Просмотр отдельных изменений

Фильтры правок (обсуждение) — это автоматизированный механизм проверок правок участников.
(Список | Последние изменения фильтров | Изучение правок | Журнал срабатываний)
Перейти к навигации Перейти к поиску

Эта страница позволяет вам проверить переменные, сгенерированные фильтром злоупотреблений, на предмет отдельного изменения.

Переменные, созданные для этого изменения

ПеременнаяЗначение
Была ли правка отмечена как «малое изменение» (больше не используется) (minor_edit)
false
Имя учётной записи (user_name)
'212.35.174.250'
Редактирует ли участник через мобильный интерфейс (user_mobile)
false
ID страницы (page_id)
9722
Пространство имён страницы (page_namespace)
0
Название страницы (без пространства имён) (page_title)
'DoS-атака'
Полное название страницы (page_prefixedtitle)
'DoS-атака'
Действие (action)
'edit'
Описание правки/причина (summary)
''
Старая модель содержимого (old_content_model)
'wikitext'
Новая модель содержимого (new_content_model)
'wikitext'
Вики-текст старой страницы до правки (old_wikitext)
''''DoS''' (от {{lang-en|Denial of Service}} — отказ в обслуживании) — [[хакерская атака]] на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.{{sfn|Internet Denial of Service|2004}} В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик. [[Файл:Moggot4.GIF|справа|DDoS-атака]] == Распределённая DoS-атака == Если атака выполняется одновременно с большого числа компьютеров, говорят о '''DDoS-атаке''' {{sfn|Denial of Service Attacks|2004}} (от {{lang-en|Distributed Denial of Service}}, ''распределённая атака типа «отказ в обслуживании»''). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации. Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются [[Троянская программа|троянские программы]], которые работают в [[Демон (программа)|фоновом режиме]].{{sfn|Компьютерные вирусы изнутри и снаружи|2006}} Теперь эти компьютеры называются [[компьютер-зомби|компьютерами-зомби]], их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют мощную DoS-атаку на целевой компьютер. Существуют также программы для добровольного участия в DDoS-атаках. В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере ([[слэшдот-эффект]]). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них. == Защита == Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий [[Сетевой трафик|трафик]], выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. == Причины использования DDoS-атак == [[Файл:DDoS sphere.png|обрамить|345x345px|Жертвы DDoS-атак.]] Специалисты в области защиты информации выделяют несколько причин использования DDoS-атак.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=2}} === Личная неприязнь === Эта причина нередко служит поводом для атак на крупные коммерческие и правительственные организации и компании. Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.{{sfn|Практическая криптография|2005}} === Развлечение === В настоящее время всё больше людей интересуются DoS-атаками, и все хотят попробовать себя в этом деле. Поэтому многие начинающие злоумышленники осуществляют DoS-атаки ради развлечения. После успешно проведённого нападения они смотрят масштабы своих разрушений.{{sfn|The philosophy of Anonymous|2013}} === Политический протест === {{main|Хактивизм}} Наиболее известными DDoS-атаками с целью политического протеста были акции в поддержку [[Бронзовый солдат|Памятника Воину-освободителю]] в Эстонии (2007)<ref>[http://lenta.ru/news/2007/05/01/hackers/ Lenta.ru: Медиа: Хакеры атакуют эстонские правительственные сайты]</ref>, [[Вооружённый конфликт в Южной Осетии (2008)|Южной Осетии]] (2008), [[Wikileaks]] (2011), [[Megaupload]] (2012) и [[EX.UA]] (2012). === Недобросовестная конкуренция === DDoS-атаки могут осуществляться по заказу [[Недобросовестная конкуренция|недобросовестного конкурента]]. === Вымогательство или шантаж === DDoS-атаки могут осуществляться с целью [[вымогательство|вымогательства]] или [[шантаж]]а, в этом случае злоумышленник предварительно связывается с владельцем сайта. == Классификация DoS-атак == <!-- [[Файл:Server in normal.gif|обрамить|слева|Работа сервера в нормальном режиме{{sfn|Хакер|28.04.2013}}]] Размер 10 мБ, оно надо?--> Хакерам гораздо легче осуществить DoS-атаку на систему, чем получить полный доступ к ней. Существуют различные причины, из-за которых может возникнуть DoS-условие, то есть такая ситуация, при которой пользователи не могут получить доступ к ресурсам, которые предоставляет сервер, либо доступ к ним существенно затруднен:{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=3}} === Насыщение полосы пропускания === {{main|Пропускная способность|Флуд}} В настоящее время практически каждый компьютер подключён к сети Internet либо к локальной сети. Это служит отличным поводом для осуществления DoS-атаки за счет переполнения полосы пропускания. Обычно злоумышленники пользуются [[флуд]]ом ({{lang-en|flood}} — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи. Есть несколько разновидностей флуда.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=4}} ==== HTTP-флуд и ping-флуд ==== {{main|ping-флуд}} Это самый примитивный вид DoS-атаки. Насыщение полосы пропускания можно осуществить с помощью обычных ping-запросов только в том случае, если канал атакующего (например 1,544 Мбит/с) намного шире канала компьютера-жертвы, скорость в котором 128 Кбит/с. Но такая атака бесполезна против сервера, так как тот, в свою очередь, обладает довольно широкой полосой пропускания. Для атаки на сервер обычно применяется HTTP-флуд. Атакующий шлёт маленький по объёму HTTP-пакет, но такой, чтобы сервер ответил на него пакетом, размер которого в сотни раз больше. Даже если канал сервера в десять раз шире канала атакующего, то все равно есть большой шанс насытить полосу пропускания жертвы. А для того, чтобы ответные HTTP-пакеты не вызвали отказ в обслуживании у злоумышленника, он каждый раз подменяет свой ip-адрес на ip-адреса узлов в сети.{{sfn|Хакер|2003|архив = Хакер спец}} ==== Smurf-атака (ICMP-флуд) ==== {{main|Удалённые сетевые атаки|Широковещательный адрес}} [[Удалённые сетевые атаки#Атака smurf|Атака Smurf]] или [[Ping-флуд#Суть атаки|ICMP-флуд]] — один из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100 % гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя [[Ping|ping-запрос]]. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник — это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный [[ICMP|ICMP пакет]]. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Поэтому для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=8}} ==== Атака Fraggle (UDP-флуд) ==== {{main|echo}} Атака Fraggle (осколочная граната)(от {{lang-en|[[:en:Fraggle attack|Fraggle attack]]}}) является полным аналогом Smurf-атаки, где вместо ICMP пакетов используются пакеты [[UDP]], поэтому её ещё называют UDP-флуд. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются [[Echo|echo-команды]] по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. Если все же служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=8}} ==== Атака с помощью переполнения пакетами SYN (SYN-флуд) ==== {{main|SYN-флуд|TCP}} [[Файл:Moggot2.GIF|мини|слева|Установка TCP — соединения]] До появления атаки Smurf была широко распространена атака с помощью переполнения пакетами SYN, также известная под названием [[SYN-флуд]].{{sfn|RFC 4987|2007}} Для описания её действия можно остановиться на рассмотрении двух систем А и В, которые хотят [[TCP#Установка соединения|установить]] между собой [[TCP|TCP соединение]], после которого они смогут обмениваться между собой данными. На установку соединения выделяется некоторое количество ресурсов, этим и пользуются DoS-атаки. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения.{{sfn| Security Problems in the TCP/IP protocol Suite|1989}} Рассмотрим подробнее, как это происходит. Хакер с системы А отправляет пакет SYN системе В, но предварительно поменяв свой IP-адрес на несуществующий. Затем, ничего не подозревая, компьютер В отправляет ответ SYN/ACK на несуществующий IP-адрес и переходит в состояние SYN-RECEIVED. Так как сообщение SYN/ACK не дойдет до системы А, то компьютер В никогда не получит пакет с флагом ACK.{{sfn|«Project Neptune»|07.1996}}{{sfn|A Weakness in the 4.2BSD Unix TCP/IP Software|1985}} Данное потенциальное соединение будет помещено в очередь. Из очереди оно выйдет только по истечении 75 секунд.{{sfn|IP-spooling Demystified|1996}} Этим пользуются злоумышленники и отправляют сразу несколько пакетов SYN на компьютер жертвы с интервалом в 10 секунд, чтобы полностью исчерпать ресурсы системы. Определить источник нападения очень непросто, так как злоумышленник постоянно меняет исходный IP-адрес.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=9}} === Недостаток ресурсов === Злоумышленники прибегают к данному виду DoS-атаки для захвата системных ресурсов, таких как [[Оперативная память|оперативная]] и физическая память, [[процессорное время]] и другие. Обычно такие атаки проводятся с учётом того, что хакер уже обладает некоторым количеством ресурсов системы. Целью атаки является захват дополнительных ресурсов. Для этого не обязательно насыщать полосу пропускания, а достаточно просто перегрузить процессор жертвы, то есть занять всё допустимое процессорное время.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=5}} ==== Отправка «тяжёлых» пакетов ==== Атакующий посылает серверу пакеты, которые не насыщают полосу пропускания (канал обычно довольно широкий), но тратят всё его процессорное время. Процессор сервера, когда будет их обрабатывать, может не справиться со сложными вычислениями. Из-за этого произойдёт сбой, и пользователи не смогут получить доступ к необходимым ресурсам. ==== Переполнение сервера лог-файлами ==== {{main|Файл регистрации}} [[Файл регистрации#Регистрация внешних событий|Лог-файлы]] сервера — это файлы, в которых записываются действия пользователей сети или программы. Неквалифицированный [[Системный администратор|администратор]] может неправильно настроить систему на своём сервере, не установив определённый лимит. Хакер воспользуется этой ошибкой и будет отправлять большие по объёму пакеты, которые вскоре займут всё свободное место на жёстком диске сервера. Но эта атака сработает только в случае с неопытным администратором, квалифицированные хранят лог-файлы на отдельном системном диске.{{sfn|Хакер|2003}} ==== Плохая система квотирования ==== {{main|CGI|Сценарный язык}} На некоторых серверах есть так называемая [[CGI|CGI-программа]], которая связывает внешнюю программу с Web-сервером. Если хакер получит доступ к CGI, то он сможет написать [[Сценарный язык|скрипт]] ({{lang-en|scripting language}}), который задействует немало ресурсов сервера, таких как оперативная память и процессорное время. К примеру, скрипт CGI может содержать в себе циклическое создание больших массивов или вычисления сложных математических формул. При этом центральный процессор может обращаться к такому скрипту несколько тысяч раз. Отсюда вывод: если система квотирования настроена неправильно, то такой скрипт за малое время отнимет все системные ресурсы у сервера. Конечно, выход из этой ситуации очевиден — поставить определённый лимит на доступ к памяти, но и в этом случае процесс скрипта, достигнув этого лимита, будет находиться в ожидании до тех пор, пока не выгрузит из памяти все старые данные. Поэтому пользователи будут испытывать недостаток в системных ресурсах.{{sfn|Хакер|2005}} ==== Недостаточная проверка данных пользователя ==== Недостаточная проверка данных пользователя также приводит к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).{{sfn|Security Problems in the TCP/IP protocol Suite|1989}} ==== Атака второго рода ==== {{main|Ошибки первого и второго рода}} Это атака, которая стремится вызвать [[ложное срабатывание]] системы защиты и таким образом привести к недоступности ресурса. === Ошибки программирования === {{main|Эксплойт}} Профессиональные реализаторы DoS-атак не используют такой примитивный способ атаки, как насыщение полосы пропускания. Полностью разобравшись в структуре системы жертвы, они пишут программы ([[эксплойт]]ы), которые помогают атаковать сложные системы коммерческих предприятий или организаций. Чаще всего это ошибки в [[программное обеспечение|программном коде]], приводящие к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому ({{lang-en|null}}) адресу.{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=6}} ==== Недостатки в программном коде ==== {{main|Обработка исключений}} Обработка исключительных ситуаций всегда была головной болью для создателей операционных систем. Злоумышленники ищут ошибки в программном коде какой-либо программы либо операционной системы, заставляют её обрабатывать такие исключительные ситуации, которые она обрабатывать не умеет. За счёт этого возникают ошибки. Простым примером может служить частая передача пакетов, в которой не учитываются спецификации и стандарты [[RFC|RFC-документов]].{{sfn|RFC documents|2004}} Злоумышленники наблюдают за тем, справляется ли [[TCP/IP|сетевой стек]] с обработкой исключительных ситуаций. Если нет, то передача таких пакетов приведёт к панике ядра ([[kernel panic]]) или даже к краху всей системы в целом.{{sfn|Анализ типовых нарушений безопасности в сетях|2001}} {{main|Ping of death}} К этому классу относится ошибка [[Ping of death]], распространённая в 1990-е годы. Длина пакета IPv4 по стандарту RFC 791 [[IPv4]] не может превышать 65 535 байт; компьютеру-жертве посылается [[ICMP]]-пакет большей длины, предварительно разбитый на части; у жертвы от такого пакета [[переполнение буфера|переполняется буфер]]. Другая ошибка тех времён — [[WinNuke]] ([[Windows 95]] неправильно обрабатывала редкий бит TCP-пакета URG). ==== Переполнение буфера ==== {{main|Переполнение буфера}} Переполнение буфера возникает в том случае, если программа из-за ошибки программиста записывает данные за пределами буфера. Допустим, программист написал приложение для обмена данными по сети, которое работает по какому-либо протоколу. В этом протоколе строго указано, что определённое поле пакета максимум может содержать 65536 байт данных. Но после тестирования приложения оказалось, что в её клиентской части в это поле нет необходимости помещать данные, размер которых больше 255 байт. Поэтому и серверная часть примет не более 255 байт. Далее злоумышленник изменяет код приложения так, что теперь клиентская часть отправляет все допустимые по протоколу 65536 байт, но сервер к их приёму не готов. Из-за этого возникает переполнение буфера, и пользователи не могут получить доступ к приложению.{{sfn|Хакер|2003}} === Маршрутизация и атаки DNS === [[Файл:Moggot1.gif|мини|слева|атака DNS]] {{main|Атака Каминского|DNS}} Все атаки на DNS-серверы можно разбить на два типа:{{sfn|Иллюстрированный самоучитель по защите в Интернет|2004|p=7}} ==== DoS-атаки на уязвимости в программном обеспечении на DNS-серверах ==== Их ещё называют атаками на кэш. В процессе этой атаки злоумышленник подменяет IP-адрес DNS-сервера домена жертвы. После чего атакуемый при запросе HTML-страницы, попадает либо в «чёрную дыру» (если IP-адрес был заменён на несуществующий), либо прямиком на сервер злоумышленника. Второй случай более плачевен, так как злоумышленник легко может получить доступ к личным данным ничего не подозревающей жертвы. Рассмотрим на примере, как это происходит. Допустим, что клиент хочет попасть на Web-узел компании microsoft.com. Но использовав уязвимость в DNS-сервере компании, злоумышленник подменил IP-адрес узла microsoft.com на свой. Теперь жертва автоматически перенаправляется на узел к атакующему. ==== DDoS атаки на DNS-серверы ==== {{main|Корневые серверы DNS}} [[Файл:DoS-router.png|мини|справа|300x150px|Иллюстрация примера атаки через неправильно сконфигурированный DNS-сервер.{{sfn|CloudFlare|30.10.2012}}]] Далее речь пойдёт о DDoS-атаках, так как участие DNS-серверов всегда подразумевает наличие большого количества компьютеров. Атаки на DNS-серверы — самые банальные атаки, приводящие к отказу в обслуживании DNS-сервера как путём насыщения полосы пропускания, так и путём захвата системных ресурсов. Но такая атака требует огромного количества [[компьютер-зомби|компьютеров-зомби]]. После её успешного проведения пользователи не могут попасть на нужную им страницу в Интернете, потому что DNS-сервер не может преобразовать доменное имя в IP-адрес сайта. Но в настоящее время атаки на DNS-серверы с использованием большого числа компьютеров-зомби (такую систему называют «[[ботнет]]») менее актуальны, так как интернет-провайдеры легко замечают большое количество исходящего трафика и блокируют его. Злоумышленники теперь обходятся небольшими ботнетами, либо не используют их вовсе. Основная идея состоит в том, что хакеры используют [[DNS-сервер]]ы{{sfn|DNS|1987}}, работающие на основе технологии [[DNSSEC]].{{sfn|DNSSEC|2010}} Мощность атаки возрастает вследствие увеличения отражений DNS-запросов. В идеале DNS-серверы определённого провайдера должны обрабатывать только те запросы, которые пришли к ним от пользователей этого провайдера, но это далеко от реальности. По всему миру очень много некорректно настроенных серверов, которые могут принять запрос от любого пользователя в Интернете. Работники компании [[:en:CloudFlare|CloudFlare]] утверждают, что в настоящее время в Интернете более 68 тысяч неправильно настроенных DNS-серверов, из них более 800 — в России.{{sfn|Хакер|31.10.2012}} Именно такие DNS-серверы используются для DDoS-атак. Основная идея состоит в том, что практически все DNS-запросы пересылаются по протоколу UDP, в котором сравнительно просто подменить обратный адрес на адрес жертвы. Поэтому через неправильно сконфигурированные DNS-серверы злоумышленник шлёт такой запрос, чтобы ответ на него был как можно больше по объёму (например, это может быть список всех записей в таблице DNS), в котором обратный IP-адрес подменяется на IP-адрес жертвы. Как правило, серверы провайдеров имеют довольно большую пропускную способность, поэтому сформировать атаку в несколько десятков Гбит/c не составляет особого труда.{{sfn|Хакер|18.09.2012}} [[Файл:DNS-servers.png|обрамить|слева|600x310px|Расположение неправильно сконфигурированных DNS-серверов.<br>Красный — около 30 тысяч штук; бледно-бордовый — около 5 тысяч штук; серый — от 10 до 2000 штук; белый — практически нет неправильно настроенных DNS-серверов]] {{clear}} Список автономных систем с самым большим числом неправильно сконфигурированных [[DNS-сервер]]ов на 10.11.2013.{{sfn|Хакер|31.10.2012}} {| class="standard" |- !Число DNS-серверов||Имя автономной системы |- |2108||BELPAK-AS Republican Unitary Telecommunication Enterprise Be |- |1668||HINET Data Communication Business Group |- |1596||OCN NTT Communications Corporation |- |1455||TELEFONICA CHILE S.A. |- |1402||KIXS-AS-KR Korea Telecom |- |965||Telefonica de Argentina |- |894||ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information C |- |827||KDDI KDDI CORPORATION |- |770||Compa Dominicana de Telefonos, C. por A. — CODETEL |- |723||CHINANET-BACKBONE No.31,Jin-rong Street |- |647||LGDACOM LG DACOM Corporation |- |606||UUNET — MCI Communications Services, Inc. d/b/a Verizon Busi |- |604||TELKOMNET-AS2-AP PT Telekomunikasi Indonesia |- |601||COLOMBIA TELECOMUNICACIONES S.A. ESP |} {{clear}} == Выявление DoS/DDoS-атак == Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (''флуд''-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют службы обеспечения безопасности. Они помогают произвести некоторые настройки системы. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут. В соответствии с правилами политики обеспечения безопасности, при обнаружении DoS или DDoS-атаки потребуется её регистрация для дальнейшего аудита. После того, как атака была зафиксирована, могут потребоваться службы обеспечения безопасности для некоторых корректировок в системе и для её возвращения к прежнему уровню работы. Также для обнаружения DDoS-атаки могут использоваться службы, не связанные с безопасностью, например, перенаправление трафика по другим каналам связи, включение резервных серверов для копирования информации. Таким образом, средства для обнаружения и предотвращения DDoS-атак могут сильно различаться в зависимости от вида защищаемой системы.{{sfn|Информационная безопасность открытых систем|2012|p=39}} Методы обнаружения DoS-атак можно разделить на несколько больших групп: * сигнатурные — основанные на качественном анализе трафика. * статистические — основанные на количественном анализе трафика. * гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов. == Получившие известность DDoS атаки == [[Файл:DDoS video.gif|обрамить|справа|Визуализация DDoS-атаки{{sfn|Хакер|28.04.2013}}]] [[Файл:Ddos3.png|мини|слева|Пик DDoS-атаки на CloudFlare|158x158px]] [[Файл:DoS LINX system.png|обрамить|слева|500x350|Воздействие DDoS-атаки на LINX в марте 2013 года.]] [[Файл:Internet Connectivity Distribution & Core.svg|thumb|right|400px|Архитектура сетей разного уровня в Интернет]] Так в 2012 году было проведено несколько крупномасштабных DDoS-атак на DNS-серверы. Первая из них планировалась на 31 марта, но так и не состоялась. Целью злоумышленников из группы [[Anonymous]]{{sfn|IRC-сервер Anonymous|2011}} было довести до отказа всю глобальную сеть Интернет. Они хотели это сделать с помощью DDoS-атаки на 13 [[Корневые серверы DNS|корневых DNS-серверов]]{{sfn|Root name server|2013}}. Злоумышленники выпустили специальную утилиту [[Ramp]], которая предназначалась для объединения более мелких DNS-серверов и [[интернет-провайдер]]ов. С помощью них и планировалось вывести из строя глобальную сеть. Точно такая же атака была проведена в ноябре 2002 года. Её до сих пор считают самой глобальной DDoS-атакой на DNS-серверы, так как в результате злоумышленники смогли вывести из строя 7 корневых серверов. Следующая атака прошла в августе на компанию [[AT&T]], являющуюся крупнейшей американской телекоммуникационной компанией. В результате после атаки, которая продлилась 8 часов, вышли из строя DNS-серверы компании. Пользователи некоторое время не могли зайти не только на сайт компании AT&T, но и на коммерческие сайты в её сети. Ещё одна атака прошла 10 ноября 2012 года на компанию [[Go Daddy]], которая является крупнейшим в мире хостинг-провайдером. Последствия атаки были разрушительны: пострадал не только сам домен www.godaddy.com, но и более 33 миллионов доменов в сети Интернет, которые были зарегистрированы компанией.{{sfn|Падение DNS-серверов GoDaddy|11.09.2012}} Намного раньше, 22 августа 2003 года злоумышленники при помощи вируса [[Mydoom]] вывели из строя сайт компании [[SCO]], занимающейся разработкой системного программного обеспечения. Целых 3 дня пользователи не могли попасть на сайт компании.{{sfn|MyDoom – самая дорогая вредоносная программа десятилетия|26.01.2011}} [[Файл:DDoS spamhaus.png|обрамить|мини|слева|Атака на Spamhaus]] 15 сентября 2012 года, крупная DDoS-атака мощностью в 65 Гбит/с обрушилась на компанию [[:en:CloudFlare|CloudFlare]], которая является [[Content Delivery Network|сетью доставки контента]], предназначенная для виртуального хостинга. Серверы данной компании расположены по всему миру.{{sfn|Хакер|18.09.2012}} Это помогает пользователю загружать страницу в Интернете с ближайшего (с географической точки зрения) сервера CloudFlare намного быстрее. Ранее данная компания выдерживала DDoS-атаки мощностью в несколько десятков Гбит/с, но с атакой в 65 Гбит/с справиться не смогла. Этот пик пришёлся на субботу 15 сентября в 13:00. Сотрудники, работавшие на тот момент в компании CloudFlare, были бывшими хакерами, которым стало интересно разобраться, каким же именно методом была проведена данная DDoS-атака, и как злоумышленники смогли провести её с такой мощностью. Оказалось, что для такой атаки потребовалось бы 65 тысяч ботов, создающих трафик в 1 Мбит/c каждый. Но это невозможно, так как интернет-провайдеры с лёгкостью обнаружат и заблокируют такой большой объём трафика. При этом аренда большого ботнета очень дорого обходится. Поэтому выяснилось, что для такой атаки использовался метод приумножения DNS-запросов через открытые DNS-серверы. Приблизительно через полгода, 18 марта, началась, по версии газеты [[The New York Times]], самая большая DDoS-атака в истории, жертвой которой стала компания [[:en:The Spamhaus Project|Spamhaus]], занимающаяся занесением в чёрный список источников [[спам]]а.{{sfn|How the Cyberattack on Spamhaus Unfolded|2013}} Причиной атаки послужил тот факт, что Spamhaus занесла в чёрный список за рассылку спама голландского хост-провайдера Cyberbunker. Второй своё недовольство выразил с помощью DDoS-атаки с пиковой мощностью в 300 Гбит/с через открытые DNS-серверы. 19 марта мощность достигла 90 Гбит/c, меняя своё значение от 30 Гбит/с.{{sfn|The DDoS That Almost Broke the Internet|2013}} После этого было затишье, но оно продлилось недолго и атака возобновилась с новой силой и 22 марта её мощность достигла 120 Гбит/c. Для отражения атаки компания CloudFlare распределила трафик между своими [[дата-центр]]ами, после чего Cyberbunker поняла, что не сможет «положить» CloudFlare и начала новую волну атаки на её вышестоящие [[Peer|пиры]]. Некоторая часть пакетов отфильтровалась на уровне Tier2, остальной трафик попал на уровень Tier1, где мощность и достигла своего максимума в 300 Гбит/c. В этот момент миллионы пользователей сети Интернет почувствовали на себе всю мощь данной атаки, у них тормозили некоторые сайты. В итоге провайдеры выдержали эту атаку, но в Европе было зарегистрировано некоторое увеличение пинга при доступе к различным сайтам. Например, в лондонском центре обмена трафика [[LINX]] 23 марта из-за атаки скорость обмена данными упала более чем в два раза. Средняя скорость в 1.2 Тбит/c упала до 0.40 Тбит/c.{{sfn|DDoS-атака 300 Гбит/с|27.03.2013}} == Защита от основных видов DoS-атак == В основном защита от DoS-атак строится на правильной настройке компьютера. Следующие меры защиты способны защитить лишь от слабых DoS-атак, либо они будут использоваться в качестве снижения её эффективности. === Защита от HTTP-флуда === Для защиты от HTTP-флуда необходимо увеличить одновременное количество максимальных подключений к базе данных сервера, установить перед Web-сервером [[Apache HTTP Server|Apache]] производительный [[Nginx]] для кэширования запросов. <source lang="bash"> # Увеличение максимального количества используемых файлов worker_rlimit_nofile 80000; events { # Увеличение максимального количества соединений worker_connections 65536; # Использование эффективного метода epoll для обработки соединений use epoll; } http { gzip off; # Отключение таймаута на закрытие keep-alive соединений keepalive_timeout 0; # Скрытие версии nginx в заголовке ответа server_tokens off; # Сбрасывание соединения по таймауту reset_timedout_connection on; } # Стандартные настройки для работы в качестве прокси server { listen 111.111.111.111 default deferred; server_name host.com www.host.com; log_format IP $remote_addr; location / { proxy_pass http://127.0.0.1/; } location ~* \.(jpeg|jpg|gif|png|css|js|pdf|txt|tar)$ { root /home/www/host.com/httpdocs; } } </source> === Защита от ICMP-флуда === Для того, чтобы защититься от ICMP-флуда нужно отключить ответы на запросы ICMP ECHO: {| class="wikitable" |# sysctl net.ipv4.icmp_echo_ignore_all=1{{sfn|Хакер|2009}} |- |} или с помощью брандмауэра: {| class="wikitable" |# iptables -A INPUT -p icmp -j DROP—icmp-type 8 |- |} === Защита от UDP-флуда === Так как UDP-пакеты отсылаются на различные UDP-сервисы, то достаточно просто отключить их от внешнего мира и установить ограничение на количество соединений к DNS-серверу: {| class="wikitable" |# iptables -I INPUT -p udp—dport 53 -j DROP -m iplimit—iplimit-above 1{{sfn|Хакер|2009}} |- |} === Защита от SYN-флуда === Защита строится на отключении очереди «[[Полуоткрытое TCP/IP-соединение|полуоткрытых]]» [[TCP|TCP-соединений:]] {| class="wikitable" |# sysctl -w net.ipv4.tcp_max_syn_backlog=1024 |- |} Включение механизма TCP syncookies: {| class="wikitable" |# sysctl -w net.ipv4.tcp_syncookies=1 |- |} Ограничение максимального числа «полуоткрытых» соединений с одного IP к конкретному порту: {| class="wikitable" |# iptables -I INPUT -p tcp—syn—dport 80 -m iplimit—iplimit-above 10 -j DROP |- |} На подходе к серверу должна быть настроена система анализа трафика, которая поможет вовремя узнать о приближающейся DoS-атаке и принять соответствующие меры по её избежанию.{{sfn|Хакер|2009}} <source lang="bash"> # Защита от спуфинга net.ipv4.conf.default.rp_filter = 1 # Проверять TCP-соединение каждую минуту. Если на другой стороне - легальная машина, она сразу ответит. Значение по умолчанию - 2 часа. net.ipv4.tcp_keepalive_time = 60 # Повторить через 10 секунд net.ipv4.tcp_keepalive_intvl = 10 # Количество проверок перед закрытием соединения net.ipv4.tcp_keepalive_probes = 5 </source> === Универсальные советы === Также есть несколько универсальных советов, которые помогут подготовить систему к DoS-атаке. * Все серверы, которые имеют доступ во внешнюю сеть, должны быть подготовлены к удаленной аварийной перезагрузке. Также желательно наличие второго сетевого интерфейса, через который по [[SSH|ssh-соединению]] можно быстро получить доступ к серверу. * Программное обеспечение, которое установлено на сервере, должно быть в актуальном состоянии, а именно: должно быть установлено последнее ПО, касающееся обеспечения безопасности системы. * Все сетевые сервисы должны быть защищены [[Межсетевой экран|брандмауэром]]. === Действия в самом начале DoS-атаки === Перед началом самой атаки атакующие компьютеры только набирают обороты, со временем увеличивая поток пакетов на компьютер-жертву. В это время необходимо быстро принять конкретные действия по предотвращению атаки. Например, для определения SYN-флуда необходимо установить число «полуоткрытых» соединений: {| class="wikitable" |# netstat -na | grep ":80\ " | grep SYN_RCVD |- |} В идеале их не должно быть совсем (максимум 1-3). Если это не так, то можно говорить о наличии DoS-атаки. Сложнее обстоит дело с HTTP-флудом. В самом начале необходимо подсчитать количество подключений на 80 порт и количество процессов Apache. Если они значительно превышают среднестатистические, то следует задуматься. {| class="wikitable" |# ps aux | grep httpd | wc -l |# netstat -na | grep ":80\ " | wc -l |- |} Список IP-адресов, с которых идут запросы на подключение можно посмотреть следующей командой: {| class="wikitable" |# netstat -na | grep ":80\ " | sort | uniq -c | sort -nr | less |- |} Далее следует провести анализ пакетов с помощью команды tcpdump: {| class="wikitable" |# tcpdump -n -i eth0 -s 0 -w output.txt dst port 80 and host IP-сервера |- |} Если наблюдается большой поток однообразных пакетов с разных IP-адресов, которые направлены на один порт, можно смело предполагать, что имеет место DoS-атака. Далее необходимо сбросить все эти соединения (лучше всего это сделать на маршрутизаторе): {| class="wikitable" |# iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp—destination-port http -j DROP |- |} Все эти методы обнаружения и предотвращения DoS-атаки дадут лишь некоторое время для обращения к провайдеру. Необходимо предоставить все лог-файлы web-сервера, ядра самого компьютера, брандмауэра и списки всех обнаруженных IP-адресов.{{sfn|Хакер|2009}} == Защита от DDoS-атак == {{Врезка | Выравнивание = right | Ширина = 40% | Высота = | Заголовок = Цитата | Заголовок снизу = | Содержание = Только атаки дилетантов нацелены на машины. Атаки профессионалов нацелены на людей. | Без разрывов = | Подпись = Б. Шнайер<ref>[https://www.schneier.com/crypto-gram-0010.html#1 Semantic Attacks: The Third Wave of Network Attacks ]</ref> }} Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния. Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов. * '''Предотвращение.''' Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем. * '''Ответные меры.''' Применяя технические и правовые меры, нужно как можно активнее воздействовать на источника и организатора DDoS-атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора. * '''Программное обеспечение.''' На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер. * '''Фильтрация и блэкхолинг.''' Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков [[ACL]]. Использование межсетевых экранов блокирует конкретный поток трафика, но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP. Это не замедляет скорость работы сервера, но бесполезно в том случае, если злоумышленник использует первостепенные запросы.{{sfn|DDoS Mitigation via Regional Cleaning Centers|2011}} * '''Обратный DDOS''' — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего. * '''Устранение уязвимостей.''' Не работает против ''флуд''-атак, для которых «[[Уязвимость (компьютерная безопасность)|уязвимостью]]» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах. * '''Наращивание ресурсов.''' Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак. * '''Рассредоточение.''' Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки. * '''Уклонение.''' Увод непосредственной цели атаки ([[Доменное имя|доменного имени]] или [[IP-адрес]]а) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки. * '''Активные ответные меры.''' Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами. * '''Использование оборудования для отражения DDoS-атак.''' Например, DefensePro® ([[Radware]]), SecureSphere® ([[Imperva]]), Периметр ([[МФИ Софт]]), Arbor Peakflow®, Riorey, Impletec iCore и от других производителей. * '''Приобретение сервиса по защите от DDoS-атак.''' Актуально в случае превышения флудом пропускной способности сетевого канала. Также компания Google готова предоставлять свои ресурсы для отображения контента вашего сайта в том случае, если сайт находится под DDoS-атакой. На данный момент сервис Project Shield находится на стадии тестирования, но туда могут быть приняты сайты некоторых тематик<ref>[http://about-windows.ru/virusy-i-xakery/xakery/zashhita-ot-ddos-atak/ Защита от DDoS-атак с помощью Project Shield]</ref>. Цель проекта — защитить свободу слова. == Статистика == Эксперты «Лаборатории Касперского» провели исследование и выяснили, что в 2015 году DDoS-атаке подверглась каждая шестая российская компания. По данным специалистов, в течение года было совершено около 120 тысяч атак, которые были направлены на 68 тысяч ресурсов по всему миру. В России киберпреступники чаще всего выбирали своей мишенью крупный бизнес — 20 % случаев, средний и малый бизнес — 17 %. DDoS-атаки были нацелены на создание проблем в работе главной страницы сайта компаний (55 % атак), выведение из строя коммуникационных сервисов и почты (34 %), функции, позволяющие пользователю войти в систему (23 %). Также эксперты выяснили, что 18 % DDoS-атак зафиксировано на файловые серверы и 12 % — на сервисы по совершению финансовых операций. Россия занимает пятое место в мире по количеству DDoS-атак на её сайты. Большее количество киберпреступлений совершается в Китае, США, Корее и Канаде. Однако атаки чаще всего совершаются китайскими и российскими хакерами<ref>[http://tass.ru/ekonomika/2618044 ТАСС: Экономика и бизнес — «Лаборатория Касперского»: каждая шестая компания РФ в 2015 г. подвергалась DDoS-атаке<!-- Заголовок добавлен ботом -->]</ref>. == См. также == * [[Ботнет]] * [[Компьютерный вирус]] * [[Руткит]] * [[Спам]] * [[Флуд]] * [[Ping-флуд]] * [[Анонимус]] * [[Proof-of-work]] * [[Удалённые сетевые атаки]] * [[Компьютер-зомби]] * [[Ping of death]] * [[Эксплойт]] * [[DNS]] * [[:en:Fraggle attack]] == Примечания == {{Примечания|2}} == Литература == * {{книга |заглавие = [[Хакер (журнал)|Хакер]] |номер выпуска = 21, 47 |автор = [[Крис Касперски]], Андрей Комаров, Степан Ильин, Леонид Стройков, Сергей Яремчук, Денис Колесниченко. |год = 2003 |архив = хакер спец |ref = Хакер }} * {{книга |часть = |заглавие = [http://tools.ietf.org/html/rfc1034 Domain Names — Concepts and Facilities] |оригинал = |издание = Network Working Group |автор = Mockapetris. P |год = 1987 |ref = DNS }} * {{книга |заглавие = [[Хакер (журнал)|Хакер]] |номер выпуска = 21, 47 |автор = [[Крис Касперски]], Денис Колесниченко. |год = 2005 |ref = Хакер }} * {{книга |заглавие = [http://lib.qrz.ru/node/14677 Иллюстрированный самоучитель по защите в Интернет] |автор = коллектив авторов |год = 2004 |страницы = 2, 3, 4, 5, 6, 7, 8, 9, 12 |ref = Иллюстрированный самоучитель по защите в Интернет }} * {{книга |часть = |заглавие = [https://xakep.ru/2009/10/14/49752/ Журнал "Хакер", Устоять любой ценой. Методы борьбы с DoS/DDoS-атаками] |оригинал = |автор = Евгений Зобнин |год = 2009 |ref = Хакер }} * {{книга |автор=[[Брюс Шнайер|Б. Шнайер]] |заглавие= Секреты и ложь. Безопасность данных в цифровом мире |isbn=5-318-00193-9 |место = СПб. |издательство = Питер |год=2000 |страницы = 432 |ref = Секреты и ложь. Безопасность данных в цифровом мире }} * {{книга |автор=[[Крис Касперски]] |заглавие= [http://www.ozon.ru/context/detail/id/2489659/ Компьютерные вирусы изнутри и снаружи] |isbn=5-469-00982-3 |место = СПб. |издательство = Питер |год=2006 |страницы = 526 |ref = Компьютерные вирусы изнутри и снаружи }} * {{книга |часть = |заглавие = [http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet The DDoS That Almost Broke the Internet] |оригинал = |автор = |год = 2013 |ref = The DDoS That Almost Broke the Internet }} * {{книга |часть = |заглавие = [http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack CloudFlare blog, Deep Inside a DNS Amplification DDoS Attack] |оригинал = |автор = |год = 30.10.2012 |ref = CloudFlare }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/59564/ Журнал "Хакер", DDoS с умножением через DNS-резолверы: технические подробности] |оригинал = |автор = |год = 31.10.2012 |ref = Хакер }} * {{книга |часть = |заглавие = [http://www.icann.org/en/news/press/releases/release-28jul10-en.pdf Global Upgrade Makes Internet More Secure] |оригинал = |автор = |год = 2010 |ref = DNSSEC }} * {{книга |часть = |заглавие = [http://s2.ist.psu.edu/paper/DDoS-Chap-Gu-June-07.pdf Denial of Service Attacks] |оригинал = |издание = University Park |автор = Peng Liu |год = 2004 |ref = Denial of Service Attacks }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/60526/default.asp Журнал "Хакер", Визуализация DDoS-атаки] |оригинал = |автор = |год = 28.04.2013 |ref = Хакер }} * {{книга |автор=[[David Dittrich, Jelena Mirkovic, Peter Reiher, Sven Dietrich]] |заглавие= Internet Denial of Service: Attack and Defense Mechanisms |isbn=0132704544, 9780132704540 |страницы = 400 |издание=1 |место = Москва |издательство = Pearson Education |год=2004 |ref = Internet Denial of Service }} * {{книга |часть = |заглавие = [http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/latest.html Журнал "Хакер", Неправильно сконфигурированные DNS-серверы] |оригинал = |автор = |год = 2013 |ref = Хакер }} * {{книга |автор=Н. Фергюсон, [[Брюс Шнайер|Б. Шнайер]] |заглавие= Практическая криптография |isbn=5-8459-0733-0 |место = Москва |издательство = Вильямс |год=2005 |страницы = 416 |ref = Практическая криптография }} * {{книга |автор=[[J. Reynolds, R. Braden]] |заглавие= Request for Comments (RFC) |год=2004 |ref = RFC documents }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/60346/ Журнал "Хакер", DDoS-атака 300 Гбит/с замедлила весь интернет] |оригинал = |автор = |год = 27.03.2013 |ref = DDoS-атака 300 Гбит/с }} * {{книга |заглавие = [http://www.xakep.ru/post/55642/ Журнал "Хакер", Хакеры взломаны: захвачен главный IRC-сервер Anonymous] |автор = |год = 2011 |ref = IRC-сервер Anonymous }} * {{книга |автор=[[Мельников Д. А.]] |заглавие= Информационная безопасность открытых систем |isbn=978-5-9765-1613-7 |место = Москва |издательство = ФЛИНТА |год=2012 |страницы = 448 |ref = Информационная безопасность открытых систем }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/61062/default.asp Журнал "Хакер", Новая волна DDoS-атак в Рунете] |оригинал = |год = 12.08.2013 |ref = Хакер }} * {{книга |часть = |заглавие = [http://www.root-servers.org/, Root Server Technical Operations Association] |оригинал = |автор = |год = 2013 |ref = Root name server }} * {{книга |часть = |заглавие = [http://www.ozon.ru/context/detail/id/845773/ Анализ типовых нарушений безопасности в сетях] |оригинал = Intrusion Signatures and Analysis |автор = S. Northcutt, M. Cooper, M. Fearnow, K. Frederik. |isbn = 5-8459-0225-8 (русск.), 0-7357-1063-5 (англ.) |страницы = 464 |год = 2001 |издание = |место = New Riders Publishing (англ.) СПб. |издательство = Издательский дом «Вильямс» (русск.) |ref = Анализ типовых нарушений безопасности в сетях }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/54615/ Журнал "Хакер", MyDoom – самая дорогая вредоносная программа десятилетия] |оригинал = |автор = |год = 26.01.2011 |ref = MyDoom – самая дорогая вредоносная программа десятилетия }} * {{книга |часть = |заглавие = [http://tools.ietf.org/html/rfc4987 TCP SYN Flooding Attacks and Common Mitigations] |оригинал = |автор = W. Eddy |год = 2007 |ref = RFC 4987 }} * {{книга |часть = |заглавие = [https://www.nytimes.com/interactive/2013/03/30/technology/how-the-cyberattack-on-spamhaus-unfolded.html?_r=0 How the Cyberattack on Spamhaus Unfolded] |оригинал = |автор = A. McLEAN, G. Gates, A. Tse |год = 2013 |ref = How the Cyberattack on Spamhaus Unfolded }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/59296/ Журнал "Хакер", Миллионы сайтов ушли в офлайн из-за падения DNS-серверов GoDaddy] |оригинал = |автор = |год = 11.09.2012 |ref = Падение DNS-серверов GoDaddy }} * {{книга |часть = |заглавие = [https://research.sprintlabs.com/publications/uploads/RR04-ATL-013177.pdf DDoS Mitigation via Regional Cleaning Centers] |оригинал = |автор = S.Agarwal, T. Dawson, C. Tryfonas |год = 2011 |ref = DDoS Mitigation via Regional Cleaning Centers }} * {{книга |часть = |заглавие = Applied Cryptography |оригинал = |автор = [[Брюс Шнайер|B. Schneier]] |isbn = 0-471-11709-9 |страницы = 784 |год = 1996 |издание = John Wiley & Sons |ref = Прикладная криптография }} * {{книга |часть = |заглавие = [http://www.radicalphilosophy.com/article/the-philosophy-of-anonymous The philosophy of Anonymous] |оригинал = |автор = [[H. Halpin]] |страницы = 28 |год = 2013 |ref = The philosophy of Anonymous }} * {{книга |часть = |заглавие = [http://www.xakep.ru/post/59335/ Журнал "Хакер", DDoS-атака 65 Гбит/c через открытые DNS-резолверы] |оригинал = |автор = |год = 18.09.2012 |ref = Хакер }} * {{книга |часть = |заглавие = [http://pdos.csail.mit.edu/~rtm/papers/117.pdf A Weakness in the 4.2BSD Unix TCP/IP Software] |оригинал = |автор = [[Моррис, Роберт Тэппэн|Morris, R.T]] |isbn = |страницы = |год = 1985 |издание = Computing Scienece Technical Report No.117 |место = AT&T Bell Laborotories |ref = A Weakness in the 4.2BSD Unix TCP/IP Software }} * {{книга |часть = |заглавие = [http://users.ece.cmu.edu/~adrian/630-f04/readings/bellovin-tcp-ip.pdf Security Problems in the TCP/IP protocol Suite] |оригинал = |автор = S. M. Bellovin |isbn = |страницы = |год = 1989 |издание = Computer Communication Review, Vol. 19, No.2 |место = AT&T Bell Laborotories |ref = Security Problems in the TCP/IP protocol Suite }} * {{книга |часть = |заглавие = [http://www.phrack.org/issues.html?issue=48&id=14 IP-spooling Demystified: Trust Realationship Exploitation] |оригинал = |автор = R. W. Stevens |isbn = |страницы = |год = 1996 |издание = Phrack Magazine, Vol.7, Issue 48 |место = Guild Production |ref = IP-spooling Demystified }} * {{книга |часть = |заглавие = [http://www.phrack.com/issues.html?issue=48&id=13 «Project Neptune»] |оригинал = |автор = R. W. Stevens |isbn = |страницы = |год = 07.1996 |издание = Phrack Magazine, Vol.7, Issue 48 |место = Guild Production |ref = «Project Neptune» }} = Наказание за DoS-атаку = [[Статья 272 УК РФ]]: Неправомерный доступ к компьютерной информации == Ссылки == * {{dmoz|Computers/Internet/Abuse/Denial_of_Service/}} * [http://www.digitalattackmap.com/ Карта DDoS-атак в реальном времени] [[Категория:Интернет]] [[Категория:Атаки и эксплойты]] [[Категория:Кибервойна]]'
Вики-текст новой страницы после правки (new_wikitext)
'7е5вуспои ьоспгчьи оюпсгевлчби ьмнша6в8екнаярьсгеб ио оспи ьоспюевсьи пслвесиь пслнвси ььслрпвнрбт бмрлдсн'
Была ли правка сделана через выходной узел сети Tor (tor_exit_node)
0
Unix-время изменения (timestamp)
1515013571