Cyber-zločini so bili v vzponu pozno, z ransomware napadi (WannaCry, NotPetya), hacked baz podatkov (Equifax, Sony, Yahoo), in programske opreme backdoors (Floxif / CCleaner, ShadowPad / NetSarang), ki naslovnice pogosto. Medtem ko je obseg in obseg teh napadov presenetljiv, dejstvo je, da kiber-kriminalci niso omejeni le na krajo vaših podatkov, identitete ali denarja. Obseg kaznivih dejanj v virtualnem svetu je tako velik, kot je v resničnem svetu, če ne celo več. Ena vrsta kibernetskega napada, ki je bil v ospredju poznih, je DDoS, ali porazdeljeno zavrnitev storitve, ki je v preteklih letih pogosto delila skupino hekerjev z belimi klobuki. Z vodilnim ponudnikom storitev CDN Cloudflare, ki zdaj napoveduje brezplačno DDoS zaščito za vse svoje stranke, se je znova začela starodavna razprava o »etičnem« DDoS-ju proti zlonamernim DDoS, pri čemer sta obe strani v celoti podpirali svoje argumente. Z razpravo o napadih DDoS-ja, ki porajajo po internetu, si poglejmo podrobno današnji fenomen, da bi ne le izvedeli več o tem, temveč tudi poskusili razumeti, zakaj hacktivisti in skupine za zagovorništvo prostega govora nadaljujejo z napako v prizadevanja za dosego soglasja o tem: \ t
Kaj je DDoS in kako deluje?
Najenostavnejši izrazi napad DDoS (distribuiran zavrnitev storitve) je poskus umetnega motenja normalnega delovanja spletnega mesta ali omrežja s poplavljanjem ciljnega strežnika z ogromno količino prometa, ki omrežje popolnoma upočasni ali zruši. . To se doseže z uporabo več kompromitiranih sistemov kot dela „botneta“, ki lahko vključuje kakršno koli omrežno povezano napravo, vključno z računalniki, pametnimi telefoni in napravami interneta stvari, vendar ne omejeno nanje. Hekerji s črnim klobukom in hacktivisti uporabljajo različna napredna orodja za izvajanje teh napadov, ne samo zaradi poplavljanja ciljnih strežnikov s pretirano količino prometa, ampak tudi z uporabo bolj subtilnih in težko zaznavnih tehnik infiltracije, ki so usmerjene v kritično varnost omrežja. infrastrukture, kot so požarni zidovi in IDS / IPS (sistem za zaznavanje vdorov / preprečevanje vdorov).
Kaj je DoS in kako se razlikuje od DDoS-ja?
Napadi Denial-of-Service (DoS) so točno takšni, kot se sliši, če preprečujejo legitimnim uporabnikom dostop do ciljnih strežnikov, sistemov ali drugih omrežnih virov. Kot v primeru DDoS napadov, bi oseba ali osebe, ki izvajajo tak napad, običajno poplavile ciljno infrastrukturo z izredno veliko količino odvečnih zahtevkov, da bi presegle njene vire, s čimer je prizadeto omrežje ali omrežje otežilo ali celo onemogočilo sistema za odzivanje na resnične zahteve za storitve. Za končnega uporabnika učinki DoS niso povsem drugačni od učinkov DDoS, vendar za razliko od prejšnjega, ki običajno uporablja en sam računalnik in edinstveno internetno povezavo za izvedbo napada, slednji uporablja več kompromitiranih naprav za poplavljanje ciljne tarče., zaradi česar je zelo težko zaznati in preprečiti.
Katere so različne vrste napadov DDoS?
Kot smo že omenili, tako kibernetični kriminalci kot tudi hekerji uporabljajo nešteto napadajočih vektorjev za izvajanje svojih DDoS napadov, vendar bo velika večina teh napadov večinoma spadala v tri širše kategorije: napadi volumetričnih ali pasovnih širin, napadi protokolov ali Napadi na izčrpanost države in Napadi aplikacijske plasti ali Napadi sloja 7. Vsi ti napadi so usmerjeni na različne komponente omrežne povezave, ki jo sestavlja 7 različnih slojev, kot je prikazano na spodnji sliki:
1. Volumetrični napadi ali napadi pasovne širine
Zdi se, da te vrste napadov predstavljajo več kot polovico vseh napadov DDoS, ki se izvajajo v svetu vsako leto. Obstajajo različne vrste volumetričnih napadov, pri čemer je najpogostejša poplava uporabniškega datagramskega protokola (UDP), pri čemer napadalec pošlje naključna pristanišča na oddaljenem gostitelju veliko število UDP paketov, zaradi česar strežnik vedno znova išče in odziva na ne - obstoječe aplikacije, zaradi česar se ne odziva na zakonit promet. Podobne rezultate lahko dosežete tudi s poplavljanjem strežnika žrtev s protokolom ICMP (Internet Control Message Protocol) iz večih naslovov IP, ki so pogosto lažni. Ciljni strežnik se poskuša v dobri veri odzvati na vsako od teh lažnih zahtevkov, sčasoma pa postane preobremenjen in se ne more odzvati na pristne zahteve ICMP-ja za odmev. Volumetrični napadi se merijo v bitih na sekundo (Bps).
2. Napadi s protokolom ali napadi na izčrpanost države
Protokolni napadi, znani tudi kot napadi države-izčrpanja, zajemajo zmogljivost tabele stanja povezave ne le strežnikov spletnih aplikacij, temveč tudi druge infrastrukturne komponente, vključno z vmesnimi viri, kot so obremenitveno uravnoteženje in požarni zidovi. Te vrste napadov se imenujejo "protokolni napadi", ker ciljajo na slabosti v plasti 3 in 4 protokola . Napadi protokolov lahko slabo vplivajo tudi na najsodobnejše komercialne naprave, ki so posebej zasnovane za vzdrževanje stanja na milijonih povezav. Eden od najbolj znanih napadov protokolov je "SYN flood", ki izkorišča "tri-way mehanizem rokovanja" v TCP. Način dela je, da gostitelj pošlje poplav TCP / SYN paketov, pogosto s ponarejenim naslovom pošiljatelja, da bi porabil dovolj strežniških virov, da bi bilo skoraj nemogoče, da se legitimne zahteve prenesejo. Druge vrste protokolnih napadov vključujejo Ping of Death, Smurf DDoS in fragmentirane paketne napade. Te vrste napadov se merijo v paketih na sekundo (Pps).
3. Napadi aplikacijske plasti ali Napadi plasti 7
Napadi aplikacijskega sloja, ki se pogosto imenujejo napadi sloja 7 v povezavi s 7. slojem načina OSI, so usmerjeni na plast, na kateri so ustvarjene spletne strani, ki jih je treba dostaviti uporabnikom, ki pošiljajo HTTP zahteve. Različni tipi napadov plast-7 vključujejo zloglasni napad » Slowloris «, pri čemer napadalec pošilja veliko število zahtev HTTP „počasi“ na ciljni strežnik, vendar brez kakršne koli zahteve. Napadalec bo še naprej pošiljal dodatne glave v majhnih časovnih presledkih, s čimer bo prisilil strežnik, da ohrani odprto povezavo za te neskončne HTTP zahteve, sčasoma pa izkoristi dovolj sredstev, da se sistem odzove na veljavne zahteve. Še en priljubljen napad plasti 7 je HTTP Flood napad, pri katerem veliko število lažnih zahtev HTTP, GET ali POST poplavi ciljni strežnik v kratkem času, kar povzroči zavrnitev storitve za zakonite uporabnike. Ker napadi aplikacijskega sloja običajno vključujejo pošiljanje neprimerno velikega števila zahtev na ciljni strežnik, se merijo v zahtevah na sekundo (Rps).
Poleg zgoraj opisanih napadov z enim vektorjem obstajajo tudi več-vektorski napadi, ki ciljno usmerjajo sisteme in omrežja iz več različnih smeri hkrati, zaradi česar omrežni inženirji še bolj otežujejo izdelavo celovitih strategij proti napadom DDoS. Eden od takšnih primerov vektorskega napada je, ko napadalec poveže DNS Amplification, ki cilja na plasti 3 in 4, s HTTP Flood, ki cilja na plasti 7.
Kako zaščititi svoje omrežje pred napadom DDoS
Ker večina napadov DDoS deluje tako, da obremeni ciljni strežnik ali omrežje s prometom, je prva stvar, ki jo je treba storiti, da bi ublažili DDoS napade, razlikovati med pristnim prometom in zlonamernim prometom . Vendar, kot bi pričakovali, stvari niso tako preproste, glede na to, da so ti napadi zelo raznoliki, kompleksni in prefinjeni. V tem primeru zaščita vašega omrežja pred najnovejšimi in najbolj izpopolnjenimi DDoS napadi zahteva, da omrežni inženirji skrbno načrtujejo strategije, da otroka ne bodo vrgli v vodo za kopanje. Ker bodo napadalci poskušali po svojih najboljših močeh narediti svoj zlonamerni promet normalnim, bodo poskusi ublažitve, ki vključujejo omejitev celotnega prometa, omejili pošten promet, medtem ko bo bolj dovzeten dizajn omogočil hekerjem lažje izogibanje protiukrepom. V tem primeru bo treba sprejeti večplastno rešitev, da bi dosegli najučinkovitejšo rešitev.
Vendar, preden pridemo do tehničnih podrobnosti, moramo razumeti, da je večina DDoS napadov v teh dneh vključevala tako ali drugače blokiranje komunikacijskih pasov, ena od očitnih stvari, ki jo lahko naredite, je zaščititi sebe in vaše omrežje je bolj redundantno: več pasovno širino in več strežnikov, ki se razširijo na več podatkovnih središčih na različnih geografskih lokacijah, kar prav tako deluje kot zavarovanje pred naravnimi nesrečami
Druga pomembna stvar je slediti nekaterim najboljšim praksam v industriji, ko gre za DNS strežnike. Znebiti se odprtih resolverjev je eden od ključnih korakov v obrambi pred DDoS-om, kaj pa je spletna stran, če nihče ne more rešiti vašega imena domene? V tem primeru je treba gledati dlje od običajne nastavitve dvojnega DNS strežnika, ki jo privzeto zagotavlja večina registratorjev domenskih imen. Mnoga podjetja, vključno z večino najboljših ponudnikov storitev CDN, ponujajo tudi izboljšano zaščito DNS s pomočjo redundantnih strežnikov DNS, ki so zaščiteni za isto vrsto uravnoteženja obremenitve, kot je vaš spletni in drugi viri.
Medtem ko večina spletnih mest in blogov oddaja svoje gostovanje tretjim osebam, nekateri se odločijo, da bodo služili svojim podatkom in upravljali svoje lastne mreže. Če pripadate tej skupini, morate upoštevati nekatere osnovne, vendar kritične industrijske prakse, ki vključujejo nastavitev učinkovitega požarnega zidu in blokiranje ICMP, če jih ne potrebujete. Prav tako se prepričajte, da vsi vaši usmerjevalniki padejo junk pakete . Prav tako morate stopiti v stik z vašim ponudnikom internetnih storitev in preveriti, ali lahko pomagajo blokirati želeni promet za vas. Določila in pogoji se razlikujejo od enega ponudnika internetnih storitev do drugega, zato morate pri njihovih omrežnih operacijskih centrih preveriti, ali ponujajo take storitve za podjetja. Na splošno so v nadaljevanju navedeni nekateri koraki, ki jih ponudniki CDN, ponudniki internetnih storitev in skrbniki omrežja pogosto uporabljajo za ublažitev napadov DDoS:
Usmerjanje črne luknje
Usmerjanje črnih lukenj ali Blackholing je eden najučinkovitejših načinov za ublažitev DDoS napada, vendar ga je treba izvesti samo po ustrezni analizi omrežnega prometa in ustvarjanju strogih omejitvenih kriterijev, saj bo drugače »blackhole« ali usmerjal vse prometa na nično pot (blackhole), ne glede na to, ali je resnična ali zlonamerna. Tehnično se bo izognil DDoS, napadalec pa bo vseeno uresničil svoj cilj motenja omrežnega prometa.
Omejevanje hitrosti
Druga metoda, ki se pogosto uporablja za ublažitev DDoS napadov, je 'Omejevanje hitrosti'. Kot že ime pove, vključuje omejitev števila zahtev, ki jih bo strežnik sprejel v določenem časovnem okviru . To je uporabno pri preprečevanju kraje spletnih vsebin in za ublažitev poskusov prijave s surovo silo, vendar ga je treba uporabiti skupaj z drugimi strategijami, da bi lahko učinkovito upravljali DDoS napade.
Požarni zid za spletne aplikacije (WAF)
Čeprav samo po sebi ni dovolj, so povratni posredniki in WAF-ji nekateri od prvih korakov, ki jih je treba sprejeti za ublažitev različnih groženj, ne le DDoS. WAF-ji pomagajo zaščititi ciljno omrežje pred napadi plasti 7 tako, da filtrirajo zahteve, ki temeljijo na vrsti pravil, ki se uporabljajo za identifikacijo orodij DDoS, vendar je tudi zelo učinkovit pri zaščiti strežnikov pred SQL injiciranjem, navzkrižnimi skripti in zahtevami za ponarejanje med različnimi mesti.
Anycast Network Diffusion
Mreže za dostavo vsebine (CDN) pogosto uporabljajo omrežja Anycast kot učinkovit način za ublažitev napadov DDoS. Sistem deluje tako, da preusmeri ves promet, namenjen omrežju pod napadom, na vrsto porazdeljenih strežnikov na različnih lokacijah, s čimer razprši učinek poskusa DDoS napada.
Kako Cloudflare predlaga konec DDoS napadov z dobrim DDoS zaščito?
Ena izmed najpomembnejših omrežij za dostavo vsebin na svetu, Cloudflare, je pred kratkim objavila, da bo zagotovila zaščito pred DDoS napadi ne le svojim plačanim strankam, ampak tudi svojim brezplačnim strankam, ne glede na velikost in obseg napada . Kot je bilo pričakovati, napoved, ki je bila objavljena v začetku tega tedna, je ustvarila precej buzz v industriji, kot tudi v svetovnih tehnoloških medijih, ki se običajno uporabljajo za CDN-je, vključno z Cloudflare, bodisi izženejo svoje podcenjene stranke ali zahtevajo več denarja od za njihovo nadaljnjo zaščito. Medtem ko so se žrtve do sedaj morale same zase obvladati, ko so bile napadene, so obljube o prosti, nepredvideni zaščiti DDoS toplo sprejeli spletni dnevniki in podjetja, katerih spletne strani in omrežja ostajajo pod stalnimi grožnjami za objavo spornih vsebin.
Ponudba Cloudflareja je resnično revolucionarna, ena stvar, ki jo je treba omeniti, je, da je ponudba brezplačne nezaščitene zaščite uporabna samo za napade iz plasti 3 in 4, medtem ko so napadi iz plasti 7 še vedno na voljo samo za plačane načrte, ki se začnejo pri $ 20. na mesec.
Če bo uspešna, kaj bo ponudba Cloudflare pomenila za "hektivizem"?
Kot je bilo pričakovano, je objava Cloudflareja ponovno sprožila razpravo med hacktivisti in strokovnjaki za varnost interneta o etičnem hekanju in svobodi govora. Številne hacktivistične skupine, kot so računalniški klub Chaos (CCC) in Anonymous, že dolgo trdijo, da je treba oblikovati „digitalne proteste“ proti spletnim mestom in blogom, ki širijo sovražno propagando in nagnjene - pogosto nasilne - ideologije. V tem primeru so te skupine aktivističnih hekerjev ali hek-tehnikov pogosto napadale teroristične spletne strani, neo-nacistične bloge in trgovce z otroško pornografijo z DDoS napadi, zadnja nesreča pa je skrajno desni blog "Daily Stormer", ki je pohvalil nedavni umor aktivistke za človekove pravice v Charlottesvilu v Virginiji, ki jo je izvedel desni ekstremist.
Medtem ko so nekateri, kot so direktor podjetja Cloudflare Mattew Prince, in EFF (Electronic Frontier Foundation) kritizirali hacktiviste, ker so poskušali utišati svobodo govora z DDoS napadi, zagovorniki hacktivizma trdijo, da se njihovi digitalni protesti proti gnusnim ideologijam ne razlikujejo od polnjenja mestnega trga ali Sredi sedeža v skladu z gibanjem »Zasedaj«, ki se je začelo z znamenitim protestom Occupy Wall Street 17. septembra 2001, ki je pritegnil svetovno pozornost k naraščajoči socialno-ekonomski neenakosti po vsem svetu.
Medtem ko nekateri trdijo, da je DDoS orodje za pristen protest, ki omogoča etičnim hekerjem, da hitro ukrepajo proti teroristom, bigotom in pedofilom, da bi svoje nemoralne (in pogosto tudi nezakonite) vsebine za vedno sprejeli brez povezave, takšni napadi pa imajo tudi temno stran . Preiskovalni novinarji in prijavitelji nepravilnosti so bili v preteklosti pogosto tarča takih napadov in šele lani je bila spletna stran novinarja kibernetske varnosti, Brian Krebs, uničena z obsežnim DDoS napadom, ki je meril noro 665 Gbps na svojem vrhuncu. . Krebs je prej poročal o izraelski službi DDoS za najem, ki se je imenovala vDOS, kar je privedlo do aretacije dveh izraelskih državljanov, in verjel je, da je bil napad povračljiv.
Napadi DDoS in načrt Cloudflareja, da si naredita stvar preteklosti
Kljub neustrašnim zahtevam podjetja Cloudflare, da DDoS napade na stvar v preteklosti, mnogi strokovnjaki trdijo, da ni tehnično mogoče, da bi DDoS napadi v tej fazi popolnoma zastareli. Medtem ko imajo gigantske korporacije, kot sta Facebook ali Google, potrebno infrastrukturno odpuščanje, da bi zagotovile, da ne bodo nikoli trpele zaradi takšnih napadov, lahko razširitev takšne zaščite na vsako posamezno lokacijo pod soncem predstavlja izziv tudi za največje CDN-je. Vendar pa je princ trdil, da je Cloudflare sposoben absorbirati "vse, kar nas internet vrže", tako da bo samo čas pokazal, ali bodo DDoS napadi poslani v zgodovino zgodovine za dobro, ali če bodo skupine hekerjev lahko zaobšle nekatere protiukrepov, da nadaljujejo svojo moralno križarjenje proti nasilju, sovraštvu in krivici.
