Kas yra paslaugų atsisakymas ir DDoS priepuoliai?
„DoS“ („Denial of Service“) ir „DDoS“ („Distributed Denial of Service“) atakos vis dažniau ir stipriau. Paslaugų atmetimo atakos būna įvairių formų, tačiau jos turi bendrą tikslą: sustabdyti naudotojų prieigą prie išteklių, nesvarbu, ar tai yra interneto puslapis, el. Paštas, telefono tinklas, ar kažkas kita. Pažvelkime į dažniausiai pasitaikančius atakų prieš interneto tikslus tipus ir kaip DoS gali tapti DDoS.
Dažniausiai pasitaikančių paslaugų atsisakymo tipai (DoS)
Svarbiausia tai, kad „Denial of Service“ ataka paprastai atliekama užtvindant serverio, interneto svetainės serverį, tiek, kad jis negali teikti savo paslaugų teisėtiems vartotojams. Yra keletas būdų, kaip tai galima atlikti, dažniausiai yra TCP potvynių atakos ir DNS stiprinimo atakos.
TCP potvynių atakos
Beveik visi žiniatinklio (HTTP / HTTPS) srautai atliekami naudojant perdavimo valdymo protokolą (TCP). TCP turi daugiau pridėtinių nei alternatyvus vartotojo duomenų protokolo protokolas (UDP), tačiau yra sukurtas patikimam. Du kompiuteriai, prijungti vienas prie kito per TCP, patvirtins kiekvieno paketo gavimą. Jei nėra patvirtinimo, paketas turi būti išsiųstas dar kartą.
Kas atsitiks, jei vienas kompiuteris atjungiamas? Galbūt vartotojas praranda galią, jų interneto paslaugų teikėjas turi gedimą, arba bet kokią taikomąją programą, kurią jie naudoja, nepranešdami kitam kompiuteriui. Kitas klientas turi nustoti pakartotinai siųsti tą patį paketą, o kitaip tai švaistyti išteklius. Kad būtų išvengta nesibaigiančio perdavimo, nurodoma laiko trukmė ir (arba) nustatoma, kiek kartų paketas gali būti pakartotinai išsiųstas prieš visiškai nutraukiant ryšį.
TCP buvo sukurtas siekiant palengvinti patikimą ryšį tarp karinių bazių nelaimės atveju, tačiau tai labai dizainas palieka ją pažeidžiamas dėl atleidimo nuo paslaugų. Kai buvo sukurtas TCP, niekas neįvertino, kad jį naudos daugiau nei milijardas klientų įrenginių. Apsauga nuo šiuolaikinių atmetimo išpuolių buvo ne tik projekto dalis.
Dažniausiai interneto serverių atmetimo atmetimas atliekamas šlamštuojant SYN (sinchronizuoti) paketus. SYN paketo siuntimas yra pirmasis TCP ryšio inicijavimo žingsnis. Gavęs SYN paketą, serveris reaguoja su SYN-ACK paketu (sinchronizuoti patvirtinimą). Galiausiai, klientas siunčia ACK (patvirtinimo) paketą, užbaigiantį ryšį.
Tačiau, jei klientas nereaguoja į SYN-ACK paketą per nustatytą laiką, serveris vėl siunčia paketą ir laukia atsakymo. Tai kartos šią procedūrą kartoti ir vėl, o tai gali iššvaistyti atmintį ir procesoriaus laiką serveryje. Iš tiesų, jei tai padaryta pakankamai, ji gali sunaikinti tiek daug atminties ir procesoriaus laiko, kad teisėti vartotojai gautų trumpas sesijas, arba naujos sesijos negali pradėti. Be to, padidėjęs dažnių juostos pločio naudojimas iš visų paketų gali prisotinti tinklus, kad jie negalėtų vežti srauto, kurį jie iš tikrųjų nori.
DNS stiprinimo atakos
Paslaugų atmetimo atakos taip pat gali būti nukreiptos į DNS serverius: serverius, kurie verčia domenų vardus (pvz., Howtogeek.com) į IP adresus (12.345.678.900), kuriuos kompiuteriai naudoja bendravimui. Kai naršyklėje įvedate howtogeek.com, jis išsiunčiamas į DNS serverį. Tada DNS serveris nukreipia jus į faktinę svetainę. Greitis ir mažas latentinis laikas yra pagrindinės problemos, susijusios su DNS, todėl protokolas veikia per UDP, o ne TCP. DNS yra svarbi interneto infrastruktūros dalis, o dažnių juostos plotis, kurį naudoja DNS užklausos, paprastai yra minimalus.
Tačiau DNS pamažu augo, o laikui bėgant palaipsniui pridedamos naujos funkcijos. Tai įvedė problemą: DNS paketo dydis buvo 512 baitų, o ne visoms šioms naujoms funkcijoms. Taigi, 1999 m. IEEE paskelbė DNS (EDNS) išplėtimo mechanizmų specifikaciją, kuri padidino viršutinę ribą iki 4096 baitų, todėl kiekvienoje užklausoje galėjo būti pateikta daugiau informacijos.
Tačiau šis pakeitimas DNS tapo pažeidžiamas „stiprinimo atakomis“. Užpuolikas gali siųsti specialiai sukurtus prašymus į DNS serverius, prašydamas didelės informacijos kiekio ir prašydamas, kad jie būtų siunčiami į savo tikslo IP adresą. Sukuriamas „stiprinimas“, nes serverio atsakas yra daug didesnis nei prašymas generuoti, o DNS serveris atsiųs atsakymą į suklastotą IP.
Daugelis DNS serverių nėra sukonfigūruoti aptikti ar numesti blogų užklausų, todėl, kai užpuolikai pakartotinai siunčia suklastotus prašymus, nukentėjusysis užtvindys didžiulius EDNS paketus, užkertantį tinklą. Nepavyko apdoroti tiek daug duomenų, kad jų teisėtas srautas bus prarastas.
Taigi, kas yra pasiskirstymo atsisakymas (DDoS) ataka?
Pasiskirstymo atsisakymo išpuolis yra tas, kuris turi kelis (kartais nepageidaujamus) atakuotojus. Svetainės ir taikomosios programos yra skirtos daugeliui tuo pačiu metu veikiančių ryšių tvarkymui - galiausiai interneto svetainės nebūtų labai naudingos, jei vienu metu galėtų aplankyti tik vienas asmuo. Milžiniškos paslaugos, pvz., „Google“, „Facebook“ ar „Amazon“, skirtos milijonams ar dešimčių milijonų vartotojų. Dėl šios priežasties neįmanoma, kad vienas užpuolikas juos nustumtų su atmetimo tarnybos išpuoliu. Bet daug užpuolikai.
Dažniausias išpuolių įdarbinimo būdas yra „botnet“. „Botnet“ tinkle įsilaužėliai užkrėsti įvairius interneto prijungtus įrenginius su kenkėjiška programa. Šie įrenginiai gali būti kompiuteriai, telefonai ar net kiti jūsų namų įrenginiai, pvz., DVR ir apsaugos kameros. Užsikrėtę jie gali naudoti tuos prietaisus (vadinamuosius zombius), kad periodiškai susisiektų su komandų ir valdymo serveriu ir paprašytų instrukcijų. Šios komandos gali svyruoti nuo kasybos cryptocurrencies iki, taip, dalyvaujant DDoS atakose. Tokiu būdu, jiems nereikia tonų įsilaužėlių, kad galėtų juo susieti - jie gali naudoti nesaugius įprastų namų naudotojų prietaisus, kad galėtų atlikti savo purviną darbą.
Kiti DDoS išpuoliai gali būti vykdomi savanoriškai, paprastai dėl politinių motyvų. Klientai, tokie kaip „Low Orbit Ion Cannon“, daro DoS atakas paprastus ir lengvai platinamus. Atminkite, kad daugelyje šalių neteisėta (tyčia) dalyvauti DDoS atakoje.
Galiausiai, kai kurie DDoS išpuoliai gali būti netyčia. Iš pradžių jis vadinamas „Slashdot“ efektu ir apibendrintas kaip „mirtis“, todėl didžiuliai teisėtų srautų kiekiai gali trikdyti svetainę. Jūs tikriausiai matėte, kad taip atsitiko prieš populiarią svetainių nuorodą į nedidelį tinklaraštį ir didžiulį vartotojų srautą netyčia atnešė. Techniniu požiūriu tai vis dar klasifikuojama kaip „DDoS“, net jei ji nėra tyčia ar kenkėjiška.
Kaip aš galiu apsaugoti save nuo prieštaravimo tarnyboms?
Tipiški naudotojai neprivalo jaudintis dėl to, kad yra atmetimo atmetimo objektas. Išskyrus raitelius ir profesionalius žaidėjus, labai retai pasitaiko, kad DoS būtų nukreiptas į asmenį. Be to, jūs vis dar turėtumėte padaryti viską, ką galite, kad apsaugotumėte visus įrenginius nuo kenkėjiškų programų, kurios galėtų tapti botneto dalimi.
Tačiau, jei esate tinklo serverio administratorius, yra daug informacijos apie tai, kaip apsaugoti savo paslaugas nuo „DoS“ atakų. Serverio konfigūracija ir prietaisai gali sumažinti kai kuriuos išpuolius. Kiti gali būti išvengiami užtikrinant, kad nepatvirtinti naudotojai negalėtų atlikti operacijų, reikalaujančių didelių serverio išteklių. Deja, DoS atakos sėkmę dažniausiai lemia kas turi didesnį vamzdį. Paslaugos, tokios kaip „Cloudflare“ ir „Incapsula“, siūlo apsaugą stovėdami priešais svetaines, tačiau gali būti brangios.