Борьба с DDos и Botnets.Командные центры сетей Ботов

Немного общей теории никому не повредит:

Вопросы сетевой безопасности и раннего обнаружения атак с каждым днем становятся все более и более насущными как для частных пользователей, корпоративных сетей так и для средних и крупных операторов связи. Сетевые атаки последнее время приобретают массовый характер. Известны случаи вывода из строя крупных всемирных порталов, банков, оборонных ведомств.
В основном атаки имеют распределенный массовый характер, когда на информационный узел сети осуществляется одновременное обращение с десятков тысяч (и более) зараженных компьютеров(Ботов). Узел не справляется с таким количеством одновременных запросов и выходит из строя, прекращая выполнять свои основные функции. Данный вид атаки является самым популярным и именуется DoS (Denied of Service) атакой. По статистике, 90% всех отказов атакуемых узлов были инициированы именно DoS-атаками.

Классификация сетевых атак:

Распределённый Отказ в обслуживании (DDoS);

Вирусы и приложения типа "троянский конь";

Несанкционированный доступ;

Парольные атаки;

Снифферы пакетов;

IP-спуфинг;

Человеческий фактор(Атаки типа Man-in-the-Middle);

Атаки на уровне приложений;

Сетевая разведка;

Злоупотребление доверием;

Переадресация портов и др.

Наибольшую опасность на сегодняшний день представляют угрозы от распределённых атак отказа в обслуживании.

Целью атаки является создание ситуации, когда правомерные пользователи компьютерной системы не могут получить доступа к ресурсам, предоставляемых системой или этот доступ затруднен.

Основные угрозы безопасности

Что представляет из себя Распределённая Атака Отказа в Обслуживании (DDoS)?

Основные методы защиты от DDos:

Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.

Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику. Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.

Наращивание ресурсов.

Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью.

Активные ответные меры. Воздействие на источники, организатора или центр управления атакой. Меры могут быть как технического характера (не рекомендуется), так и организационно-правового характера.

Анатомия DDoS-атаки

Данная информация предоставлена аналитической системой обнаружения неизвестных и известных сетевых аномалий ARBOR Peakflow SP