Что такое DDoS ботнет | Общие ботнеты и инструменты ботнетов | Imperva

1. Что такое ботнет? Иногда называемый «армией зомби», ботнет - это группа угнанных подключенных к Интернету...
2. DDoS ботнет и ботнет инструменты
3. Известные ботнеты
4. Смягчение DDoS-атак ботнета с помощью Imperva

Что такое ботнет?

Иногда называемый «армией зомби», ботнет - это группа угнанных подключенных к Интернету устройств, каждое из которых заражено вредоносным ПО, используемым для управления им из удаленного места, без ведома законного владельца устройства. С точки зрения хакеров, эти устройства ботнета являются вычислительными ресурсами, которые могут быть использованы для любого типа вредоносных целей - чаще всего для спама или DDoS-атаки ,

Отдельное устройство ботнета может быть одновременно взломано несколькими злоумышленниками, каждый из которых использует его для разных типов атак: //www.incapsula.com/ddos/ddos-attacks/pe и часто одновременно. Например, зараженный вредоносным ПО персональный компьютер может быть заказан для быстрого доступа к веб-сайту в рамках более масштабной DDoS-атаки. В то же время он может также выполнять сканирование на наличие уязвимостей, когда его владелец просматривает веб-страницу, не подозревая об обоих случаях.

«У нас есть армия ботнетов, готовая уничтожить ваш сайт. У вас есть 48 часов, чтобы заплатить нам 1200 $. С Рождеством! »- DDoS выкуп

Что такое DDoS-атака?

DDoS является аббревиатурой от распределенного отказа в обслуживании. DDoS-атака - это злонамеренная попытка сделать сервер или сетевой ресурс недоступным для пользователей. Это достигается насыщением услуги, что приводит к ее временному приостановлению или прерыванию.

Отказ в обслуживании (DoS) атака включает в себя одну машину, используемую либо для нацеливания на уязвимость программного обеспечения, либо для заполнения целевого ресурса пакетами, запросами или запросами. DDoS-атака, однако, использует несколько подключенных устройств - часто выполняемых бот-сетями или, иногда, людьми, которые координировали свою деятельность.

DDoS-атаки можно разделить на две основные категории:

1. Типы DDoS-атак на уровне приложений: HTTP-флуд медленные атаки ( Slowloris , RUDY ), нападения с нулевым днем ​​и атаки на уязвимости в операционных системах, веб-приложениях и протоколах связи.

Состоит из, казалось бы, законных и невинных запросов, их величина обычно измеряется в запросах в секунду (RPS), цель атак состоит в том, чтобы заполнить целевое приложение запросами. Это приводит к высокой загрузке процессора и памяти, что в конечном итоге приводит к зависанию или сбоям приложения.

2. Типы атак DDoS сетевого уровня включают UDP-потоки , SYN наводнения , Амплификация NTP , DNS-усиление , Усиление SSDP, фрагментация IP и многое другое.

Это высокопроизводительные барьеры, измеряемые в гигабитах в секунду (Гбит / с) или пакетах в секунду (PPS). Они почти всегда выполняются ботнетами с целью использования полосы пропускания восходящего потока цели, что приводит к насыщению сети.

Следует отметить, что DDoS-атаки также могут быть направлены на поддерживающие инфраструктуры и службы, чаще всего на целевые DNS-серверы. Они могут быть перегружены потоком сфабрикованных DNS-запросов, исходящих от устройств ботнета.

DDoS ботнет и ботнет инструменты

Создатель ботнета обычно называют «бот-пастухом» или «ботмастером». Этот человек управляет ботнетом удаленно, часто через промежуточные машины, известные как серверы управления и контроля (C & C или C2).

Для связи с C & C-сервером ботмастер использует различные скрытые каналы, в том числе, казалось бы, безобидные протоколы, такие как веб-сайты IRC и HTTP, а также популярные сервисы, такие как Twitter, Facebook и даже Reddit.

Ботнет-серверы могут общаться и взаимодействовать с другими ботнет-серверами, эффективно создавая сеть P2P, контролируемую одним или несколькими ботмастерами. Это означает, что любая конкретная DDoS-атака ботнета может иметь несколько источников или быть управляемой несколькими лицами - иногда работающими скоординированным образом, а иногда - независимо.

Бот-сети по найму доступны из различных источников, их услуги часто выставляются на аукцион и продаются среди злоумышленников. Интернет-магазины даже выросли - это коммерческие организации, торгующие огромным количеством зараженных вредоносным ПО компьютеров. Их можно взять напрокат и использовать для DDoS или других атак (например, грубой силы).

Типичный прайс-лист DDoS-стрессера

Эти платформы часто скрываются за неоднозначным определением сервиса стрессеры или бустеры Продай DDoS-как-услугу. Они предоставляют своим клиентам богатый набор инструментов, а также распределительную сеть для выполнения своих атак по вызову.

Теперь, вооруженные арендованным ботнетом, DDoS-атаки стали жизнеспособным (если преступным) и экономически эффективным вариантом для тех, кто хочет захватить веб-сайт или нарушить связь в домашних и офисных сетях. Это приводит к ряду сценариев атак: от сомнительных предприятий, использующих DDoS для получения конкурентного преимущества, до атак, в которых DDoS становится инструментом вандализма, мести или просто способом привлечь внимание.

DDoS-атаки с полным набором услуг доступны всего за 5 долларов в час, и заинтересованная сторона может легко растянуть свой час с ежемесячным планом в среднем на 38 долларов. Внутри экосистемы киберпреступлений DDoS-атаки ботнетов являются основным товаром; цены постоянно падают, а эффективность и изощренность постоянно растут.

Известные ботнеты

Ботнеты обычно называют в честь наборов вредоносных программ, использованных при их создании. Однако, поскольку пастухи ботнетов работают анонимно, не все такие наборы являются идентифицируемыми. Некоторые из наиболее часто используемых бот-сетей DDoS:

Нитол / IMDDOS / Авжан / ChinaZ

Это развивающееся семейство ботнетов DDoS, которое периодически трансформируется. В основном это работает в Китае. После установки вредоносная программа обычно подключается к C & C-серверу ботнета с помощью сокета TCP, а затем отправляет информацию о производительности с компьютера жертвы.

Исследователи безопасности Microsoft обнаруженный в 2012 году компьютеры, зараженные нитолами, продавались в Китае в массовом масштабе; на каждом устройстве была установлена ​​поддельная ОС Windows. Три года спустя отчет Imperva показал, что Nitol - самый распространенный ботнет, зараженные машины. учет для 59,2 процента всех атакующих IP-адресов ботнетов.

MrBlack

Также известное как Trojan.Linux.Spike.A, это вредоносное ПО предназначено для платформы Linux, но также доступно для различных архитектур и платформ (чаще всего SOHO-маршрутизаторов). Он связывается с удаленным сервером, отправляя системную информацию. Кроме того, он получает управляющие команды для выполнения различных типов DDoS-атак против данной цели, загрузки файла и его выполнения, а затем прекращения процесса.

В мае 2015 года масштабный ботнет на базе маршрутизатора MrBlack показал себя после участия в массовых атаках на клиентов Imperva.

циклон

Это DDoS-вредоносная программа, созданная в США. Она основана на IRC, а ее детали C & C скрыты. Известно, что он убивает других ботов на зараженном хосте, в дополнение к краже учетных данных FTP из Filezilla. Атаки включают в себя множественные HTTP-потоки, SlowLoris (хотя и не медленные) и ARME (исчерпание удаленной памяти Apache).

Pushdo / Cutwail

Cutwail, основанная в 2007 году, является ботнетом, который в основном занимается рассылкой спама. Бот, как правило, заражает компьютеры под управлением Microsoft Windows с помощью троянского компонента Pushdo.

В начале 2010 года деятельность ботнета была слегка изменена, когда используемый в DDoS-атаках против 300 крупных сайтов, включая ЦРУ, ФБР, Twitter и PayPal.

Отчет за 2015 год показал, что ботнет Pushdo затронул пользователей компьютеров более чем в 50 странах - в основном в Индии, Индонезии, Турции и Вьетнаме.

Смягчение DDoS-атак ботнета с помощью Imperva

Для защиты от всех типов DDoS-атак и без установки дополнительного программного обеспечения или аппаратного обеспечения веб-сайты Imperva могут воспользоваться всеобъемлющей облачной службой защиты от DDoS-атак в бот-сети от Imperva.
Атаки сетевого уровня
В случае атаки сетевого уровня Imperva обеспечивает динамическое избыточное выделение ресурсов, предлагая практически безграничную масштабируемость по вызову. Кроме того, обратный прокси-сервер Imperva помогает маскировать исходные IP-адреса служб - первая линия защиты от атак на прямые IP-адреса.

В случае, когда целевые IP-адреса уже известны и эффект маскирования недостаточен, Imperva может применять политики маршрутизации с помощью объявлений BGP. Это гарантирует, что весь входящий трафик сначала проходит через очистительные центры Imperva, где он проходит глубокую проверку пакетов.

Imperva смягчает DDoS-атаку 250 Гбит / с - одну из крупнейших в Интернете.

Только после этого разрешается пропускать чистый трафик к источнику через безопасный двусторонний туннель GRE.

>> Узнайте больше о Imperva's Защита от DDoS-инфраструктуры

В процессе смягчения воздействия система безопасности Imperva постоянно документирует атакующие IP-адреса и схемы атак.

В режиме реального времени эти данные передаются в базу данных угроз DDoS компании Imperva, чтобы принести пользу всем пользователям нашего сервиса. Это также позволяет быстро реагировать на возникающие угрозы и минимизировать риски, связанные с IP-адресами ботнетов (и диапазонами IP-адресов), которые были легко идентифицированы в предыдущих атаках на клиентов Imperva.
Атаки прикладного уровня
Имея возможность сортировать DDoS-ботов от обычных людей-людей, запатентованные алгоритмы безопасности Imperva автоматически обнаруживают любые атаки на уровне приложений.

Здесь боты сразу идентифицируются с использованием комбинации эвристики на основе сигнатур и поведения. Проблемы безопасности используются за кулисами для завершения процесса прозрачного профилирования.

Как и в случае атак на сетевом уровне, информация об атакующем добавляется в общую базу данных угроз DDoS от Imperva. Каждая смягченная атака повышает общую устойчивость нашей системы, автоматически улучшая ее при каждой попытке вторжения.

Imperva смягчает DDoS-атаку с HTTP-потоком 268K RPS.

>> Узнайте больше о Imperva's Защита от DDoS-сайтов

DNS-таргетированные атаки
Веб-мастера могут установить Imperva в качестве своего авторитетного сервера доменных имен, в то время как управление файлами зон DNS остается независимым от облачной сети Imperva.

С этой службой все входящие DNS-запросы сначала достигают Импервы, где вредоносные запросы автоматически отфильтровываются. Только законным разрешено проходить, обеспечивая бесперебойное движение трафика в любое время.

Imperva смягчает масштабный поток DNS, достигая пика в более чем 25 миллионов пакетов в секунду

>> Узнайте больше о Imperva's Защита имен от DDoS-атак

Похожие

Комментарии