Τι είναι η άρνηση εξυπηρέτησης και οι επιθέσεις DDoS;
Οι επιθέσεις DoS (Denial of Service) και DDoS (Distributed Denial of Service) γίνονται όλο και συχνότερες και ισχυρότερες. Οι επιθέσεις άρνησης παροχής υπηρεσιών έρχονται σε πολλές μορφές, αλλά έχουν κοινό σκοπό: να σταματήσουν τους χρήστες από την πρόσβαση σε έναν πόρο, είτε πρόκειται για μια ιστοσελίδα, για το ηλεκτρονικό ταχυδρομείο, για το τηλεφωνικό δίκτυο ή για κάτι άλλο εξ ολοκλήρου. Ας δούμε τους πιο συνηθισμένους τύπους επιθέσεων εναντίον στόχων ιστού και πώς το DoS μπορεί να γίνει DDoS.
Τα πιο κοινά είδη επιθέσεων άρνησης εξυπηρέτησης (DoS)
Στον πυρήνα της, μια επίθεση Denial of Service εκτελείται συνήθως με την πλημμύρα ενός διακομιστή - ας πούμε, του διακομιστή ενός ιστότοπου - τόσο πολύ που δεν είναι σε θέση να παρέχει τις υπηρεσίες του σε νόμιμους χρήστες. Υπάρχουν μερικοί τρόποι με τους οποίους μπορεί να γίνει αυτό, οι πιο συνηθισμένες είναι οι επιθέσεις πλημμύρας TCP και οι επιθέσεις ενίσχυσης DNS.
Επιθέσεις πλημμυρών TCP
Σχεδόν όλη η διαδικτυακή (HTTP / HTTPS) κίνηση πραγματοποιείται χρησιμοποιώντας το πρωτόκολλο ελέγχου μετάδοσης (TCP). Το TCP έχει περισσότερα έξοδα από το εναλλακτικό πρωτόκολλο User Datagram Protocol (UDP), αλλά έχει σχεδιαστεί για να είναι αξιόπιστο. Δύο υπολογιστές συνδεδεμένοι μεταξύ τους μέσω TCP θα επιβεβαιώσουν την παραλαβή κάθε πακέτου. Εάν δεν παρέχεται επιβεβαίωση, το πακέτο πρέπει να αποσταλεί ξανά.
Τι συμβαίνει εάν αποσυνδεθεί ένας υπολογιστής; Ίσως ένας χρήστης να χάσει την τροφοδοσία, ο ISP έχει αποτύχει ή οποιαδήποτε εφαρμογή που χρησιμοποιεί, χωρίς να ενημερώσει τον άλλο υπολογιστή. Ο άλλος πελάτης πρέπει να σταματήσει να στέλνει ξανά το ίδιο πακέτο ή αλλιώς σπαταλάει πόρους. Για να αποφευχθεί η αδιάλειπτη μετάδοση, καθορίζεται μια χρονική διάρκεια και / ή ένα όριο για το πόσες φορές ένα πακέτο μπορεί να αποσταλεί ξανά πριν από την πλήρη απομάκρυνση της σύνδεσης.
Το TCP σχεδιάστηκε για να διευκολύνει την αξιόπιστη επικοινωνία μεταξύ στρατιωτικών βάσεων σε περίπτωση καταστροφής, όμως αυτό το σχέδιο αφήνει ευάλωτο σε επιθέσεις άρνησης παροχής υπηρεσιών. Όταν δημιουργήθηκε το TCP, κανείς δεν αντιλήφθηκε ότι θα χρησιμοποιηθεί από πάνω από ένα δισεκατομμύριο συσκευές πελάτη. Η προστασία από σύγχρονες επιθέσεις άρνησης παροχής υπηρεσιών δεν ήταν απλώς μέρος της διαδικασίας σχεδιασμού.
Η πιο συνηθισμένη επίθεση άρνησης εξυπηρέτησης κατά των διακομιστών ιστού πραγματοποιείται μέσω ανεπιθύμητων μηνυμάτων πακέτων SYN (συγχρονισμού). Η αποστολή ενός πακέτου SYN είναι το πρώτο βήμα για την εκκίνηση μιας σύνδεσης TCP. Αφού λάβει το πακέτο SYN, ο διακομιστής αποκρίνεται με ένα πακέτο SYN-ACK (επιβεβαίωση συγχρονισμού). Τέλος, ο πελάτης στέλνει ένα πακέτο ACK (επιβεβαίωση), ολοκληρώνοντας τη σύνδεση.
Ωστόσο, εάν ο πελάτης δεν ανταποκρίνεται στο πακέτο SYN-ACK μέσα σε καθορισμένο χρόνο, ο διακομιστής στέλνει ξανά το πακέτο και περιμένει μια απάντηση. Θα επαναλάβει αυτή τη διαδικασία ξανά και ξανά, η οποία μπορεί να σπαταλήσει χρόνο μνήμης και επεξεργαστή στο διακομιστή. Στην πραγματικότητα, εάν γίνει αρκετά, μπορεί να σπαταλήσει τόση μνήμη και χρόνο επεξεργαστή ώστε οι νόμιμοι χρήστες να περιορίσουν τις συνεδρίες τους ή να μην μπορούν να ξεκινήσουν νέες συνεδρίες. Επιπλέον, η αυξημένη χρήση εύρους ζώνης από όλα τα πακέτα μπορεί να καταστήσει κορεσμένα τα δίκτυα, καθιστώντας τα αδύνατα να μεταφέρουν την κίνηση που πραγματικά θέλουν.
Επιθέσεις ενίσχυσης DNS
Οι επιθέσεις άρνησης εξυπηρέτησης μπορούν επίσης να στοχεύουν στους διακομιστές DNS: τους διακομιστές που μεταφράζουν ονόματα τομέα (όπως το howtogeek.com) στις διευθύνσεις IP (12.345.678.900) που χρησιμοποιούν οι υπολογιστές για να επικοινωνούν. Όταν πληκτρολογείτε howtogeek.com στο πρόγραμμα περιήγησής σας, αποστέλλεται σε διακομιστή DNS. Στη συνέχεια, ο διακομιστής DNS σάς κατευθύνει στον πραγματικό ιστότοπο. Η ταχύτητα και η χαμηλή λανθάνουσα κατάσταση είναι σημαντικές ανησυχίες για το DNS, επομένως το πρωτόκολλο λειτουργεί μέσω του UDP αντί του TCP. Το DNS είναι ένα κρίσιμο μέρος της υποδομής του διαδικτύου και το εύρος ζώνης που καταναλώνεται από τα αιτήματα DNS είναι γενικά ελάχιστο.
Ωστόσο, το DNS αυξήθηκε αργά, με νέες λειτουργίες να προστίθενται σταδιακά με την πάροδο του χρόνου. Αυτό εισήγαγε ένα πρόβλημα: το DNS είχε ένα όριο μεγέθους πακέτου 512 bytes, το οποίο δεν ήταν αρκετό για όλα αυτά τα νέα χαρακτηριστικά. Έτσι, το 1999, το IEEE δημοσίευσε τις προδιαγραφές για τους μηχανισμούς επέκτασης για DNS (EDNS), οι οποίοι αύξησαν το ανώτατο όριο στα 4096 bytes, επιτρέποντας να συμπεριληφθούν περισσότερες πληροφορίες σε κάθε αίτηση.
Αυτή η αλλαγή, ωστόσο, έκανε το DNS ευάλωτο σε "επιθέσεις ενίσχυσης". Ένας εισβολέας μπορεί να στείλει ειδικά δημιουργημένα αιτήματα στους διακομιστές DNS, ζητώντας μεγάλα ποσά πληροφοριών και ζητώντας τους να σταλούν στη διεύθυνση IP του προορισμού τους. Δημιουργείται "ενίσχυση" επειδή η απάντηση του διακομιστή είναι πολύ μεγαλύτερη από το αίτημα που το δημιουργεί και ο διακομιστής DNS θα στείλει την απάντησή του στην πλαστή διεύθυνση IP.
Πολλοί διακομιστές DNS δεν έχουν ρυθμιστεί ώστε να ανιχνεύουν ή να ρίχνουν κακά αιτήματα, οπότε όταν οι εισβολείς στέλνουν επανειλημμένα πλαστά αιτήματα, το θύμα κατακλύζεται με τεράστια πακέτα EDNS, τα οποία συγκλίνουν στο δίκτυο. Δεν είναι δυνατή η διαχείριση πολλών δεδομένων, η νόμιμη κυκλοφορία τους θα χαθεί.
Επομένως, τι είναι μια επίθεση της Distributed Denial of Service (DDoS)?
Μια κατανεμημένη επίθεση άρνησης εξυπηρέτησης είναι αυτή που έχει πολλαπλούς (μερικές φορές εν ανεπιθύμητους) επιτιθέμενους. Οι ιστότοποι και οι εφαρμογές έχουν σχεδιαστεί για να χειρίζονται πολλές ταυτόχρονες συνδέσεις - τελικά, οι ιστότοποι δεν θα ήταν πολύ χρήσιμοι αν μόνο ένα άτομο μπορούσε να επισκεφθεί κάθε φορά. Οι γιγαντιαίες υπηρεσίες όπως το Google, το Facebook ή το Amazon έχουν σχεδιαστεί για να χειρίζονται εκατομμύρια ή δεκάδες εκατομμύρια ταυτόχρονων χρηστών. Εξαιτίας αυτού, δεν είναι εφικτό για έναν μόνο επιτιθέμενο να τα βγάλει κάτω με μια επίθεση άρνησης εξυπηρέτησης. Αλλά Πολλά οι επιτιθέμενοι θα μπορούσαν.
Η πιο κοινή μέθοδος προσέλκυσης εισβολέων είναι μέσω ενός botnet. Σε ένα botnet, οι χάκερ μολύνουν όλα τα είδη συσκευών που συνδέονται στο διαδίκτυο με κακόβουλο λογισμικό. Αυτές οι συσκευές μπορεί να είναι υπολογιστές, τηλέφωνα ή ακόμα και άλλες συσκευές στο σπίτι σας, όπως DVR και κάμερες ασφαλείας. Μόλις μολυνθούν, μπορούν να χρησιμοποιήσουν αυτές τις συσκευές (που ονομάζονται ζόμπι) για να επικοινωνούν περιοδικά με ένα διακομιστή εντολών και ελέγχου για να ζητήσουν οδηγίες. Αυτές οι εντολές μπορούν να κυμαίνονται από κρυπτοσυχνότητες εξόρυξης έως ναι, συμμετέχοντας σε επιθέσεις DDoS. Με αυτόν τον τρόπο, δεν χρειάζονται αρκετούς hackers για να ενώσουν μαζί τους - μπορούν να χρησιμοποιήσουν τις ανασφαλείς συσκευές των κανονικών οικιακών χρηστών για να κάνουν τη βρώμικη δουλειά τους.
Άλλες επιθέσεις DDoS μπορούν να πραγματοποιηθούν οικειοθελώς, συνήθως για πολιτικούς λόγους. Οι πελάτες όπως το Low Orbit Ion Cannon κάνουν τις επιθέσεις DoS απλές και είναι εύκολο να διανεμηθούν. Λάβετε υπόψη ότι είναι παράνομο στις περισσότερες χώρες να (εκ προθέσεως) να συμμετάσχουν σε επίθεση DDoS.
Τέλος, ορισμένες επιθέσεις DDoS μπορεί να είναι ακούσιες. Αρχικά αναφερόμενο ως το φαινόμενο Slashdot και γενικευμένο ως «αγκαλιά του θανάτου», τεράστιοι όγκοι νόμιμης κυκλοφορίας μπορούν να μολύνουν έναν ιστότοπο. Έχετε δει πιθανώς αυτό να συμβεί πριν - μια δημοφιλής τοποθεσία συνδέει με ένα μικρό blog και μια τεράστια εισροή των χρηστών κατά λάθος φέρει την περιοχή κάτω. Από τεχνική άποψη, αυτό εξακολουθεί να ταξινομείται ως DDoS, ακόμη και αν δεν είναι σκόπιμο ή κακόβουλο.
Πώς μπορώ να προστατεύσω τον εαυτό μου από επιθέσεις άρνησης εξυπηρέτησης?
Οι τυπικοί χρήστες δεν χρειάζεται να ανησυχούν για το στόχο των επιθέσεων άρνησης παροχής υπηρεσιών. Με την εξαίρεση των streamers και pro gamers, είναι πολύ σπάνιο ένα DoS να υποδεικνύεται σε ένα άτομο. Ωστόσο, θα πρέπει να κάνετε ό, τι μπορείτε για να προστατέψετε όλες τις συσκευές σας από κακόβουλο λογισμικό που θα μπορούσε να σας κάνει μέρος ενός botnet.
Αν είστε διαχειριστής ενός διακομιστή ιστού, ωστόσο, υπάρχουν πολλές πληροφορίες σχετικά με τον τρόπο εξασφάλισης των υπηρεσιών σας κατά των επιθέσεων DoS. Η διαμόρφωση και οι συσκευές του διακομιστή μπορούν να μετριάσουν κάποιες επιθέσεις. Άλλοι μπορούν να αποφευχθούν διασφαλίζοντας ότι οι χρήστες με μη αυθεντικό τρόπο δεν μπορούν να εκτελέσουν λειτουργίες που απαιτούν σημαντικούς πόρους διακομιστή. Δυστυχώς, η επιτυχία μιας επίθεσης DoS καθορίζεται συνήθως από το ποιος έχει το μεγαλύτερο σωλήνα. Υπηρεσίες όπως Cloudflare και Incapsula προσφέρουν προστασία στέκεται μπροστά από ιστοσελίδες, αλλά μπορεί να είναι δαπανηρές.