В случае атаки распределенного отказа в обслуживании (Distributed Denial of Service, DDoS) злоумышленник сначала получает доступ к множеству хостов Интернета (например, путем анализа пакетов), затем, как показано на рис.26, устанавливает и запускает на каждом узурпированном им хосте подчиненную программу, ожидающую команды от управляющей программы. Когда количество взломанных хостов достигает определенного уровня, управляющая программа связывается с подчиненными программами, давая им команду начать атаку на выбранный хост. В результате атакуемый хост попадает под шквал пакетов, обработать которые он не в состоянии.

В феврале 2000 года атаки отказа в обслуживании попали в заголовки газет, когда были атакованы такие web-сайты, как eBay, Yahoo и CNN . Защититься от DoS-атак трудно, а от DDoS-атак еще труднее. Фильтровать пакеты в этом случае сложно, так как трудно отличить «хорошие» дейтаграммы от «плохих». Например, как может фильтрующий пакеты брандмауэр отличить SYN-пакет, посланный для установки легального TCP-соединения (например, от пользователя, желающего что-либо купить на web-сайте компании) от SYN-пакета, посланного злоумышленником для связывания ресурсов сервера. Использование фальшивых IP-адресов затрудняет обнаружение реального источника атаки. В ряде недавних исследований рассматривались методы маркировки IP-заголовков при прохождении их через маршрутизаторы, что позволило бы отследить источник DoS-атаки. Как только узурпированный хост идентифицирован, его можно временно изолировать, хотя, как правило, это медленный процесс, требующий участия человека. Отражение DDoS-атак представляет собой еще более сложный и долгий процесс.

Your comment:

Name:
E-mail/HTTP:
Are you robot?

Remember Me