Ce sunt Deniul de serviciu și atacurile DDoS?
Datele de atac DSE (Denial of Service) și DDoS (Denial of Service Distributed) devin tot mai frecvente și mai puternice. Denial of Service atacurile vin în mai multe forme, dar au un scop comun: oprirea utilizatorilor de a accesa o resursă, fie că este vorba de o pagină web, de e-mail, de rețeaua de telefon sau altceva în întregime. Să examinăm cele mai frecvente tipuri de atacuri împotriva țintelor web și cum poate deveni DoS DDoS.
Cele mai comune tipuri de atacuri de negare a serviciului (DoS)
În centrul său, un atac Denial of Service este efectuat în mod obișnuit prin inundarea unui server - să zicem, serverul unui site web - atât de mult încât nu poate oferi serviciile sale unor utilizatori legitimi. Există câteva moduri în care acest lucru poate fi efectuat, cele mai frecvente fiind atacurile de inundații TCP și atacurile de amplificare DNS.
TCP atacuri de inundații
Aproape toate traficul web (HTTP / HTTPS) se efectuează utilizând Transmission Control Protocol (TCP). TCP are mai mult decît alternativa, User Datagram Protocol (UDP), dar este proiectat pentru a fi fiabil. Două calculatoare conectate între ele prin TCP vor confirma primirea fiecărui pachet. Dacă nu este furnizată nicio confirmare, pachetul trebuie trimis din nou.
Ce se întâmplă dacă un computer este deconectat? Poate că un utilizator pierde puterea, ISP-ul său are un eșec sau orice aplicație pe care o folosesc, fără a informa celălalt computer. Celălalt client trebuie să oprească din nou trimiterea aceluiași pachet, altfel pierde resurse. Pentru a împiedica transmiterea fără sfârșit a transmisiei, este specificată o durată de expirare și / sau o limită de câte ori un pachet poate fi trimis din nou înainte de a renunța complet la conexiune.
TCP a fost conceput pentru a facilita o comunicare fiabilă între bazele militare în caz de dezastru, însă acest design îl lasă vulnerabil la atacurile de negare a serviciilor. Când a fost creat TCP, nimeni nu a imaginat că ar fi folosit de peste un miliard de dispozitive client. Protecția împotriva atacurilor moderne de negare a serviciilor nu a fost doar o parte a procesului de proiectare.
Cel mai comun atac de negare a serviciului împotriva serverelor web se efectuează prin trimiterea de mesaje spam prin pachete SYN (sincronizare). Trimiterea unui pachet SYN este primul pas de inițiere a unei conexiuni TCP. După primirea pachetului SYN, serverul răspunde cu un pachet SYN-ACK (confirmare sincronizare). În cele din urmă, clientul trimite un pachet ACK (confirmare), finalizând conexiunea.
Cu toate acestea, în cazul în care clientul nu răspunde pachetului SYN-ACK într-un interval de timp stabilit, serverul trimite din nou pachetul și așteaptă un răspuns. Se va repeta această procedură din nou și din nou, ceea ce poate duce la pierderea timpului de memorie și procesor pe server. De fapt, dacă este făcută suficient, poate pierde atât de mult timp de memorie și de procesor, încât utilizatorii legitimați își reduc sesiunile, sau sesiunile noi nu pot începe. În plus, utilizarea mai mare a lățimii de bandă din toate pachetele poate să retușească rețelele, ceea ce le face imposibilă să transporte traficul pe care îl doresc.
DNS atacuri de amplificare
Atacurile privind atacurile de serviciu pot avea ca scop și serverele DNS: serverele care traduc nume de domenii (cum ar fi howtogeek.com) în adrese IP (12.345.678.900) pe care computerele le utilizează pentru a comunica. Când tastați howtogeek.com în browser-ul dvs., el va fi trimis la un server DNS. Serverul DNS vă direcționează apoi către site-ul Web actual. Viteza și latența redusă sunt preocupări majore pentru DNS, deci protocolul operează peste UDP în loc de TCP. DNS este o parte esențială a infrastructurii internetului, iar lățimea de bandă consumată de solicitările DNS este, în general, minimă.
Cu toate acestea, DNS a crescut lent, noile caracteristici fiind adăugate treptat în timp. A apărut o problemă: DNS avea o limită de dimensiune de pachet de 512 octeți, ceea ce nu era suficient pentru toate aceste caracteristici noi. Deci, în 1999, IEEE a publicat caietul de sarcini pentru mecanismele de extensie pentru DNS (EDNS), care au mărit capacul la 4096 octeți, permițând includerea mai multor informații în fiecare cerere.
Această schimbare, cu toate acestea, a făcut DNS vulnerabil la "atacurile de amplificare". Un atacator poate trimite cereri special create către serverele DNS, solicitând cantități mari de informații și solicitându-le să fie trimise la adresa IP a țintă. Se creează o "amplificare" deoarece răspunsul serverului este mult mai mare decât cererea care îl generează, iar serverul DNS va trimite răspunsul său la adresa IP forjată.
Multe servere DNS nu sunt configurate pentru a detecta sau elimina solicitări greșite, astfel încât atunci când atacatorii trimite în mod repetat cereri forjate, victima este inundată cu pachete EDNS uriașe, congestionând rețeaua. Nu se pot ocupa atât de multe date, că traficul lor legitim va fi pierdut.
Deci, ceea ce este un atac DDD (Distributed Denial of Service)?
Un atac distribuit de refuz al serviciului este unul care are atacuri multiple (uneori involuntare). Site-urile web și aplicațiile sunt concepute pentru a face față multor conexiuni concurente - în definitiv, site-urile web nu ar fi foarte utile dacă o singură persoană ar putea vizita la un moment dat. Servicii uriașe precum Google, Facebook sau Amazon sunt concepute pentru a gestiona milioane sau zeci de milioane de utilizatori concurenți. Din acest motiv, nu este posibil ca un singur atacator să-i aducă în jos cu un atac de refuz al serviciului. Dar mulți atacatorii ar putea.
Cea mai obișnuită metodă de recrutare a atacatorilor este printr-un botnet. Într-un botnet, hackerii infectează tot felul de dispozitive conectate la internet cu programe malware. Aceste dispozitive pot fi computere, telefoane sau chiar alte dispozitive în casa dvs., cum ar fi camerele DVR și camerele de securitate. Odată infectate, pot folosi aceste dispozitive (numite zombi) pentru a contacta periodic un server de comandă și de control pentru a cere instrucțiuni. Aceste comenzi pot varia de la criptocurrentele miniere până la da, participând la atacurile DDoS. În acest fel, nu au nevoie de o tona de hackeri care să se unească împreună - pot folosi dispozitivele nesigure ale utilizatorilor obișnuiți la domiciliu pentru a-și face munca murdară.
Alte atacuri DDoS pot fi efectuate în mod voluntar, de obicei din motive motivate politic. Clienții, cum ar fi Low Orbit Ion Cannon, fac atacurile DoS simple și sunt ușor de distribuit. Rețineți că în majoritatea țărilor este ilegal să participați (intenționat) la un atac DDoS.
În cele din urmă, unele atacuri DDoS pot fi neintenționate. Inițial denumit efectul Slashdot și generalizat ca "îmbrățișarea morții", volume imense de trafic legitim pot strica un site web. Probabil că ați văzut acest lucru înainte - un site de link-uri populare către un mic blog și un aflux mare de utilizatori aduce accidental site-ul în jos. Din punct de vedere tehnic, acesta este încă clasificat ca DDoS, chiar dacă nu este intenționat sau rău intenționat.
Cum pot să mă protejez împotriva atacurilor de negare a serviciului?
Utilizatorii tipici nu trebuie să-și facă griji că ar fi ținta atacurilor de negare a serviciilor. Cu excepția streamers și pro gamers, este foarte rar pentru un DoS să fie arătat la un individ. Acestea fiind spuse, ar trebui să faceți tot ce puteți pentru a vă proteja toate dispozitivele împotriva malware-ului care vă poate face parte dintr-un botnet.
Dacă sunteți un administrator al unui server web, totuși, există o multitudine de informații despre cum să vă asigurați serviciile împotriva atacurilor DoS. Configurarea și dispozitivele serverului pot atenua anumite atacuri. Altele pot fi prevenite prin faptul că utilizatorii neautorizați nu pot efectua operațiuni care necesită resurse server semnificative. Din păcate, succesul unui atac de DoS este cel mai adesea determinat de cine are conducta mai mare. Servicii cum ar fi Cloudflare și Incapsula oferă protecție prin a sta în fața site-urilor web, dar pot fi costisitoare.
