Какви са отказите за обслужване и DDoS атаки?
DoS (Denial of Service) и DDoS (разпределени отказ на услуга) атаки стават все по-чести и мощни. Атаките за отказ на услуга идват в много форми, но споделят обща цел: спиране на достъпа на потребителите до ресурс, независимо дали става въпрос за уеб страница, електронна поща, телефонна мрежа или нещо съвсем друго. Нека разгледаме най-често срещаните видове атаки срещу уеб цели и как DoS може да стане DDoS.
Най-често срещаните видове атаки на отказ на услуга (DoS)
В основата си атаката с отказ на услуга обикновено се извършва чрез наводняване на сървър, който казва сървър на уеб сайт - толкова много, че не е в състояние да предостави услугите си на законните потребители. Има няколко начина, по които това може да се извърши, като най-често се срещат атаки с TCP наводнения и DNS усилващи атаки.
TCP наводнения
Почти всички уеб (HTTP / HTTPS) трафик се изпълняват чрез протокола за управление на предаването (TCP). TCP има повече натоварвания от алтернативата, User Datagram Protocol (UDP), но е проектиран да бъде надежден. Два компютъра, свързани помежду си чрез TCP, ще потвърдят получаването на всеки пакет. Ако не е предоставено потвърждение, пакетът трябва да бъде изпратен отново.
Какво се случва, ако един компютър бъде прекъснат? Може би потребителят губи мощност, техният ISP има неуспех, или каквото и приложение да използва, без да информира другия компютър. Другият клиент трябва да спре да изпраща отново същия пакет, или пък губи ресурси. За да се предотврати безкрайно предаване, се посочва времетраене на изчакване и / или се поставя ограничение колко пъти пакетът може да бъде изпратен отново, преди да се откаже напълно връзката.
TCP е създаден, за да улесни надеждната комуникация между военните бази в случай на бедствие, но този дизайн я оставя уязвима за атаки с отказ на услуга. При създаването на TCP никой не си представи, че ще се използва от над един милиард клиентски устройства. Защитата срещу модерните атаки за отказ на услуга просто не беше част от процеса на проектиране.
Най-честата атака срещу отказ на услуга срещу уеб сървъри се осъществява чрез спам SYN (синхронизиране) пакети. Изпращането на SYN пакет е първата стъпка за иницииране на TCP връзка. След получаване на SYN пакета, сървърът отговаря с SYN-ACK пакет (синхронизиране на потвърждение). И накрая, клиентът изпраща ACK (потвърждение) пакет, завършвайки връзката.
Обаче, ако клиентът не отговори на SYN-ACK пакета в рамките на определено време, сървърът отново изпраща пакета и изчаква отговор. Тази процедура ще се повтаря отново и отново, което може да изгуби памет и процесорно време на сървъра. Всъщност, ако се направи достатъчно, той може да похарчи толкова много памет и процесорно време, че законните потребители да прекъснат сесиите си или новите сесии да не могат да започнат. Освен това, увеличеното използване на честотната лента от всички пакети може да насити мрежите, което ги прави неспособни да носят трафика, който всъщност искат.
Атаки за усилване на DNS
Атаките за отказ на услуга също могат да бъдат насочени към DNS сървърите: сървърите, които превеждат имена на домейни (като howtogeek.com) в IP адреси (12.345.678.900), които компютрите използват за комуникация. Когато въведете howtogeek.com в браузъра си, той се изпраща на DNS сървър. След това DNS сървърът ви насочва към действителния уеб сайт. Скоростта и ниската латентност са основна грижа за DNS, така че протоколът работи над UDP вместо TCP. DNS е критична част от инфраструктурата на интернет и честотната лента, консумирана от DNS заявки, обикновено е минимална.
Въпреки това DNS бавно нараства, като нови функции постепенно се добавят с течение на времето. Това доведе до проблем: DNS имаше ограничение на размера на пакета от 512 байта, което не беше достатъчно за всички тези нови функции. Така през 1999 г. IEEE публикува спецификацията за механизми за разширение на DNS (EDNS), която увеличава капачката до 4096 байта, като позволява повече информация да бъде включена във всяка заявка..
Тази промяна обаче направи DNS уязвими на „усилващи атаки”. Нападателят може да изпраща специално изработени заявки до DNS сървърите, като изисква големи количества информация и иска да ги изпрати на IP адреса им. Създава се „усилване“, защото отговорът на сървъра е много по-голям от генерираната заявка и DNS сървърът ще изпрати отговора си към подправения IP адрес..
Много DNS сървъри не са конфигурирани да откриват или изпускат лоши заявки, така че когато нападателите многократно изпращат подправени заявки, жертвата се наводнява с огромни EDNS пакети, които претоварват мрежата. Неспособни да обработват толкова много данни, законният им трафик ще бъде загубен.
Така че какво е разпределение на отказ на услуга (DDoS) Атака?
Разпределена атака за отказ на услуга е тази, която има множество (понякога несъзнателни) нападатели. Уеб сайтовете и приложенията са проектирани да се справят с много едновременни връзки - в края на краищата, уеб сайтовете не биха били много полезни, ако само един човек може да посети едновременно. Гигантски услуги като Google, Facebook или Amazon са проектирани да обслужват милиони или десетки милиони потребители. Поради това не е възможно един атакуващ да ги свали с атака отказ на услуга. Но много нападателите могат.
Най-често използваният метод за набиране на нападатели е чрез ботнет. В ботнет хакерите заразяват всички видове интернет устройства, свързани със злонамерен софтуер. Тези устройства могат да бъдат компютри, телефони или дори други устройства във вашия дом, като DVR и камери за сигурност. Веднъж заразени, те могат да използват тези устройства (наречени зомбита), за да се свържат периодично с команден и контролен сървър, за да поискат инструкции. Тези команди могат да варират от минни криптовалути до, да, участващи в DDoS атаки. По този начин те не се нуждаят от тон хакери, които да се обединяват - те могат да използват несигурните устройства на нормалните домашни потребители, за да вършат мръсната си работа.
Други DDoS атаки могат да се извършват доброволно, обикновено по политически мотивирани причини. Клиентите като Low Orbit Ion Cannon правят DoS атаките лесни и лесно разпространявани. Имайте предвид, че в повечето страни е незаконно (умишлено) да участват в DDoS атака.
И накрая, някои DDoS атаки могат да бъдат неумишлени. Първоначално наричан Slashdot ефект и обобщен като "прегръдка на смъртта", огромни обеми от легален трафик могат да осакатят един уебсайт. Вероятно сте виждали това да се случи преди - популярни линкове към малък блог и огромен прилив на потребители случайно довеждат сайта. Технически това все още е класифицирано като DDoS, дори ако не е преднамерено или злонамерено.
Как мога да се защитя срещу отказа от служебни атаки?
Типичните потребители не трябва да се притесняват, че са цел на атаките с отказ на услуга. С изключение на стримери и професионални геймъри, много рядко е, че DoS трябва да бъде насочена към индивида. Все пак трябва да направите всичко възможно, за да защитите всичките си устройства от злонамерен софтуер, който може да ви направи част от ботнет.
Ако сте администратор на уеб сървър, обаче, има много информация за това как да защитите услугите си срещу DoS атаки. Конфигурацията на сървъра и уредите могат да смекчат някои атаки. Други могат да бъдат предотвратени, като се гарантира, че неавтентираните потребители не могат да извършват операции, които изискват значителни сървърни ресурси. За съжаление успехът на DoS атаката най-често се определя от това кой има по-голямата тръба. Услуги като Cloudflare и Incapsula предлагат защита, като стоят пред сайтовете, но могат да бъдат скъпи.