2Sep
DoS( Denial of Service) és a DDoS( Distributed Denial of Service) támadások egyre gyakoribbak és erősebbek. A szolgáltatásmegtagadási támadások sokféle formában valósulnak meg, de közös céljuk van: megakadályozni a felhasználókat abban, hogy hozzáférjenek egy erőforráshoz, akár weboldal, e-mail, telefonhálózat, akár valami más. Nézzük meg a leggyakoribb támadások típusát a webes célok ellen, és hogyan lehet a DoS DDoS-t létrehozni.
A leggyakoribb szolgáltatásmegtagadási típusok( DoS) támadások
A Denial of Service támadást rendszerint egy kiszolgáló - mondjuk, egy weboldal szervere - elárasztásával végzik el - annyira, hogy nem tud szolgáltatásait nyújtanilegitim felhasználók számára. Néhány mód van erre: a leggyakoribb a TCP árvizek támadása és DNS-amplifikációs támadások.
TCP Flooding Attacks
A legtöbb( HTTP / HTTPS) forgalmat a Transmission Control Protocol( TCP) segítségével végzik. A TCP-nek több az általános alternatíva, mint az UDP( User Datagram Protocol), de megbízhatónak tervezték. A TCP-n keresztül két egymással összekapcsolt számítógép megerősíti az egyes csomagok átvételét. Ha nincs megerősítés, a csomagot újra kell küldeni.
Mi történik, ha egy számítógép leválik? Lehet, hogy egy felhasználó elveszíti a teljesítményét, az internetszolgáltató hibás, vagy bármilyen alkalmazást használ, amelyről kilép, anélkül, hogy tájékoztatna a másik számítógépről. A másik ügyfélnek le kell állítania ugyanazt a csomag újbóli elküldését, vagy pedig erőforrásokat veszít. A soha véget nem érő adatátvitel megakadályozása érdekében az időtúllépés időtartama meg van adva, és / vagy egy korlátozás kerül arra a hányszor, hogy egy csomag újra elküldhető, mielőtt a kapcsolatot teljes egészében elhagyná.
A TCP-t úgy tervezték meg, hogy megkönnyítse a katonai bázisok közötti megbízható kommunikációt katasztrófa esetén, de ez a kialakítás veszélyt jelent a szolgáltatásmegtagadási támadásokra. A TCP létrehozásakor senki sem ábrázolta, hogy több mint egy milliárd ügyféleszköz használható.A modern szolgáltatásmegtagadási szolgáltatások elleni védelem csak nem része a tervezési folyamatnak.
A web szerverek elleni legelterjedtebb szolgáltatásmegtagadást a SYN( szinkronizáló) csomagok szkennelése végzi. A SYN csomag elküldése a TCP kapcsolat kezdeményezésének első lépése. Miután megkapta a SYN csomagot, a kiszolgáló SYN-ACK csomaggal reagál( szinkronizálja a nyugtázást).Végül az ügyfél egy ACK( nyugtázó) csomagot küld, a kapcsolatot kitöltve.
Ha azonban az ügyfél egy meghatározott időn belül nem reagál a SYN-ACK csomagra, a kiszolgáló ismét elküldi a csomagot, és várja a választ. Ismételten ismételni ezt az eljárást, ami a memóriát és a processzor idejét a szerveren elpazarolja. Valójában, ha eléggé elvégezhető, akkor annyi memóriát és feldolgozási időt veszíthet el, hogy a legális felhasználók a munkameneteket rövidre vágják, vagy új munkamenetek nem tudnak elindulni. Ráadásul a csomagok összesített sávszélességének használata telítheti a hálózatokat, így azok nem tudják szállítani a kívánt forgalmat.
DNS-bővítési támadások
A szolgáltatási támadások megtagadása a DNS-kiszolgálókra is irányulhat: a domainnevek( például howtogeek.com) lefordítását végző szerverek IP-címek( 12.345.678.900), amelyeket a számítógépek kommunikálnak. Amikor a böngésződben írja be a howtogeek.com fájlt, elküldi a DNS-kiszolgálónak. A DNS-kiszolgáló ezután irányítja az aktuális webhelyet. A gyorsaság és az alacsony késleltetés a DNS legfontosabb problémái, ezért a protokoll a TCP helyett UDP-t működtet. A DNS az internet infrastruktúrájának kritikus része, és a DNS-kérelmek által elfogyasztott sávszélesség általában minimális.
A DNS azonban lassan nőtt, és az új funkciók fokozatosan bővültek az idő múlásával. Ez problémát okozott: a DNS csomagkészlet-mérete 512 byte volt, ami nem volt elegendő az új funkciók számára.Így 1999-ben az IEEE kiadta a DNS( EDNS) kiterjesztési mechanizmusa specifikációját, amely 4096 bájtra növelte a felső korlátot, így több információ szerepelt az egyes kérelmekben.
Ez a változás azonban a DNS-t kiszolgáltatta az "amplifikációs támadásoknak".A támadó speciálisan megtervezett kéréseket küldhet a DNS-kiszolgálóknak, kérve nagy mennyiségű információt, és kérheti, hogy küldjenek el a cél IP címére. Az "amplifikáció" azért jön létre, mert a kiszolgáló válasza sokkal nagyobb, mint a létrehozandó kérés, és a DNS-kiszolgáló elküldi válaszát a hamis IP-nek.
Sok DNS-kiszolgáló nem úgy van konfigurálva, hogy észlelje vagy csökkentsék a rossz kéréseket, így amikor a támadók többször küldik meg a hamis kéréseket, az áldozatot óriási EDNS-csomagokkal árasztják el. Nem tudják kezelni annyi adatot, törvényes forgalma elvész.
Tehát mi az elosztott szolgáltatásmegtagadás( DDoS) támadás?
Egy elosztott szolgáltatásmegtagadási támadás olyan, amely több( esetenként nem szándékos) támadót is tartalmaz. A weboldalakat és alkalmazásokat úgy tervezték, hogy sok párhuzamos kapcsolatot kezeljenek. Végül is, a weboldalak nem lennének nagyon hasznosak, ha egyszerre csak egy személy látogathat.Óriási szolgáltatások, mint a Google, a Facebook vagy az Amazon úgy tervezték, hogy több millió vagy több tízmillió egyidejű felhasználót kezeljenek. Emiatt egyetlen támadó számára nem lehetséges, hogy egy szolgáltatásmegtagadási támadást hozzon létre. De számos támadót tudott.
A támadók toborzásának leggyakoribb módja egy botnet. A botnetben a hackerek mindenféle internetes eszközzel megfertőzhetik a rosszindulatú programokat. Ezek az eszközök lehetnek otthoni számítógépek, telefonok vagy akár más eszközök, például DVR-k és biztonsági kamerák. Miután fertőzöttek, használhatják ezeket az eszközöket( úgynevezett zombik), hogy időszakosan kapcsolatba lépjenek egy parancs- és vezérlőszerverrel, hogy utasításokat kérjenek. Ezek a parancsok a bányászati cryptocuruutától kezdve a DDoS támadásokig terjedhetnek.Így nincs szükségük egy csomó hacker összefogására - használhatják a normál otthoni használók nem biztonságos eszközeit piszkos munkájuk elvégzésére.
Egyéb DDoS támadások önkéntesen, általában politikai okok miatt végezhetők. Az olyan ügyfelek, mint a Low Orbit Ion Cannon egyszerűvé teszik a DoS támadásait, és könnyen eloszthatók. Ne feledje, hogy a legtöbb országban tilos( szándékosan) részt venni egy DDoS támadásban.
Végül egyes DDoS támadások véletlenek lehetnek. Eredetileg Slashdot-effektusnak nevezték, és a "halál ölelés" -ként általánosították, hogy a törvényes forgalom nagy mennyisége károsíthatja a weboldalt. Valószínűleg előfordult, hogy ez előfordult, egy népszerű webhely egy kis bloghoz kapcsolódik, és a felhasználók hatalmas beáramlása véletlenül lecsökkenti a webhelyet. Technikailag ez még mindig DDoS-nak minősül, még akkor is, ha ez nem szándékos vagy rosszindulatú.
Hogyan védhetem meg magam a szolgáltatási támadások megtagadása ellen?
A tipikus felhasználóknak nem kell aggódniuk, hogy a denial of service támadások célpontjai. Kivéve a szalagokat és a profi játékosokat, nagyon ritka, hogy egy DoS-t mutassanak egy egyénnek. Ez azt jelenti, hogy még mindig mindent meg kell tennie, hogy megvédje az összes eszközt a rosszindulatú programoktól, amelyek egy botnet részévé tehetik Önt.
Ha webszerver rendszergazdája vagy, akkor rengeteg információ található arra vonatkozóan, hogyan védheti a szolgáltatásait a DoS támadásokkal szemben. A kiszolgálók beállítása és a készülékek csökkenthetik a támadást. Mások megakadályozhatók annak biztosításával, hogy a hitelesített felhasználók nem tudnak olyan műveleteket végrehajtani, amelyek jelentős szerver erőforrásokat igényelnek. Sajnos a DoS támadás sikere a leggyakrabban az, hogy ki rendelkezik a nagyobb csővel. Az olyan szolgáltatások, mint a Cloudflare és az Incapsula, védelmet nyújtanak a weboldalak elé állításával, de lehetnek drágák.
