DDoS-angreb (kaldet Distributed Denial of Service, i fri oversættelse: en distribueret denial of service) er blandt de mest almindelige hackerangreb, der er rettet mod computersystemer eller netværkstjenester og er designet til at besætte alle de tilgængelige og gratis ressourcer for at forhindre, at hele tjenesten fungerer på Internettet (f.eks. dit websted og din hostede e-mail).
Hvad er et DDoS-angreb?
Et DDoS-angreb består i at udføre et angreb samtidigt fra mange steder på samme tid (fra mange computere). Et sådant angreb udføres hovedsageligt fra computere, som der er taget kontrol over, ved hjælp af speciel software (f.eks. Bots og trojanske heste). Dette betyder, at ejerne af disse computere måske ikke engang ved, at deres computer, bærbare computer eller anden enhed, der er forbundet til netværket, muligvis kun kan bruges uden deres bevidsthed til at udføre et DDoS-angreb.
Et DDoS-angreb starter, når alle kompromitterede computere begynder at angribe offerets webservice eller system samtidigt. Målet for et DDoS-angreb oversvømmes derefter med falske forsøg på at bruge tjenesterne (f.eks. Kan de være forsøg på at ringe til et websted eller andre anmodninger).
Hvorfor forårsager et DDoS-angreb serviceafbrydelser?
Hvert forsøg på at bruge tjenesten (f.eks. Et forsøg på at ringe til et websted) kræver, at den angrebne computer tildeler passende ressourcer til at servicere denne anmodning (f.eks. Processor, hukommelse, netværksbåndbredde), hvilket med et meget stort antal af sådanne anmodninger fører til udtømning af tilgængelige ressourcer og som et resultat af en pause i driften eller endda suspension af det angrebne system.
Hvordan beskytter man dig mod DDoS-angreb?
DDoS-angreb er i øjeblikket den mest sandsynlige trussel mod virksomheder, der opererer i netværket, og deres konsekvenser strækker sig ud over blot it-området, men forårsager også reelle, målbare økonomiske tab og image. Angreb af denne type udvikler sig konstant og bliver mere og mere præcise. Deres formål er at forbruge alle tilgængelige ressourcer i netværksinfrastrukturen eller internetforbindelsen.
Du kan finde tilbud til beskyttelse mod DDoS-angreb på Internettet. Aktivering af en sådan beskyttelse mod DDoS-angreb sker oftest ved at ændre DNS-poster, som dirigerer al HTTP / HTTPS-trafik gennem filtreringslaget, hvor detaljeret inspektion af hver pakke og forespørgsel udføres.
Derefter filtrerer avancerede algoritmer såvel som korrekt definerede regler bort fejlagtige pakker og angrebsforsøg, så kun ren trafik går til din server. Virksomheder, der beskytter mod DDoS-angreb, har placeringer i forskellige dele af verden, takket være hvilke de effektivt kan blokere angreb ved kilden samt servere statiske data fra det nærmeste datacenter, hvilket reducerer sidens indlæsningstid.
DDoS-angreb og afpresning er en forbrydelse
Truslen om et DDoS-angreb bruges undertiden til at afpresse virksomheder, f.eks. auktionssider, mæglerfirmaer og lignende, hvor afbrydelsen af transaktionssystemet medfører direkte økonomiske tab for virksomheden og dens kunder. I sådanne tilfælde kræver folket bag angrebet en løsesum for at annullere eller stoppe angrebet. Sådan afpresning er en forbrydelse.
Sådan beskytter du dig mod DoS / DDoS-angreb
Enkelt sagt er DoS-angreb en form for ondsindet aktivitet, der sigter mod at bringe et computersystem til det punkt, hvor det ikke kan betjene legitime brugere eller udføre de tilsigtede funktioner korrekt. Fejl i softwaren (software) eller overdreven belastning på netværkskanalen eller systemet som helhed fører normalt til en "denial of service" -tilstand. Som et resultat "kolliderer" softwaren eller hele maskinens operativsystem eller befinder sig i en "loopet" tilstand. Og dette truer med nedetid, tab af besøgende / kunder og tab.
Anatomi af et DoS-angreb
DoS-angreb er klassificeret som lokale og fjerntliggende. Lokale udnyttelser inkluderer forskellige udnyttelser, gaffelbomber og programmer, der åbner en million filer hver gang eller kører en cirkulær algoritme, der spiser hukommelse og processorressourcer. Vi vil ikke dvæle ved alt dette. Lad os se nærmere på eksterne DoS-angreb. De er opdelt i to typer:
Fjernudnyttelse af softwarefejl for at gøre den ude af drift.
Oversvømmelse - at sende et stort antal meningsløse (mindre ofte meningsfulde) pakker til offerets adresse. Flodmålet kan være en kommunikationskanal eller maskinressourcer. I det første tilfælde optager pakkestreamet hele båndbredden og giver ikke den angrebne maskine mulighed for at behandle legitime anmodninger. I det andet fanges maskinens ressourcer ved gentagne og meget hyppige opkald til enhver service, der udfører en kompleks, ressourceintensiv operation. Dette kan for eksempel være et langt opkald til en af de aktive komponenter (script) på webserveren. Serveren bruger alle maskinens ressourcer på at behandle angriberens anmodninger, og brugerne skal vente.
I den traditionelle version (en angriber - et offer) er kun den første type angreb nu effektiv. Den klassiske oversvømmelse er ubrugelig. Bare fordi med nutidens båndbredde af servere, niveauet af computerkraft og den udbredte brug af forskellige anti-DoS-teknikker i software (for eksempel forsinkelser, når den samme klient gentagne gange udfører de samme handlinger), bliver angriberen til en irriterende myg, der er ikke i stand til at påføre nogen, heller ikke var der nogen skade.
Men hvis der er hundreder, tusinder eller endda hundreder af tusinder af disse myg, kan de let sætte serveren på skulderbladene. Publikum er en frygtelig styrke ikke kun i livet, men også i computerverdenen. Et distribueret denial-of-service (DDoS) angreb, som regel udføres ved hjælp af mange zombierede værter, kan afskære selv den hårdeste server fra omverdenen.
Kontrolmetoder
Faren ved de fleste DDoS-angreb ligger i deres absolutte gennemsigtighed og "normalitet". Når alt kommer til alt, hvis en softwarefejl altid kan rettes, er det samlede forbrug af ressourcer en næsten almindelig begivenhed. Mange administratorer står over for dem, når maskinressourcerne (båndbredde) bliver utilstrækkelige, eller hjemmesiden har en Slashdot-effekt (twitter.com blev utilgængelig inden for få minutter efter den første nyhed om Michael Jacksons død). Og hvis du reducerer trafik og ressourcer for alle i træk, bliver du reddet fra DDoS, men du mister en god halvdel af dine kunder.
Der er praktisk talt ingen vej ud af denne situation, men konsekvenserne af DDoS-angreb og deres effektivitet kan reduceres betydeligt ved korrekt konfigurering af routeren, firewall og konstant analyse af anomalier i netværkstrafik. I den næste del af artiklen vil vi se på:
måder at genkende et begyndende DDoS-angreb på;
metoder til håndtering af specifikke typer DDoS-angreb;
generelle råd til at hjælpe dig med at forberede dig på et DoS-angreb og reducere dets effektivitet.
I slutningen vil svaret blive givet på spørgsmålet: hvad man skal gøre, når DDoS-angrebet begyndte.
Kæmp mod oversvømmelsesangreb
Så der er to typer DoS / DDoS-angreb, og den mest almindelige af dem er baseret på ideen om oversvømmelse, dvs. oversvømmelse af offeret med et stort antal pakker. Oversvømmelse er forskellig: ICMP-oversvømmelse, SYN-oversvømmelse, UDP-oversvømmelse og HTTP-oversvømmelse. Moderne DoS-bots kan bruge alle disse typer angreb samtidigt, så du skal sørge for tilstrækkelig beskyttelse mod hver af dem på forhånd. Et eksempel på, hvordan man kan forsvare sig mod den mest almindelige type angreb.
HTTP-oversvømmelse
En af de mest udbredte oversvømmelsesmetoder i dag. Det er baseret på uendelig sending af HTTP GET-meddelelser på port 80 for at indlæse webserveren, så den ikke er i stand til at behandle alle andre anmodninger. Ofte er oversvømmelsesmålet ikke roden til webserveren, men et af de scripts, der udfører ressourceintensive opgaver eller arbejder med databasen. Under alle omstændigheder vil en unormalt hurtig vækst af webserverlogfiler tjene som en indikator for et angreb, der er begyndt.
Metoder til håndtering af HTTP-oversvømmelse inkluderer indstilling af webserveren og databasen for at mindske virkningen af et angreb samt filtrering af DoS-bots ved hjælp af forskellige teknikker. Først skal du øge det maksimale antal forbindelser til databasen på samme tid. For det andet skal du installere let og effektiv nginx foran Apache-webserveren - den cache anmodninger og servere statisk. Dette er en must-have løsning, der ikke kun reducerer effekten af DoS-angreb, men også tillader serveren at modstå enorme belastninger.
Om nødvendigt kan du bruge nginx-modulet, som begrænser antallet af samtidige forbindelser fra en adresse. Ressourceintensive scripts kan beskyttes mod bots ved hjælp af forsinkelser, "Klik på mig" -knapper, indstilling af cookies og andre tricks, der sigter mod at kontrollere "menneskeheden".
Universelle tip
For ikke at komme i en håbløs situation under sammenbruddet af en DDoS-storm på systemer skal du omhyggeligt forberede dem på en sådan situation:
Alle servere med direkte adgang til det eksterne netværk skal være forberedt på en hurtig og nem ekstern genstart. Et stort plus vil være tilstedeværelsen af en anden administrativ netværksgrænseflade, hvorigennem du kan få adgang til serveren i tilfælde af tilstopning af hovedkanalen.
Den software, der bruges på serveren, skal altid være opdateret. Alle huller er patched, opdateringer er installeret (simpelt som en boot, råd, som mange ikke følger). Dette vil beskytte dig mod DoS-angreb, der udnytter fejl i tjenester.
Alle lytte netværkstjenester beregnet til administrativ brug skal skjules af firewallen for enhver, der ikke skal have adgang til dem. Derefter vil angriberen ikke kunne bruge dem til DoS-angreb eller brute-force-angreb.
Ved tilgangen til serveren (den nærmeste router) skal der installeres et trafikanalysesystem, der gør det muligt at rettidigt lære om et igangværende angreb og træffe rettidige foranstaltninger for at forhindre det.
Det skal bemærkes, at alle teknikker har til formål at reducere effektiviteten af DDoS-angreb, der sigter mod at udnytte maskinens ressourcer. Det er næsten umuligt at forsvare sig mod en oversvømmelse, der tilstopper kanalen med snavs, og den eneste korrekte, men ikke altid gennemførlige måde at kæmpe på er at "fratage angrebet mening." Hvis du har en rigtig bred kanal til din rådighed, der let tillader trafik fra et lille botnet, skal du overveje, at din server er beskyttet mod 90% af angrebene.
Der er et mere sofistikeret forsvar. Det er baseret på organisationen af et distribueret computernetværk, som inkluderer mange overflødige servere, der er forbundet til forskellige backbones. Når kanalens computerkraft eller båndbredde løber ud, omdirigeres alle nye klienter til en anden server eller gradvist. "
En anden mere eller mindre effektiv løsning er at købe hardwaresystemer. I samarbejde kan de undertrykke et begyndende angreb, men som de fleste andre løsninger baseret på læring og tilstandsanalyse mislykkes de.
Det ser ud til at være begyndt. Hvad skal man gøre?
Før den øjeblikkelige start af angrebet "varmes" bots op op, hvilket gradvist øger strømmen af pakker til den angrebne maskine. Det er vigtigt at gribe øjeblikket og begynde at handle. Konstant overvågning af routeren forbundet til det eksterne netværk hjælper med dette. På offeretserveren kan du bestemme begyndelsen af angrebet ved hjælp af tilgængelige midler.