Atacurile DDoS (denumite Distributed Denial of Service, în traducere gratuită: o denegare de serviciu distribuită) se numără printre cele mai frecvente atacuri ale hackerilor, care sunt direcționate către sisteme informatice sau servicii de rețea și sunt concepute pentru a ocupa toate resursele disponibile și gratuite pentru a împiedicați funcționarea întregului serviciu pe Internet (de exemplu, site-ul dvs. și e-mail-ul găzduit).
Ce este un atac DDoS?
Un atac DDoS constă în efectuarea unui atac simultan din mai multe locuri în același timp (de pe multe computere). Un astfel de atac este efectuat în principal de pe computerele asupra cărora a fost preluat controlul, folosind software special (de exemplu, roboți și troieni). Aceasta înseamnă că este posibil ca proprietarii acestor computere să nu știe nici măcar că computerul, laptopul sau alt dispozitiv conectat la rețea pot fi folosite, fără conștientizarea lor, pentru a efectua un atac DDoS.
Un atac DDoS începe atunci când toate computerele compromise încep să atace simultan serviciul sau sistemul web al victimei. Ținta unui atac DDoS este apoi inundată de încercări false de a utiliza serviciile (de exemplu, acestea pot fi încercări de a apela un site web sau alte cereri).
De ce un atac DDoS provoacă întreruperi ale serviciului?
Fiecare încercare de a utiliza serviciul (de exemplu, o încercare de a apela un site web) necesită ca computerul atacat să aloce resursele adecvate pentru a deservi această solicitare (de exemplu, procesor, memorie, lățime de bandă de rețea), ceea ce, cu un număr foarte mare de astfel de solicitări, duce la epuizarea resurselor disponibile și, ca urmare, o întrerupere a funcționării sau chiar suspendarea sistemului atacat.
Cum să vă protejați de atacurile DDoS?
Atacurile DDoS sunt în prezent cea mai probabilă amenințare pentru companiile care operează în rețea, iar consecințele lor se extind dincolo de doar zona IT, dar provoacă și pierderi financiare și de imagine reale, măsurabile. Atacurile de acest tip evoluează constant și devin din ce în ce mai precise. Scopul lor este de a consuma toate resursele disponibile ale infrastructurii de rețea sau ale conexiunii la internet.
Puteți găsi oferte de protecție împotriva atacurilor DDoS pe Internet. Cel mai adesea, activarea unei astfel de protecții împotriva atacurilor DDoS se face prin schimbarea înregistrărilor DNS, care vor direcționa tot traficul HTTP / HTTPS prin stratul de filtrare, în care se efectuează inspecția detaliată a fiecărui pachet și a interogării.
Apoi, algoritmi avansați, precum și reguli definite în mod corespunzător, filtrează pachete eronate și încercări de atac, astfel încât numai traficul pur merge la serverul dvs. Companiile care protejează împotriva atacurilor DDoS au locații în diferite părți ale lumii, datorită cărora pot bloca efectiv atacurile la sursă, precum și pot servi date statice din cel mai apropiat centru de date, reducând astfel timpul de încărcare a paginii.
Atacul DDoS și șantajarea acestuia reprezintă o infracțiune
Amenințarea unui atac DDoS este uneori folosită pentru șantajarea companiilor, de ex. site-uri de licitații, firme de brokeraj și altele similare, unde întreruperea sistemului de tranzacții se traduce prin pierderi financiare directe pentru companie și clienții săi. În astfel de cazuri, oamenii din spatele atacului cer o răscumpărare pentru anularea sau oprirea atacului. Un astfel de șantaj este o crimă.
Cum să vă protejați de atacurile DoS / DDoS
În termeni simpli, atacurile DoS sunt o formă de activitate rău intenționată care își propune să aducă un sistem informatic în punctul în care acesta nu poate servi utilizatorilor legitimi și nici nu își poate îndeplini corect funcțiile prevăzute. Erorile din software (software) sau încărcarea excesivă a canalului de rețea sau a sistemului în ansamblu duc de obicei la o condiție de „refuz de serviciu”. Ca rezultat, software-ul sau întregul sistem de operare al aparatului „se blochează” sau se află într-o stare „în buclă”. Și acest lucru amenință cu timpii morți, pierderea de vizitatori / clienți și pierderi.
Anatomia unui atac DoS
Atacurile DoS sunt clasificate ca locale și la distanță. Exploatările locale includ diverse exploitări, furci bombe și programe care deschid de fiecare dată un milion de fișiere sau rulează un algoritm circular care consumă resurse de memorie și procesor. Nu ne vom opri asupra tuturor acestor lucruri. Să aruncăm o privire mai atentă la atacurile DoS la distanță. Acestea sunt împărțite în două tipuri:
Exploatarea de la distanță a erorilor software pentru a o face inoperantă.
Potop - trimiterea unui număr imens de pachete fără sens (mai puțin semnificative) la adresa victimei. Ținta inundației poate fi un canal de comunicație sau resurse ale mașinii. În primul caz, fluxul de pachete ocupă întreaga lățime de bandă și nu conferă mașinii atacate capacitatea de a procesa cereri legitime. În al doilea rând, resursele mașinii sunt capturate prin apeluri repetate și foarte frecvente către orice serviciu care efectuează o operațiune complexă, intensivă în resurse. Acesta poate fi, de exemplu, un apel lung către una dintre componentele active (script) ale serverului web. Serverul cheltuiește toate resursele mașinii pentru procesarea solicitărilor atacatorului, iar utilizatorii trebuie să aștepte.
În versiunea tradițională (un atacator - o victimă), doar primul tip de atac este acum eficient. Inundația clasică este inutilă. Doar pentru că odată cu lățimea de bandă a serverelor de astăzi, nivelul puterii de calcul și utilizarea pe scară largă a diferitelor tehnici anti-DoS în software (de exemplu, întârzie atunci când același client efectuează în mod repetat aceleași acțiuni), atacatorul se transformă într-un țânțar enervant care este nu a putut provoca niciun fel și nici nu a existat nici un prejudiciu.
Dar dacă există sute, mii sau chiar sute de mii de acești țânțari, aceștia pot pune cu ușurință serverul pe omoplați. Mulțimea este o forță teribilă nu numai în viață, ci și în lumea computerelor. Un atac distribuit de refuz de serviciu (DDoS), efectuat de obicei folosind multe gazde zombificate, poate întrerupe chiar și cel mai dur server din lumea exterioară.
Metode de control
Pericolul majorității atacurilor DDoS constă în transparența și „normalitatea” lor absolute. La urma urmei, dacă o eroare de software poate fi întotdeauna corectată, atunci consumul complet de resurse este un eveniment aproape obișnuit. Mulți administratori se confruntă cu ei atunci când resursele mașinii (lățimea de bandă) devin insuficiente sau site-ul web suferă un efect Slashdot (twitter.com a devenit indisponibil în câteva minute după prima știre a morții lui Michael Jackson). Și dacă reduceți traficul și resursele pentru toată lumea la rând, veți fi salvat din DDoS, dar veți pierde o jumătate bună din clienți.
Nu există practic nicio ieșire din această situație, dar consecințele atacurilor DDoS și eficacitatea acestora pot fi reduse semnificativ prin configurarea corectă a routerului, firewall-ului și analiza constantă a anomaliilor din traficul de rețea. În următoarea parte a articolului, vom arunca o privire la:
modalități de a recunoaște un atac DDoS incipient;
metode de tratare a tipurilor specifice de atacuri DDoS;
sfaturi generale pentru a vă ajuta să vă pregătiți pentru un atac DoS și să reduceți eficacitatea acestuia.
La sfârșit, răspunsul va fi dat la întrebarea: ce să facem când a început atacul DDoS.
Lupta împotriva atacurilor de inundații
Deci, există două tipuri de atacuri DoS / DDoS, iar cel mai frecvent dintre ele se bazează pe ideea de inundații, adică inundarea victimei cu un număr imens de pachete. Inundația este diferită: inundația ICMP, inundația SYN, inundația UDP și inundația HTTP. Roboții moderni DoS pot utiliza toate aceste tipuri de atacuri simultan, deci ar trebui să aveți grijă de o protecție adecvată împotriva fiecăruia dintre ele în prealabil. Un exemplu despre cum să te aperi împotriva celui mai comun tip de atacuri.
Inundații HTTP
Una dintre cele mai răspândite metode de inundații de astăzi. Se bazează pe trimiterea la nesfârșit de mesaje HTTP GET pe portul 80 pentru a încărca serverul web, astfel încât acesta să nu poată procesa toate celelalte cereri. Adesea, ținta de inundație nu este rădăcina serverului web, ci unul dintre scripturile care efectuează sarcini care necesită resurse mari sau care lucrează cu baza de date. În orice caz, o creștere anormal de rapidă a jurnalelor serverelor web va servi drept indicator al unui atac care a început.
Metodele de gestionare a inundațiilor HTTP includ reglarea serverului web și a bazei de date pentru a atenua impactul unui atac, precum și filtrarea roboților DoS utilizând diverse tehnici. În primul rând, ar trebui să măriți numărul maxim de conexiuni la baza de date în același timp. În al doilea rând, instalați nginx ușor și eficient în fața serverului web Apache - acesta va memora în cache cererile și va servi static. Aceasta este o soluție obligatorie care nu numai că va reduce efectul atacurilor DoS, ci va permite și serverului să reziste la sarcini enorme.
Dacă este necesar, puteți utiliza modulul nginx, care limitează numărul de conexiuni simultane de la o adresă. Scripturile care utilizează resurse mari pot fi protejate împotriva roboților folosind întârzieri, butoane „Faceți clic pe mine”, setarea cookie-urilor și alte trucuri care vizează verificarea „umanității”.
Sfaturi universale
Pentru a nu intra într-o situație fără speranță în timpul prăbușirii unei furtuni DDoS pe sisteme, trebuie să le pregătiți cu atenție pentru o astfel de situație:
Toate serverele cu acces direct la rețeaua externă trebuie să fie pregătite pentru o repornire rapidă și ușoară de la distanță. Un mare plus va fi prezența unei a doua interfețe de rețea administrative, prin care puteți accesa serverul în cazul înfundării canalului principal.
Software-ul utilizat pe server trebuie să fie întotdeauna actualizat. Toate găurile sunt corecte, actualizările sunt instalate (simplu ca un boot, sfaturi pe care mulți nu le respectă). Acest lucru vă va proteja de atacurile DoS care exploatează bug-urile din servicii.
Toate serviciile de rețea de ascultare destinate utilizării administrative trebuie ascunse de firewall oricui nu ar trebui să aibă acces la ele. Apoi, atacatorul nu le va putea folosi pentru atacuri DoS sau atacuri cu forță brută.
La abordările către server (cel mai apropiat router), ar trebui instalat un sistem de analiză a traficului, care va face posibilă învățarea în timp util a unui atac în desfășurare și luarea măsurilor în timp util pentru prevenirea acestuia.
Trebuie remarcat faptul că toate tehnicile au ca scop reducerea eficacității atacurilor DDoS, care au ca scop utilizarea resurselor mașinii. Este aproape imposibil să te aperi împotriva unei inundații care înfundă canalul cu resturi, iar singurul mod corect, dar nu întotdeauna fezabil de a lupta este „a priva atacul de sens”. Dacă aveți la dispoziție un canal cu adevărat larg, care va permite cu ușurință traficul dintr-o botnet mică, luați în considerare faptul că serverul dvs. este protejat de 90% din atacuri.
Există o apărare mai sofisticată. Se bazează pe organizarea unei rețele de calculatoare distribuite, care include multe servere redundante care sunt conectate la diferite coloane vertebrale. Când puterea de calcul sau lățimea de bandă a canalului se epuizează, toți clienții noi sunt redirecționați către alt server sau treptat. "
O altă soluție mai mult sau mai puțin eficientă este cumpărarea de sisteme hardware. Lucrând în tandem, pot suprima un atac incipient, dar la fel ca majoritatea celorlalte soluții bazate pe învățare și analiza stării, nu reușesc.
Se pare că a început. Ce sa fac?
Înainte de începerea imediată a atacului, roboții „se încălzesc”, crescând treptat fluxul de pachete către mașina atacată. Este important să profitați de moment și să începeți să luați măsuri. Monitorizarea constantă a routerului conectat la rețeaua externă va ajuta în acest sens. Pe serverul victimei, puteți determina începutul atacului prin mijloacele disponibile.