DDoS útoky (nazývané Distribuované odmítnutí služby, ve volném překladu: distribuované odmítnutí služby) patří mezi nejčastější hackerské útoky, které jsou směrovány na počítačové systémy nebo síťové služby a jsou navrženy tak, aby zabíraly všechny dostupné a volné zdroje, aby zabránit fungování celé služby na internetu (např. hostované na vašem webu a e-mailu).
Co je útok DDoS?
Útok DDoS spočívá v provádění útoku současně z mnoha míst současně (z mnoha počítačů). Takový útok se provádí hlavně z počítačů, nad nimiž byla převzata kontrola, pomocí speciálního softwaru (např. Roboty a trojské koně). To znamená, že vlastníci těchto počítačů možná ani nevědí, že jejich počítač, notebook nebo jiné zařízení připojené k síti může být bez jejich vědomí použito pouze k útoku DDoS.
DDoS útok začne, když všechny napadené počítače začnou útočit na webovou službu nebo systém oběti současně. Cíl útoku DDoS je pak zaplaven falešnými pokusy o použití služeb (mohou to být například pokusy o volání na web nebo jiné požadavky).
Proč útok DDoS způsobuje přerušení služby?
Každý pokus o použití služby (např. Pokus o zavolání webové stránky) vyžaduje, aby napadený počítač přidělil příslušné prostředky na vyřízení tohoto požadavku (např. Procesor, paměť, šířka pásma sítě), což při velkém počtu takových požadavků vede k vyčerpání dostupných zdrojů a v důsledku toho přerušení provozu nebo dokonce pozastavení napadeného systému.
Jak se chránit před útoky DDoS?
DDoS útoky jsou v současné době nejpravděpodobnější hrozbou pro společnosti působící v síti a jejich důsledky přesahují pouze oblast IT, ale také způsobují skutečné, měřitelné finanční a obrazové ztráty. Útoky tohoto typu se neustále vyvíjejí a jsou stále přesnější. Jejich účelem je spotřebovat všechny dostupné zdroje síťové infrastruktury nebo připojení k internetu.
Můžete najít nabídky na ochranu před útoky DDoS na internetu. Aktivace takové ochrany před útoky DDoS se nejčastěji provádí změnou záznamů DNS, které směrují veškerý provoz HTTP / HTTPS přes filtrační vrstvu, ve které se provádí podrobná kontrola každého paketu a dotazu.
Poté pokročilé algoritmy i správně definovaná pravidla odfiltrují chybné pakety a pokusy o útok, takže na váš server bude chodit pouze čistý provoz. Společnosti chránící před útoky DDoS mají umístění v různých částech světa, díky čemuž mohou efektivně blokovat útoky u zdroje a také poskytovat statická data z nejbližšího datového centra, což zkracuje dobu načítání stránky.
DDoS útok a jeho vydírání je zločin
Hrozba útoku DDoS se někdy používá k vydírání společností, např. aukční stránky, makléřské společnosti apod., kde se přerušení transakčního systému promítne do přímých finančních ztrát pro společnost a její klienty. V takových případech lidé za útokem požadují výkupné, aby útok zrušili nebo zastavili. Takové vydírání je zločin.
Jak se chránit před útoky DoS / DDoS
Zjednodušeně řečeno, útoky DoS jsou formou škodlivé činnosti, jejímž cílem je přivést počítačový systém do bodu, kdy nemůže sloužit legitimním uživatelům nebo správně provádět zamýšlené funkce. Chyby v softwaru (software) nebo nadměrné zatížení síťového kanálu nebo systému jako celku obvykle vedou ke stavu „odmítnutí služby“. Výsledkem je, že software nebo celý operační systém stroje „zhroutí“ nebo se ocitne ve stavu „smyčky“. A to hrozí prostojem, ztrátou návštěvníků / zákazníků a ztrátami.
Anatomie útoku DoS
DoS útoky jsou klasifikovány jako lokální a vzdálené. Místní exploity zahrnují různé exploity, vidlicové bomby a programy, které pokaždé otevírají milion souborů nebo spouští kruhový algoritmus, který spotřebovává paměť a prostředky procesoru. Nebudeme se tím vším zabývat. Podívejme se blíže na vzdálené útoky DoS. Jsou rozděleny do dvou typů:
Vzdálené využívání softwarových chyb za účelem vyřazení z provozu.
Povodeň - zaslání obrovského množství nesmyslných (méně často smysluplných) paketů na adresu oběti. Povodňovým cílem může být komunikační kanál nebo prostředky stroje. V prvním případě paketový proud zabírá celou šířku pásma a nedává napadenému počítači schopnost zpracovávat legitimní požadavky. Ve druhém jsou prostředky stroje zachyceny opakovanými a velmi častými voláními jakékoli služby, která provádí složitou operaci náročnou na prostředky. Může to být například dlouhé volání jedné z aktivních komponent (skriptu) webového serveru. Server utrácí všechny prostředky stroje za zpracování požadavků útočníka a uživatelé musí čekat.
V tradiční verzi (jeden útočník - jedna oběť) je nyní účinný pouze první typ útoků. Klasická povodeň je zbytečná. Jen proto, že s dnešní šířkou pásma serverů, úrovní výpočetního výkonu a rozšířeným používáním různých anti-DoS technik v softwaru (například zpoždění, když stejný klient opakovaně provádí stejné akce), se útočník promění v otravného komára, který je nebyl schopen způsobit žádné, ani nedošlo k žádnému poškození.
Pokud však těchto komárů jsou stovky, tisíce nebo dokonce stovky tisíc, mohou server snadno nasadit na lopatky. Dav je strašná síla nejen v životě, ale také v počítačovém světě. Útok DDoS (distribuovaný odmítnutí služby), obvykle prováděný pomocí mnoha zombifikovaných hostitelů, může odříznout i ten nejnáročnější server od okolního světa.
Metody řízení
Nebezpečí většiny DDoS útoků spočívá v jejich absolutní transparentnosti a „normálnosti“. Koneckonců, pokud lze softwarovou chybu vždy opravit, je úplná spotřeba zdrojů téměř běžným jevem. Mnoho administrátorů jim čelí, když prostředky zařízení (šířka pásma) nestačí, nebo web trpí efektem Slashdot (twitter.com se stal nedostupným během několika minut po první zprávě o smrti Michaela Jacksona). A pokud snížíte provoz a zdroje pro všechny v řadě, budete uloženi z DDoS, ale přijdete o dobrou polovinu svých zákazníků.
Z této situace prakticky neexistuje žádná cesta, ale důsledky DDoS útoků a jejich efektivitu lze výrazně snížit správnou konfigurací routeru, firewallu a neustálé analýzy anomálií v síťovém provozu. V další části článku se podíváme na:
způsoby, jak rozpoznat počínající útok DDoS;
metody řešení konkrétních typů DDoS útoků;
obecné rady, které vám pomohou připravit se na útok DoS a snížit jeho účinnost.
Na samém konci bude odpověď na otázku: co dělat, když začal útok DDoS.
Bojujte proti povodňovým útokům
Existují tedy dva typy útoků DoS / DDoS a nejběžnější z nich je založen na myšlence zaplavení, tj. Zaplavení oběti velkým počtem paketů. Povodeň se liší: povodeň ICMP, povodeň SYN, povodeň UDP a povodeň HTTP. Moderní roboti DoS mohou používat všechny tyto typy útoků současně, takže byste měli předem zajistit dostatečnou ochranu proti každému z nich. Příklad, jak se bránit před nejběžnějším typem útoků.
HTTP Flood
Jedna z nejrozšířenějších metod záplav v současnosti. Je založen na nekonečném odesílání zpráv HTTP GET na portu 80 za účelem načtení webového serveru tak, aby nemohl zpracovat všechny ostatní požadavky. Cíl zaplavení často není kořenem webového serveru, ale jedním ze skriptů, které provádějí úkoly náročné na zdroje nebo pracují s databází. V každém případě bude neobvykle rychlý růst protokolů webového serveru sloužit jako indikátor zahájeného útoku.
Mezi metody řešení záplavy HTTP patří vyladění webového serveru a databáze, aby se zmírnil dopad útoku, a také filtrování robotů DoS pomocí různých technik. Nejprve byste měli zvýšit maximální počet připojení k databázi současně. Za druhé, nainstalujte lehký a efektivní nginx před webový server Apache - bude ukládat do mezipaměti požadavky a sloužit staticky. Toto je nutné řešení, které nejen sníží účinek útoků DoS, ale také umožní serveru odolat enormnímu zatížení.
V případě potřeby můžete použít modul nginx, který omezuje počet současných připojení z jedné adresy. Skripty náročné na zdroje lze před roboty chránit pomocí zpoždění, tlačítek „Klikni na mě“, nastavení souborů cookie a dalších triků zaměřených na kontrolu „lidskosti“.
Univerzální tipy
Abyste se během kolapsu bouře DDoS v systémech nedostali do beznadějné situace, musíte je na takovou situaci pečlivě připravit:
Všechny servery s přímým přístupem k externí síti musí být připraveny na rychlý a snadný vzdálený restart. Velkým plusem bude přítomnost druhého, administrativního, síťového rozhraní, přes které budete mít přístup k serveru v případě ucpání hlavního kanálu.
Software používaný na serveru musí být vždy aktuální. Všechny díry jsou opraveny, aktualizace jsou nainstalovány (jednoduché jako spuštění, rady, které mnozí nedodržují). To vás ochrání před útoky DoS, které využívají chyby ve službách.
Všechny naslouchající síťové služby určené pro administrativní použití musí firewall skrýt před každým, kdo by k nim neměl mít přístup. Útočník je pak nebude moci použít pro útoky DoS nebo útoky hrubou silou.
U přístupů k serveru (nejbližšímu směrovači) by měl být nainstalován systém analýzy provozu, který umožní včas se dozvědět o probíhajícím útoku a přijmout včasná opatření k jeho prevenci.
Je třeba poznamenat, že všechny techniky jsou zaměřeny na snížení účinnosti útoků DDoS, jejichž cílem je využití zdrojů stroje. Je téměř nemožné bránit se před povodněmi, které ucpávají kanál troskami, a jediným správným, ale ne vždy proveditelným způsobem boje je „zbavit útok smyslu“. Pokud máte k dispozici opravdu široký kanál, který snadno umožní provoz z malého botnetu, zvažte, že je váš server chráněn před 90% útoků.
Existuje sofistikovanější obrana. Je založen na organizaci distribuované počítačové sítě, která zahrnuje mnoho redundantních serverů připojených k různým páteřním sítím. Když dojde výpočetní výkon nebo šířka pásma kanálu, jsou všichni noví klienti přesměrováni na jiný server nebo postupně. "
Dalším více či méně efektivním řešením je nákup hardwarových systémů. Při práci v tandemu mohou potlačit začínající útok, ale stejně jako většina ostatních řešení založených na učení a analýze stavu selžou.
Zdá se, že to začalo. Co dělat?
Před okamžitým zahájením útoku se roboti „zahřáli“ a postupně zvyšovali tok paketů k napadenému stroji. Je důležité využít okamžik a začít jednat. K tomu vám pomůže neustálé sledování routeru připojeného k externí síti. Na serveru oběti můžete určit začátek útoku pomocí dostupných prostředků.