Что такое teardrop-атака и как ее предотвратить

[DarthWader]

Что такое teardrop-атака и как ее предотвратить
Совершается teardrop-атака типа DDoS.
Teardrop-атака – это разновидность атаки типа «отказ в обслуживании» (DoS) с применением фрагментированных пакетов данных для переполнения сервера или сети жертвы. Поскольку сервер не может собрать пакеты заново, происходит перегрузка и система отключается.

Teardrop-атаки обычно направлены на серверы с существующей уязвимостью TCP/IP. По сути, для обхода традиционных средств контроля безопасности на локальном сервере или в сети они используют способ фрагментации и повторной сборки IP-пакетов. Учитывая, что во многих организациях часто используется устаревшее системное программное обеспечение с неисправленными уязвимостями, teardrop-атаки имеют все шансы на успех. Таким образом, teardrop-атаки чаще всего нацелены на госучреждения, больницы и небольшие банки, особенно на те организации, где используются очень старые операционные системы (например, Windows 95 или старше).

В этом руководстве мы подробно рассмотрим teardrop-атаки: их сущность, принцип действия и способы защиты, чтобы вы могли свести к минимуму риск стать жертвой этих (или подобных) атак.

Откуда взялись teardrop-атаки?
Представьте, что день идет своим чередом, вы работаете дома (или в офисе), занимаетесь своими делами, и вдруг ваша локальная машина отключается без всякого предупреждения. Или, возможно, ваша локальная сеть перестала работать во всем офисе, и вы не можете получить доступ к необходимым локальным данным. Это происходит во время атак типа «отказ в обслуживании» и «распределенный отказ в обслуживании»

 

[DarthWader]

Кибератаки типа DDoS, весьма распространенные в США, не только раздражают, но и могут иметь серьезные последствия. В сентябре 2017 года на компанию Google (и большую часть ее цифровой инфраструктуры) была совершена подобная атака, ставшая кульминацией полугодовой кампании злоумышленников. Мощность атаки составила 2,54 терабита в секунду. GitHub стал жертвой в 2015 и 2018 годах, а в 2020 году даже на AWS была совершена атака мощностью 2,3 терабита в секунду.

К несчастью обычных пользователей, DDoS- и DoS-атаки сегодня имеют самые разнообразные формы. С момента своего появления эти атаки претерпели значительные изменения, как и многое другое в сфере кибербезопасности за последние 20 лет. Teardrop – это, пожалуй, один из самых неуловимых типов атак. Свое название он получил из-за поэтапного подхода. Если вы не будете осторожны, успешная teardrop-атака может привести к тому, что ваш компьютер (или система, к которой он подключен) полностью выйдет из строя и перестанет отвечать на запросы.

Как происходит teardrop-атака?
Как правило, цифровые системы обрабатывают определенный объем данных, которые поступают одновременно. Данные или сетевой трафик часто разбиваются на более мелкие фрагменты, а затем помечаются определенным числом в так называемом «поле смещения фрагмента». В отсутствие атаки их перестановка в правильном порядке после прибытия – обычное дело.

Однако во время teardrop-атаки злоумышленник внедряет дефект в поле смещения фрагмента, что нарушает процесс повторного упорядочения. В результате в системе накапливается масса поврежденных фрагментированных данных, которые невозможно правильно собрать. К сожалению, система просто перегружается и выходит из строя без (адекватного) предупреждения.

 

[DarthWader]

Примеры teardrop-атак​

За прошедшие годы произошло несколько заметных атак на крупные системы, с которыми многие представители индустрии кибербезопасности могут быть знакомы. К ним относятся (помимо прочего, конечно же) следующие.

• Windows NT и 95: в конце 1990-х годов, teardrop-атаки были широко распространены в Windows 3.1x, NT и 95, что заставило Microsoft выпустить патч, закрывающий уязвимость, в ответ на многочисленные случаи отказа системы.
• Домашние системы: подобные атаки часто встречались как в устаревших системах Windows, так и в Linux, в основном в ядрах Windows 95 и Linux до версии 2.1.63.
• Android/Rowhammer: атака RAMpage, схожая по своей природе с teardrop, угрожала всем устройствам на базе Android, выпущенным в период с 2012 по 2018 год.

Предотвращение teardrop-атак​

Предотвратить teardrop-атаку на вашу сеть или локальную систему можно несколькими различными способами. Ниже мы привели советы по кибербезопасности, которые актуальны для целого ряда различных цифровых угроз и вредоносного ПО, а не только для teardrop-атак.

Обновляйте свою ОС​

Прежде всего, мы рекомендуем обновлять все программное обеспечение и операционную систему и обязательно загружать все доступные исправления безопасности от соответствующих разработчиков. Как мы уже говорили ранее, уязвимости в системе являются обычным вектором входа для teardrop-атак, поэтому это простой способ защитить локальную машину и более широкую сеть.

Блокируйте порты​

Если вы не можете поставить патч на старое программное обеспечение или критически важные приложения, один из лучших способов предотвратить teardrop-атаки – отключить порты 139 и 445. Так вы заблокируете все потенциально опасные серверные сообщения в системах, которые не получили обновления безопасности от своих поставщиков

 

[DarthWader]

Активируйте сетевой экран
Один из самых простых способов предотвратить teardrop-атаку (и вообще защитить свой локальный компьютер) – убедиться, что на компьютере или в сети установлен надежный и комплексный сетевой экран или решение для обеспечения кибербезопасности. Мы рекомендуем использовать наше специализированное программное обеспечение Kaspersky Premium с мощным сетевым экраном, регулярными обновлениями, постоянной помощью и технической поддержкой.

Вопросы и ответы
Что такое teardrop-атака?
Teardrop – это атака типа «отказ в обслуживании» (Denial-of-Service, DOS), в ходе которой система пользователя переполняется поврежденными фрагментированными пакетами данных до тех пор, пока система (или сеть) не выйдет из строя и не отключится. Иногда такие атаки называют DDoS-атаками типа Teardrop. Обычно они направлены на серверы с уязвимостью TCP/IP и устаревшее ПО.

 

[DarthWader]

DDoS-атака - это отправка большого количества запросов на веб-ресурс, в результате чего может произойти прекращение работы ресурса – «отказ в обслуживании» или DoS (Denial-of-service).

Существует множество киберугроз, которых следует опасаться интернет-пользователям и сетевым администраторам, но для организаций, чьи сервисы в основном работают в режиме онлайн, одной из самых важных атак, о которой следует знать, ввиду ее растущей распространенности, являются атаки типа «распределенный отказ в обслуживании» (DDoS). Как они работают и есть ли способы их предотвратить.

DDoS-атаки (распределенный отказ в обслуживании)​

Этот тип кибератак, который иногда называют распределенными сетевыми атаками, использует определенные ограничения пропускной способности, которые применяются к любым сетевым ресурсам, например, к инфраструктуре, обеспечивающей работу веб-сайта компании. DDoS-атака будет отправлять множественные запросы на атакуемый веб-ресурс с целью превышения возможностей веб-сайта по обработке множественных запросов и воспрепятствования его корректной работе. Типичными целями DDoS-атак являются сайты электронной коммерции и любые организации, предлагающие онлайн-услуги.

Как это работает?​

Сетевые ресурсы, такие как веб-серверы, имеют конечное ограничение на количество запросов, которые они могут обслуживать одновременно. Помимо ограничения емкости сервера, канал, соединяющий сервер с Интернетом, также будет иметь конечную пропускную способность или емкость. Всякий раз, когда количество запросов превышает пределы пропускной способности любого компонента инфраструктуры, уровень обслуживания, скорее всего, пострадает.

Обычно целью злоумышленника в любом примере DDoS-атаки является перегрузка сервера веб-ресурса, что приведет к невозможности его нормальной работы и полному отказу в обслуживании. Злоумышленник также может потребовать плату за прекращение атаки. В некоторых случаях ддос-атака может даже представлять собой попытку дискредитировать или нанести ущерб бизнесу конкурента.

Для осуществления атаки злоумышленник захватывает контроль над сетью или устройством, заражая его вредоносным ПО , создавая ботнет . Затем они инициируют атаку, отправляя ботам определенные инструкции. В свою очередь, ботнет начинает отправлять запросы на целевой сервер через его IP-адрес , перегружая его и вызывая отказ в обслуживании его обычного трафика

 

[DarthWader]

Примеры DDoS-атак: какие существуют типы атак?​

Изучение значения DDoS-атак и принципов их работы — это один из шагов к их предотвращению, но также важно понимать, что существуют различные типы DDoS-атак. Для этого необходимо сначала описать, как формируются сетевые соединения.

Модель взаимодействия открытых систем (OSI), разработанная Международной организацией по стандартизации, определяет семь отдельных уровней, из которых состоят сетевые соединения в Интернете. К ним относятся физический уровень, уровень канала передачи данных, сетевой уровень, транспортный уровень, сеансовый уровень, уровень представления и прикладной уровень.

Многочисленные примеры DDoS-атак различаются в зависимости от того, на какой уровень соединения они нацелены. Ниже приведены некоторые наиболее распространенные примеры.

Атаки на уровне приложений​

Иногда их называют атакой уровня 7 (потому что они нацелены на 7 -й (прикладной) уровень модели OSI). Такие атаки истощают ресурсы целевого сервера с помощью DDoS-сайтов. На 7 -м уровне сервер генерирует веб-страницы в ответ на HTTP-запрос. Злоумышленники выполняют многочисленные HTTP-запросы, перегружая целевой сервер, поскольку он отвечает за загрузку многочисленных файлов и выполнение запросов к базе данных, необходимых для создания веб-страницы.

HTTP-флуд​

Представьте себе эти DDoS-атаки как многократное обновление веб-браузера на многих компьютерах. Это создает «поток» HTTP-запросов, вызывающий отказ в обслуживании. Реализация этих атак может быть простой — с использованием одного URL-адреса с узким диапазоном IP-адресов — или сложной, с использованием массива IP-адресов и случайных URL-адресов.

Атаки на протоколы​

Эти DDoS-атаки, часто называемые атаками истощения состояния, используют уязвимости на 3 -м и 4 -м уровнях модели OSI (сетевой и транспортный уровни). Эти атаки приводят к отказу в обслуживании за счет перегрузки ресурсов сервера или сетевого оборудования, например брандмауэров . Существует несколько типов атак на протоколы, включая SYN-флуд. Они используют протокол TCP (протокол управления передачей), который позволяет двум устройствам установить сетевое соединение, отправляя неуправляемое количество «начальных запросов на подключение» TCP с поддельных IP-адресов.

 

[DarthWader]

Объемные атаки​

Эти примеры DDoS-атак создают отказ в обслуживании, используя всю доступную полосу пропускания на целевом сервере путем отправки огромных объемов данных для создания всплеска трафика на сервере.

DNS-амплификация​

Это атака на основе отражения, при которой запрос отправляется на DNS-сервер с поддельного IP-адреса (целевого сервера), побуждая DNS-сервер «перезвонить» цели для проверки запроса. Это действие усиливается за счет использования ботнета, который быстро перегружает ресурсы целевого сервера.

Обнраужение DDoS-атаки​

DDoS-атаки бывает сложно обнаружить, поскольку они могут имитировать обычные проблемы с обслуживанием и становятся все более изощренными. Однако существуют определенные признаки, которые могут указывать на то, что система или сеть стала жертвой DDoS-атаки. Перечислим некоторые из этих приложений и продуктов.

• Внезапный всплеск трафика, исходящего с неизвестного IP-адреса
• Поток трафика от многочисленных пользователей, имеющих определенные сходства, например, геолокацию или версию веб-браузера.
• Необъяснимый рост запросов на одну страницу
• Необычные схемы движения
• Нетипично замедленная работа в сети.
• Служба или веб-сайт, который внезапно и без причины отключается

Предотвращение и смягчение последствий DDoS-атак​

Хотя DDoS-атаки сложно обнаружить, можно реализовать ряд мер, чтобы попытаться предотвратить подобные типы кибератак и смягчить любой ущерб в случае атаки. Для пользователей, интересующихся тем, как предотвратить DDoS-атаки, главное — создать план действий по защите систем и минимизации ущерба в случае атаки. В целом, для предприятий полезно внедрить такое решение, как защита от DDoS-атак

 

[DarthWader]

• Оцените текущую настройку системы, включая программное обеспечение, устройства, серверы и сети, чтобы выявить риски безопасности и потенциальные угрозы, а затем примите меры по их снижению; проводите регулярные оценки рисков.
• Поддерживайте все программное обеспечение и технологии в актуальном состоянии, чтобы быть уверенными в наличии последних исправлений безопасности.
• Разработать эффективную стратегию предотвращения, обнаружения и смягчения последствий ддос-атак.
• Убедитесь, что все участники плана по предотвращению атак понимают значение DDoS-атаки и свои назначенные роли.

В случае атаки эти действия могут обеспечить некоторое смягчение последствий:

• Сети Anycast: использование сети Anycast для перераспределения трафика может помочь сохранить работоспособность сервера во время устранения проблемы, гарантируя, что сервер не придется полностью отключать.
• Маршрутизация по принципу «черной дыры». В этом сценарии сетевой администратор интернет-провайдера перенаправляет весь трафик с целевого сервера на маршрут «черной дыры» (целевой IP-адрес), исключая его из сети и сохраняя его целостность. Однако это может оказаться слишком радикальным шагом, поскольку он также блокирует легитимный трафик.
• Ограничение скорости: ограничивает количество запросов, которые сервер может принять в любой момент времени. Хотя само по себе это не будет очень эффективным, оно может быть полезным как часть более крупной стратегии.
• Межсетевые экраны: организации могут использовать межсетевые экраны веб-приложений (WAF) в качестве обратного прокси-сервера для защиты своих серверов. WAF можно настроить с помощью правил фильтрации трафика, и администраторы могут изменять их в режиме реального времени, если подозревают DDoS-атаку

 

[DarthWader]

.

Как предотвратить атаки программ-вымогателей​

Подобные атаки могут продолжаться часами. Лучший способ защитить себя — принять превентивные меры. Все приведенные ниже рекомендации просты, и вы можете выполнить их самостоятельно.

Как предотвратить DDoS-атаки, изменив свой IP-адрес​

IP-адрес — это уникальный номер, который ваш интернет-провайдер присваивает вашему компьютеру при подключении к Интернету. Киберпреступник находит ваш компьютер, определяя его IP-адрес. Чаще меняйте свой IP-адрес, перезагрузив маршрутизатор. Отключите маршрутизатор от сети и оставьте его выключенным на 5–10 минут, прежде чем снова включить. Отключение маршрутизатора приведет к удалению IP-адреса с вашего компьютера. Интернет-провайдер назначает вашему компьютеру новый IP-адрес. Делайте это регулярно, особенно после игровой сессии.

Отличное защитное ПО​

На вашем компьютере установлено защитное программное обеспечение, которое отслеживает его на предмет атак, вирусов и вредоносных программ. Вирусы, вредоносные программы и методы атак развиваются ежедневно. Постоянное обновление программного обеспечения гарантирует, что оно сможет противостоять этим новым угрозам.

Не нажимайте на ссылки в чатах​

Не переходите по ссылкам, которые вам кто-то присылает, если вы не знаете этого человека и не доверяете ему. Преступники отправляют своим жертвам ссылку на вредоносный веб-сайт. Сайт устанавливает вредоносное ПО на ваш компьютер без вашего ведома. После установки злоумышленник получает ваш IP-адрес. Они могут добавить ваш компьютер в ботнет и использовать его для атак на других.

Избегайте мошеннических инструментов​

Преступники убеждают игроков покупать мошеннические инструменты или методы. Когда игрок открывает его, инструмент устанавливает на его компьютер вредоносное ПО. Типичными целями являются такие популярные игры, как Fortnite, Minecraft и FIFA.

Как предотвратить DDoS-атаки, обновив сетевое оборудование​

Как давно вы пользуетесь маршрутизатором? Если прошло больше пары лет, вам следует обновить маршрутизатор до более современной версии. Старые маршрутизаторы подвергают ваш компьютер другим типам угроз, таким как перехват DNS .

Производители маршрутизаторов регулярно присылают обновления. Возможно, у вас уже установлена последняя версия программного обеспечения. Однако многие новые обновления имеют функции, которые могут блокировать DDoS-атаки и другие типы сетевых атак.