Что такое DDoS Booter/IP-стрессер? | Инструменты для DDoS-атак

DDoS-атаки, представленные в виде SaaS, доступны за умеренную плату благодаря IP-стрессерам.

Цели обучения

После прочтения этой статьи вы сможете:

  • Узнать о booter'ах и IP-стрессерах
  • Узнать об инструментах для DDoS-атак
  • Узнать о преступности как бизнес-модели

Связанный контент


Желаете продолжить обучение?

Подпишитесь на theNET, ежемесячный обзор наиболее популярных аналитических сведений об Интернете от Cloudflare!

Посмотрите Политику конфиденциальности Cloudflare, чтобы узнать, как мы собираем и обрабатываем ваши персональные данные.

Копировать ссылку статьи

Что такое IP-стрессер?

IP-стрессер – это инструмент, предназначенный для проверки сети или сервера на устойчивость. Администратор может запустить стресс-тест, чтобы определить, являются ли имеющиеся ресурсы (пропускная способность, ЦП, и т. д.) достаточными для обработки дополнительной нагрузки.

Тестирование собственной сети или сервера является законным использованием стрессера. Запуск его против чужой сети или сервера, приводящий в результате к отказу в обслуживании их законных пользователей, является незаконным в большинстве стран.

Что такое booter-сервисы?

Booter'ы, также известные как booter-сервисы, представляют собой услуги DDoS -атак (распределенных атак типа «отказ в обслуживании»), предоставляемые по запросу и предлагаемые предприимчивыми преступниками с целью вывести из строя веб-сайты и сети. Другими словами, booter'ы – это незаконное использование IP-адресов.

Нелегальные IP-стрессеры часто скрывают личность атакующего сервера с помощью прокси-серверов. Прокси перенаправляет сигнал злоумышленника, маскируя его IP-адрес.

Booter'ы преподносятся как пакет SaaS (Software-as-a-Service, ПО как услуга), часто с поддержкой по электронной почте и учебниками на YouTube. Пакеты могут предлагать одноразовую услугу, несколько атак в течение определенного периода или даже «пожизненный» доступ. Базовый пакет на один месяц может стоить всего 19,99 дол. США. Варианты оплаты могут включать кредитные карты, Skrill, PayPal или биткойны (хотя PayPal аннулирует счета, если будет доказан злой умысел).

Чем IP-booter'ы отличаются от ботнетов?

Ботнет – это сеть компьютеров, владельцы которых не знают, что их компьютеры заражены вредоносным ПО и используются для интернет-атак. Booter'ы – это услуги DDoS-по-найму.

Booter'ы традиционно использовали ботнеты для проведения атак, но поскольку атаки становятся все более изощренными, они начинают хвастаться более мощными серверами, чтобы, по описанию некоторых услуг booter'ов, «помочь вам начать атаку».

Каковы мотивы атак типа «отказ в обслуживании»?

Мотивы атак типа «отказ в обслуживании» могут быть самыми разными: оттачивание скрипт-кидди* своих хакерских навыков, соперничество в бизнесе, идеологические конфликты, спонсируемый правительством терроризм или вымогательство. Предпочтительными методами оплаты при атаках вымогателей являются PayPal и кредитные карты. Биткойны также используются, потому что они предлагают возможность маскировки личности. Одним из недостатков биткойна, с точки зрения злоумышленников, является то, что биткоинами пользуется меньшее количество людей по сравнению с другими формами оплаты.

*Скрипт-кидди (script kiddie или skiddie), – это уничижительный термин для относительно низкоквалифицированных интернет-вандалов, которые используют скрипты или программы, написанные другими, для проведения атак на сети или веб-сайты. Они пользуются относительно известными и легко уязвимыми местами в системе безопасности, часто не задумываясь о последствиях.

Что такое атаки с усилением и отражением?

Атаки с отражением и усилением используют реальный трафик для того, чтобы перегрузить сеть или сервер, на который направлена атака.

Когда злоумышленник подделывает IP-адрес жертвы и отправляет сообщение третьей стороне, выдавая себя за жертву, это называется подменой IP-адреса. У третьей стороны нет возможности отличить IP-адрес жертвы от IP-адреса злоумышленника. Она отвечает напрямую жертве. IP-адрес злоумышленника скрыт как от жертвы, так и от стороннего сервера. Этот процесс называется отражением.

Это похоже на то, как злоумышленник заказывает пиццу на дом жертвы, притворяясь жертвой. Теперь жертва должна заплатить пиццерии за пиццу, которую она не заказывала.

Усиление трафика происходит, когда злоумышленник заставляет сторонний сервер отправлять ответы жертве с максимально возможным количеством данных. Соотношение между размерами ответа и запроса известно как коэффициент усиления. Чем больше это усиление, тем больше потенциальный ущерб для жертвы. Сторонний сервер также выходит из строя из-за объема поддельных запросов, которые ему приходится обрабатывать. Атака с усилением NTP является одним из примеров такой атаки.

Наиболее эффективные типы атак booter'ов используют как усиление, так и отражение. Сначала злоумышленник подделывает адрес цели и отправляет сообщение третьей стороне. Когда третья сторона отвечает, на поддельный адрес целевой жертвы отправляется сообщение. Это сообщение намного больше, чем оригинальное сообщение, тем самым усиливая размер атаки.

Роль одного бота в такой атаке сродни роли вредного подростка, который звонит в ресторан и заказывает все меню, а затем запрашивает обратный звонок с подтверждением каждого пункта меню. За исключением того, что номер обратного звонка принадлежит жертве. Это приводит к тому, что жертва получает звонок из ресторана с потоком информации, которую она не запрашивала.

Какие существуют категории атак типа «отказ в обслуживании»?

Атаки на прикладном уровне направлены на веб-приложения и часто используются наиболее изощренно. Эти атаки используют слабое место в стеке протоколов 7 уровня, сначала устанавливая соединение с целью, а затем истощая ресурсы сервера путем монополизации процессов и операций. Их трудно выявить и нейтрализовать. Распространенным примером является HTTP-флуд-атака.

Протокольные атаки направлены на использование слабых мест на 3 или 4 уровнях стека протоколов. Такие атаки потребляют всю вычислительную мощность жертвы или другие критически важные ресурсы (например, межсетевой экран), что приводит к нарушению обслуживания. Syn-флуд и Ping of Death являются примерами таких атак.

Объемные атаки посылают большие объемы трафика, пытаясь заполнить пропускную способность канала жертвы. Объемные атаки легко генерировать, используя простые методы усиления, поэтому они являются наиболее распространенными формами атак. UDP-флуд, TCP-флуд, Атака с усилением NTP и Атака с усилением DNS являются примерами таких атак.

Какие атаки типа «отказ в обслуживании» встречаются чаще всего?

Целью DoS- или DDoS-атак является потребление достаточного количества ресурсов сервера или сети, чтобы система перестала реагировать на реальные запросы:

  • SYN-флуд: Последовательность SYN-запросов направляется на систему цели в попытке перегрузить ее. Эта атака использует слабые места в последовательности TCP-соединения, известной как трехстороннее рукопожатие.
  • HTTP-флуд: Тип атаки, при которой для атаки на веб-сервер используются HTTP GET или POST запросы.
  • UDP-флуд: Тип атаки, при которой случайные порты цели переполняются IP-пакетами, содержащими UDP-датаграммы.
  • Ping of Death: Такие атаки подразумевают преднамеренную отправку IP-пакетов большего размера, чем разрешено IP-протоколом. Фрагментация TCP/IP работает с большими пакетами, разбивая их на более мелкие IP-пакеты. Если пакеты, собранные вместе, превышают допустимый размер 65 536 байт, устаревшие серверы часто выходят из строя. В новых системах это в основном исправлено. Ping-флуд – это современное воплощение этой атаки.
  • Атаки на ICMP-протокол: Атаки на ICMP-протокол используют тот факт, что каждый запрос требует обработки сервером перед отправкой ответа. Smurf-атака, ICMP-флуд и ping-флуд используют это преимущество, заваливая сервер ICMP-запросами без ожидания ответа.
  • Slowloris: Изобретенная Робертом "RSnake" Хансеном, эта атака пытается держать открытыми несколько соединений с целевым веб-сервером, причем как можно дольше. В конечном итоге, дополнительные попытки подключения от клиентов будут отклоняться.
  • DNS-флуд: Злоумышленник атакует DNS-серверы определенного домена в попытке нарушить разрешение DNS для этого домена.
  • Teardrop-атака: Атака, которая заключается в отправке фрагментированных пакетов на целевое устройство. Ошибка в TCP/IP-протоколе не позволяет серверу собирать такие пакеты, в результате чего пакеты начинают накапливаться. Затем целевое устройство выходит из строя.
  • Атака с усилением DNS: Эта атака на основе отражения превращает реальные запросы к DNS-серверам (системы доменных имен) в гораздо более крупные, увеличивая при этом потребление ресурсов сервера.
  • Атака с усилением NTP: Это основанная на отражении объемная DDoS-атака, при которой злоумышленник использует функционал сервера протокола сетевого времени (NTP), чтобы перегрузить целевую сеть или сервер усиленным объемом UDP-трафика.
  • SNMP-отражение: Злоумышленник подделывает IP-адрес жертвы и отправляет множество запросов к устройствам по протоколу Simple Network Management Protocol (SNMP). Объем ответов может ошеломить устройство жертвы.
  • SSDP: SSDP-атака (Simple Service Discovery Protocol, простой протокол обнаружения сервисов) – это DDoS-атака на основе отражения, которая использует сетевые протоколы Universal Plug and Play (UPnP) для отправки усиленного объема трафика целевой жертве.
  • Smurf-атака – эта атака использует вредоносную программу под названием smurf. В компьютерную сеть с поддельного IP-адреса жертвы передается большое количество пакетов протокола управления сообщениями в интернете (ICMP).
  • Fraggle Attack – атака, похожая на smurf-атаку, за исключением того, что в ней используется UDP, а не ICMP.

Что следует делать в случае DDoS-атаки с целью выкупа?

  • Немедленно проинформируйте центр обработки данных и интернет-провайдера
  • Не рассматривайте выплату выкупа, так как она часто приводит к увеличению суммы выкупа
  • Уведомите правоохранительные органы
  • Отслеживайте сетевой трафик
  • Обратитесь к планам защиты от DDoS-атак, например, к бесплатному плану Cloudflare

Как можно нейтрализовать атаки ботнетов?

  • На сервере должны быть установлены межсетевые экраны
  • Патчи безопасности должны быть актуальными
  • Антивирусное ПО должно запускаться по расписанию
  • Следует регулярно проверять системные журналы
  • Неизвестные почтовые серверы не должны быть допущены к распространению SMTP-трафика.

Почему booter-услуги трудно отследить?

Лицо, приобретающее эти преступные услуги, использует внешний интерфейс сайта для проведения оплаты и получения инструкций, связанных с атакой. Но очень часто связь с сервером, инициирующим атаку, не удается установить. Поэтому преступный умысел бывает трудно доказать. Отслеживание следов платежей – один из способов вычислить преступников.