Dăunătorile de serviciu (Denial of Service) și atacurile DDoS (Denial Distributed of Service) devin tot mai frecvente și mai puternice. Denegarea atacurilor de serviciu vine în mai multe forme, dar are un scop comun: oprirea accesului utilizatorilor la o resursă, fie că este vorba de o pagină web, de e-mail, de rețeaua de telefon sau de altceva în întregime. Să examinăm cele mai frecvente tipuri de atacuri împotriva țintelor web și modul în care DoS poate deveni DDoS.
În centrul său, un atac de Denial of Service este efectuat în mod obișnuit prin inundarea unui server-say, serverul unui site web - atât de mult încât acesta nu poate să ofere servicii utilizatorilor legitimi. Există câteva moduri în care acest lucru poate fi efectuat, cele mai frecvente fiind atacurile de inundare TCP și atacurile de amplificare DNS.
Aproape orice trafic web (HTTP / HTTPS) este realizat folosind Transmission Control Protocol (TCP). TCP are mai mult decît alternativa, User Datagram Protocol (UDP), dar este proiectat să fie fiabil. Două calculatoare conectate între ele prin TCP vor confirma primirea fiecărui pachet. Dacă nu este furnizată nicio confirmare, pachetul trebuie trimis din nou.
Ce se întâmplă dacă un computer este deconectat? Poate că un utilizator își pierde puterea, ISP-ul are un eșec sau orice aplicație pe care o utilizează, fără a informa celălalt computer. Celălalt client trebuie să oprească re-trimiterea aceluiași pachet, altfel pierde resurse. Pentru a împiedica transmisia fără sfârșit, este specificată o durată de expirare și / sau o limită de câte ori poate fi trimis un pachet înainte de a renunța complet la conexiune.
TCP a fost conceput pentru a facilita comunicarea fiabilă între bazele militare în caz de dezastru, însă acest design îl lasă vulnerabil la atacurile de negare a serviciilor. Când a fost creat TCP, nimeni nu a imaginat că va fi utilizat de peste un miliard de dispozitive client. Protecția împotriva atacurilor moderne de negare a serviciilor nu a fost doar o parte a procesului de proiectare.
Cel mai des intalnit atac de negare a serviciului impotriva serverelor web se realizeaza prin spam-ul pachetelor SYN (sincronizare). Trimiterea unui pachet SYN este primul pas de inițiere a unei conexiuni TCP. După primirea pachetului SYN, serverul răspunde cu un pachet SYN-ACK (confirmare sincronizare). În cele din urmă, clientul trimite un pachet ACK (confirmare), finalizând conexiunea.
Cu toate acestea, dacă clientul nu răspunde pachetului SYN-ACK într-un interval de timp stabilit, serverul trimite din nou pachetul și așteaptă un răspuns. Va repeta această procedură din nou și din nou, ceea ce poate duce la pierderea timpului de memorie și procesor pe server. De fapt, dacă este suficient de eficient, acesta poate pierde atât de mult timp de memorie și de procesor, încât utilizatorii legitimi își pot scurta sesiunile, sau sesiunile noi nu pot începe. În plus, utilizarea crescută a lărgimii de bandă din toate pachetele poate să retușească rețelele, ceea ce le face imposibil să efectueze traficul pe care îl doresc de fapt.
Atacurile privind atacurile de tip "denial of service" pot avea ca scop și serverele DNS: serverele care traduc nume de domenii (cum ar fi howtogeek.com) în adrese IP (12.345.678.900) pe care computerele le utilizează pentru a comunica. Când tastați howtogeek.com în browser-ul dvs., acesta va fi trimis la un server DNS. Serverul DNS vă direcționează apoi către site-ul Web actual. Viteza și latența redusă sunt preocupări majore pentru DNS, astfel încât protocolul operează peste UDP în loc de TCP. DNS este o parte esențială a infrastructurii internetului, iar lățimea de bandă consumată de cererile DNS este, în general, minimă.
Cu toate acestea, DNS a crescut încet, cu noi caracteristici adăugate treptat în timp. Aceasta a introdus o problemă: DNS avea o limită de dimensiune a pachetelor de 512 octeți, ceea ce nu era suficient pentru toate aceste caracteristici noi. Deci, în 1999, IEEE a publicat caietul de sarcini pentru mecanismele de extindere pentru DNS (EDNS), care a mărit capacul la 4096 octeți, permițând includerea mai multor informații în fiecare cerere.
Această schimbare, cu toate acestea, a făcut DNS vulnerabil la "atacurile de amplificare". Un atacator poate trimite cereri special create către serverele DNS, solicitând cantități mari de informații și solicitându-le să fie trimise la adresa IP a țintă. Se creează o "amplificare" deoarece răspunsul serverului este mult mai mare decât cererea generatoare, iar serverul DNS va trimite răspunsul la adresa IP forjată.
Multe servere DNS nu sunt configurate pentru a detecta sau elimina solicitări greșite, astfel încât atunci când atacatorii trimite în mod repetat cereri forjate, victima este inundată cu pachete EDNS imense, congestionând rețeaua. Nu pot gestiona atât de multe date, traficul lor legitim va fi pierdut.
Un atac distribuit de refuz al serviciului este unul care are mai mulți atacatori (uneori nedoriți). Site-urile web și aplicațiile sunt concepute pentru a face față multor conexiuni concurente - în definitiv, site-urile web nu ar fi foarte utile dacă o singură persoană ar putea vizita la un moment dat. Servicii gigante cum ar fi Google, Facebook sau Amazon sunt concepute pentru a gestiona milioane sau zeci de milioane de utilizatori concurenți. Din acest motiv, nu este posibil ca un singur atacator să-i aducă în jos cu un atac de refuz al serviciului. Dar mulți atacatorii ar putea.
Cea mai obișnuită metodă de recrutare a atacatorilor este printr-un botnet. Într-un botnet, hackerii infectează tot felul de dispozitive conectate la internet cu programe malware. Aceste dispozitive pot fi computere, telefoane sau chiar alte dispozitive în casa dvs., cum ar fi DVR-urile și camerele de securitate. Odată infectate, pot folosi aceste dispozitive (numite zombi) pentru a contacta periodic un server de comandă și de control pentru a cere instrucțiuni. Aceste comenzi pot varia de la criptocurrentele miniere până la da, participând la atacurile DDoS. În felul acesta, nu au nevoie de o tona de hackeri care să se unească împreună - pot folosi dispozitivele nesigure ale utilizatorilor obișnuiți la domiciliu pentru a-și face munca murdară.
Alte atacuri DDoS pot fi efectuate în mod voluntar, de obicei din motive motivate politic. Clienții, cum ar fi Low Orbit Ion Cannon, fac atacurile DoS simple și sunt ușor de distribuit. Rețineți că în majoritatea țărilor este ilegal să participați (intenționat) la un atac DDoS.
În cele din urmă, unele atacuri DDoS pot fi neintenționate. Inițial denumit efectul Slashdot și generalizat ca "îmbrățișarea morții", volume imense de trafic legitim pot strica un site web. Probabil ați văzut acest lucru înainte de a fi făcut-un site popular link-uri către un mic blog și un mare aflux de utilizatori aduce accidental site-ul în jos. Din punct de vedere tehnic, acesta este încă clasificat ca DDoS, chiar dacă nu este intenționat sau rău intenționat.
Utilizatorii tipici nu trebuie să-și facă griji pentru a fi ținta atacurilor de negare a serviciilor. Cu excepția streamers și pro gamers, este foarte rar pentru un DoS să fie arătat la un individ. Acestea fiind spuse, ar trebui să faceți tot ce puteți pentru a vă proteja toate dispozitivele împotriva malware-ului care vă poate face parte dintr-un botnet.
Cu toate acestea, dacă sunteți un administrator al unui server web, există o mulțime de informații despre cum să vă asigurați serviciile împotriva atacurilor DoS. Configurarea și dispozitivele serverului pot atenua anumite atacuri. Altele pot fi prevenite prin faptul că utilizatorii neautorizați nu pot efectua operațiuni care necesită resurse server semnificative. Din păcate, succesul unui atac de DoS este cel mai adesea determinat de cine are conducta mai mare. Servicii cum ar fi Cloudflare și Incapsula oferă protecție prin a sta în fața site-urilor web, dar pot fi costisitoare.
