Čo sú Denial of Service a DDoS útoky?
DoS (Denial of Service) a útoky DDoS (Distributed Denial of Service) sa stávajú čoraz bežnejšími a silnejšími. Denial of Service útoky prichádzajú v mnohých formách, ale zdieľajú spoločný účel: zastavenie prístupu používateľov k zdroju, či už je to webová stránka, e-mail, telefónna sieť alebo niečo iné úplne. Pozrime sa na najbežnejšie typy útokov proti webovým cieľom a ako sa dá DoS stávať DDoS.
Najbežnejšie typy útokov typu DoS (DoS)
V centre pozornosti je útok typu Denial of Service zvyčajne zapríčinený zaplavením serveru - povedzme, serverom webovej stránky - tak, že nie je schopný poskytovať svoje služby oprávneným používateľom. Existuje niekoľko spôsobov, ako to možno vykonať, najčastejšie sú útoky TCP flooding a útoky DNS amplifikácie.
Útoky TCP Flooding
Takmer celý web (HTTP / HTTPS) prevádzka sa vykonáva pomocou Transmission Control Protocol (TCP). TCP má viac režijných nákladov než alternatívny protokol User Datagram Protocol (UDP), ale je navrhnutý tak, aby bol spoľahlivý. Dva počítače, ktoré sú navzájom prepojené cez protokol TCP, potvrdia prijatie každého paketu. Ak nie je poskytnuté potvrdenie, paket musí byť odoslaný znova.
Čo sa stane, ak sa odpojí jeden počítač? Možno, že používateľ stratí energiu, ich poskytovateľ služby ISP zlyhal, alebo akékoľvek aplikácie, ktoré používajú, bez toho, aby informovali druhý počítač. Druhý klient musí zastaviť opätovné odoslanie rovnakého paketu alebo inak stráca zdroje. Aby sa zabránilo nekončiacemu prenosu, je zadané časové obmedzenie a / alebo limit je stanovený na to, koľkokrát môže byť paket opäť odoslaný predtým, ako úplne zruší spojenie.
Služba TCP bola navrhnutá tak, aby uľahčila spoľahlivú komunikáciu medzi vojenskými základňami v prípade katastrofy, ale tento dizajn ju ponecháva zraniteľný útokom na odmietnutie služby. Keď bol vytvorený protokol TCP, nikto nezobrazil, že by ho používali viac ako miliarda klientských zariadení. Ochrana pred modernými útokmi na odmietnutie poskytovania služieb nebola jednoducho súčasťou procesu návrhu.
Najčastejším útokom odmietnutia služby voči webovým serverom sa vykonáva nevyžiadanou poštou (paketmi SYN (synchronizovať)). Odoslanie paketu SYN je prvým krokom iniciovania spojenia TCP. Po prijatí paketu SYN server odpovedá paketom SYN-ACK (potvrdenie synchronizácie). Nakoniec klient odošle paket ACK (potvrdenie) a dokončí spojenie.
Ak však klient nereaguje na paket SYN-ACK v stanovenom čase, server pošle paket znova a čaká na odpoveď. Tento postup bude opakovať znova a znova, čo môže spôsobiť plytvanie pamäte a času procesora na serveri. V skutočnosti, ak to urobíte dosť, môže toľko času na to, aby si užívatelia legitímni užívatelia mohli skrátiť svoje zasadnutia alebo aby sa nové zasadnutia nemohli začať. Zvýšené využitie šírky pásma zo všetkých paketov môže navyše nasýtiť siete, čo im znemožňuje prenášať prevádzku, ktorú skutočne chcú.
Útoky z amplifikácie DNS
Útoky odmietnutia služby sa môžu zamerať aj na servery DNS: servery, ktoré prekladajú názvy domén (ako napríklad howtogeek.com) do adries IP (12.345.678.900), ktoré používajú počítače na komunikáciu. Keď v prehliadači napíšete howtogeek.com, dostane sa na server DNS. Server DNS vás nasmeruje na aktuálnu webovú stránku. Rýchlosť a nízka latencia sú hlavnými problémami DNS, takže protokol funguje cez UDP namiesto protokolu TCP. DNS je kritickou súčasťou infraštruktúry internetu a šírka pásma spotrebovaná DNS požiadavkami je vo všeobecnosti minimálna.
Avšak, DNS pomaly rástol, nové funkcie sa postupne pridávali v priebehu času. To spôsobilo problém: DNS mal obmedzenie veľkosti paketu 512 bajtov, čo nestačilo na všetky tieto nové funkcie. Takže v roku 1999 publikovala IEEE špecifikáciu mechanizmov rozšírenia pre DNS (EDNS), ktoré zvýšili limit na 4096 bajtov, čo umožňuje zahrnúť do každej žiadosti viac informácií.
Táto zmena však spôsobila, že služba DNS bola zraniteľná voči "útokom rozšírenia". Útočník môže posielať špeciálne vytvorené žiadosti na servery DNS, ktoré žiadajú o veľké množstvo informácií a požiada ich, aby boli odoslané na adresu IP cieľa. Vytvorí sa "zosilnenie", pretože odpoveď servera je oveľa väčšia ako požiadavka, ktorá ho generuje, a DNS server pošle svoju odpoveď na kované IP.
Mnoho serverov DNS nie je nakonfigurovaných tak, aby odhaľovali alebo spúšťali zlé požiadavky, takže keď útočníci opakovane odosielajú falošné požiadavky, obeť sa zaplaví obrovskými paketmi EDNS, ktoré prekrývajú sieť. Nedá sa spracovať toľko dát, ich legitímna návštevnosť sa stratí.
Takže čo je útok distribuovaného odmietnutia služby (DDoS)?
Rozložený útok na odmietnutie služby je útokom, ktorý má niekoľko (niekedy nevedomých) útočníkov. Webové stránky a aplikácie sú navrhnuté na zvládnutie mnohých súbežných spojení - koniec koncov, webové stránky by neboli veľmi užitočné, keby iba jedna osoba mohla navštíviť naraz. Obrovské služby ako Google, Facebook alebo Amazon sú určené na spracovanie miliónov alebo desiatok miliónov súbežných používateľov. Z tohto dôvodu nie je možné, aby jeden útočník ich priviedol do útoku s odmietnutím služby. ale veľa útočníci mohli.
Najbežnejšou metódou náboru útočníkov je botnet. V botnetu hackeri infikujú všetky druhy zariadení pripojených k internetu s malware. Tieto zariadenia môžu byť počítače, telefóny alebo dokonca iné zariadenia vo vašej domácnosti, ako napríklad DV rekordéry a bezpečnostné kamery. Po infikovaní môžu používať tieto zariadenia (nazývané zombie), aby pravidelne kontaktovali príkazový a riadiaci server a požiadali o pokyny. Tieto príkazy sa môžu pohybovať od bankových kryptocentrní až po áno, ktorí sa zúčastňujú útokov DDoS. Týmto spôsobom nepotrebujú tony hackerov, aby sa spojili dohromady - môžu použiť nezabezpečené zariadenia bežných užívateľov doma, aby robili svoju špinavú prácu.
Iné útoky DDoS sa môžu vykonávať dobrovoľne, zvyčajne z politicky motivovaných dôvodov. Klienti ako Low Orbit Ion Cannon robia útoky DoS jednoduché a ľahko sa distribuujú. Majte na pamäti, že je vo väčšine krajín nelegálne (úmyselne) zúčastniť útoku DDoS.
Napokon, niektoré útoky DDoS môžu byť neúmyselné. Pôvodne označovaný ako efekt Slashdot a zovšeobecnený ako "objatie smrti", obrovské objemy legitímnej prevádzky môžu ochromiť webové stránky. Pravdepodobne ste to videli predtým - populárne stránky odkazujú na malý blog a obrovský príval užívateľov neúmyselne prinesie stránky dole. Z technického hľadiska je to stále klasifikované ako DDoS, aj keď nie je úmyselné alebo škodlivé.
Ako sa môžem chrániť pred útokmi na odmietnutie útoku?
Typickí používatelia sa nemusia obávať, že by boli cieľom útokov na odmietnutie poskytovania služieb. S výnimkou streamerov a pro hráčov, je to veľmi zriedkavé, keď je DoS zamerané na jednotlivca. To znamená, že by ste mali stále robiť to najlepšie, čo môžete, aby ste chránili všetky svoje zariadenia pred malware, ktorý by vás mohol stať súčasťou botnetu.
Ak ste správcom webového servera, je však veľa informácií o zabezpečení vašich služieb pred útokmi DoS. Konfigurácia serverov a zariadenia môžu zmierniť niektoré útoky. Iným sa dá predchádzať tým, že neoverení používatelia nemôžu vykonávať operácie vyžadujúce významné serverové zdroje. Bohužiaľ, úspech útoku DoS je najčastejšie určovaný tým, kto má väčšie potrubie. Služby ako Cloudflare a Incapsula ponúkajú ochranu tým, že stojí pred webovými stránkami, ale môžu byť drahé.