A szolgáltatáscsökkentés leggyakoribb típusai (DoS) támadások
A magatartásában a Denial of Service támadást jellemzően egy szerver - mondjuk, egy weboldal szervere - elárasztja, annyira, hogy nem képes a szolgáltatásait törvényes felhasználóknak nyújtani. Néhány mód van erre: a leggyakoribb a TCP árvizek támadása és DNS-amplifikációs támadások.
TCP Flooding Attacks
Szinte az összes webes (HTTP / HTTPS) forgalom a TCP (Transmission Control Protocol) segítségével történik. A TCP-nek több az általános alternatíva, mint az UDP (User Datagram Protocol), de megbízhatónak tervezték. A TCP-n keresztül két egymással összekapcsolt számítógép megerősíti az egyes csomagok átvételét. Ha nincs megerősítés, a csomagot újra kell küldeni.
Mi történik, ha egy számítógép leválik? Lehetséges, hogy a felhasználó elveszti a teljesítményt, az internetszolgáltató hibás, vagy bármilyen alkalmazást használ, amelyről kilép, anélkül, hogy tájékoztatná a másik számítógépet. A másik ügyfélnek le kell állítania ugyanazt a csomag újbóli elküldését, vagy pedig erőforrásokat veszít. A soha véget nem érő adatátvitel megakadályozása érdekében az időtúllépés időtartama meg van adva, és / vagy egy korlátozás kerül arra a hányszor, hogy egy csomag újra elküldhető, mielőtt a kapcsolatot teljes egészében elhagyná.
A TCP-t úgy tervezték meg, hogy megkönnyítse a katonai bázisok közötti megbízható kommunikációt katasztrófa esetén, de ez a kialakítás veszélyt jelent a szolgáltatásmegtagadási támadásokra. A TCP létrehozásakor senki sem ábrázolta, hogy több mint egy milliárd ügyféleszköz használható. A modern szolgáltatásmegtagadási szolgáltatások elleni védelem csak nem része a tervezési folyamatnak.
A webkiszolgálók elleni legelterjedtebb szolgáltatásmegtagadást a SYN (szinkronizáló) csomagok szkennelése végzi. A SYN csomag elküldése a TCP kapcsolat kezdeményezésének első lépése. Miután megkapta a SYN csomagot, a kiszolgáló SYN-ACK csomaggal reagál (szinkronizálja a nyugtázást). Végül az ügyfél egy ACK (nyugtázó) csomagot küld, a kapcsolatot kitöltve.
Ha azonban az ügyfél nem válaszol a SYN-ACK csomagra egy meghatározott időn belül, a kiszolgáló ismét elküldi a csomagot, és várja a választ. Ismételten ismételni ezt az eljárást, ami a memóriából és a processzoridőből kifogyhat a szerveren. Valójában, ha eléggé elvégezhető, akkor annyi memóriát és feldolgozási időt veszíthet el, hogy a legális felhasználók a rövid, vagy új munkameneteket nem tudják elindítani. Ráadásul a csomagok összesített sávszélességének használata telítheti a hálózatokat, így azok nem tudják szállítani a kívánt forgalmat.
DNS-erősítési támadások
A szolgáltatásmegtagadási támadások a DNS-kiszolgálókra is irányulhatnak: olyan kiszolgálók, amelyek lefordítják a tartományneveket (például howtogeek.com) a számítógépek által használt kommunikációs kommunikációs IP címek (12.345.678.900) számára. Amikor a böngésződben írja be a howtogeek.com fájlt, elküldi a DNS-kiszolgálónak. A DNS-kiszolgáló ezután irányítja az aktuális webhelyet. A gyorsaság és az alacsony késleltetés a DNS legfontosabb problémái, ezért a protokoll a TCP helyett UDP-t működtet. A DNS az internet infrastruktúrájának kritikus része, és a DNS-kérelmek által elfogyasztott sávszélesség általában minimális.
A DNS azonban lassan növekedett, és az új funkciók fokozatosan bővülnek az idő múlásával. Ez problémát okozott: a DNS csomagkészlet-mérete 512 byte volt, ami nem volt elegendő az új funkciók számára. Így 1999-ben az IEEE kiadta a DNS (EDNS) kiterjesztési mechanizmusa specifikációját, amely 4096 bájtra növelte a felső korlátot, így több információ szerepelt az egyes kérelmekben.
Ez a változás azonban a DNS-t sebezhetővé tette az "erősítő támadásokkal" szemben. A támadó speciálisan megtervezett kéréseket küldhet a DNS-kiszolgálóknak, kérve nagy mennyiségű információt, és kérheti, hogy küldjenek el a cél IP címére. Az "amplifikáció" azért jön létre, mert a kiszolgáló válasza sokkal nagyobb, mint a létrehozandó kérés, és a DNS-kiszolgáló elküldi válaszát a hamis IP-nek.
Sok DNS-kiszolgáló nem úgy van konfigurálva, hogy észlelje vagy csökkentsék a rossz kéréseket, így ha a támadók többször is hamis kéréseket küldenek, az áldozatot hatalmas EDNS-csomagokkal árasztják el, és a hálózatot átszivárogtatják. Nem tudják kezelni annyi adatot, törvényes forgalma elvész.
Tehát mi az elosztott szolgáltatásmegtagadás (DDoS) támadás?
Az elosztott szolgáltatásmegtagadási támadás olyan, amely több (esetenként nem szándékos) támadóval rendelkezik. A weboldalakat és alkalmazásokat úgy tervezték, hogy sok párhuzamos kapcsolatot kezeljenek. Végül is, a weboldalak nem lennének nagyon hasznosak, ha egyszerre csak egy személy látogathat. Óriási szolgáltatások, mint a Google, a Facebook vagy az Amazon úgy tervezték, hogy több millió vagy több tízmillió egyidejű felhasználót kezeljenek. Emiatt egyetlen támadó számára nem lehetséges, hogy egy szolgáltatásmegtagadási támadást hozzon létre. De sok támadók.
A támadók toborzásának leggyakoribb módja botnet.A botnetben a hackerek mindenféle internetes eszközzel megfertőzhetik a rosszindulatú programokat. Ezek az eszközök lehetnek otthoni számítógépek, telefonok vagy akár más eszközök, például DVR-k és biztonsági kamerák. Miután fertőzöttek, használhatják ezeket az eszközöket (úgynevezett zombik), hogy időszakosan kapcsolatba lépjenek egy parancs- és vezérlőszerverrel, hogy utasításokat kérjenek. Ezek a parancsok a bányászati cryptocuruutától kezdve a DDoS támadásokig terjedhetnek. Így nem kell egy csomó hacker együtt összefogni, használhatják a normál otthoni használók nem biztonságos eszközeit piszkos munkájuk elvégzésére.
Más DDoS-támadások önkéntesen, általában politikai okokból indokolhatók. Az olyan ügyfelek, mint a Low Orbit Ion Cannon, egyszerűvé teszik a DoS támadásait, és könnyen eloszthatók. Ne feledje, hogy a legtöbb országban tilos (szándékosan) részt venni egy DDoS támadásban.
Végül egyes DDoS támadások véletlenek lehetnek. Eredetileg Slashdot-effektusnak nevezték és általánosságban a "halál", "a hatalmas mennyiségű törvényes forgalom" megakadályozhat egy weboldalt. Valószínűleg előfordulhat, hogy előfordulhat, hogy egy népszerű webhely linkjei egy kis bloghoz kapcsolódnak, és a felhasználók hatalmas beáramlása véletlenül lecsökkenti a webhelyet. Technikailag ez még mindig DDoS-nak minősül, még akkor sem, ha szándékos vagy rosszindulatú.
Hogyan védhetem meg magát a szolgáltatási támadások megtagadása ellen?
Tipikus felhasználóknak nem kell aggódniuk, hogy a szolgáltatásmegtagadási támadások célpontjai. A szalagok és a profi játékosok kivételével nagyon ritka, hogy a DoS-nek egy egyénre kell mutatnia. Ez azt jelenti, hogy még mindig mindent meg kell tennie, hogy megvédje az összes eszközt a rosszindulatú programoktól, amelyek egy botnet részévé tehetik Önt.
Ha Ön egy webszerver adminisztrátora, akkor rengeteg információ található arra vonatkozóan, hogyan védheti szolgáltatásait a DoS támadásokkal szemben. A kiszolgálók beállítása és a készülékek csökkenthetik a támadást. Mások megakadályozhatók annak biztosításával, hogy a hitelesített felhasználók nem tudnak olyan műveleteket végrehajtani, amelyek jelentős szerver erőforrásokat igényelnek. Sajnos a DoS-támadás sikere a leggyakrabban az, hogy ki rendelkezik a nagyobb csővel. Az olyan szolgáltatások, mint a Cloudflare és az Incapsula, védelmet nyújtanak a weboldalak elé állításával, de lehetnek drágák.
