Mi a szolgáltatásmegtagadás és a DDoS támadások?
A DoS (Denial of Service) és a DDoS (Distributed Denial of Service) támadások egyre gyakoribbá és erőteljesebbé válnak. A szolgáltatásmegtagadási támadások sokféle formában fordulnak elő, de közös céljuk van: megakadályozzák, hogy a felhasználók hozzáférjenek egy erőforráshoz, legyen az weblap, e-mail, telefonhálózat vagy valami más. Nézzük meg a webes célokkal szembeni leggyakoribb támadási típusokat, és azt, hogy a DoS hogyan válhat DDoS-re.
A szolgáltatásmegtagadás leggyakoribb típusai (DoS) támadások
Alapjában véve a Szolgáltatásmegtagadási támadást jellemzően egy szerver-mondat, egy webhely szerverének elárasztásával hajtják végre - annyira, hogy nem képes szolgáltatásokat nyújtani a jogos felhasználók számára. Van néhány módja ennek megvalósítására, a leggyakoribbak a TCP áradási támadások és a DNS-amplifikációs támadások.
TCP árvízi támadások
Szinte minden webes (HTTP / HTTPS) forgalmat a TCP (Transmission Control Protocol) segítségével hajtanak végre. A TCP több, mint az alternatív, felhasználói datagram protokoll (UDP), de megbízhatóan tervezték. A TCP-n keresztül egymáshoz csatlakoztatott két számítógép megerősíti az egyes csomagok fogadását. Ha nincs megerősítés, a csomagot újra kell küldeni.
Mi történik, ha az egyik számítógép megszakad? Lehet, hogy egy felhasználó elveszíti az energiát, az internetszolgáltatójuk meghibásodik, vagy bármilyen alkalmazásból kilép, anélkül, hogy értesítené a másik számítógépet. A másik ügyfélnek abba kell hagynia az ugyanazon csomag újraküldését, vagyis az erőforrások pazarlását. A soha véget nem érő adatátvitel megelőzése érdekében időtúllépési időtartamot kell megadni, és / vagy egy korlátozást kell megadni arra vonatkozóan, hogy hányszor küldhet vissza egy csomagot a kapcsolat teljes leállítása előtt..
A TCP-t úgy tervezték, hogy katasztrófa esetén megkönnyítse a katonai bázisok közötti megbízható kommunikációt, de ez a kialakítás a szolgáltatásmegtagadási támadásokra érzékeny. Amikor létrehozták a TCP-t, senki nem képzelte el, hogy több mint egy milliárd ügyféleszköz fogja használni. A modern szolgáltatásmegtagadási támadások elleni védelem nem része a tervezési folyamatnak.
A webkiszolgálókkal szembeni leggyakoribb szolgáltatásmegtagadási támadást a SYN (szinkronizálás) csomagok spamelésével végezzük. A SYN-csomag küldése az első lépés a TCP-kapcsolat kezdeményezéséhez. Miután megkapta a SYN csomagot, a kiszolgáló egy SYN-ACK csomaggal válaszol (szinkronizálás nyugtázás). Végül az ügyfél küld egy ACK (nyugtázó) csomagot, amely befejezi a kapcsolatot.
Ha azonban az ügyfél nem reagál a SYN-ACK csomagra meghatározott időn belül, a szerver újra elküldi a csomagot, és vár egy válaszra. Ez megismétli ezt az eljárást újra és újra, ami a szerver memóriáját és a processzoridőt elvesztheti. Valójában, ha eléggé megtörténik, akkor olyan sok memóriát és processzoridőt pazarolhat, amelyet a jogos felhasználók a szekcióik rövidre vágnak, vagy az új munkamenetek nem indulnak el. Ezen túlmenően az összes csomagból származó megnövekedett sávszélesség-felhasználás telítheti a hálózatokat, így nem képesek a tényleges forgalom átvitelére.
DNS erősítő támadások
A szolgáltatásmegtagadási támadások a DNS-kiszolgálókra is irányulhatnak: azok a szerverek, amelyek a domainneveket (például howtogeek.com-t) lefordítják IP-címekre (12.345.678.900), amelyeket a számítógép kommunikál. Amikor beírja a howtogeek.com-ot a böngészőjébe, akkor egy DNS-kiszolgálóhoz kerül. A DNS-kiszolgáló ezután irányítja Önt a tényleges webhelyre. A sebesség és az alacsony késleltetés a DNS fő problémája, így a protokoll az UDP-n keresztül működik a TCP helyett. A DNS az internet infrastruktúrájának kritikus része, és a DNS kérések által fogyasztott sávszélesség általában minimális.
A DNS azonban lassan nőtt, és az új funkciók idővel fokozatosan növekedtek. Ez problémát vetett fel: a DNS csomagcsomagmérete 512 bájt volt, ami nem volt elég az összes új funkcióhoz. Így 1999-ben az IEEE közzétette a DNS (EDNS) kiterjesztési mechanizmusainak specifikációját, amely megnövelte a korlátot 4096 bájtra, ami lehetővé teszi, hogy az egyes kérésekben további információkat lehessen adni..
Ez a változás azonban a DNS-t „erősítő támadások” -nak tette ki. A támadó speciálisan kialakított kéréseket küldhet a DNS-kiszolgálóknak, nagy mennyiségű információt kérve, és kérheti, hogy küldje el őket a cél IP-címére. Az „erősítés” azért jön létre, mert a kiszolgáló válasz sokkal nagyobb, mint a kérést generáló kérés, és a DNS-kiszolgáló elküldi a választ a hamisított IP-címre.
Sok DNS-kiszolgáló nincs konfigurálva a rossz kérések észlelésére vagy eldobására, így ha a támadók ismételten hamis kéréseket küldenek, az áldozat hatalmas EDNS-csomagokkal elárasztja a hálózatot. Nem sikerült kezelni annyi adatot, hogy törvényes forgalma elvész.
Tehát mi az a megosztott szolgáltatásmegtagadás (DDoS) támadás?
A megosztott szolgáltatásmegtagadási támadás olyan, amely több (néha akaratlan) támadóval rendelkezik. A webhelyeket és az alkalmazásokat úgy tervezték, hogy sok egyidejű kapcsolatot tudjanak kezelni - végül is a webhelyek nem lennének nagyon hasznosak, ha egyszerre csak egy személy látogatna. Az olyan óriási szolgáltatások, mint a Google, a Facebook vagy az Amazon, több millió vagy több millió egyidejű felhasználó kezelésére szolgálnak. Emiatt nem lehetséges, hogy egyetlen támadó megtagadja őket egy szolgáltatásmegtagadási támadással. De sok támadók.
A támadók toborzásának leggyakoribb módja a botnet. A botnet-ben a hackerek megfertőzik mindenfajta internetkapcsolt eszközt rosszindulatú szoftverrel. Ezek az eszközök lehetnek számítógépek, telefonok vagy akár más otthoni eszközök, mint például a DVR-k és a biztonsági kamerák. Ha fertőzött, akkor ezeket az eszközöket (zombik) használhatják, hogy rendszeresen kapcsolatba lépjenek egy parancs- és vezérlőszerverrel, hogy utasításokat kérjenek. Ezek a parancsok a bányászati cryptocurrencies-tól a igen, a DDoS támadásokban való részvételhez terjedhetnek. Így nincs szükségük egy csomó hackerre, hogy együttesen zenekarok legyenek - a szokásos otthoni felhasználók bizonytalan eszközeit használhatják piszkos munkájuk elvégzésére.
Más DDoS támadások önkéntesen, általában politikai okokból is végrehajthatók. Az alacsony Orbit Ion Cannon ügyfelek megkönnyítik a DoS támadásokat és könnyen terjeszthetők. Ne feledje, hogy a legtöbb országban tilos (szándékosan) részt venni a DDoS támadásban.
Végül, néhány DDoS támadás lehet véletlen. Eredetileg a Slashdot-effektusnak nevezték, és általánosították a „halál ölelésének”, a hatalmas mennyiségű törvényes forgalom megrongálhatja a webhelyet. Valószínűleg láttad, hogy ez megtörténik, mielőtt egy népszerű webhelyre mutató linkek egy kis bloghoz kapcsolódnának, és a felhasználók hatalmas beáramlása véletlenül hozná le az oldalt. Technikailag ez még mindig DDoS-nek minősül, még akkor is, ha nem szándékos vagy rosszindulatú.
Hogyan tudom megvédeni magam a szolgáltatás megtagadása ellen??
A tipikus felhasználóknak nem kell aggódniuk a szolgáltatásmegtagadási támadások célpontjaként. A szerencsejátékosok és a profi játékosok kivételével nagyon ritka, hogy egy DoS-t egy személyre mutatnak. Ez azt jelenti, hogy a lehető legjobban meg kell tennie, hogy megvédje az összes eszközt a rosszindulatú programoktól, amelyek egy botnet-hálózat részét képezhetik.
Ha azonban webkiszolgáló adminisztrátora vagy, akkor rengeteg információ áll rendelkezésre arról, hogyan biztosíthatja szolgáltatásait a DoS támadásokkal szemben. A kiszolgáló konfigurációja és készülékei enyhíthetnek néhány támadást. Mások megakadályozhatók, ha a nem hitelesített felhasználók nem tudnak jelentős szerver erőforrásokat igénylő műveleteket végrehajtani. Sajnos a DoS támadás sikere leggyakrabban az, aki a nagyobb csővel rendelkezik. Az olyan szolgáltatások, mint a Cloudflare és az Incapsula védelmet nyújtanak a weboldalak előtt állva, de költségesek lehetnek.