Виявлення та протидія атак

Размещено на http://www.allbest.ru/

Зміст

Вступ

Розділ 1. Опис проблеми

1.1 Основні поняття

1.2 Ботнет як спосіб атаки

2. Класифікація DDOS атак та опис їх характеристики

2.1 Прямі атаки

2.2 Віддзеркалені атаки

2.3 Приховані атаки

2.4 Розподілені атаки

2.5 Тенденції розвитку

3. Механізми захисту від атак на відмову

3.1 Попередження атаки

3.2 Виявлення атаки

3.3 Протидія атаці

4. Концепція системи протидії DDOS атакам

4.1 Побудова системи виявлення і протидії

4.4 Задача визначення поведінки агентів

Висновки

Список використаної літератури



Вступ

атака відмова агент віддзеркалений

Протягом останніх 15 років спостерігається надзвичайний розвиток мереж Інтернет та його переосмислення в новій якості. Розроблений як дослідницький інструментарій для вчених, Інтернет поступово трансформувався на головну інфраструктуру світової інформаційної спільноти. Уряди використовують всесвітню мережу для надання громадянам інформації та послуг по всьому світу . Компанії цілодобово обмінюються інформацією зі своїми підрозділами, постачальниками, партнерами та клієнтами для підвищення ефективності своєї роботи. Дослідницькі та навчальні інститути використовують Інтернет як платформу співпраці, засіб дистанційного навчання та інструмент швидкого обміну результатами досліджень. Ще більш важливо, що рутинні процедури в таких важливих сферах як банківська діяльність, транспорт, енергетика, медицина та державні послуги були замінені на більш дешеві й ефективні прикладні програмні засоби, що використовують всесвітню мережу Інтернет.

Мережу Інтернет (спочатку відому під назвою ARPANET) було створено в 1969 р. як результат досліджень на замовлення Міністерства Оборони Сполучених Штатів Америки . Початкова мета розробки полягала у створенні відкритої мережі для обміну науковими ресурсами між вченими; виходячи з цієї концепції проектувалася і схема його функціонування [1]. Внаслідок цього було розроблено мережу на основі комутації пакетів (packet switching), яка принципово відрізнялася від відомих тоді систем комутації ліній (circuit switching), таких як телефонна мережа. Це дозволило значно підвищити гнучкість, життєздатність та масштабність, однак успіх був досягнуто ціною ослаблення безпеки. В мережі Інтернет будь -хто може надіслати будь-який пакет будь-кому, і при цьому одержувач має обробити пакет, який прийшов належним чином. Ослаблення безпеки полягає в тому, що зловмисник може вказувати в пакетах фальшиве джерело і надсилати від його імені шкідливі пакети . Тому всі системи, з'єднані з мережею Інтернет, перебувають у потенційній небезпеці, оскільки відкритість робить їх доступними для атакуючого. З розвитком мереж кількість фактів зловмисної діяльності почала швидко зростати. Згідно з даними CERT (Computer Emergency Response Team) [2], центру експертизи безпеки Інтернет, розташованому у Сполучених Штатах, кількість задокументованих випадків порушення безпеки або вторгнень стрімко зросла з 2241 в 1994 р. до 137539 у 2003 році. Починаючи з 2004 р. CERT відмовився від підрахунку загальної кількості вторгнень і перейшов до практики детальних звітів зі статистикою та аналізом по окремих типах атак. Графік росту кількості вторгнень на протязі часу показано на рис. 1.

Таким чином, атаки на інфраструктуру державних та фінансових установ, які раніше були можливі лише після фізичного наближення (перетину кордону держави) і могли бути зупинені відповідними органами, можуть реалізовуватися завдяки мережі Інтернет з будь-якої точки земної кулі. Останнім часом все частіше вживається термін «кібернетичний тероризм», що означає організовану діяльність, спрямовану проти Інтернет інфраструктури певної держави (на-приклад, атаки на сайти державних установ Естонії в 2007 р. [3]). На сьогодні доводиться констатувати, що надійного комплексного засобу протидії цим атакам немає. Таким чином, надійність і захищеність мережі Інтернет не стільки питання втрати доходів бізнесу (хоча й це дуже важливо), скільки питання національної безпеки.

Одним з найбільш небезпечних видів зловмисної активності є так звані «атаки на відмову» (Denial of Service Attack) . Принципово така атака може бути здійснена двома способами . Перший спосіб використовує слабкості і помилки програмного забезпечення, служб або протоколів які використовуються об'єктом атаки для надання сервісів користувачам. Використання спеціально сформованих шкідливих пакетів дозволяє ускладнити або заблокувати роботу системи. Другий спосіб полягає у використанні великих об'ємів беззмістовного трафіку для завантаження ресурсів, необхідних для обробки запитів звичайних користувачів. Якщо у першому випадку можна захиститися знешкоджуючи слабкості шляхом оновлення програм, то попередити атаку другого типу не так просто. При цьому потужність і складність атак постійно зростає. Так загальним явищем стала ситуація, коли трафік атаки надсилається з багатьох джерел (такі атаки отримали назву розподілені атаки на відмову) . Останні тенденції показують на появу нових типів атак - прихованих атак. У цьому випадку під-контрольні атакуючому комп'ютери отримують доступ до цільового сервісу на цілком законних підставах (наприклад, відвідують веб-сайт компанії ) і завантажують канал ресурсоємними операціями (атака погіршення якості) або в певний момент «вибухають» беззмістовним трафіком, що ставить перед системами захисту нові нетривіальні задачі виявлення і протидії.

Отже, дослідження атак на відмову в мережі Інтернет, розробка методів їх виявлення та протидії - це важлива складова безпечної роботи всіх користувачів мережі Інтернет.

РИС. 1. Дані про задокументовані вторгнення в мережі Інтернет з 1994 по 2008 рр.1. ОПИС ПРОБЛЕМИ

Поява в 1988 р. черв'яка Морріса [4] спричинила перше значне порушення комп'ютерної безпеки в мережі Інтернет. Однак в ті часи світ не був настільки залежним від інформаційних мереж як зараз. До другої половини дев'яностих років двадцятого сторіччя сфера застосування комп'ютерних мереж була обмежена дослідницькими та освітніми організаціями, тому порушенням безпеки не було надано належної уваги.

Атаки на відмову можуть бути спрямовані як проти веб- серверів, так і проти мереж (наприклад, мережі, з'єднаної з сервером). Збитки від таких атак можуть змінюватися від легких незручностей користувачів веб-сайту до серйозних фінансових втрат компаній, що будують свій бізнес на наданні надійних он -лайн послуг. Протягом 2005-2006 рр. згідно зі звітами CERT кількість атак на відмову зросла більше ніж в 11 разів.

РИС. 2: Дані про задокументовані атаки на відмову

У звіті Internet Security Threat Report (вересень 2005) компанії Symantec зазначається той факт, що кримінальні схеми вимагання грошей із застосуванням атак на відмову стають звичним явищем». За даними Symantec [5] (компанія, що спеціалізується на розробці захисного ПЗ) протягом 2006 р. середня кількість атак на відмову в день коливалася від 6110 на початку року до 5213 в кінці року. При цьому основними цілями зловмисників були Інтернет провайдери та державні установи (табл. 1).

Таблиця 1 - Дані за 2006 рік

№	Сектор	Кількість атак, %
1	Інтернет провайдери	38
2	Державні установи	32
3	Телекомунікації	8
4	Транспорт	4
5	Освіта	3
6	Банківські рахунки	3
7	Енергетика	3
8	Страхування	3
9	Фінансові послуги	2
10	Інформаційні технології	2

Очевидно, що з подальшим розвитком мереж Інтернет все більше послуг, що надаються державою, фінансовими та іншими установами, ставатимуть віртуальними. Цей процес у недалекому майбутньому приведе до необхідності надійного захисту від будь-яких вторгнень в роботу цих життєво важливих служб.

При здійсненні атак на відмову зловмисники використовують певні особливості побудови мережі Інтернет. Особливостями цього виду комп'ютерних злочинів є легкість здійснення та складність протидії , що ставить перед дослідниками суттєві проблеми, багато з яких повністю не розв'язані і сьогодні. Головні причини такого стану справ:

Велика кількість різнотипних атак, кожна з яких використовує окрему особливість або слабкість програмного забезпечення, протоколу взаємодії або архітектури мережі.

Протягом останніх років комп'ютерні системи та мережі постійно розвивалися, при цьому кількість користувачів збільшувалася, а сервіси, що їх обслуговують, ускладнювалися. Збільшення складності систем підвищило їх вразливість до різного роду вторгнень, зокрема, і до атак на від-мову, при цьому кількість нових видів атак також зросла. Поточний роз-виток дозволяє припустити, що наступним напрямком буде створення мереж з інтелектуальними компонентами, поведінка яких буде містити елементи автономності й адаптивності.

Децентралізація та розподіленість мережі Інтернет значно ускладнює впровадження глобальної системи протидії фальшуванню IP адрес (однієї з фундаментальних проблем мережі Інтернет яка забезпечує анонімність нападників). Тому системи захисту, як правило, є рішеннями для кінцевого користувача мережі. Такі механізми можуть забезпечувати захист користувача від експлойтних та спрямованих атак, але поглинаючі атаки залишаються загрозою. Це пов'язано з тим, що, при поглинаючій атаці трафік, який потрапляє до комп'ютера жертви, містить пакети атаки і пакети звичайних користувачів. Ефективних механізмів, які б дозволили розрізнити ці пакети немає.

Сучасний Інтернет - це складна динамічна система, яка складається з величезної кількості взаємодіючих агентів. Адекватної моделі, яка б описувала нормальне функціонування мережі Інтернет немає. Тому всі існуючі системи використовують при побудові певні припущення про природу трафіку або характеристик функціонування мереж, на яких базується весь механізм захисту (наприклад, про стійкість статистичних характеристик нормального трафіку або про невелику кількість нових IP адрес). Якщо ж ці припущення виявляються невірними (при появі, скажімо, нового типу атак), то система перестає забезпечувати захист.

Зростання мобільності користувачів. Дійсно, доступність ресурсів мережі для користувачів, що можуть підключатися з різних точок, комп'ютерів робить їх поведінку досить непередбачуваною, оскільки змінюється конфігурація мережі і всі попередньо виміряні характеристики можуть виявитися недостовірними. Характерним прикладом є так звані ad hoc мережі, які конфігуруються в залежності від існуючих користувачів і налаштовуються під їх потреби.

1.1 Основні поняття

Будемо називати джерелом (source) будь-який пристрій, що може створювати Інтернет трафік. Джерело може бути поштовим сервером університету, веб сервером компанії або просто домашнім комп'ютером, з'єднаним з мережею Інтернет. Якщо джерело починає генерувати атакуючий трафік воно стає атакуючим джерелом (attack source). Нападник (attacker) - це особа або комп'ютер, що створює джерела атаки. Визначимо третю особу (third party) як пристрій, що не є джерелом атаки , але використовується атакуючою стороною при атаці без його відома. Будемо називати жертвою (victim) систему, яка надає Інтернет по-слуги і чиї послуги були заблоковані протягом атаки. Під ціллю (target) будемо розуміти систему, яка в даний момент атакована або буде атакована нападниками. Якщо сервіси цілі були заблоковані протягом атаки, то будемо говорити, що атака досягла своєї мети і ціль перетворюється на жертву. Жертвою може бути державний веб сервер, DNS сервер або маршрутизатор (router).

Взагалі атакою на відмову (denial of service (DoS) attack) будемо називати будь-яку спрямовану мережеву активність, що спричиняє заблокування онлайнового сервісу (наприклад, веб-сайту). Така атака може містити один пакет або велику кількість пакетів, що завантажують сервер або мережу цілі. Ми на-звемо атакою пропускної здатності (bandwidth attack), будь-яку атаку, що завантажує ресурси (пам'ять, пропускна здатність канала зв'язку, час процесора) за допомогою великих об 'ємів трафіку. Назвемо кінцевим хостом (end host) пристрій, що приєднано до границі мережі Інтернет. Будемо використовувати термін граничний маршрутизатор (edge router) для маршрутизатора, що надає Інтернет послуги мережі, яку розглядаємо. Інші маршрутизатори будемо нази-вати проміжними або кореневими (core routers).

Під експлойтом (exploit) будемо розуміти частину програми, дамп даних або послідовність команд, яка використовує певні помилки, збої або вразливості для спричинення непередбаченої ситуації у програмному або апаратному забезпеченні. Експлойти часто використовуються для отримання контролю над комп'ютерною системою, підвищення прав доступу або здійснення атака на відмову. Розглянемо базові принципи побудови мережі Інтернет та обговоримо їх вразливість з точки зору атак на відмову (повний огляд наведено в [6]).

Розділення ресурсів у мережі Інтернет. Мережа Інтернет використовує комутацію пакетів на відміну від телефонних мереж, які використовують комутацію каналів. У мережі з комутацією каналів кожний сервіс (наприклад, телефонний дзвінок) приписано до певного окремого каналу, який не змінюється під час дії послуги. Тому дія послуги для користувача не може бути заблокована внаслідок законних дій інших користувачів. У мережах Інтернет, які були розроблені для отримання найвищої ефективності, використовується комутація пакетів, за якою користувачі сумісно використовують спільні ресурси. Тому якість послуг, що надаються одному з користувачів, залежать від дій інших.

Якщо внаслідок атаки пропускної здатності більшість спільних ресурсів виявиться завантаженою, це заблокує сервіси всіх інших користувачів. Сумісне використання ресурсів та взаємозалежність дій між користувачами є однією з причин небезпеки атак на відмову.

Просте ядро і складна границя. Один із принципів побудови мережі Інтернет полягає в тому, щоб тримати внутрішню структуру мережі максимально простою і виносити всю складність функціонування на граничні хости. Це означає, що проміжні маршрутизатори, особливо кореневі, повинні просто якнайшвидше пересилати IP пакети. Всі зміни у функціонуванні Інтернет протоколів виносяться, таким чином, на граничні маршрутизатори. Це дозволяє швидко впроваджувати нові протоколи або нові програми обробки.

Однак це також означає, що кореневі маршрутизатори не мають можливостей виконувати власні прикладні програми, наприклад застосовувати схеми ідентифікації пакетів. Відсутність ідентифікації пакетів призводить до проблеми, відомої як фальшування IP (IP spoofing). Фальшування IP пов'язане зі створенням IP пакету, що містить неправдиву інформацію. Фальшування IP адреси джерела (IP source address spoofing) виникає в тому разі, коли пакет створено з використанням адреси джерела, що відрізняється від адреси, призначеної для даного комп'ютера. Оскільки перевірка кожного пакету відсутня, то зловмисник може сфальшувати будь-яку частину IP пакету та відправити його в мережу. Ще одним наслідком описаного принципу є те, що маршрутизатори зазвичай не мають можливостей по відслідковуванні маршрутів пересилки пакетів, зокрема не зберігаються записи про попередні підключення. На сьогодні збереження такої інформації неможливе з огляду на величезні об'єми трафіку. Таким чином, при отриманні жертвою IP пакету немає можливості відразу визначити чи цей пакет є сфальшованим, чи він дійсно прийшов із вказаної адреси.

Мультипотокова маршрутизація. Даний принцип побудови полягає в тому, що пакети можуть пересуватися між джерелом та пунктом призначення по будь-якому маршруту. Саме це робить мережу Інтернет надзвичайно гнучкою порівняно з традиційною телефонною мережею . Однак це призвело до надзвичайно складної проблеми відслідковування маршруту пакетів (traceability). IP пакети пересилаються на основі місця призначення а не на основі певного визначеного маршруту. В цьому випадку маршрут пакета сильно залежить від затримок на лініях зв'язку. Відповідно, множина IP адрес, що обслуговує даний маршрутизатор може сильно змінюватись. Якщо маршрутизатор приймає пакет від джерела, яке він ще не зустрічав, то немає способу визначити чи це сфальшований пакет, чи цілком коректний, який переміщується новим маршрутом внаслідок завантаженості іншого напрямку. Таким чином гнучкість побудови Інтернет з одного боку суттєво поліпшує його функціонування а з іншого - ускладнює перевірку істинності IP адреси пакетів.

Швидкий центр і повільний край. При побудові з'єднань мережі Інтернет намагалися забезпечувати кожну ланку відповідно до її завантаженості. Внутрішні мережі повинні опрацьовувати велику кількість трафіку, що включає в себе прийом пакетів від багатьох джерел та надсилання їх у пункти доставки. Відповідно, ці з'єднання мають велику пропускну здатність, наприклад, OC-192 (10 Gb/s) з'єднання характерні для ланок першого шару провайдерів Інтернет. На відміну від них, граничні частини мережі призначені для обслуговування кінцевих користувачів, тому мають значно меншу ємність. Такий підхід збалансовує завантаженість мережі та знижує її вартість. Однак, як наслідок трафік з високоємного ядра мережі може перевантажити пропускну здатність граничної мережі в тому випадку якщо велика кількість джерел надішле свої пакети в одну точку. Власне, це і є ситуація, характерна для атаки на відмову.

Децентралізація. Мережа Інтернет - це сукупність великої кількості мереж, з'єднаних з метою надання доступу до ресурсів кінцевим користувачам. Тут не існує центральної влади або управлінської ієрархії, а кожна з мереж управляється локально. Результатом такого підходу була надзвичайна швидкість розвитку Інтернет. Однак, це також дає атакуючому можливість легко отримати доступ до значних ресурсів та організувати потужну розподілену атаку на відмову, в якій можуть приймати участь різні підмережі. Багато з підходів до побудови систем захисту від атак на відмову потребують розташування частин ПО на різних елементах, причому ефективність залежить від кількості таких місць. Однак, з огляду на відсутність центрального управління, надзвичайно важко запровадити певні схеми глобально, що робить сильно розподілені механізми захисту мало реальними. З іншого боку, сама природа розподіленої атаки на відмову знижує ефективність одно- точкового рішення. Більш того, з причин секретності та інших комерційних таємниць провайдери мережевих сервісів всіляко уникають надання інформації про схеми трафіку в їхніх мережах та не поспішають співпрацювати в галузі відслідковування джерел атаки. Ще більш важливим аспектом є відсутність автоматизованих засобів пошуку джерел атаки. Такі процедури як правило займають багато часу, дорого коштують і тому просто неефективні для боротьби з атаками.



1.2 Ботнет як спосіб атаки

Ботнет (Botnet) - це жаргонний термін, що означає групу програмних агентів або ботів, які функціонують автономно. Термін бот (bot, що походить від робот) використовується в техніці для позначення автоматизованого процесу. Як правило бот підтримує комунікаційний зв'язок з атакуючим та має можливість виконувати певні завдання, зокрема здійснення атаки на відмову на зовнішню вимогу. Також це слово може відноситись до мережі комп'ютерів, які використовують розподілене програмне забезпечення. На сьогоднішній момент, комп'ютери, що мають потужні канали виходу в Інтернет стають бажаною ціллю для атакуючих. Нападник може взяти такий комп'ютер під свій контроль шляхом прямої або непрямої атаки.

Пряма атака полягає в пересилці зловмисних пакетів які використовують експлойти комп'ютерної системи, наприклад операційної системи. Як правило, ці атаки здійснюються автоматизованими засобами, що дозволяє за короткий термін захопити значну кількість машин. Необхідною умовою проведення прямої атаки є наявність на комп'ютері сервісу з відомою вразливістю. Наприклад, Blaster Worm розповсюджувався за допомогою експлойта в службі Віддалений Виклик Процедур (Remote Procedure Call (RPC)), що дозволяло виконати на віддаленому комп'ютері зловмисний скріпт. На жаль, кількість вразливостей зростає рік у рік.

Непрямі атаки використовують для подолання системи захисту дії самих користувачів. Наприклад, користувач може відкрити HTML файл, який містить експлойт слабкості Microsoft Internet Explorer, або встановити програмне забезпечення, в яку додано зловмисний модуль. Як правило для контролю ботами використовують канали Internet Relay Chat (IRC). IRC - це одна з форм спілкування в мережі Інтернет. Він був розроблений для комунікації поміж групами через дискусійні форуми, що називаються каналами, але може використовуватись і для спілкування один- один. Після інсталяції на скомпрометований комп'ютер, бот автоматично приєднується до виділеного IRC каналу та чекає на подальші інструкції. Ця група скомпрометованих комп'ютерів, що знаходиться під керуванням однієї людини і називається ботнет. Насправді, IRC канали не найкраще рішення для керування з точки зору ефективності і гнучкості . Зі збільшенням числа агентів IRC канал може перевантажуватися. Крім того використання IRC сервера для комунікації робить всю систему вразливою. Виявлення та знищення такого сервера може припинити розподілену атаку. Є дві причини, що зумовлюють високу популярність IRC ботнетів. По-перше, IRC сервери загальновживані і легко доступні, їх просто налаштувати. По-друге, як правило атакуючі хакери добре розбираються з IRC комунікаціями. Можливі і інші способи координації ботнет, наприклад, з використанням пірінгових мереж.

Ботнети можуть використовуватися з різною метою. Однак, як правило, основне призначення програмного забезпечення ботнет - це здійснення розподілених атак. Кожний тип програми для ботнетів реалізовує певну множину механізмів атаки на відмову, таких, як SYN flood, ICMP flood або HTTP flood (атаки на відмову, що будуть описані нижче). Для керування атакою застосовується складна система параметрів, таких як частота пересилки та розмір пакету. Іншою важливою особливістю ботнетів є властивість оновлювати програмну частину з віддаленого серверу. Завдяки цьому атакуючий може додавати нові функції і виправляти помилки в своєму коді. Наприклад, він може завантажити на боти новий механізм атаки, гнучко реагувати на зміни в захисному забезпеченні жертви, керувати атакою протягом її здійснення.



2. Класифікація DDoS атак та опис їх характеристик

На сьогоднішній момент існує досить багато різних видів атак на відмову, кожна з яких використовує певну особливість побудови мережі або вразливості програмного забезпечення. Наприклад, атаки можуть здійснюватися шляхом безпосередньої пересилки великої кількості пакетів (UDP, ICMP flood), використання проміжних вузлів (Smurf, Fraggle), передачі занадто довгих пакетів (Ping of Death), некоректних пакетів (Land) або великої кількості трудоємних запитів. Зауважимо, що протягом останнього часу відбувається розвиток цього напряму діяльності та поява нових видів і способів атак. З останніх тенденцій можна відзначити появу атак погіршення якості (Quality Reduction Attack) та низькочастотних атак (Low Rated Attack) і, безумовно, цей процес буде продовжуватися, потребуючи нових досліджень та розробки нових методів протидії.

Основні існуючі класи атак досить добре вивчені. Представляють інтерес, однак, різні підходи до їх класифікації. В роботі [9] атаки класифіковані згідно з протоколами, по яким вони здійснюються. Виділені наступні атаки : SYN flood, TCP reset, ICMP flood, UDP flood, DNS request, CGI request, Mail bomb, ARP storm і атаки на алгоритмічну складність.

РИС. 4. Класифікація атак на відмову

звіті Prolexic Technologies [10] приводиться класифікація атак по техніці здійснення (рисунок 4.). Виділяють три типа атак:

Targeted attacks (використовують недоліки в протоколах, прикладних програмах).

Consumption attacks (поглинання ресурсів системи).

Exploitative attacks (використовують вразливості, помилки коду).

звіті також описуються відомі атаки для кожного типу.

Дослідженню класифікації розподілених атак на відмову присвячена робота [11]. В ній приведений досить розгорнутий опис атак, який ми коротко приведемо у вигляді схеми (рисунок 5).

РИС. 5. Класифікація атак на відмову

Широкий огляд досягнень в даній області приведено в роботі Котенко і Уланова [12]. Зокрема автори пропонують підрозділяти розподілені атаки на відмову (по способу реалізації і об'єкту дії) на два класи:

поглинання ресурсів мережі;

поглинання ресурсів вузла.

Поглинання ресурсів мережі полягає в пересилці великої кількості пакетів в мережу жертви. Вони зменшують її пропускну здатність для законних користувачів. Існує декілька видів таких атак:

UDP/ICMP flood полягає в пересилці значної кількості великих (фрагментованих) пакетів по протоколам UDP/ICMP;

Smurf/Fraggle полягає в пересилці пакетів UDP/ICMP ECHO на широкий діапазон адрес з сфальшованою IP адресою. При цьому на адресу жертви приходить велика кількість пакетів-відповідей.

Поглинання ресурсів вузла полягає в пересилці трудоємних або некоректних запитів жертві. До цього виду відносяться наступні атаки:

TCP SYN - свідоме переривання процесу встановлення з'єднання і створення великої кількості напіввідкритих TCP/IP з'єднань.

Land - пересилка пакету TCP SYN з однаковими адресами одержувача і джерела та портами.

Ping of Death - посилка пакету «ping» дуже великої довжини, який ОС не може обробити.

Пересилка некоректних пакетів при обробці яких на вузлі можуть виникнути помилки.

Пересилка трудоємних запитів для завантаження вузла.

роботі [13] приводиться найбільш розгорнута схема класифікації розподілених атак. Критерії, що використовуються в цій класифікації охоплюють наступні аспекти:

Стадію реалізації атак;

Ступінь їх автоматизації;

Стратегію сканування і розповсюдження;

Механізми взаємодії агентів;

Склад і організацію агентів;

Вразливості, що використовуються;

Способи виконання атак;

Склад пакетів атаки;

Індивідуальну поведінку агентів;

Інформацію про агентів атаки;

Спираючись на опрацьовані роботи та провівши додаткові дослідження ми виділили множину з декількох аспектів, важливих з точки зору побудови системи захисту, які достатньо повно характеризують атаку на відмову. Опишемо ці аспекти:

Тип атаки. Будемо розглядати атаки двох типів: типову (коли атака йде з однієї машини) та розподілену (коли використовуються машини-агенти).

Напрям атаки - визначає конкретну частину інфраструктури мережі, яка зазнає атаки. Виділимо дві частини: ресурси мережі (тобто пропускних каналів) та ресурси цілі (тобто ресурси конкретного комп'ютера) [12].

Схема атаки - визначає план здійснення атаки , тобто доставки атакуючим зловмисного трафіка жертві. Може бути прямою (пересилка трафіку з одного або багатьох машин), віддзеркаленою (пересилка трафіку через третіх осіб) або прихованою (зловмисний трафік ховається в «законному»). [6] Спосіб атаки - визначає які вразливості використовуються при здійсненні

атаки. Виділимо такі способи атаки: спрямована, яка використовує недоліки конкретних прикладних програмних систем, служб, протоколів, поглинаюча, яка намагається завантажити всі ресурси системи або мережі, експлойтна, яка використовує вразливості програмних систем [14].

РИС. 6. Характеристики атак на відмову

2.1 Прямі атаки

В даному пункті будуть описані атаки, які можуть ефективно виконуватися з одного джерела. Ці атаки використовують певні особливості побудови протоколів мережі Інтернет. Часто такого роду атаки використовуються в якості елементів для конструювання складних компонованих розподілених нападів. Відзначимо , що будь-яка пряма атака може використовуватися і як розподілена, за умови наявності мережі ботів.

Націлені на ресурси цілі. Спрямовані

ICMP атаки. В атаках цього типу використовуються особливості реалізації протоколу ICMP. Оскільки цей протокол є внутрішнім механізмом підтримки працездатності IP- мереж, то він природно викликав підвищену увагу нападників. Виділяють [16] декілька типів. Перший тип - атака розриву з'єднання (connection-reset attacks) використовує ICMP -повідомлення, що сигналізують про фатальну помилку і спричиняють до припинення TCP-з'єднання. Якщо нападник сфальшує такий пакет і надішле його жертві , то її з'єднання з сервером буде розірвано. Для формування такого пакету йому потрібно знати IP адреси жертви і сервера, порт і унікальне число, яке ідентифікує з'єднання. Для підбору останньої величини йому достатньо надіслати всього 65536 пакетів. Ця слабкість була виявлена 13 березня 2005 року і зачепила велику кількість операційних систем та маршрутизаторів.

Зокрема, Windows XP, Windows 2000, Windows 2000 Server, Windows 98.

Другий тип [17] полягає в звуженні пропускної здатності (throughput-reduction attacks), при цьому використовуються ICMP-повідомлення, що вимагають від джерела зменшення пропускного каналу . Це службові пакети, що надсилаються мережею в разі її перевантаження. Для їх фальшування використовується аналогічний наведеному вище набір параметрів. Нарешті третій тип [18] пов'язаний з пакетами ICMP, які відповідають за допустиму фрагментацію пакетів. Надсилаючи сфальшований пакет на адресу джерела нападник добивається ситуації коли великий файл надсилається мізерними шматочками, що, звичайно, знижує швидкість передачі.

Поглинаючі.

HTTP Flood. Найпопулярнішою та найбільшою компонентою мережі Інтернет являється World Wide Web (www) - або Всесвітня Павутина. www-програми, як правило, використовують протокол Hypertext Transfer Protocol (HTTP), який ініціює запит шляхом встановлення Transmission Control Protocol (TCP) з'єднання з певним портом (як правило 80 порт). Через це більшість захисного програмного забезпечення залишає TCP порт 80 відкритим для вільного проходження HTTP трафіку. Широка розповсюдженість WWW систем зробила HTTP чудовою мішенню для нападників. Власне кажучи , атака HTTP flood пов'язана з завантаженням Веб сервера звичайними HTTP запитами. Згідно з недавніми дослідженнями [15], HTTP flood атака входить у функціональний набір абсолютної більшості ботнет. Для того щоб надіслати HTTP запит необхідно спочатку встановити дійсне TCP з'єднання, що вимагає наявності дійсної IP адреси. Нападник тут може використати IP адресу ботів. Більше того, нападник може сконструювати особливий запит для збільшення сили атаки або для того, щоб уникнути виявлення. Наприклад, видати боту інструкцію надіслати HTTP запит на завантаження великого файлу. Тоді комп'ютеру жертви необхідно зчитати цей файл з диску, завантажити у пам'ять, загрузити в пакети та надсилати їх у ботнет. Отже, навіть простий HTTP запит може привести до значного завантаження процесору, пам'яті, пристроїв вводу/виводу та лінії з'єднання з Інтернет. Однак така поведінка трафіку, як у попередньому прикладі є підозрілою . Повторні запити на завантаження можуть бути виявлені та блоковані. Більш складною стратегією є імітація звичайного трафіку. Нападник може задати ботам програму пересилки HTTP запитів, аналізу відповідей і рекурсивного відкриття посилань. В цьому разі HTTP запити від атакуючої мережі дуже подібні до нормального веб трафіку, що ускладнює фільтрацію атак цього типу.

SYN Flood. Перед тим як перейти до опису SYN flood атаки потрібно згадати послідовність встановлення TCP з'єднань. TCP з'єднання встановлюється між клієнтом, що ініціює з' єднання і сервером, який отримує запит. На початку кожного TCP з'єднання клієнт звертається до сервера для виконання процедури, яка називається потрійне рукостискання (a three-way handshake) [18].

Атака SYN flood використовує вразливості TCP потрійного рукостискання, а саме, ту особливість, що сервер повинен розміщувати в пам'яті дані для будь-якого вхідного SYN пакета, незалежно від його аутентифікації. При проведенні SYN flood атаки нападник посилає SYN пакети з сфальшованою IP адресою, тобто вказує IP адресу , якої не існує. В цьому разі під час виконання потрійного рукостискання сервер поміщає запит на з'єднання в пам'ять і чекає на підтвердження запиту від клієнта. Оскільки сфальшованої нападником адреси може просто не існувати, то пакетів підтвердження сервер не отримує і запит залишається в пам'яті протягом певного часу. За короткий час ці запити заповнюють стек пам'яті, що призначений для їх зберігання (як правило його об'ємне дуже великий). В результаті нові запити на з'єднання від користувачів не можуть бути оброблені і сервіси системи виявляються заблокованими. Можливою модифікацією цієї атаки (стійкою до фільтрації адрес) є ситуація, коли атака здійснюється з ботів з використанням дійсної IP адреси. При цьому система налаштовується ігнорувати SYN/ACK пакети жертви. SYN floods залишається однією з найбільш потужних поглинаючих атак.

ACK Flood. ACK Flood це шлях обійти захист від SYN flood атаки. Більшість мереж налаштовані на захист від атаки SYN пакетів, в той час як ACK пакети можуть безперешкодно проходити через мережу. Це створює додаткові можливості по завантаженню ресурсів жертви, оскільки отримавши пакет ACK, система має виконати пошук відповідного йому TCP з'єднання. Не знайшовши такого (оскільки нападник і не намагався його встановити) система відповідає пакетом RST. Таким чином ресурси цілі завантажуються прийомом та надсиланням пакетів.

Reset (RST) Flood. Атаки типу SYN flood використовують вразливості встановлення з'єднання. На відміну від них, атаки RSR Flood спрямовані на вже встановлені з'єднання. Пакети з міткою RST використовуються для повторного встановлення з'єднання (наприклад в разі коли на одній з машин відбувається збій). Якщо дві машини С і В обмінюються даними через встановлене з'єднання, і нападник А вирішує атакувати С, то для здійснення атаки йому потрібно обчислити / підібрати правильне число ідентифікації з'єднання (при розриві з'єднання підтвердження пакетом АСК не використовується). Тепер нападник може перервати з'єднання В і С шляхом надсилання сфальшованого пакета. Більше того, він може завантажувати машину пакетами від імені В оскільки С не підозрює, що з'єднання розірване.

FIN Attack: Атака FIN attack використовує пакети FIN, які відповідають за закінчення TCP з'єднання. Нападник намагається встановити серію нових з'єднань та відразу по встановленні закрити їх не надіславши ніяких даних. Ідея полягає в тому, щоб завантажувати сервер великою кількістю з'єднань. Пере-вага цієї атаки для нападника полягає в тому, що оскільки на пакет FIN машина повинна відповісти пакетом ACK він може відразу визначити чи успішні його дії.

Експлойтні

WinNuke. Одним з перших і класичних випадків експлойтної атаки на відмову являється WinNuke, який з'явився 7 травня 1997 року. Автор методу розмістив опис і текст програми на декількох сайтах новин, що зумовило швидке його розповсюдження. Першою жертвою став сервер www.microsoft.com, який був недосяжний для користувачів з 9 по 12 травня. Звичайно, що і багато інших серверів, які працювали на системі Windows NT також стали жертвами атак. Сутність WinNuke дуже проста. Поряд зі звичайними даними стандарт включає можливість пересилки по TCP-з'єднанню і термінових (Out Of Band, OOB) службових даних. На рівні форматів пакетів TCP це виражається в ненульовому значенні відповідного поля (urgent pointer). Більшість комп'ютерів , що працюють під Windows використовують протокол NetBIOS, якому для роботи потрібно три IP-порти: 137, 138, 139. Виявилось, що якщо з'єднатися з Windows-машиною через 139 порт і надіслати туди декілька байт OOB- даних, то NetBIOS не знаючи як їх обробляти просто підвисить машину. Під дію цієї атаки підпадають системи

Windows 95, Windows NT до 4.0.

Ping of Death. В цій атаці використовується особливості реалізації протоколу ICMP. Оскільки цей протокол є внутрішнім механізмом підтримки працездатності IP-мереж, то він природно викликав підвищену увагу нападників. Особливість полягає в тому , що ICMP-пакети мають певні привілеї в обробці, тому ping великого розміру може паралізувати роботу комп'ютера або навіть усієї мережі. Існує багато реалізацій програм, що використовують цю помилку: Ping of Death, SPing, Jolt, SSPing, IceNuke, IcePing, та інші. Як виявилося, Windows-системи неадекватно реагують на отримання сильно фрагментованого ICMP-пакета (шматочками до одного кілобайта) великого розміру (трохи більше 64 кілобайт). Реакція полягає в повному зависанні комп'ютера. В кінці червня 1997 року жертвою Ping of Death став сервер Майкрософт. На відміну від WinNuke жертвами цієї атаки можуть стати не тільки Windows-системи а й Mac OS і деякі версії Unix.

Teardrop. Даний тип атак на відмову використовує експлойт реалізації протоколу, згідно з яким якщо пакет занадто великий для обробки, то він мусить розбиватися на два фрагмента. Ці фрагменти містять інформацію про відносне зміщення початку другого пакета. При прийомі пакетів система опрацьовує інформацію про зміщення і формує цілий пакет. При атаці teardrop нападник фальшує значення зміщень другого або наступних пакетів і призводить до того, що довжина пакета стає менш за нуль або у машинній логіці дуже великим числом. Це приводить до копіювання величезного блока пам'яті, що затирає системні області. Після появи атаки Teardrop виникло декілька модифікацій, які були здатні пробивати Windows NT з встановленим патчем від звичайного Teardrop. Найбільш відомі з них Bonk (Boink), NewTear, SynDrop. Вказані атаки можуть застосовуватися проти систем Windows 3.1/95/NT, Linux (до 2.0.32 і 2.1.63).

LanD. Наступний метод атаки, який називається lanD відомий тим, що в свій час вражав велику кількість систем . Крім Windows NT, під його дію підпадали Mac OS та багато варіантів Unix (від безкоштовних до комерційних), і такі екзотичні системи, як QNX і BeOS, і навіть апаратні маршрутизатори (в тому числі Cisco і 3Com). Суть атаки land полягає в наступному: при встановленні TCP з'єднання посилається SYN-пакет з адресою відправника, що співпадає з адресою одержувача. Пакет посилається на будь-який відкритий порт. Реакцією Windows-комп'ютера на land є повне зависання. Атака була ефективна проти операційних систем Windows 9х/NT. В 2005 році була виявлена вразливість в системах Windows XP і Windows 2003 Server, яка призвела до появи модифікації атаки lanD - Remote LanD.

Націлені на ресурси мережі

Під ресурсами мережі в цьому пункті розуміються канали зв'язку, граничні маршрутизатори, кореневі DNS сервери та інші пристрої, що забезпечують роботу мережі. Атаки на інфраструктуру мережі спрямовані на сервіси, функціонування яких критичне для роботи мережі Інтернет. Такі атаки можуть вплинути на роботу всієї мережі. Наприклад кореневі DNS сервери містять інформацію про сервери головних доменів, таких , як .com. У разі успішної атаки на відмову всі ці домени стали б недосяжні для користувачів. Однак, такі пристрої як правило мають додаткові резерви для випадків пікових навантажень, тому прості поглинаючі атаки не можуть бути застосовані (вони можуть створювати порівняно невеликі об'єми трафіку). Що стосується спрямованих та експлойтних атак на інфраструктуру, то в силу важливості цих об'єктів для функціонування всієї мережі будь-яку знайдену вразливість досить швидко виправляють. Тому особливих нерозподілених атак, характерних саме для даного розділу не зафіксовано.

2.2 Віддзеркалені атаки

В основі здійснення віддзеркалених атак лежить використання фальшування адреси та особливостей протоколів TCP-з'єднання , а саме - момент коли один комп'ютер відповідає на запит іншого . Схема виконання атаки наступна: пакет-запит фальшується від імені жертви та надсилається на велику кількість машин. Потім всі ці машини відповідають жертві пакетами-відповідями, завантажуючи його канал беззмістовним (хоча й коректним з точки зору роботи протоколу) трафіком. Як випливає з опису схеми найбільш сильно ефект віддзеркалення проявляється при здійсненні поглинаючих атак.

Націлені на ресурси цілі Поглинаючі

Smurf. Може бути здійснена з допомогою звичайної команди «ping». В багатьох системах існує можливість опитувати мережу за допомогою пакетів «ICMP echo». При отриманні такого пакета комп'ютер повинен вернути пакет «ICMP echo reply» по вказаній адресі. Однак базові ICMP пакети можуть мати сфальшовану зворотну адресу (це спрямовано для ускладнення від слідкування джерела атаки). Фактором посилення такої атаки є існування так званої адреси широкотрансльованих запитів (broadcast address). Ці адреси використовуються в службових цілях для визначення поточної конфігурації мережі ( опитування активних вузлів ). Відсилка пакета на цю адресу приводить до його розсилання по всій мережі, причому всі активні комп'ютери повинні відповісти на адресу

машину, вказаній в пакеті. Атака відбувається наступним чином: нападник спрямовує пакет на адресу широко трансльованого запиту і він розсилається по всій мережі. При цьому зворотна адреса сфальшована і всі відповіді - пакети ICMP echo reply приходять на машину жертви. Таким чином один надісланий пакет викликає цілий шторм відповідей, посилюючи початкову силу атаки в сотні раз.

Fraggle. Одним з варіантів описаної вище атаки є атака fraggle (осколочна граната). Ця атака базується на тому ж принципі , що і smurf, але використовує пакети UDР замість ICМР. Нападник надсилає сфальшовані пакети UDР на адресу широко трансльованого запиту, як правило на порт 7. Кожна система мережі, в якій дозволена відповідь на такі UDР echo пакети відповість жертві, в результаті буде згенеровано великий об'єм трафіку

DNS Amplification Attacks. Досить ефективною формою віддзеркаленої атаки є використання серверів Доменної Системи Імен (Domain Name System (DNS) servers). Ці сервери потрібні для зберігання і надання за вимогою різних записів (resource records (RR)) з іменами доменів Інтернет . В такому записі можуть бути дані типу TXT RR, в які адміністратор може внести довільний текст , типу A RR, де визначається відображення імені в 32 -бітну IP адресу та типу SOA1 RR, де визначається ім'я домену Інтернет та інша супутня інформація. Найважливішою функцією DNS серверів є транслювання імен доменів в IP адреси. Після отримання запиту на IP адресу DNS сервер намагається знайти відповідний запис у своїй базі даних. Якщо це не вдалося, то запит розсилається по всіх відомих йому DNS серверах . Ця процедура називається рекурсивним запитом. Розміри запиту і відповіді можуть суттєво відрізнятись . Зазвичай , відповідь містить початковий запит та відповідь. Це означає, що відповідь завжди більша за запит. Більше того, відповідь може містити різні типи RR даних і деякі з них можуть мати значний обсяг. Приклад атаки, що відбувалася на початку 2006 року [19]. Сценарій атаки наступний: на початку нападник отримує права доступу на DNS сервер та розміщує максимальну можливу (4000 Б) типу TXT RR. Далі нападник видає команду контрольованій ботнет надсилати сфальшований DNS запит з зворотною адресою жертви на всі DNS сервери з вимогою даних, які розмістив нападник. В кінці кінців всі запити вертаються на машину жертви значно посиленими. Теоретично, початковий трафік потужністю 140 Mb/s з ботнет може призвести до потоку DNS відповідей потужністю 10 Gb/s.

Націлені на ресурси мережа Поглинаючі ICMP flood. Виникає при завантаженні мережі жертви пакетами ICMP_ECHO та ICMP_ECHO_REPLY. Ці пакети можуть бути сфальшовані і наповнюють мережу віддзеркаленими відповідями, завантажуючи пропускну здатність жертви.



2.3 Приховані атаки

Мабуть, першою роботою, присвяченою опису і характеристиці проблеми прихованих або низькочастотних атак була стаття Кузмановича і Найтлі [20]. В роботі досліджена причина появи прихованих атак (в статті «shrew attack») та їх вплив на роботу TCP потоків. Дослідники відмічають обмеженість існуючих механізмів захисту проти атак такого типу , але не пропонують алгоритму ефективної протидії. В чому ж полягає така атака? Атакуючий комп'ютер A встановлює з'єднання з жертвою та надсилає велику кількість пакетів, на короткий час завантажуючи канал. Отримавши переповнення каналу протокол TCP вмикає механізм RTO (retransmission timeout) і певний час не приймає пакети від А. Оцінивши цей час, протягом нього нападник не надсилає пакетів. Після того як час RTO пройшов і до того як з'єднання буде закрите (оскільки воно не активне) нападник надсилає наступну порцію пакетів. В результаті підтримується порожнє з'єднання , яке завантажує пам'ять і ресурси машини. Такі атаки також отримали назву пульсуючих атаки (pulse attacks). Крім того, що один атакуючий комп'ютер може підтримувати декілька десятків таких з'єднань, атаку може бути запущено з декількох десятків тисяч комп'ютерів. За своєю природою приховані атаки є поглинаючими, однак вони також використовують особливості реалізації протоколів, тому їх також можна віднести до спрямованих. Якість зв'язку суттєво знижується, оскільки доводиться обслуговувати беззмістовні потоки даних (хоча й цілком законні з точки зору роботи протоколу ). Механізми захисту від звичайних прихованих атак запропоновані в роботах [21, 22]. Також ця задача частково вирішується системами захисту на основі виявлення великої кількості нових IP адрес [6].

Однак проблема залишається відкритою, якщо атака використовує несинхронні потоки або атаки з змінним періодом. При цьому агенти атаки можуть ускладнювати поведінку імітуючи дії користувача, що ставить складні задачі по виявленню самого факту атаки.

2.4 Розподілені атаки

Розподілені атаки на відмову - це найпотужніші за об'ємом трафіку види нападу. Сучасний стан розвитку мереж дозволяє набрати цілу армію ботів та спрямувати їх атаку на певний сервер-жертву. При цьому в якості методу атаки може використовуватися будь-який з описаних вище. Однак справжня сила розподілених атак проявляється при здійсненні поглинаючих атак (особливо якщо при цьому імітується звичайний трафік). Опишемо декілька найбільш відомих розподілених атак.

Розподілена атака 22 жовтня 2002. Скоординована розподілена атака на відмову була здійснення 22 Жовтня з 20.45 по 22.00 [23]. Ціллю атака були всі тринадцять кореневих DNS серверів. Потужність атаки коливалась від 50 до 100 Mbits/sec на кожен сервер, загальна потужність можна оцінити числом 900 Mbits/sec (1.8 Mpkts/sec). Відповідно до повідомлень Пола Віксі, оператора сервера F, атака 21 жовтня складалась з пакетів ICMP Echo Request, тобто пакетів, що вимагали відповіді . Найпростіше рішення проти такої атаки полягає в обмеженні або заблокуванні всіх ICMP пакетів до закінчення атаки (оскільки атака тривала недовго це було непомітно). Якщо б атака тривала весь день, це б вплинуло на загальну роботу мережі, оскільки протягом атаки деякі сервери обробляли лише 50 % запитів [24]. Загальний трафік атаки містив пакети ICMP,

TCP SYN, fragmented TCP і UDP flood атак. Джерела атаки були в основному сфальшовані випадковим чином, але зі значень, присутніх в таблицях маршрутизації (тобто дійсних). В результаті атаки деякі сервери були недосяжні для багатьох областей мережі Інтернет. При цьому робота серверів не була перервана - просто велика частина ресурсів тратилася на обробку порожніх запитів. Незвичність атаки полягала в тому, що вона була спрямована на всі сервери одночасно, чого раніше не траплялось.

MyDoom worm. Черв'як Mydoom, також відомий як W32.MyDoom@mm, Novarg, Mimail.R і Shimgap використовує вразливості операційних систем Microsoft Windows. Вперше був помічений 26 січня 2004 року і став найшвидшим поштовим черв'яком на той момент по швидкості розповсюдження. Як правило , Mydoom (або MyDoom.A) поширювався через електронну пошту з темою повідомлення «Помилка », «Служба доставки пошти» та подібні. При цьому лист містив файли, що зазвичай генеруються поштовими серверами при помилці доставки. При перегляді цих додатків черв'як розсилав себе по всім поштовим адресам з адресної книги. Він також намагався поширитись через популярну файлообмінну peer-to-peer мережу KaZaA. При цьому Mydoom уникав адрес певних університетів таких як

Rutgers, MIT, Stanford і UC Berkeley, та великих компаній як Microsoft і Symantec. Перша версія Mydoom.A встановлювала засіб віддаленого контролю комп' ютера. 1 лютого 2004 року всі боти повинні були розпочати розподілену атаку на відмову вебсайта компанії SCO Group. Далі події розгортались наступним чином:

26 січня 2004: Перша зареєстрована поява Mydoom на початку робочого дня в Америці. За декілька годин черв'як почав швидко поширюватися мережею Інтернет. Це поширення спричинило зменшення загальної швидкодії Інтернет на 10 відсотків. Веб-сторінки завантажувалися в півтора рази довше. За оцінками кожний десятий електронний лист в цей час був надісланий Mydoom. Хоча атака повинна була розпочатися 1 лютого, сайт SCO Group був вимкнено через декілька годин після появи черв'яка. Досі немає певності, чи відповідальний за це Mydoom.

28 січня: Перші відомості про другу версію черв'яка Mydoom, яка отримала назву Mydoom.B. Нова версія включала заплановану атаку SCO Group та ідентичну атаку проти сайту Microsoft.com, яка повинна була початися 3 лютого. Поширення MyDoom досягло піку - за оцінками кожний п'ятий електронний лист був надісланий з його участю.

29 січня: Поширення Mydoom почало сповільнюватися.

лютого: Приблизно один мільйон комп'ютерів, заражених черв'яком Mydoom почали найпотужнішу в світі атаку на відмову. Напередодні сайт www.sco.com було відключено самою компанією (незалежної інформації чи атака насправді досягла цілі немає досі). лютого: SCO Group перейменувала свій сайт на www.thescogroup.com. лютого: Почалась розподілена атака Mydoom.B на сайт Microsoft. Однак сила була незначною оскільки по-перше розповсюдження Mydoom.B було значно меншим за його попередника, по-друге адміністратори були заздалегідь попереджені про атаку.

9 лютого: Паразитичний черв'як Doomjuice, який використовував для розповсюдження комп'ютери заражені Mydoom почав своє розповсюдження. Він заражав комп'ютери та починав атаку сайту Microsoft.

26 липня: З'явився новий варіант Mydoom - W32/MyDoom-O. Після захоплення комп'ютера цей черв'як шукав на дисках адресні книги і формував на їх основі пошукові запити для отримання нових адрес. Розміщення запитів було наступним -www.google.com (45%) search.lycos.com (22.5%) search.yahoo.com (20%) www.altavista.com (12.5%)

В результаті вказані сервери потрапили під не спрямовану атаку на відмову. Практично весь день сервіс Google був недоступний для користувачів. Інші сервіси значно вповільнили роботу.

2.5 Тенденції розвитку

Слід зазначити, що організація атак на відмову давно займає значне місце серед зловмисної діяльності в мережі Інтернет. Деякий спад , (точніше не зростання) кількості атак на відмову в 2006 році, що був пов'язаний з бурхливим розвитком інших видів діяльності, таких як спам і фітинг схоже закінчився. Початок 2007 року був ознаменований потужною атакою на кореневі сервери. Згідно з дослідженнями Лабораторії Касперского [25] cпам і DoS-атаки - одні з основних тем новин інформаційної безпеки 2007 року. Починаючи з жовтня 2006 року, коли черв'як Warezov почав створювати гігантські зомбі-мережі в мережі Інтернет почався новий виток розвитку спама. Ці події взаємопов'язані і вказують на зрощення цих двох явищ: Warezov збирав бази адрес і відправляв їх зловмисникам. Крім того він встановлював на заражені комп'ютери модулі для організації спам-розсилок. Цим же займались і два інших активних поштових черв'яка - Zhelatin і Bagle.

...