Головна » як » Що таке відмова в обслуговуванні та DDoS-атаки?

    Що таке відмова в обслуговуванні та DDoS-атаки?

    DoS (відмова в обслуговуванні) і DDoS (розподілені відмови в обслуговуванні) атаки стають все більш поширеними і потужними. Атаки відмови в обслуговуванні приходять у багатьох формах, але мають спільну мету: зупиняють доступ користувачів до ресурсу, будь то веб-сторінка, електронна пошта, телефонна мережа або щось інше. Давайте розглянемо найпоширеніші типи атак на веб-цілі, і як DoS може стати DDoS.

    Найпоширеніші типи атак відмови в обслуговуванні (DoS)

    За своєю суттю, атака "відмова в обслуговуванні" зазвичай виконується шляхом затоплення сервера, наприклад, сервера веб-сайту, настільки, що він не може надавати свої послуги законним користувачам. Існує декілька способів, якими можна скористатися, найпоширенішими є атаки затоплення TCP і атаки DNS.

    Поточні атаки TCP

    Практично весь веб-трафік (HTTP / HTTPS) здійснюється за допомогою протоколу керування передачею (TCP). TCP має більше накладних витрат, ніж альтернатива, User Datagram Protocol (UDP), але розрахована на надійність. Два комп'ютери, підключені один до одного через TCP, підтвердять отримання кожного пакета. Якщо підтвердження не надається, пакет повинен бути надісланий знову.

    Що станеться, якщо один комп'ютер буде від'єднано? Можливо, користувач втрачає владу, їх провайдер має збій, або будь-яку іншу програму, яку вони використовують, не повідомляє іншому комп'ютеру. Іншому клієнту необхідно припинити повторну передачу того ж самого пакету, або ж витрачати ресурси. Для запобігання нескінченної передачі вказано тривалість тайм-ауту та / або встановлено обмеження на кількість разів, коли пакет може бути повторно надісланий, перш ніж повністю вимкнути з'єднання..

    TCP був розроблений для забезпечення надійного зв'язку між військовими базами у разі катастрофи, але саме ця конструкція залишає її вразливою для атак відмови в обслуговуванні. Коли було створено TCP, ніхто не побачив, що його буде використано більш ніж мільярдними клієнтськими пристроями. Захист від сучасних атак на відмову в обслуговуванні просто не є частиною процесу проектування.

    Найбільш поширена атака на відмову в обслуговуванні веб-серверів здійснюється шляхом спамування пакетів SYN (синхронізувати). Відправка пакету SYN є першим кроком ініціювання з'єднання TCP. Після прийому пакету SYN сервер реагує на пакет SYN-ACK (підтвердження синхронізації). Нарешті, клієнт посилає пакет ACK (підтвердження), завершуючи з'єднання.

    Однак, якщо клієнт не відповідає на пакет SYN-ACK протягом встановленого часу, сервер знову посилає пакет і чекає відповіді. Це буде повторювати цю процедуру знову і знову, що може витратити пам'ять і процесорний час на сервері. Насправді, якщо це робиться достатньо, він може витрачати стільки пам'яті і процесорного часу, що законні користувачі скорочують свої сесії, або нові сесії не можуть почати. Крім того, збільшення використання пропускної здатності з усіх пакетів може наситити мережі, що робить їх нездатними переносити трафік, який вони дійсно хочуть.

    Атаки посилення DNS

    Атаки відмови в обслуговуванні також можуть бути спрямовані на DNS-сервери: сервери, які переводять доменні імена (наприклад, howtogeek.com) в IP-адреси (12.345.678.900), які комп'ютери використовують для спілкування. Коли ви вводите howtogeek.com у своєму браузері, він надсилається на DNS-сервер. Потім DNS-сервер направляє вас до фактичного веб-сайту. Швидкість і низька затримка є основною проблемою для DNS, тому протокол працює над UDP замість TCP. DNS є важливою частиною інфраструктури Інтернету, а пропускна спроможність, яку споживають запити DNS, як правило, мінімальна.

    Проте DNS поступово зростала, з часом поступово додавалися нові функції. Це спричинило проблему: DNS мав обмеження розміру пакета 512 байт, що було недостатньо для всіх цих нових функцій. Так, у 1999 році IEEE опублікувала специфікацію для механізмів розширення для DNS (EDNS), яка збільшила верхню частину до 4096 байт, дозволяючи вносити більше інформації в кожен запит..

    Ця зміна, однак, зробила DNS вразливою до "ампліфікаційних атак". Зловмисник може надсилати спеціально розроблені запити до DNS-серверів, запитуючи про великі обсяги інформації, а також просити їх надсилати на IP-адресу своєї цілі. "Ампліфікація" створюється тому, що відповідь сервера набагато більша, ніж його запит, і сервер DNS надішле свій відповідь на підроблений IP.

    Багато DNS-серверів не налаштовані на виявлення або видалення поганих запитів, тому, коли зловмисники неодноразово надсилають підроблені запити, жертва отримує величезні пакети EDNS, що переповнюють мережу. Неможливо обробити стільки даних, що їх законний трафік буде втрачено.

    Отже, що таке розподілені атаки на відмову в обслуговуванні (DDoS)?

    Розподілена атака відмови в обслуговуванні є такою, що має декількох (іноді невідомих) зловмисників. Веб-сайти та програми розроблені для роботи з багатьма паралельними підключеннями, адже веб-сайти не будуть дуже корисними, якщо одночасно може відвідувати лише одна людина. Гігантські служби, такі як Google, Facebook або Amazon, призначені для обробки мільйонів або десятків мільйонів одночасних користувачів. Через це неможливо, щоб один зловмисник звів їх з атаки відмови в обслуговуванні. Але багато атакуючі могли.

    Найбільш поширеним методом набору нападаючих є ботнет. У ботнеті хакери заражають всілякі підключені до Інтернету пристрої з шкідливими програмами. Ці пристрої можуть бути комп'ютерами, телефонами або навіть іншими пристроями у вашому домі, наприклад відеореєстраторами та камерами безпеки. Після зараження вони можуть використовувати ці пристрої (звані зомбі), щоб періодично звертатися до сервера команд і керування, щоб запитати інструкції. Ці команди можуть варіюватися від шахтарських криптовалют до, так, участі в атаках DDoS. Таким чином, вони не потребують тонни хакерів, щоб об'єднати їх разом - вони можуть використовувати небезпечні пристрої звичайних домашніх користувачів, щоб робити свою брудну роботу.

    Інші DDoS атаки можуть виконуватися добровільно, як правило, з політично мотивованих причин. Клієнти, такі як Ion Cannon з низькою орбітою, роблять DoS атаки простими і легко розповсюджуються. Майте на увазі, що в більшості країн заборонено (навмисно) брати участь у DDoS-атаці.

    Нарешті, деякі DDoS-атаки можуть бути ненавмисними. Спочатку називався Slashdot ефект і узагальнено як "обійняти смерть", величезні обсяги законного трафіку може калічити сайт. Ви, напевно, бачили, як це сталося раніше - популярні посилання на невеликий блог і величезний приплив користувачів випадково приводять сайт донизу. Технічно це все ще класифікується як DDoS, навіть якщо це не навмисне чи шкідливе.

    Як захистити себе від відмов у службі?

    Типові користувачі не повинні турбуватися про те, що вони є об'єктом атаки відмови в обслуговуванні. За винятком розтяжок і професійних геймерів, дуже рідко вказується DoS на індивідуума. Тим не менш, ви все одно повинні робити все можливе, щоб захистити всі ваші пристрої від шкідливих програм, які можуть зробити вас частиною бот-мережі.

    Однак, якщо ви адміністратор веб-сервера, є велика кількість інформації про те, як захистити свої служби від DoS-атак. Конфігурація сервера та прилади можуть зменшити деякі атаки. Інші можна запобігти шляхом забезпечення неавторизованих користувачів, які не можуть виконувати операції, що вимагають значних ресурсів сервера. На жаль, успіх DoS-атаки найчастіше визначається тим, хто має більшу трубу. Такі послуги, як Cloudflare і Incapsula, забезпечують захист, стоячи перед веб-сайтами, але можуть бути дорогими.