|
В период ориентировочно с 02 часов до 16 часов 15.09.2007 года зафиксировано резкое возрастание прохождение трафика как в сторону клиентов, так и в сторону Интернет.
При анализе ситуации, выявлен факт DDoS атаки в городской сети.
Компьютеры пользователей сети, работавших в данный период в сети, подверглись атаке. Компьютеры, на которых не установлено антивирусное ПО, не установлен и настроен должным образом firewall, с большой степенью вероятности могут быть заражены и выступать в роли агента цепочки DDoS.
Характер атаки выразился в резко возросшем прохождении трафика на клиента, что является следствием сканирования открытых портов и рассылки множественных сообщений на открытые порты с целью вывести узел из строя.
Убедительная просьба к пользователям городской компьютерной сети в обязательном порядке провести проверку системы на предмет наличия вирусов. Произвести обновление антвирусного ПО, по возможности установить и настроить firewall.
Для проверки можем рекомендовать бесплатный сканер DrWeb Cureit. Взять его можно либо на оффициальном сайте программы www.drweb.com или на городском FTP-сервере "ftp://10.0.0.3/AntiVir/DrWebCureit/cureit(15-09-2007).exe".
Для предотвращения фактов неконтролируемого расхода денежных средств, находящихся на балансе лицевых счетов пользователей, просим регулярно производить контроль за состоянием своего счета и при резком увеличении потребялемого трафика, своевременно сообщать в "Центр сервисного обслуживания" или "Службу технической поддержки". Резко возросшее потребление трафика (выше обычного) может являться результатом работы вирусов.
В случае обнаружения данного факта, настоятельно рекомендуем выключить доступ в Интернет в "личном кабинете пользователя" до выяснения причин.
Как защититься от DDoS-атак?
Хакерские атаки на серверы типа "отказ от обслуживания" (DoS) становятся с каждым днем все более изощренными и разнообразными. Постоянно появляется необходимость во все более сложных и эффективных инструментах защиты.
В частности, тема защиты от таких атак была центральной на октябрьской конференции Североамериканской группы сетевых операторов (NANOG). Как отмечали докладчики, все более широкое применение получают так называемые DDoS, "распределенный отказ от обслуживания". Технология DDoS атак подразумевает метод грубой силы - атакующий тем или иным способом пытается "забить" канал, открывает максимально возможное количество соеденений на тот или иной сервис. Также злоумышленник может посылать большое количество определенного типа пакетов на хост, и тем самым попытаться вывести из строя работающую на нем операционную систему. Как правило, в таком случае система на том хосте не успевает обработать все пакеты, происходит переполнение буфера и ОС перегружается или виснет.
Особенно чутки к таким воздействиям бывают системы семейства Windows: такие машины легче поддаются воздействию хакерских атак и быстрее отключаются. Например, специалистом агентства "Рустар" был замечен факт, когда от огромного количества ICMP пакетов (команда ping) на канале в 10 мегабит Windows NT не выдерживала и 5-ти минут, а Windows 9.x еще меньше. Дело в том, что эти системы, несмотря на свою простоту в управлении, с технической точки зрения сделаны достаточно "сыро", особенно когда речь идет о реализации стека протоколов TCP/IP. Понятно, что найти альтернативу Windows порой невозможно, поэтому это еще раз должно натолкнуть руководства компаний на применение современных средств сетевой защиты, а специалисты интернет компаний должны еще раз ответить себе на вопрос - а можно ли отказаться от использования Windows как ОС для их серверов.
Кстати, участники американской конференции теоретически не исключили использования злоумышленниками в своих целях целых каскадов маршрутизаторов, что сможет привести к парализации на время всей инфраструктуры Интернета. Единственная надежда - на специалистов по компьютерной безопасности и на надежные системы защиты.
О том, как защититься от атак типа DoS и DDoS, рассказал сотрудник отдела компьютерной безопасности интернет-агентства Рустар Сергей Слезко.
- Для небольших и средних компаний, имеющих локальные сети с каналом в Интернет, можно посоветовать использовать межсетевые экраны. Это, как правило, отдельно стоящий компьютер или маршутизатор, который пропускает через себя трафик из нескольких, строго определенных, сетей, причем, естественно, контролируемый трафик должен физически (!) проходить через этот экран. Сетевая ОС на этом экране (Firewall) осуществляет фильтрацию трафика с последующей его логической обработкой. Например, можно настроить Firewall таким образом, что из защищенной сети можно будет заходить в Интернет, тогда как "из внешнего мира" подключиться к какой-нибудь рабочей станции будет невозможно, несмотря на доступность этой сети из Интернета. Firewall будет "отсекать" попытки подсоединиться к рабочей станции (распространенный вид DDoS когда взломщик подключается к 139 порту Windows и вызывает зависание этой ОС) или , к примеру, можно лимитировать канал на тот или иной трафик, например, если сделать лимит на ICMP трафик не более 50 кбит/с, то забить тот или иной канал уже намного сложнее. Такие системы должны настраивать специалисты, т.к. существует много тонкостей в протоколах TCP/IP.
Конечным пользователям можно посоветовать системы защиты индивидуального характера, такого рода программы есть и для Windows. Но применять его советую лишь в случаях, когда нет возможности поставить отдельно Firewall (как правило, это пользователь, подключившийся по dial-up), поскольку в отличие от сетевых ОС, которые изначально ориентированы на работу с трафиком, это лишь своего рода "надстройка" над Windows, и, естественно, невозможно так же надежно контролировать трафик. Хотя это все же лучше чем "лезть" в Интернет с "открытой" Windows.
|
Город
О городе
Акции 
Назад
