Cyber-zločiny byly na vzestupu pozdní, s ransomware útoky (WannaCry, NotPetya), hacknut databází (Equifax, Sony, Yahoo), a software backdoors (Floxif / CCleaner, ShadowPad / NetSarang) dělat titulky často. Zatímco rozsah a dosah těchto útoků jsou ohromující, faktem je, že kybernetičtí zločinci nejsou omezeni pouze na krádež vašich dat, identity nebo peněz. Rozsah trestných činů ve virtuálním světě je tak velký, jak je v reálném světě, ne-li více. Jedním z typů kybernetického útoku, který byl v centru pozornosti pozdě, je DDoS, nebo distribuovaná služba denial-of-service, která v průběhu let často rozdělovala komunitu hackerů bílého klobouku. S předním poskytovatelem služeb CDN Cloudflare, který nyní oznamuje bezplatnou ochranu DDoS pro všechny své klienty, začala již dlouhá debata o „etických“ DDoS vs škodlivých DDoS, přičemž obě strany vycházely v plné podpoře svých argumentů. S debatou o DDoS útocích zuří po celém internetu, pojďme se podrobně podívat na tento fenomén dnes ve snaze nejen dozvědět se více o tom, ale také zkusit pochopit, proč hacktivisté a skupiny prosazující svobodu projevu nadále selhávají. jejich úsilí o dosažení shody v první řadě: \ t
Co je DDoS a jak to funguje?
Zjednodušeně řečeno, útok s distribuovaným denial-of-service (DDoS) je pokusem uměle narušit normální fungování webu nebo sítě zaplavením cílového serveru ohromujícím objemem provozu, který buď zpomaluje, nebo zcela zhroutí síť. . Toho je dosaženo použitím více ohrožených systémů jako součásti tzv. „Botnetu“, který může zahrnovat jakékoliv zařízení připojené k síti, včetně počítačů, smartphonů a zařízení IoT. Black-hat hackeři i hacktivisté používají k provádění těchto útoků různé sofistikované nástroje, a to nejen zaplavením cílových serverů nadměrným provozem, ale také použitím jemnějších a obtížně detekovatelných infiltračních technik, které se zaměřují na kritické zabezpečení sítě. infrastruktury, jako jsou brány firewall a IDS / IPS (Systém detekce narušení / prevence narušení).
Co je to DoS a jak se liší od DDoS?
Útoky typu DoS (Denial-of-Service) je přesně to, co zní, protože brání legitimním uživatelům v přístupu k cíleným serverům, systémům nebo jiným síťovým prostředkům. Stejně jako v případě útoků DDoS by osoba nebo osoby provádějící takové útoky zpravidla zaplavily cílenou infrastrukturu s nesmírně velkým množstvím nadbytečných požadavků, aby přemohly své zdroje, což by znemožnilo nebo dokonce znemožnilo dotčené síti nebo reagovat na skutečné požadavky na služby. Pro koncového uživatele, účinky DoS nejsou úplně odlišné od těch DDoS, ale na rozdíl od bývalý to typicky používá jediný stroj a jedinečné internetové připojení provádět útok, latter používá více ohrožených zařízení zaplavit zamýšlený cíl., což je neuvěřitelně obtížné odhalit a zabránit.
Jaké jsou různé typy útoků DDoS?
Jak již bylo zmíněno dříve, kybernetičtí zločinci i hacktivisté využívají nesčetných útočných vektorů k provádění svých útoků DDoS, ale velká většina z těchto útoků bude z větší části spadat do tří širokých kategorií: útoky volumetrické nebo šířky pásma, útoky protokolů Útoky ze stavu vyčerpání a útoky na aplikační vrstvě nebo útoky na vrstvu 7. Všechny tyto útoky cílí na různé součásti síťového připojení, které se skládá ze 7 různých vrstev, jak je vidět na obrázku níže:
1. Volumetrické útoky nebo útoky šířky pásma
Předpokládá se, že tyto typy útoků tvoří každý rok více než polovinu všech útoků DDoS prováděných po celém světě. Existují různé typy volumetrických útoků, z nichž nejběžnější je povodeň UDP ( User Datagram Protocol ), kdy útočník odešle velký počet paketů UDP náhodným portům vzdáleného hostitele, což způsobí, že server opakovaně kontroluje a reaguje na ne. existující aplikace, čímž se stává nereagujícím na legitimní provoz. Podobných výsledků lze dosáhnout také zaplavením serveru s oběťmi pomocí ICMP (Internet Control Message Protocol) požadavků z více IP adres, které jsou často spoofovány. Cílový server se pokusí odpovědět na každou z těchto falešných požadavků v dobré víře, nakonec se stává přetíženým a není schopen reagovat na skutečné požadavky ICMP echo. Objemové útoky jsou měřeny v bitech za sekundu (Bps).
2. Útoky protokolu nebo útoky na vyčerpání stavu
Útoky protokolů, známé také jako útoky State-Exhaustion, spotřebovávají kapacitu tabulky stavu připojení nejen webových aplikačních serverů, ale také dalších komponent infrastruktury, včetně mezilehlých zdrojů, jako jsou balancery a firewally. Tyto typy útoků se nazývají „protokolové útoky“, protože se zaměřují na slabiny ve vrstvách 3 a 4 zásobníku protokolu, aby dosáhly svého cíle. Dokonce i špičkové komerční přístroje speciálně navržené pro udržení stavu na milionech spojení mohou být špatně ovlivněny útoky protokolu. Jedním z nejznámějších útoků protokolu je „SYN flood“, který využívá „trojcestného mechanismu handshake“ v TCP. Způsob, jakým to funguje, odesílá hostitele povodně TCP / SYN paketů, často s paděláním adresy odesílatele, aby spotřebovával dostatek serverových zdrojů, aby bylo téměř nemožné pro legitimní požadavky projít. Mezi další typy útoků protokolu patří Ping of Death, Smurf DDoS a fragmentované útoky paketů. Tyto typy útoků jsou měřeny v paketech za sekundu (Pps).
3. Útoky na aplikační vrstvě nebo útoky na vrstvu 7
Útoky na aplikační vrstvě, často označované jako útoky vrstvy 7 ve vztahu k 7. vrstvě režimu OSI, cílí na vrstvu, kde jsou generovány webové stránky, které mají být doručeny uživatelům, kteří odesílají požadavky HTTP. Mezi různé typy útoků vrstvy-7 patří neslavný útok „ Slowloris “, kdy útočník odešle velký počet požadavků HTTP „pomalu“ cílovému serveru, aniž by však kdykoliv vyplnil všechny požadavky. Útočník bude i nadále posílat další záhlaví v malých intervalech, čímž server bude nucen udržovat otevřené spojení pro tyto nikdy nekončící požadavky HTTP, a nakonec bude uzurpovat dostatek prostředků, aby systém nereagoval na platné požadavky. Dalším populárním útokem vrstvy 7 je HTTP Flood útok, kdy velký počet falešných HTTP, GET nebo POST požadavků zaplaví cílový server v krátkém čase, což má za následek denial-of-service pro oprávněné uživatele. Protože útoky aplikační vrstvy typicky zahrnují odesílání nepřirozeně velkého množství požadavků na cílový server, jsou měřeny v požadavcích za sekundu (Rps).
Kromě výše popsaných útoků s jedním vektorem existují také útoky s více vektory, které cílí na systémy a sítě z několika různých směrů najednou, čímž je pro síťové inženýry stále obtížnější vypracovat komplexní strategie proti útokům DDoS. Jeden takový příklad multi-vektorový útok je když útočník by spojil DNS zesilování, který cílí vrstvy 3 a 4, s HTTP Flood to cílí vrstvu 7.
Jak chránit síť proti útoku DDoS
Protože většina DDoS útoků funguje tím, že ohromí cílový server nebo síť s provozem, první věc, kterou je třeba udělat, aby se zmírnily DDoS útoky, je rozlišovat mezi skutečným provozem a nebezpečným provozem . Nicméně, jak byste čekali, věci nejsou tak snadné, vzhledem k naprosté rozmanitosti, složitosti a sofistikovanosti těchto útoků. To znamená, že ochrana vaší sítě proti nejnovějším a nejsofistikovanějším útokům DDoS vyžaduje, aby inženýři sítě pečlivě navrhovali strategie tak, aby se dítě neodvádělo s vodou. Vzhledem k tomu, že útočníci se budou snažit, aby se jejich nebezpečný provoz jevil jako normální, pokusy o zmírnění, které zahrnují omezení veškerého provozu, omezí čestný provoz, zatímco tolerantnější design umožní hackerům snadněji obcházet protiopatření. Aby bylo možné dosáhnout co nejefektivnějšího řešení, bude třeba přijmout vrstvené řešení.
Než se však dostaneme k technickým otázkám, musíme pochopit, že jelikož většina útoků DDoS v těchto dnech zahrnovala způsob, jak se ucpat cesty komunikace nějakým způsobem, jednou ze zřejmých věcí je chránit sebe a vaše síť je více redundantní: více šířka pásma a více serverů rozložených na více datových centrech napříč různými geografickými lokalitami, které také působí jako pojištění proti přírodním katastrofám atd.
Další důležitá věc, kterou je třeba udělat, je dodržovat některé z nejlepších postupů tohoto odvětví, pokud jde o servery DNS. Jak se zbavit otevřené resolvers je jedním z kritických prvních kroků ve vaší obraně proti DDoS, protože to, co je dobré webové stránky, pokud nikdo nemůže vyřešit vaše doménové jméno v první řadě? V takovém případě je třeba se podívat mimo obvyklé nastavení serveru DNS, který většina registrátorů doménových jmen standardně poskytuje. Mnoho společností, včetně většiny špičkových poskytovatelů služeb CDN, také nabízí vylepšenou ochranu DNS prostřednictvím redundantních serverů DNS, které jsou chráněny za stejným typem vyvažování zátěže, jaký má váš web a další zdroje.
Zatímco většina webů a blogů outsourcuje jejich hostování třetím stranám, někteří se rozhodnou sloužit svým vlastním datům a spravovat své vlastní sítě. Pokud patříte do této skupiny, některé ze základních, ale kritických průmyslových postupů, které musíte dodržet, zahrnují nastavení účinné brány firewall a blokování protokolu ICMP, pokud je nepotřebujete. Také se ujistěte, že všechny vaše routery upustí nevyžádané pakety . Měli byste se také obrátit na svého poskytovatele internetových služeb a zkontrolovat, zda vám mohou pomoci blokovat zájem o provoz. Tyto podmínky se budou lišit od jednoho poskytovatele služeb Internetu k jinému poskytovateli služeb, takže je třeba zkontrolovat u jejich síťových operačních center, zda nabízejí takové služby pro podniky. Obecně platí, že některé z kroků, které poskytovatelé služeb CDN, poskytovatelé služeb Internetu a správci sítě často používají ke zmírnění útoků služby DDoS:
Směrování černé díry
Black Hole Routing, neboli Blackholing, je jedním z nejefektivnějších způsobů zmírnění útoku DDoS, ale musí být implementován pouze po řádné analýze síťového provozu a vytvoření přísného omezovacího kritéria, protože jinak to bude „blackhole“ nebo trasa all. příchozí provoz na nulovou trasu (blackhole) bez ohledu na to, zda je to skutečný nebo škodlivý. Technicky bude obcházet DDoS, ale útočník bude mít za cíl narušit síťový provoz tak jako tak.
Omezení sazby
Další metodou, která se často používá ke zmírnění útoků DDoS, je „Omezení rychlosti“. Jak již název napovídá, zahrnuje omezení počtu požadavků, které server přijme ve stanoveném časovém rámci . Je to užitečné při zastavování webových scraperů z krádeže obsahu a pro zmírnění pokusů o přihlášení hrubou silou, ale musí být použito ve spojení s jinými strategiemi, aby bylo možné efektivně zvládnout DDoS útoky.
Firewall webové aplikace (WAF)
I když to není samo o sobě dost, reverzní servery a WAF jsou některé z prvních kroků, které je třeba přijmout ke zmírnění různých hrozeb, nejen DDoS. WAF pomáhají chránit cílovou síť před útoky vrstvy 7 filtrováním požadavků založených na sérii pravidel používaných k identifikaci nástrojů DDoS, ale jsou také vysoce účinné při ochraně serverů před injekcemi SQL, skriptováním mezi servery a požadavky na padělání na různých stránkách.
Anycast Network Diffusion
Sítě pro doručování obsahu (CDN) často používají sítě Anycast jako účinný způsob zmírnění útoků DDoS. Systém funguje přesměrováním veškerého provozu určeného pro síť pod útokem na sérii distribuovaných serverů v různých umístěních, čímž dochází k šíření rušivého účinku pokusu o DDoS.
Jak Cloudflare navrhuje ukončit DDoS útoky na dobré s jeho zdarma DDoS ochranu?
Cloudflare, jedna z předních sítí pro poskytování obsahu na světě, nedávno oznámila, že bude poskytovat ochranu před útoky DDoS nejen svým placeným zákazníkům, ale také svým klientům zdarma, bez ohledu na velikost a rozsah útoku . Jak se dalo očekávat, toto oznámení vytvořené počátkem tohoto týdne vytvořilo v průmyslu i globálních technologických médiích, které se obvykle používají pro CDN, včetně Cloudflare, a to buď vykopnutím svých klientů pod útokem, nebo vyžadováním více peněz od společnosti. pro jejich další ochranu. Zatímco se oběti doposud musely starat o sebe, když byly napadeny, příslib svobodné, neoměřené ochrany DDoS obdrželi vřele blogy a podniky, jejichž internetové stránky a sítě zůstávají pod neustálou hrozbou pro publikování kontroverzního obsahu.
Zatímco nabídka společnosti Cloudflare je skutečně revoluční, je třeba zmínit, že nabídka bezplatné, neměřené ochrany je použitelná pouze pro útoky vrstvy 3 a 4, zatímco útoky vrstvy 7 jsou stále k dispozici pouze pro placené plány, které začínají na 20 USD. za měsíc.
Pokud se to povede, co nabídne Cloudflare pro 'Hacktivismus'?
Oznámení společnosti Cloudflare podle očekávání obnovilo debatu mezi hacktivisty a odborníky na internetovou bezpečnost o etickém hackingu a svobodě projevu. Mnoho hacktivistických skupin, jako je Chaos Computer Club (CCC) a Anonymous, již dlouho argumentovali, že je nezbytné, aby se staly „digitální protesty“ proti webovým stránkám a blogům, které šíří nenávistnou propagandu a bigotní - často násilné - ideologie. Tyto skupiny aktivistických hackerů nebo hacktivistů často útočily na teroristické internetové stránky, neonacistické blogy a dětské pornohvědy s útoky DDoS. vražda aktivisty za lidská práva v Charlottesville ve Virginii pravicovým extremistou.
Zatímco někteří, jako například Cloudflare CEO Mattew Prince a EFF (Electronic Frontier Foundation) kritizovali hacktivisty za snahu o umlčení svobody projevu útoky DDoS, zastánci hacktivismu tvrdí, že jejich digitální protesty proti odporným ideologiím se neliší od naplnění náměstí nebo pořádání sit-inu v souladu s hnutím „Occupy“, které začalo se slavným protestem Occupy Wall Street dne 17. září 2011, což přineslo globální pozornost rostoucí socioekonomické nerovnosti na celém světě.
Zatímco někteří mohou argumentovat, že DDoS je nástrojem pro opravdový protest, umožňující etickým hackerům jednat rychle proti teroristům, fanatikům a pedofilům tak, aby jejich nemorální (a často ilegální) obsah byl offline pro dobro, takové útoky mají také temnou stránku . Investigativní novináři a píšťalky byli v minulosti často cílem těchto útoků a teprve v loňském roce byly internetové stránky novináře kybernetické bezpečnosti Briana Krebse převzaty masivním útokem DDoS, který měřil šílený 665 Gbps na svém vrcholu. . Krebs dříve informoval o izraelské službě DDoS-for-najmout službu zvanou vDOS, což mělo za následek zatčení dvou izraelských státních příslušníků, a útok byl považován za odplatu.
Útoky DDoS a plán Cloudflare je učinit věcí minulosti
Navzdory tomu, že Cloudflare je odvážné tvrzení o tom, že DDoS útočí na věc, pokud v minulosti, mnoho odborníků tvrdí, že není technologicky možné, aby DDoS útoky zcela zastaralé v této fázi. Zatímco gigantické korporace, jako je Facebook nebo Google, mají potřebnou redundanci infrastruktury, aby se ujistily, že takové útoky nikdy netrpí, rozšíření takové ochrany na každé jednotlivé místo pod sluncem může představovat výzvu i pro největší CDN. Princ však tvrdil, že Cloudflare je schopen absorbovat „cokoliv, co na nás internet hází“, takže jen čas ukáže, zda budou útoky DDoS zaslány do análů historie pro dobro, nebo pokud budou skupiny hacktivistů schopny obejít některé protiopatření k pokračování jejich morální křížové výpravy proti násilí, nenávisti a nespravedlnosti.
