С развитием Интернета и IT технологий, все чаще можно слышать о заражении компьютерных систем различными вредоносными программами. Это приводит к их некорректной работе или порче информации на носителях. Чтобы защитить свой компьютер или сайт от вирусов важно понимать, что это такое.

Создание ботнетов и защита от них

Botnets – это ходовой инструмент всех киберпреступников. Представляет собой сеть компьютеров, которые заражены вредоносной программой и за счет этого управляемые преступники без разрешения и ведома их законных владельцев. Создание ботнетов дает злоумышленникам несколько преимуществ:

  1. Высокий  доход за услуги при малых рисках;
  2. Минимум финансовых затрат;
  3. Отсутствие специальных знаний.

Все это способствует распространению ботнеров и доходов в тысячи долларов, как для исполнителей, так и для заказчиков. В основном деньги зарабатываются с помощью:

  • DDoS-атака;
  • Спам-рассылок.

Зачем хакеры создают ботнеты

Основной целью является финансовая выгода. Специалисты выделяют несколько областей коммерческой выгоды от их применения.

  • Сбор и использование конфиденциальной информации пользователей;
  • Использование поискового спама;
  • Рассылка спама;
  • Накрутка различных счетчиков.

DDoS-атаки являются оружием нечестной конкурентной борьбы. Заказав такую атаку на конкурентный сайт, недобросовестный предприниматель получит испорченный заказанный сайт и временное преимущество в продажах.

Конфиденциальная информация может быть интересна в плане получения различных банковских реквизитов и электронных адресов, которые расположены на компьютере. Эти адреса затем с успехом продаются.

С помощью поискового спама повышается популярность необходимых сайтов и интернет-страниц.

ботнет

Можно ли определить заражение компьютера

Все зависит от вредоносного кода, который был установлен на вашем компьютере. Если это код, который давно гуляет по сети и засветился в базах антивирусов, то, конечно, обнаружить его не составит особого труда. Но вот если это уникальный, самописный продукт, то определить внедрение ботов в работу компьютера почти невозможно. Есть несколько косвенных признаков, по которым возможно заподозрить присутствие вредоносного кода у вас на компьютере:

  • Антивирусная программа систематически сообщает о попытках соединения с интернетом неизвестных программ;
  • К уже запущенным системным процессам добавляются новые, которые маскируются под уже запущенные программы. При желании разницу в названиях заметить можно.

Средства защиты

К способам защиты от ботнеров можно отнести различные антивирусные программы, систематическое обновление всей операционной системы, различные программы для защиты личных данных, осторожность при скачивании подозрительных программ. Самым действенным средством, которое способно определить подозрительную активность у вас на компьютере все таки является правильно настроенный фаервол. Именно он первым укажет вам, что какой то процесс в системе пытается получить доступ к сети. Как только вы получаете имя процесса, то дальше вам просто остается выполнить несколько действий:

  1. Завершить процесс при помощи диспетчера задач, или терминала
  2. Определить каким образом данный процесс появляется в автозагрузке
  3. Просканировать компьютер антивирусом

Типы и особенности DDOS атак

DDOS атаки -это одна из самых серьезных угроз для бизнеса в сети. Сильная атака способна вывести из строя даже самые защищенные системы, а убытки от этого типа атак могут исчисляться миллионами. Для того, чтобы лучше понимать как проходят атаки и иметь представление о способах защиты от DDOS, давайте рассмотрим самые популярные виды атак.

TCP SYN Flood

SYN Flood – распространенный вид Dos-атак, который подразумевает отправку большого количества SYN-запросов за маленький промежуток времени. Результатом будет падение сервера на основе TCP-протокола.

TCP SYN Flood

Суть работы данного вида атаки

Такая атака основана на том, что отправляются пакеты с подделанного либо с несуществующего адреса в огромном количестве, которое превышает размер очереди. Сервер не отвечает на выдуманные адреса, вследствие чего очередь не будет уменьшаться и как итог сервис упадет.

Отправляя ложные запросы в конечном итоге, злоумышленник израсходует все ресурсы системы, и веб-сайт перестанет функционировать.

Как бороться с TCP SYN Flood атаками

Определить злоумышленника довольно таки сложно, так как он будет постоянно изменять свои IP-адреса. Однако защитить сервер можно несколькими способами:

  1. Межсетевой экран Aker . Принцип действия основан на следующем: при попытке подключения к серверу и отправке SYN пакета от пользователя, экран его заносит в таблицу и разрешает пройти. После того, как от сервера поступил ответ на подтверждение подключения, экран отправляет его серверу и клиенту. Затем включается собственный таймер межсетевого экрана с определенным временем, в течение которого должен поступить ответ от клиента. Если ответ не поступает, межсетевой экран отправит запрос серверу на закрытие соединения.
  2. Увеличение размера очереди для полуоткрытых соединений.
  3. Уменьшение времени ожидания ответа от клиента.
  4. Уменьшение количества подключений с одного IP в одном порту.

Кроме того, следует отметить, что сервер должен быть в хорошем состоянии и рекомендовано его подготовить еще до атаки.

Общими методами предотвращения подобных атак можно назвать:

  • поддержание ПО сервера в актуальном состоянии;
  • защита брандмауэром;
  • серверы должны быть подготовлены к аварийной перезагрузке;
  • желательно присутствие дополнительного сетевого интерфейса, через который можно получить быстрый доступ к серверу.

HTTP URL GET/POST Floods

HTTP Floods является самым примитивным способом Dos-атак. Осуществляется с помощью посылки обычных ping запросов, которые насыщают канал пропуска. А также имеется отправка на веб-сайт огромное количество запросов GET, POST, HTTP 1.1 через 80 порт веб-сайта.

get post атака

Что происходит после атаки?

Когда случилась атака на сервер, можно увидеть приблизительно такую картину:

– Load Average поднимается до больших значений. Это происходит потому, что apache2 потребляет большое количество ресурсов, вследствие чего происходит перегрузка сервера. Если его сильно ограничить, это приведет к тому, что клиенты не смогут посещать веб-сайт.

  • Большое количество apache2/httpd.
  • Веб-сайт становится недоступным.

По сути такая атака и сориентирована на такой результат. Nginx не сможет защитить сервер, так как в один момент на веб-сайт может направляться огромное количество запросов с различных IP адресов, которые не превышают количество запросов. Поэтому запретить все IP означает не пускать на сайт пользователей.

Скрипт помогающий защитить сервер

Иногда Dos-атаку проводят с целью уничтожить какой-то скрипт на веб-сайте, который выполняет большие задачи. Одним из способов защиты от атаки это увеличить максимальное число подключений к серверу, а также поставить перед Apache легкий nginx. Существует некий скрипт, который нужно вставить в наиболее уязвимое место перед скриптом, который нужно защитить. В нем необходимо прописать значения Changeme и адрес вашего домена.

Суть работы такого скрипта заключается в следующем:

При попытке входа клиента на сайт, ему присваивается cookies состоящий из IP-адреса и значения Changeme. Если они не будут совпадать, сайт не будет грузить Php.

Клиенты, которые могут устанавливать случайные referer также проходят свою проверку. Она заключается в проверке наличия рефера сайта, и в случае его отсутствия пользователю закрывается доступ.

Боты, которые не имеют возможность обработать javascript, автоматически отправляются с сайта, и php не будет грузиться. Если же все-таки такой бот смог обработать javascript и принял cookies, то кроме предупреждения о перенаправлении на иную страницу он ничего не получит и с вашим сервером ничего не случится.

На практике такие скрипты помогают стабилизировать работу сервера и понизить нагрузку до минимума. При сохранении в index.php нагрузки в системе не будет кроме трафика. Apache2 будет в норме.

Одним словом прописав нужные строчки в скриптах, вы сможете не только обезопасить и снизить нагрузку от Dos-атак подобного типа, но и подготовить свой сервер к нагрузкам.

HOIC, LOIC, etc…

LOIC – это программа, которая предназначена для реализации Dos-атак по типу отказа от обслуживания. Она имеет доступный для всех исходный код и не баниться антивирусами. Выполняет передачу на веб-сайт или сервер TCP-, UPD-пакетов и HTTP-запросов. Цель такой передачи вывести из строя сервер.

Существует несколько модификаций, например LOIC Hive Mind, которая в автоматическом режиме принимает запросы на атаки с помощью Twitter, RSS или иных каналов. Это дает возможность реализовывать Dos-атаки с участием вычислителей добровольцев.

LOIC

Версии программы

1. LOIC – изначальная программа, работает из-под Windows и. NET не ниже 2.0 или Mono и Linux. Из-за новых версий используется уже довольно редко.

2. GAS – ответвление основной программы. Имеет поддержку 9 видов атак. Имеет эффективность выше LOIC, в него включена консольная программа и возможность производить атаки непосредственно с сервера. Поддерживает запуск программы из-под Linux. Особо не отличается от оригинала, однако работает активно.

3. IRC-LOIC – отличается от оригинала присутствием режима Hive Mind, который позволяет с помощью других серверов обрушить атаку на сайт с помощью тысяч таких же компьютеров с установленной программой. Требует ОС Windows и .NET не ниже версии 3.5.

4. HOIC – программа, созданная в 2010 году. Данная версия дает возможность атаковать до 256 сайтов в одно и то же время. Главная отличительная черта от LOIC, которая использует не нужные пакеты, HOIC применяет HTTP флуд с использованием POST/GET запросов. Они в свою очередь заставляют сервер отвечать запросами с большим объёмом. Данная версия работает из-под Windows, но не требует платформы .NET. Гораздо эффективнее LOICа, однако применять ее можно непродолжительное время, так как данная версия программы имеет серьезную утечку информации и серьезно захламляет канал самого атакующего.

5. JavaLOIC – аналог оригинала с использованием java. Не требует платформы .NET, не имеет режима Hive Mind (только через Twitter).

6. LOIQ – альтернативный вариант имеющий синхронизацию через IRC и локализацию.

7. JS-LOIC – программа позволяющая проводить Dos-атаки в любой операционной система, у которой установлен браузер. Эффективность в отличие от оригинала гораздо ниже.

8. Уникальные – LOIC-онлайн: позволяет, проводит атаки онлайн, и присоединятся к существующей с помощью нажатия одной кнопки. Имеется возможность предлагать цель. Зарекомендовала себя как мощный вариант оригинала.

DNS Amplification

DNS Amplification – это довольно распространенный тип атак на DNS-сервера. Атаки заключаются в отправке специальных запросов на сервер с подделанных IP (жертвы), которые содержат много ненужной информация, после чего сервер отправляет пакет с гораздо большим размером до тех пор, пока работа сервера жертвы полностью не прекратиться. Как правило, усиление может колебаться от 30 до 90. То есть, отсылая 1 байт, сервер ответит уже в размере 30-90 байт. Данная схема атаки успешно работает на неправильно настроенных DNS-серверах.

dns ddos

Случаи применение DNS Amplification

Свою популярность эта атака получила благодаря тому, что она не требует особых усилий и навыков, однако приводит к достаточно серьезным последствиям. Очень часто она может использоваться в определенных случаях:

  • личная неприязнь;
  • в качестве развлечения для начинающего хакера;
  • для политического протеста;
  • конкуренция между компаниями;
  • вымогательство, шантаж.

Как предотвратить атаку?

С учетом спецификации атаки, которая использует ваш же сервер для нее, следует обезопасить именно DNS-сервер.

Первым что нужно делать, это проверить версию вашего DNS-сервера. В случае если он уже устарел, его следует обновить. Вторым шагом будет проверка самого сервера на безопасность и не отвечает ли он на «левые» запросы.

Третьи шагом будет установка специального программного обеспечения на сервер, которое поможет противостоять Dos-атакам.

Метод Iptables

Это своеобразный метод фильтрации, который противостоит подобным атакам. В нем можно выделить пару модулей:

  • String. Дает возможность просматривать содержимое пакетов для дальнейшей фильтрации. Суть заключается в просмотре через wireshark нужную информацию: первые 14 байт это полученные данные от протокола Ethernet, затем 20 байт идут под заголовок IP-протокола, следующие 8 байт это заголовок UPD, остальные 12 байт это заголовок DNS и последние 5 байт это сам запрос DNS Query. Далее следует выделить нужные нам байты, начиная с 54-го и поставить фильтрацию.
  • Recent. Данный модуль создает динамические таблицы IP-адресов, в последствии запрещая или разрешая определенные действия. Каждый, кто хочет подключиться, подключается, но его IP заноситься в таблицу SSHT. В случае повторного подключения работает правило перезаписи IP в таблицу, сверка его последнего подключения и в случае если запись была произведена менее 30 секунд (или же через установленное вами время), то срабатывает автоматическое отбрасывание пакета.

После проделанных процедур DNS-сервер перестает быть уязвимым для атаки, и они существенно снизятся.

Reflected ICMP and UDP

ICMP и UPD являются довольно распространенными атаками на сервер с помощью захламления его портов. Как правило, причинами таких атак выступают несколько причин:

  • личная неприязнь;
  • в качестве развлечения для начинающего хакера;
  • для политического протеста;
  • конкуренция между компаниями;
  • вымогательство, шантаж.

Их очень легко определить и предотвратить, главное знать необходимые способы. Если вы заметили, что входящий и исходящий трафик на вашем сервере практически одинаков, вы имеете дело с один из данных типов атак.

ICMP-Флуд

ICMP-Flood – атака, которая способна уменьшить пропускную способность и увеличить нагрузку на стек. Все это происходит из-за постоянных однотипных запросов ICMP Ping. В случае если не уделять внимание защитным экранам, такая атака может повлечь за собой полную остановку сервера, отвечая на бесполезные запросы.

icmp flood атака

Суть его работы заключается в изменении злоумышленником своего IP-адреса на адрес жертвы, и отправляет с него некорректный ICMP-пакет. Сервер начинает отвечать на полученный запрос, в результате чего у жертвы все выходит из строя. Такую атаку в основном используют в большой компьютерной сети, где запрос отправляется на 1000 компьютеров, и, следовательно, увеличивает нагрузку на IP-адрес в несколько тысяч раз, не оставляя шанса.

Как предостеречь и защитить сервер от ICMP?

Для защиты сервера от ICMP-флуда первым делом следует отключить ответы на запросы ICMP ECHO. Это можно сделать в iptables или же в настройках брандмауэра.

UPD-флуд

UPD-Flood – атака на сервер, которая также как ICMP захламляет пропускную способность. Отличительной особенностью является отправка пакетов без предварительной синхронизации. Суть ее заключается в постоянной посылке пакетов на UPD порт сервера. Сервер, приняв запрос, начинает его обработку, после чего клиент посылает все новые и новые некорректные запросы, которые впоследствии захламляют порты. Результатом является сбой системы и не функционирование портов.

Как устранить UPD-атаку?

Устраняется она довольно просто. UPD-сервисы, через которые поступают запросы, нужно отключить и уменьшить лимит на частоту соединений к DNS-серверу. Все это можно сделать в iptables прописав нужные строчки.

Общими методами предотвращения подобных атак можно назвать:

  • поддержание ПО сервера в современном состоянии;
  • защита брандмауэром;
  • серверы должны быть готовы к аварийной перезагрузке;
  • присутствие дополнительного сетевого интерфейса, с помощью которого можно быстро получить доступ к серверу.

Выводы и несколько советов

Нет неуязвимых сайтов и систем. Все, что было разработано человеком может быть взломано человеком, или машиной. Всегда были и есть люди, которые пытаются заработать легкие деньги не совсем честным путем. Вы должны понимать, что не обязательно кого то обидеть, или зарабатывать миллионы чтобы стать жертвой мошенников. Каждый день в мире взламывается тысячи сайтов, миллионы сайтов подвергаются DDOS атакам, именно поэтому не стоит пренебрегать рекомендациям по защите вашего сайта. Помните, что любая атака на ваш сайт влечет за собой финансовые потери, а иногда и приводит к полному уничтожению вашего бизнеса и репутации.