Visbiežāk sastopamās atteikšanās pakalpojumu veidi (DoS) uzbrukumi
Parasti pakalpojuma "Apturēšana pret atteikšanos" parasti tiek veikta, applūdinot serveri, piemēram, tīmekļa vietnes serveri, tik daudz, ka tā nespēj nodrošināt savus pakalpojumus likumīgiem lietotājiem. Ir daži veidi, kā to var izdarīt, visbiežāk sastopamie ir TCP plūdu uzbrukumi un DNS pastiprināšanas uzbrukumi.
TCP plūdu uzbrukumi
Gandrīz visas tīmekļa (HTTP / HTTPS) datplūsmas tiek veiktas, izmantojot Pārraides vadības protokolu (TCP). TCP ir vairāk pieskaitāmas nekā alternatīva, User Datagram Protocol (UDP), bet tā ir izstrādāta tā, lai tā būtu uzticama. Divi datori, kas ir savstarpēji savienoti, izmantojot TCP, apstiprinās katra paketes saņemšanu. Ja nav apstiprinājuma, pakete ir jānosūta vēlreiz.
Kas notiek, ja viens dators tiek atvienots? Varbūt lietotājs zaudē spēku, viņu ISP ir neveiksme vai kāds lietojums, ko viņi izmanto, tiek pārtraukta, neinformējot otru datoru. Otrajam klientam ir jāpārtrauc viena un tā paša paketes atkārtotā nosūtīšana, vai arī tas izšķērdīs resursus. Lai novērstu neierobežotu pārraidi, tiek norādīts taimauta ilgums un / vai tiek noteikts limits, cik reizes atkārtotu nosūtīšanu paketē pirms savienojuma pilnīgas izņemšanas.
TCP tika izveidots, lai veicinātu drošu saziņu starp militārajām bāzēm katastrofas gadījumā, taču šis dizains ļaus neaizsargāt pret pakalpojuma liegumiem. Kad TCP tika izveidots, neviens nekonstatēja, ka to izmantotu vairāk nekā miljards klientu ierīces. Aizsardzība pret mūsdienīgiem pakalpojumu atteikšanas uzbrukumiem bija tikai daļa no projektēšanas procesa.
Visbiežākais pakalpojuma atteikšanas uzbrukums tīmekļa serveriem tiek veikts, izmantojot surogātpasta SYN (sinhronizēt) paketes. SYN paketes nosūtīšana ir pirmais TCP savienojuma uzsākšanas solis. Pēc SYN paketes saņemšanas serveris reaģē ar SYN-ACK paketi (sinhronizē apstiprinājumu). Visbeidzot, klients nosūta ACK (apstiprināšanas) paketi, pabeidzot savienojumu.
Tomēr, ja noteiktā laikā klients nereaģē uz SYN-ACK paketi, serveris nosūta paketi vēlreiz un gaida atbildi. Tas atkārtotu šo procedūru atkal un atkal, kas serverī var iztērēt atmiņu un procesora laiku. Faktiski, ja tas tiek darīts pietiekami, tas var iztērēt tik daudz atmiņas un procesora laiku, kad likumīgie lietotāji saņems, ka viņu sesijas tiek pārtrauktas, vai jaunas sesijas nevar sākt. Bez tam, palielināts joslas platuma lietojums no visiem paketēm var piesātināt tīklus, padarot tos nespēju pārvadāt trafiku, ko viņi patiešām vēlas.
DNS pastiprināšanas uzbrukumi
Atteikšanās no pakalpojuma uzbrukumiem var būt vērsts arī uz DNS serveriem: serveriem, kas tulko domēna vārdus (piemēram, howtogeek.com) IP adresēs (12.345.678.900), ko datori izmanto saziņai. Kad pārlūkprogrammā rakstāt howtogeek.com, tā tiek nosūtīta uz DNS serveri. Pēc tam DNS serveris novirza jūs uz faktisko tīmekļa vietni. Ātrums un zema latentuma ilgums ir galvenās bažas par DNS, tāpēc protokols darbojas kā UDP, nevis TCP. DNS ir būtiska interneta infrastruktūras daļa, un DNS pieprasījumos patērētā joslas platums parasti ir minimāls.
Tomēr DNS lēnām pieauga, laika gaitā pakāpeniski pievienojot jaunas funkcijas. Tas radīja problēmu: DNS paketes lieluma ierobežojums bija 512 baiti, un tam nepietiek ar visām šīm jaunajām funkcijām. Tātad 1999. gadā IEEE publicēja DNS paplašināšanas mehānismu (EDNS) specifikāciju, kas palielināja maksimālo apjomu līdz 4096 baitiem, ļaujot iekļaut vairāk informācijas katrā pieprasījumā.
Šīs izmaiņas tomēr padarīja DNS neaizsargātu pret "pastiprināšanas uzbrukumiem". Uzbrucējs var nosūtīt speciāli izstrādātus pieprasījumus DNS serveriem, pieprasot lielu informācijas daudzumu un lūdzot tos nosūtīt mērķa IP adreses. "Palielinājums" ir izveidots, jo servera atbilde ir daudz lielāka nekā tā ģenerēšanas pieprasījums, un DNS serveris nosūtīs savu atbildi uz viltotu IP.
Daudzi DNS serveri nav konfigurēti, lai atklātu vai nomestu sliktos pieprasījumus, tādēļ, ja uzbrucēji atkārtoti sūta viltotus pieprasījumus, cietušais kļūst pārpludināts ar milzīgiem EDNS paketēm, kas ierobežo tīklu. Nevar apstrādāt tik daudz datu, to likumīgā datplūsma tiks zaudēta.
Tātad, kāda ir izplatīta pakalpojuma atteikšanās (DDoS) uzbrukums?
Izplatīta pakalpojuma atteikšanās uzbrukums ir tāds, kurā ir vairāki (dažreiz neveiksmīgi) uzbrucēji. Tīmekļa vietnes un lietojumprogrammas ir izstrādātas, lai apstrādātu daudzus vienlaikus savienojumus - galu galā, tīmekļa vietnes nebūtu ļoti noderīgas, ja vienlaicīgi varētu apmeklēt tikai viena persona. Lielie pakalpojumi, piemēram, Google, Facebook vai Amazon, ir paredzēti, lai apstrādātu miljoniem vai desmitiem miljonu vienlaicīgu lietotāju. Tāpēc vienam uzbrucējam nav iespējams tos novērst, ja tiek atteikts pakalpojuma uzbrukums. Bet daudzi uzbrucēji varēja.
Visbiežāk uzbrucēju ieguve darbā notiek caur robottīti.Botnētai hakeri inficē visas ar internetu saistītās ierīces ar ļaunprātīgu programmatūru. Šīs ierīces var būt datori, tālruņi vai pat citas ierīces jūsu mājās, piemēram, DVR un drošības kameras. Pēc inficēšanās viņi var izmantot šīs ierīces (sauktas par zombijiem), lai periodiski sazinātos ar komandu un vadības serveri, lai pieprasītu norādījumus. Šīs komandas var būt diapazonā no ieguves kriptokultūras, lai, jā, piedalās DDoS uzbrukumā. Tādā veidā viņiem nav vajadzīga virkne hakeru, kas varētu apvienoties kopā, viņi var izmantot nedrošas ierīces, kas paredzētas normāliem mājas lietotājiem, lai veiktu netīro darbu.
Citus DDoS uzbrukumus var veikt brīvprātīgi, parasti politiski motivētu iemeslu dēļ. Klienti, piemēram, Low Orbit Ion Cannon, padara DoS uzbrukumus vienkāršu un tos viegli izplatīt. Paturiet prātā, ka vairumā valstu nelikumīgi (tīši) piedalās DDoS uzbrukumā.
Visbeidzot, daži DDoS uzbrukumi var būt nejauši. Sākotnēji saukts par Slashdot efektu un vispārināts kā "nāves cīņa", liela apjoma leģitīmā satiksme var graut mājas lapu. Jūs, iespējams, redzējāt, ka tas notiks pirms vietnēm, kas ir populāras vietnes saites uz nelielu emuāru, un milzīgs lietotāju pieplūdums nejauši novedīs vietni uz leju. Tehniski tas joprojām tiek klasificēts kā DDoS, pat ja tas nav tīšs vai ļaunprātīgs.
Kā es varu aizsargāt sevi pret dienesta uzbrukumu atteikšanu?
Parastajiem lietotājiem nav jāuztraucas par pakalpojuma liegšanas mērķi. Izņēmums, kas attiecas uz strīpām un pro spēlētājiem, ir ļoti reti, ja DoS tiek norādīts uz indivīdu. Tas nozīmē, ka jums joprojām jādara viss iespējamais, lai aizsargātu visas ierīces no ļaunprātīgas programmatūras, kas varētu kļūt par daļu no robottīkliem.
Ja jūs esat tīmekļa servera administrators, tomēr ir daudz informācijas par to, kā nodrošināt jūsu pakalpojumus pret DoS uzbrukumiem. Servera konfigurācija un ierīces var mazināt dažus uzbrukumus. Citus var novērst, nodrošinot, ka neautentificēti lietotāji nevar veikt operācijas, kurām vajadzīgi nozīmīgi serveru resursi. Diemžēl DoS uzbrukuma panākumus visbiežāk nosaka tas, kam ir lielāka caurule. Pakalpojumi, piemēram, Cloudflare un Incapsula, nodrošina aizsardzību, stāvot tīmekļa vietņu priekšā, taču tā var būt dārga.
