База знаний

DNS

(Domain Name System) — система, хранящая информацию о доменах Интернета. Ключевая ее функция ― предоставление IP-адреса узла или ресурса по его полному доменному имени. Система состоит из множества серверов и имеет распределенную иерархическую архитектуру. В целях минимизации рисков хакерских атак на DNS и повышения целостности и достоверности хранимых в ней данных в серверы DNS встраиваются средства защиты и безопасности: DNSSEC, TSIG, DANE и др.

DoS

(Denial of Service) — атака на систему с целью вызвать ее отказ в обслуживании: поток мусорных запросов к ней создает чрезмерную нагрузку, делая невозможной обработку запросов от добросовестных пользователей. DoS-атаки дешевы и эффективны, поэтому часто используются при в ходе нечестной борьбы с конкурентами и в других незаконных целях.

DDoS

(Distributed Denial of Service) — распределенная DoS-атака, выполняемая одновременно с большого числа устройств, над которыми злоумышленники смогли получить контроль и по команде генерировать потоки мусорных запросов. Такая атака способна вызвать отказ в обслуживании систем крупной компании или сети.

UDP

(User Datagram Protocol) — протокол для передачи сообщений (датаграмм) другим хостам без проверки ошибок и их исправления. Его преимущество — в быстроте обработки запросов от большого количества клиентов.

UDP-флуд

Сетевая DoS-атака путем отправки множества UDP-пакетов на порты удаленного хоста, в результате чего трафик забивается мусорными сообщениями.

Smurf атака

Разновидность DoS-атак с усилением, реализуемые с использованием широковещательных сетевых рассылок (эти возможности предоставляют многие сетевые протоколы): по адресам таких рассылок отправляются запросы IСМР Echo, в которых в качестве источника указан адрес узла-жертвы. Чрезмерная нагрузка на него становится результатом массовой отправки ответов от узлов сети, предоставляющей сервис широковещательной рассылки.

Хостинг

(hosting) — услуга по размещению информационных систем и ресурсов (серверов, веб-сайтов, корпоративных приложений, баз данных, контент-порталов, виртуальных машин и пр.) на площадках и оборудовании, управляемых поставщиками (хостинг-провайдерами) такой услуги. Как правило, в рамках услуги обеспечивается надежное высокопроизводительное подключение к Интернету, а также сервисы техподдержки, физической и информационной безопасности ИТ-ресурсов заказчика, сохранности данных (резервного копирования) и пр.

Выделенный сервер

(dedicated server) — разновидность хостинга, предусматривающая передачу в распоряжение заказчика отдельного физического сервера, подключенного к Интернету. Чаще всего арендуемый ресурс используется для развертывания критически важных, а также ресурсоемких приложений и веб-сайтов. Нередко услуга применяется для быстрой реализации проектов, важных для бизнеса заказчика и требующих существенных вычислительных ресурсов.

Сервер VDS/VPS

(Virtual Dedicated/Private Server) — разновидность хостинга, предусматривающая передачу в аренду заказчику виртуального выделенного или частного сервера (что одно и то же), развернутого на оборудовании, управляемом хостинг-провайдером. Виртуальный сервер представляет собой развернутую на одном из физических серверов виртуальную машину с установленным на нее серверным программным обеспечением, которая эмулирует работу и ресурсы отдельного физического сервера. Как правило, виртуальный выделенный сервер обходится дешевле обычного физического выделенного сервера, к тому же легко масштабируется по мере необходимости.

DNS-хостинг

Услуга хостинга DNS-зон заказчика. Чтобы домен сайта можно было найти в Интернете, необходимо внести его имя в систему DNS. Для этого нужны первичный DNS-сервер, содержащий запись об имени домена, и вторичные DNS-серверы, передающие информацию о нем по сети.

HSTS

(HTTP Strict Transport Security) — механизм, принуждающий веб-клиента и веб-сервер сразу устанавливать защищенное соединение посредством протокола HTTPS, не прибегая к незащищенному протоколу HTTP. Такой подход позволяет минимизировать риск атак, нацеленных на прослушивание или искажение веб-соединения.

SSL

(Secure Sockets Layer) — протокол для защищенного шифрованием обмена данными, осуществляемого посредством популярных интернет-протоколов: HTTP, FTP, TELNET и т.д. Чтобы удостовериться в том, что открытый ключ принадлежит его реальному владельцу, используются SSL-сертификаты. Аутентификация применяемых при обмене данными ключей в протоколе основывается на асимметричной криптографии. Собственно трафик защищается от несанкционированного доступа путем симметричного шифрования. Целостность сообщений проверяется с помощью кодов аутентификации.

Teardrop Attack

DDoS-атака фрагментированными пакетами со смещением, основанная на использовании уязвимости стека протоколов TCP/IP. Воздействие осуществляется путем отправки множества фрагментированных пакетов на сервер жертвы, который безуспешно пытается их обработать, тратя на это чрезмерное количество ресурсов.

ICMP-флуд

DoS-атака на сервер-жертву путем отправки мощного потока поддельных ICMP-пакетов с множества IP-адресов, в результате чего сервер тратит чрезмерное количество ресурсов на их обработку.

ping-флуд

Тип DoS-атак на сетевое оборудование, разновидность ICMP-флуда, осуществляемая с использованием программ и утилит (таких, как диагностическая утилита ping), которые входят в состав настольных версий операционных систем: сервер-жертва перегружается ping-запросами (ICMP Echo Request), что приводит к его отказу в обслуживании.

TCP

(Transmission Control Protocol) — протокол транспортного уровня модели OSI, один из основных протоколов Интернета. В свое время он был разработан для управления передачей данных и обеспечения ее надежности. На текущий момент известно множество разновидностей DDoS-атак, использующих его особенности и уязвимости.

SSDP

(Simple Service Discovery Protocol) — сетевой протокол, используемый в небольших, в том числе домашних сетях для анонсирования и выявления сетевых сервисов, в первую очередь поддерживаемых архитектурой Universal plug-and-play (UPnP). Особенности SSDP применяются при реализации DDoS-атак типа “SSDP-амплификация”.

HTTP

(HyperText Transfer Protocol) — протокол Всемирной Паутины (World Wide Web), регламентирующий обмен информацией между веб-серверами и веб-клиентами. Изначально протокол не предусматривал шифрование веб-трафика, но оно реализовано в его расширении — HTTPS.

GET-запрос

Запрос протокола HTTP к веб-серверу для получения нужной веб-клиенту информации. GET-запрос предоставляет возможность передачи параметров — на этом основан популярный сегодня механизм веб-сервисов.

HTTPS

(HyperText Transfer Protocol Secure) — «надстройка» над протоколом HTTP, позволяющая защитить веб-трафик с применением криптоалгоритмов на основе протоколов SSL и TLS.

ICMP

(Internet Control Message Protocol) — протокол стека TCP/IP, позволяющий оповещать о возникновении исключительных ситуаций, которые могут случиться в Сети. Некоторые опции протокола применяются для «служебных» целей, не предполагающих передачу содержательных данных.

IP-туннелирование

Создание виртуального канала для обмена данными между подключенными к Интернету сетями путем трансляции трафика «поверх» протокола IP: те IP-пакеты, которые необходимо передать из одной сети в другую, отправляются как данные в составе обычных IP-пакетов. Для защиты передаваемого через IP-туннель трафика от несанкционированного доступа применяются различные криптопротоколы.

SSL-трафик

Трафик, защищенный шифрованием с использованием протокола SSL. Надежность защиты зависит от алгоритма шифрования, применяемого для согласования сеансовых ключей.

SYN (флаг)

Флаг «синхронизация номеров последовательности» в разрядах с 10-го по 15-й заголовка пакета TCP. «Поднятое» состояние флага означает, что сервер и клиент хотят установить соединение.

SYN-запрос

Запрос протокола TCP на подключение: 1 шаг — запрос от клиента к серверу на соединение (клиент отправляет TCP-пакет с «поднятым» флагом SYN); 2 шаг — ответ сервера (клиенту отправляется пакет «поднятыми» флагами SYN и ACK); 3 шаг — подтверждение готовности клиента к соединению (на сервер отправляется пакет с «поднятым» флагом ACK). Соединение считается установленным, если все три шага пройдены успешно (т.н. трехстороннее рукопожатие TCP - TCP three-way handshake).

SYN-куки (SYN cookie)

способ противостоять SYN-флуду путем особого реагирования сервера TCP на запрос клиента в ходе установки соединения с ним. Может снизить нагрузку от SYN-атаки, однако в настоящее время не слишком эффективен против реальных SYN-атак.

DDoS-атаки «нулевого» дня (Zero Day DDoS attack, 0day DDoS attack)

DDoS-атаки, использующие уязвимости, ранее не известные специалистам, если речь идет о популярных протоколах, или разработчикам, если это уязвимости в популярных программных системах. DDoS-атаками «нулевого» дня также часто называют DDoS-атаки, реализуемые на основе новых, не применявшихся прежде методов.

Домен, или доменное имя

Символьный идентификатор (имя) одной из областей Интернета. Использование доменных имен призвано облегчить обозначение отдельных узлов и развернутых на них ресурсов с точки зрения их восприятия человеком. Все области (домены) Интернета объединены в иерархию. Полное доменное имя представляет собой перечень доменов, разделенных точками, например: domain3.domain2.domain1, где domain1 – домен самого верхнего уровня. Соответствие между доменными именами и сетевыми адресами (IP-адресами) обеспечивает система доменных имен (DNS).

Полоса пропускания

Скорость передачи данных по каналу связи: эта величина определяет, какой объем данных можно передать по каналу за единицу времени (как правило, за секунду).

Роутер или маршрутизатор

Специализированное устройство, ключевая функция которого —пересылка (маршрутизация) пакетов сетевого уровня из одного сегмента сети в другой, руководствуясь определенным для этой сети набором правил и данными, содержащимися в таблице маршрутизации.

Сервер

1) выделенный компьютер, обеспечивающий автоматическое выполнение набора обслуживающих функций;
2) программная система, обеспечивающая автоматическое выполнение запросов, поступающих от других программных компонентов (клиентов).

Сетевой трафик (Traffic)

1) поток данных, проходящих через конкретный узел, фрагмент сети или сеть целиком;
2) объём данных (число пакетов или объем информации), прошедших через данный узел, фрагмент сети или сеть целиком за указанный интервал времени.

Время приема-передачи (Round-Trip Time, RTT)

Интервал времени с момента отправки пакета данных до момента получения подтверждения о его получении.

Интернет-протокол (Internet Protocol, IP)

Протокол сетевого уровня в сетях передачи данных, основанных на стандартах Интернета. Обеспечивает передачу данных от одного узла Сети к любому другому посредством их «нарезки» и «упаковки» в IP-пакеты.

Ширина канала, пропускная способность канала

Одна из ключевых характеристик канала, отражающая максимально возможную в нем скорость передачи данных.

MAC-адрес (Media Access Control) или физический адрес

Уникальный идентификатор отдельных единиц сетевого оборудования, в том числе сетевых карт и портов Ethernet, обозначающий отправителя или получателя пакета (фрейма) сетевого уровня OSI. MAC-адрес, как правило, присваивается производителем в ходе изготовления оборудования или компонента.

Размер окна (Window Size) TCP

Размер буфера, используемый при приеме пакета. По сути, это объем данных, отправленных в одном пакете TCP. По умолчанию размер окна составляет не более 65535 байт. С опцией Window scale option он может достигать 1 Гб.

Куки (Cookie)

Локально сохраняемый веб-клиентом фрагмент данных, характеризующий пользователя с точки зрения веб-сервера, к которому он обращается. Среди возможных признаков, хранимых в куки, ― электронный адрес, персональные предпочтения и параметры настройки, ключевые данные состояния сеансов с ними, ведения статистики и пр. Отсутствие шифрования при обмене данных с веб-сервером открывает возможность перехвата и изменения куки.

CVE (Common Vulnerabilities and Exposures)

База данных, содержащая сведения об известных уязвимостях – их описания и ссылки на страницы с дополнительной информацией. Проект финансируется американской группой быстрого реагирования на инциденты (US CERT). Непосредственная поддержка возложена на некоммерческую организацию MITRE Corp.

Эксплойт (Exploit)

Программный код или модуль, используемый для атак на узлы, содержащие уязвимости, чтобы получить управление и контроль над этими узлами, осуществить деструктивное воздействие или добиться отказа в обслуживании (в DoS-атаках).

Хактивизм (Hacktivism)

Политически ангажированное использование незаконных способов воздействия на компьютерные сети и отдельные узлы. Как правило, хактивисты, будучи активистами протестных движений, добиваются того, чтобы пропагандируемые ими идеи получили широкий резонанс.

Атаки фрагментированными IP-пакетами

DoS-атаки, основанные на фрагментации IP-адресов. Типичная атака этого рода реализуется путем отправки таких датаграмм, которые узел-жертва заведомо не сможет собрать, но потратит чрезмерно много ресурсов, что резко снизит его производительность.

Проксирование

Использование программы-посредника (прокси), выполняющей обработку трафика определенным образом для последующей его передачи другой программе. В частности, прокси-серверы безопасности обрабатывают трафик таким образом, чтобы предотвратить несанкционированный доступ к трафику и минимизировать угрозу сетевых атак.

Сеть доставки контента (Content Delivery Network, CDN)

Сервис, обеспечивающий максимально быстрое предоставление данных разной природы и формата (изображений, видеозаписей, веб-страниц, дистрибутивов ПО, патчей и т.п.) большому числу пользователей. Сети CDN позволяют снизить затраты, избавляя от необходимости создания устойчивой (в том числе в отношении DDoS-атак), надежной и высокодоступной ИТ-инфраструктуры, которая требуется для массового предоставления больших объемов контента его потребителям.

Амплификация атаки (Attack Amplification)

Способ реализации DoS-атаки, обеспечивающий многократное усиление воздействие на сервер-жертву: небольшое количество ботов инициирует отправку огромного количества поддельных пакетов или запросов, обработка которых сильно снижает производительность атакуемого сервера или вовсе его парализует. Этот подход применяется, например, в атаках, организуемых на основе протоколов DNS и NTP.

Бот

Программа-робот для выполнения определенных алгоритмами или правилами действий. Установленные на уязвимые узлы боты и сети ботов (ботнеты) часто используются при выполнении атак DoS и DDoS.

Флуд SYN/ACK

Разновидность DoS-атак на серверы TCP путем отправки жертве мощного потока поддельных пакетов с одновременно установленными флагами SYN и ACK, что приводит к чрезмерной нагрузке на сервер.

Флуд RST/FIN

DoS-атаки на TCP-серверы, эксплуатирующие уязвимости при закрытии сессии TCP-SYN: чрезмерная нагрузка на атакуемый сервер создается путем отправки потока поддельных пакетов RST или FIN.

Slowloris, или сессионные атаки

Разновидность DoS-атак на потоковые веб-серверы: злоумышленник пытается открыть много HTTP-соединений с атакуемым веб-сервером и держать их как можно дольше, отправляя частичные запросы и заголовки HTTP, при этом запросы никогда полностью не завершаются. Сервер держит соединения открытыми, в результате его пул параллельных соединений исчерпывается, и сервер отказывает клиентам в подключении.

HTTP-флуд

Разновидность DoS-атак на веб-серверы с использованием ботов, отправляющих множество HTTP-запросов GET на получение максимально больших элементов сайта, что приводит сильной загруженности сервера и его неспособности обрабатывать другие запросы. Кроме GET-запросов сходные результаты могут дать также POST-запросы или некоторые другие HTTP-действия. Такие атаки нередко бывают эффективными, поскольку не требуют использования большого количества ботов.

Рекурсивный флуд HTTP GET (Recursive HTTP GET Flood)

Разновидность DoS-атак, один из вариантов HTTP-флуда, основанный на запросе злоумышленником нескольких страниц с сайта, анализе полученных ответов и следующим за этим рекурсивном запросе каждого объекта сайта. Поскольку созданные таким образом рекурсивные запросы похожи на легитимные, применение этого метода делает атаку гораздо менее заметной.

VoIP-флуд

Разновидность DoS-атак, один из вариантов UDP-флуда, реализуется путем отправки большого количества поддельных VoIP-пакетов с широкого диапазона IP-адресов на сервер IP-телефонии, как правило, обслуживающий call-центр, в результате сервер вынужден тратить чрезмерный объем ресурсов на обработку поддельных запросов. Выявление VoIP-флуда весьма затруднительно в силу особенностей протокола UDP.

NTP-флуд

Один из вариантов UDP-флуда, DoS-атака на серверы, использующие протокол NTP (Network Time Protocol), применяемый для синхронизации внутренних часов компьютеров. Чрезмерная нагрузка на NTP-сервер создается путем отправки множества поддельных NTP-запросов с большого количества разных IP-адресов.

DNS-амплификация (DNS Amplification)

Этот вид DoS-атак с усилением использует специфику работы служб DNS: к имеющему уязвимость серверу DNS отправляется поддельный запрос о домене, а его ответ, имеющий значительный размер, высылается серверу-жертве, в результате его канал переполняется ответами. Этот вид атак отличается тем, что распознать, откуда отправляются поддельные запросы, почти невозможно.

Атака IP Null

Разновидность DoS-атак, использующая особенности протокола IP: на сервер-жертву отправляется большой поток пакетов с нулевым значением поля «Protocol» (обычно в этом поле содержится код протокола транспортного уровня, исключение составляют пакеты IPv6), в результате сервер вынужден тратить ресурсы на то, чтобы корректно обработать эти пакеты.

UDP-флуд

DoS-атаки с использованием пакетов UDP: на порты усиливающей сети отправляется большое количество UDP-пакетов, в которых в качестве адреса отправителя указывается адрес сервера-жертвы, в результате чего он оказывается вынужден сконцентрироваться на обработке большого количества поддельных пакетов.

Атака MITM (Man in the middle), или «человек посередине», или атака посредника

Вид атак, реализуемых с участием действующего в своих интересах посредника: в информационный обмен между двумя сторонами «вклинивается» третий участник, который получает несанкционированный доступ к трафику и может производить с ним практически любые действия, стремясь при этом оставаться незамеченным, чтобы не вызвать подозрений в нарушении конфиденциальности и целостности трафика у основных сторон диалога.

SYN-флуд, или SYN-атака

Разновидность DoS-атак, реализуемая на уровне TCP-протокола: в ходе атаки на узел-жертву создается чрезмерная нагрузка путем отправки большого числа SYN-сегментов TCP (как правило, узел способен одновременно обрабатывать не больше нескольких тысяч таких сегментов). Такие атаки отличаются высокой эффективностью.

Атака SIP Malformed

Разновидность DoS-атак, эксплуатирующих уязвимости протокола SIP (Session Initiation Protocol), который используется в сервисах VoIP и приложениях IP-телефонии: чрезмерная нагрузка на атакуемый SIP-сервер обеспечивается путем отправки на него потока сообщений с заведомо некорректными данными. Основной результат таких атак — нарушение нормальной работы голосовых сервисов.

Атака SNMP Reflection

Разновидность DDoS-атак, эксплуатирующая уязвимости протокола управления сетью SNMP и напоминающая атаки DNS-амплификации: используя поддельный IP-адрес жертвы, злоумышленник отправляет большое количество SNMP-запросов GetBulk с установленным на максимум (2250) значением поля «наибольшее число повторений» на многочисленные подключенные устройства, которые отправляют потоки ответов в атакуемую сеть до тех пор, пока она не выйдет из строя. Объем потоков может достигать сотен гигабит в секунду. Атаки этого типа обладают большой разрушительной силой.

CharGEN-флуд

Разновидность DDoS-атак транспортного уровня с усилением, аналогичная NTP-амплификации. Она эксплуатирует уязвимости «древнего» протокола генератора символов CharGEN и выполняется путем отправки небольших пакетов с поддельным IP-адресом жертвы на устройства, поддерживающие CharGEN (принтеры, копиры и пр.). Ответы от этих устройств отправляются в виде UDP-пакетов на порт 19 сервера-жертвы, который тратит чрезмерный объем ресурсов, пытаясь их обработать.

MS SQL DDoS-атака с отражением

Разновидность атак, основанных на уязвимостях протокола MC-SQLR, используемого при отправке запросов к Microsoft SQL Server. Переполнение имеющейся у атакуемого узла полосы пропускания достигается в результате получения от множества общедоступных SQL-серверов (в том числе размещенных у сервис-провайдеров и поставщиков облаков) списков всех хранимых на них экземпляров баз данных вместе с информацией о том, как к этим экземплярам подключиться. Эти данные отправляются в ответ на поток сфальсифицированных скриптовых запросов к SQL-серверам, содержащих IP-адрес атакуемого узла.

Memcached DDoS-атака

Разновидность атак с усилением, эксплуатирующая особенности системы Memcached, часто используемой для кэширования данных в оперативной памяти, чтобы ускорить работу веб-сайтов. Атаки основаны на создании большого объема поддельных запросов к выбранному в качестве жертвы серверу Memcached, в результате чего чрезмерная нагрузка парализует его работу.

Атаки на сайты

Вредоносные воздействия на веб-ресурсы в сети Интернет. Чаще всего различают массовые и целевые атаки на сайты. Особенность первого типа – в том, что она нацелена на доступ к сайту в целом, как правило, и автоматизирована. В ходе массовых атак злоумышленники используют знания о популярных инструментах и распространенных уязвимостях. Целевые атаки проводятся, как правило, путем поиска уязвимостей вручную и их эксплуатации. Ущерб от таких атак может быть фатальным.

95-й перцентиль

Распространенный способ расширения на 5% имеющейся полосы пропускания, оставаясь в рамках выбранного тарифа, учитывающий особенности ее измерения: в течение месяца проводится сбор статистики скорости передачи данных, после чего в конце месяца 5% наибольших значений удаляется из дальнейшего анализа, а максимум из оставшегося берется в качестве основы для расчета оплаты.