DDoS-hyökkäykset (nimeltään Distributed Denial of Service, ilmaisessa käännöksessä: hajautettu palvelunestohyökkäys) ovat yleisimpiä hakkereiden hyökkäyksiä, jotka on suunnattu tietokonejärjestelmiin tai verkkopalveluihin ja joiden tarkoituksena on käyttää kaikkia käytettävissä olevia ja ilmaisia resursseja estää koko Internet-palvelun (esim. verkkosivustosi ja sähköpostiisi isännöimä) toiminnan.
Mikä on DDoS-hyökkäys?
DDoS-hyökkäys koostuu hyökkäyksen suorittamisesta samanaikaisesti useista paikoista samanaikaisesti (monista tietokoneista). Tällainen hyökkäys tehdään pääasiassa tietokoneista, joiden hallintaa on käytetty, käyttämällä erityisiä ohjelmistoja (esim. Botit ja troijalaiset). Tämä tarkoittaa, että näiden tietokoneiden omistajat eivät edes tiedä, että heidän tietokonettaan, kannettavaa tietokonetta tai muuta verkkoon liitettyä laitetta voidaan käyttää ilman heidän tietoisuuttaan DDoS-hyökkäyksen suorittamiseen.
DDoS-hyökkäys alkaa, kun kaikki vaarantuneet tietokoneet alkavat hyökätä uhrin verkkopalveluun tai järjestelmään samanaikaisesti. DDoS-hyökkäyksen kohde tulvii sitten väärillä yrityksillä käyttää palveluja (esimerkiksi yrityksiä soittaa verkkosivustolle tai muita pyyntöjä).
Miksi DDoS-hyökkäys aiheuttaa palvelun keskeytyksiä?
Jokainen yritys käyttää palvelua (esim. Yritys soittaa verkkosivustolle) edellyttää, että hyökkäyksen kohteena oleva tietokone allokoi asianmukaiset resurssit tämän pyynnön palvelemiseen (esim. Prosessori, muisti, verkon kaistanleveys), mikä johtaa hyvin suureen määrään tällaisia pyyntöjä. käytettävissä olevien resurssien ehtyminen ja seurauksena hyökkäyksen kohteena olevan järjestelmän toiminnan keskeyttäminen tai jopa keskeyttäminen.
Kuinka suojautua DDoS-hyökkäyksiltä?
DDoS-hyökkäykset ovat tällä hetkellä todennäköisin uhka verkossa toimiville yrityksille, ja niiden seuraukset ulottuvat pelkästään IT-alueen ulkopuolelle, mutta aiheuttavat myös todellisia, mitattavissa olevia taloudellisia ja imagohäviöitä. Tämän tyyppiset hyökkäykset kehittyvät jatkuvasti ja tarkentuvat. Niiden tarkoituksena on kuluttaa kaikki käytettävissä olevat verkkoinfrastruktuurin tai Internet-yhteyden resurssit.
Löydät tarjouksia suojauksesta DDoS-hyökkäyksiltä Internetistä. Useimmiten tällaisen suojauksen aktivointi DDoS-hyökkäyksiä vastaan tapahtuu muuttamalla DNS-tietueita, jotka ohjaavat kaiken HTTP / HTTPS-liikenteen suodatuskerroksen läpi, jossa jokaisen paketin ja kyselyn yksityiskohtainen tarkastus suoritetaan.
Sitten edistyneet algoritmit sekä oikein määritellyt säännöt suodattavat virheelliset paketit ja hyökkäysyritykset, joten vain puhdas liikenne menee palvelimellesi. DDoS-hyökkäyksiltä suojaavilla yrityksillä on sijainteja eri puolilla maailmaa, minkä ansiosta ne voivat estää tehokkaasti hyökkäykset lähteellä sekä palvella staattista dataa lähimmästä palvelinkeskuksesta, mikä vähentää sivun latausaikaa.
DDoS-hyökkäys ja sen kiristäminen on rikos
DDoS-hyökkäyksen uhkaa käytetään joskus yritysten kiristämiseen, esim. huutokauppasivustot, välitysyritykset ja vastaavat, joissa transaktiojärjestelmän keskeytyminen johtaa välittömiin taloudellisiin tappioihin yritykselle ja sen asiakkaille. Tällaisissa tapauksissa hyökkäyksen takana olevat ihmiset vaativat lunnaita hyökkäyksen peruuttamiseksi tai lopettamiseksi. Tällainen kiristys on rikos.
Kuinka suojautua DoS / DDoS-hyökkäyksiltä
Yksinkertaisesti sanottuna DoS-hyökkäykset ovat eräänlaista haitallista toimintaa, jonka tarkoituksena on tuoda tietokonejärjestelmä pisteeseen, jossa se ei voi palvella laillisia käyttäjiä tai suorittaa aiottuja toimintoja oikein. Virheet ohjelmistossa (ohjelmisto) tai liiallinen kuormitus verkkokanavalle tai koko järjestelmälle johtavat yleensä palvelunestotilaan. Tämän seurauksena ohjelmisto tai koneen koko käyttöjärjestelmä "kaatuu" tai joutuu "silmukoituun" tilaan. Ja tämä uhkaa seisokkeja, kävijöiden / asiakkaiden menetyksiä ja menetyksiä.
DoS-hyökkäyksen anatomia
DoS-hyökkäykset luokitellaan paikallisiksi ja etäisiksi. Paikallisiin hyväksikäyttöihin kuuluvat erilaiset hyökkäykset, haarukkapommit ja ohjelmat, jotka avaavat miljoona tiedostoa joka kerta tai suorittavat pyöreän algoritmin, joka kuluttaa muistia ja prosessoriresursseja. Emme aio pysyä kaikessa tässä. Tarkastellaan lähemmin DoS-etähyökkäyksiä. Ne on jaettu kahteen tyyppiin:
Ohjelmistovirheiden etäkäyttö hyödyntämisen estämiseksi.
Tulva - lähetetään valtava määrä merkityksettömiä (harvemmin merkityksellisiä) paketteja uhrin osoitteeseen. Tulvatavoite voi olla tietoliikennekanava tai koneen resurssit. Ensimmäisessä tapauksessa pakettivirta vie koko kaistanleveyden eikä anna hyökätylle koneelle kykyä käsitellä oikeutettuja pyyntöjä. Toisessa koneen resurssit siepataan toistuvilla ja erittäin usein soittamisilla palveluihin, jotka suorittavat monimutkaisen, resursseja kuluttavan toiminnan. Tämä voi olla esimerkiksi pitkä puhelu yhdelle verkkopalvelimen aktiivisista komponenteista (komentosarja). Palvelin käyttää kaikki koneen resurssit hyökkääjän pyyntöjen käsittelyyn, ja käyttäjien on odotettava.
Perinteisessä versiossa (yksi hyökkääjä - yksi uhri) vain ensimmäisen tyyppiset hyökkäykset ovat nyt tehokkaita. Klassinen tulva on hyödytön. Pelkästään siksi, että palvelimien nykyisellä kaistanleveydellä, laskentateholla ja erilaisilla DoS-vastaisilla tekniikoilla (esimerkiksi viivästyy, kun sama asiakas suorittaa toistuvasti samoja toimintoja) hyökkääjä muuttuu ärsyttäväksi hyttyseksi, joka on ei kyennyt aiheuttamaan mitään vahinkoa.
Mutta jos näitä hyttysiä on satoja, tuhansia tai jopa satoja tuhansia, ne voivat helposti laittaa palvelimen sen lapaluihin. Yleisö on kauhea voima paitsi elämässä, myös tietokonemaailmassa. Hajautettu palvelunestohyökkäys (DDoS), joka yleensä suoritetaan käyttämällä monia zombistettuja isäntiä, voi katkaista vaikeimmatkin palvelimet ulkomaailmasta.
Valvontamenetelmät
Useimpien DDoS-hyökkäysten vaara on niiden absoluuttisessa läpinäkyvyydessä ja "normaaluudessa". Loppujen lopuksi, jos ohjelmistovirhe voidaan aina korjata, resurssien täydellinen kulutus on melkein yleistä. Monet järjestelmänvalvojat kohtaavat heidät, kun koneen resurssit (kaistanleveys) eivät riitä tai verkkosivusto kärsii Slashdot-vaikutuksesta (twitter.com ei enää ole käytettävissä muutamassa minuutissa sen jälkeen, kun ensimmäiset uutiset Michael Jacksonin kuolemasta). Ja jos leikkaat liikennettä ja resursseja kaikille peräkkäin, säästät DDoS: sta, mutta menetät hyvän puolet asiakkaistasi.
Tästä tilanteesta ei ole käytännössä mitään ulospääsyä, mutta DDoS-hyökkäysten seurauksia ja niiden tehokkuutta voidaan vähentää merkittävästi määrittämällä reititin, palomuuri ja jatkuvasti analysoimalla verkkoliikenteen poikkeavuuksia. Artikkelin seuraavassa osassa tarkastellaan:
tapoja tunnistaa alkava DDoS-hyökkäys;
menetelmät tietyntyyppisten DDoS-hyökkäysten käsittelemiseksi;
yleisiä neuvoja, jotka auttavat sinua valmistautumaan DoS-hyökkäykseen ja vähentävät sen tehokkuutta.
Lopussa vastataan kysymykseen: mitä tehdä, kun DDoS-hyökkäys alkoi.
Taistelu tulva-iskuja vastaan
Joten DoS / DDoS-hyökkäyksiä on kahta tyyppiä, ja yleisimpiä niistä perustuu tulvien ideaan, toisin sanoen uhrin tulvimiseen valtavalla määrällä paketteja. Tulva on erilainen: ICMP-tulva, SYN-tulva, UDP-tulva ja HTTP-tulva. Nykyaikaiset DoS-botit voivat käyttää kaikkia tämän tyyppisiä hyökkäyksiä samanaikaisesti, joten sinun tulisi huolehtia riittävästä suojasta niitä kaikkia vastaan etukäteen. Esimerkki suojautumisesta yleisintä hyökkäystyyppiä vastaan.
HTTP-tulva
Yksi nykypäivän yleisimmistä tulvamenetelmistä. Se perustuu HTTP GET -viestien loputtomaan lähettämiseen porttiin 80 verkkopalvelimen lataamiseksi siten, että se ei pysty käsittelemään kaikkia muita pyyntöjä. Usein tulvatavoite ei ole verkkopalvelimen juuri, vaan yksi skripteistä, jotka suorittavat resursseja kuluttavia tehtäviä tai työskentelevät tietokannan kanssa. Joka tapauksessa epänormaalisti nopea verkkopalvelinlokien kasvu toimii indikaattorina alkaneesta hyökkäyksestä.
Menetelmät HTTP-tulvan käsittelemiseksi sisältävät verkkopalvelimen ja tietokannan virittämisen hyökkäyksen vaikutusten lieventämiseksi sekä DoS-bottien suodattamisen erilaisilla tekniikoilla. Ensinnäkin, sinun pitäisi lisätä enimmäismäärää yhteyksiä tietokantaan samanaikaisesti. Toiseksi asenna kevyt ja tehokas nginx Apache-verkkopalvelimen eteen - se tallentaa pyynnöt välimuistiin ja palvelee staattisesti. Tämä on pakollinen ratkaisu, joka ei vain vähennä DoS-hyökkäysten vaikutuksia, mutta antaa palvelimen myös kestää valtavia kuormia.
Tarvittaessa voit käyttää nginx-moduulia, joka rajoittaa samanaikaisten yhteyksien määrää yhdestä osoitteesta. Resurssipainotteisia komentosarjoja voidaan suojata robotteilta käyttämällä viiveitä, "Napsauta minua" -painikkeita, asettamalla evästeitä ja muita temppuja, joiden tarkoituksena on tarkistaa "ihmiskunta".
Yleiset vinkit
Jotta et pääse toivottomaan tilanteeseen DDoS-myrskyn romahtamisen aikana järjestelmissä, sinun on valmisteltava ne huolellisesti tällaiseen tilanteeseen:
Kaikkien palvelimien, joilla on suora pääsy ulkoiseen verkkoon, on oltava valmiina nopeaan ja helppoon uudelleenkäynnistykseen. Suuri plus on toisen hallinnollisen verkkoliittymän läsnäolo, jonka kautta pääset palvelimeen, jos pääkanava on tukossa.
Palvelimessa käytettävän ohjelmiston on aina oltava ajan tasalla. Kaikki aukot on korjattu, päivitykset asennetaan (yksinkertainen käynnistys, neuvoja, joita monet eivät noudata). Tämä suojaa sinua palvelun virheitä hyödyntäviltä DoS-hyökkäyksiltä.
Palomuurin on piilotettava kaikki hallinnolliseen käyttöön tarkoitetut kuunteluverkkopalvelut keneltä tahansa, jolla ei pitäisi olla pääsyä niihin. Tällöin hyökkääjä ei voi käyttää niitä DoS-hyökkäyksiin tai raa'an voiman hyökkäyksiin.
Palvelimen (lähimmän reitittimen) lähestyessä tulisi olla asennettuna liikenteen analysointijärjestelmä, joka antaa mahdollisuuden oppia ajoissa käynnissä olevasta hyökkäyksestä ja toteuttaa ajoissa toimenpiteet sen estämiseksi.
On huomattava, että kaikkien tekniikoiden tarkoituksena on vähentää DDoS-hyökkäysten tehokkuutta, joiden tarkoituksena on käyttää koneen resursseja. On melkein mahdotonta puolustautua tulvalta, joka tukkii kanavan roskilla, ja ainoa oikea, mutta ei aina toteutettavissa oleva tapa taistella on "riistää merkityksen hyökkäys". Jos käytössäsi on todella laaja kanava, joka sallii helposti liikenteen pienestä botnet-verkosta, ota huomioon, että palvelimesi on suojattu 90%: n hyökkäyksiltä.
Puolustusta on kehittyneempi. Se perustuu hajautetun tietokoneverkon organisointiin, joka sisältää monia redundantteja palvelimia, jotka on kytketty eri runkoihin. Kun laskentateho tai kanavan kaistanleveys loppuu, kaikki uudet asiakkaat ohjataan toiselle palvelimelle tai vähitellen. "
Toinen enemmän tai vähemmän tehokas ratkaisu on ostaa laitteistojärjestelmiä. Yhdessä työskennellessään he voivat tukahduttaa alkavan hyökkäyksen, mutta kuten useimmat muut oppimiseen ja tilananalyyseihin perustuvat ratkaisut, ne epäonnistuvat.
Se näyttää alkaneen. Mitä tehdä?
Ennen hyökkäyksen välitöntä alkua botit "lämpenevät", mikä lisää asteittain pakettien virtausta hyökkäyksen kohteena olevaan koneeseen. On tärkeää tarttua hetkeen ja ryhtyä toimiin. Ulkoiseen verkkoon liitetyn reitittimen jatkuva valvonta auttaa tässä. Uhripalvelimella voit määrittää hyökkäyksen alkamisen käytettävissä olevien keinojen avulla.