DoS (Denial of Service) a DDoS (DistributedÚtoky typu Denial of Service) sú čoraz bežnejšie a silnejšie. Útoky typu Denial of Service prichádzajú v mnohých podobách, ale majú spoločný účel: zabrániť používateľom v prístupe k zdrojom, či už ide o webovú stránku, e-mail, telefónnu sieť alebo niečo iné. Pozrime sa na najbežnejšie typy útokov na webové ciele a na to, ako sa DoS môže stať DDoS.
Najbežnejšie typy útokov na odmietnutie služby (DoS)
Jadrom útoku Denial of Service jezvyčajne sa vykonáva zaplavením servera - povedzme servera webovej stránky - natoľko, že nie je schopný poskytovať svoje služby legitímnym používateľom. Existuje niekoľko spôsobov, ako sa to dá vykonať, najčastejšie sú to TCP záplavové útoky a DNS amplifikačné útoky.
Protipovodňové útoky TCP
súvisiace: Aký je rozdiel medzi TCP a UDP?
Vykonáva sa takmer všetka prevádzka na webe (HTTP / HTTPS)pomocou protokolu TCP (Transmission Control Protocol). TCP má viac režijných nákladov ako alternatíva, UDP (User Datagram Protocol), ale je navrhnutý tak, aby bol spoľahlivý. Dva počítače navzájom prepojené prostredníctvom protokolu TCP potvrdia prijatie každého paketu. Pokiaľ nie je poskytnuté žiadne potvrdenie, paket musí byť zaslaný znova.
Čo sa stane, ak sa jeden počítač odpojí? Možno, že používateľ stratí napájanie, jeho poskytovateľ internetových služieb má poruchu alebo akákoľvek aplikácia, ktorú používa, skončí bez informovania druhého počítača. Druhý klient musí prestať znova odosielať ten istý paket, inak stráca zdroje. Aby sa predišlo nekonečnému prenosu, je stanovená doba časového limitu a / alebo je stanovený limit, koľkokrát môže byť paket znovu odoslaný pred úplným prerušením spojenia.
TCP bol navrhnutý tak, aby uľahčoval spoľahlivosťkomunikácia medzi vojenskými základňami v prípade katastrofy, ale práve táto konštrukcia ho robí zraniteľným voči útokom odmietnutia služby. Keď bol vytvorený TCP, nikto si nepredstavoval, že ho bude používať viac ako miliarda klientskych zariadení. Ochrana pred modernými útokmi odmietnutia služby jednoducho nebola súčasťou procesu navrhovania.
Najčastejším útokom proti odmietnutiu službywebové servery sa vykonávajú prostredníctvom spamovania SYN (synchronizačných) paketov. Posielanie paketu SYN je prvým krokom k nadviazaniu spojenia TCP. Po prijatí paketu SYN server odpovie paketom SYN-ACK (synchronizácia potvrdenia). Nakoniec klient odošle paket ACK (potvrdenie) a dokončí pripojenie.
Ak však klient nereaguje naSYN-ACK paket v stanovenom čase server odošle paket znova a čaká na odpoveď. Tento postup bude opakovať znova a znova, čo môže stratiť čas na pamäti a procesore na serveri. V skutočnosti, ak sa to urobí dosť, môže to stratiť toľko pamäte a času procesora, že legitímni používatelia môžu skrátiť svoje relácie alebo nové relácie nie sú schopné začať. Zvýšené využitie šírky pásma zo všetkých paketov môže navyše nasýtiť siete, čo im znemožňuje prenášať prenos, ktorý skutočne chcú.
Útoky na zosilnenie DNS
súvisiace: Čo je to DNS a mám používať iný server DNS?
Útoky proti odmietnutiu služby sa môžu tiež zameraťServery DNS: servery, ktoré prekladajú názvy domén (napríklad howtogeek.com) na adresy IP (12.345.678.900), ktoré počítače používajú na komunikáciu. Ak do prehliadača zadáte text howtogeek.com, odošle sa na server DNS. Server DNS vás potom nasmeruje na aktuálnu webovú stránku. Rýchlosť a nízka latencia sú hlavnými problémami DNS, takže protokol funguje namiesto protokolu TCP nad protokolom UDP. DNS je kritickou súčasťou infraštruktúry internetu a šírka pásma spotrebovaná požiadavkami DNS je vo všeobecnosti minimálna.
DNS však pomaly rástol s novými funkciamiv priebehu času. To predstavovalo problém: DNS mal limit veľkosti paketu 512 bajtov, čo nestačilo na všetky tieto nové funkcie. V roku 1999 teda IEEE uverejnil špecifikáciu mechanizmov rozšírenia pre DNS (EDNS), ktorá zvýšila limit na 4096 bajtov, čo umožnilo zahrnúť do každej žiadosti viac informácií.
Táto zmena však spôsobila, že DNS bol zraniteľný„Zosilňovacie útoky“. Útočník môže posielať špeciálne spracované požiadavky na servery DNS, pričom požaduje veľké množstvo informácií a žiada, aby boli zaslané na adresu IP cieľového servera. Vytvorí sa „zosilnenie“, pretože odozva servera je oveľa väčšia ako požiadavka, ktorá ho generuje, a server DNS zašle svoju odpoveď na kovanú IP.
Mnoho serverov DNS nie je nakonfigurovaných na zisťovanie aleboupustite od zlých požiadaviek, takže keď útočníci opakovane odosielajú falšované žiadosti, obeť je zaplavená obrovskými paketmi EDNS a preťažuje sieť. Ak nedokážeme spracovať toľko údajov, stratí sa ich legitímny prenos.
Čo je to útok na distribuované odmietnutie služby (DDoS)?
Distribuovaný útok odmietnutia služby je jedenktorý má viac (niekedy nevedomých) útočníkov. Webové stránky a aplikácie sú navrhnuté tak, aby zvládli mnoho súbežných pripojení - webové stránky by nakoniec neboli užitočné, ak by naraz mohla navštíviť iba jedna osoba. Obrovské služby ako Google, Facebook alebo Amazon sú navrhnuté tak, aby zvládli milióny alebo desiatky miliónov súčasných používateľov. Z tohto dôvodu nie je možné, aby ich jeden útočník zneškodnil útokom odmietnutia služby. ale veľa útočníci mohli.
súvisiace: Čo je botnet?
Najbežnejšou metódou náboru útočníkov jecez botnet. V botnete hackeri infikujú najrôznejšie zariadenia pripojené na internet škodlivým softvérom. Týmito zariadeniami môžu byť počítače, telefóny alebo iné zariadenia vo vašej domácnosti, ako sú rekordéry a bezpečnostné kamery. Po infikovaní môžu pomocou týchto zariadení (nazývaných zombie) pravidelne kontaktovať príkazový a riadiaci server a požiadať o pokyny. Tieto príkazy sa môžu pohybovať od ťažby kryptomeny až po účasť na útokoch DDoS. Na to, aby sa mohli spojiť, nepotrebujú veľa hackerov - môžu používať nezabezpečené zariadenia bežných domácich používateľov, aby vykonávali svoju špinavú prácu.
Iné útoky DDoS sa môžu vykonávať dobrovoľne, zvyčajne z politicky motivovaných dôvodov. Klienti ako Low Orbit Ion Cannon Uľahčujú útoky DoS a dajú sa ľahko distribuovať. Majte na pamäti, že vo väčšine krajín je nezákonné zúčastňovať sa útoku DDoS (úmyselne).
Nakoniec, niektoré DDoS útoky môžu byť neúmyselné. Pôvodne označovaný ako efekt Slashdot a zovšeobecnený ako „objatie smrti“, môžu veľké webové stránky ochromiť obrovské množstvá legitímnej premávky. Pravdepodobne ste to už videli predtým - populárne odkazy na stránky s malým blogom a obrovský príliv používateľov omylom spustili stránku. Z technického hľadiska je to stále klasifikované ako DDoS, aj keď to nie je úmyselné alebo škodlivé.
Ako sa môžem chrániť pred útokmi proti odmietnutiu služby?
Typickí používatelia sa nemusia báť bytiacieľ odmietnutia servisných útokov. S výnimkou streamerov a hráčov je pre DoS veľmi zriedkavé ukazovať na jednotlivca. Napriek tomu by ste mali urobiť všetko, čo môžete, aby ste chránili všetky svoje zariadenia pred škodlivým softvérom, ktorý by z vás mohol urobiť súčasť botnetu.
Ak ste správcom webového servera,Existuje však veľa informácií o tom, ako zabezpečiť svoje služby pred útokmi DoS. Konfigurácia servera a zariadenia môžu zmierniť niektoré útoky. Ostatným možno zabrániť tým, že sa zabezpečí, že neoverení používatelia nemôžu vykonávať operácie, ktoré vyžadujú značné prostriedky servera. Úspech útoku DoS bohužiaľ najčastejšie určuje kto má väčšiu rúru. Služby ako Cloudflare a Incapsula ponúkajú ochranu stojace pred webovými stránkami, ale môžu byť drahé.
