Разделы

Безопасность Бизнес Интернет Веб-сервисы Цифровизация Бизнес-приложения Маркет

Каждые пять минут в мире происходит две DOS-атаки

Калифорнийский университет Сан-Диего (США) опубликовал результаты исследования, проведенного в Сети по вопросу о хакерских атаках на интернет-серверы типа DOS (Denial of Service, "отказ в обслуживании"), сообщает французский Le Journal Du Net. За три недели, которые проходило исследование, ученые зарегистрировали 12 805 DOS-атак, направленных против 5 тыс. серверов. В течение недели исследователи установили, что ежечасно 150 IP-адресов становятся жертвами DOS-атак.
Среди двух тысях пострадавших организаций - в основном компании, занимающиеся электронной торговлей, такие как Amazon, а также различные интернет-сервисы типа Hotmail. О большинстве этих нападений средства массовой информации не сообщают. Длительность этих атак различна. Более 50% из длятся не более 10 минут, 80% - не более 30 минут, и 90% - не более часа. Как показывает исследование, среди наиболее "соблазнительных" для хакеров - домены .com и .net (15% атак), сразу за ними следуют .ro (Румыния) и .br (Бразилия), соответственно 13 и 6% атак, затем .org, .edu, .ca (Канада), .de (Германия) и .uk (Великобритания).
Содержание полного текста отчета Калифорнийского университета для CNews.ru прокомментировал Андрей Д. (Duke), координатор проектов Void.ru, Netstat.ru.

"Вступление к отчету по исследованиям обзорно описывает принципы функционирования систем обнаружения атак, применявшихся в ходе съёма информации о попытках атак denial-of-service, а так же основные типы регистрируемой подозрительной активности. Большая часть технических спецификаций посвящена описанию разнообразных методов атак, связанных с перегрузкой трафиком объекта атаки и/или компонентов, входящих в состав его upstream. Большая часть технических спецификаций по описанным средствам dos была опубликована около года назад (к примеру, проект void.ru опубликовал технические спецификации системы распределённых атак trinoo ещё в 1999 году), а прочие методы (к примеру, broadcast amplification (smurf), syn flood) известны уже порядка нескольких лет.

Особенностью последего класса атак является следующий принцип действия: атакующий посылает на какой-либо открытый порт объекта ряд TCP-пакетов с установленным флагом SYN и неверными случайно сгенерированными обратными адресами. Объект атаки отвечает на данные адреса пакетом с флагами SYN/ACK, свидетельствующими о готовности к соединению, и при достаточно большом объёме трафика вскоре перестает реагировать на запросы установки соединения. Данный тип атаки известен уже несколько лет.

При условии, что какой-либо из случайно сгенерированных адресов будет действительно соответствовать функционирующей системе, ответ SYN/ACK будет принят и обработан системой, оказавшейся на месте случайно выбранного IP-адреса, и объект атаки получит от данной системы ICMP-пакет, указывающий на невозможность соединения (первоначальный пакет был послан атакующим и имеет несоответствие по tcp sequence number с пакетом, полученным от реальной системы, совпавшей по сгенерированному адресу).

Данный общеизвестный тип атаки, как ни странно, послужил опорой для проводимого исследования. Дело в том, что именно тот факт, что обратные адреса генерируемых пакетов выбираются случайно, позволил применить методы теории вероятности к анализу данного типа инцидентов.

При условии, что атакующий послал m пакетов со случайными обратными адресами, вероятность получения нежелательного для объекта ответа равна m/2^32 (2^32 - общая ёмкость адресного пространства IPv4). Тогда получается, что наблюдатель, имеющий в своём распоряжении n различных IP-адресов, сможет зафиксировать факт атаки с математическим ожиданием, равным n*m/2^32.

Итак, ключевыми моментами, влияющими на объективность исследования, стали равномерность распределения адресов (атакующие, как правило, выбирают их случайным образом), надёжность канала (трафик, посылаемый атакующим к объекту доходит до пункта назначения, равно как и ответ от объекта доходит до системы, адрес которой был выбран злоумышленником в качестве обратного). Наибольшей сложностью явилось получение множества IP-адресов, равномерно распределённых в IPv4, но учёные утверждают, что использованная ими выборка удовлетворила критерию Андерсона-Дарлинга, что указывало на относительную чистоту эксперимента. (это означает, что адреса, наблюдаемые учёными, были распределены почти равномерно, то есть так же, как и адреса, выбираемые в качестве обратных средствами атак).

Действительно, использованный метод отличается оригинальностью и объективностью, и позволяет построить картину 'боевых действий' в пространстве IP-адресов при минимальных расходах на мониторинг. При сборе информации об атаках традиционными методами, как это делает, к примеру, сервис Attack Registry and Intelligence Service, объективность исследований вызывает большие сомнения, так как в данном случае принципиально невозможно получить равномерно распределённую выборку объектов атак - волей кибервандалов, в отличие от беспристрастного генератора случайных чисел, управляют вовсе не законы теории вероятности.

Подводя итог, хочется сказать, что описанный метод анализа напоминает определение места падения камня в пруд по кругам на воде. Любое действие всегда рождало противодействие - пусть малозаметное, но всё же неизбежное.

Андрей Д. (Duke), координатор проектов Void.ru, Netstat.ru.
Интранет в HR-стратегии: как автоматизировать рутину и вовлечь сотрудников в корпоративную культуру
Бизнес