DoS и DDoS атака
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.
Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.
SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.
CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.
Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо.
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16
DOS-АТАКИ
СПОСОБ
DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.
ПРЕСТУПНИК
В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».
ОБСТАНОВКА
Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.
ПОТЕРПЕВШИЙ
Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.
СЛЕДЫ
При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html
Защита от DoS-атак
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]
P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле".
В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам!
DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить.
DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки.
Ping of Death
Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо.
SYN Flood
Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.
Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.
CPU Hog
Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.
Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить.
Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS.
DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить.
Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем.
DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.
Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку.
Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров.
Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет.
Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо.
Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.».
Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался.
Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого.
Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи.
Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов.
Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени.
Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить оь этом всегда.
https://adil666.ucoz.ru/publ/khaking/dos ... a/3-1-0-16
DOS-АТАКИ
СПОСОБ
DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерною доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.
Такие атаки принято разделять на два типа: атаки, использующие какие-либо уязвимости в атакуемой системе и атаки, не использующие уязвимостей. Во втором случае своеобразным «поражающим фактором» атаки является перегрузка ресурсов атакуемой системы – процессора, ОЗУ, диска, пропускной способности канала.
ПРЕСТУПНИК
В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Еще 2-3 гола назад личные мотивы превалировали. Но сейчас наблюдается четкая тенденция возрастания чиста DoS-атак с корыстными мотивами в целях вымогательства или недобросовестной конкуренции.
Организовать DoS-атаку на типичный веб-сайт не представляет из себя сложной задачи, она пол силу ИТ-специалисту средней квалификации, имеющему в своем распоряжении среднее же оборудование и средней ширины канал связи. Соответственно, на черном рынке DoS-атака на обычный веб-сайт стоит десятки долларов за сутки. На более крупный или более защищенный объект - первые сотни долларов за сутки. Возможны оптовые скидки. Заказать атаку может себе позволить даже один обиженный индивидуум. Инструмент для осуществления распределенных DoS-атак зомби-сети (ботнеты) - также имеются в продаже на черном рынке по сравнительно низкой цене, порядка десятков долларов за тысячу зомби-хостов. И цена эта в последнее время снижается.
С другой стороны, в Сети появляется все больше и больше чисто информационного бизнеса, благополучие которого целиком и полностью зависит от доступности его сайта или другого сетевого ресурса. Это онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и некоторые другие виды предприятий. Остановка работы веб-сайта в таких условиях означает полную остановку бизнеса. Несколько недель простоя могут полностью разорить предприятие. Естественно, при таких условиях находятся желающие пошантажировать владельца и получить с него выкуп за прекращение DoS-атаки. Несколько лет назад подобных предприятий (е-бизнеса) с существенными доходами еще не было. Соответственно, не было и DoS-вымогательства.
Итак, можно выделить два типа преступлений, связанных с DoS-атaками с целью доставить неприятности владельцу или пользователям атакуемого ресурса и с целью получить выкуп.
В первом случае, как и при клевете и оскорблениях, следует искать «обиженного». При этом непосредственным исполнителем может быть как он сам, так и нанятый профессионал.
Во втором случае мы имеем дело с хладнокровным криминальным расчетом, и преступление мало чем отличается от офлайнового вымогательства или недобросовестной конкуренции. Тип возможного преступника «е-бизнесмен» описан в разделе «Личность вероятного преступника».
ОБСТАНОВКА
Один тип DoS-атаки основан на использовании уязвимостей в программном обеспечении атакуемого ресурса. Другой тип так называемый «флуд» - не использует никаких уязвимостей и рассчитан на простое исчерпание ресурсов жертвы (полоса канала, оперативная память, быстродействие процессора, место на диске и т.п.). Как легко понять, ко флуду нет неуязвимых. поскольку любые компьютерные ресурсы конечны. Тем не менее разные сайты подвержены флуду в разной степени. Например. CGI-скрипт, работающий на веб-сайте, может быть написан не оптимально и требовать для своей работы слишком много оперативной памяти. Пока такой CGI-скрипт вызывается paз в минуту, эта неоптимальность совершенно незаметна. Но стоит злоумышленнику произвести вызов CGI-скрипта хотя бы сто раз в секунду (никаких особых затрат со стороны злоумышленника для этого не требуете, всего 300 пакетов в секунду, порядка 5 Мбит/с) — и неоптимальность CGI-скрипта приводит к полному параличу веб-сайта.
То есть запас по производительности и есть первичная зашита от DoS-атаки.
Обычные хостинг-провайдеры держат на одном сервере по нескольку десятков клиентских веб-сайтов. По экономическим причинам большого запаса производительности они сделать не могут. Отсюда следует, что типичный веб-сайт, размещенный у хостинг-провайдера, уязвим даже к самому простейшему флуду.
ПОТЕРПЕВШИЙ
Потерпевшим в подавляющем большинстве случаев выступает юридическое лицо.
Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное - устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.
Выступить потерпевшим организация-владелец атакуемого ресурса может в следующих случаях:
• когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
• когда предприятию надо отчитываться за понесенные убытки или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
• когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.
В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.
Следует помнить, что многие DoS-атаки воздействуют сразу на целый сегмент Сети, на канал, на маршрутизатор, за которым могут располагаться много потребителей услуг связи, даже если непосредственной целью атаки является лишь один из них. Для целей расследования необходимо установить, на кого именно был направлен умысел преступника. Формальным же потерпевшим может выступить любой из пострадавших от атаки.
Вместо формального потерпевшего целесообразно рассмотреть особенности личности специалиста, который обслуживает атакованную информационную систему и отвечает за ее защиту. Понимание его личности поможет понять причины и механизм совершения преступления.
Типичный профессиональный системный администратор человек, в реальном мире ничего из себя не представляющий (даже далеко не всегда высокооплачиваемый), но в мире виртуальном царь и бог. Подобное двоякое положение сильно способствует развитию комплексов неполноценности и стремлению компенсировать в виртуальности свою ничтожность в реальной мире. Поскольку речь идет о молодом человеке, значительную часть времени вынужденной проводить за компьютером (иначе профессионализм не приобрести), данный комплекс часто усугубляется половой неудовлетворенностью. Теперь представьте, что может натворить такой системный администратор с болезненным желанием продемонстрировать свою власть. При условии, что руководитель компании в технических вопросах вовсе не разбирается или не интересуется ими.
Можно сказать, что для потерпевшего от DoS-атаки (точнее, сотрудников юрлица потерпевшего) характерно провоцирующее поведение в онлайновых взаимоотношениях.
СЛЕДЫ
При подготовке и проведении DoS-атаки образуются следующие следы технического характера:
• наличие инструментария атаки - программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
• следы поиска, тестирования, приобретения инструментария;
• логи (преимущественно статистика трафика) операторов связи. через сети которых проходила атака:
• логи технических средств зашиты детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
• логии, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки. (Следует знать, что DoS-атака требует немедленной реакции, если владелец желает спасти свой ресурс или хотя бы соседние ресурсы от атаки. В ходе такой борьбы обе стороны могут применять различные маневры и контрманевры, из-за чего картина атаки усложняется);
• следы от излучения подозреваемым (он же заказчик атаки) рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
• следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.
При профессиональном осуществлении атаки используются зомби-сети или иной специализированный инструментарий. Естественно, он не одноразовый. Исполнители не заинтересованы в простаивании своих мощностей и могут осуществлять несколько атак одновременно, либо осуществлять теми же программными агентами параллельно с атакой другие функции, например, рассылку спама.
https://itinvestigations.blogspot.com/2011/02/dos.html
Защита от DoS-атак
Меры противодействия DoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные.
Ниже приведён краткий перечень основных методов.
Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.)
Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине.
Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
[DLMURL]https://ru.wikipedia.org/wiki/DoS-%E0%F2%E0%EA%E0[/DLMURL]
P.S. Не собираюсь кого-либо поучать, но всегда нужно давать отчет свои действиям и поступкам, а также понимать нужно ли мистеру "Х" тратить значительные средства на вывод из строя какого-либо конкретного компьютера, если эта проблема решается простым пересаживанием за другой компьютер?
Не собирался ни над кем ёрничать, но у меня есть пара знакомых, которые из-за своего же случайного мелкого недочета устраивают панику на "всем корабле".