Он продолжил: «Сейчас я работаю во многих компаниях и над многими проектами. Мои роли постоянно меняются. На данный момент я занимаюсь проектом для индийского правительства, cybersurveillance, цель которого – остановить злоумышленников. Я также много размышляю о кибервойне, которая часто ведется против Индии. Не только против государства и бизнеса, но и против граждан».
Я спросил его, с какой самой большой проблемой сталкивается его страна в области ИБ. Джозеф ответил: «Индия находится в первой десятке в области информационных технологий, но не в сфере информационной безопасности. Десять лет назад мы даже не слышали об этом. Этому не учили. Не было никаких вакансий для специалистов по ИБ. Моя страна долгое время не добивалась экономических успехов. Раньше, если кому-то нужно было воспользоваться компьютером, он шел в интернет-кафе. Теперь Интернет есть в каждом доме и даже в каждой руке (благодаря мобильным телефонам с выходом в Интернет). Можно сказать, что для нашей страны компьютеры и проблемы информационной безопасности стали чем-то новым. У нас есть много врачей, юристов, инженеров и других специалистов, но не так много специалистов по ИБ. Но ситуация постепенно меняется. Правительство и бизнес поняли, что нам нужны лучшие специалисты по информационной безопасности. Сегодня многие вузы предлагают магистерские программы по ИБ. Правительство понимает, насколько это важно, и начинает реализацию многих программ. Я провожу много времени, путешествуя по Индии и другим частям мира, преподавая курс по информационной безопасности. Индия сильно изменилась, и я помогаю ее улучшить».
Мы можем только надеяться, что в Индии и остальных странах мира достаточно таких ребят, как Бенилд Джозеф.
Информация о Бенилде Джозефе
Более подробную информацию о Бенилде Джозефе вы можете узнать по ссылкам:
• профиль Бенилда Джозефа на LinkedIn: https://www.linkedin.com/in/benild;
• профиль Бенилда Джозефа на Google+: https://plus.google.com/107600097183424443393;
• видео Бенилда Джозефа на YouTube о проектах Kaizen и Hacker5: http://www.youtube.com/watch?v=BH_BNXfj0pQ.
28. DDoS-атаки
Вам может казаться, что у вас лучшая информационная безопасность, но есть вещи, находящиеся вне вашего контроля. Добро пожаловать в мир атак отказа в обслуживании (DDoS). То, что начиналось с одного хакера, подавляющего сервер, отправляя больше трафика, чем тот мог принять, превратилось в эскалацию войны нескольких уровней и зависимостей, отправленных группами и профессиональными вендорами услуг. Сегодняшние массовые DDoS-атаки часто компрометируют подключенные к Интернету домашние устройства и отправляют сотни гигабит вредоносного трафика в секунду. DDoS-атаки совершаются по многим причинам, включая месть, увещевания, неуверенность, политические цели и даже игровые преимущества.
Типы DDoS-атак
Существует множество видов атак. В следующих разделах мы рассмотрим наиболее известные из них.
Отказ в обслуживании
Атаки отказа в обслуживании (DoS) – это когда один хост пытается скомпрометировать жертву при помощи чрезмерного трафика. Самыми простыми и ранними из них были «пинг-флуды». Их заменили потоками пакетов TCP, которые из-за полученного трехпакетного квитирования могли генерировать больше трафика. TCP-атаки были вытеснены UDP-атаками, так как состояние IP-адреса источника без установления соединения позволяет его подделать, что затрудняет отслеживание и остановку UDP-атак.
Простые типы атак уступили место массовым DDoS-атакам, где несколько хостов (иногда сотни тысяч) сосредоточены на одной цели. DoS-атака может посылать десятки мегабит вредоносного трафика в секунду, в то время как даже самая низкая DDoS-атака начинается с сотен мегабит в секунду. Каждый год ставится новый рекорд. Первая терабитная атака (1000 гигабит) может произойти к моменту публикации этой книги или вскоре после нее.
Прямые атаки
В прямой DoS-атаке вредоносный трафик генерируется единственным хостом. Злоумышленник может (случайным образом) изменить исходный IP-адрес в попытке скрыть его, но при прямых атаках только один отправитель создает трафик, который затем направляется непосредственно к цели без использования промежуточных узлов. Прямые атаки теряют свою популярность, потому что их легко обнаружить, смягчить и устранить.
Reflection-атаки
Reflection-атаки используют один или несколько промежуточных узлов для генерации DDoS-атак. Существует DDoS-бот вредоносных программ, ожидающих команд, которые будут проинструктированы атаковать конкретный хост. Как правило, сотни, десятки тысяч хостов используются против предполагаемой цели. Исходный сервер «Команда и контроль» (C&C) отправляет соответствующие инструкции ботам. Таким образом, несколько пакетов от сервера C&C могут оказаться миллионами пакетов в секунду.
Усиление
Усиленные DDoS-атаки используют «шумные» протоколы, которые отвечают более чем одним пакетом при получении одного пакета против намеченных целей. Например, злоумышленник DDoS может отправить неправильный запрос на веб-сервер с фальсифицированным IP-адресом источника, принадлежащим жертве. Промежуточный веб-сервер получает неправильный запрос и отправляет его обратно на исходный IP-адрес (целевой жертвы) с несколькими ответами или попытками исправления ошибок. Другая популярная DDoS-атака злоупотребляет DNS-серверами, запрашивая большее количество DNS-информации, на которую DNS-сервер отправляет несколько, если не десятки, пакетов в ответ. Вы можете узнать больше о DNS-атаках на сайте: https://technet.microsoft.com/en-us/security/hh972393.aspx. Чем больше усиление, тем успешнее DDoS-атакующий. Когда усиление координируется с десятками, сотнями тысяч ботов, могут быть выполнены огромные DDoS-атаки.
Применение на каждом уровне модели OSI
DoS/DDoS-атаки могут быть выполнены на каждом уровне модели OSI (физический, канал передачи данных, сеть, сеанс, транспорт, представление и применение). Физическая атака может быть выполнена путем физического уничтожения зависимости Центральной службы, такой как маршрутизатор, DNS-сервер или сетевая линия. Все остальные типы атак используют один или несколько протоколов на разных уровнях.
Усиливающиеся атаки
Сегодня наиболее успешные DDoS-хакеры атакуют цели с помощью широкого и разнообразного набора атак по модели OSI. Они могут начинаться с простого флуда в протоколе более низкого уровня и увеличивать трафик с течением времени с короткими паузами между ними. Вероятно, они начинают с простого отражения, а затем переходят к методам усиления. Затем они переключают уровни атаки, продвигаясь вверх по модели OSI, и добавляют еще больше трафика. Злоумышленники часто используют уровень приложений, подделывая трафик, который изначально выглядит как законный, но занимает очень мало пропускной способности.
По мере того как жертва думает, что DDoS под контролем, он меняется и трансформируется. Жертва начинает думать, что поняла масштаб атаки и как ее победить, а атака уже изменилась. Это сбивает с толку жертву и специалиста по ИБ и заставляет дольше настраивать успешную смягчающую защиту. И каждый раз, когда жертва думает, что нашла решение, атака меняется снова, назад и вперед, назад и вперед, и продолжается борьба, пока у атакующего не появятся новые типы атак.
Атаки на исходящий и входящий каналы
На сайтах, ставших жертвами атак, часто реализуются методы и службы защиты от DDoS, и они нередко успешны. DDoS-атакующие перемещаются вверх или вниз «по течению» и ищут новую цель. Поставщик должен решить, стоит ли вредить всем своим клиентам, чтобы спасти одного. Если жертве повезет, специалист по ИБ успеет что-то предпринять до полного прекращения доступа. В других случаях жертва просто блокируется на несколько дней, если не дольше, пока массовые DDoS-атаки не ослабеют. Ежегодно встречаются случаи, когда жертве не удается реабилитироваться.
Подробнее о DDoS-атаках можно прочитать на сайтах: https://www.incapsula.com/ddos/ddos-attacks, https://javapipe.com/ddos-types/ и https://en.wikipedia.org/wiki/Denial-of-service_attack.
Инструменты и сервисы для совершения DDoS-атак
Существует множество инструментов и вендоров услуг, чтобы помочь каждому осуществить DDoS-атаку.
Инструменты
Есть десятки инструментов и методов, доступных в Интернете, чтобы помочь любому выполнить DoS или DDoS-атаку. Просто введите «DDoS-инструменты» в интернет-браузере. Большинство из них действуют как законные тестеры. Некоторые примеры: Low Orbit Ion Cannon (https://sourceforge.net/projects/loic0/), DLR (https://sourceforge.net/projects/dlr/) и Hulk (https://packetstormsecurity.com/files/112856/HULK-HttpUnbearable-Load-King.html). Хакеры должны использовать эти инструменты только против сайтов, которые дали им на это разрешение. Многих начинающих хакеров арестовывают, поэтому, чем быстрее вы присоединитесь к хакерам «в белой шляпе», тем лучше.
DDoS-сервисы
Есть даже десятки услуг, доступных в Интернете, с помощью которых вы можете запустить DDoS-услуги. Многие из них стоят не больше 100 долларов. Как и в случае с инструментами DDoS, большинство из них утверждают, что тестируют сервисы (которые просто не проверяют, чтобы убедиться, что у пользователя есть разрешение использовать их против конкретного сайта). К сожалению, некоторые услуги, которые заявляют, что они анти-DDoS-услуги, на самом деле были их частью. В отношении подобных служб ведется расследование, некоторые закрыты, а другие продолжают процветать. Следственный репортер Брайан Кребс написал несколько отличных статей на эту тему, в том числе и эту: https://krebsonsecurity.com/2016/10/spreading-the-ddos-disease-and-selling-the-cure.