DDOS tähistab distributed Denial-Of-Service. See on küberkuritegevuse tüüp, kus üks või mitu osapoolt üritavad serveri või veebisaidi liiklust katkestada. Tõhususe huvides ei kasuta nad ründamiseks ainult ühte arvutit, vaid sageli tervet nende võrku.
See ei ole siiski ainult ründaja masinad – on teatud tüüpi pahavara ja viiruseid, mis võivad mõjutada tavakasutajate arvutit ja muuta selle rünnaku osaks. Isegi IoT-seadmed pole turvalised – kui teie kodus on nutiseade, võib teoreetiliselt seda sellise rünnaku jaoks kasutada.
Kuidas see töötab?
Lihtsaim viis DDOS-i rünnakute selgitamiseks on võrrelda neid liiklusummikutega. Tavaline liiklus on katkenud, kuna kümned (või sajad, tuhanded jne) ootamatud autod sulanduvad peateele, laskmata teisi autosid minema.
Tekkiv ummik ei lase tavalistel draiveritel oma eesmärgini jõuda – DDOS-i sündmuse puhul oleks see server või veebisait, mida nad otsivad.
On erinevat tüüpi ründeid, mis on suunatud tavapärase kliendi-serveri suhtluse erinevatele elementidele.
Rakenduskihi rünnakud proovige sihtmärgi ressursse ammendada, sundides seda korduvalt faile või andmebaasipäringuid laadima – see aeglustab saidi tööd ja võib äärmuslikel juhtudel põhjustada probleeme serveriga, kuna see kuumeneb üle või suurendab toidet kasutada. Nende rünnakute eest on raske kaitsta, kuna neid on raske märgata – pole lihtne öelda, kas kasutuse hüppeline tõus on tingitud tõelise liikluse suurenemisest või pahatahtlikust rünnakust.
HTTP üleujutuse rünnakud tehakse sisuliselt brauseri lehe värskendamisega ikka ja jälle – välja arvatud miljoneid kordi. See päringute tulv serverile põhjustab sageli selle, et see on ülekoormatud ega vasta enam (ehtsatele) päringutele. Kaitsemeetmete hulka kuuluvad varuserverite olemasolu ja piisav võimsus päringute ületäitumiste käsitlemiseks. Näiteks Facebooki vastu selline rünnak peaaegu kindlasti ei töötaks, sest nende infrastruktuur on nii tugev, et suudab taoliste rünnakutega hakkama saada.
Protokollirünnakud proovige serverit tühjendada, tarbides ära kogu võimsuse, mis näiteks veebirakendustel on – seega korrates päringuid saidi või teenuse elemendile. See lõpetab veebirakenduse reageerimise. Sageli kasutatakse filtreid, mis blokeerivad korduvad päringud samadelt IP-aadressidelt, et hoida ära rünnakud ja hoida teenus tavakasutajate jaoks töös.
SYN-i üleujutusrünnakud tehakse sisuliselt nii, et serveril palutakse korduvalt element hankida ja seejärel ei kinnitata selle kättesaamist. See tähendab, et server hoiab elemente kinni ja ootab kviitungit, mida kunagi ei tule – kuni lõpuks ei suuda see enam hoida ja hakkab neid maha viskama, et rohkem kätte saada.
Volumetrilised rünnakud proovige kunstlikult tekitada ummikuid, hõivates konkreetselt kogu serveri ribalaiuse. See sarnaneb HTTP Flood rünnakutega, välja arvatud see, et korduvate päringute asemel saadetakse andmeid juurde server, hoides selle seega liiga hõivatud, et reageerida tavapärasele liiklusele. Tavaliselt kasutatakse nende rünnakute läbiviimiseks robotvõrke – sageli kasutatakse ka DNS-i võimendust.
Näpunäide: DNS-võimendus töötab nagu megafon – väiksem päring või andmepakett kuvatakse palju suuremana kui see on. See võib olla ründaja, kes taotleb kõike, mida server pakub, ja palub tal seejärel korrata kõike, mida ründaja küsis – suhteliselt väike ja lihtne taotlus võtab palju enda alla ressursse.
Kuidas kaitsta end DDOS-i rünnakute eest?
Esimene samm nende rünnakutega toimetulemiseks on veenduda, et need tõesti toimuvad. Nende märkamine ei ole alati lihtne, kuna liikluse hüppeline olukord võib ajavööndite, pressiteadete ja muu tõttu olla tavaline käitumine. Rünnakute tööle saamiseks püüavad DDOS-i ründajad oma käitumist tavaliikluses nii palju kui võimalik varjata.
Teised rutiinid DDOS-i rünnakute leevendamiseks on mustad augud, kiiruse piiramine ja tulemüürid. Mustad augud on üsna äärmuslik meede – nad ei püüa ehtsat liiklust rünnakust eraldada, vaid pigem suunavad iga päringu serverist eemale ja seejärel loobuvad. Seda saab teha näiteks eeldatava rünnaku ettevalmistamisel.
Kiiruse piiramine on kasutajatele pisut vähem karm – see seab kunstliku piirangu, kui palju taotlusi server vastu võtab. Sellest limiidist piisab tavalise liikluse läbimiseks, kuid liiga palju päringuid suunatakse automaatselt ümber ja tühistatakse – nii ei saa serverit üle koormata. See on ka tõhus viis jõhkra jõuga paroolimurdmise katsete peatamiseks – näiteks pärast viit katset lukustatakse IP-aadressi proovimine lihtsalt välja.
Tulemüürid pole kasulikud mitte ainult teie arvuti kaitsmiseks, vaid ka veebiliikluse serveri poolel. Interneti ja serveri vahele seatakse eelkõige veebirakenduste tulemüürid – need kaitsevad mitut erinevat tüüpi rünnete eest. Head tulemüürid suudavad kiiresti seadistada kohandatud vastuseid rünnakutele, kui need juhtuvad.
Näpunäide. Kui soovite oma saiti või serverit kaitsta DDOS-i rünnakute eest, vajate erinevaid lahendusi (kõige tõenäolisemalt ka tulemüüri). Parim viis selleks on konsulteerida küberjulgeoleku konsultandiga ja lasta tal koostada teie vajadustele vastav kohandatud plaan. Pole olemas ühtset lahendust, mis sobiks kõigile!