Najbežnejšie typy útokov odmietnutia poskytovania služieb (DoS)
V jej jadre je útok typu Denial of Service zvyčajne vykonávaný zaplavením servera - povedzme, serverom webovej stránky - tak, že nie je schopný poskytovať svoje služby oprávneným používateľom. Existuje niekoľko spôsobov, ako to možno vykonať, najčastejšie sú útoky TCP flooding a útoky DNS amplifikácie.
Útoky TCP Flooding
Takmer všetky webové (HTTP / HTTPS) návštevnosti sa vykonávajú pomocou Transmission Control Protocol (TCP). TCP má viac režijných nákladov ako alternatívny protokol User Datagram Protocol (UDP), ale je navrhnutý tak, aby bol spoľahlivý. Dva počítače, ktoré sú navzájom prepojené cez protokol TCP, potvrdia prijatie každého paketu. Ak nie je poskytnuté potvrdenie, paket musí byť zaslaný znova.
Čo sa stane, ak sa odpojí jeden počítač? Možno môže používateľ stratiť energiu, ich poskytovateľ služby ISP zlyhal, alebo akékoľvek aplikácie, ktoré používajú, bez toho, aby informovali druhý počítač. Druhý klient musí zastaviť opätovné odoslanie rovnakého paketu alebo inak stráca zdroje. Aby sa zabránilo nekonečnému prenosu, je zadané časové obmedzenie a / alebo limit je stanovený na to, koľkokrát môže byť paket opätovne odoslaný pred úplným zrušením spojenia.
Služba TCP bola navrhnutá tak, aby umožňovala spoľahlivú komunikáciu medzi vojenskými základňami v prípade katastrofy, ale tento dizajn ju ponecháva zraniteľný voči útokom na popretie služby. Keď bol vytvorený protokol TCP, nikto nezobrazil, že by ho používali viac ako miliarda klientských zariadení. Ochrana proti moderným útokom na odmietnutie poskytovania služieb nebola súčasťou procesu návrhu.
Najčastejší útok na odmietnutie služby voči webovým serverom sa uskutočňuje prostredníctvom nevyžiadaných paketov SYN (synchronizácia). Odoslanie balíka SYN je prvým krokom iniciovania spojenia TCP. Po prijatí paketu SYN server odpovedá paketom SYN-ACK (potvrdenie synchronizácie). Nakoniec klient odošle paket ACK (potvrdenie) a dokončí spojenie.
Ak však klient nereaguje na paket SYN-ACK v stanovenom čase, server pošle paket znova a čaká na odpoveď. Tento postup bude opakovať znova a znova, čo môže spôsobiť plytvanie pamäte a času procesora na serveri. V skutočnosti, ak sa urobí dostatočne, môže zničiť toľko času na pamäť a procesor, aby legitímni používatelia dostali svoje schôdzky krátke alebo nové zasadnutia nie sú schopné začať. Navyše, zvýšenie využitia šírky pásma zo všetkých paketov môže nasýtiť siete, čo im umožňuje nesieť dopravu, ktorú skutočne chcú.
Útoky z amplifikácie DNS
Útoky na odmietnutie služby môžu byť zamerané aj na servery DNS: servery, ktoré prekladajú názvy domén (ako napríklad howtogeek.com) do adries IP (12.345.678.900), ktoré používajú počítače na komunikáciu. Keď v prehliadači napíšete howtogeek.com, dostane sa na server DNS. Server DNS vás nasmeruje na aktuálnu webovú stránku. Rýchlosť a nízka latencia sú hlavnými problémami DNS, takže protokol funguje cez UDP namiesto protokolu TCP. DNS je kritickou súčasťou internetovej infraštruktúry a šírka pásma spotrebovaná DNS požiadavkami je vo všeobecnosti minimálna.
DNS však pomaly rástol a nové funkcie sa časom postupne pridávali. To spôsobilo problém: DNS mal obmedzenie veľkosti paketu 512 bajtov, čo nestačilo na všetky tieto nové funkcie. Takže v roku 1999 publikovala IEEE špecifikáciu mechanizmov rozšírenia pre DNS (EDNS), ktoré zvýšili limit na 4096 bajtov, čo umožňuje zahrnúť do každej žiadosti viac informácií.
Táto zmena však spôsobila, že služba DNS bola zraniteľná voči "útokom rozšírenia". Útočník môže posielať špeciálne vytvorené žiadosti na servery DNS, ktoré žiadajú o veľké množstvo informácií a požiada ich, aby boli odoslané na adresu IP svojho cieľa. Vytvorí sa "zosilnenie", pretože odpoveď servera je oveľa väčšia ako žiadosť, ktorá ho generuje, a server DNS odošle svoju odpoveď na kolidovanú IP adresu.
Mnohé servery DNS nie sú nakonfigurované tak, aby detekovali alebo spúšťali zlé požiadavky, takže keď útočníci opakovane posielajú falošné žiadosti, obeť sa zaplaví obrovskými paketmi EDNS, ktoré zaťažujú sieť. Nedá sa spracovať toľko dát, ich legitímny prenos sa stratí.
Takže čo je útok distribuovaného odmietnutia služby (DDoS)?
Distribuovaný útok na odmietnutie služby je útok, ktorý má niekoľko (niekedy nevedomých) útočníkov. Webové stránky a aplikácie sú navrhnuté na zvládnutie mnohých súbežných spojení - koniec koncov nebudú webové stránky veľmi užitočné, ak by ich mohla navštíviť len jedna osoba. Obrovské služby ako Google, Facebook alebo Amazon sú určené na spracovanie miliónov alebo desiatok miliónov súbežných používateľov. Z tohto dôvodu nie je možné, aby jeden útočník ich priviedol do útoku s odmietnutím služby. ale veľa útočníci mohli.
Najbežnejšou metódou náboru útočníkov je botnet.V botnetu hackeri infikujú všetky druhy zariadení pripojených k internetu s malware. Tieto zariadenia môžu byť počítače, telefóny alebo dokonca iné zariadenia vo vašej domácnosti, ako napríklad DV rekordéry a bezpečnostné kamery. Po infikovaní môžu používať tieto zariadenia (tzv. Zombie), aby pravidelne kontaktovali príkazový a riadiaci server a požiadali o pokyny. Tieto príkazy sa môžu pohybovať od banských kryptocentriví až po áno, ktorí sa zúčastňujú útokov DDoS. Týmto spôsobom nepotrebujú tony hackerov, aby sa spojili dohromady, môžu použiť nezabezpečené zariadenia bežných domácich používateľov na to, aby robili svoju špinavú prácu.
Iné útoky DDoS sa môžu vykonávať dobrovoľne, zvyčajne z politicky motivovaných dôvodov. Klienti ako Low Orbit Ion Cannon robia útoky DoS jednoduché a ľahko sa distribuujú. Majte na pamäti, že je vo väčšine krajín nelegálne (úmyselne) zúčastniť útoku DDoS.
Napokon, niektoré útoky DDoS môžu byť neúmyselné. Pôvodne označovaný ako efekt Slashdot a zovšeobecnený ako "smrť smrti", obrovské množstvo legitímnej návštevnosti môže ochromiť webové stránky. Pravdepodobne ste videli, ako k tomu dôjde predtým, ako populárne stránky odkazujú na malý blog a obrovský príliv užívateľov neúmyselne prinesie stránku dole. Z technického hľadiska je to stále klasifikované ako DDoS, aj keď nie je úmyselné alebo škodlivé.
Ako sa môžem chrániť pred útokmi odmietnutia služby?
Typickí používatelia sa nemusia obávať, že by boli cieľom útokov na odmietnutie poskytovania služieb. S výnimkou streamerov a profesionálnych hráčov je veľmi zriedkavé, aby sa DoS ukázalo na jednotlivca. To znamená, že by ste mali urobiť čo najlepšie, aby ste ochránili všetky vaše zariadenia pred malware, ktorý by vás mohol stať súčasťou botnetu.
Ak ste správcom webového servera, je však veľa informácií o zabezpečení vašich služieb pred útokmi DoS. Konfigurácia servera a zariadenia môžu zmierniť niektoré útoky. Iným sa dá zabrániť tým, že neoverení používatelia nemôžu vykonávať operácie vyžadujúce významné serverové zdroje. Bohužiaľ, úspech útoku DoS je najčastejšie určovaný tým, kto má väčšie potrubie. Služby ako Cloudflare a Incapsula ponúkajú ochranu stojacim pred webovými stránkami, ale môžu byť drahé.
