DoS/DDoS для новичков

1. Что такое DoS?

DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т.д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману. Теперь перейдем к более серьезному, а именно к DDoS.

2. Что такое DDoS?

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (Distributed Denial of Service) - , распределённая атака типа «отказ в обслуживании». Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации. Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера просто не выдерживают.

Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение.

DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд.

Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему.

Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. А впарить все это можно с помощью Социальной инженерии.

3. Причины.

*Личная неприязнь.

*Развлечение(подростковый период).

*Конкуренция.

*Вымогательство и шантаж.

*Работа(для некоторых взлом - это работа).

*Изучение(поиск уязвимостей, защиты).

4. Так какими бывают атаки?

*Ping of Death

Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает.

*SYN Flood

Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку.

Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться.

*CPU Hog

Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет.

*Smurf-атака 

Атака Smurf или ICMP-флуд*— один из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100*% гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник*— это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Поэтому для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов.

*Атака Fraggle (UDP-флуд)

Атака Fraggle (осколочная граната) является полным аналогом Smurf-атаки, где вместо ICMP пакетов используются пакеты UDP, поэтому её ещё называют UDP-флуд. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы.

*Отправка «тяжёлых» пакетов

Атакующий посылает серверу пакеты, которые не насыщают полосу пропускания (канал обычно довольно широкий), но тратят всё его процессорное время. Процессор сервера, когда будет их обрабатывать, может не справиться со сложными вычислениями. Из-за этого произойдёт сбой, и пользователи не смогут получить доступ к необходимым ресурсам.

Но это еще далеко не все способы.

5. Пример атак.

Так в 2013 году голландский провайдер Cyberbunker начал одну из самый больших DDoS-атак в истории на организацию spamhaus, за то что та вкшючила Cyberbunker в список спамеров. Удар приняла на себя CDN CloudFlare, предоставляющая в том числе и защиту от DDoS. Атака началась 18 марта и на следующий день выросла до 90 Гб/с. 21 марта атака прервалась, но 22 продолжилась с новой силой, увеличившись до 120 Гб/с. Так как завалить саму CloudFlare не удалось, атакующие вскоре переключились на провайдеров, с которыми работает CloudFlare, и увеличили мощность атаки до рекордных 300 Гб/с. Атака затронула сети крупнейших провайдеров, которые в отдельные моменты оказывались перегруженными. 23 марта значительные проблемы были на лондонской точке обмена трафиком. В час пик, когда трафик обычно составляет около полутора терабит, она не справлялась с нагрузкой. Атака велась методом DNS amplification — серверы атакующих рассылали DNS-серверам по всему интернету множество рекурсивных запросов с поддельными обратными адресами. Ответ на такой запрос длиной несколько десятков байт может весить несколько килобайт, и отправляется он по адресу жертвы, «усиливая» таким образом атаку. С помощью DNS amplification можно добиться гораздо большего трафика, чем обычным ботнетом, так как в роли «зомби» оказываются не пользовательские компьютеры со слабым каналом, а серверы. Чтобы провести такую атаку, надо иметь списки адресов уязвимых DNS-серверов. Судя по всему, списки атакующих были очень длинными и качественными.

6. Инструменты.

LOIC - Программа выполняет распределённую атаку вида «отказ в обслуживании» путём постоянных передач на нужный веб сайт или узел TCP-, UDP-пакетов или HTTP-запросов с целью появления сбоев в работе целевого узла.

HOIC — многопоточный http флуд, флуд до 256 сайтов одновременно. Использует разные ускорители, чтобы увеличить DDoS-вывод и многое другое.

HPING — это генератор пакетов и анализатор для TCP/IP протокол. Особенности: поддерживает TCP, протокол UDP, протокол ICMP и RAW-IP протоколы.

pyloris — довольно неплохой инструмент для тестирования сервера. Может быть использован для выполнения DDOS-атак на сервис. Этот инструмент может использовать socks прокси и SSL-соединений для выполнения DDOS-атак на сервер. Он может быть направлен против различных протоколов, включая HTTP, FTP, протоколы SMTP, IMAP и Telnet.

Slowloris — держит соединения открытыми, направив частичный http-запросов.

Thcssl — перегружает сервер и выбивает его из Интернета. Инструмент немного отходит от традиционной DDoS-атаки. Как именно отходит от традиционной атаки точно сказать не могу, да и не помню.

Но на всякий случай держу под рукой.

torshammer — Это медленный инструмент, написанный на Python. Этот инструмент имеет дополнительное преимущество, его можно запускать через сети Tor для анонимности при выполнении атаки. Это эффективный инструмент, который может убить Apache или IIS серверы в несколько секунд.

MummyDDOS - Проверка Ip/Домена на открытые порты, Ddos по порту, TCP сообещения, Ddos циклом.

Все эти программы довольно старые и не стоит на них сильно рассчитывать. Хорошие вещи не лежать на видном месте)