База знаний
Термины, используемые на сайте
Все
IP Transit
WAF
Arbor Peakflow
Другое
IP Transit
IP-транзит — это передача данных между двумя точками подключения клиента к магистральной IP-сети с поддержкой выбранного клиентом класса обслуживания. Если говорить более простым языком, IP-транзит — это «трафик оптом», и интересен он, прежде всего, операторам связи.
GRE туннель
GRE (англ. Generic Routing Encapsulation — общая инкапсуляция маршрутов) — протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. Номер протокола в IP — 47.

Туннелирование подразумевает три протокола:

  • пассажир — инкапсулированный протокол (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES и Apollo)
  • протокол инкапсуляции (GRE)
  • транспортный протокол (UDP)
SYN Floods
SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).

Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого клиенты, не являющиеся злоумышленниками, не могут установить связь, либо устанавливают её с существенными задержками.

Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых соединений, описанной в 1996 году группой CERT, согласно которой очередь для таких подключений была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут подключений — достаточно продолжительным (по RFC 1122 — 3 минуты).

DNS query floods
Разновидность UDP Flood, нацеленная на DNS сервис. В процессе DNS Flood на атакуемый DNS сервер направляется огромное количество DNS запросов с широкого диапазона IP-адресов. Сервер-жертва не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы. Таким образом, DNS Flood занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ. DNS Flood является очень продуманным видом DDoS-атак: содержимое пакетов организовано точно так, как в реальных DNS запросах. Такую атаку невозможно отследить с помощью глубокого анализа: каждый запрос будет выглядеть легитимным. С большим диапазоном атакующих IP-адресов мошенник может с легкостью обойти большинство алгоритмов обнаружения аномалий трафика.
DNS NXDOMAIN floods
Атакер наводняет DNS-сервер запросами на несуществующие или недопустимые записи. DNS-сервер тратит все свои ресурсы на поиск этих записей. Кэш сервера заполняется ложными запросами, и в конечном итоге он не имеет ресурсов для обслуживания легитимных запросов.
UDP Floods
Атакер отсылает жертве большое количество UDP-пакетов на разные порты хост-системы. Система жертвы пытается безуспешно проверять приложения слушающие порт и, в конечном итоге, отправляет ICMP Destination Unreachable пакет. Так как атакер передает многочисленные UDP-пакеты, веб-сервис становиться недоступен для настоящих клиентов.
SSL floods
Подложные SSL запросы: проверка шифрованных SSL пакетов очень ресурсоемка, злоумышленники используют SSL для HTTP-атак на сервер жертвы
SSL renegotiation
В SSL / TLS renegotiation позволяет сторонам остановить обмен данными, с тем чтобы повторно инициировать его для обеспечения безопасности. Есть некоторые случаи, в которых renegotiation должен быть инициирован сервером, но нет никакой известной необходимости позволять инициировать renegotiation клиентом. Кроме того это может облегчить организацию DDoS-атаки на ваши сервера.
ICMP/Ping floods
ping-флуд (от англ. ping-flood, дословно: наводнение запросами) — тип атаки на сетевое оборудование, ставящий своей целью отказ в обслуживании. Ключевой особенностью (по сравнению с остальными видами флуд-атак) является возможность осуществления атаки «бытовыми средствами» (программами и утилитами, входящими в состав домашних/офисных версий операционных систем).
ICMP Fragmentation attacks
Разновидность ICMP Flood. Злоумышленник направляет на сервер-жертву поток фрагментированных ICMP пакетов максимального размера. В результате, кроме занятия полосы "мусорным" трафиком, возникает опасность исчерпания вычислительных ресурсов сервера во время накопления и обработки поддельных фрагментов. Рекомендуемые методы борьбы такие же, как и при обычном ICMP Flood.
Teardrop TCP fragmentation attacks
Такой тип атак имеет много общего с атаками фрагментированными пакетами. Серверу-жертве отправляются фрагментированные пакеты, которые он не может разобрать, вследствие уязвимости в TCP/IP. Пакеты накладываются друг на друга, перегружая сервер-жертву. Одно из полей IP-заголовка "Fragment offset" указывает на начальную позицию или смещение данных во фрагментированном пакете относительно реального пакета. Если сумма смещений и размера одного фрагментированного пакета отличается от следующего фрагментированного пакета – пакеты накладываются. Когда это происходит – сервер оказывается не в состоянии разобрать входящие пакеты и выходит из строя. Эти действия приводят сервер в состояние "отказ в обслуживании". В большинстве случаев это происходит в устаревших ОС, таких как Windows 3.1x, Windows NT, Windows 95 и в Linux с версией ядра ниже 2.1.63.
SIP трафик
Протокол установления сеанса (SIP, от англ. Session Initiation Protocol) — протокол передачи данных, описывающий способ установки и завершения пользовательского интернет-сеанса, включающего обмен мультимедийным содержимым (IP-телефония, видео- и аудиоконференции, мгновенные сообщения, онлайн-игры).

Протокол описывает, каким образом клиентское приложение (например, софтфон) может запросить начало соединения у другого, возможно, физически удалённого клиента, находящегося в той же сети, используя его уникальное имя. Протокол определяет способ согласования между клиентами об открытии каналов обмена на основе других протоколов, которые могут использоваться для непосредственной передачи информации (например, RTP). Допускается добавление или удаление таких каналов в течение установленного сеанса, а также подключение и отключение дополнительных клиентов (то есть допускается участие в обмене более двух сторон — конференц-связь). Протокол также определяет порядок завершения сеанса.
UDP трафик
UDP (англ. User Datagram Protocol — протокол пользовательских датаграмм) — один из ключевых элементов набора сетевых протоколов для Интернета. С UDP компьютерные приложения могут посылать сообщения (в данном случае называемые датаграммами) другим хостам по IP-сети без необходимости предварительного сообщения для установки специальных каналов передачи или путей данных. Протокол был разработан Дэвидом П. Ридом в 1980 году и официально определён в RFC 768.

UDP использует простую модель передачи, без неявных «рукопожатий» для обеспечения надёжности, упорядочивания или целостности данных. Таким образом, UDP предоставляет ненадёжный сервис, и датаграммы могут прийти не по порядку, дублироваться или вовсе исчезнуть без следа. UDP подразумевает, что проверка ошибок и исправление либо не нужны, либо должны исполняться в приложении. Чувствительные ко времени приложения часто используют UDP, так как предпочтительнее сбросить пакеты, чем ждать задержавшиеся пакеты, что может оказаться невозможным в системах реального времени. При необходимости исправления ошибок на сетевом уровне интерфейса приложение может задействовать TCP или SCTP, разработанные для этой цели.

Природа UDP как протокола без сохранения состояния также полезна для серверов, отвечающих на небольшие запросы от огромного числа клиентов, например DNS и потоковые мультимедийные приложения вроде IPTV, Voice over IP, протоколы туннелирования IP и многие онлайн-игры.
TCP трафик
Transmission Control Protocol (TCP, протокол управления передачей) — один из основных протоколов передачи данных интернета, предназначенный для управления передачей данных.

В стеке протоколов TCP/IP выполняет функции транспортного уровня модели OSI.

Механизм TCP предоставляет поток данных с предварительной установкой соединения, осуществляет повторный запрос данных в случае потери данных и устраняет дублирование при получении двух копий одного пакета, гарантируя тем самым, в отличие от UDP, целостность передаваемых данных и уведомление отправителя о результатах передачи.

Реализации TCP обычно встроены в ядра ОС. Существуют реализации TCP, работающие в пространстве пользователя.

Когда осуществляется передача от компьютера к компьютеру через Интернет, TCP работает на верхнем уровне между двумя конечными системами, например, браузером и веб-сервером. TCP осуществляет надёжную передачу потока байтов от одного процесса к другому. TCP реализует управление потоком, управление перегрузкой, рукопожатие, надёжную передачу.
Smurf Attacks
Smurf-атаки в некоторой степени похожи на потоки пингов (ping floods), поскольку обе они выполняются путем отправки множества пакетов эхо-запросов протокола ICMP. Однако, в отличие от обычного потока пингов, Smurf является атакой с усиленным вектором, разрушительный потенциал которого усиливается за счет использования характеристик широковещательных сетей.

При стандартном сценарии атаки, узел A отправляет эхо-запрос ICMP (пинг) на узел B, вызывая автоматический ответ. Время, необходимое для получения ответа, используется как мера виртуального расстояния между двумя узлами.

В широковещательной IP-сети запрос проверки связи отправляется на каждый узел, запрашивая ответ от каждого из получателей. Злоумышленники используют эту функцию для усиления трафика атаки.
WAF
Файрвол веб-приложений (англ. Web application firewall, WAF) — совокупность мониторов и фильтров, предназначенных для обнаружения и блокирования сетевых атак на веб-приложение. WAF относятся к прикладному уровню модели OSI.

Веб-приложение может быть защищено силами разработчиков самого приложения без использования WAF. Это требует дополнительных расходов при разработке. Например, содержание отдела информационной безопасности. WAF вобрали в себя возможность защиты от всех известных информационных атак, что позволяет делегировать ему функцию защиты. Это позволяет разработчикам сосредоточиться на реализации бизнес-логики приложения, не задумываясь о безопасности.
Low-and-slow attacks
Медленные DDoS атаки небольшого объема
HTTP Floods
HTTP GET

  • HTTP(S) GET-запрос — метод, который запрашивает информацию на сервере. Этот запрос может попросить у сервера передать какой-то файл, изображение, страницу или скрипт, чтобы отобразить их в браузере.
  • HTTP(S) GET-флуд — метод DDoS атаки прикладного уровня (7) модели OSI, при котором атакующий посылает мощный поток запросов на сервер с целью переполнения его ресурсов. В результате сервер не может отвечать не только на хакерские запросы, но и на запросы реальных клиентов.
HTTP POST

  • HTTP(S) POST-запрос — метод, при котором данные помещаются в тело запроса для последующей обработки на сервере. HTTP POST-запрос кодирует передаваемую информацию и помещает на форму, а затем отправляет этот контент на сервер. Данный метод используется при необходимости передавать большие объемы информации или файлы.
  • HTTP(S) POST-флуд — это тип DDoS-атаки, при котором количество POST-запросов переполняют сервер так, что сервер не в состоянии ответить на все запросы. Это может привести к исключительно высокому использованию системных ресурсов, и, в последствии, к аварийной остановке сервера.
Каждый из описанных выше HTTP-запросов может передаваться по защищенному протоколу HTTPS. В этом случае все пересылаемые между клиентом (злоумышленником) и сервером данные шифруются. Получается, что «защищенность» тут играет на руку злоумышленникам: чтобы выявить злонамеренный запрос, сервер должен сначала расшифровать его. Т.е. расшифровывать приходится весь поток запросов, которых во время DDoS-атаки поступает очень много. Это создает дополнительную нагрузку на сервер-жертву.
WordPress XMLRPC Floods
DDoS-атака через интерфейс для удаленнoго управления платформой через Роst-запрoсы по протоколу XML-RPC, который включен по умoлчанию и используется для публикации материалов на WP сайте, когда войти в админку невозможно.
Arbor Peakflow
Arbor Peakflow. Решение, предназначенное для операторов связи, и развернутое более чем у 70 % ведущих мировых операторов, позволяют обеспечить целостность и доступность сетей передачи данных и защитить их от наиболее опасных современных угроз – распределенных атак класса «отказ в обслуживании».
Модель OSI
Модель Open Systems Interconnection (OSI) – это скелет, фундамент и база всех сетевых сущностей. Модель определяет сетевые протоколы, распределяя их на 7 логических уровней. Важно отметить, что в любом процессе, управление сетевой передачей переходит от уровня к уровню, последовательно подключая протоколы на каждом из уровней.
FlowSpec
Одним из самых распространенных видов prefirewall-фильтров является BGP Flowspec, широко применяемый как в рамках одного домена, так и на междоменном уровне, и позволяющий с помощью сигнализации протокола BGP (AFI flow) передавать описанные правила на удаленные узлы в сети, где они выполняются Firewall. Более подробно описано в RFC5575, с дополнениями в RFC7674, и сопутствующим количеством документов со статусом Internet-Draft.
+7 (495) 374-62-65




Отдел продаж
info@servicepipe.ru
Консультация по всем вопросам
Адрес
Россия, г. Москва, ул. Петровка 27
Наша деятельность лицензирована федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций. Мы ведем свою деятельность прозрачно, соблюдая законы РФ

Остались вопросы?

Выберите услугу, которая вам интересна, оставьте номер телефона и мы вам перезвоним
2020 © Сделано с
командой ServicePipe
Подробнее
Подробнее
ООО "Сервиспайп", ОГРН 1157746483784
ИНН 7708257951 КПП 772201001
Лицензии № 176026, 176027, 176028
Если у вас возникли любые вопросы касательно наших услуг, оставьте ваш номер телефона и мы вам перезвоним