Vilka är farorna med DoS- och DDoS-attacker? Vad är DoS- och DDoS-attack? Metoder för att motverka exploatering av sårbarheter i programvara.

Hotnivån beror direkt på attackens styrka och varaktighet

Dos (Denial of Service)-attacker

Logiken i attacken är att skapa förhållanden under vilka vanliga eller legitima användare av systemet inte kan komma åt resurserna som tillhandahålls av webbplatsen, eller så är tillgången till dem svår.

I de flesta fall är en DoS-attack ett mått på kommersiellt tryck på webbplatser. Driftstopp för en webbplats som genererar intäkter, räkningar från leverantören och åtgärder för att undvika en attack drabbade ägaren av resursen avsevärt.
Syftet med en DoS-attack kan också vara politiska, religiösa eller andra motiv när angriparna inte håller med om webbplatsens innehåll och policy.

En DoS-attack på en webbplats kan också vara ett förspel till att hacka en webbplats om den, när serverprogramvaran eller webbplatskoden misslyckas, producerar någon kritisk information - till exempel mjukvaruversionen, en del av programkoden, serversökvägar, etc. ).

När en attack utförs samtidigt från ett stort antal datorer kallar de det för en DDoS-attack (Distributed Denial of Service).

DDos (Distributed Denial of Service)-attacker

Teknikerna för att utföra DoS- och DDoS-attacker varierar, från en enkel attack på en resurs till "smarta" DoSa-tekniker som attackerar specifika svaga eller långvariga webbplatsskript.

Angripare utnyttjar ofta sårbarheter i serverprogramvara. Gamla versioner av serverprogramvara är känsliga för flera sårbarheter, inklusive instabilitet mot DoS- och DDoS-attacker. Exploater som använder dessa sårbarheter används för att organisera DoS- och DDoS-attacker.

En smart DDoSa-teknik är också en attack som leder till denial of service genom att överskrida gränser installerad hosting- leverantörer.

Nästan alla värdtjänster har odokumenterade tjänstebegränsningar, såsom antalet samtidiga förfrågningar till filsystem server, processorbelastningsgräns osv. Med denna information riktar angriparen en attack mot webbplatsen eller servern, vars mål är att överskrida dessa gränser.

Klassificering av DoS- och DDoS-attacker:

• BANDWIDTH SATURATION - en attack associerad med ett stort antal meningslösa förfrågningar till en webbplats, med målet att dess misslyckas på grund av uttömning av systemresurser - processor, minne eller kommunikationskanaler.
• HTTP - flood och PING - flood är primitiva DoS-attacker, vars syfte är att mätta bandbredden och neka webbplatstjänsten. Framgången för attacken beror direkt på skillnaden i kanalbredden på den attackerade webbplatsen och den attackerande servern.
• SMURF-attack (ICMP flood) är en av de farligaste DDoS-attackerna, när angriparen använder broadcasting för att kontrollera löpande noder i systemet genom att skicka en ping-förfrågan. I den skickar angriparen ett falskt ICMP-paket till en sändningsadress. Angriparens adress ändras sedan till offrets. Alla noder kommer att skicka ett svar till henne på ping-förfrågan. Därför kommer ett ICMP-paket som skickas av en angripare genom ett förstärkningsnätverk som innehåller 200 noder att förstärkas 200 gånger.
• FRAGGLE - attack (UDP - flood) - en attack som liknar SMURF - en attack där UDP-paket används istället för ICMP-paket. Funktionsprincipen för denna attack är enkel: ekokommandon skickas till den attackerade servern via en sändningsförfrågan. Sedan ersätts angriparens IP-adress med offrets IP-adress, som snart får många svarsmeddelanden. Denna attack resulterar i bandbreddsmättnad och ett fullständigt överbelastningsskydd för offret. Om ekotjänsten fortfarande är inaktiverad kommer ICMP-meddelanden att genereras, vilket också leder till bandbreddsmättnad
• ATTACK MED SYN-PAKET (SYN-flod) - kärnan i attacken är följande: två servrar upprättar en TCP-anslutning, vars installation kräver en liten mängd resurser. Genom att skicka flera falska förfrågningar kan du använda alla systemresurser som tilldelats för att upprätta en anslutning. Detta görs genom att ersätta den sanna IP-adressen med en obefintlig IP-adress för den attackerande servern när SYN-paket skickas. Offerservern kommer att skapa en kö av obearbetade anslutningar, vilket kommer att förbruka dess resurser.
  Det är extremt svårt att fastställa källan till en sådan attack, eftersom... de riktiga adresserna till de attackerande servrarna ersätts med obefintliga.

I vissa fall orsakas en faktisk DDoS-attack av en oavsiktlig åtgärd, till exempel att placera en länk på en populär resurs till en webbplats på en inte särskilt snabb och produktiv server (slashdot-effekt).

En stor tillströmning av användare leder också till att den tillåtna belastningen på servern överskrids och följaktligen en överbelastning av tjänsten.

Skydd mot DoS- och DDoS-attacker

Det finns inget universellt skydd mot DoS- och DDoS-attacker.
Garanterat skydd mot kraftfulla DDoS-attacker existerar inte.

DoS- eller DDoS-skyddsstrategin beror direkt på typen, logiken och kraften i själva attacken

Säkerhetsgranskning av webbplatsen

Garanterat webbplatsskydd från hackning och attacker

På datorsystem i syfte att få det att misslyckas, det vill säga skapa förhållanden under vilka lagliga (legitima) användare av systemet inte kan komma åt resurserna (servrarna) som tillhandahålls av systemet, eller så är denna åtkomst svår. Felet i ett "fiende" system kan också vara ett steg mot att bemästra systemet (om programvaran i en nödsituation producerar kritisk information - till exempel en version, en del av en programkod, etc.). Men oftare är detta ett mått på ekonomisk press: stilleståndstid för en intäktsgenererande tjänst, räkningar från leverantören och åtgärder för att undvika en attack träffar "målet" i fickan.

Om en attack utförs samtidigt från ett stort antal datorer talar vi om DDoS-attack(från engelska Distribuerad Denial of Service, distribuerad överbelastningsattack). I vissa fall orsakas en faktisk DDoS-attack av en oavsiktlig åtgärd, till exempel att placera en länk på en populär internetresurs till en webbplats som är värd på en inte särskilt produktiv server (slashdot-effekt). En stor tillströmning av användare leder till att den tillåtna belastningen på servern överskrids och följaktligen en överbelastning av vissa av dem.

Typer av DoS-attacker

Det finns olika anledningar till att ett DoS-tillstånd kan uppstå:

• Fel i programkod, vilket leder till åtkomst till ett oanvänt fragment av adressutrymmet, exekvering av en ogiltig instruktion eller annat obehandlat undantag när serverprogrammet - serverprogrammet - kraschar. Ett klassiskt exempel är omkastning med noll. null) adress.
• Otillräcklig verifiering av användardata, vilket leder till en oändlig eller lång cykel eller ökad långsiktig förbrukning av processorresurser (upp till uttömning av processorresurser) eller allokering av en stor mängd RAM (upp till uttömning av tillgängligt minne).
• Översvämning(Engelsk) översvämning- "översvämning", "översvämning") - en attack associerad med ett stort antal vanligtvis meningslösa eller felaktigt formaterade förfrågningar till ett datorsystem eller nätverksutrustning, som syftar till eller leder till ett fel i systemet på grund av uttömning av systemresurser - processor, minne eller kommunikationskanaler.
• Attack av den andra typen- en attack som försöker orsaka ett falskt larm av säkerhetssystemet och därmed leda till att en resurs inte är tillgänglig.

Om en attack (vanligtvis en översvämning) utförs samtidigt från ett stort antal IP-adresser - från flera datorer utspridda i nätverket - så kallas det i detta fall distribueradöverbelastningsattack ( DDoS).

Utnyttjande av fel

Utnyttjaär ett program, en mjukvarukod eller en sekvens av programvarukommandon som utnyttjar sårbarheter i programvara och används för att utföra en attack mot ett cybersystem. Av de exploits som leder till en DoS-attack, men som är olämpliga, till exempel för att ta kontroll över ett "fiende"-system, är de mest kända WinNuke och Ping of death.

Översvämning

Om översvämning som ett brott mot nätetikett, se översvämning.

Översvämning ringa en enorm ström av meningslösa förfrågningar med olika datorer för att ockupera "fiendens" system (processor, RAM eller kommunikationskanal) med arbete och därmed tillfälligt inaktivera det. Begreppet “DDoS-attack” är nästan likvärdigt med konceptet “flood”, och i vardagen är båda ofta utbytbara (”flood the server” = “DDoS the server”).

För att skapa en översvämning kan både vanliga nätverksverktyg som ping användas (till exempel är Internetgemenskapen "Upyachka" känd för detta), såväl som speciella program. Möjligheten till DDoS är ofta "hardwired" i botnät. Om en webbplats med hög trafik upptäcks ha en skriptsårbarhet över flera webbplatser eller förmågan att inkludera bilder från andra resurser, kan den här webbplatsen också användas för en DDoS-attack.

Översvämning av kommunikationskanalen och TCP-delsystemet

Alla datorer som har en anslutning till omvärlden via TCP/IP-protokollet är känsliga för följande typer av översvämningar:

• SYN flood - med denna typ av översvämningsattack skickas ett stort antal SYN-paket till den attackerade noden via TCP-protokollet (begäran att öppna en anslutning). Samtidigt, på den attackerade datorn igenom en kort tid antalet tillgängliga uttag för öppning (mjukvarunätverksuttag, portar) är slut och servern slutar svara.
• UDP-flod - denna typ av översvämning attackerar inte måldatorn, utan dess kommunikationskanal. Leverantörer antar rimligen att UDP-paket ska levereras först, och TCP kan vänta. Ett stort antal UDP-paket av olika storlekar täpper till kommunikationskanalen och servern som körs på TCP-protokollet slutar svara.
• ICMP flood är samma sak, men att använda ICMP-paket.

Applikationsnivå översvämning

Många tjänster är utformade på ett sådant sätt att en liten begäran kan orsaka en stor förbrukning av datorkraft på servern. I det här fallet är det inte kommunikationskanalen eller TCP-undersystemet som attackeras, utan själva tjänsten - en flod av liknande "sjuka" förfrågningar. Till exempel är webbservrar sårbara för HTTP-översvämningar, antingen en enkel GET / eller en komplex databasförfrågan som GET /index.php?search= kan användas för att inaktivera en webbserver.<случайная строка> .

Detektering av DoS-attacker

Det finns en åsikt att specialverktyg för att upptäcka DoS-attacker inte krävs, eftersom faktumet av en DoS-attack inte kan ignoreras. I många fall är detta sant. Emellertid observerades ganska ofta framgångsrika DoS-attacker, som märktes av offren först efter 2-3 dagar. Det hände att de negativa konsekvenserna av attacken ( översvämning-attacker) resulterade i onödiga kostnader för att betala för överskott av internettrafik, vilket blev tydligt först när man fick en faktura från internetleverantören. Dessutom är många attackdetekteringsmetoder ineffektiva nära attackmålet, men de är effektiva på nätverkets stamnät. I det här fallet är det lämpligt att installera detektionssystem där, snarare än att vänta tills användaren som har blivit attackerad märker det själv och söker hjälp. Dessutom, för att effektivt motverka DoS-attacker, är det nödvändigt att känna till typen, naturen och andra egenskaper hos DoS-attacker, och detekteringssystem gör att du snabbt kan få denna information.

Metoder för att upptäcka DoS-attacker kan delas in i flera stora grupper:

• signatur - baserad på kvalitativ trafikanalys.
• statistisk - baserat på kvantitativ analys av trafik.
• hybrid (kombinerad) - kombinerar fördelarna med båda ovanstående metoder.

Skydd mot DoS-attacker

Åtgärder för att motverka DoS-attacker kan delas in i passiva och aktiva, samt förebyggande och reaktionära.

Nedan följer en kort lista över de viktigaste metoderna.

• Förebyggande. Förebyggande av orsaker som får vissa individer att organisera och starta DoS-attacker. (Mycket ofta är cyberattacker i allmänhet resultatet av personliga klagomål, politiska, religiösa och andra meningsskiljaktigheter, provocerande beteende hos offret, etc.)
• Filtrering och svarthålning. Blockera trafik som kommer från attackerande maskiner. Effektiviteten av dessa metoder minskar när du kommer närmare attackmålet och ökar när du kommer närmare den attackerande maskinen.
• Omvänd DDOS- omdirigering av trafik som används för en attack till angriparen.
• Eliminering av sårbarheter. Fungerar inte emot översvämning-attacker där "sårbarheten" är ändligheten hos vissa systemresurser.
• Ökar resurser. Naturligtvis ger det inget absolut skydd, men det är det bra bakgrund att tillämpa andra typer av skydd mot DoS-attacker.
• Spridning. Bygga distribuerade och redundanta system som inte kommer att sluta betjäna användare, även om vissa av deras element blir otillgängliga på grund av en DoS-attack.
• Undvikande. Flytta det omedelbara målet för attacken (domännamn eller IP-adress) bort från andra resurser som ofta också exponeras tillsammans med det omedelbara målet för attacken.
• Aktivt svar. Inverkan på källor, arrangör eller center attackkontroll, både tekniska och organisatoriska och juridiska medel.
• Använda utrustning för att avvärja DoS-attacker. Till exempel DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® och från andra tillverkare.
• Köpa en tjänst för att skydda mot DoS-attacker. Detta är relevant om översvämning överstiger nätverkskanalkapaciteten.

se även

Anteckningar

Litteratur

• Chris Kaspersky Datavirus ut och in. - Peter. - St. Petersburg. : Peter, 2006. - S. 527. - ISBN 5-469-00982-3
• Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analys av typiska säkerhetsöverträdelser i nätverk = Intrångssignaturer och analys. - New Riders Publishing (engelska) St. Petersburg: Williams Publishing House (ryska), 2001. - S. 464. - ISBN 5-8459-0225-8 (ryska), 0-7357-1063-5 (engelska)
• Morris, R.T.= En svaghet i 4.2BSD Unix TCP/IP-programvaran. - Datavetenskap teknisk rapport nr 117. - AT&T Bell Laboratories, februari 1985.
• Bellovin, S.M.= Säkerhetsproblem i TCP/IP-protokollsviten. - Computer Communication Review, Vol. 19, nr 2. - AT&T Bell Laboratories, april 1989.
• =daemon9/route/infinity "IP-spooling Demystified: Trust Realization Exploitation." - Phrack Magazine, Vol.7, Issue 48. - Guild Production, juli 1996.
• =daemon9/route/infinity "Projekt Neptunus". - Phrack Magazine, Vol.7, Issue 48. - Guild Production, juli 1996.

Länkar

• DOS Attack i Open Directory Project-länkkatalogen (

Målet med en DDoS-attack kan antingen vara att blockera en konkurrents projekt eller en populär resurs, eller att få fullständig kontroll över systemet. När du marknadsför en webbplats, ta hänsyn till att DoS-villkor uppstår av följande skäl:

• på grund av fel i programkoden som leder till exekvering av ogiltiga instruktioner, åtkomst till en oanvänd del av adressutrymmet etc.;
• på grund av otillräcklig verifiering av användardata, vilket kan leda till en lång (eller oändlig) cykel, ökad förbrukning av processorresurser, minnesutmattning, etc.;
• på grund av översvämning - en extern attack genom ett stort antal felaktigt utformade eller meningslösa förfrågningar till servern. Det finns översvämningar av TCP-delsystemet, kommunikationskanaler och applikationsnivå
• på grund av yttre påverkan, vars syfte är att orsaka ett falskt larm av skyddssystemet och som ett resultat leda till att resursen inte är tillgänglig.

Skydd

DDoS-attacker är komplicerade eftersom om servern är nere tillräckligt länge, faller sidor ur indexet. För att upptäcka hot används signatur-, statistiska och hybridmetoder. Den första är baserad på kvalitativ analys, den andra - på kvantitativ, och den tredje kombinerar fördelarna med tidigare metoder. Motåtgärder kan vara passiva och aktiva, förebyggande och reaktionära. Följande metoder används huvudsakligen:

• eliminera personliga och sociala skäl som motiverar människor att organisera DDoS-attacker,
• svartholing och trafikfiltrering,
• eliminering av kodsårbarheter under sökmotoroptimering webbplats,
• öka serverresurserna, bygga redundanta och distribuerade system för säkerhetskopiering av användartjänster,
• teknisk och organisatorisk-juridisk påverkan på arrangören, källorna eller kontrollcentret för attacken,
• installation av utrustning för att avvärja DDoS-attacker (Arbor Peakflow®, DefensePro®, etc.),
• köpa en dedikerad server för webbhotell.

Nästan alla webbresurser, oavsett om det är en webbplats eller en tjänst, är öppen för vanliga användare. Öppna bara din webbläsare och skriv in önskad adress. Denna tillgänglighet kommer dock med vissa säkerhetsproblem, särskilt möjligheten för attacker som Denial of Service (DoS) och Distributed Denial of Service (DDoS).

Vad är en DoS-attack (Denial of Service)?

Innan du svarar på frågan "vad är en DoS-attack" (Denial of Service) måste du titta på hur data utbyts på Internet och vilken kraft som ges till webbresurser. För enklare förståelse, låt oss överväga det vanligaste alternativet.

Webbplatser och tjänster (hädanefter kallade webbplats eller webbplats) finns på separata datorer, även kallade servrar. På dessa servrar tilldelas de en viss del av resurserna för att fungera ( disk utrymme, Bagge, CPU-tid). Varje gång en användare öppnar en webbsida i en webbläsare betyder det för webbplatsen att den behöver ta upp en viss del av dessa resurser för att skapa den sidan. Därför kan en webbplats under en viss tidsperiod bara generera ett begränsat antal sidor. Detta innebär att om webbplatsen öppnas av fler användare än det antal som webbplatsen är designad för, kommer vissa användare som svar att få antingen ett felmeddelande om oförmågan att öppna webbplatsen (till exempel är webbplatsen inte tillgänglig) eller en varning om att webbplatsen överbelastas med en begäran om att vänta (webbplatsen är till exempel tillfälligt otillgänglig, försök öppna den om 5-10 minuter).

Kärnan i en DoS-attack (Denial of Service) är vad dess namn antyder, nämligen att attacken leder till att webbplatsen inte är tillgänglig för användarna. Tekniskt sett uppnås detta på grund av att angriparen ständigt öppnar ett stort antal webbsidor, vilket tar upp nästan alla resurser på webbplatsen och hindrar andra användare från att komma åt sidan. Denna process kan jämföras med att fiska bredvid en person som strör ut mat åt fisken i handfulla. I det här fallet, oavsett hur mycket du kastar fiskespöet i floden, kommer chansen att fånga en fisk vara nästan noll.

I dag, den här typen attacker är sällsynta, eftersom det är mycket lätt att hitta och identifiera en angripare - det är den från vilken ett stort antal förfrågningar om att öppna sidor ständigt kommer. Därför, ganska ofta, när du hör orden "DoS-attack" eller läser en text där ordet "DoS" används, talar vi om en DDoS-attack.

Vad är en DDoS-attack (Distributed Denial of Service)?

En DDoS-attack (Distributed Denial of Service) använder samma idé som en DoS-attack, men är tekniskt annorlunda. Kärnan i attacken följer också av dess namn – många angripardatorer kontaktar samtidigt sajten med en begäran om att få sidor, vilket i slutändan leder till samma konsekvenser som vid en DoS-attack. Denna process kan liknas vid samma fiske, men i en park där mängder av människor går runt och turas om att kasta mat i vattnet. På grund av det faktum att det finns många sådana människor kommer att kasta ett fiskespö leda till samma resultat som i den tidigare jämförelsen. Denna attack är dock svårare att genomföra, eftersom den kräver ganska många datorer. Av denna anledning, för att implementera denna attack, tillgriper de oftast botnätverk.

Notera: Ibland inträffar en DDoS-attack oavsiktligt när ett stort antal användare av misstag kommer in på en webbplats. Till exempel, när man annonserar en liten webbplats på portaler med enorm trafik, kan en sådan webbplats helt enkelt inte klara av tillströmningen av användare och vara tillfälligt otillgänglig.

Ett botnätnätverk är ett logiskt organiserat nätverk av många infekterade användardatorer (sådana datorer kallas även zombies), som kontrolleras av en eller flera angripare och som kommer att utföra de åtgärder som angriparna önskar. När det gäller DDoS talar vi om att skicka förfrågningar om att öppna webbsidor från hela eller delar av zombiedatorerna i botnätnätverket. Tekniskt sett sker skapandet av botnätnätverk genom infektion av datorer vanliga användare Trojaner, maskar och andra skadliga program. Som, efter infektion, skickar information om sig själva till kontrolllänkarna och lägger därmed till nätverket. Vanligtvis uppvisar sådan skadlig programvara sällan någon synlig skadlig aktivitet på användardatorer för att undvika onödiga systemkontroller av antivirus och andra säkerhetsverktyg. Detta gör att de kan vara kvar i botnätverket under en lång tid.

Notera: För de flesta användare av sådana infekterade datorer kommer den maximala effekten att endast vara periodiska hopp i nätverksaktivitet, vilket, även om det tidigare lätt kunde märkas (särskilt under modemens dagar), idag, med tillgången till höghastighetsinternet, t.ex. aktivitet är svår att avgöra utan specialverktyg.

Idag blir den här typen av attacker allt vanligare, för förutom att det är svårare att spåra, när det gäller stora botnätnätverk, är det helt enkelt omöjligt att snabbt neutralisera det.

Notera: Den främsta orsaken till ökningen av antalet DDoS-attacker är den snabba ökningen av antalet datorer, expansionen av programvara, utveckling av datautbyteshastigheter och en rad andra faktorer.

Slutord om DoS och DDoS

Ett avbrott på webbplatsen, även under en kort tidsperiod, kan påverka inte bara prestanda utan även antalet användare. Till exempel kan bristen på tillgång till ett stort projekt med mångmiljontrafik, även under några timmar, mycket väl innebära ett utflöde av användare till konkurrerande projekt (med hänsyn till tidsperioden kommer detta främst att påverka användare som har relativt nyligen börjat använda resursen).

Nyligen har vi kunnat se att DDoS-attacker är ett ganska kraftfullt vapen i informationsutrymme. Med hjälp av DDoS-attacker med hög effekt kan du inte bara stänga av en eller flera sajter, utan också störa driften av ett helt nätverkssegment eller stänga av internet i ett litet land. Nuförtiden sker DDoS-attacker allt oftare och deras kraft ökar varje gång.

Men vad är kärnan i en sådan attack? Vad händer på nätverket när det utförs, varifrån kom idén att göra detta och varför är det så effektivt? Du hittar svar på alla dessa frågor i vår artikel idag.

DDoS eller distribuerad denial-of-service är en attack mot en specifik dator i ett nätverk som gör att den, genom att överbelasta den, inte svarar på förfrågningar från andra användare.

För att förstå vad en ddos-attack betyder, låt oss föreställa oss en situation: en webbserver ger webbplatssidor till användare, låt oss säga att det tar en halv sekund att skapa en sida och helt överföra den till användarens dator, då kommer vår server att kunna att fungera normalt med en frekvens av två förfrågningar per sekund. Om det finns fler sådana förfrågningar kommer de att köas och behandlas så snart webbservern är ledig. Alla nya förfrågningar läggs till i slutet av kön. Låt oss nu föreställa oss att det finns många förfrågningar, och de flesta av dem skickas bara för att överbelasta den här servern.

Om hastigheten med vilken nya förfrågningar kommer överstiger behandlingshastigheten, kommer förfrågningskön med tiden att vara så lång att inga nya förfrågningar faktiskt kommer att behandlas. Detta är huvudprincipen för en ddos-attack. Tidigare skickades sådana förfrågningar från en IP-adress och detta kallades en denial of service-attack - Dead-of-Service, i själva verket är detta svaret på frågan om vad dos är. Men sådana attacker kan effektivt bekämpas genom att helt enkelt lägga till käll-IP-adressen eller flera till blockeringslistan; dessutom, på grund av nätverkets bandbreddsbegränsningar, kan flera enheter inte fysiskt generera ett tillräckligt antal paket för att överbelasta en allvarlig server.

Därför utförs nu attacker från miljontals enheter samtidigt. Ordet Disribed lades till i namnet, visade det sig - DDoS. Ensamma betyder dessa enheter ingenting, och kanske inte har en mycket höghastighetsanslutning till Internet, men när de alla börjar skicka förfrågningar till en server samtidigt kan de nå en total hastighet på upp till 10 Tb/s. Och detta är redan en ganska allvarlig indikator.

Det återstår att ta reda på var angriparna får så många enheter för att utföra sina attacker. Det är vanliga datorer eller olika IoT-enheter som angripare kunde få tillgång till. Detta kan vara vad som helst, videokameror och routrar med firmware som inte har uppdaterats på länge, styrenheter och vanliga datorer för användare som på något sätt fångat viruset och inte vet om dess existens eller inte har bråttom att ta bort det.

Typer av DDoS-attacker

Det finns två huvudtyper av DDoS-attacker, några som syftar till att överbelasta ett specifikt program och attacker som syftar till att överbelasta själva nätverkslänken till måldatorn.

Attacker mot överbelastning av ett program kallas även attacker 7 (i OSI-nätverksmodellen finns det sju nivåer och den sista är nivåerna för enskilda applikationer). En angripare attackerar ett program som använder mycket serverresurser genom att skicka ett stort antal förfrågningar. I slutändan hinner inte programmet bearbeta alla anslutningar. Det här är den typ vi diskuterade ovan.

DoS-attacker på internetkanalen kräver mycket mer resurser, men de är mycket svårare att hantera. Om vi ​​drar en analogi med osi, så är dessa attacker på 3-4-nivån, nämligen på kanalen eller dataöverföringsprotokollet. Faktum är att varje internetanslutning har sin egen hastighetsgräns vid vilken data kan överföras över den. Om det finns mycket data, alltså nätverkshårdvara precis som programmet kommer det att köa dem för överföring, och om mängden data och hastigheten med vilken den anländer avsevärt överstiger kanalens hastighet, kommer den att överbelastas. Dataöverföringshastigheten i sådana fall kan beräknas i gigabyte per sekund. Till exempel, i fallet med det lilla landet Liberia som kopplades bort från Internet, var dataöverföringshastigheten upp till 5 TB/sek. Dock räcker 20-40 Gb/s för att överbelasta de flesta nätverksinfrastrukturer.

Ursprunget till DDoS-attacker

Ovan tittade vi på vad DDoS-attacker är, såväl som metoder för DDoS-attacker, det är dags att gå vidare till deras ursprung. Har du någonsin undrat varför dessa attacker är så effektiva? De är baserade på militära strategier som har utvecklats och testats under många decennier.

I allmänhet många av tillvägagångssätten till informationssäkerhet baserad på militära strategier från det förflutna. Det finns trojanska virus som liknar det uråldriga slaget vid Troja, ransomware-virus som stjäl dina filer för lösen och DDoS-attacker som begränsar fiendens resurser. Genom att begränsa din motståndares alternativ får du viss kontroll över hans efterföljande handlingar. Denna taktik fungerar mycket bra för båda militära strateger. och för cyberbrottslingar.

När det gäller militär strategi kan vi mycket enkelt tänka på vilka typer av resurser som kan begränsas för att begränsa en fiendes kapacitet. Att begränsa vatten, mat och byggmaterial skulle helt enkelt förstöra fienden. Med datorer är allt annorlunda, det finns olika tjänster, till exempel DNS, webbserver, servrar E-post. De har alla olika infrastruktur, men det är något som förenar dem. Detta är ett nätverk. Utan ett nätverk kommer du inte att kunna komma åt fjärrtjänsten.

Krigsherrar kan förgifta vatten, bränna grödor och sätta upp checkpoints. Cyberkriminella kan skicka felaktig data till tjänsten, få den att förbruka allt minne eller helt överbelasta hela nätverkskanalen. Försvarsstrategier har också samma rötter. Serveradministratören måste övervaka inkommande trafik för att hitta skadlig trafik och blockera den innan den når målnätverkets kanal eller program.

Slutsatser

DDoS-attacker blir vanligare och kraftfullare för varje gång. Det innebär att de tjänster vi använder kommer att bli alltmer attackerade. Ett av sätten som vi kan minska antalet attacker på är genom att se till att våra enheter inte är infekterade med några virus och får uppdateringar i tid. Nu vet du vad en DDoS-attack är och vet grunderna för skydd, i en av följande artiklar kommer vi att titta på den sista punkten mer i detalj.

Avslutningsvis erbjuder jag en föreläsning om DDoS-attacker: