Što su uskraćivanje usluga i DDoS napadi?
DoS (Denial of Service) i DDoS (Distributed Denial of Service) napadi postaju sve uobičajeniji i moćniji. Napadi uskraćivanja usluge dolaze u mnogim oblicima, ali dijele zajednički cilj: sprječavanje korisnika da dođu do resursa, bilo da se radi o web-stranici, e-pošti, telefonskoj mreži ili nešto posve drugo. Pogledajmo najčešće vrste napada na web-ciljeve i kako DoS može postati DDoS.
Najčešći tipovi napada na uskraćivanje usluga (DoS)
U svojoj osnovi, napad uskraćivanja usluge obično se izvodi poplavama poslužitelja web-lokacije, što znači da nije u mogućnosti pružiti svoje usluge legitimnim korisnicima. Postoji nekoliko načina na koje se to može izvesti, a najčešće se radi o napadima na poplavu TCP-a i napadima DNS pojačanja.
Napadi na poplavu TCP-a
Gotovo svi web (HTTP / HTTPS) promet se izvodi pomoću protokola za kontrolu prijenosa (TCP). TCP ima više opterećenja od alternativnog, UDP (User Datagram Protocol), ali je dizajniran da bude pouzdan. Dva računala međusobno povezana putem TCP-a potvrdit će primitak svakog paketa. Ako nema potvrde, paket se mora ponovno poslati.
Što se događa ako se jedno računalo isključi? Možda korisnik izgubi snagu, njihov ISP ima neuspjeh, ili bilo koju aplikaciju koju koristi, a da o tome ne obavijesti drugo računalo. Drugi klijent mora zaustaviti ponovno slanje istog paketa, inače troši resurse. Kako bi se spriječilo beskrajno slanje, navedeno je vrijeme trajanja vremenskog ograničenja i / ili je postavljeno ograničenje koliko puta se paket može ponovno poslati prije potpunog ispuštanja veze.
TCP je osmišljen kako bi omogućio pouzdanu komunikaciju između vojnih baza u slučaju katastrofe, ali upravo taj dizajn ostavlja ga ranjivim na napade uskraćivanja usluge. Kada je TCP stvoren, nitko nije shvatio da će ga koristiti više od milijardu uređaja. Zaštita od modernog napada na uskraćivanje usluge nije samo dio procesa dizajniranja.
Najčešći napad uskraćivanja usluge na web-poslužitelje obavlja se putem spam paketa SYN (sinkronizacija). Slanje SYN paketa prvi je korak pokretanja TCP veze. Nakon primitka SYN paketa, poslužitelj odgovara SYN-ACK paketom (potvrda sinkronizacije). Konačno, klijent šalje paket ACK (potvrda), dovršavajući vezu.
Međutim, ako klijent ne odgovori na SYN-ACK paket unutar određenog vremena, poslužitelj ponovno šalje paket i čeka odgovor. Ponavljat će ovaj postupak iznova i iznova, što može potrošiti memoriju i procesorsko vrijeme na poslužitelju. Zapravo, ako je dovoljno učinjeno, može potratiti toliko memorije i procesorskog vremena da legitimni korisnici prekidaju sesije, ili se nove sesije ne mogu pokrenuti. Osim toga, povećana upotreba propusne moći iz svih paketa može zasititi mreže, što ih čini nesposobnim za nošenje prometa koji zapravo žele.
Napadi pojačanja DNS-a
Napadi na uskraćivanje usluge također mogu biti usmjereni na DNS poslužitelje: poslužitelje koji prenose nazive domena (poput howtogeek.com) u IP adrese (12.345.678.900) koje računala koriste za komunikaciju. Kada upišete howtogeek.com u svoj preglednik, on se šalje na DNS poslužitelj. DNS poslužitelj vas zatim usmjerava na stvarnu web-lokaciju. Brzina i niska latencija su glavna briga za DNS, tako da protokol radi preko UDP-a umjesto TCP-a. DNS je ključni dio infrastrukture interneta, a propusnost koju troše DNS zahtjevi obično je minimalna.
Međutim, DNS je polako rastao, a nove su se značajke vremenom postupno dodavale. To je predstavljalo problem: DNS je imao ograničenje veličine paketa od 512 bajta, što nije bilo dovoljno za sve te nove značajke. Tako je 1999. godine IEEE objavio specifikaciju za mehanizme proširenja za DNS (EDNS), koja je povećala kapu na 4096 bajtova, dopuštajući da više informacija bude uključeno u svaki zahtjev..
Ta je promjena, međutim, učinila DNS osjetljivim na "pojačavanje napada". Napadač može slati posebno izrađene zahtjeve na DNS poslužitelje, tražeći velike količine informacija i tražeći da ih se pošalje na IP adresu svog ciljnika. Stvara se "pojačanje" jer je odgovor poslužitelja mnogo veći od zahtjeva koji ga generira, a DNS poslužitelj će poslati svoj odgovor na krivotvoreni IP.
Mnogi DNS poslužitelji nisu konfigurirani za otkrivanje ili ispuštanje loših zahtjeva, tako da kada napadači opetovano šalju krivotvorene zahtjeve, žrtva postaje preplavljena ogromnim EDNS paketima, gužvajući mrežu. Nije moguće obraditi toliko podataka, njihov legitimni promet bit će izgubljen.
Dakle, što je napad distribuiranog uskraćivanja usluge (DDoS)?
Distribuirani napad uskraćivanja usluge je onaj koji ima više (ponekad nesvjesnih) napadača. Web-mjesta i aplikacije osmišljene su da se bave mnogim istodobnim vezama - naposljetku, web-mjesta ne bi bila vrlo korisna ako bi samo jedna osoba mogla posjetiti istodobno. Ogromne usluge poput Googlea, Facebooka ili Amazona osmišljene su za upravljanje milijunima ili desecima milijuna istodobnih korisnika. Zbog toga nije moguće da ih jedan napadač sruči napadom uskraćivanja usluge. Ali mnogi napadači mogli.
Najčešći način zapošljavanja napadača je putem botneta. U botnetu hakeri zaraze sve vrste uređaja povezanih s internetom malwareom. Ti uređaji mogu biti računala, telefoni ili čak i drugi uređaji u vašem domu, kao što su DVR i sigurnosne kamere. Jednom zaraženi, oni mogu koristiti te uređaje (nazvane zombiji) da povremeno kontaktiraju poslužitelj za naredbe i kontrole kako bi zatražili upute. Ove naredbe se mogu kretati od rudarskih kripto valuta do, da, sudjelovanja u DDoS napadima. Na taj način, ne trebaju tona hakera da se udruže - oni mogu koristiti nesigurne uređaje normalnih kućnih korisnika da rade svoj prljavi posao.
Drugi DDoS napadi mogu se izvršiti dobrovoljno, obično iz politički motiviranih razloga. Klijenti poput Ion Cannona s niskom orbitom čine DoS napade jednostavnim i lako ih je distribuirati. Imajte na umu da je u većini zemalja nezakonito (namjerno) sudjelovati u DDoS napadu.
Konačno, neki DDoS napadi mogu biti nenamjerni. Izvorno nazvan Slashdot efekt i generaliziran kao "zagrljaj smrti", ogromne količine legitimnog prometa mogu osakatiti web stranicu. Vjerojatno ste vidjeli da se to dogodi prije popularne veze na mali blog i ogroman priliv korisnika slučajno dovede web-lokaciju. Tehnički, ovo je još uvijek klasificirano kao DDoS, čak i ako nije namjerno ili zlonamjerno.
Kako se mogu zaštititi od uskraćivanja napada na usluge?
Tipični korisnici ne moraju brinuti da će biti meta napada uskraćivanja usluge. S izuzetkom streamera i profesionalnih igrača, vrlo je rijetko da se DoS usmjeri na pojedinca. Ipak, trebali biste i dalje činiti najbolje što možete kako biste zaštitili sve svoje uređaje od zlonamjernog softvera koji bi vas mogao učiniti dijelom botneta.
Međutim, ako ste administrator web-poslužitelja, postoji mnoštvo informacija o tome kako osigurati svoje usluge od DoS napada. Konfiguracija poslužitelja i uređaji mogu ublažiti neke napade. Ostalim se može spriječiti da neovlašteni korisnici ne mogu obavljati radnje koje zahtijevaju značajne poslužiteljske resurse. Nažalost, uspjeh DoS napada najčešće određuje tko ima veću cijev. Usluge kao što su Cloudflare i Incapsula pružaju zaštitu stajanjem pred web-stranicama, ali mogu biti i skupe.