Denial of Service eller DoS er et udtryk, der bruges til at beskrive et digitalt angreb på en maskine eller et netværk, der har til formål at gøre det ubrugeligt. I mange tilfælde betyder det at oversvømme modtageren med så mange anmodninger eller så meget trafik, at det forårsager en fejl. Nogle gange kan det også betyde at sende en mindre mængde specifik, skadelig information for at udløse et nedbrud, for eksempel.
For at forklare processen mere detaljeret – en maskine tilsluttet et netværk kan håndtere (det vil sige, sende og modtage) en vis mængde trafik og stadig fungere. Mængden af trafik afhænger af flere faktorer, såsom størrelsen af de fremsatte anmodninger og de overførte oplysninger. Samt kvaliteten og styrken af netværksforbindelsen.
Når der kommer for mange anmodninger, så vil netværket kæmpe for at følge med. I nogle tilfælde vil anmodninger blive droppet eller forblive ubesvarede. Hvis overskuddet er for højt, kan enten netværket eller den modtagende maskine få problemer, op til og med fejl og nedlukninger.
Typer af angreb
Der er mange forskellige typer af DoS-angreb med forskellige mål og angrebsmetoder. Nogle af de mest populære inkluderer:
SYN Flood
En SYN-oversvømmelse (udtales "synd") er et angreb, hvor angriberen sender hurtige, gentagne forbindelsesanmodninger uden at afslutte dem. Dette tvinger den modtagende side til at bruge deres ressourcer til at åbne og fastholde nye forbindelser, mens de venter på, at de løser sig. Dette sker ikke. Dette bruger ressourcer og enten bremser eller gør det berørte system fuldstændig ubrugeligt.
Tænk på det som at svare på DM'er - hvis en sælger modtager hundrede forespørgsler om en bil, de vil sælge. De skal bruge tid og kræfter på at svare dem alle. Hvis 99 af dem forlader sælgeren og læser, får den enlige, ægte køber muligvis ikke et svar eller får det alt for sent.
SYN-oversvømmelsesangrebet får sit navn fra den pakke, der blev brugt i angrebet. SYN er pakkens navn, der bruges til at etablere en forbindelse via Transmission Control Protocol eller TCP, der er grundlaget for det meste internettrafik.
Bufferoverløbsangreb
Et bufferoverløb opstår, når et program, der bruger den hukommelse, et system har til rådighed, overstiger dets hukommelsestildeling. Så hvis det er oversvømmet med så meget information, er den tildelte hukommelse ikke nok til at håndtere den. Den overskriver derfor også tilstødende hukommelsesplaceringer.
Der er forskellige typer bufferoverløbsangreb. For eksempel at sende en lille smule information for at narre systemet til at skabe en lille buffer, før det oversvømmes med en større smule information. Eller dem, der sender en forkert type input. Enhver form for det kan forårsage fejl, nedlukninger og ukorrekte resultater, uanset hvad det berørte program er.
Ping of Death
Det relativt humoristisk navngivne PoD-angreb sender et forkert udformet eller ondsindet ping til en computer for at få den til at fungere. Normale ping-pakker er højst omkring 56-84 bytes. Det er dog ikke begrænsningen. De kan være så store som 65k bytes.
Nogle systemer og maskiner er ikke designet til at kunne håndtere den slags pakker, hvilket fører til et såkaldt bufferoverløb, der normalt får systemet til at gå ned. Det kan også bruges som et værktøj til at injicere ondsindet kode, i nogle tilfælde hvor en nedlukning ikke er målet.
Distribuerede DoS-angreb
DDoS-angreb er en mere avanceret form for DoS-angreb – de består af flere systemer, der arbejder sammen om at udføre et koordineret DoS-angreb på et enkelt mål. I stedet for et 1-til-1-angreb er dette en Mange-til-1-situation.
Generelt set er DDoS-angreb mere tilbøjelige til at lykkes, da de kan generere mere trafik, er sværere at undgå og forhindre og nemt kan forklædes som 'normal' trafik. DDoS-angreb kan endda udføres via proxy. Antag, at en tredjepart formår at inficere en 'uskyldig' brugermaskine med malware. I så fald kan de bruge denne brugers maskine til at bidrage til deres angreb.
Forsvar mod (D)DoS-angreb
DoS- og DDoS-angreb er relativt simple metoder. De kræver ikke en usædvanlig høj grad af teknisk viden eller færdigheder på angriberens side. Når de lykkes, kan de påvirke vigtige websteder og systemer massivt. Men selv regeringshjemmesider har fundet sig selv nedlagt på denne måde.
Der er flere forskellige måder at forsvare sig mod DoS-angreb. De fleste af dem fungerer nogenlunde ens og kræver overvågning af indgående trafik. SYN-angreb kan blokeres ved at blokere en specifik kombination af pakker fra at blive behandlet, som ikke forekommer i denne kombination i almindelig trafik. Når først identificeret som DoS eller DDoS, bruges blackholing til at beskytte et system. Desværre er al indkommende trafik (herunder ægte anmodninger) omdirigeres og kasseres for at bevare systemets integritet.
Du kan konfigurere routere og firewalls til at bortfiltrere kendte protokoller og problematiske IP-adresser brugt i tidligere angreb. De hjælper ikke mod mere sofistikerede og velfordelte angreb. Men er stadig vigtige værktøjer til at stoppe simple angreb.
Selvom det teknisk set ikke er et forsvar, kan det også være effektivt at forhindre DoS-angreb i at lykkes at sikre, at der er masser af ekstra båndbredde og redundante netværksenheder i systemet. De er afhængige af at overbelaste netværket. Et stærkere netværk er sværere at overbelaste. En 8-sporet motorvej kræver flere biler at blokere end en 2-sporet motorvej, sådan noget her.
En god del af DoS-angreb kan forhindres ved at anvende patches til software, inklusive dine operativsystemer. Mange af de problemer, der udnyttes, er fejl i softwaren, som udviklere løser eller i det mindste tilbyder begrænsninger for. Nogle angrebstyper, som DDoS, kan dog ikke rettes ved hjælp af patching.
Konklusion
Ethvert netværk, der med succes forsvarer sig mod DoS- og DDoS-angreb, vil effektivt gøre det ved at kombinere et sæt forskellige forebyggende og modforanstaltninger, der fungerer godt sammen. Efterhånden som angreb og angribere udvikler sig og bliver mere sofistikerede, gør forsvarsmekanismer det også.
Korrekt opsætning, konfigureret og vedligeholdt kan beskytte et system relativt godt. Men selv det bedste system vil sandsynligvis droppe noget legitim trafik og slippe igennem et par illegitime anmodninger, da der ikke er en perfekt løsning.