Առարկա` Համակարգչային ցանցեր և ցանցային տեխնոլոգիաներ

Թեմա` Ցանցային հարձակումներ։ DDoS և DoS հարձակումներ

Ֆակուլտետ` Ինֆորմատիկա և վիճակագրություն
Բաժին` Տեղեկատվական համակարգեր
Կուրս ` Հեռակա 2-րդ
Դասախոս ` Ա․ Ղազարյան
Ուսանող` Զաքարյան Արթուր
Ստորագրություն`

ԵՐԵՎԱՆ 2024
 DDos և Dos հարձակումներ

DDoS - ը ցանցային հարձակման տեսակ է հիմնված հարձակման

ենթարկվող ծառայության ռեսուրսների անսահմանության վրա, որին
կատարվում են անթիվ հարցումներ, որոնք նա չի կարող հաղթահարել և
ստիպված է մերժել սպասարկումը կամ սպասեցնել բավականին երկար
ժամանակ, ահա այստեղից էլ նրա անվանումը:

DDoS հարձակումը (Distributed Denial of Service) կիբերհարձակման մի

տեսակ է, որի ընթացքում հարձակվողները փորձում են ծանրաբեռնել
թիրախային վեբ սերվերը կամ ցանցը ՝ միաժամանակ բազմաթիվ
աղբյուրներից հսկայական քանակությամբ հարցումներ ուղարկելով:
DDoS հարձակման նպատակն է զրկել լեգիտիմ օգտագործողներին
ռեսուրսի հասանելիությունից ՝ դրանով իսկ նվազեցնելով դրա
հասանելիությունն ու խոցելիությունը:
DDoS հարձակումների հիմնական հետեւանքները ներառում են առցանց
ծառայության ժամանակավոր կամ երկարատեւ անջատումը, շահույթի
կորուստը, ընկերության հեղինակության վնասումը, ինչպես նաեւ
օգտատերերի տվյալների անվտանգության հնարավոր սպառնալիքները:

2
 DDoS հարձակումների հիմնական
առանձնահատկություններն են

Բաշխում
Հարձակվողները օգտագործում են բոտնետեր (վնասակար
ծրագրով վարակված համակարգիչների ցանցեր)՝ հարձակումը
կազմակերպելու բազմաթիվ աղբյուրներից: Սա դժվարացնում է
արգելափակել հարձակումը, քանի որ այն գալիս է տարբեր IP
հասցեներից:

Ռեսուրսների օգտագործում
Հարձակումը տեղի է ունենում թիրախային համակարգի հաշվարկային
կամ ցանցային ռեսուրսների վրա, ինչպիսիք են պրոցեսորը սերվերները
կամ ցանցի թողունակությունը:

Հարցումների օրինաչափություն
3
Առաջին հայացքից հարցումները կարող են լեգիտիմ թվալ, բայց դրանց
ուղարկվող ծավալը կամ արագությունը դրանք դարձնում են
վնասակար:

DDoS հարձակման նպատակը

Հարձակման նպատակը սովորաբար կայքերն են, խաղային
սերվերները, առցանց հարթակները և այլ ռեսուրսներ, որոնք կախված
են օգտագործողների հասանելիությունից: Հարձակման հիմնական
նպատակն է ստեղծել այնպիսի իրավիճակ, երբ օգտվողները չեն կարող
մուտք գործել համակարգ գերբեռնվածության կամ արգելափակման
պատճառով:

DDoS հարձակումներից պաշտպանվելու ձևեր

DDoS հարձակումներից պաշտպանվելու համար
կազմակերպություններն օգտագործում են տարբեր տեխնիկա,
ներառյալ թրաֆիքի մոնիտորինգը, հարցումների զտումը, բեռի
բաշխումը և ամպային լուծումները: Կարևոր է նաև պարբերաբար

4
թարմացնել անվտանգության համակարգերը և ունենալ հարձակման
տված վնասների վերականգնման ծրագիր:

DoS հարձակման տեսակները

Հակերներին ավելի հեշտ է իրականացնել DoS հարձակում

համակարգի վրա, քան ձեռք բերել ամբողջական հասանելիություն
կայքին: Գոյություն ունեն տարբեր պատճառներ, որոնցից հնարավոր է
առաջանալ DoS պայմաններ, այսինքն` այնպիսի իրավիճակ, որի
դեպքում օգտատերերը չեն կարող ունենալ հասանելիություն
ռեսուրսներին, որոնք տրամադրում է սերվերը, կամ դրանց
հասանելիությունը էականորեն դժվարանում է:: Սովորաբար
չարագործները օգտվում են floodից։ Սա հարձակման ձև է՝ կապված մեծ
քանակությամբ սովորաբար անիմաստ կամ սխալ ֆորմատով
ձևակերպված հարցումներից` ուղղված համակարգչին կամ ցանցային
սարքավորումներին, որը բերում է համակարգի աշխատանքի մերժման`
համակարգի ռեսուրսների (պրոցեսսորի, հիշողության կամ կապի
ալիքների) սպառման պատճառով:
Գոյություն ունեն floodի մի քանի տեսակներ.

HTTP flood և ping flood

Սա DDoS հարձակման պարզագույն ձևն է: Թողունակության ալիքի

գերբեռնումը հնարավոր է իրականացնել սովորական ping հարցումների
միջոցով, միայն եթե հարձակում գործողի ալիքը ավելի լայն է զոհ-
համակարգչի ալիքից, որի արագությունը 128 Կբիտ/վրկ է: Սակայն
հարձակման նման ձևը անզոր է սերվերի դեմ, քանզի այն,իր հերթին,
ունի բավականին լայն թողունակության ալիք: Սերվերի վրա
հարձակման համար սովորաբար օգտագործվում են HTTP floodները:
Հարձակվողը ուղարկում է ծավալով փոքր HTTP փաթեթ, բայց
այնպիսին, որին սերվերը կպատասխանի փաթեթով, որի չափը
հարյուրավոր անգամ մեծ կլինի: Անգամ եթե սերվերի ալիքը տասն
անգամ լայն է հարձակում գործողի ալիքից, միևնույնն է՝ զոհի
թողունակության ալիքը գերբեռնելու մեծ հավանականություն կա:
Որպեսզի պատասխան HTTP փաթեթները չարագործի մոտ չառաջացնեն
ծառայության մերժում, նա ամեն անգամ փոխում է իր IP հասցեն ցանցի
IP հասցեով:

5
 Smurf հարձակում (ICMP flood)

Smurf հարձակումը կամ ICMP floodը

DoS հարձակման ամենավտանգավոր
տեսակներից մեկն է, քանի որ նման
հարձակումից հետո զոհ-համակարգչի
մոտ տեղի է ունենում սպասարկման
մերժում 100% երաշխիքով: Չարագործը,
ping հարցում ուղարկելով, ստուգում է
ցանցում աշխատող հանգույցները:
Պարզ է, որ չարագործը միայնակ չի կարող շարքից հանել զոհ-
համակարգիչը, դրա համար պահանջվում է ևս մեկ մասնակից : Դրա
միջոցով հեռարձակվող հասցեով չարագործը ուղարկում է կեղծ ICMP
փաթեթ: Այնուհետև հարձակվողի հասցեն փոխվում է զոհի հասցեով:
Բոլոր հանգույցները պատասխան կուղարկեն ping հարցմանը: Դրա
համար չարագործի կողմից ուժեղացնող կապով ուղարկված ICMP
փաթեթը, որը պարունակում է 200 հանգույց, կուժեղանա 200 անգամ:
Այդ պատճառով այսպիսի հարձակման համար սովորաբար ընտրվում է
մեծ ցանց, որպեսզի զոհ-համակարգիչը ոչ մի հնարավորություն
չունենա դիմակայելու:

Fraggle հարձակում (UDP flood)

Fraggle հարձակումը համարվում է Smurf
հարձակման համարժեքը, որտեղ ICMP
փաթեթի փոխարեն օգտագործվում են UDP
փաթեթներ, դրա համար այն նաև անվանում
են UDP flood: Այդ հարձկման աշխատանքի
սկզբունքը պարզ է. զոհի 7-րդ պորտին
ուղարկվում են echo հրահանգներ
լայնահեռարձակման հարցմամբ: Այնուհետև
չարագործի IP հասցեն փոխվում է զոհի IP
հասցեով, որը շուտով ստանում է բազմաթիվ պատասխան
հաղորդագրություններ: Նրանց քանակը կախված է ցանցի
հանգույցների քանակից: Այս հարձակումը բերում է թողունակության
ալիքների գերբեռնման և զոհի սպասարկման ամբողջական մերժման:
Եթե այնուամենայնիվ echo ծառայությունը անջատված է, ապա
6
կստեղծվեն ICMP հաղորդագրություններ, որը ևս բերում է ալիքի
գերբեռնվածության:

«Ծանր» փաթեթների ուղարկում

Հարձակվողը ուղարկում է սերվերին փաթեթներ, որոնք չեն գերբեռնում
թողունակությունը, բայց ծախսում են նրա պրոցեսորային ժամանակը:
Համակարգչի սերվերը, դրանք մշակելիս, ի վիճակի չի լինի գլուխ հանել
բարդ հաշվարկներից: Այդ պատճառով տեղի կունենա խափանում և
օգտատերերը չեն ունենա հասանելիություն անհրաժեշտ ռեսուրսներին:

Սերվերի գերբեռնում log ֆայլերով

Սերվերի log ֆայլերը այն ֆայլերն են, որտեղ գրանցվում է ցանցի կամ
ծրագրի օգտատերերի գործունեությունը: Որակավորում չունեցող
ղեկավարը կարող է համակարգի սխալ կարգավորումներ տալ իր
սերվերի վրա՝ չտեղադրելով սահմանված չափ: Հակերը կօգտվի այդ
սխալից և կուղարկի ծավալով մեծ փաթեթներ, որոնք շուտով
կզբաղեցնեն սերվերի կոշտ սկավառակի ամբողջ ազատ տեղը: Բայց այս
հարձակումը կաշխատի միայն անփորձ ղեկավարի դեպքում, որակյալ
մասնագետները պահում են լոգ ֆայլերը համակարգի առանձին
սկավառակի վրա:

Երկրորդական հարձակում
Սա հարձակում է, որը ձգտում է առաջացնել համակարգի
պաշտպանության կեղծ գործարկում և այդպիսով առաջ բերել ռեսուրսի
անհասանելիություն:

Ծրագրավորման սխալներ
DoS հարձակումներ իրականացնող մասնագետները չեն օգտագործում
հարձակման այնպիսի պարզունակ եղանակ, ինչպիսին է
թողունակության ալիքների գերբեռնումը: Ամբողջությամբ
տիրապետելով զոհի համակարգի կառուցվածքին, նրանք գրում են
ծրագրեր, որոնք օգնում են հարձակում կատարել
կազմակերպությունների և կոմերցիոն հիմնարկների բարդ
համակարգերի վրա: Ամենից հաճախ դրանք սխալներ են կապված
ծրագրային կոդի հետ, որոնք հանգեցնում են անդրադարձի հասցեի
7
դաշտի չօգտագործվող մասում, անթույլատրելի հրահանգների
կատարման կամ այլ բացառիկ իրավիճակի, երբ կատարվում է սերվերի
ծրագրի վթարային դադարեցում:

Պաշտպանություն DDoS հարձակումներից

Ներկայումս անհնար է ամբողջությամբ պաշտպանվել DDoS
հարձակումներից, քանի որ կատարելապես ապահով համակարգեր չեն
լինում: Այստեղ մարդկային գործոնը ևս շատ մեծ դեր է խաղում, քանի
որ համակարգի ղեկավարի ցանկացած սխալ կարող է հանգեցնել
բավականին անցանկալի հետևանքների: Սակայն, չնայած այս ամենին,
ներկայումս գոյություն ունեն բազմաթիվ ինչպես ծրագրա-
սարքավորումային պաշտպանության միջոցներ, այնպես էլ
դիմադրության կազմակերպված մեթոդներ: DDoS հարձակումների
դիմադրության եղանակները կարելի է բաժանել երկու խմբի՝ պասիվ և
ակտիվ։
Պետք է ժամանակին հայտնաբերել DDoS հարձակման պատճառները,
որից հետո անել հետևություններ՝ ապագայում նման հարձակումներից
խուսափելու համար: Կիրառելով տեխնիկական և իրավական քայլեր,
պետք է հնարավորինս ակտիվորեն ազդել DDoS հարձակման աղբյուրի և
հեղինակի վրա: Ներկայումս կան անգամ հատուկ ընկերություններ,
որոնք օգնում են ոչ միայն գտնել հարձակումը կատարած մարդուն, այլ
նաև կազմակերպչին:
Ռեսուրսների ստեղծում
Կատարյալ պաշտպանություն, իհարկե, չի ապահովում, բայց լավ
հենարան է հանդիսանում DDoS հարձակումների դեմ կիրառվող
պաշտպանության այլ տեսակների համար:
Տարծում
Համակարգի ապակենտրոնացում և կրկնօրինակում, որը թույլ կտա
չդադարեցնել աշխատանքը, եթե անգամ որոշ տարրեր DDoS
հարձակման արդյունքում անհասանելի լինեն:
Խուսափում
Հարձակման անմիջական թիրախի (դոմենի անուն կամ IP հասցե)
հեռացում այլ ռեսուրսներից, որոնք ևս հաճախ ենթարկվում են
հարձակման հիմնական թիրախի հետ միասին: Ինչպես նաև, DDoS
հարձակումներն անդրադարձնող սարքավորումների կիրառում. օրինակ՝

8
DefensePro® (Radware), SecureSphere® (Imperva),Arbor Peakflow®,
Riorey, Impletec iCore և այլն։

ԵԶՐԱԿԱՑՈՒԹՅՈՒՆ
Հնարավորինս պետք է զերծ մնալ վտանգավոր կայքերից, կիրառել
DDoS հարձակումներն անդրադարձնող սարքավորումներ, ինչպես
նաև ծրագիրը ճիշտ կազմել՝ առանց սխալների

9
 Աղբյուրներ
https://with.do.am/publ/
inch_en_ddos_dos_hardakowmnery/1-1-0-7
https://hy.wikipedia.org/wiki/DoS

10
 ԲՈՎԱՆԴԱԿՈՒԹՅՈՒՆ
DDos և Dos հարձակումներ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 2
DDoS հարձակումների հիմնական
Առանձնահատկություններ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 3
DoS հարձակման տեսակները․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 5
Պաշտպանություն DDoS հարձակումներից․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․ 8
Եզրակացություն․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․
․․․ 9
Աղբյուրներ․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․․
10

11