מהי מניעת שירות?

MiscellaneaJul 29, 2022

מניעת שירות או DoS הוא מונח המשמש לתיאור התקפה דיגיטלית על מכונה או רשת שנועדה להפוך אותה לבלתי שמישה. במקרים רבים זה אומר להציף את הנמען בכל כך הרבה בקשות או כל כך הרבה תעבורה שזה גורם לתקלה. לפעמים, זה יכול להיות גם שליחת כמות קטנה יותר של מידע ספציפי ומזיק כדי לעורר קריסה, למשל.

כדי להסביר את התהליך ביתר פירוט - מכונה המחוברת לרשת יכולה להתמודד עם (כלומר, לשלוח ולקבל) כמות מסוימת של תעבורה ועדיין לתפקד. כמות התעבורה תלויה במספר גורמים, כגון גודל הבקשות שהוגשו והמידע המועבר. כמו גם האיכות והחוזק של קישוריות הרשת.

כאשר מתקבלות יותר מדי בקשות, הרשת תתקשה לעמוד בקצב. במקרים מסוימים, הבקשות יבוטלו או יישארו ללא מענה. אם העודף גבוה מדי, הרשת או המחשב המקבל עלולים לסבול מבעיות, עד וכולל שגיאות וכיבויים.

סוגי התקפות

ישנם סוגים רבים ושונים של התקפות DoS, עם מטרות ומתודולוגיות תקיפה שונות. כמה מהפופולריים ביותר כוללים:

SYN Flood

מבול SYN (מבוטא "חטא") היא התקפה שבה התוקף שולח בקשות חיבור מהירות וחוזרות מבלי לסיים אותן. זה מאלץ את הצד המקבל להשתמש במשאבים שלו כדי לפתוח ולהחזיק קשרים חדשים, ממתין שהם יפתרו. זה לא קורה. זה גוזל משאבים ומאט או הופך את המערכת המושפעת לבלתי שמישה לחלוטין.

תחשוב על זה כמו להגיב להודעות DM - אם מוכר מקבל מאה בקשות לגבי מכונית שהוא רוצה למכור. הם צריכים להשקיע זמן ומאמץ כדי להשיב לכולם. אם 99 מהם יעזבו את המוכר לקרוא, ייתכן שהקונה האמיתי היחיד לא יקבל תשובה או יקבל אותה מאוחר מדי.

מתקפת ההצפה של SYN מקבלת את שמה מהחבילה ששימשה בהתקפה. SYN הוא שם החבילה המשמש ליצירת חיבור באמצעות פרוטוקול בקרת השידור או TCP שהוא הבסיס לרוב תעבורת האינטרנט.

מתקפת הצפת מאגר

הצפת מאגר מתרחשת כאשר תוכנית המשתמשת בכל הזיכרון שיש למערכת זמין חורגת מהקצאת הזיכרון שלה. לכן, אם הוא מוצף בכל כך הרבה מידע, הזיכרון המוקצה אינו מספיק כדי לטפל בו. לכן הוא מחליף גם את מיקומי הזיכרון הסמוכים.

ישנם סוגים שונים של התקפות הצפת חוצץ. לדוגמה, שליחת מידע זעיר כדי להערים על המערכת ליצור מאגר קטן לפני שמציפים אותו במעט מידע גדול יותר. או כאלה ששולחים סוג קלט שגוי. כל צורה שלו עלולה לגרום לשגיאות, כיבויים ותוצאות שגויות בכל התוכנית המושפעת.

פינג המוות

מתקפת ה-PoD, ששמה הומור יחסית, שולחת פינג פגום או זדוני למחשב על מנת לגרום לו להתקלקל. מנות פינג רגילות הן בסביבות 56-84 בתים לכל היותר. עם זאת, זו לא המגבלה. הם יכולים להיות גדולים עד 65 אלף בתים.

חלק מהמערכות והמכונות לא מתוכננות להיות מסוגלות להתמודד עם חבילה מסוג זה, מה שמוביל למה שנקרא גלישת חיץ שבדרך כלל גורמת למערכת לקרוס. זה יכול לשמש גם ככלי כדי להחדיר קוד זדוני, במקרים מסוימים שבהם כיבוי אינו המטרה.

התקפות DoS מבוזרות

התקפות DDoS הן צורה מתקדמת יותר של התקפת DoS - הן מורכבות ממספר מערכות הפועלות יחד כדי לבצע התקפת DoS מתואמת על מטרה יחידה. במקום התקפה של 1 ל-1, זהו מצב של רבים ל-1.

באופן כללי, התקפות DDoS נוטות להצליח יותר מכיוון שהן יכולות לייצר יותר תעבורה, קשה יותר להימנע ולמנוע אותן, והן יכולות בקלות להיות מוסוות לתעבורה 'רגילה'. התקפות DDoS יכולות להתבצע אפילו באמצעות פרוקסי. נניח שצד שלישי מצליח להדביק מכונה של משתמשים 'תמימים' בתוכנה זדונית. במקרה זה, הם יכולים להשתמש במחשב של אותו משתמש כדי לתרום להתקפה שלהם.

הגנה מפני התקפות (D)DoS

התקפות DoS ו-DDoS הן שיטות פשוטות יחסית. הם אינם דורשים רמה גבוהה במיוחד של ידע או מיומנות טכנית מצד התוקף. כשהם מצליחים, הם יכולים להשפיע באופן מסיבי על אתרים ומערכות חשובות. עם זאת, אפילו אתרי אינטרנט ממשלתיים מצאו את עצמם מורידים בדרך זו.

ישנן מספר דרכים שונות להתגונן מפני התקפות DoS. רובם עובדים בצורה דומה ודורשים ניטור של תנועה נכנסת. ניתן לחסום התקפות SYN על ידי חסימת שילוב מסוים של מנות מעיבוד שאינו מתרחש בשילוב זה בתעבורה רגילה. לאחר זיהוי כ-DoS או DDoS, נעשה שימוש ב- blackholing כדי להגן על מערכת. למרבה הצער, כל התנועה הנכנסת (כולל בקשות אמיתיות) מוסט ומוסר כדי לשמור על שלמות המערכת.

אתה יכול להגדיר נתבים וחומות אש כדי לסנן פרוטוקולים ידועים וכתובות IP בעייתיות ששימשו בהתקפות קודמות. הם לא יעזרו נגד התקפות מתוחכמות ומפוזרות יותר. אבל הם עדיין כלים חיוניים לעצור התקפות פשוטות.

למרות שלא מדובר בהגנה טכנית, לוודא שיש הרבה רוחב פס פנוי והתקני רשת מיותרים במערכת יכולה להיות יעילה גם במניעת התקפות DoS מלהצליח. הם מסתמכים על עומס יתר על הרשת. קשה יותר להעמיס על רשת חזקה יותר. כביש מהיר בעל 8 מסלולים דורש יותר מכוניות לחסום מאשר כביש מהיר עם 2 נתיבים, משהו כזה.

ניתן למנוע חלק ניכר מהתקפות DoS על ידי החלת תיקונים לתוכנה, כולל מערכות ההפעלה שלך. רבות מהבעיות המנוצלות הן באגים בתוכנה שהמפתחים מתקנים או לפחות מציעים להם פתרונות. עם זאת, לא ניתן לתקן חלק מסוגי התקפות, כמו DDoS, באמצעות תיקון.

סיכום

למעשה, כל רשת שתצליח להתגונן מפני התקפות DoS ו-DDoS תעשה זאת על ידי שילוב של קבוצה של אמצעי מניעה ואמצעי נגד שונים שפועלים היטב יחד. ככל שההתקפות והתוקפים מתפתחים ומשתכללים, כך גם מנגנוני ההגנה מתפתחים.

הגדרה, הגדרה ותחזוקה נכונה יכולה להגן על מערכת בצורה טובה יחסית. אבל סביר להניח שגם המערכת הטובה ביותר תפיל תנועה לגיטימית ותעביר כמה בקשות לא לגיטימיות, מכיוון שאין פתרון מושלם.