Библиотека Интернет Индустрии I2R.ru |
|||
|
Как защититься от DDoS-атакЕсли специалисты по безопасности не примут меры, в один прекрасный день атаки злоумышленников смогут парализовать всю инфраструктуру Интернета. Хакерские атаки на серверы типа "отказ от обслуживания" (DoS) становятся с каждым днем все более изощренными и разнообразными. Постоянно появляется необходимость во все более сложных и эффективных инструментах защиты. В частности, тема защиты от таких атак была центральной на октябрьской конференции Североамериканской группы сетевых операторов (NANOG). Как отмечали докладчики, все более широкое применение получают так называемые DDoS, "распределенный отказ от обслуживания". Технология DDoS атак подразумевает метод грубой силы - атакующий тем или иным способом пытается "забить" канал, открывает максимально возможное количество соеденений на тот или иной сервис. Также злоумышленник может посылать большое количество определенного типа пакетов на хост, и тем самым попытаться вывести из строя работающую на нем операционную систему. Как правило, в таком случае система на том хосте не успевает обработать все пакеты, происходит переполнение буфера и ОС перегружается или виснет. Особенно чутки к таким воздействиям бывают системы семейства Windows: такие машины легче поддаются воздействию хакерских атак и быстрее отключаются. Например, специалистом агентства "Рустар" (www.rustar.ru) был замечен факт, когда от огромного количества ICMP пакетов (команда ping) на канале в 10 мегабит Windows NT не выдерживала и 5-ти минут, а Windows 9.x еще меньше. Дело в том, что эти системы, несмотря на свою простоту в управлении, с технической точки зрения сделаны достаточно "сыро", особенно когда речь идет о реализации стека протоколов TCP/IP. Понятно, что найти альтернативу Windows порой невозможно, поэтому это еще раз должно натолкнуть руководства компаний на применение современных средств сетевой защиты, а специалисты интернет компаний должны еще раз ответить себе на вопрос - а можно ли отказаться от использования Windows как ОС для их серверов. Кстати, участники американской конференции теоретически не исключили использования злоумышленниками в своих целях целых каскадов маршрутизаторов, что сможет привести к парализации на время всей инфраструктуры Интернета. Единственная надежда - на специалистов по компьютерной безопасности и на надежные системы защиты. О том, как защититься от атак типа DoS и DDoS, рассказал сотрудник отдела компьютерной безопасности интернет-агентства Рустар Сергей Слезко. - Для небольших и средних компаний, имеющих локальные сети с каналом в Интернет, можно посоветовать использовать межсетевые экраны. Это, как правило, отдельно стоящий компьютер или маршутизатор, который пропускает через себя трафик из нескольких, строго определенных, сетей, причем, естественно, контролируемый трафик должен физически (!) проходить через этот экран. Сетевая ОС на этом экране (Firewall) осуществляет фильтрацию трафика с последующей его логической обработкой. Например, можно настроить Firewall таким образом, что из защищенной сети можно будет заходить в Интернет, тогда как "из внешнего мира" подключиться к какой-нибудь рабочей станции будет невозможно, несмотря на доступность этой сети из Интернета. Firewall будет "отсекать" попытки подсоединиться к рабочей станции (распространенный вид DDoS когда взломщик подключается к 139 порту Windows и вызывает зависание этой ОС) или , к примеру, можно лимитировать канал на тот или иной трафик, например, если сделать лимит на ICMP трафик не более 50 кбит/с, то забить тот или иной канал уже намного сложнее. Такие системы должны настраивать специалисты, т.к. существует много тонкостей в протоколах TCP/IP. Конечным пользователям можно посоветовать системы защиты индивидуального характера, такого рода программы есть и для Windows. Но применять его советую лишь в случаях, когда нет возможности поставить отдельно Firewall (как правило, это пользователь, подключившийся по dial-up), поскольку в отличие от сетевых ОС, которые изначально ориентированы на работу с трафиком, это лишь своего рода "надстройка" над Windows, и, естественно, невозможно так же надежно контролировать трафик. Хотя это все же лучше чем "лезть" в Интернет с "открытой" Windows. |
|
2000-2008 г. Все авторские права соблюдены. |
|