Kaj so denial of service in DDoS napadi?

Kazalo:

Video: Kaj so denial of service in DDoS napadi?

Video: Kaj so denial of service in DDoS napadi?
Video: CS50 2013 - Week 10, continued 2024, Marec
Kaj so denial of service in DDoS napadi?
Kaj so denial of service in DDoS napadi?
Anonim
DoS (Denial of Service) in DDoS (Distributed Denial of Service) napadi postajajo vse pogostejši in močnejši. Napadi z zavrnitvijo storitve so v več oblikah, vendar imajo skupen namen: preprečiti uporabnikom, da dostopajo do vira, ne glede na to, ali gre za spletno stran, e-pošto, telefonsko omrežje ali kaj drugega. Oglejmo si najpogostejše vrste napadov na spletne cilje in kako lahko DoS postane DDoS.
DoS (Denial of Service) in DDoS (Distributed Denial of Service) napadi postajajo vse pogostejši in močnejši. Napadi z zavrnitvijo storitve so v več oblikah, vendar imajo skupen namen: preprečiti uporabnikom, da dostopajo do vira, ne glede na to, ali gre za spletno stran, e-pošto, telefonsko omrežje ali kaj drugega. Oglejmo si najpogostejše vrste napadov na spletne cilje in kako lahko DoS postane DDoS.

Najpogostejše vrste napadov na storitve Denial of Service (DoS)

Na svojem jedru se napad napada zavrnitve običajno izvede s poplavljanjem strežnika - strežnika spletnega mesta - toliko, da ne more zagotoviti svojih storitev legitimnim uporabnikom. Obstaja nekaj načinov, kako se to lahko izvede, najpogostejši so napadi za poplavljanje TCP in napadi za ojačanje DNS.

Napadi poplav TCP

Skoraj ves promet (HTTP / HTTPS) se izvaja s pomočjo protokola za nadzor prenosa (TCP). TCP ima več režijskih stroškov kot alternativni protokol User Datagram Protocol (UDP), vendar je zasnovan kot zanesljiv. Dva računalnika, ki sta povezana drug z drugim preko TCP-ja, potrdita prejem vsakega paketa. Če ni zagotovljena nobena potrditev, je treba paket ponovno poslati.

Kaj se zgodi, če se računalnik odklopi? Morda uporabnik izgubi moč, njihov ponudnik internetnih storitev je okvarjen ali katera koli aplikacija, ki jo uporabljajo, ne da bi obvestila drug računalnik. Druga stranka mora prenehati s pošiljanjem istega paketa, sicer pa zapravlja vire. Da bi preprečili neskončni prenos, je določeno časovno obdobje in / ali je določena omejitev, kolikokrat je lahko paket ponovno poslan, preden popolnoma spustite povezavo.

TCP je bil zasnovan tako, da omogoča olajšanje zanesljive komunikacije med vojaškimi bazami v primeru nesreče, vendar je ta načrt zelo občutljiv na napade zaradi zavrnitve storitve. Ko je bila TCP ustvarjena, nihče ni slišal, da bi ga uporabljalo več kot milijardo odjemalskih naprav. Zaščita pred sodobnimi napadi z zavrnitvijo storitve ni bila le del procesa načrtovanja.

Najpogostejši napad denarja za storitve na spletnih strežnikih se izvaja s spamiranjem SYN (sinhronizirajočih) paketov. Pošiljanje SYN paketa je prvi korak za vzpostavitev povezave TCP. Po prejemu SYN paketa se strežnik odzove s paketom SYN-ACK (sinhroniziranje potrditve). Nazadnje, stranka pošlje paket ACK (potrditev) in zaključi povezavo.

Če pa se stranka v določenem času ne odzove na paket SYN-ACK, strežnik ponovno pošlje paket in počaka na odgovor. Ponovil bo ta postopek znova in znova, ki lahko na strežniku zmanjša čas pomnilnika in procesorja. Dejansko, če je dovolj storjeno, lahko porabi toliko časa spomina in procesorja, da legitimni uporabniki skrajšajo svoje seje ali se nove seje ne morejo začeti. Poleg tega lahko povečana uporaba pasovne širine iz vseh paketov nasičuje omrežja, zaradi česar ne morejo prenesti prometa, ki ga dejansko želijo.

Napadi DNS za ojačitev

Napadi zavrnitve storitve so lahko tudi ciljni strežniki DNS: strežniki, ki prevajajo domenska imena (npr. Howtogeek.com) v IP naslove (12.345.678.900), ki jih računalniki uporabljajo za komuniciranje. Ko v brskalnik vnesete howtogeek.com, se pošlje na strežnik DNS. Strežnik DNS vas nato usmeri na dejansko spletno mesto. Hitrost in nizka zakasnitev sta glavna skrb za DNS, zato protokol deluje prek UDP namesto TCP. DNS je kritičen del internetne infrastrukture, pasovna širina, ki jo porabijo zahteve DNS, je na splošno minimalna.

Vendar pa je DNS počasi naraščal, sčasoma so se nove funkcije postopoma dodajale. To je predstavljalo težavo: DNS je imela omejitev velikosti paketa 512 bajtov, kar pa ni bilo dovolj za vse te nove funkcije. Torej, leta 1999 je IEEE objavil specifikacijo za mehanizme razširitve za DNS (EDNS), ki so povečali omejitev na 4096 bajtov in omogočili vključitev več informacij v vsako zahtevo.

Ta sprememba pa je DNS občutljiva na "napade za ojačitev". Napadalec lahko pošilja posebej izdelane zahteve za DNS strežnike, ki zahtevajo veliko količino informacij in zahtevajo, da jih pošljejo na naslov IP svojega cilja. "Amplifikacija" se ustvari, ker je odziv strežnika veliko večji od zahteve, ki jo ustvari, strežnik DNS pa pošlje odgovor na ponarejeni IP.

Veliko DNS strežnikov ni konfigurirano za odkrivanje ali padanje slabih zahtev, zato, ko napadalci večkrat pošiljajo ponarejene zahteve, žrtev preplavi ogromne pakete EDNS in zagreši omrežje. Ni mogoče obdelati toliko podatkov, njihov legitimen promet bo izgubljen.

Torej, kaj je porazdeljena zavrnitev storitve (DDoS) napad?

Distribucijski napad denarja za storitve je tisti, ki ima več (včasih nevede) napadalce. Spletne strani in aplikacije so zasnovane tako, da obravnavajo številne sočasne povezave - sploh spletna mesta ne bi bila zelo koristna, če bi lahko obiskala samo ena oseba. Velike storitve, kot so Google, Facebook ali Amazon, so zasnovane tako, da upravljajo milijone ali več deset milijonov hkratnih uporabnikov. Zaradi tega ni mogoče, da bi jih napadalec napadel z zavrnitvijo storitve. Ampak veliko napadalci bi lahko.

Najpogostejši način zaposlovanja napadalcev je botnet.V botnetu hekerji okužijo vse vrste internetnih povezanih naprav z zlonamerno programsko opremo. Te naprave so lahko računalniki, telefoni ali celo druge naprave v vašem domu, kot so DVR in varnostne kamere. Ko so okužene, lahko uporabljajo te naprave (imenovane zombija), da občasno kontaktirajo ukazni in kontrolni strežnik, da zahtevajo navodila. Ti ukazi se lahko gibljejo od rudarskih kriptokotov, da, sodelujejo pri napadih DDoS. Na ta način ne potrebujejo tone hekerjev, ki bi se lahko združili, lahko pa uporabijo negotove naprave običajnih uporabnikov doma, da opravljajo svoje umazano delo.

Drugi napadi DDoS se lahko izvajajo prostovoljno, ponavadi iz politično motiviranih razlogov. Stranke, kot je Low Orbit Ion Cannon, onemogočajo napade DoS in jih je mogoče preprosto razdeliti. Upoštevajte, da je v večini držav nezakonito (namerno) sodelovati pri napadu DDoS.

Nazadnje, nekateri DDoS napadi so lahko nenamerni. Prvotno imenovani učinek Slashdot in posplošen kot "smrt smrti", ogromne količine zakonitega prometa lahko okužijo spletno stran. Verjetno ste videli, da se to zgodi prej, priljubljena povezava spletnega mesta z majhnim spletnim dnevnikom in ogromen dotok uporabnikov po naključju prinese stran. Tehnično je to še vedno razvrščeno kot DDoS, čeprav ni namerno ali zlonamerno.

Kako se lahko zaščitim pred napadom na zavrnitev storitve?

Tipičnim uporabnikom ni treba skrbeti, da so tarča napadi zavrnitve storitve. Z izjemo strimerjev in igralcev, je zelo redko, da je DoS usmerjen na posameznika. Torej bi morali še vedno storiti vse, kar je v vaši moči, da zaščitite svoje naprave pred zlonamerno programsko opremo, ki bi vas lahko vključila v botnet.

Če ste skrbnik spletnega strežnika, pa obstaja veliko informacij o tem, kako zaščititi svoje storitve pred napadi DoS. Konfiguracija strežnika in naprave lahko ublažijo nekatere napade. Druge lahko preprečimo z zagotavljanjem, da nepooblaščeni uporabniki ne morejo opravljati operacij, ki zahtevajo pomembne strežniške vire. Na žalost, napad na DoS, uspeh najpogosteje določa, kdo ima večjo cev. Storitve, kot sta Cloudflare in Incapsula, nudijo zaščito tako, da stojijo pred spletnimi mesti, vendar so lahko draga.

Priporočena: