Розслідування мережевих DDos-атак

  • Дата 21/05/2017

DDoS-атака або атака типу «відмова в обслуговуванні» є одним з видів неправомірного доступу, а саме такого, який призводить до блокування інформації та порушення роботи ЕОМ та їх мережі.

Інші види неправомірного доступу (копіювання інформації, знищення інформації), а також використання шкідливих програм можуть бути етапами здійснення DDoS-атаки.

Такі атаки прийнято розділяти на два типи: атаки, що використовують будь-які вразливості в атакуємій системі і атаки, які не використовують вразливостей. У другому випадку своєрідним «вражаючим чинником» атаки є перевантаження ресурсів атакуємої  системи - процесора, ОЗУ, диска, пропускної здатності каналу.

Злочинець при DDoS-атаці

В даний час зустрічаються DDoS-атаки як з особистими, так і з корисними мотивами. Ще 2-3 роки тому особисті мотиви переважали. Але зараз спостерігається чітка тенденція зростання числа DDoS-атак з корисними мотивами - в цілях вимагання або недобросовісної конкуренції.
Організувати DDoS-атаку на типовий веб-сайт не є складним завданням, вона під силу ІТ-фахівцю середньої квалификації, що має в своєму розпорядженні посереднє обладнання і середній за шириною канал зв'язку. Відповідно, на чорному ринку DDoS-атака на звичайний веб-сайт коштує десятки доларів за добу. На більший або більш захищений об'єкт - перші сотні доларів за добу. Можливі оптові знижки. Замовити атаку може собі дозволити навіть один скривджений індивідуум. Інструмент для здійснення розподілених DDoS-атак - зомбі-мережі (ботнети) - також є у продажу на чорному ринку за порівняно низькою ціною, порядку десятків доларів за тисячу зомбі-хостів. І ціна ця останнім часом знижується.
З іншого боку, в мережі з'являється все більше і більше чисто інформаційного бізнесу, благополуччя якого цілком і повністю залежить від доступності його сайту або іншого мережевого ресурсу. Це он-лайн-магазини, онлайн-аукціони, онлайн-казино, букмекерські контори і деякі інші види підприємств. Зупинка роботи веб-сайта в таких умовах означає повну зупинку бізнесу. Кілька неділь простою можуть повністю розорити підприємство. Природно, за таких умов знаходяться бажаючі шантажувати власника і одержати з нього викуп за припинення DDoS-атаки. Кілька років тому подібних підприємств (е-бізнесу) з істотними доходами ще не було. Відповідно, не було і DDoS-здирництва.
Отже, можна виділити два типи злочинів, пов'язаних з DDoS-атаками, - з метою завдати неприємностей власнику або користувачам атакується ресурсу та з метою отримати викуп.
У першому випадку, як і при наклепі і образах, слід шукати «Скривдженого». При цьому безпосереднім виконавцем може бути як він сам, так і найнятий професіонал.
У другому випадку ми маємо справу з холоднокровним кримінальним розрахунком, і злочин мало чим відрізняється від офлайнового вимогання або недобросовісної конкуренції.
Потерпілий від DDoS-атаки
Потерпілим у переважній більшості випадків виступає юридична особа.
Комерційні організації рідко бувають зацікавлені в офіційному розслідуванні, оскільки для них головне - усунути небезпеку і мінімізувати збитки. У покаранні зловмисника вони не бачать для себе ніякої вигоди. А участь у судовому процесі в ролі потерпілих часто негативно відбивається на діловій репутації.
Виступити потерпілим організація-власник атакуємого ресурсу може в таких випадках:
- коли є впевненість, що не покараний зловмисник буде повторювати атаки;
- коли підприємству треба звітувати за понесені збитки або перериви в наданні послуг перед партнерами, клієнтами, акціонерами;
- коли керівник підприємства вбачає в атаці особисті мотиви, особисту образу.
В інших випадках не доводиться розраховувати на зацікавленість потерпілого в розкритті злочину.
Слід пам'ятати, що багато DDoS-атак впливають відразу на цілий сегмент мережі, на канал, на маршрутизатор, за яким можуть бути багато споживачів послуг зв'язку, навіть якщо безпосередньою метою атаки є лише один з них. Для цілей розслідування необхідно встановити, на кого саме був спрямований умисел злочинця. Формальним же потерпілим може виступити будь-який з постраждалий від атаки.
Обстановка при DDoS-атаці

Один тип DDoS-атаки заснований на використанні вразливостей в програмному забезпеченні атакуємого ресурсу. Інший тип - так званий флуд - не використовує ніяких вразливостей і розрахований на просте вичерпання ресурсів жертви (смуга каналу, оперативна пам'ять, швидкодію процесора, місце на диску і т.п.). Як легко зрозуміти, до флуду немає невразливих, оскільки будь-які комп'ютерні ресурси кінцеві. Проте різні сайти схильні до флуду різною мірою. Наприклад, CGI-скрипт, який працює на веб-сайті, може бути написаний неоптимально і вимагати для своєї роботи занадто багато оперативної пам'яті. Поки такий CGI-скрипт викликається раз на хвилину, ця неоптимальність зовсім непомітна. Але варто зловмисникові призвести випоклик CGI-скрипта хоча б сто разів на секунду (ніяких особливих витрат зі сторони зловмисника для цього не потрібно, всього 300 пакетів в секунду, близько 5 Мбіт / с) - і неоптимальність CGI-скрипта призводить до повного паралічу веб-сайту.

Тобто запас по продуктивності і є первинний захист від DDoS-атаки.
Звичайні хостинг-провайдери тримають на одному сервері по декілька десятків клієнтських веб-сайтів. З економічних причин більшого запасу продуктивності вони зробити не можуть. Звідси випливає, що типовий веб-сайт, розміщений у хостинг-провайдера, вразливий також до самого найпростішого флуду.
Сліди DDoS-атаки

При підготовці та проведенні DDoS-атаки утворюються такі сліди технічного характеру:
- наявність інструментарію атаки - програмних засобів (агентів), установлених на комп'ютері зловмисника або, частіше, на чужих використовуваних для цієї мети комп'ютерах, а також коштів для управління агентами;
- сліди пошуку, тестування, придбання інструментарію;
- логи (переважно статистика трафіку) операторів зв'язку, через мережі яких проходила атака;
- логи технічних засобів захисту - детекторів атак та аномалій трафіка, систем виявлення вторгнень, міжмережевих екранів, спеціальних антіфлудових фільтрів;
- логи, зразки трафіку та інші дані, спеціально отримані технічними фахівцями операторів зв'язку в ході розслідування інцідента, вироблення контрзаходів, відбиття атаки. (Слід знати, що DDoS-атака вимагає негайної реакції, якщо власник бажає врятувати свій ресурс або хоча б сусідні ресурси від атаки. У ході такої боротьби обидві сторони можуть застосовувати різні маневри і контрманеври, через що картина атаки ускладнюється);
- сліди від вивчення підозрюваним (він же замовник атаки) реклами виконавців DDoS-атак, його листування, переговорів і грошових разрахувань з виконавцями;
- сліди від контрольних звернень підозрюваного до атакованого ресурси в період атаки, щоб переконатися в її дієвості.
При професійному здійсненні атаки використовуються зомбі-мережі чи інший спеціалізований інструментарій. Звичайно, він не одноразовий. Виконавці не зацікавлені в простоюванні своїх потужностей і можуть здійснювати кілька атак одночасно, або здійснювати тими ж програмними агентами паралельно з атакою інші функції, наприклад, розсилку спаму.

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top