Троянские программы часто используются для запуска распределенных атак типа «отказ в обслуживании» (DDoS) против целевых систем, но только, что такое DDoS-атак и как они выполняются?
На самом базовом уровне атака распределенного отказа в обслуживании (DDoS) подавляет целевую систему данными, так что ответ от целевой системы либо замедляется, либо полностью прекращается. Для того, чтобы создать необходимый объем трафика, чаще всего используется сеть зомби или ботов.
DDoS, зомби и ботнеты
Зомби или ботнеты - это компьютеры, которые были скомпрометированы злоумышленниками, как правило, с помощью троянских программ, позволяя удаленно управлять этими системами с угрозами. В совокупности эти системы управляются для создания большого потока трафика, необходимого для создания DDoS-атаки.
Использование этих бот-сетей часто продается на аукционах и продается среди злоумышленников, поэтому система под угрозой может находиться под контролем нескольких преступников - каждая из них имеет другую цель. Некоторые злоумышленники могут использовать бот-сеть в качестве спам-реле, другие - в качестве сайта для загрузки вредоносного кода, а некоторые - для фишинговых атак и других для вышеупомянутых атак DDoS.
Как происходит DDoS-атака
Для облегчения атаки распределенного отказа в обслуживании можно использовать несколько методов. Двумя наиболее распространенными являются HTTP-запросы GET и SYN Floods. Одним из самых известных примеров атаки HTTP GET был червь MyDoom, который предназначался для веб-сайта SCO.com. Атака GET работает с указанием ее имени - она отправляет запрос на конкретную страницу (обычно главную страницу) на целевой сервер. В случае с червями MyDoom из каждой зараженной системы каждую секунду отправлялось 64 запроса. С десятками тысяч компьютеров, которые, по оценкам, были заражены MyDoom, атака быстро оказалась подавляющей на SCO.com, сбив ее в автономном режиме в течение нескольких дней.
SYN Flood - это, в основном, прерывание рукопожатия. Интернет-связь использует трехстороннее рукопожатие. Инициирующий клиент инициируется с SYN, сервер отвечает SYN-ACK, и тогда клиент должен отвечать ACK. Используя поддельные IP-адреса, злоумышленник отправляет SYN, в результате которого SYN-ACK отправляется на не запрашивающий (и часто несуществующий) адрес. Затем сервер ожидает ответа ACK безрезультатно. Когда большое количество этих прерванных SYN-пакетов отправляется на цель, ресурсы сервера исчерпаны, а сервер поддается SYN Flood DDoS.
Также можно запустить несколько других видов атак DDoS, включая атаки фрагмента UDP, наводнения ICMP и Ping of Death.
