DDoS-rünnakud (vabas tõlkes: hajutatud teenuse keelamine: hajutatud teenuse keelamine) on ühed levinumad häkkerirünnakud, mis on suunatud arvutisüsteemidele või võrguteenustele ning mille eesmärk on hõivata kõik saadaolevad ja tasuta ressursid. takistada kogu Interneti-teenuse (nt teie veebisaidi ja majutatud e-posti) toimimist.
Mis on DDoS-i rünnak?
DDoS-rünnak seisneb rünnaku sooritamises samaaegselt paljudest kohtadest (paljudest arvutitest). Sellist rünnakut tehakse peamiselt arvutitest, mille üle on kontroll tehtud, kasutades spetsiaalset tarkvara (nt robotid ja Trooja hobused). See tähendab, et nende arvutite omanikud ei pruugi isegi teada, et nende arvutit, sülearvutit või muud võrku ühendatud seadet võidakse ilma nende teadmatuseta DDoS-rünnaku korraldamiseks kasutada.
DDoS-rünnak algab siis, kui kõik ohustatud arvutid hakkavad samaaegselt ründama ohvri veebiteenust või süsteemi. DDoS-rünnaku sihtmärk on siis üle ujutatud valede katsetega teenuseid kasutada (näiteks võivad need olla veebisaidile helistamise katsed või muud taotlused).
Miks põhjustab DDoS-i rünnak teenuse katkestusi?
Iga katse teenust kasutada (nt katse veebisaidile helistada) nõuab rünnatud arvutilt selle päringu teenindamiseks asjakohaste ressursside eraldamist (nt protsessor, mälu, võrgu ribalaius), mis väga paljude selliste taotluste korral viib olemasolevate ressursside ammendumine ja selle tagajärjel rünnatud süsteemi töö katkemine või isegi peatamine.
Kuidas end DDoS-rünnakute eest kaitsta?
DDoS-rünnakud on praegu kõige tõenäolisem oht võrgus tegutsevatele ettevõtetele ja nende tagajärjed ulatuvad kaugemale IT-piirkonnast, kuid põhjustavad ka reaalseid, mõõdetavaid rahalisi ja mainekadusid. Seda tüüpi rünnakud arenevad pidevalt ja muutuvad üha täpsemaks. Nende eesmärk on tarbida kõiki võrgu infrastruktuuri või Interneti-ühenduse olemasolevaid ressursse.
Internetist leiate pakkumisi kaitsmiseks DDoS-rünnakute eest. Kõige sagedamini toimub sellise kaitse aktiveerimine DDoS-rünnakute eest DNS-kirjete muutmisega, mis suunab kogu HTTP / HTTPS-liikluse läbi filtreerimiskihi, kus tehakse iga paketi ja päringu üksikasjalik kontroll.
Seejärel filtreerivad täiustatud algoritmid ja õigesti määratletud reeglid ekslikud paketid ja rünnakukatsed välja, nii et teie serverisse läheb ainult puhas liiklus. DDoS-rünnakute eest kaitsvatel ettevõtetel on asukohad maailma erinevates osades, tänu millele saavad nad rünnakud allikas tõhusalt blokeerida, samuti serveerida staatilisi andmeid lähimast andmekeskusest, vähendades nii lehe laadimise aega.
DDoS-i rünnak ja selle väljapressimine on kuritegu
DDoS-i rünnaku ohtu kasutatakse mõnikord ettevõtete väljapressimiseks, nt. oksjonisaidid, maaklerfirmad jms, kus tehingusüsteemi katkemine toob kaasa otseseid rahalisi kahjusid ettevõttele ja klientidele. Sellistel juhtudel nõuavad rünnaku taga olevad inimesed rünnaku tühistamiseks või peatamiseks lunaraha. Selline väljapressimine on kuritegu.
Kuidas kaitsta end DoS / DDoS rünnakute eest
Lihtsamalt öeldes on DoS-rünnakud pahatahtliku tegevuse vorm, mille eesmärk on viia arvutisüsteem sinnamaani, kus see ei saa teenida seaduslikke kasutajaid ega täita ettenähtud funktsioone õigesti. Tarkvara (tarkvara) vead või võrgukanali või süsteemi kui terviku liigne koormus põhjustavad tavaliselt teenuse keelamise tingimuse. Selle tulemusena tarkvara või kogu masina opsüsteem "jookseb kokku" või satub "silmusesse". Ja see ähvardab seisakuid, külastajate / klientide kaotusi ja kaotusi.
DoS-rünnaku anatoomia
DoS-rünnakud liigitatakse kohalikeks ja kaugrünnakuteks. Kohalike ekspluateerimiste hulka kuuluvad erinevad ekspluateerimised, kahvlipommid ja programmid, mis avavad iga kord miljoni faili või käitavad ringalgoritmi, mis sööb ära mälu ja protsessori ressursid. Me ei peatu sellel kõigel. Vaatame lähemalt DoS-i kaugrünnakuid. Need on jagatud kahte tüüpi:
Tarkvaravigade kaugkasutamine selle mittetoimivaks muutmiseks.
Üleujutus - tohutu hulga mõttetute (harvemini sisukate) pakettide saatmine ohvri aadressile. Üleujutuse sihtmärk võib olla sidekanal või masina ressurss. Esimesel juhul võtab pakettvoog kogu ribalaiuse ja ei anna rünnatud masinale õigustatud taotluste töötlemise võimalust. Teises on masina ressursid seotud korduvate ja väga sagedaste kõnedega mis tahes teenusele, mis teostab keerukat ressursimahukat toimingut. See võib olla näiteks pikk kõne veebiserveri ühele aktiivsele komponendile (skriptile). Server kulutab kõik masina ressursid ründaja taotluste töötlemiseks ja kasutajad peavad ootama.
Traditsioonilises versioonis (üks ründaja - üks ohver) on nüüd tõhusad ainult esimest tüüpi rünnakud. Klassikaline uputus on kasutu. Juba seetõttu, et serverite tänapäevase ribalaiuse, arvutusvõimsuse taseme ja mitmesuguste DoS-vastaste tehnikate laialdase kasutamise korral tarkvaras (näiteks viivitused, kui sama klient korduvalt samu toiminguid teeb), muutub ründaja tüütuks sääseks, mis on ei suutnud midagi tekitada ega kahjustada.
Kuid kui neid sääski on sadu, tuhandeid või isegi sadu tuhandeid, võivad nad serveri hõlpsasti oma abaluudele panna. Rahvas on kohutav jõud mitte ainult elus, vaid ka arvutimaailmas. Hajutatud teenuse keelamise (DDoS) rünnak, mis viiakse tavaliselt läbi paljude zombiseeritud hostide abil, võib välistada ka kõige karmima serveri.
Kontrollimeetodid
Enamiku DDoS-rünnakute oht peitub nende absoluutses läbipaistvuses ja "normaalsuses". Lõppude lõpuks, kui tarkvaraviga saab alati parandada, on ressursside täielik tarbimine peaaegu tavaline nähtus. Paljud administraatorid seisavad silmitsi nendega, kui masina ressursid (ribalaius) muutuvad ebapiisavaks või kui veebisait kannab Slashdot-efekti (twitter.com ei saanud mõne minuti jooksul pärast Michael Jacksoni surma esimest teadet). Ja kui vähendate liiklust ja ressursse kõigile järjest, säästate teid DDoS-ist, kuid kaotate tubli poole oma klientidest.
Sellest olukorrast praktiliselt pole pääsu, kuid DDoS-rünnakute tagajärgi ja nende tõhusust saab oluliselt vähendada ruuteri, tulemüüri ja võrguliikluse anomaaliate pideva konfigureerimise abil. Artikli järgmises osas vaatleme:
võimalused algava DDoS-rünnaku tuvastamiseks;
konkreetsete DDoS-rünnakutüüpidega toimetuleku meetodid;
üldised nõuanded, mis aitavad teil DoS-rünnakuks valmistuda ja selle tõhusust vähendada.
Päris lõpus antakse vastus küsimusele: mida teha, kui DDoS-i rünnak algas.
Võitlus üleujutuste rünnakute vastu
Niisiis on DoS / DDoS-rünnakuid kahte tüüpi ja kõige tavalisem neist põhineb üleujutuse ideel, see tähendab ohvri üleujutamisel tohutu hulga pakettidega. Üleujutus on erinev: ICMP üleujutus, SYN üleujutus, UDP üleujutus ja HTTP üleujutus. Kaasaegsed DoS-robotid saavad kõiki seda tüüpi rünnakuid samaaegselt kasutada, nii et peaksite eelnevalt nende eest piisava kaitse tagama. Näide selle kohta, kuidas kaitsta kõige levinumat tüüpi rünnakute eest.
HTTP üleujutus
Üks tänapäeval kõige levinumaid üleujutusmeetodeid. See põhineb HTTP GET-sõnumite lõputul saatmisel pordil 80 veebiserveri laadimiseks nii, et see ei suuda kõiki muid taotlusi töödelda. Tihti pole üleujutuse sihtmärk veebiserveri juur, vaid üks skriptidest, mis täidavad ressursimahukaid ülesandeid või töötavad andmebaasiga. Igal juhul on veebiserveri logide ebanormaalselt kiire kasv indikaatoriks alanud rünnakule.
Meetodid HTTP üleujutuse käsitlemiseks hõlmavad veebiserveri ja andmebaasi häälestamist rünnaku mõju leevendamiseks, samuti DoS-robotite filtreerimist mitmesuguste tehnikate abil. Esiteks peaksite samaaegselt suurendama andmebaasi ühenduste maksimaalset arvu. Teiseks installige Apache veebiserveri ette kerge ja tõhus nginx - see salvestab päringud vahemällu ja töötab staatiliselt. See on kohustuslik lahendus, mis mitte ainult ei vähenda DoS-rünnakute mõju, vaid võimaldab serveril ka tohutut koormust taluda.
Vajadusel saate kasutada moodulit nginx, mis piirab ühelt aadressilt üheaegsete ühenduste arvu. Ressursimahukaid skripte saab robotite eest kaitsta, kasutades viivitusi, nuppe "Vajuta mind", seadistades küpsiseid ja muid trikke, mille eesmärk on kontrollida "inimlikkust".
Universaalsed näpunäited
Et mitte sattuda lootusetusse olukorda süsteemide DDoS-i tormi kokkuvarisemise ajal, peate need selliseks olukorraks hoolikalt ette valmistama:
Kõik serverid, millel on otsene juurdepääs välisele võrgule, peavad olema valmis kiireks ja hõlpsaks taaskäivitamiseks. Suureks plussiks on teise haldusliku võrguliidese olemasolu, mille kaudu pääsete põhikanali ummistumise korral serverile juurde.
Serveris kasutatav tarkvara peab alati olema ajakohane. Kõik augud on lappitud, värskendused on installitud (lihtsalt alglaadimisena, nõuanded, mida paljud ei järgi). See kaitseb teid teenuseprobleeme kasutavate DoS-rünnakute eest.
Tulemüür peab varjama kõik halduskasutuseks mõeldud kuulamisvõrguteenused kõigi eest, kellel ei peaks neile juurdepääsu olema. Siis ei saa ründaja neid kasutada DoS-rünnakute või jõhkrate rünnakute jaoks.
Serveri (lähima ruuteri) lähenemisviisidele tuleks paigaldada liiklusanalüüsi süsteem, mis võimaldab poolelioleva rünnaku kohta õigeaegselt teada saada ja selle ennetamiseks õigeaegselt meetmeid võtta.
Tuleb märkida, et kõigi tehnikate eesmärk on vähendada DDoS-rünnakute efektiivsust, mille eesmärk on masina ressursside kasutamine. Kanalit prügiga ummistava üleujutuse eest on peaaegu võimatu kaitsta ja ainus õige, kuid mitte alati teostatav võitlusviis on "rünnaku mõttest ilma jätmine". Kui teie käsutuses on tõesti lai kanal, mis võimaldab hõlpsalt liiklust väikesest botnetist, arvestage, et teie server on kaitstud 90% rünnakute eest.
On keerukam kaitse. See põhineb hajutatud arvutivõrgu korraldusel, mis sisaldab palju üleliigseid servereid, mis on ühendatud erinevate selgroogudega. Kui kanali arvutusvõimsus või ribalaius saab otsa, suunatakse kõik uued kliendid teise serverisse või järk-järgult. "
Teine enam-vähem tõhus lahendus on riistvarasüsteemide ostmine. Tandemina töötades suudavad nad algava rünnaku maha suruda, kuid nagu enamik teisi õppimisel ja olekuanalüüsil põhinevaid lahendusi, ebaõnnestuvad nad.
Tundub, et see on alanud. Mida teha?
Enne rünnaku kohest algust "soojenevad" robotid, suurendades järk-järgult pakettide voogu rünnatavasse masinasse. Tähtis on hetkest kinni haarata ja tegutsema hakata. Selles aitab välise võrguga ühendatud ruuteri pidev jälgimine. Ohvriserveris saate võimalike vahendite abil määrata rünnaku alguse.