Рассылка закрыта
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Безопасность в Интернет
| Безопасность в Интернет #6 сентябрь 2000 |
Друзья!
Сегодня вместе с очередными новостями из области сетевых технологий и информационной безопасности от Монитора , я предлагаю вашему вниманию весьма интересную статью из Бизона о том, что такое распределенные атаки , какой вред они могут нанести и как с ними бороться. Хочу поблагодарить всех, присылающих мне отзывы и пожелания. С вашей помощью я буду стараться сделать свою рассылку еще интереснее.Почему был взломан Amazon.com, Yahoo.com, eBay.com и другие?
Введение
7 февраля 2000 года, в 10.20 утра по Тихоокеанскому времени пользователи портала Yahoo заметили существенное замедление в предоставляемых услугах - электронной почте, новостях и т.д. Пользователи, привыкшие к тому, что среднее время загрузки одной Web-страницы составляло не более 1.7 секунд были раздражены шестисекундными задержками. Дальше стало еще хуже. В 10.30 утра уже половина всех пользователей, пытавшихся получить доступ к серверу Yahoo в ответ получало только сообщение об ошибке. Анализ проблемы показал, что отказ серверов Yahoo вызван огромным числом небольших пакетов, которые изменялись от простых диагностических сообщений до запросов о получении HTML-страниц. Лавина этих пакетов обрушилась на Yahoo сразу из нескольких точек Internet. Специалисты Yahoo насчитали не менее 50 таких точек. В 11.00 утра менее 10 процентов всех пользователей Yahoo смогли получить доступ к ресурсам этого портала. И даже тем, кому все-таки удалось "достучаться" до сервера, приходилось ждать не менее 20 секунд пока придет ответ на сделанный запрос. В 13.15 все запросы пользователей были направлены на неатакованные сервера и в 15.00 функционирование Yahoo вернулось в нормальное русло [1].
Yahoo был первым из серии широко известных серверов, которые подверглись массированным атакам во вторую неделю февраля. Следующими жертвами стали сервера Buy.com (вторник, утро), eBay (вторник, вечер), CNN.com (вторник, вечер), Amazon.com (вторник, вечер),
ZDNet.com (среда, утро), E*Trade (среда, утро), Datek (среда, утро), Excite (среда, утро). Время, в течение которого данные сервера были недоступны для пользователей, колебалось от 30 минут до нескольких часов.Второй жертвой стал сервер Buy.com, который подвергся атаке в 10.50, во вторник. Шторм пакетов, направленный на этот узел в 8 раз превысил допустимый объем трафика и достиг отметки в 800 Мбит/сек [2]. Аналогичные результаты наблюдались и у других компаний. Все это стало возможным благодаря т.н. распределенным атакам типа "отказ в обслуживании" (Distributed Denial of Service Attacks, DdoS). Впервые о них заговорили еще в 1998 году, когда Naval Surface Warfare Center опубликовал отчет, посвященный анализу нескольких случаев применения распределенных атак. Второй раз пристальное внимание распределенным атакам было уделено в конце прошлого года. Было опубликовано несколько документов и предупреждений, в которых говорилось, что опасность применения таких атак очень велика. Однако практически никто не прислушался к этим заявлениям и в начале февраля грянул гром. Десятки компаний подверглись распределенным атакам, в т.ч. зафиксированы атаки и на российские компании, использующие Internet в своей работе. Детально, но не вдаваясь в технические подробности, рассмотрим технологию реализации таких атак.
Механизм реализации
Все они основаны на "классических" атаках типа "отказ в обслуживании" (Denial of Service), точнее на их подмножестве, известном как Flood- или Storm-атаки (указанные термины можно перевести как "шторм", "наводнение" или "лавина"). Смысл данных атак заключается в посылке большого количества пакетов на заданный узел сети (цель атаки), что может привести к выведению этого узла из строя, поскольку он "захлебнется" в лавине посылаемых пакетов и не сможет обрабатывать запросы авторизованных пользователей. По такому принципу работают атаки SYN-Flood, Smurf, UDP Flood, Targa3 и т.д. Однако в том случае, если пропускная способность канала до цели атаки превышает пропускную способность атакующего или целевой узел некорректно сконфигурирован, то к "успеху" такая атака не приведет. В случае же распределенной атаки ситуация коренным образом меняется. Атака происходит уже не из одной точки Internet, а сразу из нескольких, что приводит к резкому возрастанию трафика и выведению атакуемого узла из строя.
Реализуется распределенная атака в два этапа. Первый этап заключается в поиске в Internet узлов, которые можно было бы задействовать для реализации распределенной атаки. Чем больше будет найдено таких узлов, тем эффективнее будет атака. "Изюминка" в том, что в Internet таких узлов миллионы. Проводимые регулярно исследования показывают, что многие компании не следят за безопасностью своих узлов, имеющих выход в Internet. Эти-то узлы и становятся излюбленным местом злоумышленников, выбирающих их в качестве "базового лагеря" для дальнейшей атаки. Эти узлы могут относиться не только к сетям университетов и государственных структур, как это было в случае с февральскими атаками, но и Internet-провайдерам, финансовым и страховым компаниям и т.д. После нахождения уязвимых узлов, злоумышленник осуществляет установку на них компонентов, реализующих атаку. Такая установка становится возможной благодаря "слабым" местам, которые и использует злоумышленник для своих "черных дел".
Второй этап заключается в посылке большого числа пакетов на атакуемый узел. Особенность этого этапа в том, что посылка пакетов осуществляется не с узла, за которым "сидит" злоумышленник, а с скомпрометированной им системы, на которой установлены специальные агенты, реализующие распределенную атаку. Существует два типа таких агентов: "мастера" и "демоны" (или "клиенты" и "сервера"). Иногда компьютеры с установленными агентами называют компьютеры-"зомби". Злоумышленник управляет небольшим числом "мастеров", которые в свою очередь командуют "демонами". Казалось бы, что проблема не стоит и выеденного яйца. Вместо обычной одноуровневой структуры обычной атаки (злоумышленник -> атакуемый) используется трехуровневая структура (злоумышленник -> мастер -> демон -> атакуемый). Что мешает пройти по этой цепочке и определить все участвующие в атаке узлы? Но в том-то и состоит особенность распределенных атак, что так просто этого не сделать.
Обнаружение и блокирование одного или нескольких "мастеров" или "демонов" не приводит к окончанию действия атаки, поскольку каждый "демон" действует независимо от других и, получив соответствующие команды от "мастера", уже не нуждается в дальнейшем поддержании связи с ним. Т.е. "демон" работает автономно, что существенно затрудняет обнаружение и блокирование всех демонов, участвующих в распределенной атаке. Кроме того, при атаку возможна подмена адреса отправителя враждебных пакетов, что также отрицательно сказывается на эффективности контрмер. Злоумышленник использует десятки и сотни незащищенных узлов для координации нападения. Эти узлы могут принадлежать различным провайдерам и находиться в различных странах и даже на различных материках, что существенно затрудняет обнаружение злоумышленника, координирующего атаку. Каждый узел, участвующей в скоординированной атаке, не позволяет получить информацию о том, кто и откуда инициировал нападение. Кроме того, на этих узлах нет полного списка, участвующих в атаке, узлов. Поэтому выявление одного узла не приводит к превращению всей атаки.
Продолжение в следующем номере (завтра).
Новости от Агентства "Монитор" ( www.telenews.ru ) 14.09.00 (Москва) Минсвязи РФ готовит семинар по защите информации Москва, 14 сентября (Монитор). Проблемы защиты информации в современных условиях , под таким названием Министерство Российской Федерации по связи и информатизации, Ассоциация кабельного телевидения России, Современный Гуманитарный Университет и компания ТЕЛЕСТАРТ проведут семинар в середине октября. Как сообщает источник в Минсвязи, в ходе семинара будут рассмотрены вопросы государственной защиты информации, правовые и организационные аспекты в вопросах защиты информации. Большое внимание будет уделено вопросам безопасности в Интернет. Семинар рассчитан на специалистов служб безопасности, работающих в области защиты информации, специалистов по обеспечению безопасности работы корпоративных сетей, работников маркетинговых и коммерческих служб, деятельность которых связана с заключением контрактов и поиском партнёров на новых и слабоизученных рынках. Во время проведения семинара планируется проведение тематической выставки, на которой будет представлено профессиональное оборудование и средства защиты информации. 15.09.00 (Москва) Разработаны два новых учебных курса по безопасности в сетях передачи данных Москва, 14 сентября (Монитор). Разработку двух новых учебных курсов - "Обеспечение безопасности в сетях передачи данных на базе оборудования компании Cisco Systems" и "Настройка и эксплуатация мультимедийной сети передачи данных на базе оборудования компании RAD Data Communications", завершила компания Diamond Communications. Об этом сообщается в пресс-релизе компании. Курс "Обеспечение безопасности в сетях передачи данных на базе оборудования компании Cisco Systems" знакомит с известными типами сетевых атак, программными и аппаратными решениями компании Cisco Systems по защите сетей, включая системы обнаружения и предупреждения вторжений (IDS), системы защиты (на базе VLAN, VPN, Firewall) и тестирования сети на наличие слабых мест с точки зрения безопасности (Сisco NetSonar). Курс рассчитан на администраторов и специалистов по безопасности сетей, а также специалистов по их эксплуатации. В ходе курса "Настройка и эксплуатация мультимедийной сети передачи данных на базе оборудования компании RAD Data Communications" слушатели могут изучить технологии PDH, SDH, Frame Relay; систему сетевого управления RADview, а также настройки и тонкости эксплуатации основных типов оборудования компании. Данный курс впервые разработан в России и фактически объединил в себе четыре отдельных курса по оборудованию RAD Data Communications. |
| Ваши отклики - andboc@mail.ru |
 |
 |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
