Apakah Penafian Perkhidmatan dan Serangan DDoS?
Serangan DoS (Penafian Perkhidmatan) dan serangan DDoS (Dinyatakan Penafian Perkhidmatan) menjadi semakin umum dan kuat. Serangan Penafian Perkhidmatan terdapat dalam pelbagai bentuk, tetapi berkongsi tujuan bersama: menghentikan pengguna daripada mengakses sumber, sama ada laman web, e-mel, rangkaian telefon atau sesuatu yang lain sepenuhnya. Mari lihat jenis penyerang yang paling biasa terhadap sasaran web, dan bagaimana DoS boleh menjadi DDoS.
Serangan Jenis Penafian (DoS) yang paling biasa
Pada terasnya, serangan Denial of Service biasanya dilakukan dengan membanjiri pelayan-kata, pelayan laman web-sehingga tidak dapat memberikan layanan kepada pengguna yang sah. Terdapat beberapa cara yang boleh dilakukan, yang paling biasa adalah serangan banjir TCP dan serangan amplifikasi DNS.
Serangan Banjir TCP
Hampir semua trafik web (HTTP / HTTPS) dilakukan menggunakan Protokol Kawalan Penghantaran (TCP). TCP mempunyai lebih banyak daripada alternatif, Protokol Pengguna Datagram (UDP), tetapi direka untuk dipercayai. Dua komputer yang bersambung antara satu sama lain melalui TCP akan mengesahkan penerimaan setiap paket. Sekiranya tiada pengesahan disediakan, paket tersebut hendaklah dihantar semula.
Apa yang berlaku jika satu komputer terputus? Mungkin pengguna kehilangan kuasa, ISP mereka mempunyai kegagalan, atau apa sahaja aplikasi yang mereka gunakan berhenti tanpa memberitahu komputer lain. Pelanggan lain perlu berhenti menghantar semula paket yang sama, atau ia membazirkan sumber. Untuk menghalang penghantaran yang tidak berkesudahan, tempoh masa ditetapkan dan / atau had diletakkan pada berapa kali paket boleh dihantar semula sebelum menjatuhkan sambungan sepenuhnya.
TCP direka untuk memudahkan komunikasi yang boleh dipercayai antara pangkalan tentera sekiranya berlaku bencana, tetapi reka bentuk ini sangat mudah untuk menimbulkan serangan penolakan. Apabila TCP dibuat, tiada siapa yang menganggap bahawa ia akan digunakan oleh lebih satu bilion peranti klien. Perlindungan terhadap penafian serangan perkhidmatan moden bukanlah sebahagian daripada proses reka bentuk.
Penyangkalan perkhidmatan yang paling biasa terhadap pelayan web dilakukan dengan spamming SYN (menyegerakkan) paket. Menghantar paket SYN adalah langkah pertama untuk memulakan sambungan TCP. Selepas menerima paket SYN, pelayan bertindak balas dengan paket SYN-ACK (menyegerak pengakuan). Akhirnya, pelanggan menghantar paket ACK (pengiktirafan), menyelesaikan sambungan.
Walau bagaimanapun, jika pelanggan tidak memberi respons kepada paket SYN-ACK dalam masa yang ditetapkan, pelayan menghantar paket itu lagi, dan menunggu maklum balas. Ia akan mengulangi prosedur ini berulang-ulang, yang boleh membazirkan masa memori dan pemproses di pelayan. Sebenarnya, jika sudah cukup, ia dapat membuang masa memori dan pemproses yang begitu banyak sehingga pengguna yang sah mendapatkan sesi mereka dipotong pendek, atau sesi baru tidak dapat dimulakan. Selain itu, penggunaan jalur lebar yang meningkat dari semua paket boleh menembus rangkaian, menjadikan mereka tidak dapat membawa lalu lintas yang mereka inginkan.
Serangan Amplifikasi DNS
Penafian serangan perkhidmatan juga boleh digunakan pada pelayan DNS: pelayan yang menterjemahkan nama domain (seperti howtogeek.com) ke alamat IP (12.345.678.900) yang digunakan oleh komputer untuk berkomunikasi. Apabila anda menaip howtogeek.com dalam penyemak imbas anda, ia akan dihantar ke pelayan DNS. Server DNS kemudian mengarahkan anda ke laman web sebenar. Kelajuan dan kependaman rendah adalah kebimbangan utama untuk DNS, jadi protokol beroperasi di atas UDP dan bukannya TCP. DNS adalah bahagian kritikal dari infrastruktur internet, dan jalur lebar yang digunakan oleh permintaan DNS biasanya minimum.
Bagaimanapun, DNS perlahan-lahan berkembang, dengan ciri-ciri baru ditambah secara beransur-ansur dari masa ke masa. Ini memperkenalkan masalah: DNS mempunyai had saiz paket 512 bait, yang tidak mencukupi untuk semua ciri baharu itu. Jadi, pada tahun 1999, IEEE menerbitkan spesifikasi untuk mekanisme lanjutan untuk DNS (EDNS), yang meningkatkan topi ke 4096 bait, yang membolehkan lebih banyak maklumat disertakan dalam setiap permintaan.
Perubahan ini, bagaimanapun, membuat DNS terdedah kepada "serangan penguatan". Penyerang boleh menghantar permintaan yang dibuat khusus kepada pelayan DNS, meminta maklumat yang banyak, dan meminta mereka dihantar ke alamat IP sasaran mereka. "Penguatkuasaan" dibuat kerana tindak balas pelayan jauh lebih besar dari permintaan yang menghasilkannya, dan pelayan DNS akan menghantar respons kepada IP palsu.
Kebanyakan pelayan DNS tidak dikonfigurasi untuk mengesan atau menggugurkan permintaan yang tidak baik, jadi apabila penyerang berulang kali menghantar permintaan yang palsu, mangsa akan dibanjiri dengan paket EDNS yang besar, menembusi rangkaian. Tidak dapat mengendalikan begitu banyak data, lalu lintas yang sah akan hilang.
Jadi Apa Seruan Perkhidmatan Penafian (DDoS) yang Diedarkan?
Penafian penyerang perkhidmatan yang diedarkan adalah salah satu yang mempunyai banyak penyerang (kadang-kadang tidak disengajakan). Laman web dan aplikasi direka untuk mengendalikan banyak sambungan bersambung-selepas semua, laman web tidak akan menjadi sangat berguna jika hanya satu orang boleh melawat pada satu masa. Perkhidmatan raksasa seperti Google, Facebook, atau Amazon direka untuk menangani berjuta-juta atau berpuluh juta pengguna serentak. Kerana itu, tidak boleh dilakukan oleh penyerang tunggal untuk membawa mereka ke bawah dengan penafian serangan perkhidmatan. Tetapi ramai penyerang boleh.
Kaedah penyerang yang paling biasa ialah melalui botnet. Dalam botnet, penggodam menjangkiti pelbagai jenis peranti yang berkaitan dengan internet dengan perisian hasad. Peranti tersebut boleh menjadi komputer, telefon, atau peranti lain di rumah anda, seperti DVR dan kamera keselamatan. Sebaik sahaja dijangkiti, mereka boleh menggunakan peranti tersebut (dipanggil zombi) untuk menghubungi pelayan arahan dan kawalan secara berkala untuk meminta arahan. Perintah ini boleh terdiri daripada cryptocurrency perlombongan untuk, ya, berpartisipasi dalam serangan DDoS. Dengan cara itu, mereka tidak memerlukan satu ton penggodam untuk bersama-sama-mereka boleh menggunakan peranti tidak selamat dari pengguna di rumah yang biasa untuk melakukan kerja-kerja kotor mereka.
Serangan DDoS yang lain boleh dilakukan secara sukarela, biasanya untuk alasan bermotivasi politik. Pelanggan seperti Low Orbit Ion Cannon membuat serangan DoS mudah dan mudah untuk diedarkan. Perlu diingat bahawa adalah haram di kebanyakan negara (dengan sengaja) mengambil bahagian dalam serangan DDoS.
Akhirnya, beberapa serangan DDoS boleh menjadi tidak disengajakan. Pada asalnya disebut sebagai kesan Slashdot dan umum sebagai "pelukan kematian," jumlah besar trafik yang sah boleh melumpuhkan laman web. Anda mungkin melihat ini berlaku sebelum-pautan laman popular ke blog kecil dan kemasukan pengguna yang tidak sengaja membawa tapak ke bawah. Secara teknikal, ini masih dikelaskan sebagai DDoS, walaupun ia tidak disengajakan atau berniat jahat.
Bagaimanakah saya Boleh Melindungi Diri Saya Melawan Pengendalian Serangan Perkhidmatan?
Pengguna biasa tidak perlu bimbang tentang menjadi sasaran penafian serangan perkhidmatan. Dengan pengecualian strim dan pemain pro, sangat jarang bagi DoS untuk ditunjuk pada individu. Yang berkata, anda masih perlu melakukan yang terbaik untuk melindungi semua peranti anda daripada perisian hasad yang boleh menjadikan anda sebahagian daripada botnet.
Sekiranya anda seorang pentadbir pelayan web, bagaimanapun, terdapat banyak maklumat mengenai cara menjamin khidmat anda terhadap serangan DoS. Konfigurasi dan peralatan pelayan boleh mengurangkan beberapa serangan. Yang lain dapat dihalang dengan memastikan pengguna yang tidak diautifikasi tidak dapat melakukan operasi yang memerlukan sumber daya server yang signifikan. Malangnya, kejayaan serangan DoS paling sering ditentukan oleh siapa yang mempunyai paip yang lebih besar. Perkhidmatan seperti Cloudflare dan Incapsula menawarkan perlindungan dengan berdiri di depan laman web, tetapi boleh mahal.