Erreurs de périphérique 

Attaques DOS et DDoS : concept, types, méthodes de détection et de protection. Scripts et pare-feu. Tout n'est pas DDoS...

Bonjour, chers amis et lecteurs - site !

Il y a quelques jours à peine, votre blog préféré a été soumis à une attaque DDOS rapide menée par des attaquants inconnus.

En raison de leurs actions criminelles, l'accès à la ressource a été fermé.

Grâce à l'un des lecteurs, qui a découvert à l'avance une panne du système, il a été possible de prendre à temps des mesures contre-opératoires pour repousser une attaque DDOS.

Maintenant que les passions se sont un peu calmées, voyons ce qu'est une attaque DDOS.

En termes simples, une attaque DoS est la création de conditions dans lesquelles le fournisseur refuse le service à un client en raison d'une forte charge sur le serveur au moment de l'accès au site.

Autrement dit, des gars intelligents, utilisant un logiciel spécial et des mains directes, envoient des milliers de fausses requêtes du site attaqué à votre serveur. En raison du grand nombre d'appels simultanés vers votre ressource, le système ne peut pas la supporter et l'arrête.

Pour être plus précis, ce n'est pas le serveur qui éteint votre site, mais le service support, qui décharge ainsi sa machine.

C'est triste, n'est-ce pas ? Ils devraient vous protéger, mais ils vous coupent simplement le bras douloureux et attendent que la blessure guérisse.

Eh bien, ce n'est pas grave, nous ne sommes pas nous-mêmes nés avec du liber.

Je pense que vous avez déjà une question : « Comment lancer une attaque DDOS ? "

D'accord, je vais donner quelques informations générales, mais gardez à l'esprit qu'il s'agit d'une infraction pénale. En tant qu'auteur, je demande que toutes les accusations soient abandonnées en cas d'actions illégales de la part des lecteurs.

À une époque, les mêmes malins créaient un pistolet laser sous le nom de code « LOIC ». En utilisant ce programme pour les attaques DDOS, les développeurs ont testé la stabilité de l'équipement serveur, en le soumettant à diverses charges simulant des attaques DOS.

Tombé entre des mains maléfiques et calculatrices, le rayon de lumière est devenu l'épée de l'Archange, qui connecte sa légion d'adeptes, envoie des millions de fausses demandes et désactive les sites Web des concurrents.

Ce programme n'est pas classifié et est accessible au public sur Internet. Vous pouvez le télécharger.

Le programme LOIC est facile à utiliser. Nous lançons LOIC .exe et voyons la fenêtre suivante :

Dans les deux premières lignes, saisissez l'URL ou l'adresse IP de la victime et cliquez sur Verrouiller :

Après ces étapes, l'adresse IP cible apparaîtra dans une grande fenêtre intitulée AUCUN :

Dans la fenêtre inférieure, définissez le flux (TCP, HTTP ou UDP), le nombre de requêtes (la valeur par défaut est 10) et déplacez le curseur de vitesse de transfert :

Après avoir terminé les réglages, cliquez sur le gros bouton :

C'est tout, l'attaque dos a commencé. Vous pouvez arrêter le processus en appuyant sur le même bouton.

Bien sûr, vous ne pourrez pas submerger une ressource sérieuse avec une seule arme, mais en connectant plusieurs de ces armes sur un grand nombre d'ordinateurs en même temps, vous pouvez faire de telles choses.

Mais je le répète, ce sont des actions illégales et en collusion avec un groupe de personnes, appeler une attaque DDOS est pénalement punissable. Ce matériel est uniquement à des fins d’information.

Lancement du canon laser LOIC :


Protection contre les attaques DDOS.

Aujourd’hui, il n’existe pas de protection à 100 % contre les attaques DDOS. Bien sûr, diverses sociétés proposent des services pour protéger les sites contre les attaques DOS pour de l'argent, mais tout est relatif. Si votre ressource est soumise à une attaque puissante, dans laquelle de nombreux participants et dos-bots seront impliqués, alors aucun système ne survivra.

Par conséquent, tout ce que vous pouvez faire est de repousser les attaques et de bloquer les adresses IP de la source DOS.

D’ailleurs, un nouveau concours sera annoncé prochainement ! Ne le manquez pas !

En attendant les prochains articles...

P.S.

Chers amis, j'ai une immense demande à vous poser ! Après avoir lu le matériel ci-dessus, allez perfectionner vos compétences sur d’autres sites Web. S'il vous plaît, n'interférez pas avec mon travail. Vous avez reçu du matériel utile, ayez une conscience. Arrêtez d’attaquer la source de vos propres connaissances.

Merci de votre compréhension !

Cordialement, Denis Chernikov!

Une attaque DoS et DDoS est un impact externe agressif sur les ressources informatiques d'un serveur ou d'un poste de travail, réalisé dans le but de faire échouer ce dernier. Par échec, nous n'entendons pas la panne physique d'une machine, mais l'indisponibilité de ses ressources pour des utilisateurs consciencieux - une défaillance du système dans sa capacité à les entretenir (Déni de service, d'où est composée l'abréviation DoS).

Si une telle attaque est effectuée à partir d'un seul ordinateur, elle est classée comme DoS, si elle provient de plusieurs - DDoS (DiDoS ou DDoS), ce qui signifie « déni de service distribué » - déni de service distribué. Ensuite, nous expliquerons pourquoi les attaquants mènent de telles attaques, de quoi il s’agit, quels dommages ils causent à l’attaquant et comment ces derniers peuvent protéger leurs ressources.

Qui peut subir des attaques DoS et DDoS ?

Les serveurs d'entreprise et les sites Web sont attaqués, beaucoup moins souvent - les ordinateurs personnels des particuliers. En règle générale, le but de telles actions est le même: causer un préjudice économique à la personne attaquée et rester dans l'ombre. Dans certains cas, les attaques DoS et DDoS constituent l'une des étapes du piratage du serveur et visent à voler ou à détruire des informations. En fait, une entreprise ou un site Web appartenant à n’importe qui peut devenir victime d’attaquants.

Un diagramme illustrant l'essence d'une attaque DDoS :

Les attaques DoS et DDoS sont le plus souvent menées à l’instigation de concurrents malhonnêtes. Ainsi, en « faisant planter » le site Internet d'une boutique en ligne proposant un produit similaire, vous pouvez temporairement devenir un « monopoleur » et prendre ses clients pour vous. En « posant » un serveur d'entreprise, vous pouvez perturber le travail d'une entreprise concurrente et ainsi réduire sa position sur le marché.

Les attaques à grande échelle pouvant causer des dégâts importants sont généralement menées par des cybercriminels professionnels pour de grosses sommes d’argent. Mais pas toujours. Vos ressources peuvent être attaquées par des pirates informatiques amateurs locaux par intérêt, par des vengeurs parmi les employés licenciés et simplement par ceux qui ne partagent pas votre point de vue sur la vie.

Parfois, l'impact est effectué à des fins d'extorsion, tandis que l'attaquant demande ouvertement de l'argent au propriétaire de la ressource pour arrêter l'attaque.

Les serveurs d'entreprises publiques et d'organisations de renom sont souvent attaqués par des groupes anonymes de pirates informatiques hautement qualifiés afin d'influencer les responsables ou de provoquer un tollé général.

Comment sont menées les attaques

Le principe de fonctionnement des attaques DoS et DDoS est d'envoyer un flux important d'informations au serveur, qui au maximum (dans la mesure où les capacités du pirate le permettent) charge les ressources informatiques du processeur, de la RAM, obstrue les canaux de communication ou remplit l'espace disque. . La machine attaquée est incapable de traiter les données entrantes et cesse de répondre aux demandes des utilisateurs.

Voici à quoi ressemble le fonctionnement normal du serveur, visualisé dans le programme Logstalgia :

L'efficacité des attaques DOS uniques n'est pas très élevée. De plus, une attaque depuis un ordinateur personnel expose l’attaquant au risque d’être identifié et attrapé. Les attaques distribuées (DDoS) menées à partir de réseaux dits zombies ou botnets génèrent des profits bien plus importants.

Voici comment le site Norse-corp.com affiche l'activité du botnet :

Un réseau zombie (botnet) est un groupe d'ordinateurs qui n'ont aucune connexion physique entre eux. Leur point commun est qu’ils sont tous sous le contrôle d’un attaquant. Le contrôle est effectué via un cheval de Troie qui, pour le moment, ne peut se manifester d'aucune manière. Lorsqu'il mène une attaque, le pirate informatique demande aux ordinateurs infectés d'envoyer des requêtes au site Web ou au serveur de la victime. Et lui, incapable de résister à la pression, ne répond plus.

Voici comment Logstalgia montre une attaque DDoS :

Absolument n’importe quel ordinateur peut rejoindre un botnet. Et même un smartphone. Il suffit d'attraper un cheval de Troie et de ne pas être détecté à temps. À propos, le plus grand réseau de zombies comptait près de 2 millions de machines dans le monde et leurs propriétaires n'avaient aucune idée de ce qu'ils faisaient.

Méthodes d'attaque et de défense

Avant de lancer une attaque, le pirate informatique découvre comment la mener avec un effet maximal. Si le nœud attaqué présente plusieurs vulnérabilités, l'impact peut être effectué dans différentes directions, ce qui compliquera considérablement la riposte. Par conséquent, il est important que chaque administrateur de serveur étudie tous ses « goulots d'étranglement » et, si possible, les renforce.

Inondation

En termes simples, une inondation est une information qui n’a aucune signification. Dans le contexte des attaques DoS/DDoS, un flot est une avalanche de requêtes vides et dénuées de sens d'un niveau ou d'un autre que le nœud récepteur est obligé de traiter.

L'objectif principal de l'utilisation de l'inondation est d'obstruer complètement les canaux de communication et de saturer au maximum la bande passante.

Types d'inondations :

  • Inondation MAC - impact sur les communicateurs réseau (blocage des ports avec flux de données).
  • Inondation ICMP - inonder une victime de requêtes d'écho de service en utilisant un réseau zombie ou en envoyant des requêtes « au nom » du nœud attaqué afin que tous les membres du botnet lui envoient simultanément une réponse d'écho (attaque Schtroumpf). Un cas particulier d'inondation ICMP est l'inondation de ping (envoi de requêtes ping au serveur).
  • Inondation SYN - envoi de nombreuses requêtes SYN à la victime, dépassant la file d'attente de connexion TCP en créant un grand nombre de connexions semi-ouvertes (en attente de confirmation du client).
  • UDP Flood - fonctionne selon le schéma d'attaque Smurf, où les datagrammes UDP sont envoyés à la place des paquets ICMP.
  • HTTP Flood - inonder le serveur de nombreux messages HTTP. Une option plus sophistiquée est l'inondation HTTPS, où les données envoyées sont pré-chiffrées et avant que le nœud attaqué ne les traite, il doit les déchiffrer.

Comment se protéger des inondations
  • Configurez les commutateurs réseau pour vérifier la validité et filtrer les adresses MAC.
  • Restreindre ou désactiver le traitement des demandes d'écho ICMP.
  • Bloquez les paquets provenant d’une adresse ou d’un domaine spécifique qui donnent des raisons de soupçonner son manque de fiabilité.
  • Fixez une limite au nombre de connexions semi-ouvertes avec une seule adresse, réduisez leur temps de maintien et allongez la file d'attente des connexions TCP.
  • Empêchez les services UDP de recevoir du trafic extérieur ou limitez le nombre de connexions UDP.
  • Utilisez CAPTCHA, les retards et d'autres techniques de protection contre les robots.
  • Augmentez le nombre maximum de connexions HTTP, configurez la mise en cache des requêtes à l'aide de nginx.
  • Augmentez la capacité des canaux réseau.
  • Si possible, consacrez un serveur distinct à la gestion de la cryptographie (si utilisée).
  • Créez un canal de sauvegarde pour l'accès administratif au serveur en cas d'urgence.
Surcharge matérielle

Il existe des types d'inondations qui n'affectent pas le canal de communication, mais les ressources matérielles de l'ordinateur attaqué, les chargeant à pleine capacité et provoquant un gel ou un crash. Par exemple:

  • Création d'un script qui publiera une énorme quantité d'informations textuelles dénuées de sens sur un forum ou un site Web où les utilisateurs ont la possibilité de laisser des commentaires jusqu'à ce que tout l'espace disque soit rempli.
  • La même chose, seuls les logs du serveur rempliront le disque.
  • Chargement d'un site où est effectuée une sorte de transformation des données saisies, traitant en continu ces données (envoi de paquets dits « lourds »).
  • Chargement du processeur ou de la mémoire en exécutant du code via l'interface CGI (le support CGI vous permet d'exécuter n'importe quel programme externe sur le serveur).
  • Déclencher le système de sécurité, rendre le serveur inaccessible de l'extérieur, etc.

Comment se protéger de la surcharge des ressources matérielles
  • Augmentez les performances matérielles et l’espace disque. Lorsque le serveur fonctionne normalement, au moins 25 à 30 % des ressources doivent rester libres.
  • Utilisez des systèmes d’analyse et de filtrage du trafic avant de le transmettre au serveur.
  • Limiter l'utilisation des ressources matérielles par les composants du système (définir des quotas).
  • Stockez les fichiers journaux du serveur sur un lecteur distinct.
  • Répartissez les ressources sur plusieurs serveurs indépendants les uns des autres. Ainsi, si une partie tombe en panne, les autres restent opérationnelles.
Vulnérabilités dans les systèmes d'exploitation, les logiciels et le micrologiciel des appareils

Il existe infiniment plus d’options pour mener à bien ce type d’attaque que le recours aux inondations. Leur mise en œuvre dépend des qualifications et de l'expérience de l'attaquant, de sa capacité à trouver des erreurs dans le code du programme et à les utiliser à son avantage et au détriment du propriétaire de la ressource.

Une fois qu'un pirate découvre une vulnérabilité (une erreur dans un logiciel qui peut être utilisée pour perturber le fonctionnement du système), il lui suffit de créer et d'exécuter un exploit, un programme qui exploite cette vulnérabilité.

L’exploitation des vulnérabilités n’a pas toujours pour objectif de provoquer uniquement un déni de service. Si le pirate informatique a de la chance, il pourra prendre le contrôle de la ressource et utiliser ce « cadeau du destin » à sa discrétion. Par exemple, utilisez-le pour diffuser des logiciels malveillants, voler et détruire des informations, etc.

Méthodes pour contrer l’exploitation des vulnérabilités logicielles
  • Installez en temps opportun des mises à jour qui couvrent les vulnérabilités des systèmes d'exploitation et des applications.
  • Isolez tous les services destinés à résoudre les tâches administratives des accès tiers.
  • Utiliser des moyens de surveillance continue du fonctionnement de l'OS et des programmes du serveur (analyse comportementale, etc.).
  • Refusez les programmes potentiellement vulnérables (gratuits, auto-écrits, rarement mis à jour) au profit de programmes éprouvés et bien protégés.
  • Utilisez des moyens prêts à l'emploi pour protéger les systèmes contre les attaques DoS et DDoS, qui existent à la fois sous la forme de systèmes matériels et logiciels.
Comment déterminer qu'une ressource a été attaquée par un pirate informatique

Si l'attaquant parvient à atteindre son objectif, il est impossible de ne pas remarquer l'attaque, mais dans certains cas, l'administrateur ne peut pas déterminer exactement quand elle a commencé. Autrement dit, plusieurs heures s'écoulent parfois entre le début de l'attaque et l'apparition de symptômes visibles. Cependant, lors d'une influence cachée (jusqu'à la panne du serveur), certains signes sont également présents. Par exemple:

  • Comportement non naturel des applications serveur ou du système d'exploitation (gels, arrêt avec erreurs, etc.).
  • La charge sur le processeur, la RAM et le stockage augmente fortement par rapport au niveau d'origine.
  • Le volume de trafic sur un ou plusieurs ports augmente considérablement.
  • Il existe plusieurs requêtes de clients vers les mêmes ressources (ouverture de la même page du site Web, téléchargement du même fichier).
  • L'analyse des journaux des serveurs, des pare-feu et des périphériques réseau montre un grand nombre de requêtes monotones provenant de diverses adresses, souvent dirigées vers un port ou un service spécifique. Surtout si le site s'adresse à un public restreint (par exemple russophone) et que les demandes proviennent du monde entier. Une analyse qualitative du trafic montre que les demandes n'ont aucune signification pratique pour les clients.

Tout ce qui précède n’est pas un signe à 100 % d’une attaque, mais c’est toujours une raison pour prêter attention au problème et prendre les mesures de protection appropriées.

La recherche d'un bon serveur pour le jeu Minecraft parmi un tas de ressources aléatoires ne se termine souvent pas par un jeu confortable, mais par des kicks et des bans constants. Et afin de rétablir la justice parmi les joueurs illégalement humiliés, nous vous expliquerons comment déboguer un serveur Minecraft et quoi utiliser pour cela.

Ajouter un serveur Minecraft via cmd

Dans la première méthode, vous n'avez besoin que d'un accès à l'interpréteur de ligne de commande cmd, du bloc-notes installé et de la connaissance de certaines commandes. Alors, commencez par créer un nouveau fichier texte dans le Bloc-notes et entrez-y les commandes suivantes :

ping xxx.xx.x.x –t -l 600000

Dans ping, vous entrez l'adresse IP de la ressource que vous allez attaquer, et 600 000 est le nombre de requêtes que votre ordinateur enverra à la ressource attaquée.

Après avoir entré les valeurs requises, vous devez enregistrer votre fichier texte avec permission.bat et l'exécuter en double-cliquant sur la souris.

Cependant, le principal problème n'est pas de savoir comment DDOS un serveur Minecraft via la console, mais comment rendre votre attaque plus efficace. Et ici, vous devrez connecter plusieurs personnes ou amis partageant les mêmes idées, sinon vous ne pourrez pas installer le serveur.

D'un autre côté, l'envoi constant de paquets peut ralentir considérablement le fonctionnement de la ressource, provoquer des pannes et des retards périodiques, ce qui affectera négativement la note du serveur. Par conséquent, il est recommandé d'exécuter plusieurs de ces scripts afin qu'ils fonctionnent simultanément.

DDoSIM le serveur Minecraft avec des utilitaires tiers

Ici, vous pouvez utiliser des programmes aussi connus que LOIC ou installer un GravyBot spécialisé pour MineCraft, Minecraft Ultimate SpamBot, etc. Nous examinerons ensuite le principe de fonctionnement de tous ces programmes.

Loïc

Après avoir installé le programme, lancez-le, entrez l'adresse IP du serveur et cliquez sur Verrouiller. Après cela, les numéros IP cibles apparaîtront dans la fenêtre Aucun.

Ensuite, nous passons aux paramètres des options d'attaque, c'est-à-dire sélectionnez le type de flux, le nombre de requêtes et leur vitesse de transmission. Les valeurs doivent être définies en fonction de la vitesse de votre connexion : plus elle est élevée, plus vous pouvez spécifier des valeurs grandes.

Après avoir effectué tous les réglages, cliquez sur IMMA CHARGIN MAH LAZER. L'attaque est arrêtée en appuyant sur la même touche. Comme pour toute attaque DDoS, le succès dépend ici du nombre de clients en cours d’exécution.

L'essence de ce programme est d'inonder un serveur spécifique de robots spammeurs et éventuellement de le faire planter ou d'obstruer complètement le chat. Après avoir installé le programme, vous devrez connecter une liste de surnoms et une liste de serveurs proxy. Heureusement, les trouver sur Internet n'est pas si difficile.

Vous pouvez définir un message qui sera constamment affiché dans le chat et même un surnom. Après avoir entré tous les paramètres, activez l'attaque en cliquant sur le bouton Démarrer. Vous pouvez arrêter instantanément l'attaque en cliquant sur le bouton Stop.

Cette méthode présente également certains inconvénients. L'utilisation généralisée du programme a conduit de nombreux hébergeurs à installer une protection spécialisée. Par conséquent, si vous souhaitez absolument « installer » un serveur de jeu, nous vous recommandons de vous familiariser à nouveau avec la façon d'ajouter un serveur Minecraft via cmd et d'utiliser uniquement la méthode ci-dessus.

En conclusion, je voudrais ajouter qu'il n'existe actuellement aucune méthode universelle de protection contre les attaques DDOS. Bien sûr, les administrateurs de serveur peuvent essayer de bloquer votre adresse IP, mais il sera assez facile de les contourner si vous disposez de proxys fonctionnels. Et si vous impliquez un grand nombre de personnes dans une attaque DDOS, le serveur ne survivra pas à 100 % du temps.

L'objectif principal des pirates est de rendre la ressource attaquée inaccessible à l'utilisateur. Pour ce faire, un grand nombre de fausses requêtes lui sont envoyées, que le serveur n'est pas en mesure de traiter, ce qui entraîne un « crash » de la ressource. Cela peut être comparé à la façon dont une personne non préparée, sous couvert d'haltères pour ses 3 kg habituels, a soudainement reçu le même type, mais 9 kg chacun. Bien sûr, il n’y arrivera pas. La même chose arrive au site - et au lieu de la page habituelle, l'utilisateur voit un « stub » avec un message d'erreur.

Pour générer du trafic malveillant, qui est essentiellement une attaque DDoS, on utilise le plus souvent un grand nombre d'appareils ayant accès à Internet infectés par un code spécial. Ces appareils (PC, smartphones, objets intelligents, serveurs) sont regroupés en botnets qui envoient des requêtes à l’adresse de la victime. Parfois, la source du trafic indésirable peut provenir des réseaux sociaux où un lien vers le site de la victime est publié. Entre autres choses, il existe sur Internet des services de stress que n’importe qui peut utiliser pour lancer une attaque DDoS.

À quoi ressemble une attaque DDoS sur un graphique de l'interface par laquelle passe le trafic d'attaque

Les méthodes sont variées, mais chacune entraîne une perte de trafic légitime, c'est-à-dire d'utilisateurs, et est donc souvent utilisée comme outil de concurrence déloyale. Les boutiques en ligne, les jeux en ligne et les systèmes de paiement électronique souffrent souvent d'attaques DDoS.

Par conséquent, la question de savoir comment arrêter une attaque DDoS inquiète un nombre croissant de personnes. Si nous parlons d’un site Web, il semble alors logique de demander l’aide de l’hébergeur où il est hébergé. Cependant, pour de nombreux hébergeurs proposant des services peu coûteux, il est plus facile de désactiver une ressource problématique que de résoudre le problème. Pourquoi?

Ce qu'il faut faire? Il existe une solution : une protection DDoS à la fois indépendante et professionnelle, comprenant des services d'entreprises spécialisées. Cependant, nous vous prévenons immédiatement qu'il n'existe pas de mesures de protection universelles contre les attaques DDoS, car les pirates informatiques découvrent constamment de nouvelles vulnérabilités et moyens de tromper les systèmes de sécurité. Cependant, il existe des techniques simples et efficaces qu'un employé administrant votre site devrait connaître. Ils aideront à organiser la protection contre les types d'attaques DDoS les plus simples.

Scripts et pare-feu

Disons qu'une attaque DDoS est en cours sur le site conditionnel n.ru. Les logs (historique) montrent qu'un grand nombre de requêtes GET vont vers la page principale. Dans ce cas, vous pouvez utiliser une redirection javascript, par exemple :


window.location = "n.ru/index.php"

Après cela, les utilisateurs légitimes qui n'ont pas désactivé javascript dans leur navigateur sont redirigés vers index.php.

Mais ici, un problème se pose : les robots des moteurs de recherche (Yandex, Google) ne sont pas équipés d'interpréteurs js et ne seront pas redirigés, tout comme les attaquants. Cela affectera négativement le classement du site dans les résultats de recherche. Pour éviter cela, vous pouvez écrire un petit script qui comptera le nombre de connexions à partir d'une adresse IP spécifique et la bannira. Vous pouvez identifier un bot, par exemple, en vérifiant son hôte.

Il existe un script DDoS Deflate gratuit - c'est une sorte d'alarme qui utilise la commande "netstat" pour détecter les inondations (l'un des types de DDoS), puis bloque les adresses IP suspectes des parasites à l'aide du pare-feu iptables (ou apf).

Paramètres des options Apache

Pour empêcher les DDoS, vous pouvez également modifier les paramètres d'Apache :

  • KeepAliveTimeout - vous devez réduire sa valeur ou désactiver complètement cette directive ;
  • TimeOut - définissez la valeur la plus basse possible pour cette directive (serveur Web soumis à une attaque DDoS).
  • Les directives LimitRequestBody, LimitRequestFieldSize, LimitRequestFields, LimitRequestLine, LimitXMLRequestBody doivent être configurées pour limiter la consommation de ressources provoquée par les demandes des clients.

    • La manière la plus radicale de stopper une attaque DDoS consiste à bloquer toutes les requêtes provenant du pays d’où le trafic « indésirable » a commencé à provenir. Cependant, cela peut causer de gros désagréments aux vrais utilisateurs de ces pays, car... ils devront utiliser un proxy pour contourner le blocage.

    Et nous arrivons ici à la question de savoir pourquoi les méthodes ci-dessus ne peuvent pas fournir une protection complète contre les attaques DDoS. Le fait est qu’il peut être très difficile de distinguer les demandes légitimes des demandes malveillantes. Par exemple, un ver notoire a amené les DVR à envoyer des requêtes TCP qui semblaient légitimes, ce qui a rendu difficile l'arrêt immédiat de l'attaque DDoS. Il existe aujourd’hui plus de 37 types d’attaques DDoS, chacune ayant ses propres caractéristiques. De plus, il existe une forte probabilité de filtrer certaines requêtes légitimes ainsi que d'autres malveillantes, c'est-à-dire perdre de vrais utilisateurs.

    Méthodes de protection contre les attaques DDoS

    Si vous souhaitez protéger votre ressource autant que possible, vous devez alors faire attention aux services spécialisés de protection contre les attaques DDoS qui fournissent leurs services à distance.

    Il faudra beaucoup de temps pour le comprendre par vous-même, nous avons donc décidé de rédiger un petit guide sur les types modernes de protection contre les attaques DDoS.

    Classiquement, toute la diversité peut être divisée en deux grands groupes : les services qui se connectent à distance, et les solutions « matérielles » qui nécessitent l'installation d'équipements côté client.

    Le premier groupe comprend les types de protection suivants contre les attaques distribuées :

    1. proxy inverse. Le fournisseur de protection attribue une nouvelle adresse IP à la ressource qui doit être protégée - elle doit être ajoutée à l'enregistrement A. Après avoir modifié l'enregistrement A, le trafic entrant sera d'abord dirigé vers le réseau du fournisseur à la nouvelle adresse IP pour être nettoyé, puis, après avoir été effacé, il arrivera à la véritable adresse. Dans ce cas, la ressource peut rester sur le même hébergement. Il s'agit de la protection DDoS la plus abordable : elle est adaptée aux sites à trafic variable, la connexion et la configuration ne prennent pas plus de 20 minutes et nécessitent des connaissances minimales de la part du webmaster.

    2. hébergement sécurisé (ou serveur dédié). Ce service anti ddos ​​est proposé par les hébergeurs dont les serveurs sont déjà connectés au système de protection (il peut s'agir de leurs propres stations de filtrage ou d'un service d'une entreprise partenaire). Ce n'est pas une protection moins populaire et rentable contre les attaques ddos, ses avantages : une facture commune pour tous les services, tous les réglages sont effectués par les spécialistes de l'hébergeur, le transfert de sites Web depuis un hébergement tiers non protégé est souvent effectué gratuitement. Lors de la création d'un nouveau site Web, vous pouvez le placer immédiatement sur un hébergement protégé contre les DDoS ou sur un serveur dédié.

    Quelle est la différence entre un hébergement classique et un serveur dédié ? Dans le premier cas, le site est hébergé sur le même serveur que de nombreux autres sites ; cela peut être comparé à une auberge de jeunesse. Et lorsque vous louez un serveur dédié, il n’héberge qu’un seul site internet, sans voisins. Bien sûr, un serveur dédié coûte plus cher, mais il n’y a aucun risque de subir une attaque DDoS sur votre voisin.

    3. Transit IP sécurisé sur un tunnel virtuel. Ce service convient aux projets avec de gros volumes de trafic, pour protéger immédiatement l'ensemble du système autonome du trafic indésirable. Il s'agit d'un service coûteux utilisé par les centres de données, les fournisseurs d'hébergement, les bureaux d'enregistrement de noms de domaine et les opérateurs de télécommunications qui ne disposent pas de leurs propres stations de filtrage.

    Assez souvent sur Internet, les fournisseurs de communication écrivent qu'ils fournissent une connexion pour se protéger contre les DDoS. Cependant, il convient de considérer qu'un CDN est un réseau de diffusion de contenu qui vous permet d'accélérer le transfert de données en les mettant en cache, MAIS pas en les effaçant ! Ce sont différentes technologies qui peuvent être combinées, mais qui ne se remplacent pas. Par conséquent, de telles propositions sont soit une tromperie, soit un analphabétisme technique de la part de ceux qui offrent le service. CDN n’est pas une protection DDoS !

    Le deuxième groupe de protection contre les attaques DDoS comprend une variété de solutions « matérielles » qui impliquent l’achat/la location de dispositifs de filtrage ou la connexion au réseau de filtrage de quelqu’un d’autre via un câble physique. Ce sont des options coûteuses qui présentent à la fois des avantages et des inconvénients. Le principal avantage de votre propre dispositif de filtrage est que les données n’ont pas besoin d’être transférées à un tiers pour être traitées, ce qui signifie que vous n’avez pas à vous soucier de la sécurité des informations. Il s'agit d'un aspect important pour les entreprises dont le travail est lié aux données personnelles et aux finances.

    Inconvénients : coût élevé, complexité et temps d'installation long (en cas d'installation de câbles), nécessité d'avoir un spécialiste parmi le personnel pour la configuration, impossibilité d'étendre rapidement le canal de communication.

    Pour corriger ce dernier, les équipementiers ont développé un schéma hybride : le trafic dépassant la limite, que le filtre physique ne peut plus traiter, est transféré vers le cloud pour être nettoyé. Cependant, des pirates ont récemment découvert une vulnérabilité dans ce système en raison du temps nécessaire pour transférer les données vers le cloud et ont développé un algorithme d'attaque DDoS qui désactive la protection hybride. De telles attaques sont appelées Pulse Wave, vous pouvez en savoir plus ici.

    Ainsi, les propres filtres ne constituent pas la protection la plus rentable contre les attaques DDoS, car ils nécessitent des ressources importantes et ne sont disponibles que pour les grandes entreprises qui peuvent se permettre des travailleurs hautement qualifiés pour entretenir de tels équipements. Par conséquent, beaucoup choisissent un prestataire de services de protection externalisé. La plupart de ces entreprises disposent de leurs propres centres de nettoyage du trafic ou en location, équipés de dispositifs de filtrage spéciaux.

    Quel service de protection DDoS est préférable de choisir ? Cela dépend des paramètres de la ressource protégée. Le proxy ou la location d'un serveur sécurisé convient le plus souvent aux sites Web, un tunnel virtuel convient à un système autonome ou à un hébergeur, et les opérateurs télécoms préfèrent poser des canaux physiques.

    Dans tous les cas, le fournisseur de protection DDoS doit disposer de bons canaux de communication pour recevoir un volume de trafic important avec possibilité d'expansion « à chaud », car La puissance des cyberattaques croît de manière presque exponentielle et des attaques DDoS atteignant 1 Tbps ont déjà été enregistrées. Par conséquent, lorsque vous communiquez avec des représentants de l'entreprise, vous devez absolument vous renseigner sur leurs capacités techniques.

    Ce sera un gros plus si les unités de filtration de l’entreprise sont situées dans différents pays, car cela permet de traiter le trafic aussi près que possible de sa source et de maintenir les délais de transmission au minimum. De plus, la répartition du trafic sur plusieurs points réduit la charge globale sur le réseau de filtrage et augmente la stabilité de son fonctionnement.

    De plus, si vous ne disposez pas parmi votre personnel de spécialistes informatiques avisés et expérimentés qui mettront tout en place eux-mêmes, vous aurez alors besoin de l'aide d'un support technique. Ce sera un gros plus si le support de l'entreprise fournissant le service de protection DDoS fonctionne 24h/24 et 7j/7 et parle la même langue que le client.

    Bien entendu, tous ces services ne sont pas gratuits, mais leur connexion est la seule option pour empêcher les DDoS. Dans le cas contraire, vous devrez en assumer les conséquences, qui peuvent être critiques pour certains secteurs d’activité. Et dans tous les cas, le coût d’une telle protection DDoS est bien inférieur à celui de l’achat et de la maintenance de votre propre équipement de filtrage.

    Si vous lisez notre guide et mettez en œuvre toutes les technologies décrites, vous protégerez votre ordinateur contre les menaces de pirates informatiques ! Ne négligez pas cela !

    Dans le domaine de la sécurité de l'information, les attaques ddos ​​occupent l'une des premières places dans le classement des menaces électroniques. Mais la plupart des utilisateurs ont des connaissances très limitées sur ce sujet. Nous allons maintenant essayer de couvrir ce sujet de la manière la plus détaillée et la plus accessible possible, afin que vous puissiez imaginer ce que signifie ce type de menace électronique, comment elle est exécutée et, par conséquent, comment y faire face efficacement. Alors, faites connaissance - attaque DDOS.

    Terminologie

    Pour parler le même langage, il faut introduire des termes et leurs définitions.

    L’attaque Dos est une attaque par déni de service. D'où l'abréviation anglaise dos - Denial of Service. L'un des sous-types est une attaque distribuée, menée simultanément à partir de plusieurs, et généralement à partir d'un grand nombre d'hôtes. Nous consacrerons l'essentiel de la discussion à ces options, car une attaque ddos ​​​​entraîne des conséquences plus destructrices, et la différence significative réside uniquement dans le nombre d'hôtes utilisés pour l'attaque.

    Pour vous faciliter la compréhension. De telles actions visent à arrêter temporairement le fonctionnement d'un service. Il peut s'agir d'un site Web distinct sur le réseau, d'un grand fournisseur Internet ou cellulaire, ainsi que d'un service distinct (acceptant les cartes plastiques). Pour qu'une attaque réussisse et entraîne des actions destructrices, elle doit être menée à partir d'un grand nombre de points (ce point sera abordé plus en détail ultérieurement). D’où « l’attaque distribuée ». Mais l'essence reste la même : interrompre le fonctionnement d'un certain système.

    Pour compléter le tableau, vous devez comprendre qui mène de telles actions et dans quel but.

    Les attaques par déni de service, comme les autres délits informatiques, sont punies par la loi. Par conséquent, le matériel est présenté à titre informatif uniquement. Ils sont réalisés par des informaticiens, des personnes qui connaissent bien les thèmes des « ordinateurs » et des « réseaux informatiques », ou comme il est devenu à la mode de le dire, des hackers. Fondamentalement, cet événement vise à réaliser un profit, car, en règle générale, les attaques ddos ​​sont ordonnées par des concurrents sans scrupules. Il conviendrait de donner ici un petit exemple.

    Disons qu’il existe deux grands fournisseurs Internet sur le marché des services d’une petite ville. Et l’un d’eux veut évincer un concurrent. Ils ordonnent aux pirates de diffuser une attaque dos distribuée sur le serveur d'un concurrent. Et le deuxième fournisseur, en raison de la surcharge de son réseau, n'est plus en mesure de fournir un accès Internet à ses utilisateurs. Le résultat est une perte de clients et de réputation. Les pirates informatiques reçoivent leur récompense et le fournisseur sans scrupules obtient de nouveaux clients.

    Mais il arrive souvent qu'ils « le fassent » juste pour s'amuser ou pour perfectionner leurs compétences.

    Attaque Ddos distribuée

    Soyons d'accord tout de suite, nous analyserons les attaques informatiques. Par conséquent, si nous parlons de plusieurs appareils à partir desquels une attaque est menée, il s’agira d’ordinateurs dotés de logiciels illégaux.

    Ici, il convient également de faire une petite digression. Essentiellement, afin d'arrêter le fonctionnement d'un service ou d'un service, vous devez dépasser la charge maximale correspondante. L’exemple le plus simple est l’accès à un site Web. D'une manière ou d'une autre, il est conçu pour un certain pic de fréquentation. Si, à un moment donné, dix fois plus de personnes visitent le site, le serveur ne sera donc pas en mesure de traiter un tel volume d'informations et cessera de fonctionner. Et les connexions à ce moment seront établies à partir d'un grand nombre d'ordinateurs. Ce seront les mêmes nœuds évoqués ci-dessus.

    Voyons à quoi cela ressemble dans le schéma ci-dessous :

    Comme vous pouvez le constater, le pirate informatique a pris le contrôle d’un grand nombre d’ordinateurs d’utilisateurs et y a installé son logiciel espion. C'est grâce à lui qu'il peut désormais accomplir les actions nécessaires. Dans notre cas, il s’agit de mener une attaque DDoS.

    Ainsi, si vous ne respectez pas les règles de sécurité lorsque vous travaillez sur un ordinateur, vous pouvez être infecté par un virus. Et peut-être que votre ordinateur sera utilisé comme hôte pour mener des activités malveillantes.

    Vous en aurez besoin: Nous avons décrit certains aspects de sécurité dans l'article.

    Mais la manière dont ils seront utilisés dépend de l’option choisie par l’attaquant.

    Classification des attaques ddos

    Les types d’attaques suivants peuvent être tentés par les attaquants :

  • Encombrement de la bande passante. Pour que les ordinateurs connectés à un réseau interagissent normalement entre eux, le canal de communication par lequel ils sont connectés doit fonctionner normalement et fournir des paramètres suffisants pour des tâches spécifiques (par exemple, la bande passante). Ce type d'attaque vise spécifiquement à surcharger les canaux de communication du réseau. Ceci est réalisé en envoyant constamment des informations décousues ou système (commande ping)
  • Limitation des ressources. Nous avons déjà évoqué ce type ci-dessus, dans l'exemple avec accès à un site internet. Comme nous l'avons noté, le serveur était capable de gérer un nombre limité de connexions simultanées. Un attaquant doit envoyer un grand nombre de connexions simultanées au serveur. En conséquence, le serveur ne peut pas supporter la charge et cesse de fonctionner.
  • Attaque sur les serveurs DNS. Dans ce cas, l’attaque DDOS vise également à bloquer l’accès au site Internet. Une autre option consiste à rediriger l’utilisateur du bon site vers le faux. Cela peut être fait dans le but de voler des données personnelles. Ceci est réalisé en attaquant les serveurs DNS et en remplaçant les adresses IP par de fausses. Regardons cela avec un exemple. Une certaine banque utilise son site Web pour les paiements en ligne. L'utilisateur doit s'y rendre et saisir les informations de sa carte plastifiée. Un attaquant, afin de voler ces informations, crée un site internet du même type et attaque le serveur DNS (serveur de noms). Le but de cet événement est de rediriger l’utilisateur vers le site Internet de l’attaquant lorsqu’il tente d’accéder au site Internet de la banque. Si cela réussit, l’utilisateur, ignorant la menace, saisira ses données personnelles sur le site Web de l’attaquant et y accédera.
  • Défauts dans le logiciel. Ce type d'attaque est le plus difficile. Les attaquants identifient les failles des logiciels et les utilisent pour détruire le système. Pour commander une telle attaque DDoS, vous devrez dépenser beaucoup d'argent

    • Comment mener vous-même une attaque DDOS

    À titre d'exemple, nous avons décidé de vous montrer comment mener une attaque DDOS à l'aide d'un logiciel spécial.

    Pour commencer, téléchargez le programme à partir de cette adresse. Après cela, lancez-le. Vous devriez voir la fenêtre de démarrage :

    Vous devez effectuer des réglages minimaux :

  • Dans la colonne "URL" nous écrivons l'adresse du site que nous voulons attaquer
  • Appuyez ensuite sur le bouton "Verrouiller" - Nous verrons la ressource cible
  • Définir la méthode TCP
  • Sélectionnez le nombre de fils (Threads)
  • Réglez la vitesse d'envoi à l'aide du curseur
  • Lorsque tous les réglages sont terminés, appuyez sur le bouton « IMMA CHARGIN MAH LAZER »

    • Ça y est, l'attaque a commencé. Encore une fois, toutes les actions sont présentées à titre informatif.

    Comment se protéger des attaques DDOS

    Vous avez probablement déjà réalisé que ce type de menace est très dangereux. Par conséquent, il est très important de connaître les méthodes et principes de lutte et de prévention des attaques distribuées.

  • La mise en place de systèmes de filtrage est une tâche qui incombe aux administrateurs système et aux hébergeurs
  • Achat de systèmes de protection contre les attaques DDOS (systèmes logiciels et matériels)
  • Utilisation du pare-feu et des listes de contrôle d'accès (ACL) - cette mesure vise à filtrer le trafic suspect
  • Augmenter les ressources disponibles et installer des systèmes de redondance
  • Réponses techniques et juridiques. Jusqu’à et y compris traduire le coupable en justice

    • Vidéo pour l'article :

    Conclusion

    Vous comprenez probablement maintenant le danger des attaques DDOS. Les questions liées à la sécurité de vos ressources doivent être abordées de manière très responsable, sans ménager de temps, d'efforts et d'argent. Il est encore préférable d’avoir un spécialiste distinct ou un service complet de sécurité de l’information.

    Les lecteurs réguliers se sont très souvent posé la question de savoir comment éditer du texte si le fichier est au format PDF. La réponse peut être trouvée dans le matériel -

    Vous pouvez utiliser toute une série de mesures pour protéger vos données. Une de ces options est

    Si vous avez besoin de modifier votre vidéo en ligne, nous avons préparé pour vous une revue des vidéos les plus populaires.

    Pourquoi chercher des informations sur d’autres sites si tout est rassemblé ici ?



    Des questions ?

    Signaler une faute de frappe

    Texte qui sera envoyé à nos rédacteurs :

    Envoyer