База знаний SERVICEPIPE

Термины, используемые на сайте

IP-транзит — это передача данных между двумя точками подключения клиента к магистральной IP-сети с поддержкой выбранного клиентом класса обслуживания. Если говорить более простым языком, IP-транзит — это «трафик оптом», и интересен он, прежде всего, операторам связи.

GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. Номер протокола в IP — 47.

Туннелирование подразумевает три протокола:

  • пассажир — инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo);
  • протокол инкапсуляции (GRE);
  • транспортный протокол (UDP).

SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).

Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого клиенты, не являющиеся злоумышленниками, не могут установить связь, либо устанавливают её с существенными задержками.

Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений, описанной в 1996 году группой CERT, согласно которой очередь для таких подключений была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут подключений — достаточно продолжительным (по RFC 1122 — 3 минуты).

Разновидность UDP Flood, нацеленная на DNS сервис. В процессе DNS Flood на атакуемый DNS сервер направляется огромное количество DNS запросов с широкого диапазона IP-адресов. Сервер-жертва не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы. Таким образом, DNS Flood занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ. DNS Flood является очень продуманным видом DDoS-атак: содержимое пакетов организовано точно так, как в реальных DNS запросах. Такую атаку невозможно отследить с помощью глубокого анализа: каждый запрос будет выглядеть легитимным. С большим диапазоном атакующих IP-адресов мошенник может с легкостью обойти большинство алгоритмов обнаружения аномалий трафика.

Разновидность UDP Flood, нацеленная на DNS сервис. В процессе DNS Flood на атакуемый DNS сервер направляется огромное количество DNS запросов с широкого диапазона IP-адресов. Сервер-жертва не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы. Таким образом, DNS Flood занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ. DNS Flood является очень продуманным видом DDoS-атак: содержимое пакетов организовано точно так, как в реальных DNS запросах. Такую атаку невозможно отследить с помощью глубокого анализа: каждый запрос будет выглядеть легитимным. С большим диапазоном атакующих IP-адресов мошенник может с легкостью обойти большинство алгоритмов обнаружения аномалий трафика.

Атакер отсылает жертве большое количество UDP-пакетов на разные порты хост-системы. Система жертвы пытается безуспешно проверять приложения слушающие порт и, в конечном итоге, отправляет ICMP Destination Unreachable пакет. Так как атакер передает многочисленные UDP-пакеты, веб-сервис становиться недоступен для настоящих клиентов.

Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы

В SSL / TLS renegotiation позволяет сторонам остановить обмен данными, с тем чтобы повторно инициировать его для обеспечения безопасности. Есть некоторые случаи, в которых renegotiation должен быть инициирован сервером, но нет никакой известной необходимости позволять инициировать renegotiation клиентом. Кроме того это может облегчить организацию DDoS-атаки на ваши сервера.

Ping-флуд (от англ. ping-flood, дословно: наводнение запросами) — тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд-атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами, входящими в состав домашних/офисных версий операционных систем).

Разновидность ICMP Flood. Злоумышленник направляет на сервер-жертву поток фрагментированных ICMP пакетов максимального размера. В результате, кроме занятия полосы "мусорным" трафиком, возникает опасность исчерпания вычислительных ресурсов сервера во время накопления и обработки поддельных фрагментов. Рекомендуемые методы борьбы такие же, как и при обычном ICMP Flood..

Такой тип атак имеет много общего с атаками фрагментированными пакетами. Серверу-жертве отправляются фрагментированные пакеты, которые он не может разобрать, вследствие уязвимости в TCP/IP. Пакеты накладываются друг на друга, перегружая сервер-жертву. Одно из полей IP-заголовка "Fragment offset" указывает на начальную позицию или смещение данных во фрагментированном пакете относительно реального пакета. Если сумма смещений и размера одного фрагментированного пакета отличается от следующего фрагментированного пакета – пакеты накладываются. Когда это происходит – сервер оказывается не в состоянии разобрать входящие пакеты и выходит из строя. Эти действия приводят сервер в состояние "отказ в обслуживании". В большинстве случаев это происходит в устаревших ОС, таких как Windows 3.1x, Windows NT, Windows 95 и в Linux с версией ядра ниже 2.1.63.

Протокол установления сеанса (SIP, от англ. Session Initiation Protocol) — протокол передачи данных, описывающий способ установки и завершения пользовательского интернет-сеанса, включающего обмен мультимедийным содержимым (IP-телефония, видео- и аудиоконференции, мгновенные сообщения, онлайн-игры).

Протокол описывает, каким образом клиентское приложение (например, софтфон) может запросить начало соединения у другого, возможно, физически удалённого клиента, находящегося в той же сети, используя его уникальное имя. Протокол определяет способ согласования между клиентами об открытии каналов обмена на основе других протоколов, которые могут использоваться для непосредственной передачи информации (например, RTP). Допускается добавление или удаление таких каналов в течение установленного сеанса, а также подключение и отключение дополнительных клиентов (то есть допускается участие в обмене более двух сторон — конференц-связь). Протокол также определяет порядок завершения сеанса.

UDP (англ. User Datagram Protocol — протокол пользовательских датаграмм) — один из ключевых элементов набора сетевых протоколов для Интернета. С UDP компьютерные приложения могут посылать сообщения (в данном случае называемые датаграммами) другим хостам по IP-сети без необходимости предварительного сообщения для установки специальных каналов передачи или путей данных. Протокол был разработан Дэвидом П. Ридом в 1980 году и официально определён в RFC 768.

UDP использует простую модель передачи, без неявных «рукопожатий» для обеспечения надёжности, упорядочивания или целостности данных. Таким образом, UDP предоставляет ненадёжный сервис, и датаграммы могут прийти не по порядку, дублироваться или вовсе исчезнуть без следа. UDP подразумевает, что проверка ошибок и исправление либо не нужны, либо должны исполняться в приложении. Чувствительные ко времени приложения часто используют UDP, так как предпочтительнее сбросить пакеты, чем ждать задержавшиеся пакеты, что может оказаться невозможным в системах реального времени. При необходимости исправления ошибок на сетевом уровне интерфейса приложение может задействовать TCP или SCTP, разработанные для этой цели.

Природа UDP как протокола без сохранения состояния также полезна для серверов, отвечающих на небольшие запросы от огромного числа клиентов, например DNS и потоковые мультимедийные приложения вроде IPTV, Voice over IP, протоколы туннелирования IP и многие онлайн-игры.

Transmission Control Protocol (TCP, протокол управления передачей) — один из основных протоколов передачи данных интернета, предназначенный для управления передачей данных.

В стеке протоколов TCP/IP выполняет функции транспортного уровня модели OSI.

Механизм TCP предоставляет поток данных с предварительной установкой соединения, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета, гарантируя тем самым, в отличие от UDP, целостность передаваемых данных и уведомление отправителя о результатах передачи.

Реализации TCP обычно встроены в ядра ОС. Существуют реализации TCP, работающие в пространстве пользователя.

Когда осуществляется передача от компьютера к компьютеру через Интернет, TCP работает на верхнем уровне между двумя конечными системами, например, браузером и веб-сервером. TCP осуществляет надёжную передачу потока байтов от одного процесса к другому. TCP реализует управление потоком, управление перегрузкой, рукопожатие, надёжную передачу.

Smurf-атаки в некоторой степени похожи на потоки пингов (ping floods), поскольку обе они выполняются путем отправки множества пакетов эхо-запросов протокола ICMP. Однако, в отличие от обычного потока пингов, Smurf является атакой с усиленным вектором, разрушительный потенциал которого усиливается за счет использовани

При стандартном сценарии атаки, узел A отправляет эхо-запрос ICMP (пинг) на узел B, вызывая автоматический ответ. Время, необходимое для получения ответа, используется как мера виртуального расстояния между двумя узлами.

В широковещательной IP-сети запрос проверки связи отправляется на каждый узел, запрашивая ответ от каждого из получателей. Злоумышленники используют эту функцию для усиления трафика атаки.

Файрвол веб-приложений (англ. Web application firewall, WAF) — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI.

Веб-приложение может быть защищено силами разработчиков самого приложения без использования WAF. Это требует дополнительных расходов при разработке. Например, содержание отдела информационной безопасности. WAF вобрали в себя возможность защиты от всех известных информационных атак, что позволяет делегировать ему функцию защиты. Это позволяет разработчикам сосредоточиться на реализации бизнес-логики приложения, не задумываясь о безопасности.

Медленные DDoS атаки небольшого объема

HTTP GET

  • HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.

HTTP POST

  • HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.

Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.

DDoS-атака через интерфейс для удаленнoго управления платформой через Роst-запрoсы по протоколу XML-RPC, который включен по умoлчанию и используется для публикации материалов на WP сайте, когда войти в админку невозможно.

Arbor Peakflow. Решение, предназначенное для операторов связи, и развернутое более чем у 70 % ведущих мировых операторов, позволяют обеспечить целостность и доступность сетей передачи данных и защитить их от наиболее опасных современных угроз – распределенных атак класса «отказ в обслуживании».

Модель Open Systems Interconnection (OSI) – это скелет, фундамент и база всех сетевых сущностей. Модель определяет сетевые протоколы, распределяя их на 7 логических уровней. Важно отметить, что в любом процессе, управление сетевой передачей переходит от уровня к уровню, последовательно подключая протоколы на каждом из уровней.

Одним из самых распространенных видов prefirewall-фильтров является BGP Flowspec, широко применяемый как в рамках одного домена, так и на междоменном уровне, и позволяющий с помощью сигнализации протокола BGP (AFI flow) передавать описанные правила на удаленные узлы в сети, где они выполняются Firewall. Более подробно описано в RFC5575, с дополнениями в RFC7674, и сопутствующим количеством документов со статусом Internet-Draft.

Получите подробное описание услуг и прямой контакт специалиста по информационной безопасности