Итак, добро пожаловать на мою статью. Сейчас я расскажу, что такое DDoS (иногда же DoS) и ботнет. (на более простом языке чем у остальных статей. я не нашел статей на понятном языке, непонятные термины и аббревиатуры, это не будет прямо понятным, но более понятным чем остальные). Приступим к делу.
Давайте сначала разберемся с DoS. DoS расшифровывается как "отказ в обслуживании" (Denial of Service). Что это означает? Отказ в обслуживании означает, что атакуемый ресурс недоступен во время атаки, т.е. отказывается вас обслуживать. Как это работает? Допустим, мы хотим атаковать сайт. После запуска специального скрипта, с вашего компьютера отправляется много запросов. Самый примитивный метод атаки - HTTP(-S) GET. GET означает что мы хотим получить данные с сайта. Представим, есть условный Антон. Антон открыл сайт. Его браузер отправил HTTP(-S) GET запрос сайту, и сайт отвечает данными с главной страницы сайта, и браузер Антона отображает главную страницу. И есть злоумышленник Вася. Вася отправляет очень много HTTP(-S) GET запросов. Сайт пытается обработать все запросы и отдает много данных Васе. Сервер очень сильно загружается запросами. Тот самый Антон решил во время атаки открыть сайту. Сайт обрабатывает пакеты по очереди. В очереди, допустим 100 000 пакетов (запросов с данными) от Васи и в самом конце запрос Антона. Дело в том, что эти 100 000 запросов сайт будет обрабатывать ОЧЕНЬ ДОЛГО, у браузера срабатывает таймаут (слишком долго нет ответа), и браузер говорит что сайт не работает. А тем временем Вася отправил еще очень много пакетов. И пока Вася ведет атаку, сайт будет недоступен. После атаки, сайт обработает все пакеты Васи и станет работать.
Отлично, разобрались. Если начать DoS атаку - сайт перестанет работать.
ВОПРОС: А что же такое DDoS?
ОТВЕТ: DDoS расшифровывается как "распределенная атака типа DoS". DoS это тип атак, как говорилось выше, "отказ в обслуживании". Разница между DDoS и DoS в том, что DoS это 1 устройство (допустим, компьютер Васи), а DDoS это больше 1 (допустим, ботнет, но о нем позже).
Дело в том, что DoS/DDoS атаки имеют разные протоколы определенных уровней. Всего их 7. Эти протоколы определяют отправки данных от физического уровня (1 уровень протокола, L1) до прикладного, полностью цифрового (7 уровень протокола, L7). Понять сложно, но попытайтесь. 1 уровень это физический, и все уровни выше медленно переводят интернет-данные с физических до полностью цифровых. Перечислю уровни - L1 (физический), L2 (канальный), L3 (сетевой), L4 (транспортный), L5 (сеансовый), L6 (представительский) и L7 (прикладной). Знать все не обязательно. Для атаки используются 3 уровня - L7 (прикладной), L4 (транспортный) и редко L3 (сетевой). Допустим тот же метод HTTP(-S) GET это L7. Самые популярные - HTTP(-S) GET/POST (L7). TCP и UDP (L4), GRE (L3). С уровнями разобрались, теперь к методам.
Методов атаки очень много. На L7 используются чаще всего 5 методов.
С первым вы знакомы - HTTP(-S) GET. Самый крутой способ для HTTP(-S) GET - найти у сайта САМУЮ БОЛЬШУЮ страницу, это может быть какой то большой файл, и лучше всего отправлять запросы на него, ведь сервер будет больше нагружен от 1 запроса, ведь ему нужно будет отправить больше данных.
Второй почти такой же - HTTP(-S) POST. Разница между ними, что GET это вы говорите сайту "дай мне эти данные", а с POST вы говорите сайту "обработай мне эти данные". При POST можно отправлять данные любого размера. Лично я генерирую 2 hex строки определенного размера (сам указываю, чем больше - тем меньше пакетов, но больше вес пакета) и отправляю их. Почему 2 строки? POST требует "ключ" и "значение". Количество должно быть четным. Можно отправить неограниченное количество ключей и значений. Но мы можем наткнутся с защитой, но об этом позже.
Дальше - HTTP(-S) STRONG. Его суть - отправлять не какие то запросы, а пустые. Сервер попытается обработать, потратит время и ресурсы на обработку, а там пусто.
И "брат" этого метода - HTTP(-S) NULL. Разница между ними, что HTTP(-S) STRONG ждет ответа от сервера, а HTTP(-S) NULL нет, и поэтому он мощнее.
И далее пятый, очень крутой способ DDoS - XML-RPC. Допустим, есть сервер WordPress, но WordPress довольно уязвим, и суть XML-RPC - с помощью этих уязвимостей, эксплоитов получить доступ к серверу и от его имени атаковать сайты. Вам не нужен ни ботнет, ни свой компьютер, вам нужны прямые руки и анонимность.
Есть 6 метод, пореже всех 5, но тоже частый - Joomla Reflection, это тот же самый XML-RPC, но атака не с серверов WordPress, а с серверов CMS Joomla.
Я рассказал про 6 методов уровня 7. Теперь про L4. L4 это TCP и UDP чаще всего.
UDP очень легок - он просто отправляет запросы.
А TCP сложный и безопасный протокол. У TCP есть тройное рукопожатие.
1. Клиент отправляет TCP пакет с флагом SYN (флаг TCP для синхронизации номеров сессий приема или же передачи данных). Сервер запоминает ваш номер и создает сокет для обслуживания клиента.
2. Сервер отправляет TCP пакет с флагами SYN и ACK и сервер в состоянии SYN-RECIEVED (получил SYN пакет). Если же сокет не может создасться, сервер посылает пакет с флагом RST (TCP флаг, означающий ошибку).
3. Клиент посылает TCP пакет с флагом ACK (флаг, обозначающий что SYN пакеты получены). Сервер с состоянием SYN-RECIEVED, получающий ACK пакет, переходит в состояние ESTABLISHED, подключение установлено, готово, а после попытки разорвать подключение, клиент отправляет пакет с флагом FIN (FINish), мол все, подключение разрываем.
Теперь про методы L4. Много методов работает через IP спуфинг - подмена обратного IP, через спуфинг вы получаете анонимность.
Первый метод - SSYN. Отправляем SYN запрос и применяем IP спуфинг на рандомный айпи, сервер отправляет SYN+ACK на IP, ждет ACK пакета, ждет, ждет, и потом проходит таймаут и разрывает подключение.
Второй метод - SYN-ACK Flood. Мы отправляем множество случайных SYN+ACK пакетов, сервер пытается определить, к какому SYN запросу связать этот пакет, а пакеты все отправляются и отправляются, сервер пытается определить, перенагружается и вырубается (как будто вырубается, так то он работает и пытается связывать пакеты друг с другом, но ваш пакет в конце очереди...).
Третий очень легкий - Dominate. Он отправляет пакеты со случайными флагами, где то ACK, где то SYN, где то сразу оба.
Четвёртый - RST/FIN Flood. Мы отправляем RST и FIN флаги. Сервер, как в SYN+ACK Flood, пытается связать флаги RST (ошибка) и FIN (разрыв соединения) с другими соединениями.
Пятый - ACK Flood. Отправляются ACK пакеты с максимальным размером (1500 байт). То же самое, что с RST/FIN Flood и SYN+ACK Flood. Именно этот способ лучше всего пробивает защиты от ддос.
Это только TCP методы. Далее - UDP.
Всего один метод - UDP Flood - просто отправка случайных пакетов. В UDP нет тройного рукопожатии, как в TCP, и отфильтровать UDP пакеты для защит от DDoSа очень сложно. Есть также такие штуки как "амплификации", они дают умножить размер своих пакетов, есть NTP, DNS, SSDP и MEMCACHED амплификации, но о них заостряться не будем. L3 методы я перечислять не буду, ведь атаки L3 совершаются очень редко.
Довольно длинная статья, да? А теперь про ботнеты.
ВОПРОС: КАК НЕ ЗАРАЗИТЬСЯ БОТНЕТОМ?
Очень очевидный вопрос при просмотре статьи. Страшно ведь, вдруг тут, на устройстве ботнет, от вашего имени DDoS и к вам приезжает полиция.. Конечно же такое вряд ли случится, но страшно, что может случиться. Ваш IP могут заблокировать в Cloudflare и вы не зайдете ни на один сайт с этой защитой. Это уже реально страшно.
ОТВЕТ: соблюдать кибербезопасность.
1. Обновлять антивирус и ОС
2. Отключить автозапуск физ. накопителей
3. Создавать бэкапы
4. Не обращать внимания на спам в интернете
5. Убрать автоскачивание
6. Не открывать подозрительные файлы.
