2Sep
DoS( Denial of Service) in DDoS( Distributed Denial of Service) napadi postajajo vse pogostejši in močnejši. Napadi za zavrnitev storitve so v več oblikah, vendar imajo skupen namen: preprečiti uporabnikom, da dostopajo do vira, ne glede na to, ali gre za spletno stran, e-pošto, telefonsko omrežje ali kaj drugega. Oglejmo si najpogostejše vrste napadov na spletne cilje in kako lahko DoS postane DDoS.
Najpogostejši tipi zavrnitev storitve( DoS) Napadi
V jedru se napad napada zavrnitve običajno izvede z poplavljanjem strežnika, na primer strežnika spletne strani - toliko, da ne more zagotoviti svojih storitevzakoniti uporabniki. Obstaja nekaj načinov, kako se to lahko izvede, najpogostejši so napadi za poplavljanje TCP in napadi za ojačanje DNS.
Napadi poplav TCP
Skoraj ves promet( HTTP / HTTPS) se izvaja s pomočjo protokola za nadzor prenosa( TCP).TCP ima več režijskih stroškov kot alternativni protokol User Datagram Protocol( UDP), vendar je zasnovan kot zanesljiv. Dva računalnika, ki sta povezana drug z drugim preko TCP-ja, potrdita prejem vsakega paketa.Če ni zagotovljena nobena potrditev, je treba paket ponovno poslati.
Kaj se zgodi, če se računalnik odklopi? Morda uporabnik izgubi moč, njihov ponudnik internetnih storitev je okvarjen ali katera koli aplikacija, ki jo uporabljajo, ne da bi obvestila drug računalnik. Druga stranka mora prenehati s pošiljanjem istega paketa, sicer pa zapravlja vire. Da bi preprečili neskončni prenos, je določeno časovno obdobje in / ali je določena omejitev, kolikokrat je lahko paket ponovljen, preden popolnoma spustite povezavo.
TCP je bil zasnovan tako, da omogoča olajšanje zanesljive komunikacije med vojaškimi bazami v primeru katastrofe, vendar je zaradi tega načrta ranljiva zaradi napadov z zavrnitvijo storitve. Ko je bila TCP ustvarjena, nihče ni slišal, da bi ga uporabljalo več kot milijardo odjemalskih naprav. Zaščita pred sodobnimi napadi z zavrnitvijo storitve ni bila le del procesa načrtovanja.
Najpogostejši napad napada na spletne strežnike se izvaja s spamiranjem SYN( sinhroniziranje) paketov. Pošiljanje SYN paketa je prvi korak za vzpostavitev povezave TCP.Po prejemu SYN paketa se strežnik odzove s paketom SYN-ACK( sinhroniziranje potrditve).Nazadnje, stranka pošlje paket ACK( potrditev) in zaključi povezavo.
Če se odjemalec v določenem času ne odzove na paket SYN-ACK, strežnik ponovno pošlje paket in počaka na odgovor. Ponovil bo ta postopek znova in znova, ki lahko na strežniku zmanjša čas pomnilnika in procesorja. Dejansko, če je dovolj storjeno, lahko porabi toliko časa spomina in procesorja, da legitimni uporabniki skrajšajo svoje seje ali se nove seje ne morejo začeti. Poleg tega lahko povečana uporaba pasovne širine iz vseh paketov nasičuje omrežja, zaradi česar ne morejo prenesti prometa, ki ga dejansko želijo. Napadi
DNS za ojačitev
Napadi zavrnitve storitve so lahko tudi ciljni strežniki DNS: strežniki, ki prevajajo domenska imena( npr. Howtogeek.com) v naslove IP( 12.345.678.900), ki jih računalniki uporabljajo za komuniciranje. Ko v brskalnik vnesete howtogeek.com, se pošlje na strežnik DNS.Strežnik DNS vas nato usmeri na dejansko spletno mesto. Hitrost in nizka zakasnitev sta glavna skrb za DNS, zato protokol deluje prek UDP namesto TCP.DNS je kritičen del internetne infrastrukture, pasovna širina, ki jo porabijo zahteve DNS, je na splošno minimalna.
DNS počasi narašča, postopoma pa se nove funkcije postopoma doda s časom. To je predstavljalo težavo: DNS je imela omejitev velikosti paketa 512 bajtov, kar pa ni bilo dovolj za vse te nove funkcije. Torej, leta 1999 je IEEE objavil specifikacijo za mehanizme razširitve za DNS( EDNS), ki so povečali omejitev na 4096 bajtov in omogočili vključitev več informacij v vsako zahtevo.
Ta sprememba pa je DNS občutljiva na "napade za ojačitev".Napadalec lahko pošilja posebej izdelane zahteve za DNS strežnike, ki zahtevajo veliko količino informacij in zahtevajo, da jih pošljejo na naslov IP svojega cilja."Amplifikacija" se ustvari, ker je odziv strežnika veliko večji od zahteve, ki jo ustvari, strežnik DNS pa pošlje odgovor na ponarejeni IP.
Številni DNS strežniki niso konfigurirani za odkrivanje ali padanje slabih zahtev, zato, ko napadalci večkrat pošljejo ponarejene zahteve, žrtev dobi poplavljene ogromne pakete EDNS, ki zagozdijo omrežje. Ni mogoče obdelati toliko podatkov, njihov legitimen promet bo izgubljen.
Torej, kaj je porazdeljena zavrnitev storitve( DDoS) napad?
Distribuirani napad denial of service je tisti, ki ima več( včasih nevede) napadalce. Spletne strani in aplikacije so zasnovane tako, da obravnavajo številne sočasne povezave - sploh spletna mesta ne bi bila zelo koristna, če bi lahko obiskala samo ena oseba. Velike storitve, kot so Google, Facebook ali Amazon, so zasnovane tako, da upravljajo milijone ali več deset milijonov hkratnih uporabnikov. Zaradi tega ni mogoče, da bi jih napadalec napadel z zavrnitvijo storitve. Toda lahko veliko napadalcev .
Najpogostejši način zaposlovanja napadalcev je preko botnet. V botnetu hekerji okužijo vse vrste internetnih povezanih naprav z zlonamerno programsko opremo. Te naprave so lahko računalniki, telefoni ali celo druge naprave v vašem domu, kot so DVR in varnostne kamere. Ko so okuženi, lahko uporabljajo te naprave( imenovane zombija), da občasno kontaktirajo ukazni in kontrolni strežnik, da zahtevajo navodila. Ti ukazi lahko segajo od mining kriptocurrencies do, da, sodelujejo pri napadih DDoS.Na ta način ne potrebujejo tonterja hekerjev, ki bi se lahko združili - lahko uporabijo negotove naprave običajnih uporabnikov doma, da opravljajo svoje umazano delo.
Drugi napadi DDoS se lahko izvajajo prostovoljno, ponavadi iz politično motiviranih razlogov. Stranke, kot je Low Orbit Ion Cannon , naredijo DoS napade enostavne in jih je preprosto razdeliti. Upoštevajte, da je v večini držav nezakonito( namerno) sodelovati pri napadu DDoS.
Končno, nekateri DDoS napadi so lahko nenamerni. Prvotno imenovani učinek Slashdot in posplošeni kot "objem smrti" lahko ogromne količine legitimnega prometa oškoduje spletno stran. Verjetno ste videli, da se je to zgodilo prej, priljubljena spletna povezava do majhnega spletnega dnevnika in ogromen priliv uporabnikov po naključju prinese stran. Tehnično je to še vedno razvrščeno kot DDoS, čeprav ni namerno ali zlonamerno.
Kako se lahko zaščitim pred napadom na zavrnitev storitve?
Tipičnim uporabnikom ni treba skrbeti, da so tarča napadi zavrnitve storitve. Z izjemo strimerjev in igralcev, je zelo redko, da je DoS usmerjen na posameznika. Torej bi morali še vedno storiti vse, kar je v vaši moči, da zaščitite svoje naprave pred zlonamerno programsko opremo, ki bi vas lahko vključila v botnet.
Če ste skrbnik spletnega strežnika, obstaja veliko informacij o tem, kako zaščititi svoje storitve pred napadi DoS.Konfiguracija strežnika in naprave lahko ublažijo nekatere napade. Druge lahko preprečimo z zagotavljanjem, da nepooblaščeni uporabniki ne morejo opravljati operacij, ki zahtevajo pomembne strežniške vire. Na žalost uspeh DoS napada najpogosteje določa, kdo ima večjo cev. Storitve, kot sta Cloudflare in Incapsula, nudijo zaščito tako, da stojijo pred spletnimi mesti, vendar so lahko draga.