2Sep
DoS( Denial of Service) och DDoS( Distributed Denial of Service) attacker blir allt vanligare och kraftfulla. Denial of Service-attacker kommer i många former, men delar en gemensam avsikt: hindrar användare från att komma åt en resurs, oavsett om det är en webbsida, e-post, telefonnät eller något annat helt. Låt oss titta på de vanligaste typerna av attacker mot webbmål, och hur DoS kan bli DDoS.
De vanligaste typerna av avslag på beteende( DoS) Attacks
I kärnan utförs en attack av Denial of Service typiskt genom att översvämma en server-säg, en webbserver på en webbplats, så mycket att den inte kan tillhandahålla sina tjänster tilllegitima användare. Det finns några sätt att göra detta, de vanligaste är TCP-översvämningsattacker och DNS-amplifieringsattacker.
TCP Flooding Attacks
Nästan alla webb( HTTP / HTTPS) trafik utförs med hjälp av Transmission Control Protocol( TCP).TCP har högre kostnader än alternativet, UDP( User Datagram Protocol), men är konstruerat för att vara tillförlitligt. Två datorer anslutna till varandra via TCP bekräftar mottagandet av varje paket. Om ingen bekräftelse ges, måste paketet skickas igen.
Vad händer om en dator avbryts? Kanske en användare förlorar makten, deras Internetleverantör har ett misslyckande, eller vilken applikation de använder slutar utan att informera den andra datorn. Den andra klienten måste sluta sända samma paket, annars slösar det med resurser. För att förhindra oändlig överföring anges en timeout-varaktighet och / eller en gräns är inställd på hur många gånger ett paket kan skickas om innan du släpper anslutningen helt.
TCP har utformats för att underlätta tillförlitlig kommunikation mellan militära baser i händelse av en katastrof, men den här designen gör den sårbar mot avslag på serviceattacker. När TCP skapades, visade ingen att det skulle användas av över en miljard klientenheter. Skyddet mot moderna avslag på beteende var inte en del av designprocessen.
Den vanligaste förnekandet av tjänsten attack mot webbservrar utförs genom spamming SYN( synkronisera) paket. Skicka ett SYN-paket är det första steget att initiera en TCP-anslutning. Efter att ha mottagit SYN-paketet svarar servern med ett SYN-ACK-paket( synkroniseringsbekräftelse).Slutligen skickar klienten ett ACK-paket( bekräftelse), som slutför anslutningen.
Om klienten inte svarar på SYN-ACK-paketet inom en viss tid skickar servern dock paketet igen och väntar på ett svar. Det kommer att upprepa detta förfarande om och om igen, vilket kan slösa bort minnet och processorns tid på servern. Faktum är att om det är tillräckligt, kan det slösa så mycket minne och processortid som legitima användare får sina sessioner korta eller nya sessioner kan inte starta. Dessutom kan den ökade bandbreddsanvändningen från alla paket mätta nätverk, vilket gör att de inte kan bära den trafik de verkligen vill ha.
DNS-förstärkningsattacker
Anfallstjänsten kan också ta sikte på DNS-servrar: de servrar som översätter domännamn( som howtogeek.com) till IP-adresser( 12.345.678.900) som datorer använder för att kommunicera. När du skriver howtogeek.com i din webbläsare, skickas den till en DNS-server. DNS-servern leder dig sedan till den faktiska webbplatsen. Hastighet och låg latens är stora bekymmer för DNS, så protokollet fungerar över UDP istället för TCP.DNS är en kritisk del av internetens infrastruktur, och bandbredd som konsumeras av DNS-förfrågningar är i allmänhet minimal.
Men DNS växte långsamt, med nya funktioner som gradvis adderas över tiden. Detta innebar ett problem: DNS hade en paketstorlek på 512 byte, vilket inte räckte för alla nya funktioner. Så 1999 publicerade IEEE specifikationen för förlängningsmekanismer för DNS( EDNS), vilket ökade locket till 4096 byte, vilket möjliggör mer information att inkluderas i varje förfrågan.
Denna ändring gjorde dock DNS sårbar för "förstärkningsattacker".En angripare kan skicka speciellt utformade förfrågningar till DNS-servrar och begär stora mängder information och begär att de skickas till deras måladress. En "förstärkning" skapas eftersom serverns svar är mycket större än förfrågan som genererar det, och DNS-servern skickar sitt svar till den smidda IP.
Många DNS-servrar är inte konfigurerade för att upptäcka eller släppa dåliga förfrågningar, så när angripare upprepade gånger skickar smidiga förfrågningar blir offret översvämmade med stora EDNS-paket som överbelastar nätverket. Kan inte hantera så mycket data, deras legitima trafik kommer att gå vilse.
Så vad är en Distributed Denial of Service( DDoS) Attack?
En distribuerad denial of service attack är en som har flera( ibland oavsiktliga) angripare. Webbplatser och applikationer är utformade för att hantera många samtidiga anslutningar. T.ex. webbplatser skulle inte vara mycket användbara om bara en person kunde besöka åt gången. Jätte tjänster som Google, Facebook eller Amazon är utformade för att hantera miljontals eller tiotals miljoner samtidiga användare. På grund av det är det inte möjligt för en enskild angripare att få ner dem med en tjänstgöringsangrepp. Men kunde många -angripare.
Den vanligaste metoden att rekrytera attacker är genom en botnet. I en botn infekterar hackare alla typer av internetanslutna enheter med skadlig kod. Dessa enheter kan vara datorer, telefoner eller till och med andra enheter i ditt hem, som DVR och säkerhetskameror. När de smittats, kan de använda de här enheterna( kallade zombies) för att regelbundet kontakta ett kommando- och kontrollservern för att få instruktioner. Dessa kommandon kan sträcka sig från att bryta cryptocurrencies till ja, delta i DDoS-attacker. På så sätt behöver de inte ha massor av hackare till band - de kan använda de osäkra enheterna hos vanliga hemmaanvändare för att göra sitt smutsiga arbete.
Andra DDoS-attacker kan utföras frivilligt, vanligtvis av politiskt motiverade skäl. Kunder som Low Orbit Ion Cannon gör DoS-attacker enkla och är lätta att distribuera. Tänk på att det är olagligt i de flesta länder att( avsiktligt) delta i en DDoS-attack.
Slutligen kan vissa DDoS-attacker vara oavsiktliga. Ursprungligen kallad Slashdot-effekten och generaliserad som "kramen för döden" kan stora volymer av legitim trafik störa en webbplats. Du har antagligen sett detta hända förut - en populär sidlänkar till en liten blogg och en enorm tillströmning av användare kommer av misstag att sätta ner webbplatsen. Tekniskt klassificeras detta fortfarande som DDoS, även om det inte är avsiktligt eller skadligt.
Hur kan jag skydda mig mot avslag på serviceattacker?
Typiska användare behöver inte oroa sig för att vara målet för beteendeangrepp. Med undantag för streamers och pro gamers är det mycket sällsynt att en DoS pekar på en individ. Med detta sagt borde du fortfarande göra det bästa du kan för att skydda alla enheter från skadlig kod som kan göra dig en del av en botnät.
Om du är administratör för en webbserver, finns det dock en mängd information om hur du skyddar dina tjänster mot DoS-attacker. Serverkonfiguration och apparater kan mildra vissa attacker. Andra kan förhindras genom att säkerställa att oautentiserade användare inte kan utföra operationer som kräver stora serverresurser. Tyvärr bestäms en DoS-attacks framgång oftast av vem som har det större röret. Tjänster som Cloudflare och Incapsula erbjuder skydd genom att stå framför webbplatser, men kan vara dyra.