Mis on teenuse keelamine ja DDoS-i rünnakud?
DoS (teenuse keelamine) ja DDoS (Distributed Denial of Service) rünnakud muutuvad üha tavalisemaks ja tugevamaks. Teenuse keelamise rünnakud on mitmel kujul, kuid neil on ühine eesmärk: peatada kasutajate juurdepääs ressursile, olgu see siis veebileht, e-post, telefonivõrk või midagi muud. Vaatame kõige levinumaid rünnakuid veebi sihtmärkide vastu ja seda, kuidas DoS saab DDoS-i.
Teenuse keelamise kõige levinumad tüübid (DoS) rünnakud
Selle põhiolukorras teostatakse teenusetõkke rünnak tavaliselt veebisaidi serveri-öelda serveri üleujutamisega - nii palju, et see ei suuda pakkuda oma teenuseid õiguspärastele kasutajatele. On mitmeid viise, kuidas seda teha saab, kõige levinumaks on TCP üleujutusrünnakud ja DNS-i võimendusrünnakud.
TCP üleujutuste rünnakud
Peaaegu kogu veebi (HTTP / HTTPS) liiklus toimub TCP (Transmission Control Protocol) abil. TCP-l on rohkem alternatiivseid kasutajaandmete protokolle (UDP), kuid see on loodud usaldusväärseks. Kaks TCP kaudu omavahel ühendatud arvutit kinnitavad iga paketi kättesaamist. Kui kinnitust ei esitata, tuleb pakett uuesti saata.
Mis juhtub, kui üks arvuti lahti ühendatakse? Võib-olla kaotab kasutaja võimu, nende ISP-l on rike või mis tahes rakendus, mida nad kasutavad, ilma teise arvutit teavitamata. Teine klient peab lõpetama sama paketi uuesti saatmise või muidu see raiskab ressursse. Lõputu edastamise vältimiseks on määratud ajaline kestus ja / või seatud piir, mitu korda paketti saab uuesti saata enne ühenduse täielikku tühistamist.
TCP eesmärk oli hõlbustada katastroofi korral usaldusväärset suhtlemist sõjaväebaaside vahel, kuid see disain jätab selle teenusetõkestamise rünnakutele haavatavaks. Kui TCP loodi, ei kujutanud keegi, et seda kasutaks üle miljardi kliendiseadme. Kaitse tänapäevaste teenuste keelamise rünnakute eest ei olnud lihtsalt osa projekteerimisprotsessist.
Kõige tavalisem veebiserverite vastu suunatud teenusetõkestamise rünnak toimub SYN-i (sünkroonimise) pakettide spämmimisega. SYN-paketi saatmine on esimene samm TCP-ühenduse käivitamisel. Pärast SYN-paketi kättesaamist vastab server SYN-ACK-paketile (sünkroonimise kinnitus). Lõpuks saadab klient ACK (kinnitus) paketi, mis lõpetab ühenduse.
Siiski, kui klient ei reageeri SYN-ACK paketile määratud aja jooksul, saadab server paketi uuesti ja ootab vastust. See kordab seda protseduuri ikka ja jälle, mis võib serveril mälu ja protsessori aega raisata. Tegelikult, kui see on piisavalt tehtud, võib see raisata nii palju mälu ja protsessori aega, et õigustatud kasutajad saavad oma istungid lüheneda või uusi seansse ei saa alustada. Lisaks võib kõigi pakettide suurem ribalaiuse kasutamine võrke küllastada, muutes need võimatuks liikluse, mida nad tegelikult tahavad.
DNS võimenduse rünnakud
Teenuse keelamise rünnakud võivad samuti olla suunatud DNS-serveritele: serverid, mis tõlgivad domeeninimesid (nagu howtogeek.com) IP-aadressideks (12.345.678.900), mida arvutid suhtlevad. Kui kirjutad brauserisse howtogeek.com, saadetakse see DNS-serverisse. Seejärel suunab DNS-server teid tegelikule veebisaidile. Kiirus ja madal latentsus on DNS-i jaoks peamiseks probleemiks, nii et protokoll töötab üle UDP asemel TCP. DNS on interneti infrastruktuuri kriitiline osa ning DNS-päringute poolt tarbitav ribalaius on üldiselt minimaalne.
DNS kasvas aga aeglaselt, lisades aja jooksul uued funktsioonid. See tõi kaasa probleemi: DNS-i paketi suurus oli 512 baiti, mis ei olnud kõigi nende uute funktsioonide jaoks piisav. Nii avaldas IEEE 1999. aastal DNS (EDNS) laiendamismehhanismide spetsifikatsiooni, mis suurendas ülempiiri 4096 baitini, võimaldades igal taotlusel lisada rohkem teavet.
See muudatus muutis aga DNS-i "võimendusrünnakuteks". Ründaja võib saata spetsiaalselt koostatud päringuid DNS-serveritele, paludes suurt teavet ja paluda, et need saadetaks sihtmärgi IP-aadressile. „Võimendus” luuakse, sest serveri vastus on palju suurem kui seda genereeriv päring ja DNS-server saadab oma vastuse võltsitud IP-le.
Paljud DNS-serverid ei ole konfigureeritud halbade päringute avastamiseks või tühistamiseks, nii et kui ründajad korduvalt sepistatud taotlusi saadavad, saab kannatanu üle tohutu EDNS-paketiga, mis võrku ülekoormavad. Nii palju andmeid ei õnnestu käsitleda, nende õigustatud liiklus kaob.
Niisiis, mis on jaotatud teenusetõkestamise rünnak (DDoS)?
Jaotatud teenusetõkestamise rünnak on selline, millel on mitu (mõnikord soovimatut) ründajat. Veebisaidid ja rakendused on loodud töötama paljude samaaegsete ühenduste abil - lõppude lõpuks ei oleks veebisaidid väga kasulikud, kui korraga saab külastada ainult üks inimene. Hiiglaslikud teenused, nagu Google, Facebook või Amazon, on mõeldud miljonite või kümnete miljonite samaaegsete kasutajate käitlemiseks. Sellepärast ei ole võimalik, et üks ründaja toob neid teenusetõkestamise rünnakuga maha. Aga palju ründajad võisid.
Kõige tavalisem meetod ründajate värbamiseks on botivõrgu kaudu. Botnetis nakatavad häkkerid pahavara abil igasuguseid internetiga ühendatud seadmeid. Need seadmed võivad olla teie kodus asuvad arvutid, telefonid või isegi muud seadmed, näiteks DVR-id ja turvakaamerad. Kui nad on nakatunud, saavad nad neid seadmeid (nn zombisid) kasutada juhtimis- ja kontrolliserveriga korrapäraselt ühendust võtma, et küsida juhiseid. Need käsud võivad ulatuda kaevandamise cryptocurrencies et, jah, osalemine DDoS rünnakutes. Nii ei vaja nad üheskoos bändi jaoks ühtegi häkkerit - nad saavad oma tavapäraste kasutajate ebaturvalisi seadmeid oma määrdunud töö tegemiseks kasutada.
Teised DDoS-i rünnakud võivad toimuda vabatahtlikult, tavaliselt poliitilistel põhjustel. Kliendid nagu Low Orbit Ion Cannon muudavad DoS-i rünnakud lihtsaks ja neid on lihtne levitada. Pea meeles, et enamikus riikides on ebaseaduslik (tahtlikult) osaleda DDoS-rünnakus.
Lõpuks võivad mõned DDoS-i rünnakud olla tahtmatud. Algselt nimetati seda Slashdot'i efektiks ja üldistati kui “surma kallistamist”, mis võib tohutuid seaduslikke liiklusrühmi veebilehte rikkuda. Olete ilmselt näinud seda juhtunud enne-populaarne saidi lingid väike blogi ja tohutu sissevoolu kasutajate kogemata tuua saidi alla. Tehniliselt liigitatakse see endiselt DDoS-ks, isegi kui see ei ole tahtlik ega pahatahtlik.
Kuidas ma saan ennast kaitsta teenusetõkestamise vastu?
Tüüpilised kasutajad ei pea muretsema, et nad on teenuse keelamise sihtrünnakud. Välja arvatud heliloojad ja pro-mängijad, on väga haruldane, et DoS oleks üksikisikule suunatud. Sellegipoolest peaksite tegema kõik endast oleneva, et kaitsta kõiki seadmeid pahavara eest, mis võib teid osa botivõrgust.
Kui olete veebiserveri administraator, on siiski palju infot selle kohta, kuidas kaitsta oma teenuseid DoS-rünnakute eest. Serveri konfiguratsioon ja seadmed võivad mõningaid rünnakuid leevendada. Teisi saab vältida, tagades, et autentimata kasutajad ei suuda täita märkimisväärseid serveri ressursse nõudvaid toiminguid. Kahjuks määrab DoS-i rünnaku kõige sagedamini see, kes on suurem toru. Sellised teenused nagu Cloudflare ja Incapsula pakuvad kaitset veebisaitide ees, kuid võivad olla kallid.