atak DDoS (ang. Distributed Denial of Service) to próba awarii serwera www lub systemu internetowego poprzez przytłaczanie go danymi. Ataki DDoS mogą być zwykłą psotą, zemstą lub haktywizmem i mogą obejmować drobne irytacje, a także długoterminowe przestoje skutkujące utratą działalności.
w lutym 2018 roku hakerzy zaatakowali GitHub atakami DDoS o wartości 1,35 terabajtów danych na sekundę. To zmasowany atak i wątpliwe, czy będzie to ostatni tego typu atak.,
Pobierz darmowy ebook testowanie środowiska Active Directory
w przeciwieństwie do oprogramowania ransomware lub ataków grup APT, które są motywowane finansowo, ataki DDoS są bardziej uciążliwe i denerwujące. Jak źle może być? Tysiące zapalonych graczy nie mogło dostać się na Classic WoW z powodu ataku DDoS! Chodzi o to, że napastnicy nie zarabiają na ataku DDoS – robią to po prostu, aby spowodować ból.,
- DoS vs DDoS
- wpływ na bezpieczeństwo
- rodzaje ataków
- zapobieganie
- ataki DDoS dzisiaj
- FAQ ataków DDoS
jak działa atak DDoS?
ataki DDoS najczęściej działają przez botnety – dużą grupę rozproszonych komputerów, które działają ze sobą w zgodzie –jednocześnie spamując stronę internetową lub dostawcę usług żądaniami danych.
atakujący używają złośliwego oprogramowania lub niepasowanych luk w zabezpieczeniach, aby zainstalować oprogramowanie Command and Control (C2) w systemach użytkownika w celu utworzenia botnetu., Ataki DDoS polegają na dużej liczbie komputerów w botnecie, aby osiągnąć pożądany efekt, a najprostszym i najtańszym sposobem uzyskania kontroli nad wieloma maszynami jest wykorzystanie exploitów.
atak DYNDNS wykorzystał Kamery WIFI z domyślnymi hasłami do stworzenia ogromnego botnetu. Po przygotowaniu botnetu atakujący wysyłają polecenie start do wszystkich węzłów botnetu, a następnie wysyłają zaprogramowane żądania do serwera docelowego., Jeśli atak przekroczy zewnętrzną obronę, szybko przytłacza większość systemów, powoduje przerwy w świadczeniu usług, aw niektórych przypadkach powoduje awarię serwera. Efektem końcowym ataku DDoS jest przede wszystkim utrata wydajności lub przerwa w świadczeniu usług – klienci nie widzą strony internetowej.
choć może to zabrzmieć łagodnie, koszt ataku DDoS w 2017 roku wyniósł średnio 2,5 miliona dolarów. Kaspersky informuje, że ataki DDoS kosztują małe firmy 120 000 USD, a przedsiębiorstwa 2 000 000 USD. Hakerzy angażują się w ataki DDoS za wszystko, od dziecinnych żartów po zemstę na biznesie i wyrażanie politycznego aktywizmu.,
ataki DDoS są nielegalne na mocy ustawy o oszustwach i nadużyciach komputerowych. Rozpoczęcie ataku DDoS na sieć bez pozwolenia będzie kosztować cię do 10 lat więzienia i do 500 000 dolarów grzywny.
Jaka jest różnica między atakiem DoS a DDoS?
atak typu Denial of Service (DoS) obejmuje wiele rodzajów ataków, wszystkie mające na celu zakłócenie działania usług. Oprócz DDoS, możesz mieć DoS warstwy aplikacji, advanced persistent DoS i DoS jako usługę. Firmy będą używać DoS jako usługi do testowania swoich sieci.,
W skrócie, DDoS jest jednym z rodzajów ataków DoS – jednak DoS może również oznaczać, że atakujący użył pojedynczego węzła do zainicjowania ataku, zamiast używać botnetu. Obie definicje są poprawne.
co oznacza atak DDoS dla mojego bezpieczeństwa?
musisz przygotować się i zaplanować zarządzanie atakiem DDoS na twoje systemy. Musisz monitorować, generować alerty i szybko diagnozować trwający atak DDoS. Następnym krokiem jest szybkie zamknięcie ataku bez wpływu na użytkowników., Możesz zablokować adresy IP za pomocą zapory następnej generacji lub zamknąć ruch przychodzący do docelowego systemu i przełączać awaryjnie na kopię zapasową. Istnieją inne plany odpowiedzi, które możesz wdrożyć, upewnij się, że je masz.
typowe rodzaje ataków DDoS
istnieje kilka różnych sposobów, w jaki atakujący utrwalają atak DDoS. Oto niektóre z najbardziej rozpoznawalnych:
ataki DDoS w warstwie aplikacji
ataki DDoS w warstwie aplikacji mają na celu wyczerpanie zasobów obiektu docelowego i zakłócenie dostępu do jego strony internetowej lub usługi., Atakujący ładują boty skomplikowanym żądaniem, które obciąża serwer docelowy, gdy próbuje odpowiedzieć. Żądanie może wymagać dostępu do bazy danych lub dużych pobrań. Jeśli cel otrzyma kilka milionów tych żądań w krótkim czasie, może bardzo szybko zostać przytłoczony i albo spowolniony do pełzania, albo całkowicie zamknięty.
atak powodziowy HTTP, na przykład, jest atakiem warstwy aplikacji, który atakuje serwer WWW na docelowym serwerze i wykorzystuje wiele szybkich żądań HTTP, aby doprowadzić serwer do awarii. Potraktuj to jako naciśnięcie przycisku odświeżania w trybie szybkiego strzału na kontrolerze gry., Ten rodzaj ruchu z wielu tysięcy komputerów na raz szybko utopi serwer WWW.
ataki protokołu
ataki protokołu DDoS skierowane są na warstwę sieciową docelowych systemów. Ich celem jest przytłoczenie przestrzeni tabel podstawowych usług sieciowych, zapory sieciowej lub load balancer, które przesyłają żądania do celu.
ogólnie rzecz biorąc, usługi sieciowe działają poza kolejką pierwszego wejścia, pierwszego wyjścia (FIFO). Pierwsze żądanie przychodzi, komputer przetwarza żądanie, a następnie przechodzi i pobiera następne żądanie w kolejce tak dalej., Teraz jest ograniczona liczba miejsc w tej kolejce, a w ataku DDoS kolejka może stać się tak ogromna, że nie ma zasobów dla komputera, aby poradzić sobie z pierwszym żądaniem.
atak SYN flood jest specyficznym atakiem protokołu. W standardowej transakcji sieciowej TCP / IP istnieje trójdrożny uścisk dłoni. Są to SYN, ACK I SYN-ACK. SYN jest pierwszą częścią, która jest jakimś żądaniem, ACK jest odpowiedzią od celu, a SYN-ACK jest oryginalnym żądaniem mówiącym ” dzięki, dostałem informacje, o które prosiłem.,”W ataku SYN flood atakujący tworzą Pakiety SYN z fałszywymi adresami IP. Następnie cel wysyła ACK na fałszywy adres, który nigdy nie odpowiada, a następnie siedzi tam i czeka na wszystkie odpowiedzi do time out, co z kolei wyczerpuje zasoby do przetwarzania wszystkich tych fałszywych transakcji.
ataki wolumetryczne
celem ataku wolumetrycznego jest użycie botnetu do wygenerowania dużej ilości ruchu i zablokowania prac na celu. Pomyśl o ataku powodziowym HTTP, ale z dodanym wykładniczym komponentem odpowiedzi., Na przykład, jeśli ty i 20 twoich znajomych zadzwoniliście do tej samej pizzerii i zamówiliście 50 ciast w tym samym czasie, Pizzeria nie byłaby w stanie spełnić tych próśb. Ataki wolumetryczne działają na tej samej zasadzie. Żądają czegoś od celu, co znacznie zwiększy rozmiar odpowiedzi, a ilość ruchu eksploduje i zatyka serwer.
wzmocnienie DNS jest rodzajem ataku wolumetrycznego., W tym przypadku atakują serwer DNS bezpośrednio i żądają dużej ilości danych z serwera DNS, co może doprowadzić serwer DNS w dół i sparaliżować każdego, kto używa tego serwera DNS do usług rozpoznawania nazw.
jak można zapobiec atakom DDoS?
jak GitHub przetrwał ten ogromny atak DDoS? Planowanie i przygotowanie, oczywiście. Po 10 minutach przerywanych przestojów Serwery GitHub aktywowały usługę łagodzenia ataków DDoS., Służby ograniczające przekierowały ruch przychodzący i wyczyściły złośliwe Pakiety, a około 10 minut później napastnicy zrezygnowali.
oprócz płacenia za usługi łagodzenia ataków DDoS od firm takich jak Cloudflare i Akamai, możesz zastosować standardowe środki bezpieczeństwa punktów końcowych. Popraw swoje serwery, trzymaj Serwery Memcached z dala od otwartego internetu i szkol użytkowników, aby rozpoznali ataki phishingowe.
Możesz włączyć Routing czarnej dziury podczas ataku DDoS, aby wysłać cały ruch do otchłani., Możesz skonfigurować ograniczenie szybkości, aby ograniczyć liczbę żądań, które serwer dostaje w krótkim czasie. Odpowiednio skonfigurowana zapora ogniowa może również chronić Twoje serwery.
Varonis monitoruje twoje DNS, VPN, Serwery Proxy i dane, aby pomóc wykryć oznaki zbliżającego się ataku DDoS na Twoją sieć firmową. Varonis śledzi wzorce zachowań i generuje ostrzeżenia, gdy bieżące zachowanie pasuje do modelu zagrożenia lub odbiega od standardowego zachowania. Może to obejmować ataki botnetu złośliwego oprogramowania lub znaczny wzrost ruchu sieciowego, który wskazuje na atak DDoS.,
ataki DDoS dzisiaj
podobnie jak Wszystko inne w komputerach, ataki DDoS ewoluują i stają się bardziej destrukcyjne dla biznesu. Rozmiary ataków rosną, od 150 żądań na sekundę w latach 90-tych – co obniżyłoby wydajność serwera z tamtej epoki – do niedawnych ataków DYNDNS i GitHub o odpowiednio 1,2 TBs i 1,35 TBs. Celem obu tych ataków było zakłócenie dwóch głównych źródeł wydajności na całym świecie.
ataki te wykorzystywały nowe techniki, aby osiągnąć ogromną liczbę przepustowości., Atak Dyn wykorzystał exploit znaleziony w urządzeniach Internet of Things (IoT) do stworzenia botnetu, zwanego Mirai Botnet attack. Mirai użyła otwartych portów telnet i domyślnych haseł, aby przejąć kamery obsługujące Wi-Fi w celu przeprowadzenia ataku. Ten atak był dziecinnym żartem, ale przedstawił poważną lukę, która wiąże się z rozprzestrzenianiem urządzeń IoT.
atak GitHub wykorzystywał wiele tysięcy serwerów z Memcached w otwartym Internecie, systemie buforowania pamięci o otwartym źródle., Memcached chętnie odpowiada ogromnymi ilościami danych na proste żądania, więc pozostawienie tych serwerów w otwartym Internecie jest zdecydowanym Nie-Nie.
oba te ataki wykazują znaczne ryzyko przyszłych exploitów, zwłaszcza że wszechświat IoT nadal się rozwija. Jak fajnie byłoby, gdyby twoja lodówka była częścią botnetu? Z drugiej strony, GitHub nie został nawet powalony przez atak.
Co więcej, ataki DDoS nigdy nie były łatwiejsze do wykonania., Dzięki wielu opcjom DDoS-as-a-Service złośliwi aktorzy mogą uiścić nominalną opłatę za „wypożyczenie” botnetu zainfekowanych komputerów w celu przeprowadzenia ataku DDoS przeciwko wybranemu celowi.
we wrześniu 2019 roku atakujący zaatakowali zarówno Wikipedię, jak i klasyczny World of Warcraft atakami DDoS. Obecnie nie ma żadnych oznak, że te ataki są nową technologią, ale bądźcie czujni na wszelkie aktualizacje.
DDoS Attack FAQ
szybkie spojrzenie na odpowiedzi na Często zadawane pytania dotyczące ataków DDoS.
p: co się dzieje podczas ataku DDoS?,
A: podczas ataku DDoS rozproszone Komputery – botnet – spamują cel z jak największą liczbą żądań danych.
p: czy ataki DDoS są nielegalne?
a: tak, używanie technik DDoS do zakłócania celu bez pozwolenia jest nielegalne. Dobrą praktyką jest skonfigurowanie ćwiczenia DDoS, dzięki czemu można ćwiczyć plan reagowania na incydenty w przypadku ataków DDoS, co jest legalnym wykorzystaniem DDoS.
p: w przypadku ataku DDoS, jaki kanał komunikacyjny jest powszechnie używany do zorganizowania ataku?
A: żądania HTTP, DNS i TCP/IP są powszechnymi protokołami używanymi do ataków DDoS.