22 июля 1999 года – важная дата в истории вычислений. В этот день компьютер Миннесотского университета внезапно подвергся атаке со стороны сети из 114 компьютеров, зараженных вредоносным скриптом Trin00.
Спустя 20 лет исследователи из Виргинского университета Эрик Остервил и Джордж Мэйсон изучили природу DDoS-атак и их эволюцию и попытались понять, можно ли решить фундаментальные проблемы архитектуры сети, чтобы избежать их.
Код заставил зараженные компьютеры в огромных объемах отправлять пакеты данных в университет, из-за чего его компьютер был перегружен и не мог обрабатывать нормальные запросы. Таким образом атака выбила из строя университетский компьютер на два дня.
Это была первая DDoS-атака, но практика быстро распространилась. За несколько последующих месяцев ее жертвами стали другие сайты, включая Yahoo, Amazon и CNN.
С тех пор DDoS-атаки стали обычным явлением. Хакеры сегодня также вымогают у сайтов деньги, угрожая им взломом. Они даже продают свои услуги в даркнете. 24-часовая DDoS-атака обойдется вам всего лишь в $400.
Но для жертв последствия очень серьезные: потеря выручки и репутации. В связи с этим появился рынок кибербезопасности, который защищает от такого типа атак. В 2018 году он оценивался в два миллиарда евро. Все это поднимает важный вопрос о том, можно ли сделать больше, чтобы избежать таких атак.
Для начала следует разобраться, как все это происходит. DDoS-атаки обычно делятся на несколько стадий. На первом этапе хакеры заражают компьютер программным обеспечением, которое должно распространиться по всей сети. Этот первый компьютер называют «мастером» – потому что он может контролировать каждое зараженное устройство. Другие компьютеры производят саму атаку, и их называют «демонами» или «зомби».
Фото: Википедия
Обычными жертвами на первой стадии являются университетские сети, поскольку они подключены к множеству других устройств.
DDoS-атака начинается тогда, когда мастер отправляет команду демонам с адресом цели. Демоны затем начинают отправлять огромные потоки пакетов данных на этот адрес. Их цель – перегрузить компьютер трафиком на длительность атаки.
Злоумышленники старательно прячут свое местоположение и личность. Например, демоны зачастую используют технику спуфинга IP-адресов, чтобы спрятать свой адрес в интернете. Найти мастера также очень сложно, потому что ему нужно всего лишь отправить одну команду, чтобы запустить атаку. К тому же хакеры могут выбрать демонов, находящихся в других странах, а сами проживать в другом месте.
Защититься от таких атак сложно. Сначала нужно предотвратить создание сети демонов. Для этого системные администраторы постоянно должны обновлять софт и следить за гигиеной пользователей сети – например, регулярно менять пароли.
Интернет-провайдеры также могут предоставить некоторую защиту. Их роль заключается в передаче пакетов данных из одной части сети в другую в зависимости от адреса в заголовке каждого пакета данных. Обычно это происходит без анализа того, откуда пришел пакет.
Но это может измениться. Заголовок включает в себя адрес не только цели, но и источника. Таким образом, в теории интернет-провайдеры могут проверить адрес источника и заблокировать пакеты данных, если их адресант кажется подозрительным.
Однако это дорого и времязатратно. И поскольку провайдеры редко являются целями DDoS-атаки, им не выгодно применять такие дорогие процедуры.
В конечном итоге, сама цель может предпринять шаги для смягчения последствий атаки. Один из них – фильтровать пакеты данных. Это сработает, если их легко обнаружить и в наличии имеются вычислительные ресурсы, которые смогут справиться с огромным потоком трафика.
Но они тоже стоят больших денег и их нужно постоянно обновлять. Большую часть времени они никак не используются, и начинают работать только во время атаки. Но даже в этих случаях они не всегда эффективны.
Фото: Kinsta
Еще один вариант – передать проблему на аутсорсинг облачному сервису, который лучше оснащен для защиты от таких угроз. Тем не менее, это тоже не всегда работает, особенно если атака очень большая.
Все это поднимает вопрос о том, можно ли сделать что-то еще. Как можно улучшить инфраструктуру сети, чтобы она решала проблему DDoS-атак?
Одно из важных наблюдений заключается в том, что атака и защита асимметричны. Обычно DDoS-атаку запускают множество демонов по всему миру, а защищается от нее лишь один узел.
Есть несколько вариантов решения этой проблемы. Один из них – упростить для интернет-провайдеров процесс фильтрования зараженных пакетов данных.
Еще одна идея – сделать пакеты данных прослеживаемыми, когда они перемещаются по интернету. Каждый провайдер сможет пометить выборку пакетов данных, чтобы впоследствии можно было восстановить их маршрут. Это позволит жертве и правоохранительным органам отследить источник атаки даже после ее окончания.
У этих идей есть потенциал сделать интернет более безопасным местом. Но они требуют общих усилий и желания что-то изменить. Остервил вместе с коллегами считают, что пришло время действовать: «Исследовательское сообщество – наша главная надежда; только эксперты могут принять этот вызов».
Материалы по теме:
Уязвимости IoT: как злоумышленники могут взломать ваши устройства?
Как бизнесу выгоднее хранить свои данные?
На далеком сервере: как мы придумали защищать данные пользователей
Ваши IoT-устройства могут быть опасны. И вот почему
Фото на обложке: Gorodenkoff/Depositphotos
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 «Я не робот»: почему проходить капчи становится всё сложнее
- 2 Face ID нового времени: как работают алгоритмы распознавания лиц и можно ли их обмануть
- 3 Как заставить кибермошенника плакать? Соблюдайте цифровую гигиену при работе с корпоративной почтой
- 4 Как среднему бизнесу защищаться от новейших киберугроз
- 5 Почему неправильная настройка бэкапов дорого обходится бизнесу
ВОЗМОЖНОСТИ
05 мая 2024
10 мая 2024