2Sep
DoS( Denial of Service) a DDoS( Distributed Denial of Service) jsou stále častější a silnější.Denial of Service útoky přicházejí v mnoha formách, ale sdílejí společný účel: zastavit uživatele z přístupu k prostředku, ať už je to webová stránka, e-mail, telefonní síť nebo něco jiného úplně.Podívejme se na nejčastější typy útoků proti webovým cílům a na to, jak se může DoS stát DDoS.
Nejčastější útoky typu DoS( DoS)
Jádro útoku Denial of Service se obvykle provádí zaplavením server-say, serveru webové stránky - natolik, že nemůže poskytnout své službylegitimní uživatelé.Existuje několik způsobů, jak to lze provést, nejčastější jsou útoky TCP flooding a útoky zesilování DNS.
Útoky TCP Flooding
Téměř veškerá návštěvnost webu( HTTP / HTTPS) je prováděna pomocí Transmission Control Protocol( TCP).TCP má více režií než alternativní protokol User Datagram Protocol( UDP), ale je navržen tak, aby byl spolehlivý.Dva počítače propojené prostřednictvím protokolu TCP potvrdí přijetí každého paketu. Pokud není poskytnuto potvrzení, musí být paket zaslán znovu.
Co se stane, pokud se odpojí jeden počítač?Možná, že uživatel ztratí energii, že jeho poskytovatel služby ISP selhal, nebo jakoukoli aplikaci, kterou používají, bez ukončení komunikace s jiným počítačem. Druhý klient musí zastavit opětovné odeslání stejného paketu nebo jinak ztratí zdroje. Aby se zabránilo nepřerušovanému přenosu, je určeno trvání časového limitu a / nebo je stanoven limit, kolikrát paket může být znovu odeslán předtím, než úplně propadne spojení.
TCP byl navržen tak, aby umožňoval spolehlivou komunikaci mezi vojenskými základnami v případě katastrofy, ale tento design velmi zanechává zranitelné útoky na odmítnutí služby. Když byl vytvořen protokol TCP, nikdo nezaznamenal, že by jej bylo použito více než miliardou klientských zařízení.Ochrana proti moderním útokům na odmítnutí služby nebyla součástí procesu návrhu.
Nejčastějším útokem na odmítnutí služby proti webovým serverům je nevyžádaná pošta( spam).Odeslání paketu SYN je prvním krokem inicializace připojení TCP.Po přijetí paketu SYN server reaguje pomocí paketu SYN-ACK( potvrzení synchronizace).Nakonec klient odešle paket ACK( potvrzení) a dokončí připojení.
Pokud však klient v rámci nastaveného času nereaguje na paket SYN-ACK, server odešle paket znovu a čeká na odpověď.Tento postup bude opakovat znovu a znovu, což může způsobit ztrátu paměti a času procesoru na serveru. Ve skutečnosti, pokud je to dostatečně hotové, může způsobit mnoho času paměti a procesoru, aby legitimní uživatelé mohli zkrátit své schůzky nebo nové relace nemohou začít. Zvýšené využití šířky pásma ze všech paketů může navíc saturaci sítí, takže je nemůže provozovat provoz, který skutečně chtějí.
Útoky zesílení DNS
Útoky odmítnutí služby mohou být zaměřeny také na servery DNS: servery, které převádějí názvy domén( například howtogeek.com) do adres IP( 12.345.678.900), které počítače komunikují.Když zadáte v prohlížeči prohlížeč howtogeek.com, bude odeslán na server DNS.Server DNS vás pak nasměruje na skutečné webové stránky. Rychlost a nízká latence jsou hlavními obavami pro DNS, takže protokol funguje přes UDP namísto TCP.DNS je důležitou součástí infrastruktury internetu a šířka pásma spotřebovaná DNS požadavky jsou obecně minimální.
Nicméně, DNS pomalu rostl, s novými funkcemi se postupně přidává v průběhu času. Tím došlo k problému: DNS měl limit velikosti paketů 512 bajtů, což nestačilo pro všechny tyto nové funkce. Takže v roce 1999 zveřejnila IEEE specifikaci mechanizmů rozšíření pro DNS( EDNS), která zvýšila limit na 4096 bajtů, což umožňuje, aby byly do každé žádosti zahrnuty další informace.
Tato změna však způsobila, že DNS je zranitelná vůči "útokům zesílení".Útočník může odeslat speciálně vytvořené požadavky na servery DNS, požádat o velké množství informací a požádat o jejich odeslání na adresu IP jejich cílů."Zesílení" je vytvořeno, protože odpověď serveru je mnohem větší než požadavek generování a server DNS odešle odpověď na kované IP.
Mnoho serverů DNS není nakonfigurováno tak, aby detekovalo nebo spouštělo špatné požadavky, takže když útočníci opakovaně posílají padělané požadavky, oběť se zaplaví obrovskými pakety EDNS, které zahušťují síť.Nelze zpracovat tolik dat, jejich legitimní provoz bude ztracen.
Takže co je útok distribuovaného odmítnutí služby( DDoS)?
Distribuovaný útok typu Denial of Service je útok, který má několik( někdy nevědomých) útočníků.Webové stránky a aplikace jsou navrženy tak, aby zvládly mnoho souběžných spojení - koneckonců, webové stránky by nebyly velmi užitečné, kdyby jen jedna osoba mohla navštívit najednou. Obří služby jako Google, Facebook nebo Amazon jsou navrženy tak, aby zvládly miliony nebo desítky milionů souběžných uživatelů.Kvůli tomu není možné, aby jeden útočník svázal útok útokem na popření.Ale by mohl mnoho útočníků .
Nejběžnější metodou náboru útočníků je botnet. V botnetu hackeři infikují všechny druhy zařízení připojených k internetu pomocí malwaru. Mezi tato zařízení patří počítače, telefony nebo dokonce jiná zařízení ve vašem domě, jako jsou DVR a bezpečnostní kamery. Jakmile se infikují, mohou tyto zařízení( nazývané zombie) používat k pravidelnému kontaktování příkazového a řídícího serveru a požádat o pokyny. Tyto příkazy se mohou pohybovat od dolování kryptocurrencies k ano, účastnit se útoků DDoS.Tímto způsobem nepotřebují tónu hackerů, aby se spojili dohromady - mohou používat nezabezpečené zařízení běžných uživatelů doma k tomu, aby dělali špinavou práci.
Jiné útoky DDoS mohou být prováděny dobrovolně, obvykle z politicky motivovaných důvodů.Klienti jako Low Orbit Ion Cannon dělají útoky DoS jednoduché a snadno se distribuují.Mějte na paměti, že ve většině zemí je nezákonné( záměrně) účastnit se útoku DDoS.
Konečně některé útoky DDoS mohou být neúmyslné.Původně označovaný jako efekt Slashdot a zobecněný jako "objetí smrti", obrovské objemy legitimní dopravy mohou ochromit webové stránky. Pravděpodobně jste viděli, že k tomu dojde dříve - oblíbená stránka odkazuje na malý blog a obrovský příliv uživatelů náhodou přivede stránky dolů.Z technického hlediska je to stále klasifikováno jako DDoS, i když není úmyslné nebo škodlivé.
Jak mohu chránit sebe před útoky odmítnutí služby?
Typickými uživateli se nemusí starat o to, že jsou cílem útoků na odmítnutí služby. S výjimkou streamerů a profesionálních hráčů je pro DoS velmi vzácné, že je určen jednotlivci. To znamená, že byste měli udělat vše, co je v pořádku, abyste chránili všechna vaše zařízení před malwarem, který by vás mohl stát součástí botnetu.
Pokud jste správcem webového serveru, je však k dispozici velké množství informací o tom, jak zabezpečit vaše služby proti útokům DoS.Konfigurace a zařízení serveru mohou zmírnit některé útoky. Jiným lze zabránit tím, že zajistí, že neověřená uživatelé nemohou provádět operace vyžadující významné zdroje serveru. Bohužel úspěšnost útoku DoS je nejčastěji určována tím, kdo má větší potrubí.Služby jako Cloudflare a Incapsula nabízejí ochranu tím, že stojí před webovými stránkami, ale mohou být drahé.