Vad är avslag på service och DDoS-attacker?
DoS (Denial of Service) och DDoS (Distributed Denial of Service) attacker blir allt vanligare och kraftfulla. Deial of Service-attacker kommer i många former, men delar en gemensam avsikt: hindrar användare från att komma åt en resurs, oavsett om det är en webbsida, e-post, telefonnät eller något annat helt. Låt oss titta på de vanligaste typerna av attacker mot webbmål, och hur DoS kan bli DDoS.
De vanligaste typerna av Service Denial of Service (DoS)
I kärnan utförs en attack av Denial of Service typiskt genom att översvämma en server-säg, en webbserver på en webbplats, så mycket att den inte kan tillhandahålla sina tjänster till legitima användare. Det finns några sätt att göra detta, de vanligaste är TCP-översvämningsattacker och DNS-amplifieringsattacker.
TCP Flooding Attacks
Nästan all web (HTTP / HTTPS) trafik utförs med hjälp av Transmission Control Protocol (TCP). TCP har mer overhead än alternativet, User Datagram Protocol (UDP), men är utformat för att vara tillförlitligt. Två datorer som är anslutna till varandra via TCP, bekräftar mottagandet av varje paket. Om ingen bekräftelse ges, måste paketet skickas igen.
Vad händer om en dator avbryts? Kanske en användare förlorar makten, deras ISP har ett misslyckande, eller vilken applikation de använder slutar utan att informera den andra datorn. Den andra klienten behöver sluta att skicka samma paket, annars slösar det med resurser. För att förhindra oändlig överföring anges en timeout-varaktighet och / eller en gräns är inställd på hur många gånger ett paket kan skickas om innan du släpper anslutningen helt.
TCP var utformat för att underlätta tillförlitlig kommunikation mellan militära baser i händelse av en katastrof, men den här designen gör den sårbar för avslag på serviceattacker. När TCP skapades, visade ingen att det skulle användas av över en miljard klientenheter. Skydd mot moderna avslag på beteende var inte en del av designprocessen.
Den vanligaste förnekandet av tjänsten attack mot webbservrar utförs genom spamming SYN (synkronisera) paket. Skicka ett SYN-paket är det första steget att initiera en TCP-anslutning. Efter att ha mottagit SYN-paketet svarar servern med ett SYN-ACK-paket (synkroniseringsbekräftelse). Slutligen skickar klienten ett ACK (bekräftelse) -paket och slutar anslutningen.
Om klienten inte svarar på SYN-ACK-paketet inom en viss tid skickar servern dock paketet igen och väntar på ett svar. Det kommer att upprepa detta förfarande om och om igen, vilket kan slösa bort minnet och processorns tid på servern. Faktum är att om det är tillräckligt, kan det slösa så mycket minne och processortid som legitima användare får sina sessioner korta eller nya sessioner kan inte starta. Dessutom kan den ökade bandbreddsanvändningen från alla paket mätta nätverk, vilket gör att de inte kan bära den trafik de verkligen vill ha.
DNS Amplification Attacks
Ansökningar om förnekande av tjänsten kan också ta sikte på DNS-servrar: Servrarna som översätter domännamn (som howtogeek.com) till IP-adresser (12.345.678.900) som datorer använder för att kommunicera. När du skriver howtogeek.com i din webbläsare, skickas den till en DNS-server. DNS-servern leder dig sedan till den faktiska webbplatsen. Hastighet och låg latens är stora bekymmer för DNS, så protokollet fungerar över UDP istället för TCP. DNS är en kritisk del av internetens infrastruktur, och bandbredd som konsumeras av DNS-förfrågningar är i allmänhet minimal.
Däremot växte DNS långsamt, med nya funktioner som gradvis tillsattes över tiden. Detta innebar ett problem: DNS hade en paketstorlek på 512 byte, vilket inte räckte för alla nya funktioner. Så 1999 publicerade IEEE specifikationen för förlängningsmekanismer för DNS (EDNS), vilket ökade locket till 4096 byte, vilket möjliggör att mer information inkluderas i varje förfrågan.
Denna förändring gjorde dock DNS sårbar för "förstärkningsattacker". En angripare kan skicka speciellt utformade förfrågningar till DNS-servrar och begär stora mängder information och begär att de skickas till deras måladress. En "förstärkning" skapas eftersom serverns svar är mycket större än förfrågan som genererar den, och DNS-servern skickar sitt svar till den smidda IP.
Många DNS-servrar är inte konfigurerade för att upptäcka eller släppa dåliga förfrågningar, så när angripare upprepade gånger skickar smidiga förfrågningar blir offret översvämmade med stora EDNS-paket som överbelastar nätverket. Kan inte hantera så mycket data, deras legitima trafik kommer att gå vilse.
Så vad är en Distributed Denial of Service (DDoS) Attack?
En distribuerad denial of service attack är en som har flera (ibland oavsiktliga) angripare. Webbplatser och applikationer är utformade för att hantera många samtidiga anslutningar. T.ex. webbplatser skulle inte vara mycket användbara om bara en person kunde besöka åt gången. Jätte tjänster som Google, Facebook eller Amazon är utformade för att hantera miljontals eller tiotals miljoner samtidiga användare. På grund av det är det inte möjligt för en enskild angripare att sätta ner dem med anfall av tjänstegang. Men många angripare kunde.
Den vanligaste metoden att rekrytera attacker är genom en botnet. I en botn infekterar hackare alla typer av internetanslutna enheter med skadlig kod. Dessa enheter kan vara datorer, telefoner eller till och med andra enheter i ditt hem, som DVR och säkerhetskameror. När de smittats, kan de använda de här enheterna (kallas zombies) för att regelbundet kontakta ett kommando- och kontrollservern för att få instruktioner. Dessa kommandon kan sträcka sig från att bryta cryptocurrencies till ja, delta i DDoS-attacker. På så sätt behöver de inte ha massor av hackare till band - de kan använda de osäkra enheterna hos vanliga hemmaanvändare för att göra sitt smutsiga arbete.
Andra DDoS-attacker kan utföras frivilligt, vanligtvis av politiskt motiverade skäl. Kunder som Low Orbit Ion Cannon gör DoS-attacker enkla och är lätta att distribuera. Tänk på att det är olagligt i de flesta länder att (avsiktligt) delta i en DDoS-attack.
Slutligen kan vissa DDoS-attacker vara oavsiktliga. Ursprungligen kallad Slashdot-effekten och generaliserad som "kramen för döden" kan stora volymer av legitim trafik störa en webbplats. Du har antagligen sett detta hända förut - en populär webbplatslänkar till en liten blogg och en stor tillströmning av användare av misstag sätter ner webbplatsen. Tekniskt klassificeras detta fortfarande som DDoS, även om det inte är avsiktligt eller skadligt.
Hur kan jag skydda mig mot avslag på serviceattacker?
Vanliga användare behöver inte oroa sig för att vara målet för beteendeangrepp. Med undantag för streamers och pro gamers är det väldigt sällsynt att en DoS pekar på en individ. Med detta sagt borde du fortfarande göra det bästa du kan för att skydda alla enheter från skadlig kod som kan göra dig en del av en botnät.
Om du är en administratör för en webbserver, finns det dock en mängd information om hur du skyddar dina tjänster mot DoS-attacker. Serverkonfiguration och apparater kan mildra vissa attacker. Andra kan förhindras genom att säkerställa att oautentiserade användare inte kan utföra operationer som kräver stora serverresurser. Tyvärr bestäms en DoS-attacks framgång oftast av vem som har det större röret. Tjänster som Cloudflare och Incapsula erbjuder skydd genom att stå framför webbplatser, men kan vara dyra.