Диета Дюкана: атака, разрешенные продукты (таблица)
Поговорим о том, что представляет собой диета Дюкана – атака. Разрешенные продукты, таблица основных фаз и важные правила – все это вы узнаете из нашей статьи.
Основные принципы фазы Атаки
Диета французского диетолога Дюкана подразумевает в рационе белковую пищу с минимумом углеводов. Отличительной особенностью первого этапа является быстрое сбрасывание веса.
Количество килограммов, которые вы сможете потерять за первые два дня, — от 5 до 7. А за неделю можно сбросить до 25 кг в зависимости от начальной массы тела. Единственное правило — не использовать Атаку более 10 дней.
Давайте подробнее. Смысл Атаки — в молниеносном воздействии. Сам Дюкан считает, что это даст вам толчок худеть дальше, но уже в более щадящем режиме. В какой-то степени это работает, но разумный подход никто не отменял. Отнеситесь серьезно к требованию сроков Атаки. 10 дней – это максимум. И чем меньше вам нужно сбросить, тем меньше вы должны сидеть на первой фазе.
По факту Атака – это сушка у спортсменов. Вы вносите в рацион белковые продукты, исключая любые углеводы. Организм больше не получает энергию из поступающих продуктов, ведь углеводов нет, а белок – это строительный материал. Так что вашему телу просто приходится черпать энергию из альтернативных источников – из вашего подкожного жира.
Помните, что белковое питание без углеводов – это сильный стресс для тела, поскольку весь организм перестраивается на новый режим. Похудение будет заметным, но не забывайте о здоровье. Диетологи не зря предостерегают нас – питание на одном белке хорошо для нескольких дней, но это не может быть рационом каждого дня дольше недели.
Еще один важный нюанс – сколько ваше тело способно сбросить. Не ждите, что при 70 кг вы сбросите за 10 дней 25 кг. Такие цифры могут быть у людей с серьезной избыточной массой – от 120 кг и выше. Первое время вес будет уходить очень хорошо, постепенно теряя скорость. Это хорошо и нормально, не форсируйте события. Чем больше веса носит ваше тело, тем болезненней оно перестраивается – сердцу, позвоночнику и всем системам нужно какое-то время, чтобы отрегулировать работу при новом весе. А если каждый день изменения будут радикальными, это чревато.
Разрешенные продукты
Дюкан настаивает на приеме овсяных отрубей на протяжении всего времени (по 1,5 ст. л. в день). Овсяные отруби можно заменить на гречневую крупу из-за ее запасов клетчатки. Не превышайте норму, но и не снижайте – ориентируйтесь по своему самочувствию.
Отруби почистят организм от шлаков, пока вы будете худеть. При обычном рационе с этим отлично справляются овощи, зелень и фрукты, но сейчас на Атаке у вас нет возможности их есть в достаточных количествах, потому отруби придутся кстати.
Шлаки – это тоже лишние килограммы. Их исчезновение придется вам по душе – почувствуется легкость во всем теле, появится больше энергии.
Итак, каких правил вам нужно придерживаться на Атаке:
- основа рациона – белковое питание;
- почти полный отказ от жиров или углеводов;
- активный образ жизни и прогулки на свежем воздухе;
- чистая вода 2 л в день;
- отсутствие в питании соли;
- витамины.
При соблюдении этих несложных правил стабилизируется работа кишечника и теряются лишние килограммы.
Продукты на Атаке
Для любителей мясных, твороженных, рыбных блюд, а также яиц и морепродуктов фаза Атаки станет вкуснейшим этапом диеты. Вы не будете голодать, только кушать и при этом худеть.
Что можно и нужно:
- мясо: свежая телятина, нежирный стейк из говядины, бастурма, крольчатина, нежирная свиная ветчина, лошадиное мясо;
- рыба: окунь, осетровые, пикша, треска, камбала, минтай, хек, навага, семга, карп, лосось, судак, форель, скумбрия;
- птичье мясо: курица, страус, индейка, цесарка, перепела;
- морепродукты: креветки, мидии, раки, крабы, гребешки, кальмары, рапаны;
- молочные и кисломолочные продукты: кефир, творог, молоко, йогурт (все обезжиренное), плавленый, мягкий и соевый сыр;
- овощи: спаржа, помидоры, баклажаны, свекла, сельдерей, шпинат, патиссоны, морковь, лук, огурцы, редис, кабачки, тыква, любая капуста, салат;
- яйца: перепелиные и куриные.
Приготовить пищу можно различными способами, главное — без жарки на растительном масле. Готовьте на гриле, в духовке, на пару.
Вместо сахара используйте сахарозаменители. Пить можно абсолютно любые напитки без сахара, и даже газированные, в которых есть отметка «Лайт». Но! Давайте остановимся на этом подробнее. Несмотря на убеждение Дюкана в том, что можно пить газированные напитки и использовать сахарозаменители, с этими двумя категориями продуктов нужно быть очень осторожными.
Да, сахар вреден для фигуры и здоровья, но серьезных исследований в отношении сахарозаменителей пока еще не было. Часть из них может приводить к нарушениям работы органов, ведь это концентраты. Будьте осторожнее.
Что касается газированных напитков, то в них однозначно есть добавки, от которых лучше отказаться. Хотите пить – пейте воду.
Что касается пищевых добавок, то берите натуральные:
- имбирь;
- корица;
- уксус;
- лимон;
- лук;
- чеснок;
- петрушка;
- куркума;
- тмин;
- горчица;
- бальзамический соус;
- желатин.
Ограничено следует употреблять томатную пасту (2 столовые ложки), крабовые натуральные палочки (8 штук в день), желток из яйца (2 штуки в день).
Под строгим запретом следующие продукты:
- картофель;
- жиры;
- свинина жирная;
- баранина;
- макароны;
- все виды бобовых;
- соусы, майонезы;
- сахар и все виды сладкого.
Меню на неделю для Атаки
Понедельник
- Завтрак – омлет из домашних яиц, нежирная ветчина, зеленый чай.
- Обед – уха с красной рыбы.
- Полдник – молоко, творог.
- Ужин – нежирный стейк из индюка, кефир.
Вторник
- Завтрак – 2 кусочка хека, кофе или зеленый чай.
- Обед – курица на гриле с травами, молоко обезжиренное.
- Полдник – запеканка из обезжиренного творога, натуральный йогурт.
- Ужин – отбивные из фарша, травяной чай.
Среда
- Завтрак – творог, ромашковый чай.
- Обед – каша из овсяных отрубей, зеленый чай.
- Полдник – твороженные сырники, натуральный йогурт.
- Ужин – жареный окунь, травяной чай.
Четверг
- Завтрак – вареная курица, кофе или чай.
- Обед – уха с разной рыбой, чай с мятой.
- Полдник – соевый сыр, зеленый чай.
- Ужин – салат «Мимоза», отвар из шиповника.
Пятница
- Завтрак – творожная лимонная запеканка, натуральный йогурт.
- Обед – легкий бульон с перепелами, травяной чай.
- Полдник – блинчики из отрубей, кефир.
- Ужин – котлеты из нежирной свинины, молоко.
Суббота
- Завтрак – 2 вареных яйца или омлет, ромашковый чай или кофе.
- Обед – стейки из телятины, чай с мятой.
- Полдник – творог, натуральный йогурт.
- Ужин – индюшатина в соку, молоко.
Воскресенье
- Завтрак – плавленый сыр, гречневая каша на молоке.
- Обед – уха из лосося, ромашковый чай.
- Полдник – овсяная каша из отрубей, молоко.
- Ужин – кальмары, соевый сыр, кефир.
Советы для начинающих
Для любого организма тяжело моментально адаптироваться к резкой смене продуктов питания и стиля жизни. Соблюдайте осторожность, чтобы не причинить себе невидимый вред.
Начинайте диету, когда вы отправляетесь в отпуск или на выходных. Вам предстоит отказаться от глюкозы, а это значит, что самочувствие немного ухудшится: головные боли, сонливость, вялость. У некоторых даже появляется плохой запах изо рта и запах растворителя от тела. Такой адаптационный процесс займет 2 — 3 дня.
Для поддержания диеты и улучшения состояния гуляйте на улице по 40 минут в день. А пока гуляете, выпивайте 0,5 л чистой воды.
Регулярные занятия спортом, особенно водные, помогут ускорить процесс похудения. Важно не переусердствовать и заниматься регулярно. Утром полезна небольшая зарядка длительностью 15 — 30 минут.
Не пренебрегайте физической активностью, именно она приведет организм в тонус, пока вы избавляетесь от лишнего.
Так начинается диета Дюкана – атака. Разрешенные продукты (таблица), важные правила и нюансы – теперь это все у вас есть. Добавляйте страницу в свои закладки и смело приступайте к похудению.
Полный список разрешенных продуктов диеты Дюкан
Здесь Вы найдете полный список продуктов диеты Дюкан, которые можно есть в неограниченном количестве + новые продукты, добавленные в список (источник — сайт www.dukan.ru)
Здесь Вы найдете полный список продуктов диеты Дюкан, которые можно есть в неограниченном количестве + новые продукты, добавленные в список (источник — сайт www.dukan.ru)
Разрешенные продукты и их ограничения в рамках диеты
Новые продукты, добавленные в список:
- ЛАПША ШИРАТАКИ: разрешено потреблять в пищу без ограничений. Питательный продукт, богатый натуральными волокнами, нормализует работу кишечника и является чрезвычайно низкокалорийным. Лапша ширатаки родом из Азии (Китай и Япония). Чаще всего продается в форме спагетти, при этом не обладая их калорийностью.
- ТОМАТНАЯ ПАСТА: этап Атака и ЧБ — до 2-х столовых ложек. Без ограничений с Чередования в БО дни.
- РАСТИТЕЛЬНОЕ МАСЛО: (оливковое, подсолнечное, рапсовое и т.д.) разрешено, начиная с этапа чередования. Отличаются высоким содержанием жирных кислот Омега-3, полифенолов и витамина Е (антиоксиданта), необходимых для здоровья организма. Этап Атака/БЧ — 1 кофейная ложка, Чередование — 1 чайная ложка, Закрепление — 1 столовая ложка.
- ЯГОДЫ ГОДЖИ: разрешены, начиная с этапа атаки. Ограниченная доза: 1 столовая ложка в дни ЧБ, 2 столовые ложки в дни БО.
- СЕМЕНА ЧИА: разрешены, начиная с этапа чередования — 1 столовая ложка. 1 ст. л. семян чиа в соответствии с % РНП (рекомендуемой суточной нормой потребления) — это 14% пищевых волокон и 100% Омега-3. Семена чиа способствуют снижению веса, поддержанию нормального уровня холестерина, дают ощущение сытости и являются ценным антиоксидантом.
- СЕМЕНА ЛЬНА: разрешены, начиная с этапа чередования — 1 чайная ложка в чисто белковые дни (ЧБ) и 2 чайных ложки в белково-овощные дни (БО). Семена льна богаты полиненасыщенными жирными кислотами омега-3, 6, 9 (они есть в рыбе, яйцах) для ускорения метаболизма, и растворимыми пищевыми волокнами — для очищения организма.
- ПШЕНИЧНЫЕ ОТРУБИ: Все этапы: 1 столовая ложка при запорах или для приготовления десертов. НЕ заменяют овсяные отруби, НЕ ОБЯЗАТЕЛЬНО в рамках диеты Дюкан. Стабилизация: также рекомендуется 1 ст.л.
- ЛУК РЕПЧАТЫЙ: Этап Атака: 1 средняя луковица в день. Чередование: 1 в ЧБ; в БО – без ограничений.
- ЗЕЛЕНЫЙ ЛУК: Как приправу можно и в ЧБ, начиная с Атаки.
- КОРНИШОНЫ, маринованные огурцы (маленькие): 2-3 корнишона можно в ЧБ, начиная с Атаки.
- КРАБОВЫЕ ПАЛОЧКИ: Жирностью >0,1г на 100г, то не более 8шт в день. До 0,1г включительно — без ограничений. Не является допускаемым продуктом.
- КУРИНЫЕ ЯЙЦА: Если холестерин в норме, можно употреблять в пищу один яичный желток в день и любое количество яичных белков, так как белки не содержат холестерина. При повышенном содержании холестерина, рекомендуем ограничиться двумя яичными желтками в неделю. Сделайте акцент на белках, в частности, когда готовите по рецептам Дюкан.
Продукты животного происхождения: начиная с этапа Атаки
Постное мясо
-говяжий стейк
-говяжий язык
-говяжье филе
— говяжий антрекот
— дичь
— кролик
— огузок
— ростбиф
— телятина
— телячья печень
— вяленая говядина
— почки
— говяжья вырезка
Мясо птицы
-куриная ветчина
— индейка (без кожи и жира)
-ветчина из индейки
— куриная печень
-курица (без кожи и жира)
— печень цыпленка
-куриные сердечки
— перепел
Рыба
— барабулька
— белый палтус/копченый палтус
— большеголов
— дорада
— икра
— камбала
— кефаль
— крабовое мясо/крабовые палочки
— лосось/копченый лосось
— макрель
— мерланг
— меч-рыба
— морской окунь
— морской лещ
— морской язык
— морской черт
— налим
— окунь
— палтус
— пикша
— путассу
— радужная форель
— рыба
-меч
— сайда
— сайра
— сардина
— скат
— скумбрия
-сардины
— сельдь
— треска
— тунец
— хек
Морепродукты
-большой краб -гребешки — кальмары — каракатица — краб — креветки — лангустина — лангуст — мидии — моллюски — морская улитка — морской еж — омар — ракушки — раки — устрицы
Растительные белки
-овсяные отруби
— тофу
Молочные продукты 0% жирности
— зернистый обезжиренный творог
— мягкий обезжиренный творожок
— обезжиренное молоко
— обезжиренный йогурт без добавок с подсластителем
— обезжиренный плавленый сыр
-обезжиренный творог
Куриные яйца
Продукты растительного происхождения: начиная с этапа Чередования
артишок
— баклажан
— брокколи
— брюссельская капуста
— грибы
— дайкон
— зеленая фасоль
— кабачок
— капуста
— кольраби
— лук
— лук-порей
— морковь
— огурец
— полевой салат
— помидоры
— ревень
— репа
— редис
— салат
— латук
— свекла
— сельдерей
— сердцевина пальмы
— соя
— спаржа
— тыква
— цветная капуста
— фенхель
— шпинат
— эндивий
Вконтакте
разрешенные продукты по этапам в таблице
Привет, друзья! Сегодня снова вернемся к одной из самых известных диет. В cтатье «Диета Дюкана — этапы и меню» я подробно описала все 4 фазы и примерный рацион на каждом из них. А сейчас я хочу детально остановиться на продуктах, которые можно и нельзя включать в питание. Диета Дюкана — разрешенные продукты по этапам. Проведем тщательную проверку холодильника. Подключайтесь к обсуждению статьи и пишите ваши отзывы по данным спискам продуктов.
Для удобства каждый этап сделала в виде удобных таблиц. В первом этапе базовые продукты. А в остальных этапах набор продуктов расширяется. Поэтому я для всех последующих этапов пишу только те продукты, которые добавляются к уже имеющемуся списку.
В чем особенность диеты Дюкана?
Практически все системы похудения имеют начало, но не содержат дальнейшие рекомендации для стабилизации веса. Способ, предлагаемый французским доктором Пьером Дюканом, отличается плавным «выходом» из диеты. Метод действительно может способствовать избавлению от ненавистных килограммов навсегда. Но опять же, соблюдая несложные правила самого автора.
Диета подразумевает 4 этапа. С каждым шагом, вы постепенно учитесь правильно питаться, получать удовольствие от еды и худеть. Каждый этап имеет свою продолжительность и рекомендуемую Дюканом «продуктовую корзину». Вы не будете чувствовать каких-либо лишений благодаря мягкому введению здоровых изменений в питании.
Как и в любой диете, срыв или малейшее отклонение от правил может перечеркнуть все приложенные усилия. Но у кого получается все с первого раза? Даже ходить мы учимся не сразу, а постепенно. Часто получая больше опыта и знаний. Если я вас воодушевила, давайте приступим к рассмотрению разрешенных продуктов.
Первый этап — Атака
На первой фазе вы начинаете питаться только той едой, которая богата белком.
Мое личное наблюдение: продолжительное питание высокобелковой пищей может нанести вред почкам. Если у вас с этим все в порядке, то 4-5 дней никакого вреда не нанесут.
| Мясо | Приветствуются нежирные сорта мяса — говядина, индейка, кролик, курица, телятина. Иногда употребляйте субпродукты (язык, печень, почки) или натуральную ветчину. Гусь и утка запрещены. Блюда нужно готовить без масла. Варим, тушим, запекаем. |
| Яйцо | Предпочтителен белок. Потребление желтка сократите. |
| Морепродукты, рыба | Морепродукты разрешены все. Готовить без зажарки. Рыба любая – речные и морские породы. Готовить хорошо на пару, отваривать, тушить. Жареные блюда не допускаются. Консервы лучше не употреблять, но если они натуральные и без масла, то можно. Позвольте себе иногда есть копченую рыбу и крабовые палочки в малых количествах. Едим все без масла. |
| Молочные и кисломолочные продукты | Едим и пьем все обезжиренное – до 0,5% жирности. Йогурт, кефир, молоко (до 1,5%), ряженка, творог. Без добавления сахара или искусственных добавок. |
| Напитки | Чаи: зеленый, черный, травяной некрепкой заварки. Слабенький кофе, цикорий, чистая вода. По Дюкану газировка и напитки категории «Лайт» не запрещены. Мое личное мнение: это скользкий путь. Газировка «Лайт» или «0 калорий» — без сахара, там содержатся ненатуральные подсластители. Это очень вредные добавки, их лучше вообще стороной обходить. Количество жидкости в день – не меньше 1,5 литров |
| Приправы | Любой лук, кроме лука-порея, соевый соус, чеснок, свежая и сушенная зелень, базилик, томатная паста (немного, т.к. она содержит много сахара). Соль нужно сократить. Салаты заправлять уксусом, 3-4 каплями лимона. |
| Масла | не более 1 чайной ложки оливкового или рапсового (разрешено Дюканом с конца 2016 года) |
| Прочее | Орехи — не более 1 горсти (тоже нововведение с 2016 года) Лапша «Ширатаки» — низкокалорийный продукт и можно есть без ограничений. Растительное – любое какое хотите, но не более 1 коф. ложки. Тофу, сейтан («вегетарианское мясо», готовится из теста). Ягоды гожди, семена льна или чиа – 1 ст. л. в день. |
Особое место в диете на всех 4 этапах занимают овсяные отруби. Их количество не должно превышаться или занижаться.
На «Атаке» съедайте строго 1,5 ст. л. в день. Можно с салатом, творогом или сделать овсяноблин. У кого гастрит или проблемы с пищеварением, для щадящего режима рекомендую использовать овсяную или гречневую муку. Подробности по этой фазе читайте в статье «Диета Дюкана – Атака, что можно есть».
Дюкан пишет, что увеличил количество масла, потому что такое количество жира благотворно скажется на работе кишечника. А значит, будет меньше запоров. Плюс вы получаете дополнительно витамин Е в рационе. Как он сам говорит: «Его главный враг сахар, а не жир». Так что теперь можете готовить белковые продукты или добавлять в салаты.
Но это еще не все нововведения. Любители орешков, возрадуйтесь! Теперь можно одну небольшую горсточку, но только взамен масла. То есть если вы сегодня хотите похрустеть арахисом, то масло под запретом. Разрешенное количество каждого плода в день читайте в статье «орехи и похудение».
Второй этап — Чередование
Набор продуктов тот же, что и на «Атаке». Плюс в меню вводятся новые продукты — овощи. Получается белково-овощное питание. Эту фазу еще называют – этап Круиз.
| Овощи | Из этих продуктов готовьте салаты, рагу, запекайте, отваривайте или тушите. Зажаренная еда запрещена. Разрешенные продукты: капуста (любых сортов), редис, фасоль стручковая или зеленые бобы, лук-порей, баклажаны и кабачки, огурцы, все виды листовых салатов, помидоры, репка, артишок, спаржа, сельдерей, фенхель и тыква. Обязательно включите самые витаминные продукты: шпинат, сельдерей. Свёклу и морковку употребляйте 1 раз за всю неделю. |
| Прочее | Масло растительное – увеличиваем до 1 ст. ложки Грибы. Нельзя их есть маринованными, солеными или жаренными. Натуральный соевый йогурт (1 шт.). 2 ст.л. томатной пасты (конечно без без сахара). |
Жидкости выпивайте до 1,5 литров в сутки. Пейте все то же, что и на «Атаке». Также увеличьте количество отрубей из овсянки до 2 ст л в день
То, что содержит крахмал, на 2 этапе запрещено: картофель, батат, бобовые, чечевица, кукуруза, макароны и крупы. Авокадо тоже под запретом, т.к. слишком жирное.
Не забывайте строгое правило – не докладывайте себе добавку. А для удобства в подсчете объема порции рекомендую приобрести кухонные весы.
В этот этап может начаться ломка и высока вероятность сойти с диеты. Вы будете видеть, как вес будет идти на снижение. Держитесь и двигайтесь вперед. Пишите в отзывах к статье какие у вас результаты по диете и что не получается. Будем разбираться 🙂
Схему чередования овощных и белковых, а также примерный рацион, читайте в статье «Диета Дюкана 2 этап».
Третий этап – Закрепление
Кушать можно все то же, что и на «Круизе». Но теперь еще больше можно разнообразить меню – отныне можно есть фрукты, хлеб, немного картофеля и др. Эту фазу условно разделите на две части.
В первую часть можно 1 порцию крахмалистых продуктов в неделю + 1 праздничную трапезу.
| Хлеб | Ржано-пшеничный, цельнозерновой. 2 ломтика в день (или 50 г). |
| Фрукты | Любые – не больше 200 грамм в день. Исключаются только: виноград любых сортов, вишня, все сухофрукты, бананы, черешня. Едим только по 1 штучке в день. Если фрукты маленькие – абрикос, слива — съедайте по 2. |
| Сыр | Разрешено только 40 г в день. 16-20 % — предельная допустимость жирности продукта. |
| Крахмалистые продукты | Их можно только 1 раз за всю неделю и небольшими порциями – 150 – 220 г Готовьте блюда из: булгура, чечевицы, макаронных изделий, риса, картофеля, бобовые, полента, кус-кус, нут, горох Без зажаривания, без масла. |
| Крупы | До 200 г. гречки без масла До 125 г. белого риса |
| Мясо | Ветчина, нежирная свинина, мясо ягненка, бекон. Разрешается 1-2 раза в неделю |
| Праздничная еда Это может быть завтрак, либо обед или ужин | Позволяйте себе 1 раз в неделю в любой день, кроме белкового, добавить в меню лакомство. Это может быть кусочек торта, салат с майонезом, что угодно из запрещенной еды. И без добавки. |
Во второй части этапа разрешается по 2 порции пира в неделю + 2 крахмалсодержащих блюда.
| Крахмалистые продукты | Можно кушать все то же, что и в первой части, но уже 2 раза в неделю. |
| Праздничный стол | Также выбирайте какой-либо один приём пищи, но уже 2 раза в неделю. Только так, чтобы не 2 дня подряд. |
| Прочее | Лапша «Ширатаки» Масло растительное – здесь можно 1 ст.л. Выпивайте все те же 1,5 литра воды в сутки. Пить те же напитки, что и на предыдущих фазах. Съедайте строго 2 столовые ложки в день овсяных отрубей. |
Таким образом, к 3 этапу вы должны питаться 6 дней в неделю фруктами, овощами и белковыми продуктами, а 1 день – только белковое меню.
Дюкан в книге советует есть исключительно белковую еду по четвергам. Кстати, у него есть очень удобная книга-помощник. Пьер пошагово ведет вас к похудению на 10 кг за 60 дней.
Четвертый этап – Стабилизация
Питание должно быть таким же, как 3 фазе. Внесите поправки только в день употребления сплошного белка (четверг).
| Рыба | Отдавайте предпочтение белой рыбе. Употребление красной сократите до 200 г. 150 г если кушаете копченую. |
| Мясо | Так же кушайте только нежирные сорта. А мясо птицы есть без крыльев и верхней части ножек. |
| Молочные и кисломолочные продукты | Изменения лишь в том, что теперь можно употреблять только продукты с наименьшим содержанием лактозы. |
| Прочее | Теперь нужно пить побольше – 1,5-2 литра в день. И отрубей съедать надо 3 ст л На этом этапе сократите количество употребляемой соли. |
Физические нагрузки
Дюкан рекомендует больше ходить пешком 20-30 минут в день. Я бы посоветовала увеличить это время до 40-50 минут. Откажитесь от лифта, прогуливайтесь до работы и обратно пешим шагом.
Обязательно включите в расписание посещение бассейна, спортзала. Аэробные упражнения и кардиотренировки должны стать для вас спутниками на всю жизнь.
Разумное питание и физкультура – самые важные привычки здорового человека. Именно с их помощью легко поддерживать себя в форме и сохранять результат. С ними приобретаются и другие важные изменения в образе жизни: здоровый сон, отсутствие стрессов.
Продолжительность этапов
Время соблюдения диеты пропорционально килограммам, которые вы желаете сбросить.
- На этапе «Атака» вам нужно пробыть от 2 до 7 дней.
- На втором этапе 7 дней на каждый лишний килограмм.
- На «Закреплении» вы должны задержаться в расчете 10 дней на каждый лишний килограмм.
- Четвертый этап «Стабилизация» — здесь ваша цель привыкнуть питаться осознанно и правильно всю жизнь. Продолжительность – бесконечно 🙂
Была ли полезна вам информация? Подписывайтесь на обновления блога и пишите ваши отзывы по разрешенным продуктам по диете. Желаю хороших отвесов. Пока-пока!
С уважением, Ольга Стешкина
Загрузка …Диета Дюкана Атака — что можно есть в первые 10 дней
Здравствуйте, заядлые фанаты правильного питания и новоиспеченные поклонники здорового образа жизни! Как вы думаете: можно ли иметь идеальную фигуру и при этом не страдать от голода? Вы не поверите, но почти идеальная система питания существует. Сегодня я продолжу изучать рекомендации доктора Пьера Дюкана. Мы детально разберем с вами основной вопрос первого этапа диета Дюкана «Атака», что можно есть. Обязательно оценим результаты сторонников диеты и научимся составлять свой рацион.
Свои методы Пьер Дюкан продвигает более 30 лет. Врач-диетолог помог тысячам людей избавится от лишнего веса и не впасть в депрессию. Он разделил весь процесс похудения на несколько фаз, подробнее о которых я писала в статье «Диета по Дюкану этапы и меню». Начинается диета Дюкана с фазы «Атака». Что же можно есть на этой стадии и за что она получила столь устрашающее название?
Быстрое похудение при минимальных усилиях
На этом этапе придется всего-то избавиться от «гастрономического мусора» 🙂 Для начала нужно определить продолжительность первого этапа диеты именно для вас. Продолжительность этапа «Атака» зависит от того на сколько вы хотите похудеть за все 4 этапа:
| 5 кг – 2 дня | 25 кг – 7 дней |
| 10 кг – 3 дня | 30 кг – 7 дней |
| 15 кг – 4 дня | 40 кг – 9 дней |
| 20 кг – 5 дней | 50 кг – 10 дней |
Даже если лишний вес во многом превышает последний показатель, сидеть на этом этапе более 10 дней категорически запрещено. Вы же наверняка хотите не просто похудеть, но сохранить свое здоровье и привлекательность. Не правда ли?
«Атака» – это этап исключительно белковых продуктов. Об овощах и фруктах придется забыть на некоторое время. Для начала придется себя немного ограничить. Зато обширный список дозволенного не даст умереть с голоду. Кроме того, все разрешенные продукты можно есть в любое время. Большинство из них – в любом количестве. Соблюдая простые правила, можно за неделю-полторы сбросить до 5 кг.
Да, довольно часто меня спрашивают, можно ли грибы на диете Дюкана? Да, можно, но только на следующих этапах
По сути, в течение первого этапа необходимо употреблять мясо, рыбу, яйца и нежирные молочные продукты. Отказ от углеводов благотворно повлияет на ваш внешний вид и вес. Все блюда следует готовить без использования какого-либо жира. Обязательное условие всей диеты – регулярный прием овсяных отрубей – 1,5 ст. л. в день. Многочисленные отзывы подтверждают, что отруби помогают наладить пищеварение. Не стоит заменять их чем-либо или превышать дозу. При непереносимости создатель диеты предлагает употреблять 2 ложки гречневой каши, приготовленной по вашему усмотрению.
Разрешенные продукты и ограничения
Около 72-х белковых продуктов призваны бороться с лишним весом.
То, что можно кушать на этапе «Атака», готовится на пару, гриле, решетке, жарке без масла, в духовке. Также господин Пьер Дюкан допускает традиционную варку и тушение.
От лишних хлопот вас избавят простые рецепты из статьи «Диета Дюкана Атака рецепты на неделю». Еще советую пользоваться книгой Пьера «60 дней с доктором Дюканом».
В книге детально изложен тернистый путь худеющих и эффективный способ избавления от 10 кг за 2 месяца. Плюс в ней написаны рецепты на каждый день. Кстати, после прочтения этой книги диетой увлеклись Бейонсе, Кейт Миддлтон, президент Франции Франсуа Олланд. Не остались в стороне и отечественные звезды. О своих фантастически результатах неоднократно рассказывала Тина Канделаки.
Итак, какие продукты можно готовить в самой короткой и самой строгой фазе:
Мясо: телятина, кролик, говядина, конина.
Птица: любая, кроме уток и гусей. Только без кожи и гузки.
Субпродукты: печень, почки, язык.
Ветчина (2-4% жирности): куриная, индюшиная, свиная. Подразумевается мясо, приготовленное особым способом, а не та ветчина, которая похожа на колбасу. Подходит бастурма, брезаола и пр.
Рыба: все виды жирной и постной рыбы (свежая, замороженная, сушеная, копченая), крабовые палочки. Жирность копченой рыбы – максимум 10%.
Морепродукты: все ракообразные и моллюски, в том числе морские водоросли, капуста и икра (умеренно).
Яйца: в любом виде. Два желтка в день, белок – без ограничений. При высоком холестерине разрешается кушать не больше 4 желтков в неделю.
Молочные продукты: обезжиренные кефир, йогурт, творог, молоко. Сухое обезжиренное молоко – до 3 ст. л. в сутки. Йогурты с кусочками фруктов следует избегать.
Растительные белки: сейтан, тофу
Напитки: вода, чай, кофе, напиток из цикория, травяные настои, газированные напитки бескалорийные, низкоуглеводные протеиновые коктейли. Пить 1,5-2 л в сутки (сюда включаются все чаи, кофе, напитки).
Приправы: соль (умеренно), укроп, петрушка, тмин, базилик, чеснок, имбирь, кардамон и пр. Лук можно добавлять во время готовки блюд, но нельзя есть в чистом виде.
Добавки: бальзамический уксус, соевый соус, лимон, оливковое/рапсовое масло, горчица, заменители сахара и желатин (0 ккал), леденцы и жвачки без сахара. Масло растительное (оливоковое, подсолнечное, распосове) – 1 чайн. ложка в день. Томатная паста – только без сахара. Лимон – только в качестве приправы, т. е. нельзя есть и делать лимонад. Запрещена фруктоза, глюкоза и сорбит.
Табу и простые рекомендации для худеющих
В фазе «Атака» диеты Пьера Дюкана необходимо питаться дробно. Приветствуются частые приемы пищи, но малыми порциями. Судя по отзывам, это позволяет сокращать желудок. Советую не пропускать приемы пищи, иначе организм начнет запасаться калориями впрок. Уж поверьте, он найдет где их взять!
Частенько желающих похудеть интересует, можно ли мед на первом этапе диеты Дюкана. Ответ прост: нет! Если вы не нашли любимый продукт в вышеперечисленном списке, значит он запрещен на этом этапе. Печальная участь также постигла шоколад, орехи, фрукты и прочие вкусности.
Рекомендую начинать диету во время отпуска, т.к. может появиться слабость, сухость во рту, неприятное дыхание. Это не значит, что организм страдает. Так он противиться правильному образу жизни и избавляется от вредных гастрономических привычек. Активные занятия спортом пока лучше исключить. А вот пешие прогулки от 30 минут – обязательная составляющая программы Пьера Дюкана. Старайтесь отвлекаться и не зацикливаться на еде.
Я искренне надеюсь, что информация поможет вам добиться потрясающих результатов. Не забывайте делиться своим опытом и отзывами. Делитесь ссылкам в соцсетях.
До встречи на следующем этапе!
С уважением, Ольга Стешкина
Загрузка …Секрет эффективности метода Дюкан заключается в возможности потери веса без чувства неудовлетворенности. Ниже Вы найдете обновленный список 100 продуктов диеты Дюкан,которые можно есть в неограниченном количестве: 72 продукта животного происхождения (Чистые Белки) и 28 продуктов растительного происхождения (Белки и Овощи). Разрешенные продукты БЕЗ ОГРАНИЧЕНИЙ
«Похудеть, испытывая чувство голода — невозможно» 72 продукта животного происхождения: начиная с этапа атаки
28 продуктов растительного происхождения: начиная с этапа чередования Данный список из 100 продуктов без ограничений постоянно пополняется новыми разрешенными или допустимыми продуктами. Разрешенные продукты и их ограничения в рамках диеты:
При подписке на коучинг в Виртуальной Квартире Вы получаете эксклюзивный доступ к следующей информации: Для подписки на программу коучинга рассчитайте свой Правильный Вес |
Список допустимых продуктов
Помимо разрешенных продуктов, на диете Дюкана широко используются допустимые продукты, которые отличаются от первых более высоким содержанием углеводов и жиров. С помощью этих продуктов-помощников можно существенно разнообразить свой повседневный рацион, что помогает не «сорваться» во время прохождения этапов диеты.Допустимые продукты не считаются обязательными к употреблению на диете Дюкана – как овсяные отруби, например. Кроме того, в отличие от разрешенных продуктов их порции ограничены.
Немножко предыстории, чтобы у вас не возникло путаницы.
Много лет тому назад, когда Пьер Дюкан только начинал разрабатывать свою знаменитую методику, он разрешал своим пациентам 100 продуктов (72 белковых и 28 овощей). При этом никаких поблажек не допускалось! Настолько строгим был доктор.
Однако со временем гуру современной диетологии поменял свои взгляды. Отчасти этому способствовало появление новых продуктов, которых раньше не было на рынке: обезжиренных, с приставкой «легкий», без сахара. Кроме того, постоянные мольбы отдельных пациентов сделать для них исключение в виде определенного продукта/продуктов с минимальным количеством сахара или жира переросли в коллективные просьбы. В итоге Дюкан наряду со 100 разрешенными продуктами «узаконил» использование дополнительных, получивших название «допустимые продукты» (сокращенно ДОПы).
Стоит отметить, что допустимые продукты разрешаются, когда вы стабильно теряете в весе. В случае замедления этого процесса или даже остановки, следует незамедлительно закрыть на замок дверцу кухонного шкафа, где у вас хранятся ДОПы.
Допустимые продукты можно употреблять с этапа «Чередование» (в БО дни) – до 2-х порций в день (например, 1 ст. л. кукурузного крахмала и 1 ч. л. какао или 2 ст. л. кукурузного крахмала).
На этапе «Закрепление» дозировка увеличивается до 3-х порций в день.
Внимание! Во время «Атаки» эти продукты употреблять не разрешается, а также каждый белковый четверг фаз «Закрепление» и «Стабилизация».
Ограниченное употребление продуктов из списка допустимых не будет препятствием для вашего похудения. Но в случае «застоя» советуем временно ограничить или вовсе исключить на время эти продукты из вашего меню, чтоб ускорить потерю веса.
- Актимель 0% — 1 баночка
- Авокадо — 1 маленький менее 100 г или 1/2 среднего 150 г
- Конфеты без сахара и жевательная резинка сверх нормы считаются ДОПом (до 10 шт. сверх разрешенных), но остерегайтесь метеоризма и диареи в случае чрезмерного употребления
- Какао 21% жирности — 1,5 ст. л.
- Какао 11% жирности — 2 ст. л.
- Черный шоколад без сахара 70% какао — 3 маленьких квадрата или 2 больших квадрата в день
- Сметана 4% жирности 2 полные ст. л.
- Кокосовая вода — два средних стакана или большой стакан
- Кокосовое молоко до 15% жирности — 150 мл
- Кокосовое молоко свыше 15% — 3 ст. л.
- Кокосовые сливки — 2 ст. л.
- Люпиновая мука — 30 г
- Крахмал (любой) — 20 г
- Цельнозерновая мука — 20 г
- Тыквенная мука — 25 г
- Пшеничная мука грубого помола — 15 г
- Соевая мука — 30 г
- Льняная мука — 20 г
- Кокосовая мука — 20 г
- Миндальная мука — 20 г
- Кэроб — 25 г
- Конопляная мука — 25 г
- Сорговая мука — 20 г
- Сыры: до 15% жирности — 30 г
- Сыр Пармезан — 1 ст. л.
- Фрукты. Один из следующих фруктов:
— 100 г клубники,
— 100 г малины,
— 100 г черники,
— 100 г красной смородины,
— 100 г арбуза,
— 100 г грейпфрута,
— один средний апельсин (100 г)
— два небольших мандарина (100 г),
— половина яблока (75 г)
— два финика
- Лимон: несколько капель или даже долька лимона разрешены, чтобы придать вкус и аромат чаю или устрицам, но большой лимон = 1 допускаемый продукт.
- Орехи и семена (сверх разрешенной нормы):
— 4 ореха или 5 ядер миндаля,
— 6 лесных орехов,
— 10 ядер арахиса,
— 20 семян тыквы
— кунжут, чиа — 1 полная ст. л.
- Гаспачо готовый — 1 большая чашка
- Соевое молоко — 300 г
- Овсяное молоко — 300 г
- Сухое обезжиренное молоко. При достижении 800 г молочных продуктов, сухое молоко может использоваться только в качестве допустимого продукта = 30 г
- 1 ст. л. растительного масла (сверх нормы) —
Или:
— миндаль 18 г
— необжаренный арахис 20 г
— жареный арахис 17 г
— лесной орех 17 г
— грецкий орех 16 г
— орехи кешью 14 г
— бразильские орехи 14 г
— орех пекан 14 г
— кедровые орехи 15 г
— какао-бобы 15 г
— семена подсолнуха 17 г
— семена тыквы 18 г
— семена кунжута 18
— 40 г тыквенных семян, взвешенных с их скорлупой.
- Поп-корн: сухие кукурузные зерна — 1 ст. л.
- Темпе. Вегетарианцам темпе разрешается. Для невегетарианцев это ДОП = 50 г
- Соевый протеин (не путать с изолятом): до 50 г в день для увеличения содержания белка в рецепте. Однако его не следует использовать в качестве замены приема пищи.
- Киноа — 40 г в приготовленном виде
- Кускус из пшеницы средней зернистости (не мелкозернистой) — 1 ст. л.
- Пшеничные отруби свыше нормы — допускаемый продукт 2 ст. л., итого максимум 3 ложки в день.
- Соевые отруби — 30 г
- Красное или розовое вино — 1/2 стакана
- Йогурт 0% жирности с фруктами без сахара
- Сухие колбаски до 13% жирности — 25 г
- Полидекстроза — 2 ст. л.
Лучшие рецепты и секреты похудения на нашем Telegram-канале. Подписывайся!
Внимание! Изменения в диете Дюкана: допустимые продукты
Знаменитый французский диетолог Пьер Дюкан внес важные изменения в свою диету. И это отличная новость, поскольку список продуктов расширился. Так, например, доктор отныне разрешает черный шоколад без сахара. Однако есть и нюансы:
допускаемые продукты разрешены только в белково-овощные дни!
И, как и прежде, ДОПы можно употреблять только с хорошими отвесами.АТАКА – допустимые продукты не разрешены
ЧЕРЕДОВАНИЕ — 2 допустимых продукта в белково-овощной день
ЗАКРЕПЛЕНИЕ — 3 допустимых продукта в день (за исключением белкового четверга)
СТАБИЛИЗАЦИЯ — допустимые продукты становятся разрешенными. Но 100 продуктов диеты Дюкана остаются основой предпочтительного рациона питания
Лестница Питания — один допустимый продукт в день с утра вторника до вечера пятницы включительно.
Одна норма продукта из этого списка — 1 допустимый продукт.
В случае застоя прекратите использовать допустимые продукты и возобновите, как только плато будет преодолено.
ОБНОВЛЕННЫЙ СПИСОК ДОПУСТИМЫХ ПРОДУКТОВ
- Актимель 0% — 1 баночка
- Авокадо — 1 маленький менее 100 г или 1/2 среднего 150 г
- Конфеты без сахара и жевательная резинка сверх нормы считаются ДОПом (до 10 шт. сверх разрешенных), но остерегайтесь метеоризма и диареи в случае чрезмерного употребления
- Какао 21% жирности — 1,5 ст. л.
- Какао 11% жирности — 2 ст. л.
- Черный шоколад без сахара 70% какао — 3 маленьких квадрата или 2 больших квадрата в день
- Сметана 4% жирности 2 полные ст. л.
- Кокосовая вода — два средних стакана или большой стакан
- Кокосовое молоко — 3 ст. л.
- Кокосовые сливки — 2 ст. л.
- Люпиновая мука — 30 г
- Крахмал (любой) — 20 г
- Цельнозерновая мука — 20 г
- Тыквенная мука — 25 г
- Пшеничная мука грубого помола — 15 г
- Соевая мука — 30 г
- Льняная мука — 20 г
- Кокосовая мука — 20 г
- Миндальная мука — 20 г
- Кэроб — 25 г
- Конопляная мука — 25 г
- Сорговая мука — 20 г
- Сыры: до 15% жирности — 30 г
- Фрукты. Один из следующих фруктов:
— 100 г клубники,
— 100 г малины,
- 100 г черники,
— 100 г красной смородины,
— 100 г арбуза,
— 100 г грейпфрута,
— один средний апельсин
— два небольших мандарина,
— половина яблока 150 г
— два финика
- Лимон: несколько капель или даже долька лимона разрешены, чтобы придать вкус и аромат чаю или устрицам, но большой лимон = 1 допускаемый продукт.
- Орехи и семена (сверх разрешенной нормы):
— 4 ореха или 5 ядер миндаля,
— 6 лесных орехов,
— 10 ядер арахиса,
— 20 семян тыквы
- Гаспачо готовый — 1 большая чашка
- Пшеничная клейковина — 50 г
- Для вегетарианцев на ДД клейковина не ДОП
- Кунжут, чиа — 1 полная ст. л.
- Кокосовое молоко до 15% жирности — 150 мл
- Соевое молоко — 300 г
- Овсяное молоко — 300 г
- Сухое обезжиренное молоко. При достижении 800 г молочных продуктов, сухое молоко может использоваться только в качестве допустимого продукта = 30 г
- 1 ст. л. растительного масла (сверх нормы) —
Или:
— миндаль 18 г
— необжаренный арахис 20 г
— жареный арахис 17 г
— лесной орех 17 г
— грецкий орех 16 г
— орехи кешью 14 г
— бразильские орехи 14 г
— орех пекан 14 г
— кедровые орехи 15 г
— какао-бобы 15 г
— семена подсолнуха 17 г
— семена тыквы 18 г
— семена кунжута 18
— 40 г тыквенных семян, взвешенных с их скорлупой.
- Поп-корн: сухие кукурузные зерна — 1 ст. л.
- Темпе. Вегетарианцам темпе разрешается. Для невегетарианцев это ДОП = 50 г
- Соевый протеин (не путать с изолятом): до 50 г в день для увеличения содержания белка в рецепте. Однако его не следует использовать в качестве замены приема пищи.
- Киноа — 40 г в приготовленном виде
- Кускус из пшеницы средней зернистости (не мелкозернистой) — 1 ст. л.
- Пшеничные отруби свыше нормы — допускаемый продукт 2 ст. л., итого максимум 3 ложки в день.
- Соевые отруби — 30 г
- Красное или розовое вино — 1/2 стакана
- Йогурт 0% жирности с фруктами без сахара
- Сухие колбаски до 13% жирности — 25 г
Лучшие рецепты и секреты похудения на нашем Telegram-канале. Подписывайся!
35 типов DDoS-атак (которые хакеры будут использовать против вас в 2020 году)
DDoS-атаки являются серьезной проблемой для онлайн-бизнеса. Согласно отчету о безопасности Akamai за третий квартал 2015 года, общее количество DDoS-атак увеличилось на 179,66%!
Эта цифра свидетельствует о том, что за последние два года огромное количество предприятий стали жертвами преступников, активистов и хакеров по гнусным причинам. Это может не только отказать бизнес-пользователям в обслуживании, но и привести к дорогим счетам.Некоторые DDoS-атаки могут быть даже разрушительными для бизнеса!
От попыток флудить цель с помощью эхо-запроса ICMP на основе команды ping до многовекторных атак, DDoS-атаки с годами стали более крупными и изощренными. В этом посте мы рассмотрим различные типы DDoS-атак. Вот список различных типов DDoS-атак.
Атаки на уровне приложений
DDoS-атаки могут быть нацелены на конкретное приложение или плохо закодированный веб-сайт, чтобы воспользоваться его слабостью и в результате вывести из строя весь сервер.WordPress (теперь мы предлагаем лучший хостинг WordPress в Интернете) и Joomla — два примера приложений, которые могут быть нацелены на исчерпание ресурсов сервера — RAM, CPU и т. Д. Базы данных также могут быть нацелены с помощью SQL-инъекций, предназначенных для использования этих лазеек.
Израсходованный сервер становится недоступным для обработки законных запросов из-за исчерпанных ресурсов. Веб-сайты и приложения с лазейками в безопасности также уязвимы для хакеров, стремящихся украсть информацию.
Zero Day (0day) DDoS
Это стандартный термин (например, Джон Доу), используемый для описания атаки, использующей новые уязвимости.Эти уязвимости ZERO Day DDoS не имеют исправлений или эффективных защитных механизмов.
Ping Flood
Развитая версия ICMP Flood, эта DDoS-атака также зависит от приложения. Когда сервер получает много поддельных Ping-пакетов от очень большого набора IP-адресов источника, он становится целью атаки Ping Flood. Цель такой атаки — завалить цель пакетами ping до тех пор, пока она не отключится.
Он предназначен для использования всей доступной полосы пропускания и ресурсов в сети до тех пор, пока она полностью не разрядится и не отключится.Этот тип DDoS-атаки также нелегко обнаружить, поскольку он может легко напоминать законный трафик.
IP Null Attack
Пакеты содержат заголовки IPv4, которые несут информацию о том, какой транспортный протокол используется. Когда злоумышленники устанавливают значение этого поля равным нулю, эти пакеты могут обойти меры безопасности, разработанные для сканирования TCP, IP и ICMP. Когда целевой сервер пытается обработать эти пакеты, он в конечном итоге исчерпает свои ресурсы и перезагрузится.
CharGEN Flood
Это очень старый протокол, который можно использовать для выполнения усиленных атак.Атака с усилением CharGEN осуществляется путем отправки небольших пакетов, содержащих поддельный IP-адрес цели, на подключенные к Интернету устройства с CharGEN. Эти поддельные запросы к таким устройствам затем используются для отправки UDP-потока в качестве ответов от этих устройств к цели.
В большинстве принтеров, копировальных аппаратов и т. Д. С подключением к Интернету этот протокол включен по умолчанию и может использоваться для выполнения атаки CharGEN. Это можно использовать для заполнения цели UDP-пакетами на порту 19. Когда цель пытается понять смысл этих запросов, она не может этого сделать.В конечном итоге сервер исчерпает свои ресурсы и перейдет в автономный режим или перезагрузится.
SNMP Flood
Подобно атаке CharGEN, SNMP также может использоваться для атак с усилением. SNMP в основном используется на сетевых устройствах. Атака с усилением SNMP осуществляется путем отправки небольших пакетов, содержащих поддельный IP-адрес цели, на подключенные к Интернету устройства, работающие по протоколу SNMP.
Эти поддельные запросы к таким устройствам затем используются для отправки потоков UDP в качестве ответов от этих устройств к цели.Однако эффект усиления в SNMP может быть больше по сравнению с атаками CHARGEN и DNS. Когда цель пытается разобраться в этом потоке запросов, она исчерпывает свои ресурсы и переходит в автономный режим или перезагружается.
NTP Flood
Протокол NTP — еще один общедоступный сетевой протокол. Атака с усилением NTP также осуществляется путем отправки небольших пакетов, содержащих поддельный IP-адрес цели, на подключенные к Интернету устройства, на которых работает NTP.
Эти поддельные запросы к таким устройствам затем используются для отправки потоков UDP в качестве ответов от этих устройств к цели.Когда цель пытается разобраться в этом потоке запросов, она исчерпывает свои ресурсы и переходит в автономный режим или перезагружается.
SSDP Flood
Сетевые устройства с поддержкой SSDP, которые также доступны для UPnP из Интернета, являются простым источником для генерации потоков усиления SSDP. Атака с усилением SSDP также осуществляется путем отправки на устройства небольших пакетов, содержащих поддельный IP-адрес цели.
Эти поддельные запросы к таким устройствам используются для отправки потоков UDP в качестве ответов от этих устройств к цели.Когда цель пытается разобраться в этом потоке запросов, она исчерпывает свои ресурсы и переходит в автономный режим или перезагружается.
Другие усиленные DDoS-атаки
Все усиленные атаки используют ту же стратегию, описанную выше для CHARGEN, NTP и т. Д. Другие протоколы UDP, которые были определены как возможные инструменты для проведения атак с усилением флуда (US CERT):
- SNMPv2
- NetBIOS
- QOTD
- BitTorrent
- Kad
- Quake Network Protocol
- Steam Protocol
Fragmented HTTP Flood
В этом примере изощренной атаки на известную лазейку для установления действительного IP используются BOT с действительным IP. HTTP-соединение с веб-сервером.Затем HTTP-пакеты разбиваются ботом на крошечные фрагменты и отправляются цели настолько медленно, насколько это возможно, до истечения времени ожидания. Этот метод позволяет злоумышленникам поддерживать соединение в течение длительного времени без предупреждения каких-либо защитных механизмов.
Злоумышленник может использовать один BOT для запуска нескольких необнаруженных, расширенных и ресурсоемких сеансов. Популярные веб-серверы, такие как Apache, не имеют эффективных механизмов тайм-аута. Это лазейка в защите от DDoS-атак, которую можно использовать с помощью нескольких BOT для остановки веб-сервисов.
HTTP Flood
Во избежание подозрений используется реальный IP-адрес BOT. Количество BOT, используемых для выполнения атаки, совпадает с диапазоном IP-адресов источника для этой атаки. Поскольку IP-адреса BOT не подделываются, у механизмов защиты нет причин отмечать эти допустимые HTTP-запросы.
Один бот может использоваться для отправки большого количества GET, POST или других HTTP-запросов для выполнения атаки. В HTTP-атаке DDoS можно объединить несколько ботов, чтобы полностью вывести из строя целевой сервер.
Односеансный HTTP Flood
Злоумышленник может использовать лазейку в HTTP 1.1 для отправки нескольких запросов из одного сеанса HTTP. Это позволяет злоумышленникам отправлять большое количество запросов из нескольких сеансов. Другими словами, злоумышленники могут обойти ограничения, накладываемые механизмами защиты от DDoS на количество разрешенных сеансов.
Односессионный HTTP Flood также нацелен на ресурсы сервера, чтобы вызвать полное отключение системы или снижение производительности.
Однопакетный HTTP-Flood
Когда защитные механизмы эволюционировали для блокирования многих входящих пакетов, атаки, такие как однопакетный HTTP-Flood, были разработаны с обходными путями для обхода этой защиты.Эта эволюция HTTP-потока использует еще одну лазейку в технологии HTTP. Несколько HTTP-запросов могут быть сделаны в одном HTTP-сеансе, маскируя эти запросы в одном HTTP-пакете.
Этот метод позволяет атаке оставаться невидимой при исчерпании ресурсов сервера за счет сохранения скорости передачи пакетов в допустимых пределах.
Рекурсивный HTTP GET Flood
Чтобы атака была очень успешной, она должна оставаться незамеченной как можно дольше. Лучший способ остаться незамеченным — выглядеть как законный запрос, оставаясь в рамках всех ограничений, пока выполняется другая атака.Рекурсивный GET достигает этого самостоятельно, собирая список страниц или изображений и создавая впечатление прохождения этих страниц или изображений.
Эта атака может быть объединена с атакой HTTP-флуда для максимального воздействия.
Случайный рекурсивный GET Flood
Эта атака представляет собой специально созданный вариант рекурсивной атаки GET. Он предназначен для форумов, блогов и других веб-сайтов, на которых страницы расположены последовательно. Как и Recursive GET, похоже, что он просматривает страницы. Поскольку имена страниц расположены в определенной последовательности, чтобы поддерживать внешний вид законного пользователя, он использует случайные числа из допустимого диапазона страниц, чтобы каждый раз отправлять новый запрос GET.
Случайный рекурсивный GET также направлен на снижение производительности своей цели с помощью большого количества запросов GET и запрета доступа реальным пользователям.
Многовекторные атаки
Мы говорили о злоумышленниках, комбинирующих рекурсивные атаки GET с атаками HTTP-флуда, чтобы усилить эффект атаки. Это всего лишь один пример того, как злоумышленник использует два типа DDoS-атак одновременно для нацеливания на сервер. Атаки также могут сочетать несколько методов, чтобы запутать инженеров, занимающихся DDoS-атакой.
С этими атаками труднее всего справиться, и они способны вывести из строя некоторые из наиболее защищенных серверов и сетей.
SYN Flood
Эта атака использует структуру трехстороннего процесса TCP-связи между клиентом, хостом и сервером. В этом процессе клиент инициирует новый сеанс, генерируя SYN-пакет. Хост назначает и проверяет эти сеансы, пока они не будут закрыты клиентом. Чтобы выполнить атаку SYN Flood, злоумышленник отправляет множество SYN-пакетов на целевой сервер с поддельных IP-адресов.
Эта атака продолжается до тех пор, пока она не исчерпает память таблицы соединений сервера — хранит и обрабатывает эти входящие SYN-пакеты. В результате сервер недоступен для обработки законных запросов из-за исчерпанных ресурсов до тех пор, пока атака не длится.
SYN-ACK Flood
Второй шаг трехстороннего процесса TCP-связи используется этой DDoS-атакой. На этом этапе прослушивающий хост генерирует пакет SYN-ACK, чтобы подтвердить входящий пакет SYN. Большое количество поддельных пакетов SYN-ACK отправляется на целевой сервер при атаке SYN-ACK Flood.Атака пытается исчерпать ресурсы сервера — его ОЗУ, ЦП и т. Д., Поскольку сервер пытается обработать этот поток запросов.
В результате сервер будет недоступен для обработки законных запросов из-за исчерпанных ресурсов до тех пор, пока атака не длится.
ACK & PUSH ACK Flood
Во время активного сеанса TCP-SYN пакеты ACK или PUSH ACK переносят информацию к хосту и клиентским машинам и от них, пока сеанс не длится. Во время флуд-атаки ACK & PUSH ACK большое количество поддельных пакетов ACK отправляется на целевой сервер для его дефляции.
Поскольку эти пакеты не связаны ни с одним сеансом в списке соединений сервера, сервер тратит больше ресурсов на обработку этих запросов. В результате сервер недоступен для обработки законных запросов из-за исчерпанных ресурсов до тех пор, пока атака не длится.
ACK Fragmentation Flood
В этой версии атаки ACK & PUSH ACK Flood, потребляющей полосу пропускания, используются фрагментированные пакеты ACK. Для выполнения этой атаки на целевой сервер отправляются фрагментированные пакеты размером 1500 байт.Этим пакетам легче достичь своей цели незамеченными, поскольку они обычно не собираются маршрутизаторами на уровне IP.
Это позволяет злоумышленнику отправить несколько пакетов с нерелевантными данными через устройства маршрутизации, чтобы использовать большую полосу пропускания. Эта атака затрагивает все серверы в целевой сети, пытаясь использовать всю доступную пропускную способность в сети.
RST / FIN Flood
После успешного трех- или четырехстороннего сеанса TCP-SYN серверы обмениваются пакетами RST или FIN, чтобы закрыть сеанс TCP-SYN между хостом и клиентским компьютером.При атаке RST или FIN Flood целевой сервер получает большое количество поддельных пакетов RST или FIN, которые не принадлежат ни одному сеансу на целевом сервере.
Атака пытается исчерпать ресурсы сервера — его ОЗУ, ЦП и т. Д., Поскольку сервер пытается обработать эти недопустимые запросы. В результате сервер становится недоступным для обработки законных запросов из-за исчерпанных ресурсов.
Синонимическая IP-атака
Чтобы вывести сервер из строя, на целевой сервер отправляется большое количество пакетов TCP-SYN, содержащих исходный IP-адрес и целевой IP-адрес.Несмотря на то, что пакеты несут информацию об исходном и IP-адресах целевого сервера, эти данные не важны.
Цель атаки Synonymous IP — исчерпать ресурсы сервера — RAM, CPU и т. Д., Пока он пытается вычислить эту аномалию. В этом случае исчерпанный сервер становится недоступным для обработки законных запросов из-за исчерпанных ресурсов.
Spoofed Session Flood
Некоторые из вышеперечисленных DDoS-атак не могут обмануть большинство современных защитных механизмов, но DDoS-атаки также развиваются, чтобы обойти эту защиту.Атаки Fake Session пытаются обойти безопасность под видом действительного сеанса TCP, передавая SYN, несколько ACK и один или несколько пакетов RST или FIN.
Эта атака может обойти механизмы защиты, которые отслеживают только входящий трафик в сети. Эти DDoS-атаки также могут истощить ресурсы цели и привести к полному отключению системы или недопустимой производительности системы.
Множественный флуд сеанса подделки SYN-ACK
Эта версия атаки поддельного сеанса содержит несколько пакетов SYN и несколько пакетов ACK вместе с одним или несколькими пакетами RST или FIN.Поддельный сеанс множественного SYN-ACK — еще один пример развитой DDoS-атаки. Они изменены для обхода защитных механизмов, которые полагаются на очень конкретные правила для предотвращения таких атак.
Подобно атаке Fake Session, эта атака также может исчерпать ресурсы цели и привести к полному отключению системы или недопустимой производительности системы.
Множественный флуд поддельного сеанса ACK
SYN полностью пропускается в этой версии поддельного сеанса. Множественные пакеты ACK используются для начала и проведения атаки.За этими пакетами ACK следует один или несколько пакетов RST или FIN, чтобы завершить маскировку сеанса TCP.
Эти атаки, как правило, более успешны, так как остаются незамеченными, поскольку они генерируют низкий трафик TCP-SYN по сравнению с исходными атаками SYN-Flood. Как и ее источник, атака множественного ACK Fake Session может истощить ресурсы цели и привести к полному отключению системы или неприемлемой производительности системы.
Session Attack
Для обхода защиты вместо использования поддельных IP-адресов эта атака использует реальный IP-адрес BOT, используемых для проведения атаки.Количество BOT, используемых для выполнения атаки, совпадает с диапазоном IP-адресов источника для этой атаки. Эта атака выполняется путем создания сеанса TCP-SYN между ботом и целевым сервером.
Затем этот сеанс растягивается до истечения времени ожидания из-за задержки пакетов ACK. Атаки сеанса пытаются исчерпать ресурсы сервера через эти пустые сеансы. Это, в свою очередь, приводит к полному отключению системы или неприемлемой производительности системы.
Атака на неправильное приложение
Злоумышленники сначала взламывают клиентские машины, на которых размещены приложения с высоким трафиком, такие как сервисы P2P.Затем трафик с этих клиентских машин перенаправляется на целевой сервер. Целевой сервер исчерпывает свои ресурсы, пытаясь принять и согласовать избыточный трафик. В этом случае защитные механизмы не срабатывают, поскольку взломанные клиентские машины фактически пытаются установить действительное соединение с целевым сервером.
После успешного перенаправления трафика на цель по мере продолжения атаки злоумышленник отключается от сети и становится незамеченным. Атака на неправильно используемые приложения нацелена на ресурсы сервера и пытается вывести его из строя или снизить его производительность.
UDP Flood
Как следует из названия, в этом типе DDoS-атаки сервер переполняется UDP-пакетами. В отличие от TCP, здесь нет непрерывного процесса связи между клиентом и хостом. Это усложняет защитным механизмам идентификацию атаки UDP Flood. Большое количество поддельных UDP-пакетов отправляется на целевой сервер с огромного набора исходных IP-адресов, чтобы его отключить.
UDP-флуд-атаки могут быть нацелены на случайные серверы или конкретный сервер в сети, включая порт и IP-адрес целевого сервера в атакующие пакеты.Цель такой атаки — использовать полосу пропускания в сети до тех пор, пока не будет исчерпана вся доступная пропускная способность.
UDP Fragmentation Flood
Это еще одна из тех хорошо замаскированных DDoS-атак, которые нелегко обнаружить. Активность, генерируемая этой атакой, похожа на действительный трафик, и все это находится в пределах. Эта версия атаки UDP Flood отправляет более крупные, но фрагментированные пакеты, чтобы исчерпать большую полосу пропускания за счет отправки меньшего количества фрагментированных пакетов UDP.
Когда целевой сервер пытается собрать эти несвязанные и поддельные фрагментированные UDP-пакеты вместе, ему это не удается.В конце концов, все доступные ресурсы исчерпаны, и сервер может перезагрузиться.
DNS Flood
Одна из самых известных DDoS-атак, эта версия атаки UDP flood зависит от приложения — в данном случае это DNS-серверы. Это также одна из самых сложных DDoS-атак для обнаружения и предотвращения. Для выполнения злоумышленник отправляет большое количество поддельных пакетов DNS-запросов, которые ничем не отличаются от реальных запросов с очень большого набора исходных IP-адресов.
Это делает невозможным для целевого сервера различать законные запросы DNS и запросы DNS, которые кажутся законными.Пытаясь обслужить все запросы, сервер исчерпывает свои ресурсы. Атака использует всю доступную пропускную способность сети до тех пор, пока она не будет полностью истощена.
VoIP Flood
Эта версия UDP-флуда для конкретных приложений нацелена на серверы VoIP. Злоумышленник отправляет большое количество поддельных пакетов запросов VoIP с очень большого набора исходных IP-адресов. Когда сервер VoIP переполнен поддельными запросами, он исчерпывает все доступные ресурсы, пытаясь обслужить действительные и недействительные запросы.
Это перезагружает сервер или снижает его производительность и исчерпывает доступную пропускную способность. VoIP-флуд может содержать фиксированный или случайный IP-адрес источника. Атаку с фиксированным IP-адресом источника нелегко обнаружить, поскольку она маскируется и ничем не отличается от легитимного трафика.
Media Data Flood
Как и VoIP Flood, сервер также может быть атакован с помощью мультимедийных данных, таких как аудио и видео. Большое количество поддельных пакетов мультимедийных данных отправляется злоумышленником с очень большого набора исходных IP-адресов.Когда сервер наводнен поддельными запросами мультимедийных данных, он исчерпывает все доступные ресурсы и пропускную способность сети для обработки этих запросов.
Эта атака похожа на наводнение VoIP во всех отношениях, кроме использования поддельных пакетов мультимедийных данных для атаки на сервер. Также может быть трудно обнаружить эти атаки, когда они используют фиксированный IP-адрес источника, поскольку это придает им законный вид. Атака предназначена для использования всех доступных серверных ресурсов и полосы пропускания в сети, пока они не будут полностью истощены.
Direct UDP Flood
Целевой сервер атакован большим количеством незарегистрированных UDP-пакетов. Чтобы замаскировать атаку, злоумышленник не подделывает фактический IP-адрес BOT. Количество BOT, используемых для выполнения атаки, совпадает с диапазоном IP-адресов источника для этой атаки. Атака предназначена для использования всей доступной полосы пропускания и ресурсов в сети, пока она не будет полностью истощена и отключена. Этот тип DDoS-атаки также нелегко обнаружить, поскольку он напоминает легитимный трафик.
ICMP Flood
Подобно UDP, стек ICMP также не имеет сквозного процесса для обмена данными. Это затрудняет обнаружение атаки ICMP Flood. Злоумышленник отправляет большое количество поддельных пакетов ICMP с очень большого набора исходных IP-адресов. Когда сервер переполняется огромным количеством поддельных пакетов ICMP, его ресурсы исчерпываются при попытке обработать эти запросы. Эта перегрузка перезагружает сервер или сильно влияет на его производительность.
ICMP-флуд-атаки могут быть нацелены на случайные серверы или определенный сервер в сети, включая в пакеты порт и IP-адрес целевого сервера.Цель такой атаки — использовать пропускную способность сети до тех пор, пока она не исчерпает доступную пропускную способность.
ICMP Fragmentation Flood
Эта версия атаки ICMP Flood отправляет пакеты большего размера, чтобы исчерпать большую полосу пропускания, отправляя меньше фрагментированных пакетов ICMP. Когда целевой сервер пытается объединить эти поддельные фрагментированные ICMP-пакеты без корреляции, он не сможет этого сделать. В конечном итоге сервер исчерпывает свои ресурсы и перезагружается.
.Защита серверов Exchange под атакой
Защита серверов Exchange — одна из самых важных вещей, которые могут сделать защитники, чтобы ограничить уязвимость организации для атак. Любые угрозы или уязвимости, влияющие на серверы Exchange, должны рассматриваться с наивысшим приоритетом, поскольку эти серверы содержат важные бизнес-данные, а также учетные записи с высоким уровнем привилегий, которые злоумышленники пытаются взломать, чтобы получить права администратора на сервере и, следовательно, полный контроль над сетью.
В случае взлома серверы Exchange предоставляют уникальную среду, которая может позволить злоумышленникам выполнять различные задачи, используя те же встроенные инструменты или сценарии, которые администраторы используют для обслуживания. Это усугубляется тем фактом, что серверам Exchange традиционно не хватало антивирусных решений, защиты сети, последних обновлений безопасности и надлежащей конфигурации безопасности, часто намеренно, из-за ошибочного представления о том, что эти средства защиты мешают нормальным функциям Exchange.Злоумышленники знают об этом и используют эти знания, чтобы закрепиться в целевой организации.
Есть два основных способа взлома серверов Exchange. Первый и наиболее распространенный сценарий — злоумышленники запускают атаки с использованием методов социальной инженерии или скрытой загрузки, нацеленные на конечные точки, где они крадут учетные данные и перемещаются в сторону других конечных точек с помощью метода прогрессивного дампа-эскалации-перемещения, пока не получат доступ к серверу Exchange.
Во втором сценарии злоумышленники используют уязвимость удаленного выполнения кода, влияющую на базовый компонент Internet Information Service (IIS) целевого сервера Exchange.Это мечта злоумышленника: напрямую попасть на сервер и, если на сервере неправильно настроены уровни доступа, получить системные привилегии.
Первый сценарий более распространен, но мы наблюдаем рост атак второго типа; в частности, атаки, использующие уязвимости Exchange, такие как CVE-2020-0688. Обновление безопасности, исправляющее эту уязвимость, было доступно в течение нескольких месяцев, но, что особенно важно, по сей день злоумышленники находят уязвимые серверы для атак.
Во многих случаях после того, как злоумышленники получают доступ к серверу Exchange, следует развертывание веб-оболочки на одном из многих доступных веб-путей на сервере.Как мы обсуждали в предыдущем блоге, веб-оболочки позволяют злоумышленникам красть данные или выполнять вредоносные действия для дальнейшего взлома.
Обнаружение и блокирование вредоносных действий на серверах Exchange на основе поведения
Злоумышленникам нравится использовать веб-оболочки, которые представляют собой относительно небольшие фрагменты вредоносного кода, написанного на общих языках программирования, поскольку их можно легко изменить, чтобы обойти традиционные средства защиты на основе файлов. Более надежный подход к обнаружению активности веб-оболочки включает профилирование действий процессов, исходящих из внешних приложений Exchange.
Возможности блокировки и сдерживания на основе поведения в Microsoft Defender ATP, которые используют механизмы, которые специализируются на обнаружении угроз путем анализа поведения, выявления подозрительных и вредоносных действий на серверах Exchange. Эти механизмы обнаружения работают на основе классификаторов машинного обучения на основе облачных вычислений, которые обучаются на основе экспертного профилирования законных и подозрительных действий на серверах Exchange.
В апреле несколько обнаружений, связанных с поведением Exchange, выявили необычную активность.Телеметрия показала, что злоумышленники работают на локальных серверах Exchange, используя развернутые веб-оболочки. Всякий раз, когда злоумышленники взаимодействовали с веб-оболочкой, пул захваченных приложений запускал команду от имени злоумышленника, создавая интересную цепочку процессов. Общие службы, например Outlook в Интернете (ранее известный как Outlook Web App или OWA) или центр администрирования Exchange (EAC; ранее известный как панель управления Exchange или ECP), выполняющие net.exe , cmd.exe , и другие известные живые бинарные файлы (LOLBins) типа мшта.exe очень подозрительный и требует дальнейшего расследования.
Рисунок 1. Обнаружение действий злоумышленников на серверах Exchange на основе поведения
В этом блоге мы поделимся нашим расследованием атак на Exchange в начале апреля, охватывающим несколько одновременных кампаний. Данные и методы этого анализа составляют анатомию атак на сервер Exchange. Примечательно, что в атаках использовалось несколько бесфайловых методов, что добавляло еще один уровень сложности к обнаружению и устранению этих угроз и демонстрировало, что обнаружение на основе поведения является ключом к защите организаций.
Рисунок 2. Анатомия атаки на сервер Exchange
Начальный доступ: развертывание веб-оболочки
Злоумышленники начали взаимодействовать с целевыми серверами Exchange через развернутые ими веб-оболочки. Любой путь, доступный через Интернет, является потенциальной целью для развертывания веб-оболочки, но в этих атаках наиболее распространенными путями доступа клиентов были:
- % ProgramFiles% \ Microsoft \ Exchange Server \ <версия> \ ClientAccess
- % ProgramFiles% \ Microsoft \ Exchange Server \ <версия> \ FrontEnd
Каталоги ClientAccess и FrontEnd предоставляют различные службы клиентского доступа, такие как Outlook в Интернете, EAC и AutoDiscover, и это лишь некоторые из них.Эти виртуальные каталоги IIS автоматически настраиваются во время установки сервера и предоставляют службы проверки подлинности и прокси для внутренних и внешних клиентских подключений.
Эти каталоги следует отслеживать на предмет создания любого нового файла. Хотя сами по себе события создания файлов нельзя рассматривать как подозрительные, корреляция таких событий с ответственным процессом дает более надежные сигналы. Обычные службы, такие как OWA или ECP, сбрасывающие файлы .aspx или .ashx в любой из указанных каталогов, вызывают большие подозрения.
В нашем исследовании в большинстве этих атак использовалась веб-оболочка China Chopper. Злоумышленники пытались совместить файл сценария веб-оболочки с другими файлами .aspx и , присутствующими в системе, используя общие имена файлов. Во многих случаях захваченные серверы использовали команду «echo» для написания веб-оболочки. В других случаях использовались certutil.exe или powershell.exe . Вот несколько примеров кодов China Chopper, которые были сброшены в этих атаках:
Мы также наблюдали, как злоумышленники переключали веб-оболочки или использовали две или более для различных целей.В одном случае злоумышленники создали версию .ashx популярной общедоступной веб-оболочки .aspx , которая предоставляет минимальную функциональность:
Рис. 3. Предупреждение ATP в Microsoft Defender для веб-оболочки
Разведка
После развертывания веб-оболочки злоумышленники обычно запускали начальный набор исследовательских команд, таких как whoami , ping и net user .В большинстве случаев службы пула захваченных приложений работали с системными привилегиями, что давало злоумышленникам наивысшие привилегии.
Злоумышленники перечислили все локальные группы и участников в домене, чтобы идентифицировать цели. Интересно, что в некоторых кампаниях злоумышленники использовали инструменты для перечисления групп пользователей с открытым исходным кодом, такие как lg.exe вместо встроенного net.exe . Злоумышленники также использовали эксплойт EternalBlue и сканер nbtstat для выявления уязвимых компьютеров в сети.
Затем злоумышленники запустили встроенные командлеты Exchange Management Shell, чтобы получить больше информации о среде обмена. Злоумышленники использовали эти командлеты для выполнения следующих действий:
- Список всех виртуальных каталогов центра администрирования Exchange в службах клиентского доступа на всех серверах почтовых ящиков в сети.
- Получить сводный список всех серверов Exchange в сети
- Получите информацию о почтовых ящиках, такую как размер и количество элементов, а также назначение ролей и разрешения.
Рисунок 4. Предупреждение ATP в Microsoft Defender, показывающее дерево процессов для аномального поиска учетной записи
Стойкость
На неправильно настроенных серверах, на которых они получили наивысшие привилегии, злоумышленники смогли добавить новую учетную запись пользователя на сервере. Это дало злоумышленникам возможность получить доступ к серверу без необходимости развертывания каких-либо инструментов удаленного доступа.
Затем злоумышленники добавили вновь созданную учетную запись в группы с высоким уровнем привилегий, такие как администраторы, пользователи удаленного рабочего стола и администраторы предприятия, фактически сделав злоумышленников администратором домена с неограниченным доступом к любым пользователям или группе в организации.
Рисунок 5. Предупреждение ATP в Microsoft Defender, показывающее дерево процессов для добавления локального администратора с помощью сетевых команд
Учетный доступ
Серверы Exchange содержат наиболее важных пользователей и группы в организации. Получение учетных данных для этих учетных записей может фактически дать злоумышленнику права администратора домена.
В нашем исследовании злоумышленники сначала сбрасывали хэши пользователей, сохраняя базу данных Security Account Manager (SAM) из реестра.
Затем злоумышленники использовали инструмент ProcDump для дампа памяти службы подсистемы локального администратора безопасности (LSASS). Позже дампы были заархивированы и выгружены в удаленное место.
В некоторых кампаниях злоумышленники сбрасывали Mimikatz и пытались сбросить хэши с сервера.
Рис. 6. Предупреждение ATP в Microsoft Defender при обнаружении Mimikatz
В средах, где Mimiktaz был заблокирован, злоумышленники сбросили модифицированную версию с жестко запрограммированной реализацией, чтобы избежать обнаружения.Злоумышленники также добавили оболочку, написанную на языке программирования Go, чтобы размер двоичного файла превышал 5 МБ. Двоичный файл использовал библиотеку MemoryModule с открытым исходным кодом для загрузки двоичного файла с помощью отражающей DLL-инъекции. Таким образом, полезная нагрузка никогда не касалась диска и присутствовала только в памяти, обеспечивая сохранность без файлов.
Злоумышленники также активировали параметры реестра « wdigest », в результате чего система использовала протокол WDigest для аутентификации, в результате чего lsass.exe сохранил в памяти копию открытого текста пароля пользователя.Это изменение позволило злоумышленнику украсть фактический пароль, а не только хэш.
Еще одним примером скрытого выполнения, реализованного злоумышленниками, было создание двоичного файла оболочки для ProcDump и Mimikatz. При запуске инструмент сбросил и выполнил двоичный файл ProcDump для сброса памяти LSASS. Дамп памяти был загружен в тот же двоичный файл и проанализирован для извлечения паролей, еще один пример отражающей инъекции DLL, где двоичный файл Mimikatz присутствовал только в памяти.
Теперь, когда контролируемые злоумышленником учетные записи входят в группу администраторов домена, злоумышленники применили метод, называемый атакой DCSYNC, который злоупотребляет возможностью репликации Active Directory для запроса информации учетной записи, такой как NTLM-хэши паролей всех пользователей в организации. Этот метод очень скрытный, поскольку его можно выполнить без выполнения одной команды на реальном контроллере домена.
Боковое перемещение
В этих атаках злоумышленники использовали несколько известных способов бокового перемещения:
- Злоумышленники активно использовали WMI для запуска инструментов в удаленных системах.
- Злоумышленники также использовали другие методы, такие как создание службы или задачи по расписанию в удаленных системах.
- В некоторых случаях злоумышленники просто запускают команды в удаленных системах с помощью PsExec.
Злоупотребление командной консолью Exchange
Командная консоль Exchange — это интерфейс PowerShell для администраторов для управления сервером Exchange.Таким образом, он предоставляет множество важных командлетов Exchange PowerShell, позволяющих администраторам выполнять различные задачи обслуживания, такие как назначение ролей и разрешений, а также миграция, включая импорт и экспорт почтовых ящиков. Эти командлеты доступны только на серверах Exchange в командной консоли Exchange или через удаленные подключения PowerShell к серверу Exchange.
Чтобы понять подозрительный вызов командной консоли Exchange, нам нужно вернуться на один шаг назад в цепочке процессов и проанализировать ответственный процесс.Как уже упоминалось, общие пулы приложений MSExchangeOWAAppPool или MSExchangeECPAppPool , обращающиеся к оболочке, следует рассматривать как подозрительные.
В нашем исследовании злоумышленники использовали эти командлеты администратора для выполнения критических задач, таких как экспорт почтовых ящиков или выполнение произвольных сценариев. Злоумышленники использовали разные способы загрузки и запуска командлетов PowerShell через командную консоль Exchange.
В некоторых случаях злоумышленники создают оболочку PowerShell для команд, чтобы эффективно прикрываться законными действиями PowerShell.
Эти командлеты позволяли злоумышленникам выполнить следующее:
В наших исследованиях злоумышленников в первую очередь интересовали полученные электронные письма. Они искали информацию о доставке сообщений, отфильтрованную по событию «Получено». Временные рамки поиска показали, что злоумышленники изначально интересовались всей историей журнала. Позже аналогичная команда была запущена с сокращенным сроком в один год.
Злоумышленники экспортировали почтовые ящики, выполнив следующие четыре этапа:
- Предоставлена роль ApplicationImpersnation учетной записи, контролируемой злоумышленником.Это фактически позволило предоставленной учетной записи получить доступ ко всем почтовым ящикам в организации.
- Учетной записи, контролируемой злоумышленником, предоставлена роль «Импорт и экспорт почтового ящика». Эту роль необходимо добавить перед попыткой экспорта почтового ящика.
- Экспортировал почтовый ящик с помощью фильтра « Received -gt ‘01 / 01/2020 0:00:00 ’ ».
- Удален запрос на экспорт почтового ящика, чтобы не вызывать подозрений.
Взлом средств защиты
В рамках бокового движения злоумышленники попытались отключить антивирус Microsoft Defender.Злоумышленники также отключили сканирование архивов, чтобы обойти обнаружение инструментов и данных, сжатых в файлы .zip, а также создали исключение для с расширением .dat . Злоумышленники пытались отключить автоматические обновления, чтобы избежать обнаружения новыми обновлениями разведки. Для клиентов Microsoft Defender ATP защита от несанкционированного доступа предотвращает такие злонамеренные и несанкционированные изменения параметров безопасности.
Удаленный доступ
Следующим шагом злоумышленников было создание сетевой архитектуры с использованием инструментов переадресации портов, таких как plink.exe , инструмент для подключения к командной строке, например ssh . Использование этих инструментов позволило злоумышленникам обойти сетевые ограничения и получить удаленный доступ к машинам через протокол удаленного рабочего стола (RDP). Это очень скрытый метод: злоумышленники повторно использовали сброшенные учетные данные для доступа к машинам через программное обеспечение для зашифрованного туннелирования, что устраняет необходимость развертывания бэкдоров, которые могут иметь высокий шанс быть обнаруженными.
Эксфильтрация
Наконец, выгруженные данные были сжаты с помощью служебной программы rar.Exe. Сжатые данные в основном состоят из извлеченных файлов .pst, и дампов памяти.
Как показывают эти атаки, серверы Exchange — очень важные цели. Эти атаки также, как правило, представляют собой сложные угрозы с очень уклончивыми бесфайловыми методами. Например, на каждом этапе вышеупомянутой цепочки атак злоумышленники злоупотребляли существующими инструментами (LOLBins) и скриптами для выполнения различных задач. Даже в тех случаях, когда были представлены несистемные двоичные файлы, они были либо законными, либо подписанными, например, plink.exe , или просто прокси для вредоносного двоичного файла, например, модифицированного Mimikatz, где фактическая вредоносная полезная нагрузка никогда не касалась диска.
Защита этих серверов от этих сложных атак имеет первостепенное значение. Вот шаги, которые могут предпринять организации, чтобы не стать жертвой взлома сервера Exchange.
- Примените последние обновления безопасности
Выявление и устранение уязвимостей или неправильных настроек на серверах Exchange.Развертывайте последние обновления безопасности, особенно для серверных компонентов, таких как Exchange, как только они станут доступны. В частности, проверьте наличие исправлений для CVE-2020-0688. Используйте управление угрозами и уязвимостями, чтобы регулярно проверять эти серверы на наличие уязвимостей, неправильных настроек и подозрительной активности.
- Не отключать антивирус и другие средства защиты
Очень важно защитить серверы Exchange с помощью антивирусного программного обеспечения и других решений безопасности, таких как межсетевой экран и MFA.Включите облачную защиту и автоматическую отправку образцов, чтобы использовать искусственный интеллект и машинное обучение для быстрого выявления и устранения новых и неизвестных угроз. Используйте правила уменьшения поверхности атаки, чтобы автоматически блокировать такие действия, как кража учетных данных и подозрительное использование PsExec и WMI. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не остановили службы безопасности.
Если вас беспокоит, что эти меры безопасности повлияют на производительность или нарушат работу, обратитесь к ИТ-специалистам, чтобы они помогли определить истинное влияние этих настроек.Команды безопасности и ИТ-специалисты должны совместно применять меры защиты и соответствующий
.7 основных методов парольных атак (и способы их предотвращения)
Какие 7 основных методов взлома паролей используют хакеры против предприятий? Как ваш бизнес может предотвратить нанесение ими ущерба вашим процессам и прибыли? Могут ли методы парольной атаки действительно оказаться стержнем хакерских арсеналов?
По данным Centrify, провайдера управления привилегированным доступом, 74% корпоративных нарушений связаны с доступом к привилегированной учетной записи. Однако даже учетные данные обычных пользователей, попавшие в чужие руки, могут оказаться разрушительным оружием.Хакеры могут нарушить ваши бизнес-процессы, перехватить важную информацию, получить доступ к конфиденциальным данным и т. Д.
К сожалению, хакеры владеют несколькими методами парольной атаки, чтобы обойти однофакторную аутентификацию вашего предприятия. Чтобы улучшить управление вашей идентификацией и доступом, вам необходимо понять эти методы. Не волнуйтесь: мы предоставляем наш список из 7 лучших методов и наши предложения, как их победить.
Имейте в виду: хакеры часто используют гибридные методы и уникальные вариации всех этих методов парольной атаки.Не позволяйте себе ошеломить; сосредоточьтесь на том, чтобы оставаться в курсе наиболее распространенных методов.
7 основных методов парольной атаки
1. Атака грубой силой
Один из самых распространенных методов атаки на пароли и самый простой для хакеров. Собственно, именно поэтому неопытные хакеры отдают предпочтение этому методу.
При атаке методом грубой силы хакер использует компьютерную программу для входа в учетную запись пользователя со всеми возможными комбинациями паролей.Более того, учетные записи методом грубой силы не запускаются случайно; вместо этого они начинают с самых простых паролей.
Не забывайте, что если хакер когда-либо получит доступ к вашему списку сотрудников, угадать ваши имена пользователей не составит труда.
2. Атака по словарю
И наоборот, атака по словарю позволяет хакерам использовать программу, которая циклически перебирает общие слова. Атака полным перебором идет буква за буквой, тогда как атака по словарю проверяет только те варианты, которые наиболее вероятны для успеха.
Кроме того, словарные атаки зависят от нескольких ключевых факторов психологии пользователей. Например, пользователи склонны выбирать короткие пароли и строить свои пароли на общих словах. Таким образом, словарная атака начинается с этих слов и вариантов (добавление чисел в конце, замена букв числами и т. Д.).
3. Фишинг
А, старая классика. В конце концов, хакерам редко приходится прибегать к каким-либо другим методам парольной атаки. Зачем им, если они могут просто попросить пользователя передать свои учетные данные?
Обычно хакеры маскируют свои фишинговые атаки под ничего не подозревающие электронные письма, выдающие себя за законные и известные службы.Из этих писем хакеры перенаправляют пользователей на поддельные страницы входа, замаскированные под законную службу. Часто хакеры добавляют к своим электронным письмам тонкий, угрожающий аспект, например, перспективу отмены услуги. Это вынуждает пользователей передавать свои учетные данные, прежде чем внимательно их рассматривать.
Также разновидностью фишинг-атаки является атака с применением социальной инженерии . Эти атаки на идентичность используют социальные условности на рабочем месте, чтобы обмануть пользователей. Хакеры могут выдавать себя за ИТ-специалистов и напрямую запрашивать у пользователей их пароли, не рискуя обнаружить.
Социальная инженерия позволяет хакерам узнавать информацию о пользователях, например, девичью фамилию их матери (распространенный секретный вопрос), просто просматривая их социальные сети. В конце концов, так много паролей включают дни рождения или имена домашних животных — информацию, которую пользователи передают, не задумываясь!
Наконец, фишинг упрощает подбора пароля, но, конечно, хакеры всегда могут просто угадать информацию, которую они находят в Интернете. К сожалению, в конце концов они часто оказываются правы.
4. Атака на радужный стол
Итак, из возможных методов атаки на пароли требуется немного технических знаний. Потерпите нас.
Разумно, предприятия часто хэшируют пароли своих пользователей; хеширование влечет за собой математическое преобразование кешей паролей в криптографические строки символов произвольного вида, чтобы предотвратить их неправильное использование. Если хакеры не могут прочитать пароли, они не смогут ими воспользоваться.
Хеширование звучит как надежный метод защиты личности.Это не неточно. Фактически, хеширование ваших паролей может означать разницу между утечкой данных, разрушающей репутацию, и тревожной, но решаемой проблемой. Однако, как мы видим, это может не всегда работать.
Например, радужная таблица составляет список предварительно вычисленных хешей. В нем уже есть математические ответы на все возможные комбинации паролей для общих алгоритмов хеширования. Как и многие другие угрозы управления идентификацией, эта использует время в своих интересах.
5.Учетная начинка
Почти все методы парольной атаки, описанные здесь, предполагают, что хакеры еще не владеют паролями ваших пользователей. Однако это может не оказаться правдой. Одним из самых заниженных, но наиболее разрушительных последствий утечки данных является ее каскадное воздействие на другие предприятия. Проще говоря, утечки данных приводят к большему количеству утечек данных в долгосрочной перспективе.
Заполнение учетных данных демонстрирует этот тревожный принцип в действии. В атаке с заполнением учетных данных хакеры используют списки украденных имен пользователей и паролей в комбинации для различных учетных записей, автоматически пробуя снова и снова, пока не найдут совпадение.
Заполнение учетных данных зависит от тенденции пользователей повторно использовать свои пароли для нескольких учетных записей, часто с большим успехом. Кроме того, хакеры делятся украденными паролями в Dark Web или продают их, поэтому эта информация распространяется среди злоумышленников.
Технически заполнение учетных данных подпадает под действие методов перебора паролей. Тем не менее, он оказывается невероятно эффективным, поскольку использует известные пароли.
6. Распыление паролем
Вот еще один представитель семейства методов атаки методом перебора паролей.Распылением паролей одновременно подвергаются тысячи, если не миллионы учетных записей с несколькими часто используемыми паролями. Если хотя бы один пользователь использует слабый пароль, весь ваш бизнес может оказаться под угрозой.
Большинство методов грубой силы сосредоточены на одной учетной записи. Напротив, распыление паролей расширяет потенциальные цели в геометрической прогрессии. Таким образом, это помогает хакерам избежать политик блокировки учетных записей, которые могут срабатывать при повторных неудачных попытках входа в систему. По крайней мере, это снижает их эффективность.
Удивительно, но эти методы парольной атаки имеют тенденцию к медленному развитию.Хакеры предпочитают методично атаковать от учетной записи к учетной записи, пробуя разные пароли. Это позволяет таймерам средств обнаружения блокировки учетной записи возвращаться, прежде чем вернуться с другим паролем.
Распространение паролей может быть особенно опасным для порталов единой регистрации или облачных аутентификационных порталов.
7. Атака с помощью кейлоггера
Наконец, атаки кейлоггеров устанавливают на конечных точках пользователей программу для отслеживания всех нажатий клавиш пользователем.
Таким образом, когда пользователь вводит свои имена пользователей и пароли, хакеры записывают их для использования в дальнейшем.Технически это относится к категории вредоносных программ или цифровых вирусов, поэтому сначала необходимо заразить конечные точки пользователей (часто посредством фишинговой загрузки).
Даже самые надежные пароли не могут защитить вас от кибератак с использованием паролей. Итак, что может сделать ваше предприятие?
Как предотвратить методы парольной атаки
Во-первых, ваше предприятие должно столкнуться с фактами: пароли остаются невероятно уязвимыми для методов парольной атаки. Фактически, любая форма однофакторной аутентификации оставляет всю вашу ИТ-среду открытой для хакеров, которые могут легко ее взломать.
Вместо того, чтобы полагаться на пароли, ваше предприятие должно использовать решение для управления привилегированным доступом следующего поколения для развертывания многофакторной аутентификации (MFA). Многофакторная проверка подлинности обеспечивает разные уровни защиты личности для каждой учетной записи. Он отслеживает различные факторы, такие как время запроса доступа и геолокацию. Кроме того, он может включать биометрическую аутентификацию и аппаратные токены.
Вот что важно: многофакторная аутентификация снижает эффективность методов парольной атаки.Возможно, это не полностью предотвратит всех хакеров, но отпугнет их массово.
Чтобы узнать больше, ознакомьтесь с нашим Руководством покупателя по управлению идентификационной информацией 2019.
Бен Каннер
Бен Каннер (Ben Canner) — писатель и аналитик по корпоративным технологиям, охватывающий в целом управление идентификацией, SIEM, защиту конечных точек и кибербезопасность. Он имеет степень бакалавра искусств по английскому языку в Университете Кларка в Вустере, штат Массачусетс.Ранее он работал корпоративным блоггером и писателем-призраком. Вы можете связаться с ним через Twitter и LinkedIn.
Последние сообщения Бена Каннера (посмотреть все)
Связанные
.Глоссарий: Общие типы DDoS-атак — Corero
Общие типы DDoS-атак
Атака ACK или флуд ACK-PUSH
При атаке флудом ACK или флудом ACK-PUSH злоумышленники отправляют поддельные пакеты ACK (или ACK-PUSH) с очень высокой скоростью передачи пакетов, которые не принадлежат ни одному текущему сеансу в таблице состояний брандмауэра и / или списке соединений сервера. Флуд ACK (или ACK-PUSH) истощает брандмауэры жертвы, заставляя выполнять поиск в таблице состояний и серверах, истощая их системные ресурсы, используемые для сопоставления этих входящих пакетов с существующим потоком.
DNS Amplified (отражающий)
Еще один возможный способ использования DNS-флуда — это подмена злоумышленниками инфраструктуры DNS жертвы и использование открытых рекурсивных DNS-серверов и расширений протокола DNS. Очень маленькие DNS-запросы могут привести к очень большим и большим объемам DNS-ответов (то есть к коэффициенту усиления). Узнайте больше об атаках с усилением DNS.
DNS-флуд
При DNS Flood злоумышленники используют DNS как вариант UDP Flood.Злоумышленники отправляют действительные, но поддельные пакеты DNS-запросов с очень высокой скоростью передачи пакетов и с очень большой группы исходных IP-адресов. Поскольку они выглядят как действительные запросы, DNS-серверы жертвы продолжают отвечать на все запросы. DNS-сервер может быть перегружен огромным количеством запросов. Эта DNS-атака потребляет большие объемы сетевых ресурсов, которые истощают инфраструктуру DNS до тех пор, пока она не переходит в автономный режим, перекрывая доступ жертвы к Интернету (www).
Избыточный глагол — отдельная сессия
В атаке с чрезмерным количеством глаголов злоумышленники используют преимущества HTTP 1.1, который позволяет выполнять несколько клиентских запросов в рамках одного сеанса HTTP. В этом случае злоумышленники могут снизить частоту запросов сеанса при HTTP-атаке, чтобы попасть в поле зрения функций ограничения скорости запросов, имеющихся в некоторых развернутых сегодня системах защиты от атак. Эта атака рассматривается как низко-медленная атака на уровне приложений и обычно требует небольшой полосы пропускания, но в конечном итоге приводит к тому, что серверы жертвы перестают отвечать.
Избыточный глагол (HTTP GET Flood)
При GET Flood злоумышленники отправляют большое количество действительных HTTP-запросов на веб-сервер жертвы.HTTP-запрос чаще всего является запросом GET и направлен на процесс, наиболее интенсивно использующий ЦП на веб-сервере жертвы. Каждый злоумышленник может генерировать большое количество допустимых запросов GET, поэтому злоумышленник может использовать относительно небольшое количество атакующих машин для отключения системы. HTTP-потоки GET не подделываются, а исходный IP-адрес является фактическим общедоступным IP-адресом атакующего компьютера (или межсетевого экрана NAT). Наиболее распространенный вариант этой атаки использует запросы GET, но злоумышленник также может использовать HEAD, POST, PUT, OPTIONS или любой другой метод HTTP, чтобы вызвать сбой.Эта атака рассматривается как низко-медленная атака на уровне приложений и обычно требует небольшой полосы пропускания, но в конечном итоге приводит к тому, что серверы жертвы перестают отвечать.
Поддельная сессионная атака
При атаке типа «отказ в обслуживании» в ложном сеансе злоумышленник отправляет поддельные пакеты SYN, несколько пакетов ACK, а затем один или несколько пакетов FIN / RST. Когда эти пакеты появляются вместе, они выглядят как действительный сеанс TCP только в одном направлении. Поскольку во многих современных сетях используются методы асимметричной маршрутизации, при которых входящие и исходящие пакеты проходят по разным интернет-каналам для повышения стоимости и производительности, эту атаку сложнее обнаружить.Эта атака имитирует полное TCP-соединение и предназначена для того, чтобы запутать новые инструменты защиты от атак, которые отслеживают только входящий трафик в сеть, а не двунаправленный мониторинг ответов сервера. Чаще всего наблюдаются два распространенных варианта этой DDoS-атаки: первый вариант отправляет несколько SYN, затем несколько ACK, за которыми следует один или несколько пакетов FIN / RST. Второй вариант пропускает начальный SYN и начинается с отправки нескольких ACK, за которыми следует один или несколько пакетов FIN / RST. Низкая скорость TCP-SYN затрудняет обнаружение атаки, чем типичный SYN-флуд.
Fraggle Attack
При атаке Fraggle злоумышленники отправляют поддельные UDP-пакеты вместо пакетов эхо-ответа ICMP (ping) на широковещательный адрес большой сети, что приводит к отказу в обслуживании.
Фрагментированное наводнение ACK
При DDoS-атаке с использованием фрагментированного ACK Flood большие фрагментированные (более 1500 байт) пакеты отправляются для использования большой полосы пропускания при относительно небольшой скорости передачи пакетов. Хотя протоколы допускают фрагментацию, эти пакеты обычно проходят через пограничные маршрутизаторы, межсетевые экраны и устройства IDS / IPS без проверки или могут потреблять чрезмерные ресурсы, пытаясь собрать и проверить фрагментированные пакеты.Содержимое пакета может быть рандомизированным, нерелевантными данными, которые могут потреблять ресурсы. Однако этот метод также можно использовать в качестве усовершенствованной техники уклонения, предназначенной для полного обхода устройств глубокой проверки пакетов. Целью злоумышленника может быть использование всей полосы пропускания сети жертвы или использование фрагментации для сокрытия коварных низко- и медленных DDoS-атак на уровне приложений, вредоносных программ, переполнений, перебора и т. Д.
HTTP-фрагментация
При атаке фрагментации HTTP злоумышленник без спуфинга устанавливает допустимое HTTP-соединение с веб-сервером.Злоумышленник переходит к фрагментации законных HTTP-пакетов на наименьшие возможные фрагменты и отправляет каждый фрагмент настолько медленно, насколько позволяет время ожидания сервера, что в конечном итоге удерживает HTTP-соединение открытым в течение длительного периода времени, не вызывая никаких сигналов тревоги. Открывая несколько расширенных сеансов для каждого злоумышленника, злоумышленник может незаметно отключить веб-приложение с помощью всего нескольких атакующих машин.
ICMP-флуд
При атаке наводнения ICMP злоумышленники отправляют сильно спуфинговые пакеты ICMP в достаточно больших объемах, чтобы переполнить сеть.Сетевые ресурсы жертвы перегружены большим количеством входящих ICMP-пакетов. Атака потребляет ресурсы и доступную пропускную способность, истощая сеть, пока она не перейдет в автономный режим. ICMP-наводнения могут завалить сеть пакетами, содержащими случайные или фиксированные исходные IP-адреса. Эта атака часто рассматривается как объемная атака на сетевом уровне и может быть отклонена с помощью фильтрации пакетов L3 / L4.
Фрагментационный флуд ICMP
При ICMP Fragmentation Flood злоумышленники отправляют сильно спуфированные, большие фрагментированные пакеты ICMP (1500+ байт) с очень высокой скоростью передачи пакетов, и эти пакеты не могут быть повторно собраны.Большой размер пакета может увеличить пропускную способность атаки ICMP в целом. Кроме того, это приводит к потере ресурсов ЦП при попытке собрать бесполезные пакеты.
IP NULL
В IP NULL
.