Niedostępność usługi w informatyce nazywana jest odmową usługi (DoS). Te blokady usług są zwykle skutkami ubocznymi przeciążania poszczególnych elementów infrastruktury IT. Jeśli ten stan jest celowo powodowany przez podmioty zewnętrzne, mówi się o: Atak DOS. Atakujący celowo wysyła do docelowego systemu więcej żądań, niż jest w stanie obsłużyć. Urządzenia sieciowe, systemy operacyjne lub poszczególne usługi serwerowe mogą być używane w taki sposób, że nie mogą w ogóle lub z opóźnieniem odpowiadać na zwykłe żądania. Ta procedura jest szczególnie skuteczna, gdy system otrzymuje żądania z różnych komputerów. W przeciwieństwie do ataków DoS, te ataki DDoS opierają się na rozległych botnetach.

Ataki DDoS/DoS na dużą skalę

Powszechna forma DoS nazywa się „rozproszona odmowa usługi» (DDoS). W tym wariancie cyberprzestępcy nie działają z jednego atakującego komputera, ale ładują docelowe systemy żądaniami z kilku komputerów, które można łączyć w gigantyczne botnety.

Ataki DDoS i DoS - czym są i jak walczyć?

Taka sieć komputerów może generować znacznie większy ruch danych niż proste ataki DoS, które są wykonywane tylko z jednego systemu. W ten sposób ataki DDoS mają poważny wpływ na ofiary, które na ogół mają niewielkie szanse na odkrycie rzeczywistego źródła ataku. Ponieważ napastnicy, którzy zakładają tego typu botnet, używają specjalnych agentów oprogramowania, które są umieszczane na niewystarczająco chronionych komputerach w Internecie i są centralnie kontrolowane bez wiedzy operatora. Ta „infekcja” często pojawia się na kilka miesięcy przed faktycznym atakiem DDoS.

Jak wygląda atak DDoS?

Każdy Atak DDoS w oparciu o większą sieć komputerową. Teoretycznie sieć ta może faktycznie należeć do napastnika – jednak w praktyce jest to niemal bez wyjątku sieć botów, która często składa się z setek tysięcy komputerów. Zaatakowane komputery są zainfekowane złośliwym oprogramowaniem, które umożliwia cyberprzestępcom zdalny dostęp do nich bez zauważenia. W grę wchodzą urządzenia takie jak routery, kamery bezpieczeństwa itp.

hakerskie GIF-y

Mając za sobą odpowiednią sieć komputerową, atakujący często może łatwo wykonać zaplanowany atak DDoS. Ponieważ aby osiągnąć swój cel, jakim jest zatrzymanie docelowej usługi, potrzebuje ona teraz tylko odpowiedniego punktu ataku na system lub sieć ofiary. Po wykryciu takiego backdoora może wysłać niezbędne polecenia do swojej armii botów, aby w żądanym czasie przeprowadzić falę ataków DDoS.

Jakie są rodzaje ataków DoS i DDoS?

W przeciwieństwie do innych ataków cyberprzestępców, ataki DoS i DDoS nie mają na celu infiltracji systemu. Mogą jednak być częścią takiego włamania. Na przykład, gdy system jest sparaliżowany, aby odwrócić uwagę od ataku na inny system. Jeśli odpowiedź serwera jest opóźniona z powodu ataków DDoS lub DDoS, hakerzy mogą również manipulować żądaniami do przeciążonego systemu z fałszywymi odpowiedziami. Strategie leżące u podstaw takich ataków można podzielić na trzy kategorie:

  • przeciążenie pasma
  • przeciążenie zasobów systemowych
  • Wykorzystywanie błędów oprogramowania i luk w zabezpieczeniach.

Przeciążenie przepustowości

cel przeciążenie pasma - uniemożliwić dostęp do komputera. W tym przypadku ataki DoS i DDoS są skierowane bezpośrednio na sieć i powiązane z nią podłączone urządzenia.

Na przykład router może jednocześnie przetwarzać tylko określoną ilość danych. Jeśli ta pojemność zostanie w pełni wykorzystana przez atak, odpowiednie usługi nie będą już dostępne dla innych użytkowników. Klasyczny atak DDoS w celu przeciążenia dostępu szerokopasmowego - to atak smerfów.

Atak smerfów Ten atak DDoS wykorzystuje protokół ICMP (Internet Control Message Protocol), który służy do wymiany informacji i komunikatów o błędach w sieciach komputerowych. Atakujący wysyła fałszywe pakiety ICMP echo request (ping) na adres rozgłoszeniowy sieci komputerowej i używa adresu IP celu ataku jako adresu nadawcy.

Router sieciowy przekazuje żądanie rozgłoszeniowe do wszystkich podłączonych urządzeń, powodując, że każde z nich wysyła odpowiedź na adres nadawcy (pong). Duża sieć z dużą liczbą podłączonych urządzeń może znacznie zmniejszyć przepustowość celu ataku.

Przeciążanie zasobów systemowych

Jeśli atak DoS lub DDoS jest skierowany na zasoby systemowe, osoby atakujące wykorzystują fakt, że serwery internetowe mogą nawiązać tylko ograniczoną liczbę połączeń.

Kodowanie Looney Tunes GIF autorstwa Looney Tunes World of Mayhem

Jeśli są wypełnione bezsensownymi lub nieważnymi żądaniami, usługi serwerowe dla zwykłych użytkowników mogą zostać skutecznie zablokowane. Klasycznymi wzorcami ataków DDoS na zasoby systemowe są powodzi HTTP, powodzi ping, powodzi SYN i powodzi UDP.

Powódź HTTP. W tej prostej wersji ataku DDoS polegającego na przeciążeniu zasobów osoba atakująca zalewa docelowy serwer sieciowy dużą liczbą żądań HTTP. W tym celu wystarczy mu wywołać dowolne strony projektu docelowego, aż serwer zawali się pod obciążeniem żądań.

Ping powódź. Cyberprzestępcy wykorzystują również pakiety ICMP „Echo Request” dla tego wzorca ataku. Są one zwykle wysyłane masowo przez botnety w celu atakowania celów. Ponieważ system docelowy musi odpowiedzieć pakietem danych (pong) na każde z tych żądań (ping), powolne systemy mogą zostać poważnie spowolnione z powodu zalania pingami.

SYN powodzi. Ten wzorzec ataku jest nadużyciem trójetapowego uzgadniania protokołu TCP. TCP (Transmission Control Protocol) to protokół sieciowy, który wraz z IP umożliwia bezstratną transmisję danych przez Internet. Połączenie TCP jest zawsze nawiązywane z uwierzytelnianiem trójskładnikowym. W tym celu klient wysyła do serwera pakiet synchronizacji (SYN). Jest odbierany przez serwer, a także odpowiada pakietem synchronizacji (SYN) i potwierdzeniem (ACK). Połączenie jest zakończone potwierdzeniem po stronie klienta (ACK). Jeśli tak się nie stanie, systemy mogą zostać skutecznie sparaliżowane, ponieważ serwer nie przechowuje w pamięci ostatecznie potwierdzonych połączeń. Jeśli duża liczba tych tak zwanych połączeń półotwartych zostanie zebrana w wyniku zalania SYN, dostępne zasoby serwera mogą w pewnych okolicznościach być całkowicie zajęte.

powódź UDP. W tym ataku cyberprzestępcy polegają na bezpołączeniowym protokole User Datagram Protocol (UDP). W przeciwieństwie do transmisji przez TCP, dane mogą być również przesyłane przez UDP bez nawiązywania połączenia. Dlatego w kontekście ataków DoS i DDoS pakiety UDP są wysyłane w dużych ilościach do losowo wybranych portów w systemie docelowym. System bezskutecznie próbuje określić, która aplikacja czeka na przesłane dane, a następnie wysyła pakiet ICMP z powrotem do nadawcy z komunikatem „miejsce docelowe nieosiągalne”. Jeśli system jest obciążony licznymi żądaniami tego typu, wykorzystanie zasobów może poważnie ograniczyć dostępność dla zwykłych użytkowników.

Wykorzystywanie błędów i luk w zabezpieczeniach

Jeśli atakujący jest świadomy pewnych luk w zabezpieczeniach systemu operacyjnego lub programu, ataki DoS i DDoS mogą być zaprojektowane w taki sposób, aby żądania powodowały błędy oprogramowania, a nawet awarie systemu. Przykładami tego typu wzorców ataku są „ping of death” i atak Landa.

Ping śmierci. Celem tego ataku jest spowodowanie awarii systemu, którego dotyczy problem. W tym celu atakujący wykorzystują błędy implementacji w protokole internetowym (IP). Pakiety IP są zwykle wysyłane we fragmentach. Jeśli wraz z ponownym składaniem pakietów zostaną wysłane nieprawidłowe informacje, niektóre systemy operacyjne mogą zostać nakłonione do wygenerowania pakietów IP, które są większe niż maksymalne dozwolone 64 KB. Może to prowadzić do „przepełnienia bufora”, w którym nadmiernie duże ilości danych powodują nadpisanie sąsiadujących komórek pamięci w docelowym obszarze pamięci.

Atak lądowy. W takim przypadku atakujący wysyła pakiet SYN w ramach trójetapowego uzgadniania TCP, z adresami docelowymi i źródłowymi, które pasują do atakowanego serwera. Powoduje to, że serwer wysyła do siebie odpowiedź na żądanie w postaci pakietu SYN/ACK. Można to zinterpretować jako nowe żądanie połączenia, na które z kolei należy odpowiedzieć pakietem SYN/ACK. Stwarza to sytuację, w której system stale odpowiada na własne żądania, co może doprowadzić do awarii.

Jak zapobiegać i zmniejszać liczbę ataków?

Opracowano różne środki bezpieczeństwa w celu przeciwdziałania przeciążeniu systemów informatycznych atakami DoS i DDoS. Sugerują punkty wyjścia identyfikacja krytycznych adresów IP oraz naprawianie znanych luk w zabezpieczeniach. Ważne jest również zapewnienie zasobów sprzętowych i programowych, które można wykorzystać do zrekompensowania drobnych ataków.

Czarne listy IP

Czarne listy pozwalają zidentyfikować krytyczne adresy IP i bezpośrednio odrzucić pakiety danych. Ten środek bezpieczeństwa można wdrożyć ręcznie lub automatycznie za pomocą dynamicznie tworzonych czarnych list przez zaporę.

Wirus trojański - historia występowania, sposoby unikania, rodzaje

filtracja

Aby odfiltrować zauważalne pakiety danych, możesz zdefiniować limity ilości danych w określonym przedziale czasu. Należy jednak zauważyć, że serwery proxy czasami powodują, że wielu klientów o tym samym adresie IP rejestruje się na serwerze i może być blokowanych bez uzasadnionego powodu.

kup tanio laptop w Mińsku

Pliki cookie SYN

Pliki cookie SYN mają na celu wyeliminowanie luk w zabezpieczeniach podczas nawiązywania połączenia TCP. W przypadku zastosowania tego zabezpieczenia informacje o pakietach SYN nie są już przechowywane na serwerze, ale wysyłane do klienta w postaci kryptograficznych plików cookie. Ataki typu SYN flood wykorzystują moc obliczeniową, ale nie obciążają pamięci systemu docelowego.

Wirus trojański - co to jest, krótka historia, kto go wymyślił

Równoważenie obciążenia

Skutecznym środkiem zaradczym jest dzielenie obciążenia między różne systemy, co jest możliwe dzięki równoważeniu obciążenia. Obciążenie sprzętowe świadczonych usług jest rozłożone na wiele maszyn fizycznych. W ten sposób ataki DoS i DDoS mogą być w pewnym stopniu przechwytywane.

5 1 głos
Oceń artykuł
Subskrybuj
powiadomienia
0 Komentarz
Informacje zwrotne w linii
Zobacz wszystkie komentarze