Ataki DoS (Denial of Service) i DDoS (Distributed Denial of Service) stają się coraz bardziej powszechne i silniejsze. Ataki typu „odmowa usługi” występują w wielu formach, ale mają wspólny cel: uniemożliwianie użytkownikom dostępu do zasobu, niezależnie od tego, czy jest to strona internetowa, poczta e-mail, sieć telefoniczna, czy coś zupełnie innego. Przyjrzyjmy się najczęstszym typom ataków na cele internetowe i sposobom, w jaki DoS może stać się DDoS.
Najczęstsze typy ataków typu „odmowa usługi” (DoS)
Zasadniczo atak Denial of Service jest zwykle przeprowadzany przez zalanie serwera - powiedzmy serwera witryny internetowej - do tego stopnia, że nie jest on w stanie świadczyć swoich usług uprawnionym użytkownikom. Można to zrobić na kilka sposobów, z których najczęstsze to ataki polegające na zalewaniu TCP i wzmacnianiu DNS.
Ataki zalewowe TCP
ZWIĄZANE Z: Jaka jest różnica między protokołem TCP a UDP?
Prawie cały ruch sieciowy (HTTP / HTTPS) jest wykonywany przy użyciu rozszerzenia Protokół kontroli transmisji (TCP) . Protokół TCP ma większy narzut niż alternatywny protokół UDP (User Datagram Protocol), ale został zaprojektowany tak, aby był niezawodny. Dwa komputery połączone ze sobą przez TCP potwierdzą odbiór każdego pakietu. W przypadku braku potwierdzenia pakiet należy wysłać ponownie.
Co się stanie, jeśli jeden komputer zostanie odłączony? Być może użytkownik traci moc, jego dostawca usług internetowych ma awarię lub jakakolwiek aplikacja, której używa, zostaje zamknięta bez informowania drugiego komputera. Inny klient musi przestać ponownie wysyłać ten sam pakiet, w przeciwnym razie marnuje zasoby. Aby zapobiec niekończącej się transmisji, określa się limit czasu i / lub nakłada się limit na to, ile razy pakiet może zostać wysłany ponownie, zanim całkowicie zerwie się połączenie.
Protokół TCP został zaprojektowany w celu ułatwienia niezawodnej komunikacji między bazami wojskowymi w przypadku katastrofy, ale sam ten projekt naraża go na ataki typu „odmowa usługi”. Kiedy stworzono TCP, nikt nie wyobrażał sobie, że będzie używany przez ponad miliard urządzeń klienckich. Ochrona przed współczesnymi atakami typu „odmowa usługi” po prostu nie była częścią procesu projektowania.
Najczęstszym atakiem typu „odmowa usługi” na serwery WWW jest spamowanie pakietami SYN (synchronizacja). Wysłanie pakietu SYN jest pierwszym krokiem do zainicjowania połączenia TCP. Po odebraniu pakietu SYN serwer odpowiada pakietem SYN-ACK (potwierdzenie synchronizacji). Na koniec klient wysyła pakiet ACK (potwierdzenie), kończąc połączenie.
Jeśli jednak klient nie odpowie na pakiet SYN-ACK w określonym czasie, serwer ponownie wysyła pakiet i czeka na odpowiedź. Będzie powtarzać tę procedurę w kółko, co może powodować marnowanie pamięci i czasu procesora na serwerze. W rzeczywistości, jeśli zostanie to zrobione wystarczająco dużo, może zmarnować tak dużo pamięci i czasu procesora, że legalnym użytkownikom sesje są przerywane lub nowe sesje nie mogą się rozpocząć. Ponadto zwiększone wykorzystanie przepustowości ze wszystkich pakietów może spowodować nasycenie sieci, uniemożliwiając im przenoszenie ruchu, którego faktycznie chcą.
Ataki wzmacniające DNS
ZWIĄZANE Z: Co to jest DNS i czy powinienem używać innego serwera DNS?
Ataki typu „odmowa usługi” mogą również mieć na celu Serwery DNS : serwery tłumaczące nazwy domen (np howtogeek.com ) na adresy IP (12.345.678.900), których komputery używają do komunikacji. Kiedy wpiszesz howtogeek.com w przeglądarce, zostanie wysłany na serwer DNS. Serwer DNS przekieruje Cię następnie do właściwej witryny internetowej. Szybkość i małe opóźnienia są głównymi problemami DNS, więc protokół działa przez UDP zamiast TCP. DNS to krytyczna część infrastruktury internetowej, a przepustowość wykorzystywana przez żądania DNS jest zazwyczaj minimalna.
Jednak DNS powoli się rozwijał, a nowe funkcje były stopniowo dodawane z czasem. To spowodowało problem: DNS miał limit rozmiaru pakietu wynoszący 512 bajtów, co nie wystarczyło dla wszystkich tych nowych funkcji. Tak więc w 1999 roku IEEE opublikowało specyfikację dla mechanizmy rozszerzeń dla DNS (EDNS) , co zwiększyło limit do 4096 bajtów, umożliwiając zawarcie większej ilości informacji w każdym żądaniu.
Jednak ta zmiana uczyniła DNS podatnym na „ataki wzmacniające”. Atakujący może wysyłać specjalnie spreparowane prośby do serwerów DNS z prośbą o podanie dużej ilości informacji i przesłanie ich na adres IP celu. „Wzmocnienie” jest tworzone, ponieważ odpowiedź serwera jest znacznie większa niż generujące ją żądanie, a serwer DNS wyśle swoją odpowiedź do sfałszowanego adresu IP.
Wiele serwerów DNS nie jest skonfigurowanych do wykrywania lub odrzucania złych żądań, więc gdy napastnicy wielokrotnie wysyłają sfałszowane żądania, ofiara zostaje zalana ogromnymi pakietami EDNS, co zatyka sieć. Nie będąc w stanie obsłużyć tak dużej ilości danych, ich legalny ruch zostanie utracony.
Czym więc jest rozproszony atak odmowy usługi (DDoS)?
Rozproszony atak typu „odmowa usługi” to taki, który obejmuje wielu (czasami nieświadomych) atakujących. Witryny i aplikacje internetowe są zaprojektowane tak, aby obsługiwały wiele jednoczesnych połączeń - w końcu witryny internetowe nie byłyby zbyt przydatne, gdyby w danym momencie mogła je odwiedzać tylko jedna osoba. Gigantyczne usługi, takie jak Google, Facebook czy Amazon, są przeznaczone do obsługi milionów lub dziesiątek milionów jednoczesnych użytkowników. Z tego powodu pojedynczy atakujący nie jest w stanie zniszczyć ich za pomocą ataku typu „odmowa usługi”. Ale wiele napastnicy mogliby.
ZWIĄZANE Z: Co to jest botnet?
Najpowszechniejszą metodą rekrutacji napastników jest użycie pliku botnet . W botnecie hakerzy infekują złośliwym oprogramowaniem wszelkiego rodzaju urządzenia podłączone do Internetu. Mogą to być komputery, telefony, a nawet inne urządzenia w domu, na przykład Rejestratory i kamery bezpieczeństwa . Po zarażeniu mogą używać tych urządzeń (zwanych zombie) do okresowego kontaktowania się z serwerem dowodzenia i kontroli w celu uzyskania instrukcji. Te polecenia mogą mieć zakres od wydobywanie kryptowalut tak, uczestnicząc w atakach DDoS. W ten sposób nie potrzebują mnóstwa hakerów do współpracy - mogą używać niezabezpieczonych urządzeń zwykłych użytkowników domowych do wykonywania swojej brudnej roboty.
Inne ataki DDoS mogą być przeprowadzane dobrowolnie, zwykle z powodów politycznych. Klienci lubią
Działo jonowe o niskiej orbicie
sprawiają, że ataki DoS są proste i łatwe w dystrybucji. Pamiętaj, że tak
nielegalne w większości krajów
(celowo) uczestniczyć w ataku DDoS.
Wreszcie, niektóre ataki DDoS mogą być niezamierzone. Oryginalnie określane jako Efekt Slashdota i uogólniając jako „uścisk śmierci”, ogromne ilości legalnego ruchu mogą sparaliżować witrynę. Prawdopodobnie widziałeś to już wcześniej - popularna witryna zawiera linki do małego bloga, a ogromny napływ użytkowników przypadkowo powoduje jej wyłączenie. Z technicznego punktu widzenia jest to nadal klasyfikowane jako DDoS, nawet jeśli nie jest zamierzone ani złośliwe.
Jak mogę się zabezpieczyć przed atakami typu Denial of Service?
Typowi użytkownicy nie muszą się martwić, że staną się celem ataków typu „odmowa usługi”. Z wyjątkiem streamerów i profesjonalnych graczy , bardzo rzadko zdarza się, aby DoS kierowano do osoby. To powiedziawszy, nadal powinieneś zrobić wszystko, co możesz chroń wszystkie swoje urządzenia przed złośliwym oprogramowaniem, które może uczynić Cię częścią botnetu.
Jeśli jednak jesteś administratorem serwera WWW, istnieje wiele informacji o tym, jak zabezpieczyć swoje usługi przed atakami DoS. Konfiguracja serwera i urządzenia mogą złagodzić niektóre ataki. Innym można zapobiec, uniemożliwiając nieuwierzytelnionym użytkownikom wykonywanie operacji wymagających znacznych zasobów serwera. Niestety, o powodzeniu ataku DoS najczęściej decyduje to, kto ma większą rurę. Usługi takie jak Cloudflare i Hermetyzować oferują ochronę, stojąc przed witrynami internetowymi, ale mogą być kosztowne.
