Denial of Service lub DoS to termin używany do opisania cyfrowego ataku na komputer lub sieć, którego celem jest uczynienie go bezużytecznym. W wielu przypadkach oznacza to zalanie odbiorcy tyloma żądaniami lub tak dużym ruchem, że powoduje awarię. Czasami może to również oznaczać wysłanie mniejszej ilości konkretnych, szkodliwych informacji, aby na przykład wywołać awarię.
Aby dokładniej wyjaśnić proces – maszyna podłączona do sieci może obsłużyć (to znaczy wysyłać i odbierać) pewną ilość ruchu i nadal funkcjonować. Wielkość ruchu zależy od wielu czynników, takich jak wielkość wysyłanych żądań i przesyłane informacje. Jak również jakość i siła połączenia sieciowego.
Gdy wysyłanych jest zbyt wiele żądań, sieć będzie miała trudności z nadążaniem za nimi. W niektórych przypadkach prośby zostaną odrzucone lub pozostaną bez odpowiedzi. Jeśli nadmiar jest zbyt wysoki, może wystąpić problem z siecią lub komputerem odbierającym, włącznie z błędami i wyłączeniami.
Rodzaje ataków
Istnieje wiele różnych typów ataków DoS o różnych celach i metodologiach ataków. Niektóre z najpopularniejszych to:
SYN Powódź
Powódź SYN (wymawiane „grzech”) to atak, w którym atakujący wysyła szybkie, powtarzające się żądania połączenia bez ich finalizowania. Zmusza to stronę odbierającą do wykorzystania swoich zasobów do otwierania i utrzymywania nowych połączeń w oczekiwaniu na ich rozwiązanie. Tak się nie dzieje. Powoduje to zużycie zasobów i spowalnia lub całkowicie uniemożliwia korzystanie z systemu, którego dotyczy problem.
Pomyśl o tym jak o odpowiadaniu na DM – jeśli sprzedawca otrzymuje sto zapytań o samochód, który chce sprzedać. Muszą poświęcić czas i wysiłek, aby odpowiedzieć na wszystkie. Jeśli 99 z nich opuści czytanie sprzedawcy, pojedynczy prawdziwy nabywca może nie otrzymać odpowiedzi lub otrzymać ją zbyt późno.
Atak typu SYN flood otrzymuje swoją nazwę od pakietu użytego w ataku. SYN to nazwa pakietu używana do nawiązania połączenia za pośrednictwem protokołu kontroli transmisji lub TCP, który jest podstawą większości ruchu internetowego.
Atak przepełnienia bufora
Przepełnienie bufora występuje, gdy program, który używa dowolnej pamięci dostępnej w systemie, przekracza przydział pamięci. Tak więc, jeśli jest zalany tak dużą ilością informacji, przydzielona pamięć nie wystarczy, aby ją obsłużyć. Dlatego nadpisuje również sąsiednie lokalizacje pamięci.
Istnieją różne rodzaje ataków przepełnienia bufora. Na przykład wysłanie niewielkiej ilości informacji, aby nakłonić system do utworzenia małego bufora przed zalaniem go większą ilością informacji. Lub te, które wysyłają zniekształcony typ danych wejściowych. Każda jego forma może powodować błędy, zamknięcia i nieprawidłowe wyniki w każdym programie, którego dotyczy problem.
Ping śmierci
Stosunkowo żartobliwie nazwany atak PoD wysyła zniekształcony lub złośliwy ping do komputera, aby spowodować jego awarię. Normalne pakiety ping mają co najwyżej około 56-84 bajty. Jednak to nie jest ograniczenie. Mogą mieć nawet 65 tys. bajtów.
Niektóre systemy i maszyny nie są zaprojektowane do radzenia sobie z tego rodzaju pakietami, co prowadzi do tak zwanego przepełnienia bufora, który zwykle powoduje awarię systemu. Może być również używany jako narzędzie do wstrzykiwania złośliwego kodu, w niektórych przypadkach, gdy zamknięcie nie jest celem.
Rozproszone ataki DoS
Ataki DDoS są bardziej zaawansowaną formą ataków DoS – składają się z wielu systemów, które współpracują ze sobą, aby wykonać skoordynowany atak DoS na pojedynczy cel. Zamiast ataku 1 na 1, jest to sytuacja wiele na 1.
Ogólnie rzecz biorąc, ataki DDoS mają większe szanse powodzenia, ponieważ mogą generować większy ruch, trudniej jest ich unikać i zapobiegać, a także można je łatwo zamaskować jako „normalny” ruch. Ataki DDoS mogą być nawet przeprowadzane przez proxy. Załóżmy, że osobie trzeciej udało się zainfekować maszynę „niewinnych” użytkowników złośliwym oprogramowaniem. W takim przypadku mogą wykorzystać komputer tego użytkownika, aby przyczynić się do ataku.
Obrona przed atakami (D)DoS
Ataki DoS i DDoS to stosunkowo proste metody. Nie wymagają wyjątkowo wysokiego poziomu wiedzy technicznej ani umiejętności po stronie atakującego. Gdy się powiedzie, mogą mieć ogromny wpływ na ważne witryny i systemy. Jednak nawet strony rządowe zostały w ten sposób usunięte.
Istnieje wiele różnych sposobów obrony przed atakami DoS. Większość z nich działa nieco podobnie i wymaga monitorowania ruchu przychodzącego. Ataki SYN można zablokować, blokując przetwarzanie określonej kombinacji pakietów, która nie występuje w tej kombinacji w zwykłym ruchu. Po zidentyfikowaniu jako DoS lub DDoS, blackholing służy do ochrony systemu. Niestety cały ruch przychodzący (w tym prawdziwe prośby) jest przekierowywany i odrzucany w celu zachowania integralności systemu.
Routery i zapory można skonfigurować tak, aby odfiltrowywały znane protokoły i problematyczne adresy IP używane w poprzednich atakach. Nie pomogą w przypadku bardziej wyrafinowanych i dobrze rozproszonych ataków. Ale nadal są niezbędnymi narzędziami do powstrzymania prostych ataków.
Chociaż technicznie nie jest to obrona, upewnienie się, że w systemie jest dużo wolnej przepustowości i nadmiarowych urządzeń sieciowych, może również skutecznie zapobiegać powodzeniu ataków DoS. Polegają na przeciążeniu sieci. Silniejszą sieć trudniej przeciążyć. Autostrada 8-pasmowa wymaga zablokowania większej liczby samochodów niż autostrada 2-pasmowa, coś w tym stylu.
Większej części ataków DoS można zapobiec, stosując poprawki do oprogramowania, w tym do systemów operacyjnych. Wiele wykorzystywanych problemów to błędy w oprogramowaniu, które programiści naprawiają lub przynajmniej oferują środki zaradcze. Jednak niektórych typów ataków, takich jak DDoS, nie można naprawić za pomocą łatek.
Wniosek
W rzeczywistości każda sieć skutecznie broniąca się przed atakami DoS i DDoS zrobi to, łącząc zestaw różnych dobrze ze sobą współpracujących środków zapobiegawczych i zaradczych. Wraz z ewolucją ataków i napastników, które stają się coraz bardziej wyrafinowane, rozwijają się również mechanizmy obronne.
Prawidłowo skonfigurowany, skonfigurowany i utrzymywany może stosunkowo dobrze chronić system. Ale nawet najlepszy system prawdopodobnie odrzuci część legalnego ruchu i przepuszcza kilka nieuzasadnionych żądań, ponieważ nie ma idealnego rozwiązania.