Hvad er benægtelse og DDoS-angreb?
DoS (Denial of Service) og DDoS (Distributed Denial of Service) angreb bliver stadig mere almindelige og potentielle. Denial of Service-angreb kommer i mange former, men deler et fælles formål: at stoppe brugerne fra at få adgang til en ressource, uanset om det er en webside, e-mail, telefonnet eller noget helt andet. Lad os se på de mest almindelige typer angreb mod webmål, og hvordan DoS kan blive DDoS.
De mest almindelige typer af benægtelser (DoS) Attacks
I det væsentlige udføres et Angreb af Service of Service typisk ved at oversvømme en server-sig, serveren på et websted - så meget, at den ikke kan levere sine tjenester til legitime brugere. Der er et par måder, hvorpå dette kan udføres, de mest almindelige er TCP oversvømmelsesangreb og DNS-amplifikationsangreb.
TCP Flooding Attacks
Næsten alle web (HTTP / HTTPS) trafik udføres ved hjælp af Transmission Control Protocol (TCP). TCP har mere overhead end alternativet, User Datagram Protocol (UDP), men er designet til at være pålidelig. To computere, der er forbundet til hinanden via TCP, bekræfter kvittering for hver pakke. Hvis der ikke er bekræftet, skal pakken sendes igen.
Hvad sker der, hvis en computer bliver afbrudt? Måske mister en bruger strøm, deres internetudbyder har en fejl, eller hvilken applikation de bruger, uden at informere den anden computer. Den anden klient skal stoppe med at sende den samme pakke igen, ellers spilder det ressourcer. For at forhindre uendelig transmission er der angivet en timeout-varighed, og / eller der er fastsat en grænse for, hvor mange gange en pakke kan sendes igen, inden forbindelsen slettes fuldstændigt.
TCP blev designet til at lette pålidelig kommunikation mellem militærbaser i tilfælde af en katastrofe, men dette design gør det sårbart over for deial of service-angreb. Da TCP blev oprettet, kunne ingen forestille sig, at den ville blive brugt af over en milliard klientenheder. Beskyttelse mod moderne angreb af tjenesten blev bare ikke en del af designprocessen.
Den mest almindelige benægtelse af tjenesteangreb mod webservere udføres ved at spamme SYN (synkronisere) pakker. At sende en SYN-pakke er det første trin i at starte en TCP-forbindelse. Efter at have modtaget SYN-pakken reagerer serveren med en SYN-ACK-pakke (synkroniseringsbekræftelse). Endelig sender klienten en ACK (bekræftelse) pakke, der fuldender forbindelsen.
Men hvis klienten ikke reagerer på SYN-ACK-pakken inden for et bestemt tidspunkt, sender serveren pakken igen og venter på svar. Det gentager denne procedure igen og igen, hvilket kan spilde hukommelse og processor tid på serveren. Faktisk, hvis det er gjort nok, kan det ødelægge så meget hukommelse og processor tid, at lovlige brugere får deres sessioner kort, eller nye sessioner kan ikke starte. Derudover kan den øgede båndbreddeforbrug fra alle pakkerne mætte netværk, hvilket gør dem ude af stand til at bære den trafik, de rent faktisk vil have.
DNS Amplification Attacks
Angreb i angreb på tjenesten kan også tage sigte på DNS-servere: de servere, der oversætter domænenavne (som howtogeek.com) til IP-adresser (12.345.678.900), som computere bruger til at kommunikere. Når du skriver howtogeek.com i din browser, bliver den sendt til en DNS-server. DNS-serveren leder dig derefter til det faktiske websted. Hastighed og lav ventetid er store bekymringer for DNS, så protokollen fungerer over UDP i stedet for TCP. DNS er en kritisk del af internets infrastruktur, og båndbredde forbruges af DNS-anmodninger er generelt minimal.
Dog voksede DNS langsomt, med nye funktioner gradvist tilføjet over tid. Dette introducerede et problem: DNS havde en pakkestørrelsesgrænse på 512 bytes, hvilket ikke var nok for alle disse nye funktioner. Så i 1999 offentliggjorde IEEE specifikationen for udvidelsesmekanismer for DNS (EDNS), som øgede hætten til 4096 bytes, hvilket gjorde det muligt for flere oplysninger at indgå i hver anmodning.
Denne ændring gjorde dog DNS sårbar overfor "amplifikationsangreb". En angriber kan sende specielt udformede forespørgsler til DNS-servere og bede om store mængder information og bede om, at de sendes til deres mål-IP-adresse. En "amplifikation" oprettes, fordi serverens svar er meget større end anmodningen, der genererer det, og DNS-serveren sender sit svar til den smidede IP.
Mange DNS-servere er ikke konfigureret til at opdage eller slette dårlige forespørgsler, så når angriberne gentagne gange sender falske anmodninger, bliver offeret oversvømmet med store EDNS-pakker, der overbelaster netværket. Kan ikke håndtere så meget data, deres legitime trafik vil gå tabt.
Så hvad er en distribueret Denial of Service (DDoS) Attack?
Et distribueret denial of service angreb er en, der har flere (nogle gange uvidende) angribere. Websteder og applikationer er designet til at håndtere mange samtidige forbindelser. Websteder vil trods alt ikke være meget nyttige, hvis kun en person kunne besøge ad gangen. Giant tjenester som Google, Facebook eller Amazon er designet til at håndtere millioner eller titusinder af samtidige brugere. På grund af det er det ikke muligt for en enkelt angriber at bringe dem ned med et benægtelsesangreb. Men mange angribere kunne.
Den mest almindelige metode til at rekruttere angriberne er gennem en botnet. I et botnet inficerer hackere alle former for internetforbundne enheder med malware. Disse enheder kan være computere, telefoner eller endda andre enheder i dit hjem, som DVR og sikkerhedskameraer. Når de er smittet, kan de bruge disse enheder (kaldet zombier) til regelmæssigt at kontakte en kommando og styre server for at bede om instruktioner. Disse kommandoer kan variere fra minedrift cryptocurrencies til ja, deltager i DDoS angreb. På den måde behøver de ikke en masse hackere til at binde sammen - de kan bruge de usikre enheder hos normale hjemmebrugere til at gøre deres beskidte arbejde.
Andre DDoS-angreb kan udføres frivilligt, normalt af politisk motiverede grunde. Kunder som Low Orbit Ion Cannon gør DoS-angrebne enkle og er nemme at distribuere. Husk, at det i de fleste lande er ulovligt at (med vilje) deltage i et DDoS-angreb.
Endelig kan nogle DDoS-angreb være utilsigtet. Oprindelig kaldet Slashdot-effekten og generaliseret som "kram af døden", kan enorme mængder legitim trafik forringe et websted. Du har sikkert set dette ske før-et populært websted link til en lille blog og en enorm tilstrømning af brugere tilfældigt bringe webstedet ned. Teknisk er dette stadig klassificeret som DDoS, selvom det ikke er forsætligt eller ondsindet.
Hvordan kan jeg beskytte mig mod denial of service attacks?
Typiske brugere behøver ikke at bekymre sig om at være målet om tjenestenes benægtelse. Med undtagelse af streamers og pro gamers er det meget sjældent, at en DoS peges på en person. Når det er sagt, skal du stadig gøre det bedste du kan for at beskytte alle dine enheder mod malware, der kan gøre dig til en del af en botnet.
Hvis du er administrator af en webserver, er der imidlertid et væld af oplysninger om, hvordan du sikrer dine tjenester mod DoS-angreb. Server konfiguration og apparater kan afbøde nogle angreb. Andre kan forhindres ved at sikre, at uautoriserede brugere ikke kan udføre operationer, der kræver betydelige serverressourcer. Desværre er et DoS-angrebs succes oftest bestemt af, hvem der har det større rør. Tjenester som Cloudflare og Incapsula tilbyder beskyttelse ved at stå foran hjemmesider, men det kan være dyrt.