რა არის მომსახურების უარყოფა?

MiscellaneaJul 29, 2022
click fraud protection

სერვისის უარყოფა ან DoS არის ტერმინი, რომელიც გამოიყენება აპარატზე ან ქსელზე ციფრული თავდასხმის აღსაწერად, რომლის მიზანია ის გამოუსადეგარი გახადოს. ხშირ შემთხვევაში, ეს ნიშნავს მიმღების დატბორვას იმდენი მოთხოვნით ან იმდენი ტრაფიკით, რომ ეს იწვევს გაუმართაობას. ზოგჯერ, ეს ასევე შეიძლება ნიშნავდეს უფრო მცირე რაოდენობის კონკრეტული, მავნე ინფორმაციის გაგზავნას, მაგალითად, ავარიის გამოსაწვევად.

პროცესის უფრო დეტალურად ასახსნელად – ქსელთან დაკავშირებულ მანქანას შეუძლია გაუმკლავდეს (ანუ გაგზავნა და მიღება) გარკვეული რაოდენობის ტრაფიკი და კვლავ ფუნქციონირებს. ტრაფიკის რაოდენობა დამოკიდებულია მრავალ ფაქტორზე, როგორიცაა გაკეთებული მოთხოვნების ზომა და გადაცემული ინფორმაცია. ასევე ქსელის კავშირის ხარისხი და სიძლიერე.

როდესაც ძალიან ბევრი მოთხოვნაა დაყენებული, მაშინ ქსელი იბრძვის თავის შენარჩუნებაში. ზოგიერთ შემთხვევაში, მოთხოვნები დაიშლება ან უპასუხოდ დარჩება. თუ ჭარბი რაოდენობა ძალიან მაღალია, მაშინ ან ქსელმა ან მიმღებმა მანქანამ შეიძლება განიცადოს პრობლემები, შეცდომების და გამორთვის ჩათვლით.

თავდასხმების სახეები

არსებობს მრავალი განსხვავებული ტიპის DoS შეტევები, განსხვავებული მიზნებითა და შეტევის მეთოდოლოგიით. ზოგიერთი ყველაზე პოპულარული მოიცავს:

SYN წყალდიდობა

SYN წყალდიდობა (გამოთქმული "ცოდვა") არის თავდასხმა, სადაც თავდამსხმელი აგზავნის სწრაფ, განმეორებით დაკავშირების მოთხოვნებს მათი დასრულების გარეშე. ეს აიძულებს მიმღებ მხარეს გამოიყენოს თავისი რესურსები ახალი კავშირების გასახსნელად და შესანარჩუნებლად, დაელოდება მათ მოგვარებას. ეს არ ხდება. ეს მოიხმარს რესურსებს და ან ანელებს ან აქცევს დაზარალებულ სისტემას სრულიად გამოუსადეგარს.

იფიქრეთ იმაზე, როგორც DM-ებზე პასუხის გაცემა - თუ გამყიდველი მიიღებს ასი მოთხოვნას მანქანის შესახებ, რომლის გაყიდვაც სურს. მათ უნდა დახარჯონ დრო და ძალისხმევა ყველა მათზე პასუხის გასაცემად. თუ მათგან 99 დატოვებს გამყიდველს კითხვას, ერთმა ნამდვილმა მყიდველმა შეიძლება ვერ მიიღოს პასუხი ან ძალიან გვიან მიიღოს.

SYN flood თავდასხმა სახელს იღებს შეტევაში გამოყენებული პაკეტიდან. SYN არის პაკეტის სახელი, რომელიც გამოიყენება კავშირის დასამყარებლად გადაცემის კონტროლის პროტოკოლით ან TCP-ით, რომელიც არის ინტერნეტ ტრაფიკის უმეტესობის საფუძველი.

ბუფერის გადინება შეტევა

ბუფერული გადადინება ხდება მაშინ, როდესაც პროგრამა, რომელიც იყენებს სისტემის ნებისმიერ მეხსიერებას, აღემატება მეხსიერების განაწილებას. ასე რომ, თუ ის სავსეა ამდენი ინფორმაციით, გამოყოფილი მეხსიერება არ არის საკმარისი მის დასამუშავებლად. ამრიგად, ის ასევე გადაწერს მეხსიერების მიმდებარე ადგილებს.

არსებობს სხვადასხვა ტიპის ბუფერული გადახურების შეტევები. მაგალითად, მცირე ინფორმაციის გაგზავნა, რათა სისტემა მოატყუოს და შექმნას პატარა ბუფერი, სანამ დატბორავს მას უფრო დიდი ნაწილის ინფორმაციით. ან ისინი, რომლებიც აგზავნიან შეყვანის არასწორ ფორმატში. მისმა ნებისმიერმა ფორმამ შეიძლება გამოიწვიოს შეცდომები, გამორთვა და არასწორი შედეგები, რაც არ უნდა იყოს დაზარალებული პროგრამა.

სიკვდილის პინგ

შედარებით იუმორისტულად დასახელებული PoD შეტევა აგზავნის არასწორ ან მავნე პინგს კომპიუტერში, რათა გამოიწვიოს მისი გაუმართაობა. ჩვეულებრივი პინგ-პაკეტები მაქსიმუმ 56-84 ბაიტია. თუმცა, ეს არ არის შეზღუდვა. მათი ზომა შეიძლება იყოს 65 ათასი ბაიტი.

ზოგიერთი სისტემა და მანქანა არ არის შექმნილი იმისთვის, რომ შეძლონ გაუმკლავდნენ ამ სახის პაკეტს, რაც იწვევს ეგრეთ წოდებულ ბუფერულ გადინებას, რაც ჩვეულებრივ იწვევს სისტემის ავარიას. ის ასევე შეიძლება გამოყენებულ იქნას როგორც ინსტრუმენტი მავნე კოდის შესაყვანად, ზოგიერთ შემთხვევაში, როდესაც გამორთვა არ არის მიზანი.

განაწილებული DoS შეტევები

DDoS შეტევები არის DoS თავდასხმის უფრო მოწინავე ფორმა – ისინი შედგება მრავალი სისტემისგან, რომლებიც ერთად მუშაობენ, რათა განახორციელონ კოორდინირებული DoS შეტევა ცალკეულ სამიზნეზე. 1-ის 1-ის შეტევის ნაცვლად, ეს არის ბევრი-1-ის სიტუაცია.

ზოგადად რომ ვთქვათ, DDoS შეტევები უფრო წარმატებული იქნება, რადგან მათ შეუძლიათ მეტი ტრაფიკის გენერირება, უფრო რთულია თავიდან აცილება და თავიდან აცილება და ადვილად შენიღბული "ნორმალური" ტრაფიკი. DDoS შეტევები შეიძლება განხორციელდეს პროქსის საშუალებით. დავუშვათ, მესამე მხარე ახერხებს „უდანაშაულო“ მომხმარებლის აპარატის მავნე პროგრამით დაინფიცირებას. ამ შემთხვევაში, მათ შეუძლიათ გამოიყენონ ამ მომხმარებლის მანქანა, რათა წვლილი შეიტანონ მათ შეტევაში.

დაცვა (D)DoS თავდასხმებისგან

DoS და DDoS შეტევები შედარებით მარტივი მეთოდებია. ისინი არ საჭიროებენ განსაკუთრებულად მაღალ ტექნიკურ ცოდნას ან უნარს თავდამსხმელის მხრიდან. წარმატების შემთხვევაში, მათ შეუძლიათ მასიურად გავლენა მოახდინონ მნიშვნელოვან საიტებსა და სისტემებზე. თუმცა, სამთავრობო ვებსაიტებიც კი აღმოჩნდნენ წაშლილი ამ გზით.

არსებობს მრავალი განსხვავებული გზა DoS შეტევებისგან თავის დასაცავად. მათი უმრავლესობა მუშაობს გარკვეულწილად ანალოგიურად და საჭიროებს შემომავალი ტრაფიკის მონიტორინგს. SYN შეტევები შეიძლება დაიბლოკოს პაკეტების კონკრეტული კომბინაციის დამუშავების დაბლოკვით, რომელიც არ ხდება ამ კომბინაციაში რეგულარულ ტრაფიკში. მას შემდეგ რაც იდენტიფიცირებულია, როგორც DoS ან DDoS, blackholing გამოიყენება სისტემის დასაცავად. სამწუხაროდ, ყველა შემომავალი ტრაფიკი (მათ შორის ნამდვილი მოთხოვნები) არის გადახრილი და გაუქმებული სისტემის მთლიანობის შესანარჩუნებლად.

თქვენ შეგიძლიათ დააკონფიგურიროთ მარშრუტიზატორები და ფაირვოლლები, რათა გაფილტრონ ცნობილი პროტოკოლები და პრობლემური IP მისამართები, რომლებიც გამოყენებული იყო წინა შეტევებში. ისინი არ დაეხმარებიან უფრო დახვეწილი და კარგად განაწილებული თავდასხმების წინააღმდეგ. მაგრამ მაინც აუცილებელი ინსტრუმენტებია მარტივი შეტევების შესაჩერებლად.

თუმცა ტექნიკურად არ არის თავდაცვა, მაგრამ იმის უზრუნველყოფა, რომ სისტემაში არის უამრავი სათადარიგო გამტარობა და ზედმეტი ქსელის მოწყობილობები, ასევე შეიძლება ეფექტური იყოს DoS შეტევების წარმატების თავიდან ასაცილებლად. ისინი ეყრდნობიან ქსელის გადატვირთვას. ძლიერი ქსელის გადატვირთვა უფრო რთულია. 8 ზოლიანი ავტომაგისტრალი მოითხოვს მეტი მანქანის გადაკეტვას, ვიდრე 2 ზოლიანი მაგისტრალი, დაახლოებით ეს.

DoS შეტევების დიდი ნაწილის თავიდან აცილება შესაძლებელია პროგრამული უზრუნველყოფის, მათ შორის თქვენი ოპერაციული სისტემების პატჩების გამოყენებით. ექსპლუატირებული ბევრი პრობლემა არის პროგრამული უზრუნველყოფის შეცდომები, რომლებსაც დეველოპერები ასწორებენ ან მინიმუმ შესთავაზებენ შემარბილებელ ზომებს. თუმცა ზოგიერთი შეტევის ტიპი, როგორიცაა DDoS, არ შეიძლება გამოსწორდეს პაჩით.

დასკვნა

ფაქტობრივად, ნებისმიერი ქსელი, რომელიც წარმატებით იცავს DoS და DDoS შეტევებისგან, ამას გააკეთებს სხვადასხვა პრევენციული და კონტრზომების ნაკრების გაერთიანებით, რომლებიც კარგად მუშაობს ერთად. როგორც თავდასხმები და თავდამსხმელები ვითარდებიან და ხდებიან უფრო დახვეწილი, ასევე ხდება თავდაცვის მექანიზმები.

სწორად დაყენება, კონფიგურაცია და შენარჩუნება შეუძლია სისტემის შედარებით კარგად დაცვას. მაგრამ საუკეთესო სისტემაც კი, სავარაუდოდ, ჩამოაგდებს ლეგიტიმურ ტრაფიკს და გაუშვებს რამდენიმე არალეგიტიმურ მოთხოვნას, რადგან არ არსებობს სრულყოფილი გამოსავალი.