Odporúčaná, 2024

Redakcia Choice

Čo je DDoS a ako je Cloudflare 'Free DDoS Protection' ohrozuje hacktivizmus

Počítačové zločiny boli na vzostupe neskoro, s útokmi ransomware (WannaCry, NotPetya), hackovanými databázami (Equifax, Sony, Yahoo) a softvérovými backdoors (Floxif / CCleaner, ShadowPad / NetSarang). Zatiaľ čo rozsah a dosah týchto útokov sú prekvapujúce, faktom je, že kybernetickí zločinci sa neobmedzujú len na krádež vašich údajov, totožnosti alebo peňazí. Rozsah zločinov vo virtuálnom svete je taký veľký, ako je v reálnom svete, ak nie viac. Jeden typ cyber-útoku, ktorý sa v poslednom čase zameral, je DDoS alebo distribuované odmietnutie služby, ktoré často rozdeľovali komunitu hackerov bieleho klobúka v priebehu rokov. Vďaka poprednému poskytovateľovi služieb CDN Cloudflare, ktorý teraz oznamuje bezplatnú ochranu DDoS pre všetkých svojich klientov, začala stará diskusia o "etickom" DDoS proti škodlivému DDoS, pričom obe strany prichádzali s plnou podporou svojich argumentov. Keď sa diskusia o útokoch DDoS zužuje po celom internete, poďme sa podrobne pozrieť na tento jav v snahe nielen dozvedieť sa viac o tom, ale aj pokúsiť sa pochopiť, prečo hacktivisti a advokátske skupiny slobodného prejavu naďalej zlyhávajú ich úsilie o dosiahnutie konsenzu v prvom rade:

Čo je DDoS a ako to funguje?

V najjednoduchšom zmysle je útok distribuovaného odmietnutia služby (DDDS) pokusom umelo narušiť normálne fungovanie stránky alebo siete zaplavením cieľového servera s ohromným množstvom návštev, ktoré buď spomaľujú alebo úplne narazia na sieť, Toho sa dosiahne použitím viacerých kompromitovaných systémov ako súčasťou toho, čo je známe ako "botnet", ktorý môže zahŕňať akékoľvek zariadenie pripojené k sieti, vrátane počítačov, inteligentných telefónov a zariadení IO. Black-hat hackeri a hacktivisti používajú rôzne sofistikované nástroje na vykonanie týchto útokov nielen zaplavovaním cieľových serverov s nadmerným množstvom návštevnosti, ale aj použitím jemnejších a ťažko zistiteľných infiltračných techník, ktoré sa zameriavajú na kritické zabezpečenie siete infraštruktúry, ako sú firewally a IDS / IPS (systém detekcie / prevencie narušení).

Obrázok so súhlasom: WccfTech

Čo je DoS a ako sa líši od DDoS?

Denial-of-service (DoS) útoky je presne to, čo to vyzerá, ak zabraňuje oprávneným používateľom prístup k cieleným serverom, systémom alebo iným sieťovým zdrojom. Rovnako ako v prípade útokov DDoS, osoba alebo osoby, ktoré takéto útoky zaútočia, zvyčajne zaplatia cielenú infraštruktúru s mimoriadne vysokým objemom nadbytočných požiadaviek s cieľom prekonať svoje zdroje, a tým znemožniť alebo dokonca znemožniť postihnutú sieť alebo systém reagovať na skutočné požiadavky na službu. Konečnému používateľovi sa účinky systému DoS úplne nelíšia od účinkov DDoS, ale na rozdiel od predchádzajúceho, ktorý zvyčajne používa jediný stroj a jedinečné internetové pripojenie na vykonanie útoku, používa viacero kompromitovaných zariadení na zaplatenie zamýšľaného cieľa, čo je neuveriteľne ťažké zistiť a zabrániť.

Aké sú rôzne typy útokov DDoS?

Ako už bolo spomenuté, tak kybernetickí zločinci aj hacktivisti využívajú nespočetné množstvo útokov na útoky DDoS, ale veľká väčšina týchto útokov bude z väčšej časti spadať pod tri veľké kategórie: Útoky z volumetrického alebo prenosového pásma, protokolové útoky alebo Útoky na vyčerpanie stavu a Útoky vrstvy aplikácie alebo Útoky vrstvy 7. Všetky tieto útoky sú zamerané na rôzne komponenty sieťového pripojenia, ktoré pozostávajú zo 7 rôznych vrstiev, ako je vidieť na obrázku nižšie:

Obrázok so súhlasom: Cloudflare

1. Volumetrické útoky alebo útoky šírky pásma

Predpokladá sa, že tieto útoky predstavujú viac ako polovicu všetkých útokov DDoS, ktoré sa každoročne uskutočňujú na celom svete. Existujú rôzne typy volumetrických útokov, pričom najčastejšie je povodeň protokolu UDP ( User Datagram Protocol ), pričom útočník odošle veľké množstvo paketov UDP na náhodné porty vzdialeného hostiteľa, čo spôsobí, že server opakovane kontroluje a reaguje na ne -existujúce aplikácie, čím sa stáva, že nereaguje na legitímnu prevádzku. Podobné výsledky je možné dosiahnuť aj zaplavením obetí servera s protokolom ICMP (Internet Control Message Protocol) od viacerých adries IP, ktoré sú často falšované. Cieľový server sa pokúša odpovedať na každú z týchto falošných požiadaviek v dobrej viere a nakoniec sa stáva preťažený a neschopný reagovať na skutočné žiadosti ICMP echo. Objemové útoky sa merajú v bitoch za sekundu (Bps).

Obrázok so súhlasom: Cloudflare

2. Útoky protokolu alebo únosy zo štátneho vyčerpania

Protokolové útoky, známe tiež ako útoky štátneho vyčerpania, spotrebujú kapacitu tabuľky stavu pripojenia nielen serverov webových aplikácií, ale aj iných komponentov infraštruktúry vrátane stredných zdrojov, ako sú balancery zaťaženia a firewally. Tieto typy útokov sa nazývajú "protokolové útoky", pretože sa zameriavajú na slabiny vo vrstvách 3 a 4 protokolového zásobníka na dosiahnutie svojho cieľa. Dokonca aj špičkové komerčné zariadenia, ktoré sú špeciálne navrhnuté na udržanie stavu na miliónoch pripojení, môžu byť nepriaznivo ovplyvnené protokolovými útokmi. Jedným z najznámejších protokolových útokov je "SYN flood", ktorý využíva "trojcestný mechanizmus podávania handshake" v TCP. Spôsob, akým funguje, hostiteľ posiela záplavu paketov TCP / SYN, často s falošnou adresou odosielateľa, aby spotrebovali dostatok serverových prostriedkov, aby bolo takmer nemožné, aby sa legitímne požiadavky dostali. Medzi ďalšie typy protokolových útokov patria Ping of Death, Smurf DDoS a fragmentované útoky paketov. Tieto typy útokov sa merajú v paketoch za sekundu (PPS).

Obrázok so súhlasom: Cloudflare

3. Útoky na vrstvách aplikácie alebo Útoky vrstvy 7

Útoky vrstvy aplikácie, často označované ako útoky vrstvy 7 v súvislosti so siedmou vrstvou režimu OSI, sú zamerané na vrstvu, v ktorej sa generujú webové stránky, ktoré sa doručujú používateľom, ktorí odosielajú požiadavky HTTP. Rôzne typy útokov vrstvy 7 zahŕňajú neslávny útok " Slowloris ", pri ktorom útočník vysiela veľký počet požiadaviek HTTP "pomaly" na cieľový server, ale bez toho, aby žiadosti dokončil. Útočník bude ďalej odosielať ďalšie záhlavie v malých intervaloch, čím núti server udržiavať otvorené spojenie pre tieto nekonečné žiadosti HTTP a nakoniec uspôsobí dostatok zdrojov, aby systém nereagoval na platné požiadavky. Ďalším populárnym útokom vrstvy 7 je útok typu HTTP Flood, pri ktorom veľké množstvo falošných žiadostí HTTP, GET alebo POST zaplavuje cieľový server v krátkom čase, čo má za následok odmietnutie poskytovania služieb legitným používateľom. Vzhľadom k tomu, že útoky vrstvy aplikácie obvykle zahŕňajú odosielanie neprirodzene vysokého počtu žiadostí na cieľový server, merajú sa v žiadostiach za sekundu (Rps).

Obrázok so súhlasom: Cloudflare

Okrem vyššie opísaných útokov s jedným vektorom existujú aj útoky viacerých vektorov, ktoré sú zacielené na systémy a siete z viacerých smerov naraz, čím sa pre sieťových inžinierov ešte viac sťažuje vypracovanie komplexných stratégií proti útokom DDoS. Jedným z takýchto príkladov útoku s viacerými vektormi je, keď by útočník spájal DNS Amplification, ktorý sa zameriava na vrstvy 3 a 4, s protokolom HTTP Flood, ktorý sa zameriava na vrstvu 7.

Ako chrániť sieť pred útokom DDoS

Pretože väčšina útokov DDoS pracuje tým, že ohrozuje cieľový server alebo sieť s prevádzkou, prvá vec, ktorú je potrebné urobiť na zmiernenie útokov DDoS, je rozlišovať medzi skutočnou návštevnosťou a zlomyseľnou prevádzkou . Ako ste očakávali, veci však nie sú také jednoduché, vzhľadom na úplnú rôznorodosť, zložitosť a sofistikovanosť týchto útokov. Vzhľadom k tomu, ochrana vašej siete pred najnovšími a najsofistikovanejšími útokmi DDoS vyžaduje sieťových inžinierov, aby pečlivo navrhli stratégie, aby nevyhadzovali dieťa do vody. Keďže sa útočníci budú snažiť, aby sa ich škodlivá prevádzka zdala normálna, snahy o zmiernenie, ktoré zahŕňajú obmedzenie celej prevádzky, budú obmedzovať poctivú návštevnosť, zatiaľ čo povolenejší dizajn umožní hackerom jednoduchšie obchádzať protiopatrenia. V takomto prípade bude potrebné prijať vrstvené riešenie, aby sa dosiahlo čo najefektívnejšie riešenie.

Predtým, než sa dostaneme k technickým potrebám, musíme pochopiť, že keďže väčšina útokov DDoS v týchto dňoch zahŕňa jednu alebo druhú zmenu komunikačných pruhov, jedna zo zrejmých vecí je chrániť seba a vaša sieť je viac nadbytočná: viac šírku pásma a ďalšie servery rozmiestnené na viacerých dátových centrách v rôznych geografických lokalitách, ktoré tiež pôsobia ako poistenie proti prírodným katastrofám atď.

Ďalšou dôležitou vecou je dodržiavať niektoré z najlepších postupov v odvetví, pokiaľ ide o servery DNS. Zbaviť sa otvorených riešiteľov je jedným z kritických prvých krokov vo vašej obrane proti DDoS, pretože aké dobré je webové stránky, ak nikto nedokáže vyriešiť vaše doménové meno na prvom mieste? V takomto prípade je potrebné pozrieť sa nad rámec bežného nastavenia servera DNS, ktorý väčšina registrátorov doménových mien štandardne poskytuje. Mnoho spoločností vrátane väčšiny poskytovateľov najlepších služieb CDN ponúka aj vylepšenú ochranu DNS prostredníctvom redundantných serverov DNS, ktoré sú chránené za rovnakým typom vyvažovania záťaže, ako sú vaše webové a iné zdroje.

Zatiaľ čo väčšina stránok a blogov outsourcuje svoj hosting tretím stranám, niektorí sa rozhodnú slúžiť svoje vlastné údaje a spravovať svoje vlastné siete. Ak patríte do tejto skupiny, niektoré základné, ale kritické postupy, ktoré musíte dodržiavať, zahŕňajú vytvorenie efektívneho firewallu a zablokovanie ICMP, ak ich nepotrebujete. Takisto sa uistite, že všetky vaše smerovače znižujú nepotrebné pakety . Mali by ste sa tiež obrátiť na vášho poskytovateľa internetových služieb a zistiť, či môžu pomôcť zablokovať pre vás požadovanú návštevnosť. Podmienky sa budú líšiť od jedného poskytovateľa internetových služieb k druhému, takže je potrebné skontrolovať v sieťach prevádzkových centier, aby zistili, či ponúkajú takéto služby pre podniky. Vo všeobecnosti sú to niektoré kroky, ktoré poskytovatelia CDN, poskytovatelia internetových služieb a správcovia siete často používajú na zmiernenie útokov DDoS:

Smerovanie čiernych dier

Black Hole Routing alebo Blackholing je jedným z najefektívnejších spôsobov zmiernenia útoku DDoS, ale musí byť implementovaný až po správnej analýze sieťovej prevádzky a vytvorení prísneho obmedzovacieho kritéria, pretože inak bude "čierna diera" alebo bude smerovať všetky prichádzajúcu prevádzku na nulovú trasu (čierna diera) bez ohľadu na to, či je jej pravá alebo škodlivá. Bude to technicky obísť DDoS, ale útočník splní svoj cieľ narušiť sieťovú prevádzku tak ako tak.

Obmedzenie sadzby

Ďalšou metódou, ktorá sa často používa na zmiernenie útokov DDoS, je "Obmedzenie rýchlosti". Ako to naznačuje názov, zahŕňa obmedzenie počtu požiadaviek, ktoré server prijme v rámci určeného časového rámca . Je to užitočné pri zastavení škrabákov webových stránok z krádeže obsahu a zmierňovania pokusov o prihlásenie sa na hrubou silou, ale musí byť použitý v spojení s inými stratégiami, aby bolo možné účinne zvládnuť útoky DDoS.

Webová brána firewall (WAF)

Zatiaľ čo nie je dostatočne samo o sebe, reverzné proxy a WAF sú niektoré z prvých krokov, ktoré treba podniknúť na zmiernenie rôznych hrozieb, nielen DDoS. WAF pomáhajú chrániť cieľovú sieť pred útokmi vrstvy 7 filtrovaním požiadaviek založených na sérii pravidiel používaných na identifikáciu nástrojov DDoS, ale je tiež vysoko efektívna pri ochrane serverov pred SQL injection, cross-site scripting a cross-site forgery requests.

Rozptýlenie siete Anycast

Siete dodávania obsahu (CDN) často používajú siete Anycast ako účinný spôsob zmiernenia útokov DDoS. Systém funguje tak, že presmeruje všetku prevádzku určenú pre sieť pod útokom na rad distribuovaných serverov na rôznych miestach, čím rozptýli rušivý účinok pokusu o útok DDoS.

Ako Cloudflare navrhnúť na ukončenie útokov DDoS v dobrom stave so svojou voľnou ochranou DDoS?

Jeden z popredných dodávateľských sietí na svete, Cloudflare, nedávno oznámil, že poskytne ochranu pred útokmi DDoS nielen svojim plateným zákazníkom, ale aj svojim zákazníkom bez ohľadu na veľkosť a rozsah útoku . Ako sa dalo očakávať, oznámenie, ktoré sa uskutočnilo začiatkom tohto týždňa, vytvorilo v priemysle doslova buzz, ako aj globálne technické médiá, ktoré sa zvyčajne používajú na CDN, vrátane Cloudflare, buď vykopávajú svojich klientov pod útokom alebo vyžadujú viac peňazí pre trvalú ochranu. Zatiaľ čo sa obete doteraz museli starať o seba, keď boli napadnuté, prísľub voľnej a nezasklenenej ochrany DDoS bol prijatý naozaj blogmi a podnikmi, ktorých webové stránky a siete zostávajú pod neustálou hrozbou zverejňovania kontroverzného obsahu.

Zatiaľ čo ponuka spoločnosti Cloudflare je naozaj revolučná, jediná vec, ktorú je potrebné spomenúť, je, že ponuka slobodnej, nezmenenej ochrany je použiteľná iba pre útoky úrovne 3 a 4, zatiaľ čo útoky vrstvy 7 sú stále k dispozícii len pre platenú platbu, ktorá začína na úrovni 20 USD za mesiac.

Ak bude úspešné, čo bude znamenať Cloudflare pre "hacktivizmus"?

Ako sa očakávalo, oznámenie spoločnosti Cloudflare obnovilo diskusiu medzi hacktivistami a odborníkmi na bezpečnosť internetu o etickom hackovaní a slobode prejavu. Mnoho hacktivistických skupín, ako je Chaos Computer Club (CCC) a Anonymous, už dávno tvrdili, že je potrebné postaviť "digitálne protesty" proti webovým stránkam a blogom, ktoré šíria nenávistnú propagandu a fanatizovaných - často násilných - ideológií. Za týchto okolností sa tieto skupiny aktivistov hackerov alebo hacktivistov často zameriavali na teroristické webové stránky, neo-nazi blogy a obchodníkov s detskou pornografiou s útokmi DDoS, pričom poslednou obeťou je veľmi pravicový blog "Daily Stormer", ktorý chválil nedávne vraždu aktivistky za ľudské práva v Charlottesville vo Virgínii pravicovým extrémistom.

Zatiaľ čo niektorí, ako generálny riaditeľ spoločnosti Cloudflare Mattew Prince a EFF (Electronic Frontier Foundation) kritizovali hacktivistov za to, že sa snažia mlčať slobodu prejavu útokmi DDoS, podporovatelia hacktivizmu tvrdia, že ich digitálne protesty proti ohavným ideológiám nie sú iné ako vyplnenie mestského štvorca ktorí sa zúčastnili na slávnom hnutí "Occupy", ktoré začalo so slávnym protestom Occupy Wall Street 17. septembra 2011, čím sa globálna pozornosť venuje rastúcej sociálno-ekonomickej nerovnosti na celom svete.

Zatiaľ čo niektorí môžu tvrdiť, že nástroj DDoS je nástrojom na skutočné protesty, čo umožňuje etickým hackerom rýchlo konať proti teroristom, fanaticiam a pedofilom, aby ich nemorálny (a často nezákonný) obsah offline bol dobrý, takéto útoky majú temnú stránku . Vyšetrovací novinári a informátori boli často v minulosti cieľmi takýchto útokov a len minulý rok bola internetová stránka novinára cybersecurity Briana Krebsa odstránená masívnym útokom DDoS, ktorý meral na svojom vrchole šílenec 665 Gbps, Krebs predtým informoval o izraelskej službe DDoS-for-hire nazvanej vDOS, ktorá mala za následok zatknutie dvoch izraelských štátnych príslušníkov a útok sa považoval za odškodnenie.

Útoky DDoS a plán Cloudflare, ktorý ich robí z minulosti

Napriek odvážnym tvrdeniam spoločnosti Cloudflare, že DDoS útoky spôsobí, že v minulosti, mnohí experti tvrdia, že v súčasnosti nie je technologicky možné, aby útoky DDoS boli úplne zastarané. Zatiaľ čo gigantické spoločnosti ako Facebook alebo Google majú potrebné prepúšťanie infraštruktúry, aby sa ubezpečili, že takéto útoky niekedy niekedy trpia, rozšírenie takejto ochrany na každú lokalitu pod slnkom môže predstavovať výzvu aj pre najväčší z CDN. Prince však tvrdí, že Cloudflare je schopný absorbovať "čokoľvek, čo nás na nás vrhá", takže len čas určuje, či útoky DDoS budú zaslané do histórie histórie za dobré, alebo ak budú hacktivistické skupiny schopné obísť niektoré protiopatrení na pokračovanie ich morálnych krížov proti násiliu, nenávisti a nespravodlivosti.

Top