DoS (Denial of Service) en DDoS (GedistribueerdDenial of Service) -aanvallen worden steeds gebruikelijker en krachtiger. Denial of Service-aanvallen zijn er in vele vormen, maar hebben een gemeenschappelijk doel: voorkomen dat gebruikers toegang krijgen tot een bron, of dit nu een webpagina, e-mail, het telefoonnetwerk of iets anders is. Laten we eens kijken naar de meest voorkomende soorten aanvallen op webdoelen en hoe DoS DDoS kan worden.
De meest voorkomende soorten Denial of Service-aanvallen (DoS)
De kern is een Denial of Service-aanvalmeestal uitgevoerd door een server te laten overstromen, bijvoorbeeld de server van een website, zodanig dat deze zijn services niet aan legitieme gebruikers kan bieden. Er zijn een paar manieren waarop dit kan worden uitgevoerd, de meest voorkomende zijn TCP-overstromingsaanvallen en DNS-versterkingsaanvallen.
TCP-overstromingen
VERWANT: Wat is het verschil tussen TCP en UDP?
Bijna al het webverkeer (HTTP / HTTPS) wordt uitgevoerdmet behulp van het Transmission Control Protocol (TCP). TCP heeft meer overhead dan het alternatief, User Datagram Protocol (UDP), maar is ontworpen om betrouwbaar te zijn. Twee computers die via TCP met elkaar zijn verbonden, bevestigen de ontvangst van elk pakket. Als er geen bevestiging wordt gegeven, moet het pakket opnieuw worden verzonden.
Wat gebeurt er als een computer wordt losgekoppeld? Misschien verliest een gebruiker de stroom, heeft zijn ISP een storing of stopt de applicatie die hij gebruikt zonder de andere computer te informeren. De andere client moet stoppen met het opnieuw verzenden van hetzelfde pakket, anders verspilt het bronnen. Om eindeloze verzending te voorkomen, is een time-outduur opgegeven en / of wordt een limiet ingesteld voor het aantal keren dat een pakket opnieuw kan worden verzonden voordat de verbinding volledig wordt verbroken.
TCP is ontworpen om betrouwbaar te zijncommunicatie tussen militaire bases in het geval van een ramp, maar juist dit ontwerp maakt het kwetsbaar voor denial of service-aanvallen. Toen TCP werd gemaakt, beeldde niemand in dat het door meer dan een miljard client-apparaten zou worden gebruikt. Bescherming tegen moderne denial of service-aanvallen was gewoon geen onderdeel van het ontwerpproces.
De meest voorkomende Denial of Service-aanval tegenwebservers worden uitgevoerd door SYN-pakketten (synchroniseren) te spammen. Het verzenden van een SYN-pakket is de eerste stap van het initiëren van een TCP-verbinding. Na ontvangst van het SYN-pakket antwoordt de server met een SYN-ACK-pakket (bevestiging synchroniseren). Ten slotte verzendt de client een ACK-pakket (bevestiging) om de verbinding te voltooien.
Als de client echter niet reageert op deSYN-ACK-pakket binnen een ingestelde tijd, de server verzendt het pakket opnieuw en wacht op een antwoord. Het herhaalt deze procedure steeds opnieuw, wat geheugen- en processortijd op de server kan verspillen. Als het genoeg wordt gedaan, kan het zelfs zoveel geheugen- en processortijd verspillen dat legitieme gebruikers hun sessies kunnen afbreken of nieuwe sessies niet kunnen starten. Bovendien kan het verhoogde bandbreedtegebruik van alle pakketten netwerken verzadigen, waardoor ze niet in staat zijn om het verkeer te dragen dat ze eigenlijk willen.
DNS-versterkingsaanvallen
VERWANT: Wat is DNS en moet ik een andere DNS-server gebruiken?
Denial of service-aanvallen kunnen ook gericht zijnDNS-servers: de servers die domeinnamen (zoals howtogeek.com) vertalen naar IP-adressen (12.345.678.900) die computers gebruiken om te communiceren. Wanneer u howtogeek.com in uw browser typt, wordt deze naar een DNS-server verzonden. De DNS-server leidt u vervolgens naar de werkelijke website. Snelheid en lage latentie zijn grote zorgen voor DNS, dus het protocol werkt via UDP in plaats van TCP. DNS is een cruciaal onderdeel van de infrastructuur van internet en de bandbreedte die wordt verbruikt door DNS-aanvragen is over het algemeen minimaal.
DNS groeide echter langzaam, met nieuwe functiesgeleidelijk toegevoegd in de tijd. Dit introduceerde een probleem: DNS had een pakketgroottelimiet van 512 bytes, wat niet genoeg was voor al die nieuwe functies. Daarom publiceerde de IEEE in 1999 de specificatie voor uitbreidingsmechanismen voor DNS (EDNS), waardoor de limiet werd verhoogd tot 4096 bytes, waardoor meer informatie in elk verzoek kon worden opgenomen.
Deze wijziging maakte DNS echter kwetsbaar voor"Versterkingsaanvallen". Een aanvaller kan speciaal vervaardigde verzoeken verzenden naar DNS-servers, vragen om grote hoeveelheden informatie en vragen dat deze naar het IP-adres van hun doel worden verzonden. Er wordt een "versterking" gemaakt omdat de reactie van de server veel groter is dan de aanvraag die deze genereert en de DNS-server de reactie naar het vervalste IP-adres verzendt.
Veel DNS-servers zijn niet geconfigureerd om of te detecterenslechte aanvragen laten vallen, dus wanneer aanvallers herhaaldelijk vervalste aanvragen verzenden, wordt het slachtoffer overspoeld met enorme EDNS-pakketten, waardoor het netwerk overbelast raakt. Omdat ze niet zoveel gegevens kunnen verwerken, gaat hun legitieme verkeer verloren.
Dus wat is een DDoS-aanval (Distributed Denial of Service)?
Een gedistribueerde denial of service-aanval is er ééndat meerdere (soms onbewuste) aanvallers heeft. Websites en applicaties zijn ontworpen om vele gelijktijdige verbindingen te verwerken. Websites zouden immers niet erg nuttig zijn als slechts één persoon tegelijk zou kunnen bezoeken. Gigantische services zoals Google, Facebook of Amazon zijn ontworpen om miljoenen of tientallen miljoenen gelijktijdige gebruikers aan te kunnen. Daarom is het niet haalbaar voor een enkele aanvaller om hem neer te halen met een denial of service-aanval. Maar veel aanvallers kunnen.
VERWANT: Wat is een botnet?
De meest gebruikelijke methode om aanvallers te werven isvia een botnet. In een botnet infecteren hackers allerlei op internet aangesloten apparaten met malware. Die apparaten kunnen computers, telefoons of zelfs andere apparaten in uw huis zijn, zoals DVR's en beveiligingscamera's. Eenmaal geïnfecteerd, kunnen ze die apparaten (zombies genoemd) gebruiken om periodiek contact op te nemen met een opdracht- en controleserver om instructies te vragen. Deze opdrachten kunnen variëren van mijncryptocurrencies tot, ja, deelnemen aan DDoS-aanvallen. Op die manier hebben ze niet veel hackers nodig om samen te werken - ze kunnen de onzekere apparaten van normale thuisgebruikers gebruiken om hun vuile werk te doen.
Andere DDoS-aanvallen kunnen vrijwillig worden uitgevoerd, meestal om politiek gemotiveerde redenen. Klanten zoals Low Orbit Ion Cannon maak DoS-aanvallen eenvoudig en zijn gemakkelijk te verspreiden. Houd er rekening mee dat het in de meeste landen illegaal is om (opzettelijk) deel te nemen aan een DDoS-aanval.
Ten slotte kunnen sommige DDoS-aanvallen onbedoeld zijn. Oorspronkelijk aangeduid als het Slashdot-effect en gegeneraliseerd als de "knuffel van de dood", kunnen enorme hoeveelheden legitiem verkeer een website verlammen. Je hebt dit waarschijnlijk al eerder gezien: een populaire site linkt naar een klein blog en een enorme toestroom van gebruikers bracht de site per ongeluk naar beneden. Technisch gezien is dit nog steeds geclassificeerd als DDoS, zelfs als het niet opzettelijk of kwaadaardig is.
Hoe kan ik mezelf beschermen tegen aanvallen van denial of service?
Typische gebruikers hoeven zich geen zorgen te makenhet doelwit van denial of service-aanvallen. Met uitzondering van streamers en professionele gamers, is het zeer zeldzaam dat een DoS op een persoon wordt gericht. Dat gezegd hebbende, moet je nog steeds je best doen om al je apparaten te beschermen tegen malware die je onderdeel kan maken van een botnet.
Als u een beheerder van een webserver bent,er is echter een schat aan informatie over hoe u uw services kunt beveiligen tegen DoS-aanvallen. Serverconfiguratie en apparaten kunnen sommige aanvallen verminderen. Anderen kunnen worden voorkomen door ervoor te zorgen dat niet-geverifieerde gebruikers geen bewerkingen kunnen uitvoeren waarvoor aanzienlijke serverbronnen nodig zijn. Helaas wordt het succes van een DoS-aanval meestal bepaald door wie de grotere pijp heeft. Services zoals Cloudflare en Incapsula bieden bescherming door voor websites te staan, maar kunnen duur zijn.
