Отказ от услуга или DoS е термин, използван за описване на цифрова атака срещу машина или мрежа, предназначена да я направи неизползваема. В много случаи това означава наводняване на получателя с толкова много заявки или толкова много трафик, че да причини неизправност. Понякога това може също да означава изпращане на по-малко количество специфична, вредна информация, за да предизвикате срив, например.
За да обясним процеса по-подробно – машина, свързана към мрежа, може да се справи (тоест изпращане и получаване) определено количество трафик и все още функционират. Количеството трафик зависи от множество фактори, като например размера на направените заявки и прехвърлената информация. Както и качеството и силата на мрежовата свързаност.
Когато се направят твърде много заявки, тогава мрежата ще се бори да се справи. В някои случаи заявките ще бъдат отхвърлени или ще останат без отговор. Ако излишъкът е твърде голям, тогава или мрежата, или приемащата машина могат да страдат от проблеми, до и включително грешки и изключвания.
Видове атаки
Има много различни видове DoS атаки с различни цели и методологии за атака. Някои от най-популярните включват:
SYN Наводнение
SYN наводнение (произнася се „грях“) е атака, при която нападателят изпраща бързи, повтарящи се заявки за връзка, без да ги финализира. Това принуждава получаващата страна да използва ресурсите си, за да отвори и задържи нови връзки, чакайки те да разрешат. Това не се случва. Това изразходва ресурси и или забавя, или прави засегнатата система напълно неизползваема.
Мислете за това като за отговаряне на DM – ако продавачът получи сто заявки за кола, която иска да продаде. Те трябва да отделят време и усилия, за да отговорят на всички тях. Ако 99 от тях оставят продавача да чете, единственият истински купувач може да не получи отговор или да го получи твърде късно.
SYN flood атаката получава името си от пакета, използван в атаката. SYN е името на пакета, използван за установяване на връзка чрез протокола за контрол на предаването или TCP, който е в основата на повечето интернет трафик.
Атака при препълване на буфер
Препълване на буфер възниква, когато програма, която използва каквато и да е налична памет на системата, превиши разпределението на паметта. Така че, ако е наводнен с толкова много информация, разпределената памет не е достатъчна, за да се справи с нея. Следователно той презаписва и съседни места в паметта.
Има различни видове атаки за препълване на буфера. Например изпращане на малка част от информацията, за да подмами системата да създаде малък буфер, преди да го наводни с по-голяма част от информацията. Или такива, които изпращат неправилен тип въвеждане. Всяка негова форма може да причини грешки, спирания и неправилни резултати в каквато и да е засегнатата програма.
Пинг на смъртта
Сравнително хумористично наречената PoD атака изпраща деформиран или злонамерен ping към компютър, за да причини неизправност. Нормалните ping пакети са най-много около 56-84 байта. Това обаче не е ограничението. Те могат да бъдат големи до 65k байта.
Някои системи и машини не са проектирани да могат да се справят с такъв вид пакети, което води до така нареченото препълване на буфера, което обикновено причинява срив на системата. Може да се използва и като инструмент за инжектиране на зловреден код, в някои случаи, когато спирането не е целта.
Разпределени DoS атаки
DDoS атаките са по-усъвършенствана форма на DoS атака – те се състоят от множество системи, които работят заедно, за да изпълнят координирана DoS атака срещу отделна цел. Вместо атака 1 към 1, това е ситуация Много към 1.
Най-общо казано, DDoS атаките са по-склонни да успеят, тъй като могат да генерират повече трафик, по-трудни са за избягване и предотвратяване и могат лесно да бъдат маскирани като „нормален“ трафик. DDoS атаките могат дори да се извършват чрез прокси. Да предположим, че трета страна успее да зарази „невинна“ потребителска машина със зловреден софтуер. В този случай те могат да използват машината на този потребител, за да допринесат за тяхната атака.
Защита срещу (D)DoS атаки
DoS и DDoS атаките са относително прости методи. Те не изискват изключително висока степен на технически познания или умения от страна на нападателя. Когато са успешни, те могат масово да повлияят на важни сайтове и системи. Въпреки това дори правителствени уебсайтове се оказаха свалени по този начин.
Има множество различни начини за защита срещу DoS атаки. Повечето от тях работят донякъде по подобен начин и изискват наблюдение на входящия трафик. SYN атаките могат да бъдат блокирани чрез блокиране на обработката на специфична комбинация от пакети, които не се срещат в тази комбинация в редовен трафик. Веднъж идентифициран като DoS или DDoS, blackholing се използва за защита на системата. За съжаление целият входящ трафик (включително истински искания) се отклонява и изхвърля, за да се запази целостта на системата.
Можете да конфигурирате рутери и защитни стени, за да филтрирате известни протоколи и проблемни IP адреси, използвани при предишни атаки. Те няма да помогнат срещу по-сложни и добре разпределени атаки. Но все още са основни инструменти за спиране на прости атаки.
Въпреки че технически не е защита, гарантирането, че има много резервна честотна лента и излишни мрежови устройства в системата, също може да бъде ефективно за предотвратяване на успеха на DoS атаките. Те разчитат на претоварване на мрежата. По-силната мрежа е по-трудна за претоварване. Магистрала с 8 ленти изисква повече автомобили за блокиране, отколкото магистрала с 2 ленти, нещо подобно.
Голяма част от DoS атаките могат да бъдат предотвратени чрез прилагане на корекции към софтуера, включително вашите операционни системи. Много от използваните проблеми са грешки в софтуера, които разработчиците коригират или поне предлагат смекчаване. Някои видове атаки обаче, като DDoS, не могат да бъдат коригирани чрез корекция.
Заключение
Ефективно всяка мрежа, която успешно се защитава срещу DoS и DDoS атаки, ще го направи чрез комбиниране на набор от различни превантивни и контрамерки, които работят добре заедно. Тъй като атаките и нападателите се развиват и стават по-сложни, защитните механизми също се развиват.
Правилно настроена, конфигурирана и поддържана може да защити една система относително добре. Но дори и най-добрата система вероятно ще откаже част от легитимния трафик и ще пропусне няколко нелегитимни заявки, тъй като няма идеално решение.