Etyczne hakowanie - ataki DDoS

Atak typu Distributed Denial of Service (DDoS) to próba uniemożliwienia dostępu do usługi online lub strony internetowej poprzez przeciążenie jej ogromnymi zalewami ruchu generowanego z wielu źródeł.

W przeciwieństwie do ataku typu Denial of Service (DoS), w którym jeden komputer i jedno połączenie internetowe jest używane do zalewania docelowego zasobu pakietami, atak DDoS wykorzystuje wiele komputerów i wiele połączeń internetowych, często rozproszonych globalnie w tzw. botnet.

Wolumetryczny atak DDoS na dużą skalę może generować ruch mierzony w dziesiątkach gigabitów (a nawet setkach gigabitów) na sekundę. Jesteśmy pewni, że Twoja normalna sieć nie będzie w stanie obsłużyć takiego ruchu.

Co to są botnety?

Atakujący tworzą sieć zhakowanych maszyn, znanych jako botnets, rozpowszechniając złośliwy kod za pośrednictwem wiadomości e-mail, witryn internetowych i mediów społecznościowych. Po zainfekowaniu tych komputerów można nimi sterować zdalnie bez wiedzy ich właścicieli i używać ich jak armii do ataku na dowolny cel.

Powódź DDoS może zostać wygenerowana na wiele sposobów. Na przykład -

  • Botnety mogą być używane do wysyłania większej liczby żądań połączenia, niż serwer może obsłużyć jednocześnie.

  • Atakujący mogą nakazać komputerom wysłanie zasobów ofiary ogromnych ilości losowych danych w celu wykorzystania przepustowości celu.

Ze względu na rozproszony charakter tych maszyn można je wykorzystać do generowania rozproszonego dużego ruchu, który może być trudny w obsłudze. Ostatecznie prowadzi to do całkowitej blokady usługi.

Rodzaje ataków DDoS

Ataki DDoS można ogólnie podzielić na trzy kategorie -

  • Ataki wolumenowe
  • Ataki protokolarne
  • Ataki warstwy aplikacji

Ataki oparte na wolumenie

Ataki oparte na woluminach obejmują zalania TCP, zalania UDP, zalania ICMP i inne sfałszowane zalania pakietów. Te są również nazywaneLayer 3 & 4 Attacks. Tutaj osoba atakująca próbuje nasycić przepustowość witryny docelowej. Wielkość ataku mierzona jest wBits per Second (punkty bazowe).

  • UDP Flood - Powódź UDP służy do zalewania losowych portów na zdalnym hoście licznymi pakietami UDP, a dokładniej portem numer 53. Do filtrowania lub blokowania złośliwych pakietów UDP można użyć wyspecjalizowanych zapór.

  • ICMP Flood- Jest to podobne do zalewania UDP i używane do zalewania zdalnego hosta licznymi żądaniami echa ICMP. Ten typ ataku może zużywać zarówno przepustowość wychodzącą, jak i przychodzącą, a duża liczba żądań ping spowoduje ogólne spowolnienie systemu.

  • HTTP Flood - Atakujący wysyła żądania HTTP GET i POST do docelowego serwera WWW w dużym wolumenie, którego serwer nie może obsłużyć i prowadzi do odmowy dodatkowych połączeń od legalnych klientów.

  • Amplification Attack - Atakujący wysyła żądanie generujące dużą odpowiedź, która obejmuje żądania DNS dotyczące dużych rekordów TXT oraz żądania HTTP GET dotyczące dużych plików, takich jak obrazy, pliki PDF lub inne pliki danych.

Ataki protokolarne

Ataki oparte na protokołach obejmują SYN flood, Ping of Death, ataki na pofragmentowane pakiety, Smurf DDoS itp. Ten typ ataku zużywa rzeczywiste zasoby serwera i inne zasoby, takie jak zapory ogniowe i moduły równoważenia obciążenia. Wielkość ataku mierzona jest wPackets per Second.

  • DNS Flood - Powódź DNS jest wykorzystywana do atakowania zarówno infrastruktury, jak i aplikacji DNS, aby przytłoczyć system docelowy i pochłonąć całą dostępną przepustowość sieci.

  • SYN Flood- Atakujący wysyła żądania połączenia TCP szybciej niż maszyna docelowa jest w stanie je przetworzyć, powodując nasycenie sieci. Administratorzy mogą modyfikować stosy TCP, aby złagodzić skutki powodzi SYN. Aby zmniejszyć efekt powodzi SYN, można skrócić limit czasu do momentu zwolnienia przez stos pamięci przydzielonej do połączenia lub selektywnie porzucić połączenia przychodzące za pomocą zapory lubiptables.

  • Ping of Death- Atakujący wysyła zniekształcone lub zbyt duże pakiety za pomocą prostego polecenia ping. IP pozwala na wysyłanie pakietów 65 535 bajtów, ale wysyłanie pakietów ping większych niż 65 535 bajtów narusza protokół internetowy i może spowodować przepełnienie pamięci w systemie docelowym i ostatecznie zawiesić system. Aby uniknąć ataków Ping of Death i ich wariantów, wiele witryn całkowicie blokuje komunikaty ICMP ping na swoich zaporach ogniowych.

Ataki warstwy aplikacji

Ataki w warstwie aplikacji obejmują ataki typu Slowloris, ataki typu zero-day DDoS, ataki DDoS wymierzone w luki w zabezpieczeniach Apache, Windows lub OpenBSD i nie tylko. Tutaj celem jest zawieszenie serwera WWW. Wielkość ataku mierzona jest wRequests per Second.

  • Application Attack - To się też nazywa Layer 7 Attack, gdzie osoba atakująca wykonuje nadmierne logowanie, przeszukiwanie bazy danych lub żądania wyszukiwania w celu przeciążenia aplikacji. Naprawdę trudno jest wykryć ataki warstwy 7, ponieważ przypominają one legalny ruch w witrynie.

  • Slowloris- Atakujący wysyła ogromną liczbę nagłówków HTTP do docelowego serwera internetowego, ale nigdy nie kończy żądania. Serwer docelowy utrzymuje otwarte każde z tych fałszywych połączeń i ostatecznie przepełnia maksymalną pulę jednoczesnych połączeń, co prowadzi do odmowy dodatkowych połączeń od legalnych klientów.

  • NTP Amplification - Atakujący wykorzystuje publicznie dostępne serwery NTP (Network Time Protocol) do przeciążenia docelowego serwera ruchem protokołu UDP (User Datagram Protocol).

  • Zero-day DDoS Attacks- Luka typu zero-day to usterka systemu lub aplikacji wcześniej nieznana dostawcy, która nie została naprawiona ani załatana. Są to nowe rodzaje ataków, które pojawiają się dzień po dniu, na przykład wykorzystujące luki, dla których nie opublikowano jeszcze żadnej łatki.

Jak naprawić atak DDoS

Istnieje wiele opcji ochrony DDoS, które możesz zastosować w zależności od rodzaju ataku DDoS.

Twoja ochrona DDoS zaczyna się od zidentyfikowania i zamknięcia wszystkich możliwych luk na poziomie systemu operacyjnego i aplikacji w systemie, zamknięcia wszystkich możliwych portów, usunięcia niepotrzebnego dostępu z systemu i ukrycia serwera za serwerem proxy lub systemem CDN.

Jeśli zauważysz niewielką skalę DDoS, możesz znaleźć wiele rozwiązań opartych na zaporach ogniowych, które mogą pomóc w odfiltrowaniu ruchu opartego na DDoS. Ale jeśli masz dużą liczbę ataków DDoS, na przykład gigabitów lub nawet więcej, powinieneś skorzystać z pomocy dostawcy usług ochrony DDoS, który oferuje bardziej holistyczne, proaktywne i autentyczne podejście.

Należy zachować ostrożność zbliżając się i wybierając dostawcę usług ochrony DDoS. Jest wielu usługodawców, którzy chcą wykorzystać Twoją sytuację. Jeśli poinformujesz ich, że jesteś celem ataku DDoS, zaczną oferować Ci różnorodne usługi po nieracjonalnie wysokich kosztach.

Możemy zaproponować proste i działające rozwiązanie, które zaczyna się od wyszukania dobrego dostawcy rozwiązań DNS, który jest wystarczająco elastyczny, aby skonfigurować rekordy A i CNAME w Twojej witrynie. Po drugie, będziesz potrzebować dobrego dostawcy CDN, który poradzi sobie z dużym ruchem DDoS i zapewni usługę ochrony DDoS w ramach pakietu CDN.

Załóżmy, że adres IP twojego serwera to AAA.BBB.CCC.DDD. Następnie powinieneś wykonać następującą konfigurację DNS -

  • Stwórz A Record w pliku strefy DNS, jak pokazano poniżej, z identyfikatorem DNS, na przykład ARECORDID i trzymaj to w tajemnicy przed światem zewnętrznym.

  • Teraz poproś swojego dostawcę CDN o połączenie utworzonego identyfikatora DNS z adresem URL, na przykład cdn.someotherid.domain.com.

  • Użyjesz adresu URL CDN cdn.someotherid.domain.com do utworzenia dwóch rekordów CNAME, z których pierwszy będzie wskazywać www a drugi rekord wskazuje na @, jak pokazano poniżej.

Możesz skorzystać z pomocy administratora systemu, aby zrozumieć te punkty i odpowiednio skonfigurować DNS i CDN. Na koniec będziesz mieć następującą konfigurację w swoim DNS.

Teraz pozwól dostawcy CDN obsłużyć wszystkie rodzaje ataków DDoS, a Twój system pozostanie bezpieczny. Warunkiem jest jednak, aby nie ujawniać nikomu adresu IP swojego systemu ani identyfikatora rekordu A; w przeciwnym razie bezpośrednie ataki zaczną się ponownie.

Szybka naprawa

Ataki DDoS stały się bardziej powszechne niż kiedykolwiek wcześniej i niestety nie ma szybkiego rozwiązania tego problemu. Jeśli jednak Twój system jest atakowany DDoS, nie panikuj i zacznij przyglądać się sprawie krok po kroku.