Что такое отказ в обслуживании и DDoS-атаки?

DoS (отказ в обслуживании) и DDoS (распределенный отказ в обслуживании) становятся все более распространенными и мощными атаками. Атаки типа «отказ в обслуживании» бывают разных форм, но имеют общую цель: запретить пользователям доступ к ресурсу, будь то веб-страница, электронная почта, телефонная сеть или что-то еще целиком. Давайте посмотрим на наиболее распространенные типы атак на веб-цели, и как DoS может стать DDoS.

Наиболее распространенные типы атак типа «отказ в обслуживании» (DoS)

По своей сути атака типа «отказ в обслуживании» обычно выполняется путем заполнения сервера, скажем, сервера веб-сайта, настолько, что он не может предоставлять свои услуги законным пользователям. Есть несколько способов, которыми это может быть выполнено, наиболее распространенными из которых являются атаки по переполнению TCP и атаки по усилению DNS..

Атаки по TCP

Почти весь веб-трафик (HTTP / HTTPS) выполняется с использованием протокола управления передачей (TCP). TCP имеет больше служебных данных, чем альтернативный протокол пользовательских дейтаграмм (UDP), но он разработан для обеспечения надежности. Два компьютера, соединенные друг с другом через TCP, подтвердят получение каждого пакета. Если подтверждение не предоставлено, пакет должен быть отправлен снова.

Что произойдет, если один компьютер отключится? Возможно, пользователь теряет питание, у его провайдера возникает сбой, или какое-либо приложение, которое он использует, завершает работу без уведомления другого компьютера. Другой клиент должен прекратить повторную отправку того же пакета, иначе он тратит ресурсы впустую. Чтобы предотвратить бесконечную передачу, указывается продолжительность тайм-аута и / или устанавливается ограничение на то, сколько раз пакет может быть отправлен повторно до полного разрыва соединения..

Протокол TCP был разработан для обеспечения надежной связи между военными базами в случае бедствия, но именно эта конструкция делает его уязвимым для атак отказа в обслуживании. Когда был создан протокол TCP, никто не предполагал, что его будут использовать более миллиарда клиентских устройств. Защита от современных атак отказа в обслуживании просто не была частью процесса проектирования.

Наиболее распространенная атака типа «отказ в обслуживании» на веб-серверы выполняется путем рассылки спам-пакетов SYN (синхронизация). Отправка пакета SYN является первым шагом инициации TCP-соединения. После получения пакета SYN сервер отвечает пакетом SYN-ACK (подтверждение синхронизации). Наконец, клиент отправляет пакет ACK (подтверждение), завершая соединение.

Однако, если клиент не отвечает на пакет SYN-ACK в течение установленного времени, сервер снова отправляет пакет и ожидает ответа. Он будет повторять эту процедуру снова и снова, что может привести к потере памяти и процессорного времени на сервере. На самом деле, если сделать это достаточно, это может привести к потере памяти и процессорного времени, из-за чего законные пользователи могут прервать свои сеансы, или новые сеансы не могут начаться. Кроме того, увеличенное использование полосы пропускания всеми пакетами может насыщать сети, делая их неспособными переносить трафик, который они на самом деле хотят.

Усиление DNS-атак

Атаки отказа в обслуживании также могут быть нацелены на DNS-серверы: серверы, которые переводят доменные имена (например, howtogeek.com) в IP-адреса (12.345.678.900), которые компьютеры используют для связи. Когда вы набираете howtogeek.com в своем браузере, он отправляется на DNS-сервер. Затем DNS-сервер направляет вас на реальный веб-сайт. Скорость и низкая задержка являются основными проблемами для DNS, поэтому протокол работает по протоколу UDP вместо TCP. DNS является важной частью инфраструктуры Интернета, и пропускная способность, используемая DNS-запросами, как правило, минимальна.

Тем не менее, DNS медленно рос, с течением времени постепенно добавляя новые функции. Это создало проблему: ограничение размера пакета в DNS составляло 512 байт, что было недостаточно для всех этих новых функций. Так, в 1999 году IEEE опубликовал спецификацию для механизмов расширения для DNS (EDNS), которая увеличила ограничение до 4096 байт, позволяя включать больше информации в каждый запрос.

Это изменение, однако, сделало DNS уязвимым для «атак усиления». Злоумышленник может отправлять специально созданные запросы на DNS-серверы, запрашивая большое количество информации и запрашивая их отправку на IP-адрес своего целевого объекта. «Усиление» создается, потому что ответ сервера намного больше, чем запрос, генерирующий его, и DNS-сервер отправит свой ответ на поддельный IP.

Многие DNS-серверы не настроены на обнаружение или отбрасывание неверных запросов, поэтому, когда злоумышленники неоднократно отправляют поддельные запросы, жертва наводняется огромными пакетами EDNS, которые перегружают сеть. Невозможно обработать так много данных, их законный трафик будет потерян.

Так что же такое атака распределенного отказа в обслуживании (DDoS)?

Распределенная атака типа «отказ в обслуживании» - это атака нескольких (иногда невольных) злоумышленников. Веб-сайты и приложения предназначены для обработки множества одновременных подключений - в конце концов, веб-сайты не будут очень полезны, если за один раз может посетить только один человек. Гигантские сервисы, такие как Google, Facebook или Amazon, предназначены для обслуживания миллионов или десятков миллионов одновременно работающих пользователей. Из-за этого ни один злоумышленник не может уничтожить их атакой отказа в обслуживании. Но много злоумышленники могли.

Наиболее распространенный метод вербовки злоумышленников - через ботнет. В ботнете хакеры заражают вредоносными программами все виды подключенных к Интернету устройств. Такими устройствами могут быть компьютеры, телефоны или даже другие устройства в вашем доме, такие как видеорегистраторы и камеры безопасности. После заражения они могут использовать эти устройства (так называемые зомби), чтобы периодически связываться с сервером управления и контроля и запрашивать инструкции. Эти команды могут варьироваться от майнинга криптовалют до участия в DDoS-атаках. Таким образом, им не нужна куча хакеров, чтобы объединиться - они могут использовать небезопасные устройства обычных домашних пользователей, чтобы выполнять свою грязную работу..

Другие DDoS-атаки могут выполняться добровольно, обычно по политическим мотивам. Такие клиенты, как Low Orbit Ion Cannon, делают DoS-атаки простыми и легко распространяемыми. Имейте в виду, что в большинстве стран незаконно (намеренно) участвовать в DDoS-атаке.

Наконец, некоторые DDoS-атаки могут быть непреднамеренными. Первоначально упоминаемый как эффект Slashdot и обобщенный как «объятие смерти», огромные объемы законного трафика могут нанести вред сайту. Возможно, вы уже видели это раньше - популярный сайт ссылается на небольшой блог, и огромный поток пользователей случайно закрывает его. Технически, это все еще классифицируется как DDoS, даже если это не преднамеренное или злонамеренное.

Как я могу защитить себя от атак типа «отказ в обслуживании»?

Обычным пользователям не нужно беспокоиться о том, что они являются целью атак типа «отказ в обслуживании». За исключением стримеров и профессиональных геймеров, DoS очень редко указывают на человека. Тем не менее, вы все равно должны делать все возможное, чтобы защитить все свои устройства от вредоносных программ, которые могут сделать вас частью ботнета.

Однако, если вы являетесь администратором веб-сервера, вы найдете много информации о том, как защитить ваши сервисы от DoS-атак. Конфигурация сервера и устройства могут смягчить некоторые атаки. Другие могут быть предотвращены, гарантируя, что неаутентифицированные пользователи не могут выполнять операции, которые требуют значительных ресурсов сервера. К сожалению, успех DoS-атаки чаще всего определяется тем, у кого больший канал. Такие сервисы, как Cloudflare и Incapsula, обеспечивают защиту, стоя перед веб-сайтами, но могут быть дорогими.