Domovská » jak » Co jsou odmítnutí služby a útoky DDoS?

    Co jsou odmítnutí služby a útoky DDoS?

    DoS (odmítnutí služby) a DDoS (Distributed Denial of Service) útoky jsou stále častější a silnější. Denial of Service útoky přicházejí v mnoha formách, ale sdílejí společný účel: zastavit uživatele přístup k prostředku, ať už je to webová stránka, e-mail, telefonní síť nebo něco jiného úplně. Podívejme se na nejčastější typy útoků proti webovým cílům a jak se může DoS stát DDoS.

    Nejčastější typy útoků odmítnutí služby (DoS)

    V jeho jádru je útok typu Denial of Service zpravidla prováděn zaplavením server-say, serveru webové stránky - tolik, že nemůže poskytovat své služby oprávněným uživatelům. Existuje několik způsobů, jak toto provést, nejčastější jsou útoky TCP flooding a útoky zesilování DNS.

    Útoky TCP Flooding

    Téměř veškerá návštěvnost webu (HTTP / HTTPS) se provádí pomocí protokolu TCP (Transmission Control Protocol). TCP má více režií než alternativní protokol User Datagram Protocol (UDP), ale je navržen tak, aby byl spolehlivý. Dva počítače propojené prostřednictvím protokolu TCP potvrdí přijetí každého paketu. Pokud není poskytnuto potvrzení, paket musí být odeslán znovu.

    Co se stane, když se odpojí jeden počítač? Možná, že uživatel ztratí energii, jejich poskytovatel služby ISP má selhání nebo jakoukoli aplikaci, kterou používají, aniž by informovala druhý počítač. Druhý klient musí zastavit opětovné odeslání stejného paketu nebo jinak ztratí zdroje. Aby se zabránilo nepřerušovanému přenosu, je určeno trvání časového limitu a / nebo je stanoven limit, kolikrát paket může být znovu odeslán před úplným propadnutím spojení.

    Služba TCP byla navržena tak, aby umožňovala spolehlivou komunikaci mezi vojenskými základnami v případě katastrofy, ale tento design ji zanechává zranitelným útokem na odmítnutí služby. Když byl vytvořen protokol TCP, nikdo nezaznamenal, že by jej bylo použito více než miliardou klientských zařízení. Ochrana před moderními útoky odmítnutí služby nebyla součástí procesu návrhu.

    Nejčastějším útokem na odmítnutí služby vůči webovým serverům je nevyžádaná pošta (nevyžádaná pošta). Odeslání paketu SYN je prvním krokem inicializace připojení TCP. Po přijetí paketu SYN server reaguje pomocí paketu SYN-ACK (potvrzení synchronizace). Nakonec klient odešle paket ACK (potvrzení) a dokončí připojení.

    Pokud však klient nereaguje na paket SYN-ACK v nastaveném čase, server pošle paket znovu a čeká na odpověď. Tento postup bude opakovat znovu a znovu, což může způsobit ztrátu času paměti a procesoru na serveru. Ve skutečnosti, pokud to uděláte dostatečně, může tolik času, že legitimní uživatelé mohou zkrátit své schůzky, nebo že nové relace nemohou začít. Zvýšené využití šířky pásma ze všech paketů může navíc saturaci sítí, což znemožní provozovat provoz, který skutečně chtějí.

    Útoky zesílení DNS

    Útoky odmítnutí služby mohou být zaměřeny také na servery DNS: servery, které převádějí názvy domén (například howtogeek.com) do adres IP (12.345.678.900), které počítače komunikují. Když zadáte howtogeek.com do prohlížeče, bude odeslán na server DNS. Server DNS vás pak nasměruje na aktuální webové stránky. Rychlost a nízká latence jsou hlavními obavami pro DNS, takže protokol funguje přes UDP namísto TCP. DNS je kritická část infrastruktury internetu a šířka pásma spotřebovaná DNS požadavky jsou obecně minimální.

    Nicméně, DNS pomalu rostl, s novými funkcemi se postupně přidává v průběhu času. To způsobilo problém: DNS měl limit velikosti paketů 512 bajtů, což nestačilo pro všechny tyto nové funkce. V roce 1999 zveřejnila IEEE specifikaci mechanizmů rozšíření DNS (EDNS), která zvýšila limit na 4096 bajtů, což umožňuje, aby byly do každé žádosti zahrnuty další informace.

    Tato změna však způsobila, že DNS je zranitelná vůči "útokům zesílení". Útočník může odeslat speciálně vytvořené požadavky na servery DNS, požádat o velké množství informací a požádat o jejich odeslání na adresu IP jejich cílů. "Zesílení" je vytvořeno, protože odpověď serveru je mnohem větší než požadavek generování a server DNS odešle odpověď na kované IP.

    Mnoho DNS serverů není nakonfigurováno tak, aby detekovalo nebo spouštělo špatné požadavky, takže když útočníci opakovaně posílají padělané požadavky, oběť se zaplaví obrovskými pakety EDNS, které zahušťují síť. Nelze zpracovat tolik dat, jejich legitimní provoz bude ztracen.

    Takže co je útok DDoS (Distributed Denial of Service)?

    Distribuovaný útok na odepření služby je útok, který má několik (někdy nevědomých) útočníků. Webové stránky a aplikace jsou navrženy tak, aby zvládly mnoho souběžných spojení - koneckonců, webové stránky by nebyly velmi užitečné, kdyby jen jedna osoba mohla navštívit najednou. Obří služby jako Google, Facebook nebo Amazon jsou navrženy tak, aby zvládly miliony nebo desítky milionů souběžných uživatelů. Kvůli tomu není možné, aby jeden útočník svázal útok útokem na popření. Ale mnoho útočníci mohli.

    Nejběžnější metodou náboru útočníků je botnet. V botnetu hackeři infikují malware všemi druhy zařízení připojených k internetu. Mezi tato zařízení patří počítače, telefony nebo dokonce i další zařízení ve vašem domě, jako jsou DVR a bezpečnostní kamery. Jakmile jsou infikováni, mohou používat tato zařízení (nazývaná zombie), aby pravidelně kontaktovali příkazový a řídící server a požádali o pokyny. Tyto příkazy se mohou pohybovat v rozmezí od dolování kryptocurrencies k ano, účastnit se útoků DDoS. Tímto způsobem nepotřebují tónu hackerů, aby se spojili dohromady - mohou používat nezabezpečené zařízení běžných uživatelů doma k tomu, aby dělali špinavou práci.

    Jiné útoky DDoS mohou být prováděny dobrovolně, obvykle z politicky motivovaných důvodů. Klienti jako Low Orbit Ion Cannon dělají útoky DoS jednoduché a snadno se distribuují. Mějte na paměti, že ve většině zemí je nezákonné (záměrně) účastnit se útoku DDoS.

    Některé útoky DDoS mohou být neúmyslné. Původně označovaný jako efekt Slashdot a zobecněný jako "objetí smrti", obrovské objemy legitimní dopravy mohou ochromit webové stránky. Pravděpodobně jste viděli, že k tomu došlo dříve - oblíbená stránka odkazuje na malý blog a obrovský příliv uživatelů náhodou přivodí stránku dolů. Z technického hlediska je to stále klasifikováno jako DDoS, i když není úmyslné nebo škodlivé.

    Jak se mohu chránit před útoky odmítnutí služby?

    Typickí uživatelé se nemusí obávat, že by byli cílem útoků na odepření služeb. S výjimkou streamerů a profesionálních hráčů je pro DoS velmi vzácné, že se jedná o jednotlivce. To znamená, že byste měli udělat vše, co je možné, abyste ochránili všechna vaše zařízení před malwarem, který by vás mohl stát součástí botnetu.

    Pokud jste správcem webového serveru, je však k dispozici mnoho informací o tom, jak zabezpečit vaše služby proti útokům DoS. Konfigurace a zařízení serveru mohou zmírnit některé útoky. Jiným lze zabránit tím, že zajistí, že neověřené uživatele nemohou provádět operace vyžadující významné zdroje serveru. Bohužel úspěšnost útoku DoS je nejčastěji určována tím, kdo má větší potrubí. Služby jako Cloudflare a Incapsula nabízejí ochranu tím, že stojí před webovými stránkami, ale mohou být drahé.