2Sep
DoS( Service Denial of Service) ja DDoS( Distributed Denial of Service) rünnakud muutuvad üha tavalisemaks ja tugevad. Teenusetõkestamise rünnakud tulevad mitmel kujul, kuid jagavad ühist eesmärki: kasutajate peatamine ressursile, olenemata sellest, kas see on veebileht, meil, telefonivõrk või midagi muud. Vaatame veebispetsiifiliste seas kõige sagedasemaid rünnakuid ja kuidas DoS saab DDoSiks.
Kõige sagedasemad teenusetõkendite tüübid( DoS) rünnakud
Tavaliselt tehakse teenusetõkestamise rünnak serveri üleujutusega - näiteks veebisaidi server - nii palju, et ei suuda pakkuda oma teenuseidõigustatud kasutajad. Seda on võimalik teha mitmel viisil, kõige tavalisemad on TCP üleujutusrünnakud ja DNS-i võimenduse rünnakud.
TCP üleujutuste rünnakud
Peaaegu kogu veebi( HTTP / HTTPS) liiklus toimub ülekande juhtimise protokolli( TCP) abil. TCP-l on rohkem lisaväärtust kui alternatiivne, kasutaja andmagrammi protokoll( UDP), kuid selle eesmärk on olla usaldusväärne. Kaks TCP-d omavahel ühendatud arvutit kinnitavad iga paki kättesaamist. Kui kinnitust ei esitata, tuleb pakett uuesti saata.
Mis juhtub, kui üks arvuti lülitatakse lahti? Võibolla kasutaja kaotab võimu, nende ISP-l on ebaõnnestumine või ükskõik milline rakendus, mida nad kasutavad, lõpetab teise arvuti teavitamata. Teine klient peab lõpetama sama paki uuesti saatmise või kaotama ressursse. Et vältida lõputu edastamist, on määratud aegumistähtaeg ja / või piiratakse seda, mitu korda paketti saab uuesti saata enne ühenduse täielikku tühistamist.
TCP eesmärk oli hõlbustada katastroofi ajal sõjaliste aluste vahelist usaldusväärset suhtlemist, kuid see disain jätab selle haavatavaks teenuste rünnete keelamise eest. Kui TCP loodi, ei näinud keegi, et seda kasutaks üle miljardi kliendi seadme. Kaitse tänapäevaste teenuste rünnete keelamise vastu ei olnud just projekteerimisprotsessi osa.
Kõige sagedasemat teenusetõkestust teenindavate rünnakute vastu veebiserverite abil täidab rämpspostiga SYN( sünkroonida) pakette. SYN-paketi saatmine on TCP-ühenduse loomise esimene samm. Pärast SYN-paketi vastuvõtmist vastab server SYN-ACK pakettaknad( sünkroonimise kinnitus).Lõpuks, klient saadab ACK( kinnitus) paketi, täites ühenduse.
Kuid kui klient ei reageeri SYN-ACK-paketile määratud aja jooksul, saadab server pakett uuesti ja ootab vastust. See kordab seda protseduuri ikka ja jälle, mis võib serverisse mälumahtu ja protsessori aega raisata. Kui seda tehakse piisavalt, võib see nii palju mälestust ja protsessoriaega ära kulutada, et õigustatud kasutajad saavad oma seansid katkestada või uusi seansse ei saa käivitada. Lisaks suurendab ribalaiuse kasutamine kõikidel pakettidel võrke, mis muudab nad võimatuks liiklust, mida nad tegelikult soovivad.
DNS amplifitseerimisreaktsioonid
Teenuse rünnakute ärahoidmine võib olla suunatud ka DNS-serveritele: serveritele, mis tõlgivad domeeninimesid( nt howtogeek.com) IP-aadressidesse( 12.345.678.900), mida arvutid kasutavad suhtlemiseks. Kui sisestate brauserisse howtogeek.com, saadetakse see DNS-serverile. DNS-server suunab teid seejärel tegelikule veebisaidile. Kiirus ja väike latentsus on DNS-i jaoks peamised probleemid, seega protokoll opereerib TCP-i asemel UDP-d. DNS on Interneti-infrastruktuuri kriitiline osa ja DNS-i taotluste tarbitav ribalaius on üldiselt minimaalne.
Kuid DNS aeglaselt kasvas, lisades aja jooksul järk-järgult uusi funktsioone. See tõi esile probleemi: DNS-i pakettide suuruse limiit oli 512 baiti, mis ei olnud kõigile neile uutele funktsioonidele piisav.1999. aastal avaldas IEEE DNS-i( EDNS) laiendamismehhanismide spetsifikatsiooni, mis suurendas ülemmäära 4096 baiti, võimaldades igas taotluses lisada lisateavet.
See muudatus muutis siiski DNS-i haavatavaks "võimenduse rünnakute" suhtes. Ründaja saab saata spetsiaalselt meisterdatud päringuid DNS-serveritele, paludes suurel hulgal teavet ja paludes neid saata oma sihtmärgi IP-aadressile."Laiendamine" luuakse, sest serveri vastus on palju suurem kui selle genereeriv taotlus ning DNS-server saadab oma vastuse võltsitud IP-le.
Paljud DNS-serverid ei ole konfigureeritud halva päringu avastamiseks ega mahasurumiseks, nii et kui ründajad saadavad korduvalt võltsitud päringuid, satub ohvriks üleujutused suurte EDNS-pakettidega, mis piiravad võrku. Nii palju andmeid ei saa, nende õigustatud liiklus läheb kaduma.
Mis on Distributed Denial of Service( DDoS) rünnak?
Hajutatud teenusetõkestamise rünnak on selline, millel on mitu( mõnikord ebaausat) ründaja. Veebisaidid ja rakendused on mõeldud mitmete samaaegsete ühendustega toimetulemiseks, sest veebisaidid ei oleks väga kasulikud, kui korraga saab külastada ainult üks inimene. Gigantsed teenused, nagu Google, Facebook või Amazon, on mõeldud selleks, et käidelda miljoneid või kümneid miljoneid samaaegseid kasutajaid. Sellepärast ei ole ühe ründaja jaoks võimalik, et ta langeks teenusetõkestamata. Kuid võis palju ründajaid.
Kõige levinum meetod ründajate värbamiseks on läbi botneti. Varasemas robustis nakatab häkkerid igasuguseid Interneti-ühendusega seadmeid pahavara. Need seadmed võivad olla teie kodus olevad arvutid, telefonid või isegi muud seadmed, nagu DVR-id ja turvakaamerad. Kui nad on nakatunud, saavad nad kasutada neid seadmeid( nn zombisid), et regulaarselt pöörduda juhiste saamiseks käsu ja kontrollserveriga. Need käsud võivad ulatuda mineraalide krüptokurssidest ja jah, osaledes DDoS-i rünnakutes. Sel moel ei pea nad kokku koguma hakkajaid, kes saavad kasutada tavapäraste kodu-kasutajate ebaturvalisi seadmeid oma määrdunud töö tegemiseks.
Teisi DDoS-i rünnakuid võib teostada vabatahtlikult, tavaliselt poliitiliselt motiveeritud põhjustel. Kliendid nagu Low Orbit Ion Cannon teevad DoS rünnakud lihtsaks ja neid on lihtne levitada. Pea meeles, et enamikus riikides on( tahtlikult) osalenud DDoS-i rünnakutes ebaseaduslik.
Lõpuks võivad mõned DDoS-i rünnakud olla tahtmatud. Algselt mainiti kui Slashdot-efekti ja üldistatud kui "surmaüritus", võivad suuremahulised seadusliku liikluse mahud veebisaidit halvata. Olete ilmselt näinud seda juhtumit varem - populaarne veebisaidi lingid väikesele blogile ja kasutajate tohutu sissevool kogemata saidi alla. Tehniliselt on see endiselt klassifitseeritud DDoS-ideks, isegi kui see pole tahtlik või pahatahtlik.
Kuidas ma saan kaitsta teenindussurmade ebaõnnestumist?
Tüüpilised kasutajad ei pea muretsema teenusetõkestamise rünnakute eesmärgi pärast. Välja arvatud striimid ja pro-mängijatele, on väga haruldane, et DoS-l on üksikisik. Nüüd peaksite tegema kõik endast oleneva, et kaitsta kõiki seadmeid pahavara eest, mis võiksid teid botti porti muuta.
Kui olete veebiserveri administraator, on siiski palju teavet selle kohta, kuidas kaitsta oma teenuseid DoS-rünnakute eest. Serveri konfiguratsioon ja seadmed võivad leevendada mõningaid rünnakuid. Teised on võimalik ära hoida, tagades, et mitteautomaatne kasutaja ei saa toiminguid, mis vajavad olulisi serveriressursse. Kahjuks määrab DoS-ründe edu enamasti kindlaks, kellel on suurem torujuhtum. Teenused, nagu Cloudflare ja Incapsula, pakuvad kaitset veebisaitide ees seisu eest, kuid need võivad olla kulukad.