Co to jest odmowa usługi?

Denial of Service lub DoS to termin używany do opisania cyfrowego ataku na maszynę lub sieć mającego na celu uniemożliwienie jej użytku. W wielu przypadkach oznacza to zalanie odbiorcy tak dużą liczbą żądań lub tak dużym ruchem, że powoduje to awarię. Czasami może to również oznaczać wysłanie mniejszej ilości konkretnych, szkodliwych informacji, aby na przykład spowodować awarię.

Aby wyjaśnić ten proces bardziej szczegółowo – maszyna podłączona do sieci może obsłużyć ( to znaczy wysyłać i odbierać ) pewną ilość ruchu i nadal działać. Wielkość ruchu zależy od wielu czynników, takich jak wielkość wysyłanych żądań i przesyłanych informacji. Jak również jakość i siła łączności sieciowej.

Gdy wysyłanych jest zbyt wiele żądań, sieć będzie miała trudności z nadążaniem. W niektórych przypadkach prośby zostaną odrzucone lub pozostaną bez odpowiedzi. Jeśli nadwyżka jest zbyt wysoka, mogą wystąpić problemy z siecią lub maszyną odbiorczą, włącznie z błędami i wyłączeniami.

Rodzaje ataków

Istnieje wiele różnych rodzajów ataków DoS o różnych celach i metodologiach ataków. Niektóre z najpopularniejszych to:

SYN Powódź

Powódź SYN ( wymawiane jako „grzech” ) to atak, w którym atakujący wysyła szybkie, powtarzające się żądania połączenia bez ich finalizowania. Zmusza to stronę odbierającą do wykorzystania swoich zasobów do otwierania i utrzymywania nowych połączeń, czekając na ich rozwiązanie. To się nie zdarza. Zużywa to zasoby i albo spowalnia, albo sprawia, że ​​system, którego dotyczy problem, jest całkowicie bezużyteczny.

Pomyśl o tym jak o odpowiadaniu na DM – jeśli sprzedawca otrzyma sto zapytań o samochód, który chce sprzedać. Muszą poświęcić czas i wysiłek, aby odpowiedzieć na nie wszystkie. Jeśli 99 z nich pozostawi sprzedawcę w czytaniu, pojedynczy prawdziwy kupujący może nie otrzymać odpowiedzi lub otrzymać ją o wiele za późno.

Atak SYN flood bierze swoją nazwę od pakietu użytego w ataku. SYN to nazwa pakietu używana do ustanowienia połączenia za pośrednictwem protokołu kontroli transmisji lub protokołu TCP, który jest podstawą większości ruchu internetowego.

Atak przepełnienia bufora

Przepełnienie bufora występuje, gdy program korzystający z pamięci dostępnej w systemie przekracza przydział pamięci. Tak więc, jeśli jest zalany tak dużą ilością informacji, przydzielona pamięć nie wystarcza, aby go obsłużyć. W związku z tym nadpisuje również sąsiednie lokalizacje pamięci.

Istnieją różne rodzaje ataków polegających na przepełnieniu bufora. Na przykład wysłanie niewielkiej ilości informacji w celu nakłonienia systemu do utworzenia małego bufora przed zalaniem go większą porcją informacji. Lub te, które wysyłają zniekształcony typ danych wejściowych. Każda jego forma może powodować błędy, wyłączenia i nieprawidłowe wyniki w programie, którego dotyczy problem.

Ping Śmierci

Względnie humorystycznie nazwany atak PoD wysyła zniekształcone lub złośliwe polecenie ping do komputera w celu spowodowania jego nieprawidłowego działania. Normalne pakiety ping mają maksymalnie około 56-84 bajtów. Jednak to nie jest ograniczenie. Mogą mieć nawet 65 000 bajtów.

Niektóre systemy i maszyny nie są zaprojektowane do radzenia sobie z tego rodzaju pakietami, co prowadzi do tak zwanego przepełnienia bufora, które zwykle powoduje awarię systemu. Może być również używany jako narzędzie do wstrzykiwania złośliwego kodu, w niektórych przypadkach, gdy zamknięcie nie jest celem.

Rozproszone ataki DoS

Ataki DDoS są bardziej zaawansowaną formą ataku DoS – składają się z wielu systemów, które współpracują ze sobą w celu przeprowadzenia skoordynowanego ataku DoS na pojedynczy cel. Zamiast ataku 1 do 1, jest to sytuacja Wiele do 1.

Ogólnie rzecz biorąc, ataki DDoS mają większe szanse powodzenia, ponieważ mogą generować większy ruch, trudniej jest ich uniknąć i im zapobiegać, a także można je łatwo ukryć jako „normalny” ruch. Ataki DDoS mogą być przeprowadzane nawet przez proxy. Załóżmy, że osobie trzeciej udaje się zainfekować komputer „niewinnych” użytkowników złośliwym oprogramowaniem. W takim przypadku mogą użyć maszyny tego użytkownika, aby przyczynić się do swojego ataku.

Obrona przed atakami (D)DoS

Ataki DoS i DDoS to stosunkowo proste metody. Nie wymagają od atakującego wyjątkowo wysokiego poziomu wiedzy technicznej ani umiejętności. Gdy się powiedzie, mogą mieć ogromny wpływ na ważne witryny i systemy. Jednak nawet strony rządowe zostały usunięte w ten sposób.

Istnieje wiele różnych sposobów obrony przed atakami DoS. Większość z nich działa nieco podobnie i wymaga monitorowania ruchu przychodzącego. Ataki SYN można zablokować, blokując przetwarzanie określonej kombinacji pakietów, która nie występuje w tej kombinacji w zwykłym ruchu. Po zidentyfikowaniu jako DoS lub DDoS, blackholing służy do ochrony systemu. Niestety cały ruch przychodzący ( w tym autentyczne żądania ) jest przekierowywany i odrzucany w celu zachowania integralności systemu.

Możesz skonfigurować routery i zapory, aby odfiltrować znane protokoły i problematyczne adresy IP używane w poprzednich atakach. Nie pomogą w przypadku bardziej wyrafinowanych i dobrze rozłożonych ataków. Ale nadal są niezbędnymi narzędziami do powstrzymywania prostych ataków.

Chociaż technicznie nie jest to obrona, upewnienie się, że w systemie jest dużo wolnej przepustowości i nadmiarowych urządzeń sieciowych, może również skutecznie zapobiegać sukcesom ataków DoS. Polegają na przeciążeniu sieci. Silniejszą sieć trudniej przeciążyć. Autostrada 8-pasmowa wymaga zablokowania większej liczby samochodów niż autostrada 2-pasmowa, coś w tym stylu.

Znacznej części ataków DoS można zapobiec, instalując poprawki do oprogramowania, w tym do systemów operacyjnych. Wiele z wykorzystywanych problemów to błędy w oprogramowaniu, które programiści naprawiają lub przynajmniej oferują środki zaradcze. Jednak niektórych typów ataków, takich jak DDoS, nie można naprawić za pomocą łatek.

Wniosek

Skutecznie każda sieć skutecznie broniąca się przed atakami DoS i DDoS zrobi to, łącząc zestaw różnych środków zapobiegawczych i środków zaradczych, które dobrze ze sobą współpracują. W miarę jak ataki i osoby atakujące ewoluują i stają się coraz bardziej wyrafinowane, zmieniają się również mechanizmy obronne.

Prawidłowo skonfigurowany, skonfigurowany i konserwowany może stosunkowo dobrze chronić system. Ale nawet najlepszy system prawdopodobnie odrzuci część legalnego ruchu i przepuści kilka nielegalnych żądań, ponieważ nie ma idealnego rozwiązania.