Dažniausiai pasitaikantys tarnavimo atsisakymo tipai (DoS)
Iš esmės "tarnybos atsisakymo" ataka paprastai atliekama užkraujant serverį, tarkim, interneto svetainės serverį, tiek, kad jis negali teikti savo paslaugas teisėtiems vartotojams. Yra keletas būdų, kaip tai atlikti, dažniausiai yra TCP užtvindymo išpuoliai ir DNS stiprinimo išpuoliai.
TCP potvynių užpuolimai
Beveik visi interneto (HTTP / HTTPS) srautai atliekami naudojant perdavimo valdymo protokolą (TCP). TCP turi daugiau pridėtinių nei alternatyvaus "User Datagram Protocol" (UDP), bet yra sukurta taip, kad būtų patikima. Du kompiuteriai, prijungti prie TCP, patvirtins kiekvieno paketo gavimą. Jei patvirtinimas nepateikiamas, paketas turi būti išsiųstas dar kartą.
Kas nutinka, jei vienas kompiuteris atsijungia? Galbūt vartotojas praranda galią, jo IPT yra nesėkmė arba bet kokia programa, kurią jie naudoja, išeina, nepranešdama apie kitą kompiuterį. Kitas klientas turi sustoti pakartotinai išsiųsti tą pačią paketą, o tai reiškia, kad jis praleidžia išteklius. Siekiant išvengti nenutrūkstamo perdavimo, nurodomas laiko praleidimo trukmė ir / arba riba, kiek kartų paketą galima persiųsti prieš visiškai išjungiant ryšį.
TCP buvo sukurtas siekiant palengvinti patikimą ryšį tarp karinių bazių nelaimės atveju, tačiau šis dizainas palieka jį pažeidžiamas tarnybos užpuolimo atsisakymas. Sukūrus TCP, niekas nerodė, kad jį naudotų daugiau nei milijardas klientų įrenginių. Apsauga nuo šiuolaikinių užpuolimų dėl atsisakymo naudotis paslaugomis buvo tik neformalaus proceso dalis.
Dažniausiai užblokuojama tarnybos ataka interneto serveriams vykdoma spaminant SYN (sinchronizuoti) paketus. SYN paketo siuntimas yra pirmasis TCP jungties inicijavimo veiksmas. Gavęs SYN paketą, serveris reaguoja su SYN-ACK paketu (sinchronizuoti patvirtinimą). Galiausiai klientas siunčia ACK (patvirtinimo) paketą, užbaigdamas ryšį.
Tačiau jei klientas per nustatytą laiką neatsako į SYN-ACK paketą, serveris vėl siunčia paketą ir laukia atsakymo. Tai pakartos šią procedūrą, kuri gali ištrinti atmintį ir procesoriaus laiką serveryje. Tiesą sakant, jei atliksite pakankamai, tai gali užteršti tiek daug atminties ir procesoriaus laiko, kad teisėti vartotojai gali nutraukti savo sesijas arba nauji seansai negali pradėti. Be to, padidėjęs pralaidumo naudojimas iš visų paketų gali prisipildyti tinklams, todėl jie negali perduoti srauto, kurio jie iš tikrųjų nori.
DNS stiprinimo priepuoliai
Paslaugos aukų atmetimas taip pat gali būti skirtas DNS serveriams: serveriams, kurie verčia domenų pavadinimus (pvz., Howtogeek.com) į IP adresus (12.345.678.900), kuriuos kompiuteriai naudoja bendravimui. Kai į naršyklę įvedate howtogeek.com, ji siunčiama į DNS serverį. DNS serveris nukreipia jus į tikrąją svetainę. Greitis ir žemas latentinis laikas yra pagrindiniai DNS klausimai, todėl protokolas veikia ne UDP, o TCP. DNS yra svarbi interneto infrastruktūros dalis, o dažnių juostos plotis, kurį sunaudoja DNS užklausos, paprastai yra minimalus.
Tačiau DNS lėtai augo, o laikui bėgant palaipsniui pridedamos naujos funkcijos. Tai sukėlė problemą: DNS paketų dydis buvo 512 baitų, o to nepakako visoms šioms naujoms funkcijoms. Taigi 1999 m. IEEE paskelbė DNS (EDNS) pratęsimo mechanizmų specifikaciją, kuri padidino viršutinę ribą iki 4096 baitų, todėl daugiau informacijos galima įtraukti į kiekvieną prašymą.
Tačiau šis pakeitimas padarė "DNS" pažeidžiamus "sustiprinimo išpuolius". Užpuolikas gali siųsti specialiai paruoštus užklausimus DNS serveriams, prašydamas didelio kiekio informacijos ir prašydamas juos siųsti tikslinio IP adresu. "Pagerinimas" yra sukurtas, nes serverio atsakas yra daug didesnis už užklausą, kurį jis sukuria, o DNS serveris atsiųs atsakymą į suklastotą IP.
Daugelis DNS serverių nėra sukonfigūruoti aptikti ar pašalinti blogus užklausimus, taigi, kai užpuolikai pakartotinai siunčia suklastotus užklausimus, nukentėjusysis užplūsta didžiulėmis EDNS paketomis, sutrinka tinklo. Nepavykus tvarkyti tiek daug duomenų, jų teisėtas srautas bus prarastas.
Taigi, kas yra paskirstyta tarnybos atsisakymo (DDoS) ataka?
Paskirstytas tarnavimo atsisakymas yra tas, kuris turi keletą (kartais netinkančių) puolėjų. Interneto svetainės ir programos yra sukurtos daugeliui kartų prisijungti prie interneto. Galų gale, interneto svetainės nebūtų labai naudingos, jei vienu metu galėtų aplankyti tik vienas asmuo. Milžiniškos paslaugos, tokios kaip "Google", "Facebook" ar "Amazon", sukurtos siekiant valdyti milijonus ar dešimtys milijonų vienu metu dirbančių naudotojų. Dėl to negalima, kad vienas užpuolikas atleistų juos iš tarnybos atakos. Bet daug užpuolikai galėjo.
Dažniausias būdas įdarbinti užpuolikus yra per botnetą."Botnet'e" įsilaužėliai užkrėstų įvairius interneto prijungtus įrenginius su kenkėjiškomis programomis. Šie įrenginiai gali būti jūsų namų kompiuteriai, telefonai ar net kiti įrenginiai, pvz., DVR ir apsaugos kameros. Kai užsikrėtę, jie gali naudoti tuos įrenginius (vadinamuosius zombius) periodiškai susisiekti su komandų ir valdymo serveriu, kad paprašytų instrukcijų. Šios komandos gali svyruoti nuo kasybos kriptokursų iki, taip, dalyvaujant DDoS atakose. Tokiu būdu, jiems nereikia daugybės įsilaužėlių, kad galėtų susivienyti kartu, jie gali naudoti nesaugius įprastus namų vartotojus veikiančius įrenginius, kad galėtų atlikti savo nešvarų darbą.
Kiti DDoS išpuoliai gali būti atliekami savanoriškai, paprastai dėl politinių motyvų. Klientai, pavyzdžiui, "Low Orbit Ion Cannon", daro "DoS" išpuolius paprastus ir juos lengva paskirstyti. Turėkite omenyje, kad daugumoje šalių yra (draudžiama) dalyvauti "DDoS" atakoje.
Galiausiai kai kurie DDoS išpuoliai gali būti netyčiniai. Iš pradžių vadinamas "Slashdot" efektu ir apibendrintas kaip "mirties priežastis": didžiuliai teisėto srauto kiekiai gali sugadinti svetainę. Galbūt tai matė, kad taip atsitiko anksčiau, populiariose svetainės nuorodose į nedidelį tinklaraštį, o didžiulis vartotojų srautas netyčia sugadina svetainę. Techniškai tai vis dar klasifikuojama kaip DDoS, net jei jis nėra tyčinis ar piktavališkas.
Kaip aš galiu apsaugoti save nuo tarnavimo atakų atsisakymo?
Paprastiems vartotojams nereikia nerimauti dėl to, kad jie yra užblokavimo atakos tikslai. Išskyrus strers ir pro žaidėjus, labai retai DoS reikia pažymėti asmeniui. Tai sakydami, vis tiek turėtumėte padaryti viską, ką galėtumėte, kad apsaugotumėte visus įrenginius nuo kenkėjiškos programinės įrangos, galinčios tapti botneto dalimi.
Tačiau jei esate žiniatinklio serverio administratorius, yra daug informacijos apie tai, kaip apsaugoti savo paslaugas nuo DoS atakų. Serverio konfigūracija ir įrenginiai gali sušvelninti kai kuriuos išpuolius. Kitiems gali būti užkirstas kelias, užtikrinant, kad neautentiški vartotojai negalėtų atlikti operacijų, kurioms reikia daug serverių išteklių. Deja, DoS atakos sėkmę dažniausiai lemia tas, kas turi didesnį vamzdį. Paslaugos, pvz., "Cloudflare" ir "Incapsula", apsaugo svetaines prieš svetaines, tačiau gali būti brangu.
