DDoS uzbrukumi (saukti par Distributed Denial of Service, brīvā tulkojumā: izplatīts pakalpojuma atteikums) ir vieni no izplatītākajiem hakeru uzbrukumiem, kas ir vērsti uz datorsistēmām vai tīkla pakalpojumiem un ir paredzēti visu pieejamo un bezmaksas resursu aizņemšanai, lai novērstu visa pakalpojuma darbību internetā (piemēram, jūsu vietni un mitinātu e-pastu).
Kas ir DDoS uzbrukums?
DDoS uzbrukums ir uzbrukuma veikšana vienlaikus no daudzām vietām vienlaikus (no daudziem datoriem). Šāds uzbrukums galvenokārt tiek veikts no datoriem, pār kuriem ir veikta kontrole, izmantojot īpašu programmatūru (piemēram, robotus un Trojas zirgus). Tas nozīmē, ka šo datoru īpašnieki, iespējams, nemaz nezina, ka viņu datoru, klēpjdatoru vai citu tīklam pieslēgtu ierīci var vienkārši bez viņu apziņas izmantot DDoS uzbrukuma veikšanai.
DDoS uzbrukums sākas, kad visi apdraudētie datori vienlaikus sāk uzbrukt upura tīmekļa pakalpojumam vai sistēmai. DDoS uzbrukuma mērķis tiek pārpludināts ar nepatiesiem mēģinājumiem izmantot pakalpojumus (piemēram, tie var būt mēģinājumi izsaukt vietni vai citi pieprasījumi).
Kāpēc DDoS uzbrukums izraisa pakalpojumu pārtraukumus?
Katram mēģinājumam izmantot pakalpojumu (piemēram, mēģinājumam izsaukt vietni) ir nepieciešams, lai uzbrūkošais dators piešķirtu atbilstošus resursus šī pieprasījuma apkalpošanai (piemēram, procesors, atmiņa, tīkla joslas platums), kas ar ļoti lielu šādu pieprasījumu skaitu noved pie pieejamo resursu izsmelšana un rezultātā uzbrukuma sistēmas darbības pārtraukums vai pat apturēšana.
Kā pasargāt sevi no DDoS uzbrukumiem?
DDoS uzbrukumi šobrīd ir visticamākais drauds uzņēmumiem, kas darbojas tīklā, un to sekas pārsniedz ne tikai IT jomu, bet arī rada reālus, izmērāmus finanšu un imidža zaudējumus. Šāda veida uzbrukumi pastāvīgi attīstās un kļūst arvien precīzāki. To mērķis ir patērēt visus pieejamos tīkla infrastruktūras vai interneta savienojuma resursus.
Jūs varat atrast piedāvājumus aizsardzībai pret DDoS uzbrukumiem internetā. Visbiežāk šādas aizsardzības aktivizēšana pret DDoS uzbrukumiem tiek veikta, mainot DNS ierakstus, kas visu HTTP / HTTPS trafiku novirzīs caur filtrēšanas slāni, kurā tiek veikta detalizēta katras paketes un vaicājuma pārbaude.
Pēc tam uzlabotie algoritmi, kā arī pareizi definēti noteikumi filtrē kļūdainas paketes un uzbrukuma mēģinājumus, tāpēc uz jūsu serveri nonāk tikai tīra datplūsma. Uzņēmumiem, kas aizsargā pret DDoS uzbrukumiem, ir atrašanās vietas dažādās pasaules daļās, pateicoties kurām tie var efektīvi bloķēt uzbrukumus avotā, kā arī apkalpot statiskos datus no tuvākā datu centra, tādējādi samazinot lapas ielādes laiku.
DDoS uzbrukums un tā šantāža ir noziegums
DDoS uzbrukuma draudi dažreiz tiek izmantoti, lai šantažētu uzņēmumus, piem. izsoļu vietnes, brokeru firmas un tamlīdzīgi, kur darījumu sistēmas pārtraukšana rada tiešus finansiālus zaudējumus uzņēmumam un tā klientiem. Šādos gadījumos uzbrukuma cilvēki pieprasa izpirkuma maksu, lai atceltu vai apturētu uzbrukumu. Šāda šantāža ir noziegums.
Kā pasargāt sevi no DoS / DDoS uzbrukumiem
Vienkārši sakot, DoS uzbrukumi ir ļaunprātīgas darbības veids, kura mērķis ir datorsistēmu novest līdz vietai, kur tā nevar apkalpot likumīgos lietotājus vai pareizi izpildīt paredzētās funkcijas. Kļūdas programmatūrā (programmatūrā) vai pārmērīga tīkla kanāla vai visas sistēmas slodze parasti noved pie "pakalpojumu atteikuma" stāvokļa. Rezultātā programmatūra vai visa mašīnas operētājsistēma "avarē" vai nonāk "kontūrētā" stāvoklī. Tas draud ar dīkstāvi, apmeklētāju / klientu zaudēšanu un zaudējumiem.
DoS uzbrukuma anatomija
DoS uzbrukumi tiek klasificēti kā lokāli un attāli. Vietējie izmantojumi ietver dažādus ekspluatācijas veidus, dakšu bumbas un programmas, kas katru reizi atver miljonu failu vai palaiž apļveida algoritmu, kas patērē atmiņu un procesora resursus. Mēs pie šī visa neapturēsimies. Apskatīsim tuvāk attālinātos DoS uzbrukumus. Tie ir sadalīti divos veidos:
Programmatūras kļūdu attāla izmantošana, lai padarītu to nederīgu.
Plūdi - milzīga daudz bezjēdzīgu (retāk jēgpilnu) paciņu nosūtīšana uz upura adresi. Plūdu mērķis var būt sakaru kanāls vai mašīnu resursi. Pirmajā gadījumā pakešu straume aizņem visu joslas platumu un nedod uzbruktai mašīnai iespēju apstrādāt likumīgus pieprasījumus. Otrajā - mašīnas resursus uztver atkārtoti un ļoti bieži zvani uz jebkuru pakalpojumu, kas veic sarežģītu, resursu ietilpīgu darbību. Tas var būt, piemēram, ilgs zvans uz vienu no tīmekļa servera aktīvajiem komponentiem (skriptu). Serveris iztērē visus mašīnas resursus uzbrucēja pieprasījumu apstrādei, un lietotājiem ir jāgaida.
Tradicionālajā versijā (viens uzbrucējs - viens upuris) tagad tikai pirmā veida uzbrukumi ir efektīvi. Klasiskais plūdi ir bezjēdzīgi. Tikai tāpēc, ka ar mūsdienu serveru joslas platumu, skaitļošanas jaudas līmeni un dažādu anti-DoS paņēmienu plašu izmantošanu programmatūrā (piemēram, kavējas, kad viens un tas pats klients atkārtoti veic tās pašas darbības), uzbrucējs pārvēršas par kaitinošu moskītu, kas ir nespēja nodarīt nekādu kaitējumu.
Bet, ja šo odu ir simtiem, tūkstošiem vai pat simtiem tūkstošu, viņi var viegli ievietot serveri uz tā plecu lāpstiņām. Pūlis ir briesmīgs spēks ne tikai dzīvē, bet arī datoru pasaulē. Izplatītais pakalpojumu noliegšanas (DDoS) uzbrukums, ko parasti veic, izmantojot daudzus zombificētus resursdatorus, var izslēgt pat visgrūtāko serveri no ārpasaules.
Kontroles metodes
Lielākās daļas DDoS uzbrukumu briesmas slēpjas to absolūtā pārredzamībā un "normālumā". Galu galā, ja programmatūras kļūdu vienmēr var labot, tad pilnīgs resursu patēriņš ir gandrīz izplatīta parādība. Daudzi administratori saskaras ar viņiem, ja mašīnas resursi (joslas platums) kļūst nepietiekami vai vietne cieš no Slashdot efekta (twitter.com kļuva nepieejama dažu minūšu laikā pēc pirmajām ziņām par Maikla Džeksona nāvi). Un, ja jūs samazināsiet trafiku un resursus visiem pēc kārtas, jūs tiksit izglābts no DDoS, bet jūs zaudēsiet labu pusi klientu.
No šīs situācijas praktiski nav izejas, taču DDoS uzbrukumu sekas un to efektivitāti var ievērojami samazināt, pareizi konfigurējot maršrutētāju, ugunsmūri un pastāvīgi analizējot tīkla trafika anomālijas. Raksta nākamajā daļā mēs apskatīsim:
veidi, kā atpazīt iesāktu DDoS uzbrukumu;
metodes, kā tikt galā ar konkrētiem DDoS uzbrukumu veidiem;
vispārīgi padomi, kas palīdzēs sagatavoties DoS uzbrukumam un samazinās tā efektivitāti.
Pašās beigās tiks sniegta atbilde uz jautājumu: ko darīt, kad sākās DDoS uzbrukums.
Cīņa pret plūdu uzbrukumiem
Tātad ir divu veidu DoS / DDoS uzbrukumi, un visbiežāk no tiem pamatā ir ideja par plūdiem, tas ir, upura pārpludināšanu ar milzīgu pakešu skaitu. Plūdi ir atšķirīgi: ICMP plūdi, SYN plūdi, UDP plūdi un HTTP plūdi. Mūsdienu DoS roboti var izmantot visus šos uzbrukumu veidus vienlaicīgi, tāpēc jums vajadzētu iepriekš rūpēties par atbilstošu aizsardzību pret katru no tiem. Piemērs tam, kā aizsargāties pret visizplatītākajiem uzbrukumu veidiem.
HTTP plūdi
Viena no mūsdienās visizplatītākajām applūšanas metodēm. Tas ir balstīts uz bezgalīgu HTTP GET ziņojumu sūtīšanu 80. portā, lai ielādētu tīmekļa serveri tā, lai tas nespētu apstrādāt visus pārējos pieprasījumus. Bieži plūdu mērķis nav tīmekļa servera sakne, bet gan viens no skriptiem, kas veic resursus ietilpīgus uzdevumus vai strādā ar datu bāzi. Jebkurā gadījumā nenormāli strauja tīmekļa serveru žurnālu pieaugums kalpos kā sākusies uzbrukuma indikators.
Metodes, kā tikt galā ar HTTP applūšanu, ietver tīmekļa servera un datu bāzes noregulēšanu, lai mazinātu uzbrukuma ietekmi, kā arī DoS robotu filtrēšanu, izmantojot dažādas metodes. Pirmkārt, jums vienlaikus jāpalielina maksimālais savienojumu skaits ar datu bāzi. Otrkārt, Apache tīmekļa servera priekšā instalējiet vieglu un efektīvu nginx - tas kešatmiņā saglabās pieprasījumus un kalpos statiski. Šis ir obligāts risinājums, kas ne tikai samazinās DoS uzbrukumu ietekmi, bet arī ļauj serverim izturēt milzīgas slodzes.
Ja nepieciešams, varat izmantot modeli nginx, kas ierobežo vienlaicīgu savienojumu skaitu no vienas adreses. Resursu ietilpīgos skriptus var aizsargāt no robotprogrammatūrām, izmantojot aizkavēšanos, pogas “Noklikšķiniet uz manis”, iestatot sīkfailus un citus trikus, kuru mērķis ir pārbaudīt “cilvēcību”.
Universāli padomi
Lai DDoS vētras sabrukšanas laikā nenonāktu bezcerīgā situācijā, jums tās rūpīgi jāsagatavo šādai situācijai:
Visiem serveriem, kuriem ir tieša piekļuve ārējam tīklam, jābūt sagatavotiem ātrai un vienkāršai attālinātai atsāknēšanai. Liels pluss būs otrā administratīvā tīkla interfeisa klātbūtne, caur kuru var piekļūt serverim galvenā kanāla aizsērēšanas gadījumā.
Serverī izmantotajai programmatūrai vienmēr jābūt atjauninātai. Visi caurumi ir salāpīti, atjauninājumi ir instalēti (vienkārši kā sāknēšana, padomi, kurus daudzi neievēro). Tas pasargās jūs no DoS uzbrukumiem, kas izmanto kļūdas pakalpojumos.
Ugunsmūrim ir jāslēpj visi administratīvā lietojuma klausīšanās tīkla pakalpojumi no visiem, kam tiem nav piekļuves. Tad uzbrucējs tos nevarēs izmantot DoS uzbrukumiem vai brutālu spēku uzbrukumiem.
Pieejot pie servera (tuvākā maršrutētāja), jāinstalē trafika analīzes sistēma, kas ļaus savlaicīgi uzzināt par notiekošo uzbrukumu un savlaicīgi veikt pasākumus tā novēršanai.
Jāatzīmē, ka visas metodes ir vērstas uz DDoS uzbrukumu efektivitātes samazināšanu, kuru mērķis ir izmantot iekārtas resursus. Ir gandrīz neiespējami aizstāvēties pret plūdiem, kas nosprosto kanālu ar gruvešiem, un vienīgais pareizais, bet ne vienmēr iespējamais cīņas veids ir "atņemt uzbrukuma jēgu". Ja jūsu rīcībā ir patiešām plašs kanāls, kas viegli ļaus veikt trafiku no neliela robottīkla, uzskatiet, ka jūsu serveris ir aizsargāts pret 90% uzbrukumu.
Ir sarežģītāka aizsardzība. Tas ir balstīts uz izplatītā datortīkla organizēšanu, kurā ietilpst daudz lieku serveru, kas ir savienoti ar dažādiem mugurkauliem. Kad skaitļošanas jauda vai kanāla joslas platums beidzas, visi jaunie klienti tiek pakāpeniski novirzīti uz citu serveri. "
Vēl viens vairāk vai mazāk efektīvs risinājums ir aparatūras sistēmu iegāde. Strādājot tandēmā, viņi var nomākt sākuma uzbrukumu, taču, tāpat kā vairumam citu risinājumu, kuru pamatā ir mācīšanās un stāvokļa analīze, tie neizdodas.
Šķiet, ka tas ir sācies. Ko darīt?
Pirms tūlītēja uzbrukuma sākuma roboti "iesildās", pakāpeniski palielinot pakešu plūsmu uz uzbrucamo mašīnu. Ir svarīgi izmantot mirkli un sākt rīkoties. Tam palīdzēs pastāvīga ārējam tīklam pieslēgta maršrutētāja uzraudzība. Upura serverī jūs varat noteikt uzbrukuma sākumu, izmantojot pieejamos līdzekļus.