DDoS-атаки, представленные в виде SaaS, доступны за умеренную плату благодаря IP-стрессерам.
После прочтения этой статьи вы сможете:
Связанный контент
Отказ в предоставлении услуг
Как делать DDoS-атаки
Что такое ботнет DDoS?
Интернет вещей (IOT)
Маршрутизация в черные дыры
Подпишитесь на theNET, ежемесячный обзор наиболее популярных аналитических сведений об Интернете от Cloudflare!
Копировать ссылку статьи
IP-стрессер – это инструмент, предназначенный для проверки сети или сервера на устойчивость. Администратор может запустить стресс-тест, чтобы определить, являются ли имеющиеся ресурсы (пропускная способность, ЦП, и т. д.) достаточными для обработки дополнительной нагрузки.
Тестирование собственной сети или сервера является законным использованием стрессера. Запуск его против чужой сети или сервера, приводящий в результате к отказу в обслуживании их законных пользователей, является незаконным в большинстве стран.
Booter'ы, также известные как booter-сервисы, представляют собой услуги DDoS -атак (распределенных атак типа «отказ в обслуживании»), предоставляемые по запросу и предлагаемые предприимчивыми преступниками с целью вывести из строя веб-сайты и сети. Другими словами, booter'ы – это незаконное использование IP-адресов.
Нелегальные IP-стрессеры часто скрывают личность атакующего сервера с помощью прокси-серверов. Прокси перенаправляет сигнал злоумышленника, маскируя его IP-адрес.
Booter'ы преподносятся как пакет SaaS (Software-as-a-Service, ПО как услуга), часто с поддержкой по электронной почте и учебниками на YouTube. Пакеты могут предлагать одноразовую услугу, несколько атак в течение определенного периода или даже «пожизненный» доступ. Базовый пакет на один месяц может стоить всего 19,99 дол. США. Варианты оплаты могут включать кредитные карты, Skrill, PayPal или биткойны (хотя PayPal аннулирует счета, если будет доказан злой умысел).
Ботнет – это сеть компьютеров, владельцы которых не знают, что их компьютеры заражены вредоносным ПО и используются для интернет-атак. Booter'ы – это услуги DDoS-по-найму.
Booter'ы традиционно использовали ботнеты для проведения атак, но поскольку атаки становятся все более изощренными, они начинают хвастаться более мощными серверами, чтобы, по описанию некоторых услуг booter'ов, «помочь вам начать атаку».
Мотивы атак типа «отказ в обслуживании» могут быть самыми разными: оттачивание скрипт-кидди* своих хакерских навыков, соперничество в бизнесе, идеологические конфликты, спонсируемый правительством терроризм или вымогательство. Предпочтительными методами оплаты при атаках вымогателей являются PayPal и кредитные карты. Биткойны также используются, потому что они предлагают возможность маскировки личности. Одним из недостатков биткойна, с точки зрения злоумышленников, является то, что биткоинами пользуется меньшее количество людей по сравнению с другими формами оплаты.
*Скрипт-кидди (script kiddie или skiddie), – это уничижительный термин для относительно низкоквалифицированных интернет-вандалов, которые используют скрипты или программы, написанные другими, для проведения атак на сети или веб-сайты. Они пользуются относительно известными и легко уязвимыми местами в системе безопасности, часто не задумываясь о последствиях.
Атаки с отражением и усилением используют реальный трафик для того, чтобы перегрузить сеть или сервер, на который направлена атака.
Когда злоумышленник подделывает IP-адрес жертвы и отправляет сообщение третьей стороне, выдавая себя за жертву, это называется подменой IP-адреса. У третьей стороны нет возможности отличить IP-адрес жертвы от IP-адреса злоумышленника. Она отвечает напрямую жертве. IP-адрес злоумышленника скрыт как от жертвы, так и от стороннего сервера. Этот процесс называется отражением.
Это похоже на то, как злоумышленник заказывает пиццу на дом жертвы, притворяясь жертвой. Теперь жертва должна заплатить пиццерии за пиццу, которую она не заказывала.
Усиление трафика происходит, когда злоумышленник заставляет сторонний сервер отправлять ответы жертве с максимально возможным количеством данных. Соотношение между размерами ответа и запроса известно как коэффициент усиления. Чем больше это усиление, тем больше потенциальный ущерб для жертвы. Сторонний сервер также выходит из строя из-за объема поддельных запросов, которые ему приходится обрабатывать. Атака с усилением NTP является одним из примеров такой атаки.
Наиболее эффективные типы атак booter'ов используют как усиление, так и отражение. Сначала злоумышленник подделывает адрес цели и отправляет сообщение третьей стороне. Когда третья сторона отвечает, на поддельный адрес целевой жертвы отправляется сообщение. Это сообщение намного больше, чем оригинальное сообщение, тем самым усиливая размер атаки.
Роль одного бота в такой атаке сродни роли вредного подростка, который звонит в ресторан и заказывает все меню, а затем запрашивает обратный звонок с подтверждением каждого пункта меню. За исключением того, что номер обратного звонка принадлежит жертве. Это приводит к тому, что жертва получает звонок из ресторана с потоком информации, которую она не запрашивала.
Атаки на прикладном уровне направлены на веб-приложения и часто используются наиболее изощренно. Эти атаки используют слабое место в стеке протоколов 7 уровня, сначала устанавливая соединение с целью, а затем истощая ресурсы сервера путем монополизации процессов и операций. Их трудно выявить и нейтрализовать. Распространенным примером является HTTP-флуд-атака.
Протокольные атаки направлены на использование слабых мест на 3 или 4 уровнях стека протоколов. Такие атаки потребляют всю вычислительную мощность жертвы или другие критически важные ресурсы (например, межсетевой экран), что приводит к нарушению обслуживания. Syn-флуд и Ping of Death являются примерами таких атак.
Объемные атаки посылают большие объемы трафика, пытаясь заполнить пропускную способность канала жертвы. Объемные атаки легко генерировать, используя простые методы усиления, поэтому они являются наиболее распространенными формами атак. UDP-флуд, TCP-флуд, Атака с усилением NTP и Атака с усилением DNS являются примерами таких атак.
Целью DoS- или DDoS-атак является потребление достаточного количества ресурсов сервера или сети, чтобы система перестала реагировать на реальные запросы:
Лицо, приобретающее эти преступные услуги, использует внешний интерфейс сайта для проведения оплаты и получения инструкций, связанных с атакой. Но очень часто связь с сервером, инициирующим атаку, не удается установить. Поэтому преступный умысел бывает трудно доказать. Отслеживание следов платежей – один из способов вычислить преступников.