Mitkä ovat palveluneston kieltäminen ja DDoS-hyökkäykset?
DoS (Denial of Service) ja DDoS (Distributed Denial of Service) hyökkäykset ovat yhä yleisempiä ja voimakkaita. Palvelunestohyökkäykset ovat monessa muodossa, mutta niillä on yhteinen tarkoitus: estää käyttäjiä käyttämästä resursseja, olipa kyseessä sitten web-sivu, sähköposti, puhelinverkko tai jokin muu. Katsotaanpa yleisimpiä hyökkäyksiä Web-tavoitteita vastaan ja miten DoS voi tulla DDoS: ksi.
Yleisimpiä palveluiden kieltämisen tyyppejä (DoS) koskevat hyökkäykset
Sen ytimessä palvelunestohyökkäys suoritetaan tyypillisesti tulvimalla palvelin-sanoin, verkkosivuston palvelin niin paljon, että se ei pysty tarjoamaan palvelujaan laillisille käyttäjille. On olemassa muutamia tapoja, joilla tämä voidaan suorittaa, yleisimpiä ovat TCP: n tulva-iskut ja DNS-vahvistuksen hyökkäykset.
TCP-tulvatoimet
Lähes kaikki Web (HTTP / HTTPS) -liikenne suoritetaan TCP (Transmission Control Protocol) -toiminnon avulla. TCP: llä on enemmän käyttöliittymää kuin UDP (User Datagram Protocol), mutta se on suunniteltu luotettavaksi. Kaksi tietokonetta, jotka ovat yhteydessä toisiinsa TCP: n kautta, vahvistavat kunkin paketin vastaanottamisen. Jos vahvistusta ei ole annettu, paketti on lähetettävä uudelleen.
Mitä tapahtuu, jos yksi tietokone katkeaa? Ehkä käyttäjä menettää tehonsa, heidän Internet-palveluntarjoajansa epäonnistuu tai mitä sovelluksia he käyttävät lopettamatta ilmoittamatta toiselle tietokoneelle. Toisen asiakkaan täytyy lopettaa saman paketin lähettäminen uudelleen, tai muuten se tuhlaa resursseja. Jotta estettäisiin loputon lähetys, määritetään aikakatkaisuaika ja / tai asetetaan raja, kuinka monta kertaa paketti voidaan lähettää uudelleen ennen yhteyden pudottamista kokonaan.
TCP: n tarkoituksena oli helpottaa luotettavaa viestintää sotilastukikohtien välillä katastrofin sattuessa, mutta tämä muotoilu jättää sen alttiiksi palvelunestohyökkäyksille. Kun TCP luotiin, kukaan ei kuvannut, että sitä käytettäisi yli miljardi asiakaslaitetta. Suojaus nykyaikaisilta palvelunestohyökkäyksiltä ei ollut vain osa suunnitteluprosessia.
Yleisin verkkopalvelimiin kohdistuva palvelunestohyökkäys suoritetaan roskamalla SYN (synkronoi) paketteja. SYN-paketin lähettäminen on ensimmäinen vaihe käynnistettäessä TCP-yhteys. SYN-paketin vastaanottamisen jälkeen palvelin vastaa SYN-ACK-paketilla (synkronoi kuittaus). Lopuksi asiakas lähettää ACK (kuittauksen) paketin, joka täyttää yhteyden.
Jos asiakas ei kuitenkaan reagoi SYN-ACK-pakettiin tietyn ajan kuluessa, palvelin lähettää paketin uudelleen ja odottaa vastausta. Se toistaa tämän menettelyn uudelleen ja uudelleen, mikä voi tuhlaa muistia ja prosessorin aikaa palvelimella. Itse asiassa, jos se on tehty tarpeeksi, se voi tuhlata niin paljon muistia ja prosessorin aikaa, että lailliset käyttäjät saavat istuntojaan lyhyiksi, tai uudet istunnot eivät pysty aloittamaan. Lisäksi kaikkien pakettien lisääntynyt kaistanleveyden käyttö voi kyllästää verkkoja, jolloin ne eivät pysty kantamaan liikennettä, jota he todella haluavat.
DNS-vahvistuksen hyökkäykset
Palvelunestohyökkäykset voivat myös pyrkiä DNS-palvelimiin: palvelimet, jotka kääntävät verkkotunnuksia (kuten howtogeek.com) IP-osoitteiksi (12.345.678.900), joita tietokoneet käyttävät viestintään. Kun kirjoitat howtogeek.com selaimeen, se lähetetään DNS-palvelimelle. DNS-palvelin ohjaa sinut todelliseen verkkosivustoon. Nopeus ja matala viive ovat tärkeitä huolenaiheita DNS: lle, joten protokolla toimii UDP: n sijaan TCP: n sijaan. DNS on tärkeä osa Internetin infrastruktuuria, ja DNS-pyyntöjen kuluttama kaistanleveys on yleensä vähäinen.
DNS kasvoi kuitenkin hitaasti, ja uusia ominaisuuksia lisättiin vähitellen ajan myötä. Tämä aiheutti ongelman: DNS: llä oli pakettikoon raja-arvo 512 tavua, mikä ei riittänyt kaikille näille uusille ominaisuuksille. Niinpä vuonna 1999 IEEE julkaisi DNS (EDNS) -laajennusmekanismien eritelmän, joka lisäsi korkkia 4096 tavuun, jolloin jokainen pyyntö sisälsi lisää tietoja.
Tämä muutos teki kuitenkin DNS: n haavoittuvaksi "monistushyökkäyksille". Hyökkääjä voi lähettää erityisesti muotoiltuja pyyntöjä DNS-palvelimille pyytämällä suuria tietomääriä ja pyytäen, että ne lähetetään kohteen IP-osoitteeseen. "Vahvistus" luodaan, koska palvelimen vastaus on paljon suurempi kuin sitä pyytävä pyyntö, ja DNS-palvelin lähettää vastauksensa väärennettyyn IP-osoitteeseen.
Monet DNS-palvelimet eivät ole konfiguroituja havaitsemaan tai pudottamaan huonoja pyyntöjä, joten kun hyökkääjät lähettävät toistuvasti väärennettyjä pyyntöjä, uhri tulvii valtavista EDNS-paketeista, jotka ylikuormittavat verkon. Niitä ei voida käsitellä niin paljon, että niiden laillinen liikenne menetetään.
Joten mikä on jaetun palvelunestohyökkäyksen (DDoS) hyökkäys?
Hajautettu palvelunestohyökkäys on sellainen, jossa on useita (joskus tahattomia) hyökkääjiä. Web-sivustot ja sovellukset on suunniteltu käsittelemään monia samanaikaisia yhteyksiä - web-sivustot eivät kuitenkaan olisi kovin hyödyllisiä, jos vain yksi henkilö voisi käydä kerralla. Giant-palvelut, kuten Google, Facebook tai Amazon, on suunniteltu käsittelemään miljoonia tai kymmeniä miljoonia samanaikaisia käyttäjiä. Tästä syystä ei ole mahdollista, että yksi hyökkääjä voi tuoda ne alas palvelunestohyökkäyksellä. Mutta monet hyökkääjät voisivat.
Yleisin tapa hyökkääjien rekrytoimiseksi on botnet-verkko. Botnet-verkossa hakkerit tartuttavat kaikenlaisia Internet-yhteyksiä sisältäviä laitteita haittaohjelmilla. Nämä laitteet voivat olla tietokoneita, puhelimia tai jopa muita kodin laitteita, kuten DVR-laitteita ja turvakameroita. Kun ne on infektoitu, he voivat käyttää näitä laitteita (kutsutaan zombeiksi) ottamaan säännöllisesti yhteyttä komento- ja ohjauspalvelimeen pyytääkseen ohjeita. Nämä komennot voivat vaihdella kaivos-cryptocurrencies-ohjelmasta, kyllä, osallistumiseen DDoS-hyökkäyksiin. Näin he eivät tarvitse yhtään hakkereita yhtyeen yhteen - he voivat käyttää normaalien kotikäyttäjien epävarmoja laitteita tekemään likaisen työnsä.
Muut DDoS-hyökkäykset voidaan suorittaa vapaaehtoisesti, yleensä poliittisista syistä. Low Orbit Ion Cannonin kaltaiset asiakkaat tekevät DoS-hyökkäyksistä yksinkertaisia ja helposti jaettavia. Muista, että useimmissa maissa se on laitonta (osallistuisi tahallisesti) DDoS-hyökkäykseen.
Lopuksi jotkut DDoS-hyökkäykset voivat olla tahattomia. Alun perin nimitystä Slashdot-vaikutus ja yleistetty "kuoleman halaus", valtavat lailliset liikennemäärät voivat romahtaa verkkosivustoa. Olet luultavasti nähnyt tämän tapahtuvan ennen kuin suosittu sivustolinkki pieneen blogiin ja valtava käyttäjävirta tuovat sivuston vahingossa. Teknisesti tämä luokitellaan edelleen DDoS: ksi, vaikka se ei olisi tarkoituksellista tai haitallista.
Miten voin suojata itseäni palvelunestohyökkäyksiltä?
Tyypillisten käyttäjien ei tarvitse huolehtia siitä, että ne ovat palvelunestohyökkäysten kohde. Varsinaisia pelaajia lukuun ottamatta on harvinaista, että DoS: ää osoitetaan yksilölle. Sitä vastoin sinun pitäisi silti tehdä parhaansa, jotta kaikki laitteet suojataan haittaohjelmilta, jotka voisivat tehdä sinut osaksi botnet-verkkoa.
Jos olet verkkopalvelimen ylläpitäjä, on kuitenkin runsaasti tietoa siitä, miten suojaat palvelusi DoS-hyökkäyksiä vastaan. Palvelimen kokoonpano ja laitteet voivat lieventää joitakin hyökkäyksiä. Muita voidaan estää varmistamalla, että todentamattomat käyttäjät eivät pysty suorittamaan toimenpiteitä, jotka edellyttävät huomattavia palvelinresursseja. Valitettavasti DoS-hyökkäyksen menestys määräytyy useimmiten sen perusteella, kenellä on suurempi putki. Palvelut kuten Cloudflare ja Incapsula tarjoavat suojaa seisomalla verkkosivustojen edessä, mutta voivat olla kalliita.