Краткий анализ решений в сфере сов и разработка нейросетевого детектора аномалий в сетях передачи данных

Введение

Люди, неискушенные в теме ИБ, зачастую могут путать DoS-атаки и DDoS-атаки, здесь проще всего будет запомнить так: при Dos-атаке отказ в обслуживании пытается вызвать одна атакующая машина; при DDoS-атаке таких машин много, как правило, это бот-сеть, в которую входят зараженные и полностью контролируемые злоумышленником компьютеры.

Как можно догадаться, бороться с DDoS-атакой гораздо сложнее, она может длиться дни, даже недели — зависит от бюджета киберпреступника. Эффективность этой атаки очевидна, а доступность и вовсе поражает — на рынках даркнета небольшой ботнет можно купить за 150 долларов.

Чтобы иметь представление о том, сколько атак DDoS совершается в разных регионах мира, взгляните на специальную карту цифровых атак.

На данном этапе мы имеем большое разнообразие атак DDoS, рассмотрим некоторые из них.

Классификация и DDoS-атак

Рассмотрим типовые атаки и их классификацию .

  1. Network floods – самый простой для злоумышленника вариант. Не требуется установка TCP сессии с компьютером жертвы. Приводят к исчерпанию ресурсов атакуемой системы или полосы пропускания канала. Примерами таких атак являются ICMP и UDP flood. Атаки, направленные на серверные ресурсы. Обычно этот вариант используется для воздействия на серверы приложений. Примерами являются TCP-SYN, TCP-RST, TCP-ACK.
  2. Атаки на ресурсы приложений. В последние годы встречаются довольно часто, причем надо отметить, что это не только воздействие на HTTP, но и HTTPS, DNS, VOIP, SMTP, FTP и другие прикладные протоколы. Среди этих атак HTTP flood, DNS flood и прочее.
  3. Сканирование. В сущности, само по себе сканирование, на первый взгляд, представляется безвредным, поскольку само по себе не приносит вреда, но на самом деле это «разведка перед боем», позволяющая выяснить информацию, которая поможет в дальнейшем атаковать систему. Так что противостоять ему все равно необходимо.
  4. Медленные атаки малого объема. Так называемые Low and Slow. Этот вариант представляет наибольшую опасность в силу малой заметности и продолжительного времени нарастания зловредного воздействия. Обычно здесь речь идет о воздействии на приложения и иногда на серверные ресурсы.
  5. Сложные атаки на веб-приложения. Эти механизмы используют уязвимости в веб-приложениях, которые с избытком предоставляют разработчики. Именно это приводит к несанкционированному доступу к системе, потерям и несанкционированным изменениям данных.
  6. Атаки под SSL – подразумевается, что злоумышленник может маскировать свои деструктивные действия внутри SSL трафика, что значительно усложняет противодействие. Протокол SSL работает поверх TCP/IP, обеспечивая безопасность обмена информацией для пользователей. Какие же здесь есть возможности для злоумышленников? Можно говорить об атаках на сам процесс установки SSL взаимодействия (SSL handshake), отправка «мусорных» пакетов серверу или злоупотребление функциями согласования ключевой информации и т. д.

Классификация ddos атак

Следующие типы нападений могут быть предприняты злоумышленниками:

  1. Перегрузка полосы пропускания. Чтобы компьютеры, подключенные к сети, могли нормально взаимодействовать между собой, канал связи, через которые они соединяются, должен нормально работать, и предоставлять достаточные параметры для конкретных задач (например, полоса пропускания). Данный тип атак, направлен именно на перегрузку сетевых каналов связи. Достигается это путем постоянной отправки бессвязной или системной информации (команда ping)
  2. Ограничение ресурсов. Данный тип мы уже рассмотрели выше, в примере с доступом к веб-сайту. Как мы отметили — сервер имел возможность обрабатывать ограниченное количество одновременных подключений. Злоумышленнику необходимо направить на сервер большое количество одновременных подключений. В итоге сервер не справится с нагрузкой, и перестанет работать.
  3. Нападение на DNS сервера. В этом случае DDOS атака призвана также прекратить доступ к веб-сайту. Другой вариант — перенаправить пользователя с правильного сайта на фальшивый. Это может быть сделано с целью похищения персональные данные. Достигается это путем атаки на DNS сервера, и подмены ip-адресов на фальшивые. Давайте разберем это на примере. Некий банк использует для расчета через интернет свой веб-сайт. Пользователю необходимо зайти на него, и ввести данные своей пластиковой карты. Злоумышленник с целью похищения этой информации создает однотипный сайт, и проводит атаку на DNS сервера (сервера имен). Целью данного мероприятия является перенаправления пользователя на сайт злоумышленника, когда тот попытается зайти на сайт банка. Если это удается, пользователь не подозревая угрозы, введет свои персональные данные на сайте злоумышленника, и он получит к ним доступ
  4. Недоработки в программном обеспечении. Самым сложным является данный тип атак. Злоумышленники выявляют недоработки в программном обеспечении, и используют их с целью разрушения системы. Чтобы заказать такую ddos атаку, необходимо будет потратить немало средств

Этапы реализации атак

Когда говорят а действии таком как атака, то подразумевают только реализацию атаки, но забывают о двух главных действиях: Предпосылки реализации атаки и Завершение атаки. Сбор данных — это основной этап для создании атаки. На этом этапе вся эффективность работы зависит от отличного результата на даном этапе. Сначала выбирается цель атаки и собираются данные о объекте открытые порты, тип ОС, ПО и конфигурация и др). Затем определяются самые уязвимые места такой системы, которые при атаке дадут необходимый результат. Такая работа разрешит выбрать тип атаки и источник ее реализации.

Обычные методы защиты, работают только на втором этапе создании атаки, однако не защищают совершенно от первого и третьего этапа. Также они не разрешают обнаружить уже совершенные атаки и проанализировать ущерб. Злоумышленник в зависимости от результата, концентрируется на аспекте атаки:

для отказа в обслуживании, анализируется атакуемая сеть, ищутся слабые места
для хищения данных, определяется внимание незаметной атаке

Сбор информации. Этот этап включает сбор данных о сетевой топологии, версии ОС атакуемого узла и др. Злоумышленник может попробовать определить адреса доверенных систем и узлов, которые напрямую соединены с цель атаки. Есть два метода определения топологии сети, которыми может воспользоваться злоумышленник:

  • изменение TTL
  • запись маршрута

По первому способу работают программы tracert для Windows и traceroute для Unix. Они реализуют поле TIME to Live в заголовке IP-пакета, которое меняется относительно пройденных маршрутизатором сетевым пакетом. Также сетевую топологию можно определить с помощью протокола SNMP или же протокола RIP.

Идентификации узла обычно определяют с помощью утилиты ping команды ECHO_REQUEST протокола ICMP. Узел доступен, когда придет ответное сообщение ECHO_REPLY. Такой метод идентификации имеет два недостатка:

  • Использование ICMP-запросов разрешает с легкость выявить их источник, а значит и обнаружить злоумышленника.
  • Множество сетевых устройств блокируют ICMP-пакеты, не пропускают во внутрь, или не выпускают наружу.

Еще один метод идентификации узлов возможен, если нападающий находится в локальной сети жертвы с помощью своей сетевой карты. Также можно идентифицировать узлы сети с помощью DNS.

Сканирование портов. Идентификация сервисом реализуется путем обнаружения открытых портов. Программы для сканирования можно посмотреть в программы для тестирования сети Сканировать К примеру:

  • открытый 80-й порт говорит, что в наличии есть Web-сервера
  • 25-й порт — почтовый сервер SMTP
  • 31377 — серверной части троянского коня BackOrifice
  • 12345 или 12346 — -//- NetBus

Определение ОС. В каждой операционной системе по-своему реализован стек протоколов ТСР/IP, что при задавании специальных вопросов, можно будет проанализировать ответы. Менее эффективный метод определения, это анализ сетевых сервисом.

Определения роли узла. Следующим шагом это определение функций узла, на который злоумышленник хочет провести атаку. Также с помощью автоматизированных методов или же вручную злоумышленник ищет уязвимости. В качестве таких методов могут подойти программы, которые описаны в статье программы для тестирования сети.

Реализация атаки. Этот этап определяет действия или попытки злоумышленника, которые направлены на атакуемый узел. Проникновение определяет обход методов защиты периметра. Пример конкретных алгоритмов проводить будет не кореткно, так как тематика сайта на защиту информации. После проникновения злоумышленник постарается удержать контроль над атакуемым узлом.

Цели реализации атак. Нужно отметить, что злоумышленник может пытаться достигнуть две цели, это получение НСД доступ к самому узлу и находящейся в ней информации. Вторая цель, это получение НСД у узлу для совершение дальнейших атак на другие узлы. Этап завершения атаки основан на заметании следов. Обычно это удаление определенных записей в различных журналах узла, а также возвращение узел в исходное — рабочее состояние.

Как определить, что ваш сервер или сайт подвергся нападению

От начала воздействия до момента, когда атакуемый ресурс перестает отвечать на запросы, чаще всего (но не всегда) проходит несколько часов. Если успеть принять защитные меры, серьезных последствий можно избежать. Но для этого необходимо знать, какими бывают неявные признаки нападения.

Итак, чем проявляется ДиДос-атака:

  • Входящий, а иногда и исходящий сетевой трафик атакуемого узла увеличивается в разы и имеет тенденцию к дальнейшему росту. Заметно вырастает объем трафика на определенные порты.
  • По нарастающей увеличивается нагрузка на процессор и оперативную память.
  • В работе серверных приложений возникают различные ошибки – от «вылета» отдельных функций до полной невозможности запуска.
  • Основная масса клиентов обращается к одним и тем же функциям приложения или сайта, например, открывает определенную страницу.
  • На атакуемом сайте медленно грузятся страницы, не выполняются отдельные функции, возникают ошибки. Иногда при признаках атаки сайт блокирует хостинг-провайдер, дабы защитить от воздействия ни в чем не повинных соседей.
  • В логах атакуемого сервера и сетевых устройств большое количество однотипных запросов от клиентов, географически удаленных друг от друга (зомби-сети зараженных компьютеров).
  • К сайту, традиционно имеющему аудиторию, объединенную по конкретному признаку, например, языку или месторасположению (городской портал), массово обращаются клиенты, не имеющие этого признака. Например, из других городов и стран.

Эти симптомы, кроме двух последних, встречаются не только при нападениях хакеров, но и при других неполадках сетевых ресурсов

Единственный признак – повод усилить внимание. Но если их два или больше, пора принимать защитные меры

Спаун[править | править код]

Зомби появляются только в обычном мире группами до 4-х особей при уровне освещения 7 или меньше, и состоявляют 13 % от общего числа мобов. В пустынях, все зомби под открытом небом имеют шанс в 80 % быть заменены на кадавров, вариант зомби. При появлении обычного зомби, не кадавра, есть 5 % шанс, что это будет зомби-житель.

Все варианты зомби имеют 5 % шанс, что это будет зомби-ребёнок. Зомби-ребёнок при появлении, в свою очередь, имеет 5 % шанс стать зомби-наездником.

Во время осадыправить | править код

Основная статья: Осада

Если игрок находится в деревне с хотя бы 10 дверьми и 20 жителями (или недалеко от неё) в полночь, то рядом с её границей может появится до 20 зомби согласно правилам спауна мобов. Это может произойти в любом биоме, кроме грибного острова. При осаде появляются только обыкновенные зомби; зомби-жители, кадавры и утопленники никогда не спаунтся как часть засады

Из спаунераправить | править код

Зомби также появляются из спаунеров, находящихся в сокровищницах, если рядом есть игрок. Хотя из спаунеров не появлются зомби-жители, спаунеры остаются заметным подспорьем в поиске таковых: зомби-жители могут появиться в подмоге, которую зовут зомби, появляющиеся из спаунера.

Принципы организации атак

ДДоС-атака принципиально строится на нескольких базовых условиях. Самое главное – на первом этапе получить доступ к какому-то пользовательскому компьютеру или даже серверу, внедрив в него вредоносный код в виде программ, которые сегодня принято называть троянами.

Как устроить DDoS-атаку самому именно на этом этапе? Совершенно просто. Для заражения компьютеров можно использовать так называемые снифферы. Достаточно прислать жертве письмо на электронный адрес с вложением (например, картинкой, содержащей исполняемый код), при открытии которой злоумышленник получает доступ к чужому компьютеру через его IP-адрес.

Теперь несколько слов о том, что подразумевает собой второй этап, который задействует DDoS-атака. Как сделать следующее обращение? Нужно, чтобы на сервер или интернет-ресурс было отправлено максимальное количество обращений. Естественно, с одного терминала сделать это невозможно, поэтому придется задействовать дополнительные компьютеры. Вывод напрашивается сам собой: необходимо, чтобы внедренный вирус их заразил. Как правило, такие скрипты, готовые версии которых можно найти даже в интернете, являются самокопирующимися и заражают другие терминалы в сетевом окружении при наличии активного подключения или через интернет.

Самый известный случай DDoS-атаки

Однако, как оказалось впоследствии, только этим дело не ограничилось. Крупнейшая DDoS-атака за всю историю существования компьютерного мира была зафиксирована в 2013 году, когда возник спор между компанией Spamhaus и голландским провайдером Cyberbunker.

Первая организация без объяснения причин включила провайдера в список спамеров, несмотря на то, что его серверами пользовались многие уважаемые (и не очень) организации и службы. К тому же серверы провайдера, как ни странно это выглядит, были расположены в здании бывшего бункера НАТО.

В ответ на такие действия Cyberbunker начал атаку, которую на себя приняла CDN CloudFlare. Первый удар пришелся на 18 марта, на следующий день скорость обращений возросла до 90 Гбит/с, 21-го числа наступило затишье, но 22 марта скорость составила уже 120 Гбит/с. Вывести из строя CloudFlare не удалось, поэтому скорость была увеличена до 300 Гбит/с. На сегодняшний день это является рекордным показателем.

Как обезопасить сайт

Блокировка нежелательных запросов через htaccess. Работа с файлом .htaccess дает возможность на уровне сервера управлять доступом к сайту, не затрагивая коды и скрипты, за счет чего он нагружает ресурс очень слабо. При этом защита сайта осуществляется при помощи введений ограничений по IP-адресам и определенным признакам в запросах.

Защита с помощью PHP-скрипта. Каждый поступивший на сайт запрос анализируется, а IP, от которого он исходил, запоминается. Если команды поступают с привычного IP в промежутки, нетипичные для человека, то ему блокируется доступ к странице. К недостатку данного способа можно отнести то, что от работы скрипта нагрузка на сайт может повыситься.

Сервис для очистки от спамного трафика. К доменному имени вашего сайта добавляется DNS-сервер компании, которая предоставляет услуги защиты. В результате все запросы, поступающие на ваш сайт, сначала идут на IP-адрес фильтрующего сервера. Безопасные пакеты направляются на хостинг вашего ресурса, а подозрительные блокируются. В результате всю лишнюю нагрузку берет на себя специальный сервер.

Значения[править | править код]

NBT данныеправить | править код

  • NBT данные сущности

    •  IsVillager: 1 или 0 (true/false) — true (истина), если зомби инфицировал жителя. Может отсутствовать.
    •  IsBaby: 1 или 0 (true/false) — true (истина), если зомби является ребёнком. Может отсутствовать.
    •  ConversionTime: время в тактах, за которое инфицированный житель превращается в обычного жителя.
    •  CanBreakDoors: 1 или 0 (true/false) — true (истина), если зомби может выламывать деревянные двери (по умолчанию, 0).

Зомби-базаправить | править код

  •  IsBaby: 1 или 0 (true/false) — true, если данный зомби является ребёнком. Может отсутствовать.
  •  CanBreakDoors: 1 или 0 (true/false) — true, если зомби могут ломать двери (значение по умолчанию — 0).
  •  DrownedConversionTime: Количество тиков, пока этот зомби не превратится в утопленника, или кадавр в зомби. (Значение по умолчанию равно −1, когда преобразование не выполняется).
  •  InWaterTime: Количество тиков, которые этот зомби или кадавр находились под водой, используется для запуска процесса утопления. (Значение по умолчанию равно −1, когда преобразование не выполняется).

Как защититься от атак?

Говоря о том, какие можно встретить программы для DDoS-атак, нельзя обойти и средства зашиты. Ведь даже третий закон Ньютона гласит, что любое действие вызывает противодействие.

В самом простом случае используются антивирусы и файрволы (так называемые межсетевые экраны), которые могут представлены либо в программном виде, либо в качестве компьютерного «железа». Кроме того, многие провайдеры, обеспечивающие защиту, могут устанавливать перераспределение запросов между нескольким серверами, фильтрацию входящего траффика, установку дублируемых систем защиты и т.д.

Одним из методов проведения атак является методика DNS Amplification – технология рассылки DNS-серверам рекурсивных обращений с несуществующими обратными адресами. Соответсвенно, в качестве защиты от таких напастей можно смело использовать универсальный пакет fail2ban, который на сегодняшний день позволяет установить достаточно мощный барьер для рассылок подобного рода.

Как создаются ботнеты

Чтобы заставить потенциальную жертву установить бот, используют приемы социальной инженерии. Например, предлагают посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла пользователь, конечно, не сможет посмотреть никакого видео и скорее всего не заметит вообще никаких изменений, а его ПК окажется заражен и станет покорным слугой, выполняющим все команды хозяина ботнета.

Вторым широко используемым методом заражения ботами является drive-by-загрузка. При посещении пользователем зараженной веб-страницы на его компьютер через различные «дыры» в приложениях – прежде всего в популярных браузерах – загружается вредоносный код. Для эксплуатации слабых мест используются специальные программы – эксплойты. Они позволяют не только незаметно загрузить, но и незаметно запустить вирус или бот. Такой вид распространения вредоносного ПО наиболее опасен, ведь, если взломан популярный ресурс, заразятся десятки тысяч пользователей!

Бот можно наделить функцией самораспространения по компьютерным сетям. Например, он может распространяться путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети.

Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, веб-соединение или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить своему хозяину доход. Причем этот доход находится в линейной зависимости от устойчивости зомби-сети и темпов ее роста.

Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по ссылкам на размещенных в Интернете объявлениях. Для владельцев ботнета обман таких компаний является прибыльным занятием. Для примера можно взять известную сеть Google AdSense. Входящие в нее рекламодатели платят Google за клики по размещенным объявлениям в надежде, что заглянувший «на огонек» пользователь что-нибудь у них купит.

Google в свою очередь размещает контекстную рекламу на различных сайтах, участвующих в программе AdSense, платя владельцу сайта процент с каждого клика. Увы, не все владельцы сайтов честные. Имея зомби-сеть, хакер может генерировать тысячи уникальных кликов в день – по одному с каждой машины, чтобы не вызывать особых подозрений у Google. Таким образом, деньги, потраченные на рекламную компанию, перетекут в карман к хакеру. К сожалению, не было еще ни одного случая, когда за подобные акции кого-либо привлекали к ответственности. По данным компании Click Forensics, в 2008 году порядка 16–17% всех переходов по рекламным ссылкам были поддельными, из них минимум треть генерировалась ботнетами. Выполнив несложные вычисления, можно понять, что в прошлом году владельцы ботнетов «накликали» 33 000 000 долларов. Неплохой доход от щелчков мышью!

Общее

Полное название таких систем, это системы предотвращения и обнаружения атак. Или же называют СОА как один из подходов к защиты информации. Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать проблемы защиты информации в сетях.

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают угрозы информационной безопасности.

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

  • границы сегментов
  • сетевые сегменты
  • объекты с доверием и без
  • ACL — списки контроля доступа
  • Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

Как проводятся атаки

Принцип действия DoS и DDoS-атак заключается в отправке на сервер большого потока информации, который по максимуму (насколько позволяют возможности хакера) загружает вычислительные ресурсы процессора, оперативной памяти, забивает каналы связи или заполняет дисковое пространство. Атакованная машина не справляется с обработкой поступающих данных и перестает откликаться на запросы пользователей.

Так выглядит нормальная работа сервера, визуализированная в программе Logstalgia:

Эффективность одиночных DOS-атак не слишком высока. Кроме того, нападение с личного компьютера подвергает злоумышленника риску быть опознанным и пойманным. Гораздо больший профит дают распределенные атаки (DDoS), проводимые с так называемых зомби-сетей или ботнетов.

Так отображает деятельность ботнета сайт Norse-corp.com:

Зомби-сеть (ботнет) — это группа компьютеров, не имеющих физической связи между собой. Их объединяет то, что все они находятся под контролем злоумышленника. Контроль осуществляется посредством троянской программы, которая до поры до времени может никак себя не проявлять. При проведении атаки хакер дает зараженным компьютерам команду посылать запросы на сайт или сервер жертвы. И тот, не выдержав натиска, перестает отвечать.

Так Logstalgia показывает DDoS-атаку:

Войти в состав ботнета может абсолютно любой компьютер. И даже смартфон. Достаточно подхватить троянца и вовремя его не обнаружить. Кстати, самый крупный ботнет насчитывал почти 2 млн машин по всему миру, а их владельцы понятия не имели, чем им приходится заниматься.

Ссылка на основную публикацию