Отказ в обслуживании или DoS — это термин, используемый для описания цифровой атаки на машину или сеть, направленной на то, чтобы сделать ее непригодной для использования. Во многих случаях это означает перегрузку получателя таким количеством запросов или таким объемом трафика, что это приводит к сбою. Иногда это также может означать отправку меньшего количества специфической вредоносной информации, например, чтобы вызвать сбой.
Чтобы объяснить процесс более подробно - машина, подключенная к сети, может обрабатывать (то есть отправить и получить) определенное количество трафика и до сих пор функционируют. Объем трафика зависит от множества факторов, таких как размер сделанных запросов и переданной информации. А также качество и надежность подключения к сети.
Когда делается слишком много запросов, сеть не может не отставать. В некоторых случаях запросы будут отброшены или останутся без ответа. Если превышение слишком велико, то либо сеть, либо принимающая машина могут столкнуться с проблемами, вплоть до ошибок и отключений.
Типы атак
Существует множество различных типов DoS-атак с разными целями и методологиями атак. Некоторые из самых популярных включают в себя:
Синхронный флуд
SYN-флуд (произносится как «грех») — это атака, при которой злоумышленник отправляет быстрые повторяющиеся запросы на подключение, не завершая их. Это вынуждает принимающую сторону использовать свои ресурсы для открытия и удержания новых соединений, ожидая их разрешения. Этого не происходит. Это потребляет ресурсы и либо замедляет работу системы, либо делает ее полностью непригодной для использования.
Думайте об этом как об ответе на DM — если продавец получает сотню запросов об автомобиле, который он хочет продать. Им приходится тратить время и усилия, чтобы ответить на них все. Если 99 из них оставят продавца читать, единственный настоящий покупатель может не получить ответ или получить его слишком поздно.
Атака SYN Flood получила свое название от пакета, используемого для атаки. SYN — это имя пакета, используемое для установления соединения через протокол управления передачей или TCP, который является основой большей части интернет-трафика.
Атака на переполнение буфера
Переполнение буфера происходит, когда программа, использующая любую доступную в системе память, превышает выделенную ей память. Таким образом, если он заполнен таким большим количеством информации, выделенной памяти недостаточно для ее обработки. Поэтому он также перезаписывает соседние области памяти.
Существуют различные типы атак переполнения буфера. Например, отправка крошечного бита информации, чтобы заставить систему создать небольшой буфер, прежде чем заполнить его большим битом информации. Или те, которые отправляют искаженный тип ввода. Любая его форма может привести к ошибкам, остановам и неправильным результатам в любой затронутой программе.
Пинг смерти
Относительно забавно названная атака PoD отправляет искаженный или злонамеренный пинг на компьютер, чтобы вызвать его сбой. Обычные пакеты ping имеют размер не более 56-84 байт. Однако это не предел. Они могут быть размером до 65 КБ.
Некоторые системы и машины не предназначены для работы с такого рода пакетами, что приводит к так называемому переполнению буфера, что обычно приводит к сбою системы. Его также можно использовать в качестве инструмента для внедрения вредоносного кода в некоторых случаях, когда отключение не является целью.
Распределенные DoS-атаки
DDoS-атаки — это более продвинутая форма DoS-атаки, состоящая из нескольких систем, которые работают вместе для выполнения скоординированной DoS-атаки на одну цель. Вместо атаки 1-к-1 это ситуация Многие-к-1.
Вообще говоря, DDoS-атаки имеют больше шансов на успех, поскольку они могут генерировать больше трафика, их труднее избежать и предотвратить, и их легко замаскировать под «обычный» трафик. DDoS-атаки могут осуществляться даже через прокси. Предположим, третьей стороне удается заразить «невиновную» машину пользователя вредоносным ПО. В этом случае они могут использовать компьютер этого пользователя, чтобы способствовать своей атаке.
Защита от (D)DoS-атак
DoS- и DDoS-атаки — относительно простые методы. Они не требуют исключительно высокого уровня технических знаний или навыков со стороны злоумышленника. В случае успеха они могут оказать огромное влияние на важные сайты и системы. Тем не менее, даже правительственные веб-сайты оказались закрыты таким образом.
Существует несколько различных способов защиты от DoS-атак. Большинство из них работают примерно одинаково и требуют мониторинга входящего трафика. SYN-атаки можно заблокировать, заблокировав обработку определенной комбинации пакетов, которая не встречается в этой комбинации в обычном трафике. После идентификации как DoS или DDoS «черная дыра» используется для защиты системы. К сожалению, весь входящий трафик (в том числе подлинные запросы) перенаправляется и выбрасывается для сохранения целостности системы.
Вы можете настроить маршрутизаторы и брандмауэры для фильтрации известных протоколов и проблемных IP-адресов, которые использовались в предыдущих атаках. Они не помогут против более изощренных и хорошо распределенных атак. Но по-прежнему являются важными инструментами для остановки простых атак.
Хотя технически это не является защитой, обеспечение достаточной пропускной способности и резервных сетевых устройств в системе также может быть эффективным средством предотвращения успешных DoS-атак. Они полагаются на перегрузку сети. Более сильную сеть труднее перегрузить. На 8-полосной автомагистрали нужно заблокировать больше автомобилей, чем на 2-полосной, примерно так.
Большую часть DoS-атак можно предотвратить, применяя исправления к программному обеспечению, включая операционные системы. Многие из эксплуатируемых проблем являются ошибками в программном обеспечении, которые разработчики исправляют или, по крайней мере, предлагают способы устранения. Однако некоторые типы атак, такие как DDoS, не могут быть устранены с помощью исправлений.
Вывод
По сути, любая сеть, успешно защищающая от DoS- и DDoS-атак, будет делать это, комбинируя набор различных превентивных и контрмер, которые хорошо работают вместе. По мере того, как атаки и злоумышленники развиваются и становятся более изощренными, то же самое происходит и с механизмами защиты.
Правильная установка, настройка и обслуживание могут относительно хорошо защитить систему. Но даже самая лучшая система, скорее всего, пропустит часть законного трафика и пропустит несколько нелегитимных запросов, поскольку идеального решения не существует.