţiunea are loc fie prin folosirea unei arhitecturi handler/agent fie a unui canal ICR de comandă şi control. Odată ce reţeaua DDoS este construită, ea pote fi utilizată pentru a ataca de câte ori se doreşte, împotriva unei diversităţi de ţinte.  

 

Controlul reţelei de agenţi DDoS

 

      Atunci când a fost recrutată o armată de agenţi suficient de mare, atacatorul comunică cu agenţii săi folosind instrumente de comunicare “many-to-many”. Scopul acestui tip de comunicare are două componente:


- Atacatorul comandă începutul/sfârşitul şi specificitatea atacului.
- Atacatorul colectează statistici privind comportamentul agentului.


     “Suficient de mare” aici depinde de cadrul de referinţă: instrumentele timpurii precum trinoo, Tribe Flood Network (TFN) şi Shaft au avut de-a face cu sute şi mii de agenţi, dar în zilele noastre nu este nimic neobişnuit să vedem seturi de zeci de mii de agenţi (sau boţi de reţea) care sunt tranzacţionaţi pe IRC. S-au văzut reţele Phatbot de 400000 de gazde (vezi http://www.securityfocus.com/news/8573).

[4]  Network Address Translation (NAT) este o gazdă care seamănă cu un firewall şi acţionează ca o poartă de intrare faţă de o reţea. Toate pachetele care părăsesc reţeaua trec prin NAT şi îşi au adresele sursă înlocuite de adresele din această gazdă. O transformare în sens invers se aplică adreselor de destinaţie ale pachetelor ce vin – adresa NAT este înlocuită cu adresa corespunzătoare a unei maşini din reţea. Tehnica NAT permite unei reţele şă îşi păstreze ascunsă structura internă – singura adresă pe care utilizatorii externi o pot vedea este cea de NAT.

 

www.dlsit.ro   >> design - linux - servicii - it.ro Pentru orice problema tehnica contactati-ne