Cyber-rikokset ovat nousseet myöhään, ransomware-hyökkäykset (WannaCry, NotPetya), hakkerit tietokannat (Equifax, Sony, Yahoo) ja ohjelmistojen takapaneelit (Floxif / CCleaner, ShadowPad / NetSarang), jotka ovat usein otsikoita. Vaikka näiden hyökkäysten laajuus ja ulottuvuus ovat hämmästyttäviä, tosiasia on, että tietoverkkorikolliset eivät rajoitu pelkästään tietojen, identiteetin tai rahan varastamiseen. Virtuaalimaailmassa rikosten laajuus on yhtä suuri kuin todellisessa maailmassa, ellei enemmän. Eräs tietoverkkohyökkäyksen tyyppi, joka on ollut myöhässä, on DDoS, tai hajautettu palvelunestopyyntö, joka on usein jakanut valkoisen hatun hakkeriyhteisön vuosien varrella. Johtava CDN-palveluntarjoaja Cloudflare, joka ilmoittaa nyt ilmaiseksi DDoS-suojan kaikille asiakkailleen, ikivanha keskustelu "eettisestä" DDoS vs pahantahtoisesta DDoS: stä on alkanut jälleen, ja molemmat osapuolet tulevat täysin tukemaan omia argumenttejaan. Keskustelemalla DDoS-hyökkäyksistä, jotka herättävät kaikkialla Internetissä, tarkastelemme tätä ilmiötä yksityiskohtaisesti tänään, jotta yritämme vain oppia lisää siitä, mutta myös yrittää ymmärtää, miksi hacktivistit ja vapaamuotoiset edustusryhmät jatkavat epäonnistumista pyrkimyksensä päästä yksimielisyyteen siitä ensinnäkin:
Mikä on DDoS ja miten se toimii?
Yksinkertaisin termein hajautettu palvelunestohyökkäys (DDoS) on yritys yrittää keinotekoisesti häiritä sivuston tai verkon normaalia toimintaa tulvaamalla kohdepalvelin ylivoimaisella määrällä liikennettä, joka joko hidastaa tai kaatuu verkon kokonaan . Tämä saavutetaan käyttämällä useita vaarantuneita järjestelmiä osana "botnet" -verkkoa, joka voi sisältää minkä tahansa verkon yhteydessä olevan laitteen, mukaan lukien, mutta ei rajoittuen, tietokoneet, älypuhelimet ja IoT-laitteet. Black-hat-hakkerit sekä hacktivistit käyttävät erilaisia kehittyneitä työkaluja näiden hyökkäysten suorittamiseen paitsi tulvimalla kohdepalvelimia liian suurella määrällä liikennettä, mutta myös käyttämällä hienovaraisempia ja vaikeasti havaittavia tunkeutumistekniikoita, jotka kohdistuvat kriittiseen verkkoturvallisuuteen infrastruktuurin, kuten palomuurit ja IDS / IPS (Intrusion Detection / Prevention System).
Mikä on DoS ja miten se eroaa DDoS: stä?
Palvelunestohyökkäykset (DoS) ovat juuri sitä, mitä se kuulostaa siltä osin kuin se estää laillisia käyttäjiä käyttämästä kohdennettuja palvelimia, järjestelmiä tai muita verkkoresursseja. Kuten DDoS-hyökkäysten tapauksessa, henkilö tai henkilöt, jotka suorittavat tällaisen hyökkäyksen, tulisivat tavallisesti kohdennetun infrastruktuurin tulviksi liian suurella määrällä tarpeettomia tarpeita, jotta ne voisivat ylittää sen resurssit, mikä vaikeuttaa tai jopa mahdottomaksi vaikuttaa kyseiseen verkkoon tai järjestelmään vastaamaan aitoja palvelupyyntöjä. Loppukäyttäjälle DoS: n vaikutukset eivät ole täysin erilaiset kuin DDoS: n vaikutukset, mutta toisin kuin entinen, joka tyypillisesti käyttää yhtä konetta ja yksittäistä Internet-yhteyttä hyökkäyksen suorittamiseksi, jälkimmäinen käyttää useita vaarantuneita laitteita tullakseen aiotun kohteen, se on uskomattoman vaikea havaita ja estää.
Mitkä ovat DDoS-hyökkäysten eri tyypit?
Kuten aiemmin mainittiin, sekä verkkorikolliset että hacktivistit käyttävät lukemattomia hyökkäysvektoreita suorittamaan DDoS-hyökkäyksensä, mutta valtaosa näistä hyökkäyksistä kuuluu suurimmaksi osaksi kolmeen laajaan luokkaan: volumetriset tai kaistanleveyskohtaukset, protokollan hyökkäykset tai State-Exposure Attacks ja sovelluskerroksen hyökkäykset tai kerroksen 7 hyökkäykset. Kaikki nämä hyökkäykset kohdistuvat verkkoyhteyden eri osiin, jotka koostuvat 7 eri kerroksesta, kuten alla olevasta kuvasta näkyy:
1. Volumetriset hyökkäykset tai kaistanleveyskohtaukset
Tämäntyyppisten hyökkäysten uskotaan muodostavan yli puolet kaikista maailmassa vuosittain tehdyistä DDoS-hyökkäyksistä . Volumeettisia hyökkäyksiä on erilaisia, ja yleisimpiä ovat UDP ( User Datagram Protocol ) -influenssa, jolloin hyökkääjä lähettää suuren määrän UDP-paketteja kauko-isäntä satunnaisiin portteihin, jolloin palvelin tarkistaa ja reagoi toistuvasti muihin kuin - olemassa olevat sovellukset, jolloin se ei reagoi lailliseen liikenteeseen. Samankaltaisia tuloksia voidaan saavuttaa myös tulvimalla uhripalvelin ICMP: n (Internet Control Message Protocol) kaiunpyynnöillä useilta usein loukkaamattomilta IP-osoitteilta. Kohdepalvelin yrittää vastata jokaiselle näistä vääriä pyyntöjä vilpittömässä mielessä, lopulta ylikuormitukseksi ja kyvyttömäksi reagoimaan aitoon ICMP-kaiun pyyntöön. Volumetriset hyökkäykset mitataan bitteinä sekunnissa (Bps).
2. Protokollan hyökkäykset tai tilanpoisto-iskut
Protokollahyökkäykset, jotka tunnetaan myös nimellä State-Expet -hyökkäykset, kuluttavat paitsi web-sovelluspalvelimien, myös muiden infrastruktuurikomponenttien, mukaan lukien välivarojen, kuten kuormituksen tasapainottimet ja palomuurit, yhteystilaa. Tämäntyyppiset hyökkäykset on nimetty "protokollan hyökkäyksiksi", koska ne kohdistuvat protokollapinojen kerrosten 3 ja 4 heikkouksiin tavoitteensa saavuttamiseksi. Jopa huippuluokan kaupalliset laitteet, jotka on erityisesti suunniteltu ylläpitämään tilaa miljoonille yhteyksille, voivat pahasti vaikuttaa protokollan hyökkäyksiin. Yksi tunnetuimmista protokollan hyökkäyksistä on "SYN-tulva", joka hyödyntää TCP: n "kolmisuuntaista kättelymekanismia". Toimintatapa on, että isäntä lähettää TCP / SYN-pakettien tulvan, usein väärennetyn lähettäjän osoitteen kanssa, jotta se kuluttaa tarpeeksi palvelinresursseja, jotta oikeutetut pyynnöt ovat lähes mahdotonta. Muita protokollahyökkäystyyppejä ovat Ping of Death, Smurf DDoS ja pirstoutuneet pakettihyökkäykset. Tämäntyyppiset hyökkäykset mitataan paketeina sekunnissa (Pps).
3. Sovelluskerroksen hyökkäykset tai kerroksen 7 hyökkäykset
Sovelluskerroksen hyökkäykset, joita usein kutsutaan kerroksen 7 hyökkäyksiksi viittaamalla OSI-tilan seitsemänteen kerrokseen, kohdistetaan kerrokseen, jossa Web-sivut luodaan toimitettaviksi käyttäjille, jotka lähettävät HTTP-pyyntöjä. Erilaisia kerroksen 7 hyökkäyksiä ovat pahamaineinen Slowlorisin hyökkäys, jossa hyökkääjä lähettää suuren määrän HTTP-pyyntöjä "hitaasti" kohdepalvelimelle, mutta ei koskaan täytä mitään pyyntöjä. Hyökkääjä lähettää edelleen ylimääräisiä otsakkeita pienin väliajoin ja pakottaa palvelimen pitämään avoimen yhteyden näihin loputtomiin HTTP-pyyntöihin ja lopulta turvaavat riittävästi resursseja, jotta järjestelmä ei reagoi kelvollisiin pyyntöihin. Toinen suosittu 7-kerroksinen hyökkäys on HTTP-tulvahyökkäys, jossa suuri joukko phony-HTTP-, GET- tai POST-pyyntöjä tulvistaa kohdepalvelimen lyhyessä ajassa, minkä seurauksena legit-käyttäjille evätään palvelu. Koska sovelluskerroksen hyökkäykset sisältävät tyypillisesti epätavallisen suuren määrän pyyntöjä lähettämisen kohdepalvelimelle, ne mitataan pyyntöissä sekunnissa (Rps).
Yllä kuvattujen yksittäisten vektorihyökkäysten lisäksi on olemassa myös useita vektorihyökkäyksiä, jotka kohdistuvat järjestelmiin ja verkkoihin useista eri suunnista kerrallaan, mikä tekee verkko-insinööreistä yhä vaikeampaa selittää kattavia strategioita DDoS-hyökkäyksiä vastaan. Eräs tällainen esimerkki monivektorisesta hyökkäyksestä on, kun hyökkääjä yhdistää DNS-vahvistuksen, joka kohdistuu kerroksiin 3 ja 4, ja HTTP-tulva, joka kohdistaa kerroksen 7.
Kuinka suojata verkkoasi DDoS-hyökkäyksen vastaisesti
Koska useimmat DDoS-iskut hyökkäävät ylittämällä kohdepalvelimen tai liikenneverkon, DDoS-hyökkäysten lieventämiseksi on tehtävä ensimmäinen ero todellisen liikenteen ja haitallisen liikenteen välillä . Kuten odotat, asiat eivät kuitenkaan ole niin helppoja, kun otetaan huomioon näiden hyökkäysten erilaisuus, monimutkaisuus ja hienostuneisuus. Näin ollen verkon suojaaminen uusimpia ja hienostuneimpia DDoS-hyökkäyksiä vastaan edellyttävät verkkoinsinöörejä huolellisesti suunnitelluille strategioille, jotta lapsi ei heittäisi pois kylpyvedestä. Koska hyökkääjät yrittävät parhaansa tehdä haittaohjelmat tavallisiksi, kaikki liikenteen rajoittamista koskevat lieventämistoimet rajoittavat rehellistä liikennettä, kun taas sallivamman suunnittelun ansiosta hakkerit voivat kiertää vastatoimia helpommin. Näin ollen on toteutettava kerrostettu ratkaisu tehokkaimman ratkaisun saavuttamiseksi.
Kuitenkin, ennen kuin pääsemme teknisiin asioihin, meidän on ymmärrettävä, että koska useimmat DDoS-hyökkäykset näinä päivinä osallistuivat tietoliikenteen kaistoja tavalla tai toisella, yksi ilmeisistä asioista on suojata itseäsi ja verkostosi on enemmän irti: lisää kaistanleveys ja useammat palvelimet jakautuvat useisiin tietokeskuksiin eri paikkakunnilla, mikä toimii myös vakuutuksena luonnonkatastrofeilta jne.
Toinen tärkeä asia on seurata joitakin alan parhaita käytäntöjä, kun kyse on DNS-palvelimista. Avoimien ratkaisujen poistaminen on yksi kriittisistä ensimmäisistä askeleista puolustuksessasi DDoS: ää vastaan, koska mikä on hyvä sivusto, jos kukaan ei pysty ratkaisemaan verkkotunnuksesi etusijalla? Näin ollen on tarkasteltava tavanomaista dual-DNS-palvelinasetusta, jota useimmat verkkotunnusrekisterinpalvelimet tarjoavat oletuksena. Monet yritykset, mukaan lukien useimmat huippuluokan CDN-palveluntarjoajat, tarjoavat myös parannettua DNS-suojausta redundanttien DNS-palvelimien avulla, jotka ovat suojattuja saman tyyppisen kuormituksen tasapainottamisen takia, joita web ja muut resurssit ovat.
Vaikka useimmat sivustot ja blogit ulkoistavat isäntänsä kolmansille osapuolille, jotkut haluavat palvella omia tietojaan ja hallita omia verkkojaan. Jos kuulut tähän ryhmään, jotkin tärkeimmistä, mutta kriittisistä toimialoista, joita sinun on seurattava, sisältävät tehokkaan palomuurin ja ICMP: n estämisen, jos et tarvitse niitä. Varmista myös, että kaikki reitittimet pudottavat roskapaketteja . Sinun pitäisi myös ottaa yhteyttä Internet-palveluntarjoajaan ja tarkistaa, voivatko ne auttaa estämään halutun liikenteen. Ehdot vaihtelevat Internet-palveluntarjoajan välillä, joten sinun on tarkistettava verkko-operaatiokeskustensa kanssa, onko he tarjoavat tällaisia palveluja yrityksille. Seuraavassa on joitakin vaiheita, joita CDN-palveluntarjoajat, Internet-palveluntarjoajat ja verkonvalvojat käyttävät usein DDoS-hyökkäysten lieventämiseen:
Musta reikäreititys
Musta reikäreititys tai Blackholing on yksi tehokkaimmista tavoista lieventää DDoS-hyökkäystä, mutta se on pantava täytäntöön vasta verkkoliikenteen asianmukaisen analyysin jälkeen ja luoden tiukka rajoituskriteeri, koska se muutoin "rei'ittää" tai reitittää kaikki saapuva liikenne nolla-reitille (blackhole) riippumatta siitä, onko se aito vai haitallinen. Se kiertää teknisesti DDoS: n, mutta hyökkääjä on saavuttanut tavoitteensa häiritä verkon liikennettä.
Korkorajoitus
Toinen menetelmä, jota käytetään usein DDoS-hyökkäysten lieventämiseen, on "Rate Limiting". Kuten nimestä voi päätellä, siihen liittyy sellaisten pyyntöjen rajoittaminen, joita palvelin hyväksyy tietyn ajan kuluessa . Se on käyttökelpoinen pysäyttämään web-kaavinlaitteita varastamasta sisältöä ja lieventämään voimakas sisäänkirjautumisyrityksiä, mutta niitä on käytettävä yhdessä muiden strategioiden kanssa, jotta DDoS-hyökkäyksiä voidaan käsitellä tehokkaasti.
Web-sovelluksen palomuuri (WAF)
Vaikka käänteiset valtakirjat ja WAF-ohjelmat eivät ole lähes riittäviä itsestään, ne ovat joitakin ensimmäisiä vaiheita, joita on toteutettava erilaisten uhkien lieventämiseksi, ei vain DDoS. WAF: t auttavat suojelemaan kohdeverkkoa kerroksen 7 hyökkäyksiltä suodattamalla pyyntöjä, jotka perustuvat DDoS-työkalujen tunnistamiseen käytettäviin sääntöihin, mutta se on myös erittäin tehokas suojaamaan palvelimia SQL-injektiosta, sivustojen välisestä komentosarjasta ja sivustojen välisestä väärentämispyynnöstä.
Anycast-verkon diffuusio
Sisällöntoimitusverkot (CDN) käyttävät usein Anycast-verkkoja tehokkaana keinona lieventää DDoS-hyökkäyksiä. Järjestelmä ohjaa reitittämällä kaiken liikenteen, joka on suunnattu hyökkäysverkkoon, hajautettujen palvelimien sarjaan eri paikoissa, mikä levittää DDoS-hyökkäyksen häiritsevää vaikutusta.
Miten Cloudflare ehdottaa, että DDoS-hyökkäykset lopetetaan hyvän DDoS-suojauksen avulla?
Yksi maailman tärkeimmistä sisällönsiirtoverkostoista, Cloudflare, ilmoitti äskettäin, että se suojaa DDoS-hyökkäyksiltä paitsi maksetuille asiakkailleen myös vapaille asiakkailleen hyökkäyksen koosta ja laajuudesta riippumatta . Kuten odotettiin, aiemmin tällä viikolla tehty ilmoitus on luonut melkoisen buzzin sekä teollisuudessa että globaaleissa tech-medioissa, joita tavallisesti käytetään CDN-palveluihin, kuten Cloudflareen, joko potkaistessaan alihyökkäysasiakkaita tai vaatimalla lisää rahaa suojelua. Vaikka uhrit ovat tähän saakka joutuneet huolehtimaan itsestään hyökkäyksen aikana, vapaat, mittasuhteettomat DDoS-suojaukset ovat saaneet lämpimästi blogeja ja yrityksiä, joiden verkkosivustot ja verkot ovat jatkuvasti uhkana kiistanalaisen sisällön julkaisemiselle.
Vaikka Cloudflare-tarjous on todellakin vallankumouksellinen, yksi asia, joka on mainittava, on se, että ilmaisen, mittaamattoman suojan tarjous on sovellettavissa vain kerrosten 3 ja 4 hyökkäyksiin, kun taas kerroksen 7 hyökkäykset ovat edelleen käytettävissä vain maksetuissa suunnitelmissa, jotka alkavat 20 dollaria kuukaudessa.
Jos onnistuu, mitä Cloudflare-tarjous merkitsee ”hacktivismille”?
Kuten odotettiin, Cloudflaren ilmoitus on herättänyt hacktivistien ja internetin tietoturva-asiantuntijoiden keskustelun eettisestä hakkeroinnista ja sananvapaudesta. Monet hacktivistiryhmät, kuten Chaos Computer Club (CCC) ja Anonymous, ovat jo pitkään väittäneet, että digitaalisten protestien esittäminen on välttämätöntä verkkosivustoja ja blogeja vastaan, jotka levittävät vihamielistä propagandaa ja suuria - usein väkivaltaisia - ideologioita. Näin ollen nämä aktivistien hakkereiden ryhmät tai hacktivistit ovat usein kohdelleet terrorismin verkkosivuja, uusnatsilaisia blogeja ja lapsipornoja, joilla on DDoS-hyökkäykset, ja viimeisin onnettomuus on oikeanpuoleinen "Daily Stormer" -blogi, joka kehui hiljattain ihmisoikeusaktivistin murha Charlottesvillessä, Virginiassa, oikeanpuoleisen ääriryhmän toimesta.
Vaikka jotkut, kuten Cloudflare toimitusjohtaja Mattew Prince ja EFF (Electronic Frontier Foundation) ovat kritisoineet hacktivisteja siitä, että he yrittivät hiljaa ilmaisua DDoS-hyökkäyksillä, hacktivismin kannattajat väittävät, että heidän digitaaliset protestit hämmentäviä ideologioita vastaan eivät eroa kaupungin aukion täyttämisestä tai pitämällä istuntosalin "Occupy" -liikkeen mukaisesti, joka alkoi kuuluisalla Occupy Wall Streetin protestilla 17. syyskuuta 2020, jolloin maailmanlaajuinen huomio kiinnitettiin lisääntyvään sosioekonomisen epätasa-arvoon maailmanlaajuisesti.
Jotkut saattavat väittää, että DDoS on todellisen mielenosoituksen työkalu, joka mahdollistaa eettisten hakkereiden toimimisen nopeasti terroristeja, bigotteja ja pedofiilejä vastaan, jotta heidän moraalittomat (ja usein laittomat) sisällönsä ovat hyviä, tällaisilla hyökkäyksillä on myös pimeä puoli . Aiemmin tällaisten hyökkäysten kohteina ovat olleet tutkivat journalistit ja ilmiantajat, ja vasta viime vuonna, että verkkoturvallisuuden toimittajan, Brian Krebsin, verkkosivuilla oli massiivinen DDoS-hyökkäys, jossa mitattiin hullu 665 Gbps huippuaan . Krebs oli aiemmin raportoinut israelilaisesta DDoS-palkka-palvelusta vDOS-nimisestä palvelusta, mikä johti kahden Israelin kansalaisen pidättämiseen, ja hyökkäyksen uskottiin olevan vastoin.
DDoS-hyökkäykset ja Cloudflaren suunnitelma tehdä niistä menneisyyden asia
Huolimatta Cloudflaren rohkeasta väitteestä, että DDoS hyökkää jotain, jos menneisyys, monet asiantuntijat väittävät, että ei ole teknisesti mahdollista tehdä DDoS-hyökkäyksiä täysin vanhentuneita tässä vaiheessa. Vaikka giganttisilla yrityksillä, kuten Facebookilla tai Googlella, on tarvittavat infrastruktuurien irtisanomiset varmistaakseen, että he eivät koskaan kärsi tällaisista hyökkäyksistä, tällaisen suojan laajentaminen jokaiselle auringon alla olevalle sivustolle voi aiheuttaa haasteen jopa suurimmalle CDN: lle. Prince on kuitenkin väittänyt, että Cloudflare kykenee absorboimaan "kaiken, mitä internet heittää meille", joten vain aika kertoo, lähetetäänkö DDoS-hyökkäykset historia-aikoihin hyväksi, tai jos hacktivistiryhmät pystyvät kiertämään joitakin vastatoimia, joilla pyritään jatkamaan moraalista ristiriitaa väkivaltaa, vihaa ja epäoikeudenmukaisuutta vastaan.
![Microsoftin matka: Windows NT Windows 8: een [PICS]](https://gadget-info.com/img/social-media/699/journey-microsoft-3.jpg)
