Ataki DoS (Denial of Service) i DDoS (Distributed Denial of Service) stają się coraz powszechniejsze i silniejsze. Ataki Denial of Service występują w wielu formach, ale mają wspólny cel: powstrzymanie użytkowników przed dostępem do zasobu, niezależnie od tego, czy jest to strona internetowa, adres e-mail, sieć telefoniczna, czy coś zupełnie innego. Przyjrzyjmy się najczęstszym typom ataków na cele sieciowe i temu, w jaki sposób DoS może stać się DDoS.
Zasadniczo atak typu Denial of Service jest zwykle wykonywany przez zalanie serwera - powiedzmy serwera witryny internetowej - tak bardzo, że nie jest w stanie zapewnić swoich usług legalnym użytkownikom. Istnieje kilka sposobów, w jakie można to wykonać, najczęściej są to ataki polegające na zalewaniu TCP i ataki z wykorzystaniem wzmocnienia DNS.
Prawie cały ruch sieciowy (HTTP / HTTPS) odbywa się za pomocą protokołu TCP (Transmission Control Protocol). TCP ma więcej narzutów niż alternatywa, UDP (User Datagram Protocol), ale ma być niezawodna. Dwa komputery połączone ze sobą za pośrednictwem protokołu TCP potwierdzą odbiór każdego pakietu. Jeśli nie zostanie podane potwierdzenie, pakiet musi zostać wysłany ponownie.
Co się stanie, jeśli jeden komputer zostanie rozłączony? Być może użytkownik traci moc, jego dostawca Internetu ma awarię lub jakakolwiek aplikacja, której używają, przestaje działać bez informowania drugiego komputera. Drugi klient musi przestać ponownie wysyłać ten sam pakiet lub marnować zasoby. Aby zapobiec niekończącym się transmisjom, określono czas trwania limitu czasu i / lub określa się, ile razy pakiet może zostać ponownie wysłany przed całkowitym zerwaniem połączenia.
TCP został zaprojektowany w celu ułatwienia niezawodnej komunikacji między bazami wojskowymi w przypadku katastrofy, ale ten sam projekt pozostawia go podatnym na ataki typu odmowa usługi. Po utworzeniu TCP nikt nie wyobrażał sobie, że będzie on używany przez ponad miliard urządzeń klienckich. Ochrona przed nowoczesnymi atakami typu "odmowa usługi" nie była tylko częścią procesu projektowania.
Najczęstszym atakiem typu "odmowa usługi" na serwery internetowe jest spamowanie pakietów SYN (synchronizacja). Wysłanie pakietu SYN jest pierwszym krokiem do zainicjowania połączenia TCP. Po otrzymaniu pakietu SYN, serwer odpowiada pakietem SYN-ACK (potwierdzenie synchronizacji). Wreszcie, klient wysyła pakiet ACK (potwierdzenie), kończąc połączenie.
Jeśli jednak klient nie odpowie na pakiet SYN-ACK w określonym czasie, serwer ponownie wysyła pakiet i czeka na odpowiedź. Powtarza tę procedurę wielokrotnie, co może marnować pamięć i czas procesora na serwerze. W rzeczywistości, jeśli zrobi się wystarczająco dużo, może zmarnować tak dużo pamięci i czasu procesora, że uprawnieni użytkownicy tracą swoje sesje lub nowe sesje nie mogą się uruchomić. Dodatkowo, zwiększone wykorzystanie pasma ze wszystkich pakietów może nasycać sieci, co uniemożliwia im przenoszenie ruchu, którego faktycznie potrzebują.
Ataki Denial of Service mogą również być skierowane na serwery DNS: serwery tłumaczące nazwy domen (np. Howtogeek.com) na adresy IP (12.345.678.900) używane przez komputery do komunikacji. Po wpisaniu howtogeek.com w przeglądarce zostanie on wysłany na serwer DNS. Serwer DNS przekieruje Cię do rzeczywistej strony internetowej. Szybkość i małe opóźnienie są głównymi problemami dla DNS, więc protokół działa przez UDP zamiast TCP. DNS jest krytyczną częścią infrastruktury Internetu, a przepustowość wykorzystywana przez żądania DNS jest zazwyczaj minimalna.
Jednak system DNS powoli rósł, a nowe funkcje były stopniowo dodawane stopniowo. Pojawił się problem: DNS miał limit rozmiaru pakietu 512 bajtów, co nie było wystarczające dla wszystkich nowych funkcji. Tak więc w 1999 r. IEEE opublikowało specyfikację mechanizmów rozszerzeń dla systemu DNS (EDNS), która zwiększyła limit do 4096 bajtów, umożliwiając zawarcie większej ilości informacji w każdym żądaniu.
Ta zmiana spowodowała jednak, że DNS był podatny na "ataki wzmacniające". Osoba atakująca może przesłać specjalnie spreparowane żądania do serwerów DNS, prosząc o dużą ilość informacji i prosząc o przesłanie ich na adres IP celu. "Wzmocnienie" jest tworzone, ponieważ odpowiedź serwera jest znacznie większa niż żądanie generowania go, a serwer DNS wyśle odpowiedź na sfałszowane IP.
Wiele serwerów DNS nie jest skonfigurowanych do wykrywania lub odrzucania złych żądań, więc gdy atakujący wielokrotnie wysyła fałszywe żądania, ofiara zostaje zalana ogromnymi pakietami EDNS, powodując przeciążenie sieci. Nie można obsłużyć tak dużej ilości danych, ich legalny ruch zostanie utracony.
Rozproszony atak typu "odmowa usługi" to atak wielu (czasami nieświadomych) napastników. Witryny i aplikacje są przeznaczone do obsługi wielu równoczesnych połączeń - w końcu strony internetowe nie byłyby zbyt użyteczne, gdyby tylko jedna osoba mogła odwiedzić jednocześnie. Gigantyczne usługi, takie jak Google, Facebook czy Amazon, są przeznaczone do obsługi milionów lub dziesiątków milionów jednoczesnych użytkowników. Z tego powodu nie jest możliwe, aby jeden atakujący sprowadził je z atakiem typu odmowa usługi. Ale wiele napastnicy mogą.
Najpopularniejszą metodą rekrutowania atakujących jest botnet. W botnetach hakerzy infekują wszelkiego rodzaju podłączone do Internetu urządzenia złośliwym oprogramowaniem. Urządzeniami tymi mogą być komputery, telefony, a nawet inne urządzenia w domu, takie jak rejestratory i kamery bezpieczeństwa. Po zainfekowaniu mogą korzystać z tych urządzeń (zwanych zombie), aby okresowo kontaktować się z serwerem kontroli i polecenia, aby poprosić o instrukcje. Te polecenia mogą być różne, od górniczych kryptowalut po, tak, uczestnicząc w atakach DDoS. W ten sposób nie potrzebują wielu hakerów, aby połączyć siły - mogą używać niezabezpieczonych urządzeń zwykłych użytkowników domowych do wykonywania brudnej pracy.
Inne ataki DDoS mogą być wykonywane dobrowolnie, zazwyczaj z przyczyn umotywowanych politycznie. Klienci tacy jak Low Orbit Ion Cannon powodują, że ataki DoS są proste i łatwe do dystrybucji. Należy pamiętać, że w większości krajów nielegalne jest (umyślne) branie udziału w ataku DDoS.
Wreszcie, niektóre ataki DDoS mogą być niezamierzone. Pierwotnie nazywany efektem Slashdot i uogólniony jako "objęcie śmierci", ogromne ilości legalnego ruchu mogą okaleczyć witrynę. Prawdopodobnie już to się stało - popularna strona łączy się z małym blogiem, a ogromny napływ użytkowników przypadkowo powoduje wyłączenie witryny. Technicznie jest to nadal klasyfikowane jako DDoS, nawet jeśli nie jest zamierzone lub złośliwe.
Typowi użytkownicy nie muszą się martwić o to, że są celem ataków typu "odmowa usługi". Z wyjątkiem streamerów i profesjonalnych graczy bardzo rzadko zdarza się, aby DoS był wskazywany na osobę. Powiedział, że powinieneś zrobić wszystko, co możliwe, aby chronić wszystkie urządzenia przed złośliwym oprogramowaniem, które mogą stać się częścią botnetu.
Jeśli jednak jesteś administratorem serwera internetowego, istnieje mnóstwo informacji o tym, jak zabezpieczyć swoje usługi przed atakami DoS. Konfiguracja serwera i urządzenia mogą łagodzić niektóre ataki. Niektórym można zapobiec, zapewniając nieuwierzytelnionym użytkownikom niemożność wykonywania operacji wymagających znacznych zasobów serwera. Niestety, sukces ataku DoS jest najczęściej determinowany przez osobę, która ma większą rurę. Usługi takie jak Cloudflare i Incapsula oferują ochronę, stojąc przed witrynami internetowymi, ale mogą być drogie.
