Что такое DDoS ботнет | Общие ботнеты и инструменты ботнетов | Imperva

  1. Что такое ботнет? Иногда называемый «армией зомби», ботнет - это группа угнанных подключенных к Интернету...
  2. DDoS ботнет и ботнет инструменты
  3. Известные ботнеты
  4. Смягчение DDoS-атак ботнета с помощью Imperva

Что такое ботнет?

Иногда называемый «армией зомби», ботнет - это группа угнанных подключенных к Интернету устройств, каждое из которых заражено вредоносным ПО, используемым для управления им из удаленного места, без ведома законного владельца устройства. С точки зрения хакеров, эти устройства ботнета являются вычислительными ресурсами, которые могут быть использованы для любого типа вредоносных целей - чаще всего для спама или DDoS-атаки ,

Отдельное устройство ботнета может быть одновременно взломано несколькими злоумышленниками, каждый из которых использует его для разных типов атак: //www.incapsula.com/ddos/ddos-attacks/pe и часто одновременно. Например, зараженный вредоносным ПО персональный компьютер может быть заказан для быстрого доступа к веб-сайту в рамках более масштабной DDoS-атаки. В то же время он может также выполнять сканирование на наличие уязвимостей, когда его владелец просматривает веб-страницу, не подозревая об обоих случаях.

«У нас есть армия ботнетов, готовая уничтожить ваш сайт. У вас есть 48 часов, чтобы заплатить нам 1200 $. С Рождеством! »- DDoS выкуп

Что такое DDoS-атака?

DDoS является аббревиатурой от распределенного отказа в обслуживании. DDoS-атака - это злонамеренная попытка сделать сервер или сетевой ресурс недоступным для пользователей. Это достигается насыщением услуги, что приводит к ее временному приостановлению или прерыванию.

Отказ в обслуживании (DoS) атака включает в себя одну машину, используемую либо для нацеливания на уязвимость программного обеспечения, либо для заполнения целевого ресурса пакетами, запросами или запросами. DDoS-атака, однако, использует несколько подключенных устройств - часто выполняемых бот-сетями или, иногда, людьми, которые координировали свою деятельность.

DDoS-атаки можно разделить на две основные категории:

1. Типы DDoS-атак на уровне приложений: HTTP-флуд медленные атаки ( Slowloris , RUDY ), нападения с нулевым днем ​​и атаки на уязвимости в операционных системах, веб-приложениях и протоколах связи.

Состоит из, казалось бы, законных и невинных запросов, их величина обычно измеряется в запросах в секунду (RPS), цель атак состоит в том, чтобы заполнить целевое приложение запросами. Это приводит к высокой загрузке процессора и памяти, что в конечном итоге приводит к зависанию или сбоям приложения.

2. Типы атак DDoS сетевого уровня включают UDP-потоки , SYN наводнения , Амплификация NTP , DNS-усиление , Усиление SSDP, фрагментация IP и многое другое.

Это высокопроизводительные барьеры, измеряемые в гигабитах в секунду (Гбит / с) или пакетах в секунду (PPS). Они почти всегда выполняются ботнетами с целью использования полосы пропускания восходящего потока цели, что приводит к насыщению сети.

Следует отметить, что DDoS-атаки также могут быть направлены на поддерживающие инфраструктуры и службы, чаще всего на целевые DNS-серверы. Они могут быть перегружены потоком сфабрикованных DNS-запросов, исходящих от устройств ботнета.

DDoS ботнет и ботнет инструменты

Создатель ботнета обычно называют «бот-пастухом» или «ботмастером». Этот человек управляет ботнетом удаленно, часто через промежуточные машины, известные как серверы управления и контроля (C & C или C2).

Для связи с C & C-сервером ботмастер использует различные скрытые каналы, в том числе, казалось бы, безобидные протоколы, такие как веб-сайты IRC и HTTP, а также популярные сервисы, такие как Twitter, Facebook и даже Reddit.

Ботнет-серверы могут общаться и взаимодействовать с другими ботнет-серверами, эффективно создавая сеть P2P, контролируемую одним или несколькими ботмастерами. Это означает, что любая конкретная DDoS-атака ботнета может иметь несколько источников или быть управляемой несколькими лицами - иногда работающими скоординированным образом, а иногда - независимо.

Бот-сети по найму доступны из различных источников, их услуги часто выставляются на аукцион и продаются среди злоумышленников. Интернет-магазины даже выросли - это коммерческие организации, торгующие огромным количеством зараженных вредоносным ПО компьютеров. Их можно взять напрокат и использовать для DDoS или других атак (например, грубой силы).

Типичный прайс-лист DDoS-стрессера Типичный прайс-лист DDoS-стрессера

Эти платформы часто скрываются за неоднозначным определением сервиса стрессеры или бустеры Продай DDoS-как-услугу. Они предоставляют своим клиентам богатый набор инструментов, а также распределительную сеть для выполнения своих атак по вызову.

Теперь, вооруженные арендованным ботнетом, DDoS-атаки стали жизнеспособным (если преступным) и экономически эффективным вариантом для тех, кто хочет захватить веб-сайт или нарушить связь в домашних и офисных сетях. Это приводит к ряду сценариев атак: от сомнительных предприятий, использующих DDoS для получения конкурентного преимущества, до атак, в которых DDoS становится инструментом вандализма, мести или просто способом привлечь внимание.

DDoS-атаки с полным набором услуг доступны всего за 5 долларов в час, и заинтересованная сторона может легко растянуть свой час с ежемесячным планом в среднем на 38 долларов. Внутри экосистемы киберпреступлений DDoS-атаки ботнетов являются основным товаром; цены постоянно падают, а эффективность и изощренность постоянно растут.

Известные ботнеты

Ботнеты обычно называют в честь наборов вредоносных программ, использованных при их создании. Однако, поскольку пастухи ботнетов работают анонимно, не все такие наборы являются идентифицируемыми. Некоторые из наиболее часто используемых бот-сетей DDoS:

Нитол / IMDDOS / Авжан / ChinaZ

Это развивающееся семейство ботнетов DDoS, которое периодически трансформируется. В основном это работает в Китае. После установки вредоносная программа обычно подключается к C & C-серверу ботнета с помощью сокета TCP, а затем отправляет информацию о производительности с компьютера жертвы.

Исследователи безопасности Microsoft обнаруженный в 2012 году компьютеры, зараженные нитолами, продавались в Китае в массовом масштабе; на каждом устройстве была установлена ​​поддельная ОС Windows. Три года спустя отчет Imperva показал, что Nitol - самый распространенный ботнет, зараженные машины. учет для 59,2 процента всех атакующих IP-адресов ботнетов.

MrBlack

Также известное как Trojan.Linux.Spike.A, это вредоносное ПО предназначено для платформы Linux, но также доступно для различных архитектур и платформ (чаще всего SOHO-маршрутизаторов). Он связывается с удаленным сервером, отправляя системную информацию. Кроме того, он получает управляющие команды для выполнения различных типов DDoS-атак против данной цели, загрузки файла и его выполнения, а затем прекращения процесса.

В мае 2015 года масштабный ботнет на базе маршрутизатора MrBlack показал себя после участия в массовых атаках на клиентов Imperva.

циклон

Это DDoS-вредоносная программа, созданная в США. Она основана на IRC, а ее детали C & C скрыты. Известно, что он убивает других ботов на зараженном хосте, в дополнение к краже учетных данных FTP из Filezilla. Атаки включают в себя множественные HTTP-потоки, SlowLoris (хотя и не медленные) и ARME (исчерпание удаленной памяти Apache).

Pushdo / Cutwail

Cutwail, основанная в 2007 году, является ботнетом, который в основном занимается рассылкой спама. Бот, как правило, заражает компьютеры под управлением Microsoft Windows с помощью троянского компонента Pushdo.

В начале 2010 года деятельность ботнета была слегка изменена, когда используемый в DDoS-атаках против 300 крупных сайтов, включая ЦРУ, ФБР, Twitter и PayPal.

Отчет за 2015 год показал, что ботнет Pushdo затронул пользователей компьютеров более чем в 50 странах - в основном в Индии, Индонезии, Турции и Вьетнаме.

Смягчение DDoS-атак ботнета с помощью Imperva

Для защиты от всех типов DDoS-атак и без установки дополнительного программного обеспечения или аппаратного обеспечения веб-сайты Imperva могут воспользоваться всеобъемлющей облачной службой защиты от DDoS-атак в бот-сети от Imperva.
Атаки сетевого уровня
В случае атаки сетевого уровня Imperva обеспечивает динамическое избыточное выделение ресурсов, предлагая практически безграничную масштабируемость по вызову. Кроме того, обратный прокси-сервер Imperva помогает маскировать исходные IP-адреса служб - первая линия защиты от атак на прямые IP-адреса.

В случае, когда целевые IP-адреса уже известны и эффект маскирования недостаточен, Imperva может применять политики маршрутизации с помощью объявлений BGP. Это гарантирует, что весь входящий трафик сначала проходит через очистительные центры Imperva, где он проходит глубокую проверку пакетов.

Imperva смягчает DDoS-атаку 250 Гбит / с - одну из крупнейших в Интернете.

Только после этого разрешается пропускать чистый трафик к источнику через безопасный двусторонний туннель GRE.

>> Узнайте больше о Imperva's Защита от DDoS-инфраструктуры

В процессе смягчения воздействия система безопасности Imperva постоянно документирует атакующие IP-адреса и схемы атак.

В режиме реального времени эти данные передаются в базу данных угроз DDoS компании Imperva, чтобы принести пользу всем пользователям нашего сервиса. Это также позволяет быстро реагировать на возникающие угрозы и минимизировать риски, связанные с IP-адресами ботнетов (и диапазонами IP-адресов), которые были легко идентифицированы в предыдущих атаках на клиентов Imperva.
Атаки прикладного уровня
Имея возможность сортировать DDoS-ботов от обычных людей-людей, запатентованные алгоритмы безопасности Imperva автоматически обнаруживают любые атаки на уровне приложений.

Здесь боты сразу идентифицируются с использованием комбинации эвристики на основе сигнатур и поведения. Проблемы безопасности используются за кулисами для завершения процесса прозрачного профилирования.

Как и в случае атак на сетевом уровне, информация об атакующем добавляется в общую базу данных угроз DDoS от Imperva. Каждая смягченная атака повышает общую устойчивость нашей системы, автоматически улучшая ее при каждой попытке вторжения.

Каждая смягченная атака повышает общую устойчивость нашей системы, автоматически улучшая ее при каждой попытке вторжения

Imperva смягчает DDoS-атаку с HTTP-потоком 268K RPS.

>> Узнайте больше о Imperva's Защита от DDoS-сайтов

DNS-таргетированные атаки
Веб-мастера могут установить Imperva в качестве своего авторитетного сервера доменных имен, в то время как управление файлами зон DNS остается независимым от облачной сети Imperva.

С этой службой все входящие DNS-запросы сначала достигают Импервы, где вредоносные запросы автоматически отфильтровываются. Только законным разрешено проходить, обеспечивая бесперебойное движение трафика в любое время.

Imperva смягчает масштабный поток DNS, достигая пика в более чем 25 миллионов пакетов в секунду

>> Узнайте больше о Imperva's Защита имен от DDoS-атак

Что такое ботнет?
О школе
О школе

О школе

Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6.
История

История

Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по
Похожие новости /   Комментарии

    Обновления сайта

    Здравствуйте. Сегодня наконец то мы обновили наш сайт. Теперь на сайте доступны библиотеки для чтения, Вы всегда можете задать вопрос администратору сайта. Получить консультацию на все интересующие вопросы. Ознакомится с новыми событиями и новостями. В дальнейшем сайт будет наполнятся свежими новостями и статьями.

    О школе

    Школа была открыта в 1959г. Первые выпускники были выпущены в 1966 г. Учредителем является МНО РТ, Горисполком. Координаты школы: Республика Татарстан, 420012, г. Казань, ул. Муштари д.6. Полное название- Средняя школа №18 с углублённым изучением английского языка Директор: Шевелёва Надия Магсутовна. Научный руководитель: Русинова Сазида Исмагиловна,

    История

    Школа № 18 была создана в 1959 году, как первая школа в республике Татарстан с углублённым изучением английского языка. Реформирование школьного образования проводится в школе по эволюционному пути, избегая резких преобразований, опасных в этой системе человеческой деятельности. С этой целью 7 лет школа работала в условиях экспериментальной площадки, где