2Sep
DoS( Denial of Service) a DDoS( Distributed Denial of Service) sú čoraz bežnejšie a silnejšie. Denial of Service útoky prichádzajú v mnohých formách, ale majú spoločný účel: zastavenie prístupu používateľov k zdroju, či už je to webová stránka, e-mail, telefónna sieť alebo niečo iné úplne. Pozrime sa na najbežnejšie typy útokov proti webovým cieľom a ako sa dá DoS stávať DDoS.
Najčastejšími typmi útokov typu DoS( DoS)
Jadro útoku typu Denial of Service sa zvyčajne vykonáva zaplavením servera - povedzme, serverom webovej stránky - tak, že mu nedokáže poskytnúť svoje službyoprávnených používateľov. Existuje niekoľko spôsobov, ako to možno vykonať, najčastejšie sú útoky TCP flooding a útoky DNS amplifikácie.
Útoky TCP Flooding
Takmer všetky návštevnosti webových( HTTP / HTTPS) sa vykonávajú pomocou Transmission Control Protocol( TCP).TCP má viac režijných nákladov než alternatívny protokol User Datagram Protocol( UDP), ale je navrhnutý tak, aby bol spoľahlivý.Dva počítače, ktoré sú navzájom prepojené cez protokol TCP, potvrdia prijatie každého paketu. Ak nie je poskytnuté potvrdenie, paket musí byť zaslaný znova.
Čo sa stane, ak sa odpojí jeden počítač?Možno môže používateľ stratiť energiu, ich poskytovateľ služby ISP zlyhal, alebo akékoľvek aplikácie, ktoré používajú, bez toho, aby informovali druhý počítač.Druhý klient musí zastaviť opätovné odoslanie rovnakého paketu alebo inak stráca zdroje. Aby sa zabránilo nekonečnému prenosu, je zadané časové obmedzenie a / alebo limit je stanovený na to, koľkokrát môže byť paket opätovne odoslaný predtým, ako sa úplne zruší pripojenie.
TCP bol navrhnutý tak, aby uľahčil spoľahlivú komunikáciu medzi vojenskými základňami v prípade katastrofy, ale tento dizajn ho ponecháva zraniteľný voči útokom na popretie služby. Keď bol vytvorený protokol TCP, nikto nezobrazil, že by ho používali viac ako miliarda klientských zariadení.Ochrana proti moderným útokom na odmietnutie poskytovania služieb nebola súčasťou procesu návrhu.
Najčastejší útok na odmietnutie služby proti webovým serverom sa uskutočňuje prostredníctvom nevyžiadaných paketov SYN( synchronizácia).Odoslanie balíka SYN je prvým krokom iniciovania spojenia TCP.Po prijatí paketu SYN server odpovedá paketom SYN-ACK( potvrdenie synchronizácie).Nakoniec klient odošle paket ACK( potvrdenie) a dokončí spojenie.
Ak však klient nereaguje na paket SYN-ACK v stanovenom čase, server pošle paket znova a čaká na odpoveď.Tento postup bude opakovať znova a znova, čo môže spôsobiť plytvanie pamäte a času procesora na serveri. V skutočnosti, ak sa urobí dostatočne, môže zničiť toľko času na pamäť a procesor, aby legitímni používatelia dostali svoje schôdzky krátke alebo nové zasadnutia nie sú schopné začať.Navyše, zvýšenie využitia šírky pásma zo všetkých paketov môže nasýtiť siete, čo im umožňuje nesieť dopravu, ktorú skutočne chcú.
Útoky na zosilnenie DNS
Útoky na odmietnutie služby môžu byť zamerané aj na servery DNS: servery, ktoré prekladajú názvy domén( ako napríklad howtogeek.com) do adries IP( 12.345.678.900), ktoré používajú počítače na komunikáciu. Keď v prehliadači napíšete howtogeek.com, dostane sa na server DNS.Server DNS vás nasmeruje na aktuálnu webovú stránku. Rýchlosť a nízka latencia sú hlavnými problémami pre DNS, takže protokol funguje cez UDP namiesto protokolu TCP.DNS je kritickou súčasťou internetovej infraštruktúry a šírka pásma spotrebovaná DNS požiadavkami je vo všeobecnosti minimálna.
Avšak, DNS pomaly rástol, nové funkcie sa postupne pridávali v priebehu času. To spôsobilo problém: DNS mal obmedzenie veľkosti paketu 512 bajtov, čo nestačilo na všetky tieto nové funkcie. Takže v roku 1999 publikovala IEEE špecifikáciu mechanizmov rozšírenia pre DNS( EDNS), ktoré zvýšili limit na 4096 bajtov, čo umožňuje zahrnúť do každej žiadosti viac informácií.
Táto zmena však spôsobila, že DNS je zraniteľný voči "útokom zosilnenia".Útočník môže posielať špeciálne vytvorené žiadosti na servery DNS, ktoré žiadajú o veľké množstvo informácií a požiada ich, aby boli odoslané na adresu IP svojho cieľa. Vytvorí sa "zosilnenie", pretože odpoveď servera je oveľa väčšia ako žiadosť, ktorá ho generuje, a server DNS odošle svoju odpoveď na kolidovanú IP adresu.
Mnohé servery DNS nie sú nakonfigurované tak, aby detekovali alebo spúšťali zlé požiadavky, takže keď útočníci opakovane posielajú falšované žiadosti, obeť sa zaplaví obrovskými paketmi EDNS, ktoré zaťažujú sieť.Nedá sa spracovať toľko dát, ich legitímny prenos sa stratí.
Takže čo je útok distribuovaného odmietnutia služby( DDoS)?
Útok na distribuované odmietnutie služby je ten, ktorý má niekoľko( niekedy nevedomých) útočníkov. Webové stránky a aplikácie sú navrhnuté na zvládnutie mnohých súbežných spojení - koniec koncov nebudú webové stránky veľmi užitočné, ak by ich mohla navštíviť len jedna osoba. Obrovské služby ako Google, Facebook alebo Amazon sú určené na spracovanie miliónov alebo desiatok miliónov súbežných používateľov. Z tohto dôvodu nie je možné, aby jeden útočník ich priviedol do útoku s odmietnutím služby. Ale mohol mnohých útočníkov .
Najbežnejšou metódou náboru útočníkov je botnet. V botnetu hackeri infikujú všetky druhy zariadení pripojených k internetu s malware. Tieto zariadenia môžu byť počítače, telefóny alebo dokonca iné zariadenia vo vašej domácnosti, ako napríklad DV rekordéry a bezpečnostné kamery. Po infikovaní môžu používať tieto zariadenia( tzv. Zombie), aby pravidelne kontaktovali príkazový a riadiaci server a požiadali o pokyny. Tieto príkazy sa môžu pohybovať od banských kryptocentriví až po áno, ktorí sa zúčastňujú útokov DDoS.Týmto spôsobom nepotrebujú tony hackerov, aby sa spojili dohromady - môžu použiť nezabezpečené zariadenia bežných užívateľov doma, aby robili svoju špinavú prácu.
Ďalšie útoky DDoS sa môžu vykonávať dobrovoľne, zvyčajne z politicky motivovaných dôvodov. Klienti ako Low Orbit Ion Cannon robia útoky DoS jednoduché a ľahko sa distribuujú.Majte na pamäti, že je vo väčšine krajín nelegálne( úmyselne) zúčastniť útoku DDoS.
Nakoniec niektoré útoky DDoS môžu byť neúmyselné.Pôvodne označovaný ako efekt Slashdot a zovšeobecnený ako "objatie smrti", obrovské objemy legitímnej prevádzky môžu ochromiť webové stránky. Pravdepodobne ste to videli predtým - populárna stránka odkazuje na malý blog a obrovský príliv užívateľov neúmyselne priviedol lokalitu dole. Z technického hľadiska je to stále klasifikované ako DDoS, aj keď nie je úmyselné alebo škodlivé.
Ako sa môžem chrániť pred útokmi odmietnutia služby?
Typickí používatelia sa nemusia obávať, že by boli cieľom útokov na odmietnutie služby. S výnimkou streamerov a profesionálnych hráčov je veľmi zriedkavé, aby sa DoS ukázalo na jednotlivca. To znamená, že by ste mali urobiť čo najlepšie, aby ste ochránili všetky svoje zariadenia pred malware, ktorý by vás mohol stať súčasťou botnetu.
Ak ste správcom webového servera, je však veľa informácií o zabezpečení vašich služieb pred útokmi DoS.Konfigurácia servera a zariadenia môžu zmierniť niektoré útoky. Iným sa dá zabrániť tým, že neoverení používatelia nemôžu vykonávať operácie vyžadujúce významné serverové zdroje. Bohužiaľ, úspech útoku DoS je najčastejšie určovaný tým, kto má väčšie potrubie. Služby ako Cloudflare a Incapsula ponúkajú ochranu stojacim pred webovými stránkami, ale môžu byť drahé.