Атаки DDoS. Часть 4. Военные хитрости::БИТ 08.2015
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
март    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
24
30
31

показать все 

Новости партнеров

21.03.2019

Как работает IoT-платформа от Bosch? Расскажут 27 марта в Москве

Читать далее 

21.03.2019

OS DAY 2019. Инструменты, их разработка и опыт применения

Читать далее 

21.03.2019

Видео, кинки-вечеринки, гендерное равенство, секс в социальных сетях и другие нестандартные темы Российского Интернет Форума 2019

Читать далее 

20.03.2019

Qrator Labs защитила Универсиаду-2019 от DDoS-атак и взломов

Читать далее 

показать все 

Статьи

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

25.02.2019

Корневые причины неудач. Значимость бизнес-процессов в достижении целей организации

Читать далее 

25.02.2019

Зачем нам 5G?

Читать далее 

25.02.2019

Продвигаем ИТ-продукты/услуги

Читать далее 

25.02.2019

Какую модель выбрать?

Читать далее 

25.02.2019

Держим ушки на макушке?

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Атаки DDoS. Часть 4. Военные хитрости

Главная / Архив номеров / 2015 / Выпуск №8 (51) / Атаки DDoS. Часть 4. Военные хитрости

Рубрика: Безопасность


Леонид Шапироархитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, shapiro_leonid@yahoo.com

Атаки DDoS
Часть 4. Военные хитрости

DDoS-атаки – это не всегда большой объем трафика и бот-сети из сотен узлов. Вполне достаточно даже одного компьютера, чтобы остановить работу сервиса 
 
В предыдущих статьях [1-3] этого цикла мы познакомились с целями, принципами и опасностью DoS/DDoS-атак для бизнеса. Мы выяснили, что организация подобных зловредных действий не требует больших усилий и финансовых вложений.

Может сложиться впечатление, что когда речь идет о DoS/DDoS, то это обязательно большой объем сетевого трафика, громадные сети зомби-компьютеров, задействованных в атаке (бот-сеть), воздействие на сетевом или транспортном уровне модели OSI [4], а вместе с тем далеко не всегда это происходит именно таким образом. Аналогией такого воздействия можно считать фронтальные атаки большим количеством сил и средств.

Существует целый класс атак, направленных на приложения, то есть работающих на прикладном уровне модели OSI [4], не требующих избыточных ресурсов от злоумышленника, то есть используется минимум ресурсов. Бывает вполне достаточно и одного компьютера, используются стандартные принципы работы прикладных протоколов. При этом их негативное воздействие оказывается весьма значительным, вплоть до полной остановки работы сервисов.

Получается злоумышленник может вывести из строя сервис, при этом не создавая лишнего шума, применив военную хитрость. Это похоже на действия диверсантов в тылу противника. Не требуются большие батальоны и тяжелое вооружение. Небольшая группа вполне справляется с заданием. Противостоять таким атакам крайне сложно.

Что же это за атаки? Речь идет о медленных атаках небольшого объема (slow and low) [5]. Рассмотрим пару примеров. Перечень таких атак, несомненно, шире, но для понимания базовых принципов их работы этого будет достаточно.

Примеры медленных атак малого объема

Are You Dead Yet (R.U.D.Y.). Принцип этой атаки базируется на стандартном поведении протокола HTTP при обработке POST-запросов.

Пусть у нас есть веб-сайт, на котором находится форма ввода данных, ее необходимо заполнить пользователю, например, это характерно для интернет-магазинов, банков, систем бронирования билетов, любого сайта, на котором требуется аутентификация, и так далее. Когда легитимный пользователь заполняет веб-форму, на сайт отправляется всего несколько пакетов, и сессия с веб-сервером закрывается, ресурсы освобождаются. Сервер готов обслуживать запросы других пользователей.

Злоумышленник, использующий специальный инструмент RUDY [6], действует иначе. Отправляемые на веб-сервер данные разбиваются на множество пакетов, каждый из которых содержит лишь один байт данных. Запросы на сервер отправляются со случайным интервалом, что не дает возможность серверу закрыть сессию, ведь передача данных еще не завершена (см. рис. 1).

 Рисунок 1. Атака R.U.D.Y.

Рисунок 1. Атака R.U.D.Y.

Несколько тысяч таких запросов в течение нескольких минут приводят к тому, что сервер не может отвечать на запросы легитимных клиентов. Не требуется большого объема трафика или значительного количества пакетов, чтобы вывести ресурс из строя. Все запросы абсолютно легитимны, здесь имитируется поведение системы с медленным каналом связи. Цель атакующего достигнута – работать с сайтом невозможно. Подобная уязвимость характерна практически для любого сайта.

Существует целый класс атак, направленных на приложения, то есть работающих на прикладном уровне модели OSI, не требующих избыточных ресурсов от злоумышленника

SlowLoris. Атака SlowLoris [7-8], так же как и предыдущая, базируется на стандартном поведении протокола HTTP при обработке запросов. Для закрытия HTTP-сессии необходимо прислать соответствующую последовательность. Собственно говоря, так и поступает легитимный пользователь. Правильный запрос на получение данных с веб-сервера (Get Request) обычно состоит из одного пакета и завершается специальной последовательностью в конце для разрыва сессии.

Суть атаки заключается в следующем: используя специальный инструмент (SlowLoris), злоумышленник генерирует множественные подключения к целевому веб-серверу, при этом соединения не закрываются, поскольку в запросе будет отсутствовать соответствующая последовательность символов (см. рис. 2).

 Рисунок 2. Атака SlowLoris

Рисунок 2. Атака SlowLoris

В результате ресурсы сервера будут исчерпаны и легитимные пользователи не смогут подключиться, тем самым цель атакующего достигнута – работать с сайтом невозможно. Мы опять видим, что не требуется большого объема трафика или значительного количества пакетов, чтобы вывести ресурс из строя. Все запросы абсолютно легитимны, именно поэтому стандартным средствам борьбы с DDoS крайне сложно идентифицировать такую атаку и противостоять ей.

Выводы

Мы видим, что все представленные примеры, с одной стороны, базируются на штатных принципах работы протоколов прикладного уровня, а с другой, не требуют значительных ресурсов от злоумышленника, а инструментарий атак широко доступен. Таким образом, осуществить подобные атаки чрезвычайно просто даже при нулевых инвестициях. Именно поэтому они находят все большее распространение. Следовательно, службы информационной безопасности организации должны внимательно отнестись к этой угрозе и обеспечить эффективное противодействие. бит


  1. Шапиро Л. Атаки DDoS. Часть 1. Война объявлена... // «БИТ», №5, 2015 г. – С. 28-31 (http://bit.samag.ru/archive/article/1504).
  2. Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).
  3. Шапиро Л. Атаки DDoS. Часть 3. Разведка. // «БИТ», №7, 2015 г. – С. 12-15 (http://bit.samag.ru/archive/article/1536).
  4. Модель OSI – https://en.wikipedia.org/wiki/OSI_model.
  5. Why Slow and Low DDoS Application Attack are Difficult to Mitigate? – http://blog.radware.com/security/2013/06/why-low-slow-ddosattacks-are-difficult-to-mitigate.
  6. Атака R.U.D.Y. (R-U-Dead-Yet?) – http://security.radware.com/knowledge-center/DDoSPedia/rudy-r-u-dead-yet.
  7. Примеры атак – http://security.radware.com/knowledge-center/DDoSPedia/rudy-r-u-dead-yet/, http://security.radware.com/experts-insider/learn-from-Experts.
  8. https://en.wikipedia.org/wiki/Slowloris_(software).

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №02 (85) 2019г.
Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика