Conceptele fundamentale ale securității cibernetice sunt accesibilitatea, integritatea și confidențialitatea. Dene-of-serviciu (DoS) atacurile afectează disponibilitatea de resurse de informații. Refuzul de serviciu este considerat de succes dacă a dus la inaccesibilitatea resursei de informații. Succesul atacului și impactul asupra resurselor țintă sunt diferite, deoarece impactul dăunează victimei. De exemplu, dacă un magazin online este atacat, o negare prelungită a serviciului poate provoca pierderi financiare companiei. În fiecare caz specific, activitatea DoS poate provoca direct daune sau poate crea o amenințare și un risc potențial de daune.
Primul D din DDoS înseamnă distribuit. distribuit atac de refuz al serviciului. În acest caz, vorbim despre o masă imensă de cereri dăunătoare care vin pe serverul victimei din multe locuri diferite. În mod tipic, astfel de atacuri sunt organizate prin intermediul rețelelor de tip "botnet".
În acest articol vom examina mai atent ce tipuri de trafic DDoS și ce fel de atacuri DDoS există. Pentru fiecare tip de atac, vor fi furnizate recomandări succinte pentru prevenirea și restabilirea sănătății.
Tipuri de trafic DDoS
Cel mai simplu tip de trafic este HTTP. Cu ajutorul acestor solicitări, de exemplu, orice vizitator comunică cu site-ul dvs. printr-un browser. Cererea se bazează pe antetul HTTP.
Partea solicitantă poate folosi cât mai multe titluri, oferindu-le proprietățile necesare. Desfășurarea unui atac DDoS, atacatorii pot modifica aceste și multe alte antete HTTP, făcându-le dificil de identificat pentru a ataca. În plus, antetele HTTP pot fi scrise astfel încât să gestioneze serviciile de cache și de proxy. De exemplu, puteți instrui serverul proxy să nu cacheze informațiile.
- Cererea HTTP (S) A GET este o metodă care solicită informații pe server. Această solicitare poate cere serverului să transfere un anumit fișier, imagine, pagină sau script pentru a le afișa în browser.
- HTTP (S) GET-inundații - metoda de atacuri stratului de aplicație al DDoS (7) modelul OSI, în care un atacator trimite un flux puternic de cereri la server în scopul prisosul resurselor sale. Ca urmare, serverul nu poate răspunde nu numai la nevoile hacker-ilor, dar, de asemenea, pe nevoile reale ale clienților.
- Solicitarea HTTP (S) POST este metoda prin care datele sunt plasate în corpul solicitării pentru procesarea ulterioară pe server. Cererea POST HTTP codifică informațiile transmise și le plasează pe formular și apoi trimite acest conținut către server. Această metodă este utilizată atunci când este necesar pentru a transfera cantități mari de informații sau fișiere.
- Inundarea HTTP (S) POST este un tip de atac DDoS în care numărul de cereri POST depășește serverul astfel încât serverul să nu poată răspunde la toate solicitările. Acest lucru poate duce la o utilizare extrem de mare a resurselor de sistem și, ulterior, la o oprire de urgență a serverului.
Fiecare dintre cererile HTTP de mai sus poate fi transmisă printr-un protocol HTTPS securizat. În acest caz, toate datele trimise între client (atacatorul) și serverul sunt criptate. Se pare că "securitatea" aici joacă în mâinile intrușilor: pentru a identifica o cerere rău intenționată, serverul trebuie să o decripteze mai întâi. Ie decripta tot fluxul de cereri, care în timpul atacului DDoS vine foarte mult. Aceasta creează o încărcare suplimentară pe serverul victimă.
SYN-flood (TCP / SYN) stabilește conexiuni semi-deschise la nod. Atunci când o victimă primește un pachet SYN printr-un port deschis, acesta trebuie să trimită un pachet la răspunsul SYN-ACK și să stabilească o conexiune. După aceasta, inițiatorul trimite destinatarului un răspuns cu un pachet ACK. Acest proces este numit în mod condiționat o strângere de mână. Cu toate acestea, în timpul unui atac de inundații SYN, strângerea de mână nu poate fi finalizată, deoarece Atacatorul nu răspunde la SYN-ACK al serverului victimă. Astfel de conexiuni rămân semi-deschise înainte de expirarea timpului de expirare, depășirea coadajului de conectare și noii clienți nu se pot conecta la server.
UDP inundații este cel mai adesea folosit pentru atacurile DDoS în bandă largă din cauza lipsei de sesiune și ușurința de a crea mesaje de protocol 17 (UDP) în diferite limbi de programare.
ICMP inundații. Protocolul de control al mesajelor Internet (ICMP) este utilizat în principal pentru transmiterea mesajelor de eroare și nu este utilizat pentru transmisia de date. Pachetele ICMP pot însoți pachetele TCP atunci când vă conectați la un server. Inundarea ICMP este o metodă de atac DDoS la nivelul 3 al modelului OSI, utilizând mesaje ICMP pentru a supraîncărca rețeaua atacatorului.
Clasificarea și obiectivele atacurilor DDoS de către nivelurile OSI
Internetul utilizează modelul OSI. În total, modelul are 7 nivele care acoperă toate mediile de comunicare: din mediul fizic (primul nivel) și se termină cu nivelul de aplicații (nivelul 7), care "comunică" cu fiecare dintre celelalte programe.
Atacurile DDoS sunt posibile la fiecare dintre cele șapte nivele. Să le analizăm mai detaliat.
OSI de nivel 7: Aplicat
Atingerea limitelor lățimii canalului sau a numărului de conexiuni admise, întreruperi ale echipamentelor de rețea
Ce trebuie făcut: filtrarea traficului DDoS, cunoscută sub numele de blackholing, este o metodă adesea folosită de furnizori pentru a proteja clienții (noi folosim această metodă). Cu toate acestea, această abordare face site-ul clientului indisponibil atât pentru traficul rău intenționat, cât și pentru traficul legitim de utilizatori. Cu toate acestea, blocarea accesului este utilizată de furnizori în lupta împotriva atacurilor DDoS pentru a proteja clienții de astfel de amenințări, cum ar fi încetinirea funcționării echipamentelor de rețea și eșecul serviciilor.
OSI Nivelul 3: Rețea
Rutarea și transmiterea de informații între diferite rețele
Protocoale IP, ICMP, ARP, RIP și routere care le utilizează
Exemple de tehnologii DoS
ICMP inundații - atacurile DDos asupra celui de-al treilea strat al modelului OSI, care utilizează mesajele ICMP pentru a supraîncărca lățimea de bandă a rețelei țintă
Reducerea transferului rețelei atacate și posibila congestie a firewall-ului
Ce trebuie să faceți: Limitați numărul de cereri prelucrate utilizând protocolul ICMP și reduceți impactul posibil al acestui trafic asupra vitezei firewall-ului și a lățimii de bandă a lățimii de bandă Internet.
OSI Nivelul 2: Canal
Liniile de control al accesului liniar, limitele de viteză
Unele acțiuni și echipamente pentru eliminarea atacurilor:
Trimiteți-le prietenilor: