Журнал "Information Security/ Информационная безопасность" #4, 2019

Для организации мусор- ного потока имеются раз- личные способы. Например, можно вывести из строя Web-сервер, отправляя ему множество GET-запросов на одну или несколько страниц сайта или большое количе- ство пакетов с запросами на установку сетевого соедине- ния (атака SYN-flood). Для посетителя сайта обе атаки выглядят одинаково: ему не удается подключить- ся к серверу. Совсем недавно был обнару- жен вредоносный код, который превращает в DDoS-ботнет сер- веры ElasticSearch 3 , – написан- ный на Java поисковый движок с открытыми исходниками. Его используют Wikimedia, Quora, SoundCloud, GitHub, Netflix, Ama- zon, IBM и др. В этой статье мы рассмотрим основные виды атак на отказ в обслуживании, выясним причи- ны популярности движка Elas- ticSearch, расскажем, как сер- веры стали участниками ботне- тов и как защититься от подоб- ных инцидентов. Что такое DDoS-атака Аббревиатура DDoS расшиф- ровывается как Distributed Denial of Service – распределенный отказ в обслуживании. Во время DDoS-атаки жертву атакуют сотни и тысячи компьютеров, т.е. "все на одного". В случае с DoS-атакой нападение про- исходит в режиме "один на один". Разумеется, эффектив- ность распределенных атак значительно выше. Суть атаки сводится к тому, чтобы засыпать жертву мусор- ными запросами, которые она не успевает обработать. В результате легитимные кли- енты не могут подключиться к системе, получая отказ в обслуживании. Для организации мусорного потока имеются различные спо- собы. Например, можно выве- сти из строя Web-сервер, отправляя ему множество GET- запросов на одну или несколько страниц сайта или большое количество пакетов с запросами на установку сетевого соедине- ния (атака SYN-flood 4 ). Для посетителя сайта обе атаки выглядят одинаково: ему не удается подключиться к сер- веру. Какие бывают DDoS-атаки Если не слишком углубляться в технические детали, то атаки на отказ в обслуживании можно разделить на две боль- шие группы. Переполнение канала связи Сюда относятся все виды флуда и другие атаки на сете- вом и транспортном уровне модели ISO/OSI (уровни 3 и 4). Фактически атака создает боль- шой поток данных, целиком заполняя канал. В результате реальные пользователи лишаются доступа к сервисам. Самая крупная атака из этой категории была зафиксирована в феврале 2018 г. 5 . Ее целью стал GitHub – популярный сер- вис для управления исходным кодом. Мощность мусорного потока составила 1,3 Тбит/с, была получена благодаря уси- лению потока с использованием серверов memcached 6 , выпол- няющих кеширование интернет- трафика. Перегрузка сетевого сервиса Это атаки на уровень прило- жений, уровень 7 модели ISO/OSI. К данной разновидно- сти относятся HTTP-флуд, мед- ленные сессии и фрагментиро- ванные HTTP-пакеты. Со стороны подобная атака выглядит как резко возросшая активность пользователей, соз- дающая большое количество запросов к Web-серверу или другому сетевому сервису, кото- рые нагружают процессор, вызывают обращения к базе данных и/или интенсивную 26 • ТЕХНОЛОГИИ Как серверы ElasticSearch используют для организации DDoS-атак DDoS-атаки – это настоящий бич современности. Несмотря на закрытие в 2018 году WebStresser 1 и еще 15 сайтов для организации распределенных атак 2 , количество инцидентов в первом квартале 2019 года выросло, причем число длительных атак стало больше. Причина такого расцвета в том, что организовать вполне серьезную атаку можно буквально на коленке, собрав собственный ботнет из достаточного количества подключенных к Интернету устройств. Подойдут практически любые устройства, от умных чайников и камер видеонаблюдения до принтеров и мощных серверов. Главное, чтобы прошивки, операционные системы или доступные из Интернета сервисы содержали известные уязвимости. D Михаил Кондрашин, технический директор в Trend Micro в России и СНГ 1 http://safe.cnews.ru/news/top/2018-04-27_fizicheski_razgromlen_krupnejshij_ddosservis_v 2 https://www.justice.gov/opa/pr/criminal-charges-filed-los-angeles-and-alaska-conjunction-seizures-15- websites-offering-ddos 3 https://blog.trendmicro.com/trendlabs-security-intelligence/multistage-attack-delivers-billgates-setag- backdoor-can-turn-elasticsearch-databases-into-ddos-botnet-zombies/ 4 https://ru.wikipedia.org/wiki/SYN-флуд 5 https://www.cloudflare.com/learning/ddos/famous-ddos-attacks/ 6 https://www.cloudflare.com/learning/ddos/memcached-ddos-attack/

RkJQdWJsaXNoZXIy Mzk4NzYw