Какие бывают ДДоС атаки. (FAQ по DDoS атакам)

Начнем с самых простых вещей – чтобы соединить два компа, оба должны знать протокол, по которому они будут между собой общаться. Проще объяснять на водопроводе: две трубы, насосы, сливные баки – это сеть, а вода – данные, которые через эти трубы текут от одного насоса к баку (или то же самое, но с обратной стороны). Так вот, если одна труба не подходит к другой по диаметру или оба насоса качают воду одновременно, или ни один из насосов ничего не качает, а оба бака ждут, когда в них поступит вода, то ничего работать не будет. Воды либо вообще нет, либо она вытекает в щели – приходят соседи и сообщают, что теперь ты должен делать им ремонт на халяву.

Image result for интернет протоколы
Так что водопроводное оборудование должно знать протокол передачи воды: например, сначала один насос качает литров сто в бак второго, потом ждет, пока тот закачает ему литров двести и т.д. Чтобы инфа текла нормально, сетевые устройства должны придерживаться одинаковых протоколов передачи данных – каждый знает, что и когда ему в определенный момент надо принять или отправить, что делать после этого.

Какие бывают протоколы?

Какие придумаешь, такие и бывают – все зависит от потребностей. Допустим, ты не любишь, когда банкомат теряет половину денег с твоего счета. Такое может случиться, пока инфа дойдет от сервера в банке до банкомата. Тебе нужен надежный протокол с подтверждением правильности доставки инфы. А твой малолетний братишка, допустим, любит смотреть порнофильмы по сети. Ему не важно, если возникнут ошибки и пара кадров не дойдет, главное, чтобы порно шло задорно и не тормозило. Брательнику нужен протокол без подтверждения и других лишних наворотов. Каждый наворот жрет драгоценную скорость.

Image result for интернет протоколы
Словом, протоколов на свете может быть сколько угодно, и они обычно заточены под определенные задачи, под определенные данные. На водопроводе: чтобы полить огород, покатит обычный резиновый шланг, а с газовой трубой заколеблешься поливать огород (хотя некоторые пытаются). Зато по резиновому шлангу газ пускать стремно, а по газовой трубе как-то спокойнее.

Что такое сервер?

Сервер – агрегат, который предоставляет услуги (сервисы). Чаще всего сервер хранит какую-нибудь ценную инфу. И выдает ее по запросам клиентов. Это и есть услуги. Еще сервер может эту инфу перерабатывать, проводить поиск, вести статистику и т.п. Это все тоже услуги. Словом, сервер – это такая большая и толстая цистерна, в которой накапливается и булькает инфа, а предоставление по выбору горячей или холодной воды – это услуга. Вообще, предоставление воды – уже не хилый сервис.

Что такое клиент?

Ну а клиент – это компьютер или программа, которая потребляет услуги. Чтобы услуги получить, сначала нужно соединиться с сервером по протоколу, который тот поддерживает. Чтобы получить услуги по получению воды (инфы), тебе нужно подрубиться к серверу (цистерне) со своим рукомойником, душем, стиральной машиной или что у тебя там? Пофиг, какой у тебя мойдодыр, главное, чтобы труба (протокол) от него шла, совместимая с цистерной (сервером).

Кто такой администратор?

Ах да, мы забыли бородатого! Это основное зло, которое мешает тебе получать услуги. Есть такой злобный сантехник (администратор), который следит за цистерной (сервером). Допустим, ты надыбал себе и нужную трубу, и сносный рукомойник, а этот гад взял и отключил тебе горячую воду на все лето. Типа, у тебя есть права только на холодную. Вот тут-то и начинается заваруха ;).

Что такое DoS-атака?

Denial of service никакого отношения к древней операционке DOS не имеет. А называется так потому, что вследствие такой атаки сервер не может предоставлять услуги (сервис) клиентам. Переводится DoS как “отказ в обслуживании”. DoS – самые деструктивные из всех атак. Очень редко бывает, чтоб сам хакер получил какую-то пользу от проведенной DoS-атаки (только в особо гиморных случаях, при всяких многоэтапных хаках или при социальной инженерии может возникнуть необходимость вывести какой-нибудь сервер из строя).

Как валят серваки?

У любого сервера есть ресурсы, которые не беспредельны. Т.е. сервер может переработать без проблем определенное количество инфы, а если ее больше, то начинаются тормоза, а если еще больше, то часть пользователей получают отказ в обслуживании. Отсюда самый простой способ провести DoS-атаку – нафлудить. Т.е. перегрузить сервак мусорными запросами, и он не сможет отвечать на запросы нормальных пользователей. В результате сервер может отрубиться только на время атаки либо вообще зависнуть. Объясняю на водопроводе: тебя так разозлил сантехник, отключивший горячую воду, что ты подключил к своему рукомойнику насос и стал под давлением качать туда дерьмище из канализации. Дерьмище забило трубы и просочилось сквозь заглушки и краны, после этого от горячей воды стало вонять, и никто ею больше пользоваться не смог. Но ты не остановился и стал качать дальше, после этого админовскую цистерну разорвало, стало очень грязно, стало очень плохо пахнуть, все заклинило. Ура! Теперь в доме вообще нет воды, а также отопления, т.е. все сервисы в дауне, и поднимут их не скоро.

Что такое распределенная DoS-атака?

Проблема в том, что у хацкера канал узенький, а на сервер идет канал потолще. Т.е. у хацкерского канала очень низкая пропускная способность и мусорных сообщений пролезает недостаточно, чтобы опрокинуть сервер или забить его канал. Поэтому он договаривается со своими друзьями, и они начинают флудить вместе, каждый со своего компьютера. Понятно, что если один человек начнет вместо горячей воды качать дерьмище в водопроводную трубу, особо страшного ничего не случится, но если они соберутся всем районом, то сантехникам придется не сладко. Кстати, распределенную атаку намного сложнее засечь и сложнее с нею бороться.

Image result for ddos attack amplifications

Что такое вирусная DoS-атака?

Понятно, что не у всех в запасе целый район сумасшедших друзей. Допустим, от взломщика так воняет, что никто не хочет с ним водиться. На этот случай тоже есть способ. Люди на самом деле дружат с хацкером, только сами об этом не знают. Ведь все, у кого на компьютере живет его новый вирус, теперь его друзья. Очень удобный способ дружить, паразитирование называется. Теперь пользователь узнает о том, что с его компьютера проводиться атака только после того, как к нему ворвется ОМОН. А для тех, кто уже привык к примерам на водопроводе, объясняю: вешаешь объяву в подъезде о бесплатной установке нагревателей воды, для тех, кто не любит мыться холодной. А вместо нагревателей ставишь мечтателям говнонасосы. Вот он, сладкий запах халявы!

Где мне найти такой вирус?

Такой вирус, скорее всего, сам тебя найдет, если ты будешь запускать левые программы с левых дисков, дискеток или из непонятных писем. Хотя можно заразиться, когда на твою машину залез хакер. Но это редкий случай – такому больше подвержены всякие серваки, а не юзверьские машины.

Что такое атака с захваченного сервера?

Допустим, у тебя есть пара знакомых сантехников, которые разводной ключ в руках не держали и больше годятся для вышивания, чем для настоящей мужской работы. А вентили крутишь ты. Теперь есть отличная возможность устроить засор уже городского масштаба с тяжелыми последствиями на экологию. Для тех, кто все еще хочет услышать про компьютеры, повествую: если хаксор уже ломанул какой-то сервак и получил там права главного сантехника… эээ, ну то есть администратора, он сможет флудить другие выделенные сервера с хорошей производительностью по хорошим каналам. Просто нужно попросить захваченный сервер отсылать мусор по определенному адресу. Если канал у врага тоньше, чем тот, на котором висит захваченный сервак, то можно забить ему канал. Некоторые энтузиасты выводят вирусы, которые заражают сервера и заставляют их атаковать.

Что дает DoS-атака?

Вот тут наступают вещи, далекие от сантехники, хотя на водопроводе можно объяснить все :). DoS-атака может сделать вражеский сервак недоступным на несколько часов или на несколько дней. Это произойдет, если сервак зависнет или канал будет перегружен мусором. Ошибка, вызванная атакой, может помочь хаксору взломать систему и получить права администратора на вражеской машине или просто использовать те услуги, которые ему были недоступны.

Image result for ддос атака

Что такое атака “переполнение буфера”?

Хоть дерись, но все Операционные Системы (ОС) откомпилированы в машинный код, который исполняется на конкретном железе. Т.е. все откомпилированные программы хранятся в памяти в виде простейших машинных команд. Если устроить в нужном месте переполнение буфера на определенное число бит, то можно чуть-чуть поменять код уже откомпилированной программы. Идея проста: допустим, у тебя есть доступ только к верхнему ящику тумбочки. А тебе хочется во все оставшиеся ящики. В твой ящик можно складывать только 30 килограммов дерьма, это и есть буфер ящика. А ты взял и навалил 36 кило 210 граммов с тем расчетом, что дно ящика не выдержит, провалится и отопрет замки на всех остальных ящиках. Поздравляю, теперь ты администратор тумбочки.

Как защититься от атаки “переполнение буфера”?

Нужно научить программу читать только те данные, которые должны быть помещены в буфер, а не просто любые данные, которые туда можно поместить в принципе. Т.е. у тумбочки нужно поставить маму с ремнем, которая просто не даст навалить в ящик больше 30 килограммов дерьмища. Такие методы работают обычно на дешевых компьютерах. На специальных серверных компах обычно есть аппаратная защита прав доступа. Т.е. дно у ящика в тумбочке бронированное.

Как научиться пользоваться переполнением буфера?

Нужно научиться определять, какая именно система стоит на сервере, из чего сделан сервер. После этого нужно найти в Интернете список стандартных уязвимостей этой системы и попробовать некоторые из них. Чтобы сработала атака переполнением, необходимо иметь доступ к уязвимой программе. Т.е. нужно найти такую тумбочку, рядом с которой нет мамы с ремнем. Для того чтобы самостоятельно найти уязвимость системы и придумать к ней переполнение, придется поставить эту систему на свой комп и поэкспериментировать с ней.

Что такое дыры?

Это недоделки, недочеты и прочие слабые места в безопасности. Маловероятно, чтоб среднестатистический хаксор нашел где-то дырищу. Намного проще найти список стандартных дырок и пробовать их на своей жертве – какая-то обязательно сработает. Неплохо бы заодно попробовать эти дырки на своей машине – хороший способ защитить себя. Чтобы дырки прикрыть, на них ставят заплатки (патчи). Обычно на крутых ресурсах в сети админы все патчат очень быстро, а ламеры не патчатся вовсе. Поэтому на некоторых компах работают даже самые старые реликтовые дыры. И пусть не орут всякие злодеи, что дырки, описанные в Х, давно прикрыли. А вот и нет! Не все же админы на свете читают Х.

Что такое сканер и сниффер?

Это такие проги, которые нужны для того, чтобы узнать: как устроена вражеская сеть и какой там стоит софт. Эта инфа поможет подобрать нужный тип DoS-атаки. Сканер перебирает Интернетовские адреса и порты и посылает на них пробные запросы на предмет стандартных дырищ. Правда, админ может легко обнаружить сканер и принять меры, т.к. все запросы пишутся в логи. Так что если хаксор не хочет засветиться, не стоит пользоваться отлавливаемыми сканерами. Сниффер просто ловит данные из сети, в которой сидит. Сниффить с диалапного коннекта без мазы – кроме своих данных, ничего не поймаешь. А вот если комп в локальной сети, то вся инфа, которая течет по проводу мимо сниффающей тачки, будет отлавливаться сниффаком. Хакеры могут внедрить сниффер на чужой машине или чужом сервере, чтобы лучше изучить вражескую сетку, украсть пароль или подсмотреть пересылаемую информацию.

Что делает маршрутизатор?

Маршрутизатор нужен для того, чтобы проложить путь через многочисленные сети от одной тачки к другой. Данные резво бегают через Интернет от твоего компа до любой другой тачки на планете, подключенной к всемирной паутине. Так вот, чтобы инфа не заблудилась по дороге, не застряла в пробке или на оборванном кабеле, нужен стрелочник – маршрутизатор. Маршрутизаторы, как почтальоны, находят по глобальному интернетовскому адресу сеть, в которой живет сервак или другой комп, к которому тебе надо обратиться.

Что такое DoS-атака маршрутизатора?

А теперь представь, что у тебя несколько серваков подключены к сети через один маршрутизатор. Если он откажет, то станет недоступна целая сеть, если, конечно, нет резервного маршрутизатора. Получается, что если повесить маршрутизатор, можно отрубить целую корпорацию от сети или центральный офис крупного банка, или даже целый город! Маршрутизатор – просто специализированный компьютер, и его тоже можно перегрузить мусором до глюков, как и обычный сервер.

Что такое DoS-атака через маршрутизатор?

Как ты понял, девайс важный, даже ключевой. На нем стоит своя специализированная операционка, у которой есть команды настройки. Естественно, маршрутизатор можно настраивать через сеть, для этого нужно знать, что это за модель, иметь специальную софтину и пароль доступа. На многих девайсах пароли очень простые или заводские, т.е. подобрать пароль не проблема. Вместе с паролем хаксор получит возможность перенастроить маршрутизатор. Он сможет отключить или, еще лучше, заглючить целую сеть, причем не на час и не на день, а даже на целую неделю. Маршрутизатор настраивается обычно специалистами, потому что админы в них плохо понимают. Сначала будет париться админ неделю, а потом еще неделю будут ждать специалиста, а потом еще неделю спец будет разбираться, как же так вышло. Восторг! Ну а если хаксор просто крут и разбирается в настройках данного агрегата, то можно использовать его для других DoS-атак, например, можно перенаправлять любые данные на адрес жертвы и обвалить чужой сервак. Главная сложность в том, чтобы найти ключевой маршрутизатор и определить его модель. Благо, есть фирмы, которые открыто хвастаются преимуществами своего главного роутера, такое поведение сильно облегчает взлом.

Image result for ddos attack amplifications

Что такое коммутатор?

У каждого компа есть физический адрес. Такой адрес живет обычно в сетевом адаптере и прошит в его память. Сетевой адрес компьютеру назначается отдельно. Если много компьютеров висят на одном проводе, то данные с разными физическими адресами начинают мешать друг другу и потом можно подслушать (подсниффовать) инфу. Коммутатор разделяет такой кабель на несколько сегментов. За пределы сегмента выходят только данные с адресами, которых в сегменте нет. По-простому можно объяснить на примере фейс-контроля в клубах. Было четыре клуба: один для металлистов, другой для кислотников, третий для любителей бардов, а четвертый – для фэнов Бори Моисеева. Все четыре были в одном доме, четыре входа торчали рядом впритык. Поэтому все дружно ходили друг к другу в гости, захаванные рейверы и пьяные металлюги все время попадали не в ту дверь, любители бардовской песни ходили жаловаться на шум, а фэны Бори Моисеева просто хотели познакомиться с соседями. Словом, были зверские драки, и клубы работали плохо. Поэтому хозяин решил поставить на входе коммутатор – по вышибале на каждой двери. Один дядька пускал только кислоту, другой только металл, третий только бардов, а четвертый отбивался от желающих познакомиться. После этого траффик оптимизировался, т.е. разные субкультуры перестали друг другу мешать.

Как работает DoS-атака через коммутатор?

Современные коммутаторы можно настраивать по сети, и у них тоже обычно простые пароли. Значит, подобрав пароль, хацкер сможет заклинить чью-нибудь локальную сетку в офисе или компьютерном клубе. В некоторых офисах стоят коммутаторы с добавленными функциями цифровой АТС. Можно не только повесить врагу сеть, но и телефон отключить.

Что такое атака коммутаторов?

Если локальная сетка большая и коммутаторов несколько, то они обмениваются между собой инфой о состоянии сети. Это нужно для того, чтобы исключить петли и активизировать резервные маршруты. На примере четырех клубов можно объяснить это так: нужно следить, чтобы случайно не открылась дверь между комнатой с металлистами и комнатой с поклонниками Бори Моисеева. А на тот случай, если вход рейверского клуба завален укуренными телами кислотников, нужно открыть резервный проход между рейверами и бардами, чтобы обеспечить хоть какой-то проход. Так вот, можно притвориться коммутатором на своем компьютере и пытаться договориться с другими коммутаторами, таким образом посеять хаос. Например, можно побриться наголо, чуть подкачаться и прикинуться, подойти к вышибале, который держит дверь между металлистами и обожателями Бори Моисеева, и сказать, что, типа, надо открывать эту дверь, т.к. в другой намертво застрял металлюга, приехавший из Тулы.

Чем отличается пакет от кадра?

Пакет – электронное послание по глобальной сети. Это данные, к которым прилепили сетевой адрес. По этому адресу пакет дойдет до любой точки глобальной сети, если не потеряется. Кадр – это данные, к которым прилепили физический адрес. Он должен дойти по кабелю до сетевого адаптера по этому адресу. Обычно бывает так: у нас есть медленная сетка, и мы упаковываем пакет в ее кадр, кадр доходит до сетевого адаптера шлюза, шлюз достает оттуда пакет и упаковывает в кадр более быстрой сетки и т.д. Хотя девайс может этот медленный кадр упаковать в быстрый. Потом все это распаковывается. Шлюз – агрегат, который передает данные из одной сетки в другую. Пакеты и кадры могут содержать не только рядовую инфу, но и управляющие команды. Пакеты и кадры можно перехватывать, подделывать. DoS-атака иногда проводится модифицированными пакетами, которые вызывают ошибку. Пару тысяч таких рвотных пакетиков – и сервер в дауне.

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
14 декабря 2015, 22:01

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *