DDoS atakos (vadinamos „Distributed Denial of Service“, nemokamu vertimu: paskirstytu paslaugų atsisakymu) yra vienos iš labiausiai paplitusių įsilaužėlių atakų, nukreiptų į kompiuterines sistemas ar tinklo paslaugas ir skirtos užimti visus turimus ir nemokamus išteklius, kad užkirsti kelią visos interneto paslaugos veikimui (pvz., jūsų svetainė ir priglobtas el. paštas).
Kas yra DDoS ataka?
DDoS ataka susideda iš atakos vienu metu iš daugelio vietų vienu metu (iš daugelio kompiuterių). Tokia ataka dažniausiai vykdoma iš kompiuterių, kuriuos kontroliuojama, naudojant specialią programinę įrangą (pvz., Robotus ir Trojos arklius). Tai reiškia, kad šių kompiuterių savininkai gali net nežinoti, kad jų kompiuteris, nešiojamas kompiuteris ar kitas prie tinklo prijungtas įrenginys gali būti naudojamas be jų supratimo DDoS atakai atlikti.
DDoS ataka prasideda tada, kai visi pažeisti kompiuteriai vienu metu pradeda atakuoti aukos žiniatinklio tarnybą ar sistemą. Tuomet DDoS atakos taikinį užplūsta klaidingi bandymai naudotis paslaugomis (pvz., Tai gali būti bandymai paskambinti į svetainę ar kitos užklausos).
Kodėl DDoS ataka sukelia paslaugos pertraukimus?
Kiekvienas bandymas naudotis paslauga (pvz., Bandymas paskambinti į svetainę) reikalauja, kad užpultas kompiuteris paskirstytų atitinkamus išteklius šiai užklausai aptarnauti (pvz., Procesorius, atmintis, tinklo pralaidumas), o tai labai daug tokių užklausų sukelia turimų išteklių išsekimas ir dėl to užpultos sistemos veikimo nutraukimas ar net sustabdymas.
Kaip apsisaugoti nuo DDoS atakų?
DDoS atakos šiuo metu yra labiausiai tikėtina grėsmė tinkle veikiančioms įmonėms, o jų pasekmės apima ne tik IT sritį, bet ir sukelia realius, pamatuojamus finansinius ir įvaizdžio nuostolius. Tokio tipo atakos nuolat keičiasi ir tampa vis tikslesnės. Jų tikslas yra sunaudoti visus turimus tinklo infrastruktūros ar interneto ryšio išteklius.
Internete galite rasti apsaugos nuo DDoS atakų pasiūlymų. Dažniausiai tokia apsauga nuo DDoS atakų aktyvuojama keičiant DNS įrašus, kurie nukreips visą HTTP / HTTPS srautą per filtravimo sluoksnį, kuriame atliekamas išsamus kiekvieno paketo ir užklausos patikrinimas.
Tada pažangūs algoritmai ir tinkamai apibrėžtos taisyklės filtruoja klaidingus paketus ir bandymus atakuoti, todėl į jūsų serverį patenka tik grynas srautas. Įmonės, saugančios nuo DDoS atakų, turi vietas skirtingose pasaulio vietose, todėl jos gali efektyviai užblokuoti išpuolius šaltinyje, taip pat aptarnauti statinius duomenis iš artimiausio duomenų centro, taip sutrumpindamos puslapio įkėlimo laiką.
DDoS ataka ir jos šantažavimas yra nusikaltimas
DDoS atakos grėsmė kartais naudojama įmonėms šantažuoti, pvz. aukcionų svetainėse, brokerių įmonėse ir panašiose vietose, kur nutraukus sandorių sistemą, įmonei ir jos klientams atsiranda tiesioginiai finansiniai nuostoliai. Tokiais atvejais užpuolimo žmonės reikalauja išpirkos, kad atšauktų ar sustabdytų išpuolį. Toks šantažas yra nusikaltimas.
Kaip apsisaugoti nuo DoS / DDoS atakų
Paprasčiau tariant, „DoS“ atakos yra kenkėjiškos veiklos forma, kuria siekiama kompiuterinę sistemą pasiekti taip, kad ji negalėtų aptarnauti teisėtų vartotojų ar tinkamai atlikti numatytų funkcijų. Dėl programinės įrangos (programinės įrangos) klaidų ar per didelės tinklo kanalo ar visos sistemos apkrovos paprastai atsiranda „paslaugų atsisakymo“ sąlyga. Todėl programinė įranga arba visa mašinos operacinė sistema „užstringa“ arba atsiduria „kilpinėje“ būsenoje. Tai gresia prastovomis, lankytojų / klientų praradimu ir nuostoliais.
DoS atakos anatomija
DoS atakos klasifikuojamos kaip vietinės ir nuotolinės. Vietiniai išnaudojimai apima įvairius išnaudojimus, šakių bombas ir programas, kurios kiekvieną kartą atidaro milijoną failų arba paleidžia žiedinį algoritmą, kuris užima atmintį ir procesoriaus išteklius. Prie viso to nesustosime. Pažvelkime atidžiau į nuotolines DoS atakas. Jie skirstomi į du tipus:
Nuotolinis programinės įrangos klaidų naudojimas, kad ji neveiktų.
Potvynis - aukos adresu siunčiamas didžiulis skaičius beprasmių (rečiau prasmingų) pakelių. Potvynio tikslas gali būti ryšio kanalas arba mašinų ištekliai. Pirmuoju atveju paketų srautas užima visą pralaidumą ir nesuteikia užpultai mašinai galimybės apdoroti teisėtų užklausų. Antra, mašinos ištekliai yra užfiksuoti pakartotinai ir labai dažnai skambinant į bet kurią tarnybą, kuri atlieka sudėtingą, daug išteklių reikalaujančią operaciją. Tai gali būti, pavyzdžiui, ilgas skambutis į vieną iš aktyvių žiniatinklio serverio komponentų (scenarijų). Serveris išleidžia visus mašinos išteklius užpuoliko užklausų apdorojimui, o vartotojai turi laukti.
Tradicinėje versijoje (vienas užpuolikas - viena auka) dabar veiksmingos tik pirmojo tipo atakos. Klasikinis potvynis nenaudingas. Vien dėl to, kad naudojant šiandieninį serverių pralaidumą, skaičiavimo galios lygį ir plačiai naudojant įvairias anti-DoS technikas programinėje įrangoje (pavyzdžiui, vėluojama, kai tas pats klientas pakartotinai atlieka tuos pačius veiksmus), užpuolikas virsta erzinančiu uodu, kuris yra negalėjo padaryti jokios žalos.
Bet jei šių uodų yra šimtai, tūkstančiai ar net šimtai tūkstančių, jie gali lengvai padėti serverį ant jo pečių. Minia yra baisi jėga ne tik gyvenime, bet ir kompiuterių pasaulyje. Išplėstinė paslaugų teikimo atsisakymo (DDoS) ataka, paprastai atliekama naudojant daugelį zombintų kompiuterių, gali iš išorinio pasaulio atjungti net patį sunkiausią serverį.
Kontrolės metodai
Daugumos DDoS atakų pavojus yra jų absoliutus skaidrumas ir „normalumas“. Galų gale, jei visada galima ištaisyti programinės įrangos klaidą, visas išteklių sunaudojimas yra beveik įprastas reiškinys. Daugelis administratorių susiduria su jais, kai mašinos resursai (pralaidumas) tampa nepakankami arba svetainė patiria „Slashdot“ efektą (twitter.com tapo neprieinama per kelias minutes po pirmųjų žinių apie Michaelo Jacksono mirtį). Ir jei sumažinsite srautą ir išteklius visiems iš eilės, būsite išgelbėti iš DDoS, bet prarasite gerą pusę savo klientų.
Praktiškai nėra išeities iš šios situacijos, tačiau DDoS atakų pasekmes ir jų efektyvumą galima žymiai sumažinti tinkamai sukonfigūravus maršrutizatorių, užkardą ir nuolat analizuojant tinklo srauto anomalijas. Kitoje straipsnio dalyje mes apžvelgsime:
būdai atpažinti pradedančią DDoS ataką;
kovos su konkrečių DDoS atakų tipais metodai;
bendri patarimai, padėsiantys pasirengti DoS atakai ir sumažinti jo efektyvumą.
Pačioje pabaigoje bus atsakyta į klausimą: ką daryti pradėjus DDoS ataką.
Kova su potvynių atakomis
Taigi, yra dviejų tipų „DoS / DDoS“ atakos, kurių dažniausia pagrįsta potvynio idėja, tai yra, užtvindant auką didžiuliu paketų skaičiumi. Potvynis yra kitoks: ICMP potvynis, SYN potvynis, UDP potvynis ir HTTP potvynis. Šiuolaikiniai „DoS“ robotai gali naudoti visas šias atakas vienu metu, todėl iš anksto turėtumėte pasirūpinti tinkama apsauga nuo kiekvieno iš jų. Apsaugos nuo labiausiai paplitusių atakų pavyzdys.
HTTP potvynis
Vienas iš labiausiai paplitusių potvynių būdų šiandien. Jis pagrįstas begaliniu HTTP GET pranešimų siuntimu 80 prievade, norint įkelti žiniatinklio serverį, kad jis negalėtų apdoroti visų kitų užklausų. Dažnai potvynio taikinys yra ne žiniatinklio serverio šaknis, o vienas iš scenarijų, kuris atlieka daug išteklių reikalaujančias užduotis arba dirba su duomenų baze. Bet kokiu atveju, neįprastai greitas žiniatinklio serverių žurnalų augimas taps pradžios atakos rodikliu.
Metodai, kaip kovoti su HTTP užtvindymu, yra tinklo serverio ir duomenų bazės derinimas, siekiant sušvelninti atakos poveikį, taip pat „DoS“ robotų filtravimas naudojant įvairius metodus. Pirma, tuo pačiu metu turėtumėte padidinti maksimalų prisijungimų prie duomenų bazės skaičių. Antra, įdiekite lengvą ir efektyvų „nginx“ priešais „Apache“ žiniatinklio serverį - jis talpins užklausas ir tarnaus statiškai. Tai privalomas sprendimas, kuris ne tik sumažins DoS atakų poveikį, bet ir leis serveriui atlaikyti milžiniškas apkrovas.
Jei reikia, galite naudoti „nginx“ modulį, kuris apriboja vienu metu esančių ryšių iš vieno adreso skaičių. Daug išteklių reikalaujančius scenarijus galima apsaugoti nuo robotų, naudojant vėlavimą, mygtukus „Spustelėkite mane“, nustatydami slapukus ir kitus triukus, kuriais siekiama patikrinti „žmoniškumą“.
Universalūs patarimai
Kad nepatektumėte į beviltišką situaciją žlugus DDoS audrai sistemose, turite atidžiai juos paruošti tokiai situacijai:
Visi serveriai, turintys tiesioginę prieigą prie išorinio tinklo, turi būti paruošti greitai ir lengvai nuotoliniu būdu paleisti iš naujo. Didelis pliusas bus antros, administracinės, tinklo sąsajos buvimas, per kurią galėsite prisijungti prie serverio, jei užsikimšote pagrindiniame kanale.
Serveryje naudojama programinė įranga visada turi būti atnaujinta. Visos skylės užtaisytos, įdiegti atnaujinimai (paprastas kaip įkrovimas, patarimai, kurių daugelis nesilaiko). Tai apsaugos jus nuo „DoS“ atakų, kuriose naudojamos paslaugų klaidos.
Ugniasienė turi paslėpti visas klausymo tinklo paslaugas, skirtas administraciniam naudojimui, nuo tų, kurie neturėtų jų pasiekti. Tada užpuolikas negalės jų naudoti DoS ar žiaurios jėgos atakoms.
Prie serverio (artimiausio maršrutizatoriaus) prieigose turėtų būti įdiegta srauto analizės sistema, kuri leis laiku sužinoti apie vykstančią ataką ir laiku imtis priemonių jai užkirsti.
Reikėtų pažymėti, kad visais būdais siekiama sumažinti DDoS atakų, kuriomis siekiama išnaudoti mašinos išteklius, efektyvumą. Apsisaugoti nuo potvynio, užkimšusio kanalą šiukšlėmis, beveik neįmanoma, o vienintelis teisingas, bet ne visada įmanomas kovos būdas yra „atimti iš prasmės ataką“. Jei turite tikrai platų kanalą, kuris lengvai leis srautą iš mažo roboto tinklo, apsvarstykite, ar jūsų serveris yra apsaugotas nuo 90% atakų.
Yra sudėtingesnė gynyba. Jis pagrįstas paskirstyto kompiuterių tinklo, kuriame yra daug nereikalingų serverių, sujungtų su skirtingais stuburais, organizavimu. Kai baigiasi skaičiavimo galia arba kanalo pralaidumas, visi nauji klientai yra nukreipiami į kitą serverį arba palaipsniui. "
Kitas daugiau ar mažiau efektyvus sprendimas yra aparatinės įrangos sistemų pirkimas. Dirbdami kartu, jie gali užgniaužti prasidėjusį išpuolį, tačiau, kaip ir dauguma kitų sprendimų, pagrįstų mokymusi ir būsenos analize, jiems nepavyksta.
Atrodo, kad tai prasidėjo. Ką daryti?
Prieš pradedant nedelsiant ataką, robotai „sušyla“, palaipsniui didindami paketų srautą į užpultą mašiną. Svarbu pasinaudoti akimirka ir pradėti veikti. Tam padės nuolatinis maršrutizatoriaus, prijungto prie išorinio tinklo, stebėjimas. Aukų serveryje galite nustatyti užpuolimo pradžią turimomis priemonėmis.