11
mai 2021
Ce este un atac DDoS?
Un atac distribuit de refuz de serviciu (DDoS) este o încercare rău intenționată de a perturba traficul normal al unui server, serviciu sau rețea vizat prin copleșirea țintei sau a infrastructurii înconjurătoare cu o inundație de trafic pe Internet.
Atacurile DDoS ating eficiența utilizând mai multe sisteme informatice compromise ca surse de trafic de atac. Mașinile exploatate pot include computere și alte resurse în rețea, cum ar fi dispozitivele IoT .
De la un nivel ridicat, un atac DDoS este ca un blocaj de trafic neașteptat care înfunda autostrada, împiedicând traficul regulat să ajungă la destinație.
Cum funcționează un atac DDoS?
Atacurile DDoS sunt efectuate cu rețele de mașini conectate la Internet.
Aceste rețele constau din computere și alte dispozitive (cum ar fi dispozitivele IoT) care au fost infectate cu programe malware , permițându-le să fie controlate de la distanță de către un atacator. Aceste dispozitive individuale sunt denumite roboți (sau zombi), iar un grup de roboți se numește botnet .
Odată ce un botnet a fost stabilit, atacatorul este capabil să direcționeze un atac trimițând instrucțiuni de la distanță către fiecare bot.
Atunci când serverul sau rețeaua unei victime este vizat de botnet, fiecare bot trimite solicitări către adresa IP a țintei , provocând potențialul copleșirii serverului sau a rețelei, rezultând o refuzare a serviciului către traficul normal.
Deoarece fiecare bot este un dispozitiv legitim de internet, separarea traficului de atac de traficul normal poate fi dificilă.
Cum se identifică un atac DDoS
Cel mai evident simptom al unui atac DDoS este un site sau un serviciu care devine brusc lent sau indisponibil. Dar întrucât o serie de cauze - o astfel de creștere legitimă a traficului - pot crea probleme de performanță similare, este necesară o investigație suplimentară. Instrumentele de analiză a traficului vă pot ajuta să identificați unele dintre aceste semne revelatoare ale unui atac DDoS:
- Cantități suspecte de trafic provenind de la o singură adresă IP sau interval IP
- Un flux de trafic de la utilizatorii care partajează un singur profil comportamental, cum ar fi tipul de dispozitiv, geolocalizarea sau versiunea browserului web
- O creștere inexplicabilă a cererilor către o singură pagină sau punct final
- Modele de trafic ciudat, cum ar fi vârfuri la ore neobișnuite ale zilei sau modele care par a fi nenaturale (de exemplu, un vârf la fiecare 10 minute)
Există alte semne mai specifice ale atacului DDoS care pot varia în funcție de tipul de atac.
Care sunt câteva tipuri comune de atacuri DDoS?
Diferite tipuri de atacuri DDoS vizează diferite componente ale unei conexiuni de rețea. Pentru a înțelege cum funcționează diferite atacuri DDoS, este necesar să știm cum se face o conexiune de rețea.
O conexiune de rețea pe Internet este compusă din mai multe componente sau „straturi” diferite. La fel ca și construirea unei case de la capăt, fiecare strat din model are un scop diferit.
Modelul OSI , prezentat mai jos, este un cadru conceptual utilizat pentru a descrie conectivitatea rețelei în 7 straturi distincte.
În timp ce aproape toate atacurile DDoS implică copleșirea unui dispozitiv țintă sau a unei rețele cu trafic, atacurile pot fi împărțite în trei categorii. Un atacator poate folosi unul sau mai mulți vectori de atac diferiți sau vectori de atac de ciclu ca răspuns la măsurile contrare luate de țintă.
Atacuri la nivel de aplicație
Scopul atacului:
Uneori denumit un atac DDoS de nivel 7 (în referință la cel de-al 7-lea strat al modelului OSI), scopul acestor atacuri este de a epuiza resursele țintei pentru a crea un refuz de serviciu.
Atacurile vizează stratul în care paginile web sunt generate pe server și livrate ca răspuns la solicitările HTTP . O singură cerere HTTP este ieftin din punct de vedere al calculului pentru a fi executată din partea clientului, dar poate fi costisitor pentru serverul țintă să răspundă, deoarece serverul încarcă adesea mai multe fișiere și rulează interogări în baza de date pentru a crea o pagină web.
Atacurile din stratul 7 sunt dificil de apărat, deoarece poate fi dificil să diferențiem traficul rău intenționat de traficul legitim.
Exemplu de atac de strat de aplicație:
HTTP Flood
Acest atac este similar cu apăsarea Refresh într-un browser web de mai multe ori pe mai multe computere diferite simultan - un număr mare de solicitări HTTP inundă serverul, rezultând refuzul de serviciu.
Acest tip de atac variază de la simplu la complex.
Implementările mai simple pot accesa o adresă URL cu aceeași gamă de adrese IP de atac, referinți și agenți de utilizator. Versiunile complexe pot utiliza un număr mare de adrese IP atacante și pot viza adresele URL aleatorii folosind referinți aleatori și agenți de utilizator.
Atacuri protocolare
Scopul atacului:
Atacurile de protocol, cunoscute și sub numele de atacuri de epuizare a statului, provoacă o întrerupere a serviciului prin consumarea excesivă a resurselor serverului și / sau a resurselor echipamentelor de rețea, cum ar fi firewall-urile și echilibratoarele de sarcină.
Atacurile de protocol utilizează punctele slabe din stratul 3 și stratul 4 din stiva de protocol pentru a face ținta inaccesibilă.
Exemplu de atac de protocol:
SYN Flood
SYN Flood este similară cu un lucrător dintr-o cameră de aprovizionare care primește cereri din partea din față a magazinului.
Muncitorul primește o cerere, merge și primește pachetul și așteaptă confirmarea înainte de a scoate pachetul în față. Lucrătorul primește mai multe cereri de pachete fără confirmare până când nu mai poate transporta pachete, devine copleșit și cererile încep să rămână fără răspuns.
Acest atac exploatează strângerea de mână TCP - secvența de comunicații prin care două computere inițiază o conexiune de rețea - trimițând unui țintă un număr mare de pachete SYN „Cerere de conexiune inițială” TCP cu adrese IP sursă falsificate .
Mașina țintă răspunde la fiecare solicitare de conectare și apoi așteaptă ultimul pas al strângerii de mână, care nu are loc niciodată, epuizând resursele țintei în proces.
Atacuri volumetrice
Scopul atacului:
Această categorie de atacuri încearcă să creeze congestie consumând toată lățimea de bandă disponibilă între țintă și Internetul mai mare. Cantități mari de date sunt trimise către o țintă utilizând o formă de amplificare sau un alt mijloc de a crea trafic masiv, cum ar fi cererile de la o rețea bot.
Exemplu de amplificare:
Amplificare DNS
O amplificare DNS este ca și cum cineva ar suna la un restaurant și ar spune „Voi avea una din toate lucrurile, te rog să mă suni înapoi și să îmi repet întreaga comandă”, unde numărul de apel invers aparține de fapt victimei. Cu foarte puțin efort, se generează un răspuns îndelungat și trimis victimei.
Făcând o cerere către un server DNS deschis cu o adresă IP falsificată (adresa IP a victimei), adresa IP țintă primește apoi un răspuns de la server.
Care este procesul de atenuare a unui atac DDoS?
Principala preocupare în atenuarea unui atac DDoS este diferențierea dintre traficul de atac și traficul normal.
De exemplu, dacă o versiune de produs are site-ul companiei înconjurat de clienți dornici, întreruperea traficului este o greșeală. Dacă compania respectivă are brusc o creștere a traficului din partea atacatorilor cunoscuți, eforturile de a atenua un atac sunt probabil necesare.
Dificultatea constă în a distinge clienții reali în afară de traficul de atac.
În internetul modern, traficul DDoS vine sub mai multe forme. Traficul poate varia în ceea ce privește designul, de la atacuri cu sursă unică care nu sunt falsificate la atacuri multi-vector complexe și adaptive.
Un atac DDoS multi-vector folosește mai multe căi de atac pentru a copleși o țintă în moduri diferite, distrăgând potențial eforturile de atenuare pe orice traiectorie.
Un atac care vizează mai multe straturi ale stivei de protocol în același timp, cum ar fi o amplificare DNS (straturi de direcționare 3/4) cuplate cu o inundație HTTP (stratul de direcționare 7) este un exemplu de DDoS multi-vector.
Atenuarea unui atac DDoS multi-vector necesită o varietate de strategii pentru a contracara traiectorii diferite.
În general, cu cât atacul este mai complex, cu atât este mai probabil ca traficul atacului să fie dificil de separat de traficul normal - scopul atacatorului este să se amestece cât mai mult posibil, făcând eforturile de atenuare cât mai ineficiente posibil.
Încercările de atenuare care implică renunțarea sau limitarea traficului în mod nediscriminatoriu pot arunca trafic bun cu cele rele, iar atacul se poate modifica și adapta pentru a eluda contramăsurile. Pentru a depăși o încercare complexă de întrerupere, o soluție stratificată va oferi cel mai mare beneficiu.
Rutare Blackhole
O soluție disponibilă practic pentru toți administratorii de rețea este crearea unui traseu de gaură neagră și canalizarea traficului pe ruta respectivă. În forma sa cea mai simplă, când filtrarea găurilor negre este implementată fără criterii de restricție specifice, traficul de rețea atât legitim, cât și rău intenționat este direcționat către o rută nulă sau gaură neagră și eliminat din rețea.
Dacă o proprietate de Internet se confruntă cu un atac DDoS, furnizorul de servicii de internet (ISP) al proprietății poate trimite tot traficul site-ului într-o gaură neagră ca apărare. Aceasta nu este o soluție ideală, deoarece oferă atacatorului obiectivul dorit: face rețeaua inaccesibilă.
Limitare de rata
Limitarea numărului de cereri pe care un server le va accepta într-o anumită fereastră de timp este, de asemenea, o modalitate de atenuare a atacurilor de refuz de serviciu.
În timp ce limitarea ratei este utilă pentru încetinirea războinicelor web de la furtul de conținut și pentru atenuarea încercărilor de conectare cu forță brută , singura va fi probabil insuficientă pentru a gestiona eficient un atac DDoS complex.
Cu toate acestea, limitarea ratei este o componentă utilă într-o strategie eficientă de atenuare DDoS. Aflați despre limitarea ratei Cloudflare
Paravan de protecție a aplicației web
Un firewall pentru aplicații web (WAF) este un instrument care poate ajuta la atenuarea unui atac DDoS de nivel 7. Prin plasarea unui WAF între Internet și un server de origine, WAF poate acționa ca un proxy invers , protejând serverul vizat de anumite tipuri de trafic rău intenționat.
Prin filtrarea cererilor bazate pe o serie de reguli utilizate pentru identificarea instrumentelor DDoS, atacurile de nivel 7 pot fi împiedicate. O valoare cheie a unui WAF eficient este capacitatea de a implementa rapid reguli personalizate ca răspuns la un atac. Aflați despre WAF-ul Cloudflare .
Difuzarea rețelei Anycast
Această abordare de atenuare utilizează o rețea Anycast pentru a împrăștia traficul de atac pe o rețea de servere distribuite până la punctul în care traficul este absorbit de rețea.
La fel ca și canalizarea unui râu care se grăbește pe canale separate mai mici, această abordare răspândește impactul traficului de atac distribuit până la punctul în care devine gestionabil, difuzând orice capacitate perturbatoare.
Fiabilitatea unei rețele Anycast pentru a atenua un atac DDoS depinde de mărimea atacului și de dimensiunea și eficiența rețelei. O parte importantă a atenuării DDoS implementată de Cloudflare este utilizarea unei rețele distribuite Anycast.
Cloudflare are o rețea de 67 Tbps, care este un ordin de mărime mai mare decât cel mai mare atac DDoS înregistrat.
Dacă sunteți în prezent atacat, există pași pe care îi puteți lua pentru a ieși din presiune. Dacă sunteți deja pe Cloudflare, puteți urma acești pași pentru a vă atenua atacul.
Protecția DDoS pe care o implementăm la Cloudflare este multiformă pentru a atenua numeroși vectori de atac posibili. Aflați mai multe despre protecția DDoS a Cloudflare și cum funcționează.
Sursa: https://www.cloudflare.com