Защита от dos в роутере что это
В процессе повышения навыков работы с Mikrotik и RouterOS в частности, очень важно иметь в своем распоряжении дополнительное устройство RouterBOARD для возможности проведения разнообразных экспериментов. Почему это так важно?
Операционная система RouterOS кардинально отличается от программного обеспечения, использующегося в домашних и SOHO-маршрутизаторах. Функциональные возможности ROS уже из коробки превосходит возможности таких систем как OpenWRT, DD-WRT и NDMS 2 (используется в устройствах Zyxel Keenetic).
Функций RouterOS настолько много, что среднестатистический сетевой администратор попросту не владеет достаточными знаниями и опытом для работы со всеми функциями устройства.
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.- MTCWE (MikroTik Certified Wireless Engineer) – расширенный углубленный курс по настройке беспроводных сетей;
- MTCRE (MikroTik Certified Routing Engineer) – расширенный углубленный курс по статической и динамической маршрутизации;
- MTCTCE (MikroTik Certified Traffic Control Engineer) – расширенный углубленный курс по управлению траффиком и QoS;
- MTCUME (MikroTik Certified User Management Engineer) – расширенный углубленный курс по управлению пользователями и авторизацией (VPN, HotSpot, IPsec и т.д.);
- MTCIPv6E (MikroTik Certified IPv6 Engineer) – расширенный углубленный курс по работе с IPv6;
Для того, чтобы получить сертификат MTCINE, обязательно требуется иметь сертификаты MTCNA и MTCRE. Курсы MTCINE нацелены на сетевых инженеров, работающих на уровне провайдера. Среди тем, которые изучаются в рамках данных курсов – использование BGP и MPLS.
Как видите, у Mikrotik имеются отдельные курсы по разным направлениям. Базовым сертификатом является MTCNA, который гарантирует наличие базовых знаний по работе с RouterOS.
В реальных условиях далеко не каждый специалист, работающий с Mikrotik, имеет даже базовый сертификат. Чего уже говорить о домашних пользователях и сотрудниках малого и даже среднего бизнеса. Лично у меня сертификата MTCNA нет, желание правда есть, а вот лишние деньги и время отсутствуют.
К чему все это и почему я сделал столь большое лирическое вступление?
Про последствия неправильной настройки Mikrotik я уже писал, причем на реальных примерах. Несмотря на мое уведомление, один из провайдеров по сей день не закрыл уязвимости в своей сети, и таких примеров найдутся тысячи.
Именно поэтому при работе с Mikrotik для продвинутых пользователей важно хранить логи и иметь дополнительное устройство, на котором можно тестировать различные конфигурации.
В отличие от обычных маршрутизаторов, в Mikrotik достаточно легко наделать ошибок в настройках Firewall, если настраивать систему с ноля по чужим инструкциям или же бездумно добавлять/менять правила.
С чего все началось?
На домашнем тестовом маршрутизаторе RB951Ui-2HnD у меня уже есть гостевая сеть, Queues, HotSpot, WebProxy, Policy Based Routing, IPsec и прочие надстройки. Буквально на днях я решил протестировать дополнительные настройки Firewall с реализацией базовой защиты от DDoS.
- жирный интернет-канал, от 10 Гбит и выше
- наличие резервного канала
- высокопроизводительное оборудование
Но сейчас не об этом. В ряде случаев и конфигураций, уложить «микротик» на лопатки очень просто. Банально, многие владельцы данных устройств страдают от внешних запросов на ихний DNS извне, что приводит к ненужной нагрузке на CPU. Как закрыть доступ к DNS, описывалось ранее, кто пропустил – обратите внимание на пункт 3.
Сейчас, опять же, немного не об этом. На официальном Wiki Mikrotik имеется инструкция под названием « DoS attack protection », именно эту публикацию многие берут за основу, многие её адаптировали под себя, некоторые ресурсы и вовсе просто перепубликовали. В любом случае, в результатах поисковой выдачи это один из первых вариантов.
И тут срабатывает человеческий фактор, ведь реализация описана на официальном Wiki, что в ней может быть не так?
«DoS attack protection» с оговоркой…
Существуют такие термины как DoS и DDoS, сразу оговорюсь, первый термин не стоит путать с MS-DOS, это совершенно разные вещи.
DoS является сокращением от английского «Denial of Service», иными словами отказ в обслуживании. DoS возникает тогда, когда ресурсы CPU загружены на 100%, вследствие чего маршрутизатор может стать недоступным (unreachable).
Соответственно термин DDoS является сокращением от Distributed Denial of Service, т.е. распределенных атак. Такие атаки осуществляются с разных IP и даже целых подсетей, способных генерировать огромные объемы траффика. Для примера, не так давно сервис GitHub был атакован ботнетом с суммарной пропускной способностью 1.35 терабит/сек, после чего сервис попросту «упал» на 10 минут. Владельцу ресурса удалось восстановить полную работоспособность уже через 8 минут, но для этого потребовались огромнейшие вычислительные ресурсы ЦОДов. Ваш домашний или корпоративный маршрутизатор, в случае наличия внешнего белого IP также может подвергнуться самым разнообразным атакам.
В RouterOS ресурсы процессора задействуют многие операции по пакетной обработке, в частности это работа Firewall (Filter, NAT, Mangle), логирование событий, очереди (Queues) – в случае большого количества поступающих пакетов, все это может привести к перегрузке маршрутизатора.
На данный момент не существует идеального решения для противодействия DoS-атакам. Запомните, абсолютно любой сервис может быть перегружен чрезмерно большим количеством запросов.
Тем не менее, существуют методы для минимизации воздействия небольших атак подобного типа. Конечно, если у вас подключение 100 Мбит, от атаки 1 Гбит это вас не защитит. А вот если атака меньше, но использует особенности и/или уязвимости конфигурации, согласитесь, иметь загрузку CPU в 30-60% куда лучше, нежели 100% и полный отказ.
Одним из наиболее эффективных методов атаки является SYN-флуд . Суть атаки заключается в отправке большого количества SYN-запросов на установку TCP-соединения, на которые маршрутизатор должен давать ответ SYN+ACK. Все это отнимает у маршрутизатора ресурсы, в то время как атакующий может игнорировать ответы, что в свою очередь привод к большому количеству полу-открытых соединений (half-open connection) без большой загрузки атакующей стороны. Такие соединения «висят» некоторое время «в воздухе», после чего маршрутизатор закрывает их по таймауту. Проблема состоит в том, что пакеты обрабатываются в порядке очередности и при наличии достаточного количества «мусора», маршрутизатор попросту перестанет обрабатывать запросы от обычных клиентов.
Для просмотра текущих соединений в Terminal можно прибегнуть к команде
А также
Если же вы захотите посмотреть статистику по отдельному интерфейсу, используйте следующий синтаксис:
Для просмотра ресурсов, используйте команду:
Собственно, весь этот функционал продублирован в Winbox, я лишь дублирую информацию из публикации на Wiki.
Как бороться с большим числом соединений?
Для этого нам предлагают воспользоваться командой:
Где LIMIT необходимо заменить на число от 100 и выше. Суть правила в том, что при превышении указанного числа соединений, удаленный IP-адрес будет внесен в черный список (blacklist-ddos) на 1 час. Название списка и таймаут можете поменять по своему усмотрению, главное в последующих командах использовать правильный address-list.
Далее для IP из черного списка необходимо произвести обработку пакетов. Однако, вместо стандартного отброса пакетов «action=drop», нам предлагают выполнять «action=tarpit».
Действие «tarpit» приводит к «захвату» и удержанию TCP-соединений, сам маршрутизатор при этом дает ответ SYN/ACK на входящий TCP SYN. На мощных маршрутизаторах это будет приводить к замедлению атакующего (в теории).
Также можно использовать обычный action=drop, чтобы отбрасывать пакеты даже не отвечая на них. Пробуйте экспериментировать с разными настройками. Ни в коем случае не используйте reject, т.к. он предполагает наличие ответа, который будет отнимать ресурсы.
Далее предложен следующий механизм выявления и обработки SYN-флуда
Обратите внимание, все вышеперечисленные правила необходимо переносить в самый верх Firewall, иначе они попросту не будут работать.
При этом маршрутизатор не будет держать соединение открытым. В случае получения корректного ACK и номеров последовательности от клиента, маршрутизатор восстановит сессию. В то же время, маршрутизатор забракует сессию и не будет восстанавливать соединения в случае, когда номер последовательности неверный, чем обеспечивается защита от подмены ACK.
Таким образом, потенциальный злоумышленник не может обойти межсетевые экраны с SYN cookie, путем простой отправки ACK-пакетов с произвольным номером последовательности.
Переходим к практике
Данную инструкцию я взял за основу и добавил на 2 маршрутизатора. На первом маршрутизаторе в Firewall были добавлены немного измененные правила.
В момент правки правил на втором (тестовом) устройстве меня немного отвлекли и я добавил правила «как есть», не внеся всех изменений.
Чтоб вы правильно понимали, проверку SYN flood необходимо выполнять в первую очередь на цепочке input, т.к. жертвой злоумышленника является именно внешний IP. В то время как цепочка forward отвечает за транзитный траффик, проходящий через маршрутизатор, например, от клиента за NAT в интернет.
Несколькими часами позже я играл в WOT и ощутил фризы, после чего меня и вовсе выкинуло из сервера, а сам тестовый RB951Ui-2HnD ушел в перезагрузку. Собственно о перезагрузке роутера я понял по звуку встроенного бипера, который при запуске у меня дополнительно проигрывает ноты из «Star Wars - The Imperial March».
Но чем были вызваны фризы и автоматическая перезагрузка маршрутизатора? Вариант с перебоями питания исключаем сразу, т.к. устройство подключено через ИБП.
Установлена актуальная RouterOS 6.42.3, новых users не прибавилось, в files ничего подозрительного.
Заходим в Gparhing и наблюдаем следующую картину:
На графиках просматривается практически 100% загрузка CPU и высокая загрузка RAM при не таком уж и большом траффике на WAN-порту. Впрочем, старенький AR9344 не самый производительный процессор.
Все очень просто, на втором маршрутизаторе я не успел внести правки в правила Firewall. Всему виной action=accept для syn-пакетов. В случае с forward это не так страшно, как для input. Действие «Accept» приводит к тому, что Firewall одобряет пакет, и далее к ним уже не применяются остальные правила.
Вышеперечисленные фильтры осуществляют только фильтр по количеству пакетов, не более, поэтому все пакеты, прошедшие фильтр необходимо далее обрабатывать стандартными правилами.
Для этого воспользуемся action=return. Действие return осуществляется возврат пакета в предыдущий chain, для последующей обработки.
В заключение
На конкретном примере показано насколько важным является понимание всех тех действий, которые вы проводите с конфигурацией маршрутизатора. Никто не застрахован от чужих ошибок, всего 1 ошибка может привести к серьёзным последствиям и нарушить безопасность устройства и сети в целом. После того, как вы убедились в отсутствии ошибок, перепроверьте конфигурацию за собой повторно.
Описанная реализация защиты от DoS-атак и SYN-флуда базовая, она поможет защитить ваше устройство и сеть от перегрузок, вызванных примитивными атаками злоумышленников. В то же время повторюсь, для защиты от полноценных DDoS-атак этого будет недостаточно.
Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)
Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.
В сегодняшнем материале речь пойдет о вариантах защиты о DDoS-атак:
- на уровне провайдера
- на уровне сетевого оборудования распределения и доступа
- на уровне конфигурирования системного и прикладного ПО
А пока небольшой экскурс в теорию вопроса, что бы лучше понимать что и как работает
Чаще всего DDoS-атаки делят на четыре основных типа:
- Объемные атаки.При таких атаках создается трафик такого объема, который превышает пропускную способность канала организации.
- Атаки на приложения.С помощью сложных запросов, на выполнение которых требуются значительные ресурсы, выводятся из строя ключевые приложения, определяющие функционирование информационной системы в целом.
- Другие инфраструктурные атаки.Сюда входят атаки, не входящие в предыдущие типы, но также направленные на вывод из строя сетевого оборудования или серверов.
- Гибридные атаки. К этому виду относятся сложные атаки, сочетающие в себе сразу несколько типов атак, перечисленных в первых трех пунктах.
Рассмотрим наиболее распространенные виды DoS-атак:
Обнаружение DoS-атаки
- Огромное количество ARP-запросов;
- Огромное количество записей в NAT/PAT-таблице;
- Повышенное использование памяти маршрутизатора;
- Повышенное использование процессорного времени маршрутизатора.
Для обнаружения симптомов DoS-атаки вам нужно подключиться к своему маршрутизатору и, используя диагностические утилиты операционной системы маршрутизатора, выяснить, имеет ли место DoS-атака.
Например, в Cisco IOS просмотреть использование процессора можно с помощью команды
При обычной настройке маршрутизатор показывает, сколько пакетов было запрещено, но он не предоставляет подробной информации об этих пакетах. Чтобы была возможность отслеживать DoS-атаки, нужно специальным образом настроить ACL. Это позволит нам не только увидеть, сколько пакетов отброшено, но и проанализировать причину запрещения пакетов. Например, можно добавить в ACL следующие правила:
Технология NetFlow используется для получения статистики по потокам данных, проходящих через оборудование Cisco. NetFlow использует потоки для идентификации трафика. Cisco идентифицирует каждый поток по следующим параметрам: IP-адресам отправителя и получателя, типу протокола (TCP, UDP), номерам портов протоколов TCP и UDP, типу сервиса, номеру входящего физического интерфейса и т.д. Все это позволяет получить полную информацию о трафике, проанализировав которую можно определить тип DoS-атаки.
Некоторые маршрутизаторы поддерживают технологию перехвата TCP-соединений (в Cisco она называется TCP Intercept). Данная технология успешно используется против TCP SYN-атак.
Данная технология весьма эффективно зарекомендовала себя при борьбе с TCP SYN-атаками. Для включения TCP Intercept в Cisco IOS используется команда:
access-list <номер ACL> deny icmp any any unreachable
Использование системы обнаружения вторжения IDS (Intrusion Detection System) позволяет уберечься от многих видов атак, в том числе и от DoS. Система IDS может быть установлена как на сервере, так и на маршрутизаторе. Некоторые модели маршрутизаторов оснащены встроенными IDS.
И так резюмируем, общие команды выявления DoS - атаки
access-list 100 deny icmp any any echo reply log-input
BGP blackhole (Использование метода "Черной дыры" с помощью протокола BGP)
Этот метод позволяет полностью прекратить поток трафика на атакуемый сервер и снять нагрузку с каналов AS и провайдера.
Blackhole позволяет управлять трафиком на уровне провайдера, до попадания в нашу AS. Он эффективен для борьбы с крупными атаками на пропускную способность канала.
Схематически метод рекурсивного blackhole показан ниже:
Метод практического применения показан на примере маршрутизаторов Juniper, но может быть реализован на оборудовании любого вендора.
Сначала необходимо создать определенный community для обозначения префиксов установленных в blackhole:
set policy-options community TEST_blackhole members 1:666
Далее создаем Policy для импорта префиксов от нашего пира, выбираем из них префиксы с community blackhole и заворачиваем их в Null (в Juniper это discard):
[edit policy-options policy-statement Blackhole-import]
Назначаем этот policy-statement на eBGP сессию для импортируемых (получаемых) префиксов от клиентов.
Аналогичным образом, сначала, создается community для обозначения префиксов установленных в blackhole:
set policy-options community TEST_blackhole members 1:666
Значения те же самые как и на стороне провайдера, с той лишь разницей, что номер AS должен соответствовать AS провайдера, то есть, кто выдает community тот и устанавливает его обозначение. Далее создаем policy-statement для добавления community к префиксам которые надо передавать маршрутизатору ISP.
Префиксы выбираются из static маршрутов. Так как маршрутизатор изначально знает только о сетях больше /32, специфичный префикс нужно создавать отдельно. Как видно из правила from, этот policy-statement будет выбирать все статические маршруты с тегом 666 (номер тега может быть любым). Назначаем этот policy-statement в качестве фильтра export на eBGP сессию к нашему провайдеру. Теперь, если есть необходимость поставить адрес сервера в blackhole создаем статический маршрут /32 на нашем маршрутизаторе.
Например, для установки в blackhole адреса указанного на схеме надо выполнить команду:
set routing-options static route 1.1.1.1/32 discard tag 666
Посмотрим, как это работает на примере маршрутизаторов Cisco
! Нужно выбрать произвольный IP и завернуть его в null0.
! Разрешаем клиенту анонсировать /32 из своего блока
! Даже если клиент подключен без использования ebgp multi-hop, эта строчка
! необходима из-за особенностей работы ios. Т.к. для оценки достижимости netxhop-а
! в cisco используется тот же параметр, что и ebgp multi-hop.
! На статические маршруты с тэгом 666 устанавливаем community 0:666
! Разрешаем редистрибуцию статических маршрутов по нашему фильтру
Итак, если пришла пора биться с DDoS, клиент просто добавляет маршрут в Null на атакуемый хост и вешает на него тэг 666:
Этот маршрут с community 666, анонсируется ISP, который также заворачивает трафик в null0.
Данный функционал позволяет осуществлять фильтрацию и контроль служебного трафика, предназначенного для маршрутизатора и процессора маршрутизации.
Обычно, доступ к собственным адресам маршрутизирующего оборудования необходим только для хостов собственной сети оператора связи, однако бывают и исключения (например, eBGP, GRE, туннели IPv6 over IPv4, и ICMP). Инфраструктурные списки контроля доступа:
- обычно устанавливаются на границе сети оператора связи ("на входе в сеть");
- имеют целью предотвратить доступ внешних хостов к адресам инфраструктуры оператора;
- обеспечивают беспрепятственный транзит трафика через границу операторской сети;
- обеспечивают базовые механизмы защиты от несанкционированной сетевой активности, описанные в RFC 1918, RFC 3330, в частности, защиту от спуфинга (spoofing, использование поддельных IP адресов источника с целью маскировки при запуске атаки).
Рекомендуется всегда, когда это возможно, обеспечивать аутентификацию хостов, с которыми производится обмен служебными данными либо трафиком управления.
Управляемые черные дыры (Remotely Triggered Blackholes) используются для "сбрасывания" (уничтожения, отправления "в никуда") трафика, поступающего в сеть, путем маршрутизации данного трафика на специальные интерфейсы Null 0. Данную технологию рекомендуется использовать на границе сети для сброса содержащего DDoS-атаку трафика при его поступлении в сеть. Ограничением (причем существенным) данного метода является то, что он применяется ко всему трафику, предназначенному для определенного хоста или хостов, являющимися целью атаки. Таким образом, данный метод может использоваться в случаях, когда массированной атаке подвергается один или несколько хостов, что вызывает проблемы не только для атакуемых хостов, но также и для других абонентов и сети оператора связи в целом.
Управление черными дырами может осуществляться как вручную, так и посредством протокола BGP.
Управление QoS через BGP (QPPB) полволяет управлять политиками приоритета для трафика, предназначенного определенной автономной системе либо блоку IP-адресов. Данный механизм может оказаться очень полезен для операторов связи и крупных предприятий, в том числе и для управления уровнем приоритета для нежелательного трафика или трафика, содержащего DDoS-атаку.
В некоторых случаях требуется не полностью удалять трафик с использованием черных дыр, а отводить его в сторону от основных каналов или ресурсов для последующего мониторинга и анализа. Именно для этого и предназначены "отводные каналы" или Sink Holes.
6. Sink Holes используются чаще всего в следующих случаях:
- для отвода в сторону и анализа трафика с адресами назначения, которые принадлежат адресному пространству сети оператора связи, но при этом реально не используются (не были выделены ни оборудованию, ни пользователям); такой трафик является априори подозрительным, так как зачастую свидетельствует о попытках просканировать или проникнуть в вашу сеть злоумышленником, не имеющим подробной информации о её структуре;
- для перенаправления трафика от цели атаки, являющейся реально функционирующим в сети оператора связи ресурсом, для его мониторинга и анализа.
Классификация трафика с целью фильтрации паразитного потока
Итак, первое что надо запомнить, что маршрутизатор по умолчанию не блокирует на интерфейсе никакой нормальный трафик (фреймы с неправильной контрольной суммой не счёт). Однако, часть пакетов, при более глубоком рассмотрении (процессором) маршрутизатор таки признает ненужными, например:
3. Пакеты, относящиеся к служебным протоколам (например, протоколам маршрутизации), которые не запущены на маршрутизаторе.
Эти уничтоженные пакеты могут сыграть злую шутку: если такого трафика будет много, то он может существенно загрузить процессор маршрутизатора.
Далее, кроме транзитного трафика, маршрутизатор обрабатывает некоторый служебный трафик (направленный на него самого). Часто по умолчанию (или незнанию) на маршрутизаторе запущены ненужные для работы протоколы. Они опасны тем, что маршрутизатор обрабатывает пакеты этого протокола. И можно устроить, например, DoS атаку, узнать удалённо сведенья, не предназначенные для распространения или исследовать топологию сети. К таким протоколам относятся
1. TFTP (маршрутизатор может выступать сервером TFTP).
2. BOOTP (может раздавать бездисковым станциям их файлы настройки)
3. DHCP (Маршрутизатор может выступать сервером и клиентом)
7. NTP (Network Time Protocol. Маршрутизатор может выступать сервером и клиентом)
8. DNS (Включен по умолчанию броадкастовый поиск ДНС серверов в сегменте)
10. SNMP (Часто сконфигурированы дефолтные community)
Хотелось бы научиться отбрасывать такие пакеты, не нагружая мозг. Также, часто возникает задача ограничить нагрузку служебным трафиком на процессор. Например, указав максимальное количество служебных пакетов (всего или по отдельным протоколам) в очереди или количество служебных пакетов в секунду.
Эти задачи решаются при помощи специального режима
Чтобы воспользоваться этой технологией можно создать специальные классы трафика
class-map type?
access-control access-control specific class-map
control Configure a control policy class-map
inspect Configure CBAC Class Map
logging Class map for control-plane packet logging
port-filter Class map for port filter
queue-threshold Class map for queue threshold
stack class-map for protocol header stack specification
Создать специальную политику (Policy-map type )
policy-map type?
access-control access-control specific policy-map
control Configure a control policy policy-map
inspect Configure CBAC Policy Map
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting
И применить её в этом режиме:
control-plane host
service-policy type?
logging Control-plane packet logging
port-filter Control-plane tcp/udp port filtering
queue-threshold Control-plane protocol queue limiting
Ограничение же нагрузки на мозг служебными пакетами организуется похоже, только для этого достаточно описать обычный класс трафика, обычную политику, где в качестве действия указать ограничение словом police
police rate [units] pps
Наш роутер, несомненно, очень важен для навигации по сети. Это означает, что мы должны постоянно защищать его и не допускать ошибок, которые могут помешать его нормальному функционированию. В этой статье мы поговорим о DDoS-атаки на роутер . Мы собираемся объяснить, из чего он состоит, как он может повлиять на нас и, самое главное, что делать, чтобы не стать жертвами этой проблемы.
Что такое DDoS-атака
Прежде всего, мы собираемся объяснить, какие DDoS-атаки могут повлиять на наши сетевые устройства состоит из. И да, это может повлиять и на домашний роутер. Это угроза, заключающаяся в распределенном отказе в обслуживании. Что-то, что может серьезно повредить правильному функционированию наших подключений и сделать невозможной навигацию.
В основном атака заключается в генерации большого количества запросов, большого потока информации из разных точек на одно и то же устройство. Это может, например, повлиять на веб-сервер и вывести этот сайт из строя. Но то же самое могло произойти и с нашими маршрутизатор . Вы можете получить несколько запросов и не сможете ответить, что повлияет на работу.
Эта кибератака довольно распространена. Обычно он осуществляется через ботнет и может потреблять такие ресурсы, как пропускная способность или доступное пространство, изменять конфигурацию, прерывать обслуживание и т. Д. Он широко используется для отключения веб-страницы или онлайн-сервиса, что может оставить многих пользователей без доступ в течение нескольких часов и приведет к значительным экономическим потерям.
Как избежать DDoS-атак на роутер
Все это делает очень важным избегать DDoS-атак на роутер . Очень важно защитить это устройство и, таким образом, снизить риск того, что другое подключенное оборудование может остаться без обслуживания или подвергнуться атаке третьих лиц.
Мы должны помнить, что если наш маршрутизатор подвергнется DDoS-атаке, он может стать частью ботнета и атаковать другие компьютеры, разрушить нашу сеть и сделать невозможным навигацию и даже поставить под угрозу безопасность других подключенных устройств.
Обновите прошивку роутера
Несомненно, что-то, чего нельзя пропустить для правильной защиты любого компьютера, - это постоянно обновлять его. Мы должны убедиться, что у нас есть последняя версия прошивка роутера. Может присутствовать множество уязвимостей. Множество недостатков, которые так или иначе используются хакерами для проведения атак.
Поэтому мы всегда должны быть уверены, что у нас установлена последняя доступная версия роутера. Это то, что мы должны применять к любому другому сетевому устройству, которое у нас есть, например, к самой сетевой карте, повторителям Wi-Fi и т. Д. Конечно, мы должны убедиться, что устанавливаем последние версии только из официальных источников и, следовательно, избегайте проблем, которые могут повлиять на нас с другой стороны.
Изменить заводские настройки
Одна проблема, которую упускают из виду многие пользователи, - это изменение заводские настройки на устройствах. Мы говорим не только о важности предотвращения DDoS-атак на маршрутизатор, но и о любых угрозах для любого устройства, подключенного к сети.
Обычно любое сетевое оборудование имеет заводская конфигурация . Под этим мы подразумеваем имя, пароль, параметры, которые мы можем настроить… Если мы оставим те, которые приходят при покупке, мы можем стать жертвами атак. Например, злоумышленник может знать, как атаковать определенную модель маршрутизатора.
Поэтому, чтобы избежать DDoS-атак и других проблем с безопасностью, очень важно всегда менять заводские настройки. Мы должны изменить любую информацию, которая идентифицирует команду или может быть использована против нас. чем меньше улик мы даем злоумышленникам, тем лучше для нас.
Используйте надежный пароль для Wi-Fi
Конечно, мы должны создать надежный пароль для Wi-Fi, который предотвращает проникновение злоумышленников. В нем должны быть буквы (прописные и строчные), цифры и другие специальные символы. Все это должно быть случайным, а также ключ должен быть уникальным и не использоваться в какой-либо другой службе или устройстве.
Но помимо пароля Wi-Fi также очень важно изменить пароль для доступа к роутеру . Мы должны учитывать то же самое, о чем упоминали выше. Это еще один защитный барьер, который защищает нас от DDoS-атак. Многие пользователи не меняют пароль и оставляют пароль по умолчанию при покупке устройства. Это ошибка, которая может оставить контроль любому злоумышленнику с нужными знаниями.
Используйте шифрование, которое не устарело
Освободи Себя шифрование для пароля Wi-Fi, который мы собираемся использовать, очень важно, чтобы он был актуальным, чтобы он не был устаревшим, например, с шифрованием WEP, которое можно использовать с соответствующими знаниями и которое не может должным образом защитить нашу сеть. Существует множество инструментов, которые могут взломать безопасность паролей, основанных на этом, о чем мы упоминали, которые имеют известные уязвимости и недостатки.
Важно, чтобы мы всегда использовали актуальное шифрование гарантий. Современные маршрутизаторы имеют шифрование WPA-3, которое является новейшим и наиболее безопасным. В противном случае мы должны использовать WPA-2. Пока у нас есть обновленное оборудование, это все еще безопасное шифрование.
Включите меры безопасности в настройках
Еще одна проблема, которую следует принять во внимание, - активировать дополнительные меры безопасности что может быть в роутере. В зависимости от модели при входе в конфигурацию мы можем найти различные варианты, которые могут улучшить безопасность и снизить риск атак. Это будет зависеть от типа маршрутизатора и прошивки, которую мы установили, но обычно мы находим широкий спектр опций, которые мы можем учесть.
Таким образом, следуя этим советам, которые мы упомянули, мы можем гарантировать безопасность нашего маршрутизатора, его защиту от DDoS-атак и других подобных атак, которые могут повлиять на его правильное функционирование и привести к снижению скорости и производительности. Поддержание нашего оборудования в хорошем состоянии - ключ к повседневной жизни.
Продолжаем изучать хакерские утилиты и сегодня разберемся как работать с WebSploit. На примере проведения DOS-атаки на Wi-Fi сеть. При этом, напомню, что вмешательство в работу чужих сетей, может нарушать требования законодательства, а все материалы в этой статье представлены исключительно в образовательных и ознакомительных целях, а также для повышения уровня понимания основ информационной безопасности и не являются призывом к действию.
Что такое DOS-атака?
Вполне очевидно (из определения) что DOS атаку можно провести на любую систему, сеть, службу и т.д. в том числе и на wi-fi. И именно этим мы сегодня и займёмся.
WebSploit
С чего начать использование WebSploit? Правильно, с его установки:
После установки запускаем его:
И на экране появиться приветствие с номером версии, датой последнего обновления и т.д., а также предложение к вводу команды:
Команд которые можно использовать не так много, что, скорее, хорошо:
Теперь, чисто в образовательных целях, ознакомимся с доступными модулями утилиты:
Список доступных модулей не такой уж и маленький:
Логика использования каждого из предложенных модулей довольно похожа, и понятна из доступных в этом фреймворке команд, и мы разберем её на примере wi-fi jammer.
Но перед этим необходимо провести парочку подготовительных мероприятий (в другом окне терминала), а именно перевести наш беспроводной адаптер в режим мониторинга:
Предварительно, командой iwconfig проверь как называется твой беспроводной интерфейс. А иногда (редко) может понадобиться завершить процессы о которых нас предупреждает airmon-ng. Это можно сделать командой kill и указать PID процесса.
Теперь нам нужно определиться с какой именно wi-fi сетью мы будем работать, для этого давай посмотрим какие сети есть в пределах досягаемости:
Мы будем работать со специально созданной мной для этого сетью home 33. Собственно, из всех имеющихся сведений о сети, нам понадобятся: BSSID, CH, ESSID
Теперь вернёмся к WebSploit и задействуем нужный нам модуль:
теперь можем ознакомиться с настройками этого модуля:
В разделе Options мы видим какие параметры нужно дать модулю для работы:
Убедившись что всё правильно, можем запускать:
После этого утилита начнёт работу, а все кто подключен к атакуемой wi-fi с горечью обнаружат, что у них пропал интернет.
Остановить процесс можно командой stop.
Защита от DOS атаки на wi-fi
А на этом, пожалуй всё. Используй полученные знания только во благо и не забывай возвращаться к нам, чтобы узнать ещё много интересного.
Читайте также: