Последствие такой атаки является невозможность соединения пользователя с сервером на котором выложен тот или иной сайт. Особенностью этой атаки является то, что атакуются обычно очень мощные сервера, базирующиеся на мощных компьютерах и обладающие <широким> каналом.

Технология DDoS атак подразумевает метод грубой силы - вы тем или иным способом пытаетесь "забить" канал, открывая максимально возможное количество соединений на тот или иной сервис. Также вы может посылать большое количество определенного типа пакетов на хост, и тем самым попытаться вывести из строя стоящую на нем ОС. Как правило, в таком случае система на том хосте не успевает обработать все пакеты, происходит переполнение буфера и ОС перегружается или виснет.

Собственно отказ в обслуживании является типовой атакой и исследован достаточно подробно. Сущность DoS-атаки заключается в том, чтобы лишить пользователей какого-либо сервиса или службы возможности обратиться к этому сервису. Технически это можно осуществить несколькими способами. Вот некоторые из них:

путем перегрузки сети за счет передачи "мусора" и другого паразитного трафика, препятствуя тем самым передаче законного сетевого трафика;

путем прямого разрушения связи между двумя машинами, таким образом предотвращается доступ к службе;

путем лишения доступа к службе конкретного пользователя ( как правило, за счет лишения этого пользователя привилегий доступа );

наконец, путем прямого выведения сервиса из строя ( когда сам сервис полностью доступен, но выполнять свои функции он не может ).

Здесь перечислены не все возможные варианты возникновения отказа в обслуживании. Тем более, что типовая атака отказа в обслуживании может использоваться и как компонент многоступенчатой атаки. Незаконное использование ресурсов также может привести к отказу в обслуживании. К примеру если хацкер использует анонимную FTP (File Transfer Protocol) область закидывая туда много всякой инфы, программного обеспечения и всякого другого мусора, потребляя этим место на сервере и забивая трафик. В итоге, можно так загрузить ftp-сервер, что тот станет недоступен легальным пользователям. Недавно наткнулся на интересную статейку по "убиванию" SMTP (Simple Mail Transfer Protocol), так что люди придумывают все более интересные способы DoS-атак.

DDoS-это не инструмент взлома системы! Распределенные инструментальные средства DoS-это средства, прежде всего, несанкционированного проникновения. Они не эксплуатируют уязвимость защиты, но могут демонстрировать то, какое количество трафика главный компьютер может или не может обрабатывать. Инструментарий DDoS использовался долгое время профессиональными консультантами защиты для испытания устойчивости систем к внешним воздействиям. Прежде чем появились программные средства для распределенных DOS-атак, существовали коммерческие "закрытые" программы, способные управлять распределенными пересылками пакетов с множества машин на один определенный адрес с тем, чтобы определить, сколько трафика сеть может обрабатывать, видеть, должна ли пропускная способность адресатов быть улучшена или, если пропускная способность сети удовлетворительна, насколько надежно будет функционировать сеть при данной загрузке.

Итак, изначально программное обеспечение DDoS использовалось для загрузки сети в экспериментальных целях. Обычно перегрузка достигалась путем посылки бессмысленных пакетов в количестве большем, чем-то, которое сеть может обрабатывать. При дальнейшей разработке инструментария DDoS оказалось, что наиболее эффективной оказывается пересылка пакетов, имеющих ошибочную структуру. Особенно ( для случая Интернета ) так называемых ICMP-пакетов (Internet control messaging protocol). Эти пакеты предназначены для управления конфигурацией сети. В случае, если подобный пакет оказывается ошибочным, обычно довольно большое время тратится на его обработку и, после принятия решения о его ошибочности, на возврат пакета посылающему. То есть, по сравнению с обычным сетевым пакетом, возрастает как время обработки пакета, так и общий трафик сети. Позднее этот же подход стал использоваться и при удаленных DDoS-атаках на серверы жертв. Только инструментарий DDoS использовался уже не с целью анализа устойчивости системы к внешним нагрузкам, а с целью вызвать именно отказ в обслуживании.

В основе распределенной DDoS-атаки лежит установка огромного количества серверов DoS на различных компьютерах. Они будут ждать команды от центрального клиента. В определенный момент времени центральный клиент посылает на все серверы сообщение, содержащее инструкцию посылать как можно большее количество трафика одному адресату. Центральный клиент распределяет работу по посылке пакетов адресату среди всех доступных серверов DoS, поэтому DDoS и называется распределенной атакой.

После триумфального шествия по Интернету троянов, можно говорить о том, что DoS-сервер может работать незаметно для пользователя. То есть ваш компьютер может участвовать в распределенной DoS-атаке, а вы даже не будете об этом подозревать.

Главной особенностью DDoS-атаки является то, что для нее нет слишком мощного компьютера-жертвы. Для сервера любой мощности всегда можно подобрать нужное количество участвующих в атаке компьютеров, которые "затопят" атакуемый сервер своими пакетами. Кстати, большинство Интернет-червей, распространяющих свое тело посредством электронной почты, также являются средством DDoS-атаки, выводящей из строя почтовые серверы. Печальный опыт червя Мориссона и вируса Melissa свидетельствует: вывести из строя можно почтовый сервер любой мощности.

Второй особенностью DDoS-атаки является крайне затрудненная локализация злоумышленников. Мало того, что атака идет со множества адресов (что затрудняет противодействие путем простого блокирования исходящего с этих адресов трафика), эти адреса вполне могут принадлежать ничего не подозревающим пользователям. Злоумышленника можно отследить лишь по сообщению о начале атаки, а путь этого сообщения проследить не так-то легко. Во вся ком случае, по прошествии месяца хацкеры, предпринявшие упоминавшиеся выше атаки, так и не были обнаружены.

Наконец, третьей, не менее грозной, особенностью DDoS-атаки является относительная простота использования распределенного инструментария. Алгоритм DDoS широко известен. Например, немецким хацкером "Микстер" была написана программа Tribe Flood Network, которую можно использовать для проведения атак типа DDoS. С использованием готового программного обеспечения распределенную атаку может организовать группа лиц, имеющая весьма слабое представление о внутренней организации вычислительных систем и действующая лишь из хулиганских побуждений.

На данный момент нет так таковой защиты от этого рода атак. Некоторые сервера просто блокируют ICMP пакеты передача которых продолжается в течение нескольких часов, но и это не слишком помогает. Новые методы способны обойти и такую защиту. К примеру Stream посылает ложные пакеты TCP/IP, которые обычный маршрутизатор переадресует на сервер назначения. Пакеты могут быть скомпонованы так, чтобы занять драгоценное машинное время еще до выявления их злонамеренности. Их очень трудно выявить и отфильтровать.

Дата: 29.10.2003
Автор: KrotReal
Источник: infocity.kiev.ua