Kõige tavalisemate teenuse (DoS) rünnakute tüübid
Teenuse Denial of Service rünnak on põhiliselt serveri üleujutuseks - näiteks veebisaidi server - nii palju, et ei suuda pakkuda oma teenuseid seaduslikele kasutajatele. Seda on võimalik teha mitmel viisil, kõige tavalisemad on TCP üleujutusrünnakud ja DNS-i võimenduse rünnakud.
TCP üleujutusreaktsioonid
Peaaegu kogu veebi (HTTP / HTTPS) liiklus toimub Transmission Control Protocol (TCP) abil. TCP-l on rohkem lisaväärtust kui alternatiivne, kasutaja andmagrammi protokoll (UDP), kuid selle eesmärk on olla usaldusväärne. Kaks TCP-d omavahel ühendatud arvutit kinnitavad iga paki kättesaamist. Kui kinnitust ei esitata, tuleb pakett uuesti saata.
Mis juhtub, kui üks arvuti lülitatakse välja? Võibolla kasutaja kaotab võimu, nende ISP-l on ebaõnnestumine või ükskõik milline rakendus, mida nad kasutavad, lõpetab teise arvuti teavitamata. Teine klient peab lõpetama sama paki uuesti saatmise või kaotama ressursse. Et vältida lõputu edastamist, on määratud aegumistähtaeg ja / või piiratakse seda, mitu korda paketti saab uuesti saata enne ühenduse täielikku tühistamist.
TCP eesmärk oli hõlbustada usaldusväärset suhtlust sõjaväebaaside vahel katastroofi korral, kuid see disain jätab selle haavatavaks teenuste rünnete keelamise eest. Kui TCP loodi, ei näinud keegi, et seda kasutaks üle miljardi kliendi seadme. Kaitse tänapäevaste teenuste rünnete keelamise vastu ei olnud just projekteerimisprotsessi osa.
Veebiserverite enimkasutatav teenusetõkestus toimub rämpspostiga SYN (sünkroonida) pakette. SYN-paketi saatmine on TCP-ühenduse loomise esimene samm. Pärast SYN-paketi vastuvõtmist vastab server SYN-ACK pakettaknad (sünkroonimise kinnitus). Lõpuks, klient saadab ACK (kinnitus) paketi, täites ühenduse.
Siiski, kui klient ei reageeri SYN-ACK-paketile määratud aja jooksul, saadab server pakett uuesti ja ootab vastust. See kordab seda protseduuri ikka ja jälle, mis võib serverisse mälumahtu ja protsessori aega raisata. Kui seda tehakse piisavalt, võib see nii palju mälestust ja protsessoriaega ära kulutada, et õigustatud kasutajad saavad oma seansid katkestada või uusi seansse ei saa käivitada. Lisaks suurendab ribalaiuse kasutamine kõikidel pakettidel võrke, mis muudab nad võimatuks liiklust, mida nad tegelikult soovivad.
DNS-i amplifitseerimisreaktsioonid
Teenuse rünnete keelamine võib olla suunatud ka DNS-i serveritele: serveritele, mis tõlgivad domeeninimesid (näiteks howtogeek.com) IP-aadressidesse (12.345.678.900), mida arvutid suhtlemiseks kasutavad. Kui sisestate brauserisse howtogeek.com, saadetakse see DNS-serverile. DNS-server suunab teid seejärel tegelikule veebisaidile. Kiirus ja väike latentsus on DNS-i jaoks peamised probleemid, seega protokoll opereerib TCP-i asemel UDP-d. DNS on Interneti-infrastruktuuri kriitiline osa ja DNS-i taotluste tarbitav ribalaius on üldiselt minimaalne.
Kuid DNS aeglaselt kasvas, lisades aja jooksul järk-järgult uusi funktsioone. See tõi esile probleemi: DNS-i pakettide suuruse limiit oli 512 baiti, mis ei olnud kõigile neile uutele funktsioonidele piisav. 1999. aastal avaldas IEEE DNS-i (EDNS) laiendamismehhanismide spetsifikatsiooni, mis suurendas ülemmäära 4096 baiti, võimaldades igas taotluses lisada lisateavet.
See muudatus muutis aga DNS-i haavatavaks "võimenduse rünnakute" suhtes. Rännur võib saata DNS-serveritele spetsiaalselt koostatud päringuid, paludes suurel hulgal teavet ja paludes, et need saadetaks sihtmärgi IP-aadressile. "Laiendamine" luuakse, sest serveri vastus on palju suurem kui selle genereeriv taotlus ning DNS-server saadab oma vastuse võltsitud IP-le.
Paljud DNS-serverid ei ole konfigureeritud halva päringu avastamiseks või mahasurumiseks, nii et kui ründajad saadavad korduvalt võltsitud päringuid, satub ohvriks üleujutatud suurte EDNS-pakettidega võrk. Nii palju andmeid ei saa, nende õigustatud liiklus läheb kaduma.
Mis on Distributed Denial of Service (DDoS) rünnak?
Hajutatud teenusetõkestamise rünnak on selline, kus on mitu (mõnikord ebaausat) ründaja. Veebisaidid ja rakendused on mõeldud mitmete samaaegsete ühendustega toimetulemiseks, sest veebisaidid ei oleks väga kasulikud, kui korraga saab külastada ainult üks inimene. Gigantsed teenused, nagu Google, Facebook või Amazon, on mõeldud selleks, et käidelda miljoneid või kümneid miljoneid samaaegseid kasutajaid. Sellepärast ei ole ühe ründaja jaoks võimalik, et ta langeks teenusetõkestamata. Aga palju ründajad võiksid.
Kõige levinum meetod ründajate värbamiseks on läbi botneti.Varasemas robustis nakatab häkkerid igasuguseid Interneti-ühendusega seadmeid pahavara. Need seadmed võivad olla teie kodus olevad arvutid, telefonid või isegi muud seadmed, nagu DVR-id ja turvakaamerad. Kui nakatunud, saavad nad kasutada neid seadmeid (nn zombisid), et regulaarselt pöörduda juhiste saamiseks käsu ja kontrollserveriga. Need käsud võivad ulatuda mineraalide krüptokurssidest ja jah, osaledes DDoS-i rünnakutes. Sel moel ei vaja nad häkkerite kogumist bändi koos, nad saavad kasutada tavapäraste kodu-kasutajate ebaturvalisi seadmeid oma määrdunud töö tegemiseks.
Teisi DDoS-i rünnakuid võib teha vabatahtlikult, tavaliselt poliitiliselt motiveeritud põhjustel. Sellised kliendid nagu Low Orbit Ion Cannon muudavad DoS-ründed lihtsaks ja neid on lihtne levitada. Pea meeles, et enamikus riikides on (tahtlikult) osalenud DDoS-i rünnakutes ebaseaduslik.
Lõpuks, mõned DDoS-i ründed võivad olla tahtmatud. Algselt viidatud kui Slashdot efekt ja üldistatud kui "surmahäda", suurte mahtude õigustatud liiklus võib halvata veebilehel. Ilmselt nägid seda nii enne, kui saidi saidi lingid väikesele blogile ja kasutajate tohutu sissevool viiks saidi alla. Tehniliselt on see endiselt klassifitseeritud DDoS-ideks, isegi kui see ei ole tahtlik või pahatahtlik.
Kuidas ma saan kaitsta ennast kätteandmisriskide ärahoidmise eest?
Tavapärased kasutajad ei pea muretsema teenusetõkestamise rünnakute eesmärgi pärast. Välja arvatud vööttuurid ja pro-mängijatele, on väga haruldane, kui DoS-l on üksikisik. Nüüd peaksite tegema kõik endast oleneva, et kaitsta oma kõiki seadmeid pahavara eest, mis võiksid teid botti sisaldada.
Kui te olete veebiserveri haldaja, on siiski palju teavet selle kohta, kuidas kaitsta oma teenuseid DoS-rünnakute eest. Serveri konfiguratsioon ja seadmed võivad leevendada mõningaid rünnakuid. Teised on võimalik ära hoida, tagades, et mitteautomaatne kasutaja ei saa toiminguid, mis vajavad olulisi serveriressursse. Kahjuks määrab DoS-ründaja edu enamasti kindlaks, kellel on suurem torujuhtum. Teenused, nagu Cloudflare ja Incapsula, pakuvad kaitset veebisaitide ees seisu eest, kuid need võivad olla kulukad.
