ої атаки було поширення черва «Code Red», який захоплював машини через експлойт в сервері Microsoft's IIS, щоб через певний час почати атаку на відмову сайту Білого Дому. Аналіз цієї події показав, що існує кілька особливостей, властивих тільки розподіленим атакам на відмову. По-перше, обсяг трафіку розподіленої атаки може досягати 10 Гігабіт в секунду, яка може завантажити можливості більшості корпоративних Інтернет з'єднань. По-друге, при розподіленої атаки пакети приходять з багатьох джерел, які географічно рознесені. Це значно ускладнює відстеження IP адрес. По-третє, трафік від кожного джерела може не сильно відрізнятися від звичайного трафіку. Таким чином, трафік розподіленої атаки може здаватися повністю «законним», що істотно ускладнює завдання фільтрування фальшивих пакетів без шкоди звичайним користувачам. Власне, атаки такого типу подібні до скупченню (flash crowd), яке виникає коли велика кількість звичайних користувачів звертається до сервера одночасно. Як правило для успішної розподіленої атаки потрібно велика кількість джерел трафіку (кілька тисяч). На жаль, в наш час створення такої армії підконтрольних агентів досить просте враховуючи автоматизовані хакерські інструменти, які легко можна знайти в мережі.
Відбиті розподілені атаки на відмову
Як вже зазначалося, при проведенні атак на відмову часто використовується підробка адреси - тобто підміна IP адреси джерела, який міститься в заголовку пакета. Перша вигода від використання підробки полягає в тому, що це значно ускладнює пошук агентів атаки. Оскільки ризик розкриття агентів низький, то інформація на них (наприклад, файли з логами доступу) не може бути проаналізована з метою локалізації комп'ютера атакуючого. Цей фактор ще більше заохочує до проведення таких атак. Більш того, це дозволяє атакуючому використовувати ці комп'ютери для подальших атак. Інший вигодою використання підробки IP є можливість здійснення відображених атак (reflector attacks). Атакуючий посилає запит (від імені жертви) на певний сервіс, який генерує великі пакети відповіді на невеликі запити (ефект посилення). При атаці генерується максимально можливу кількість пакетів-запитів від імені жертви і відсилає на загальнодоступні сервери. Сервери починають відповідати, посилаючи об'ємні пакети-відповіді на адресу жертви (таким чином, атака посилюється і відбивається), переповняючи її канали. Під час атаки атакуючий агент посилає велику кількість UDP DNS запитів при цьому підроблюючи пакети адресою жертви. Усі відповіді серверів прийдуть за сфальсифікованим адресою. Відповідь сервера може бути значно більше за DNS запит, який є потенційною можливістю посилення атаки. Крім того, сервери не зберігають жодної інформації про користувачів, які звертаються до них із запитом. Зупинити цей сервіс також не можна, оскільки його використовує велику кількість звичайних користувачів. Залежно від ресурсів та обсягу запитів цих серверів, можна попередити відображену атаку шляхом обмеження кількості відповідей за певною адресою. Однак цей підхід вимагає зберігання в пам'яті певної інформації і потенційно може завантажувати значні обсяги ресурсів.
Ботнети
Ботнет (Botnet) - це жаргонний термін, який означає групу програмних агентів або ботів, що функціонують автономно. Також це слово може відноситися до мережі комп'ютерів, які використов...
