Mi az a DDOS támadás?

A DDOS a Distributed Denial-Of-Service rövidítése. Ez a kiberbűnözés egy olyan fajtája, amelyben egy vagy több fél megpróbálja megszakítani egy szerver vagy webhely forgalmát. A hatékonyság érdekében nem csak egy számítógépet használnak a támadáshoz, hanem gyakran egy egész hálózatot.

Ez azonban nem csak a támadó gépeire vonatkozik – vannak olyan rosszindulatú programok és vírusok, amelyek hatással lehetnek a normál felhasználók számítógépére, és a támadás részévé tehetik azt. Még az IoT-eszközök sem biztonságosak – ha otthonában van okoseszköz, elméletileg felhasználható lenne egy ilyen támadásra.

Hogyan működik?

A DDOS-támadások magyarázatának legegyszerűbb módja a forgalmi dugókkal való összehasonlítás. A normál forgalom megszakad, mert váratlan autók tucatjai (vagy százai, ezrei stb.) beolvadnak a főútba anélkül, hogy más autókat elengednének.

A kialakuló elakadás megakadályozza, hogy a normál illesztőprogramok eljussanak a céljukhoz – DDOS-esemény esetén ez lenne a keresett szerver vagy webhely.

Különféle típusú támadások léteznek, amelyek a normál kliens-szerver kommunikáció különböző elemeit célozzák.

Alkalmazásréteg támadások próbálja kimeríteni a cél erőforrásait úgy, hogy fájlok vagy adatbázis-lekérdezések ismételt betöltésére kényszeríti – ez lelassítja a webhely működését, és szélsőséges esetekben problémákat okozhat a szerverrel a túlmelegedés vagy az áramfelvétel miatt használat. Ezekkel a támadásokkal szemben nehéz védekezni, mert nehéz őket észrevenni – nem könnyű megmondani, hogy a használat megugrása a valódi forgalom növekedéséből vagy egy rosszindulatú támadásból ered.

HTTP Flood Attacks lényegében egy böngészőoldal újra és újra frissítésével történik – milliónyi alkalom kivételével. A kiszolgálóhoz érkezett kérések áradata gyakran azt eredményezi, hogy a szerver túlterhelt, és többé nem válaszol a (valódi) kérésekre. A védelem magában foglalja a tartalék szerverek meglétét és a túlcsordulások kezelésére elegendő kapacitást. Például egy ilyen támadás szinte biztosan nem működne a Facebook ellen, mert az infrastruktúrájuk olyan erős, hogy képes kezelni az ehhez hasonló támadásokat.

Protokoll támadások próbálja kimeríteni a kiszolgálót azáltal, hogy a webalkalmazásokhoz hasonló dolgok teljes kapacitását elhasználja – tehát megismétli a kéréseket egy webhely vagy szolgáltatás eleméhez. Ha így tesz, a webalkalmazás leáll. Gyakran olyan szűrőket használnak, amelyek blokkolják az ugyanazokról az IP-címekről érkező ismételt kéréseket, hogy elkerüljék a támadásokat, és a szolgáltatás futhasson a normál felhasználók számára.

SYN Flood Attacks lényegében úgy történik, hogy többször megkérik a szervert egy elem lekérésére, majd nem erősítik meg annak átvételét. Ez azt jelenti, hogy a szerver ragaszkodik az elemekhez, és vár a nyugtára, amely soha nem érkezik meg – amíg végül nem tud tovább tartani, és el nem kezdi eldobni őket, hogy többet vegyen fel.

Volumetrikus támadások próbáljon mesterségesen torlódást létrehozni úgy, hogy kifejezetten lefoglalja a szerver teljes sávszélességét. Ez hasonló a HTTP Flood támadásokhoz, azzal a különbséggel, hogy ismételt kérések helyett adatokat küldenek nak nek a szervert, így túlságosan elfoglalva ahhoz, hogy válaszoljon a normál forgalomra. Általában botneteket használnak ezekre a támadásokra – gyakran használnak DNS-erősítést is.

Tipp: A DNS-erősítés úgy működik, mint egy megafon – egy kisebb kérés vagy adatcsomag sokkal nagyobb, mint amilyen. Lehetséges, hogy a támadó mindent kér, amit a szerver kínál, majd megkéri, hogy ismételje meg mindent, amit a támadó kért – egy viszonylag kicsi és egyszerű kérés végül sok mindent elfoglal erőforrások.

Hogyan védekezzünk a DDOS támadások ellen?

A támadások kezelésének első lépése annak biztosítása, hogy valóban megtörténjenek. Észrevételük nem mindig egyszerű, mivel a forgalom kiugrása normális viselkedés lehet az időzónák, a sajtóközlemények és egyebek miatt. Annak érdekében, hogy támadásaikat működésre bírják, a DDOS támadók megpróbálják elrejteni viselkedésüket normál forgalomban, amennyire csak lehetséges.

A DDOS-támadások mérséklésére szolgáló további rutinok a fekete lyukak, a sebességkorlátozás és a tűzfalak. A fekete lyukak meglehetősen szélsőséges intézkedés – nem próbálják elválasztani a valódi forgalmat a támadástól, hanem minden kérést átirányítanak a szerverről, majd eldobják. Ez megtehető például egy várható támadás előkészítése során.

A sebességkorlátozás egy kicsit kevésbé durva a felhasználók számára – mesterségesen korlátozza, hogy a szerver hány kérést fogad el. Ez a korlát elegendő a normál forgalom áthaladásához, de túl sok kérést automatikusan átirányít és eldob – így nem lehet túlterhelni a szervert. Hatékony módja annak, hogy megállítsuk a brute force jelszó-feltörési kísérleteket – mondjuk öt próbálkozás után az IP-cím egyszerűen ki van zárva.

A tűzfalak nem csak a saját számítógéped védelmében hasznosak, hanem a webes forgalom szerver oldalán is. A webalkalmazások tűzfalai különösen az internet és a szerver között vannak felállítva – többféle támadás ellen védenek. A jó tűzfalak képesek gyorsan egyéni válaszokat beállítani a támadásokra, amikor azok megtörténnek.

Tipp: Ha meg szeretné védeni webhelyét vagy szerverét valamilyen DDOS támadástól, akkor különböző megoldások elrendezésére van szüksége (valószínűleg tűzfallal). A legjobb módja ennek az lenne, ha konzultál egy kiberbiztonsági tanácsadóval, és megkéri őket, hogy az Ön igényeinek megfelelő egyéni tervet dolgozzanak ki. Nincs mindenkire érvényes megoldás!