Термін DDoS свистить, коли кібер-активність піднімає голову в масовому порядку. Подібні атаки потрапляють в міжнародні заголовки з кількох причин. Проблеми, які запускають ці DDoS-атаки, часто є спірними або дуже політичними. Оскільки атаки атакують велику кількість постійних користувачів, це проблема, яка грає з людьми.
Можливо, найголовніше, багато людей не знають, що являє собою DDoS-атака. Незважаючи на зростаючу частоту, дивлячись на заголовки газети, DDoS-атаки можуть бути чим завгодно, від цифрового вандалізму до повноцінного кібертероризму.
Отже, що тягне за собою DDoS або розподілена відмова в обслуговуванні? Як це працює, і як це впливає на передбачувану мету і її користувачів? Це важливі питання, і це те, на чому ми збираємося зосередитися в цьому екземплярі Explains.
Відмова в обслуговуванні
Перш ніж ми вирішимо проблему DDoS або розподілених атак типу «відмова в обслуговуванні», давайте розглянемо велику групу проблем відмови в обслуговуванні (DoS).
Відмова в обслуговуванні є широкою проблемою. Простіше кажучи, веб-сайт стикається з проблемами DoS, коли він більше не може обслуговувати своїх постійних користувачів. Коли в Twitter стікається занадто багато людей, з'являється повідомлення «Fail Whale», що вказує, що веб-сайт досяг і пройшов максимальне завантаження. По суті, Twitter випробовує DoS.
У більшості випадків ці проблеми ініціюються без злого наміру. Великий веб-сайт посилається на невеликий веб-сайт, який не призначений для того ж рівня трафіку.
Атака відмови в обслуговуванні вказує на зловмисні наміри. Зловмисник витрачає зусилля, намагаючись спровокувати проблеми DoS. Використовувані тут методи сильно різняться - DoS-атака відноситься до передбачуваного результату атаки, а не до того, як вона виконується. Як правило, перебираючи ресурси системи, вона може зробити систему недоступною для її звичайних користувачів, що в кінцевому підсумку навіть призводить до збою системи і її повного відключення.
Розподілені (DDoS) атаки
Різниця між розподіленою відмовою в обслуговуванні (DDoS) і звичайними DoS-атаками полягає в обсязі атаки. Якщо DoS виконується одним зловмисником, що використовує одну систему, розподілена атака виконується в декількох атакуючих системах.
Добровільно беруть участь агенти
Іноді приєднуються кілька атакуючих, кожен з яких охоче бере участь в атаці. Програмне забезпечення, яке використовується для стрес-тестування систем, або програмне забезпечення, спеціально розроблене для руйнування, встановлено в кожній системі. Щоб атака працювала, вона повинна бути скоординована. Скоординовані через IRC-чати, форуми або навіть канали Twitter, зловмисники масово кидаються на одну ціль, намагаючись наводнити її діями, щоб порушити використання або вивести систему з ладу.
Коли PayPal, Visa і MasterCard почали бойкотувати WikiLeaks наприкінці 2010 року, прихильники WikiLeaks провели скоординований DDoS, тимчасово закривши домашню сторінку декількох веб-сайтів. Подібні атаки були спрямовані проти інших банків і навіть органів національної безпеки.
Тут важливо пам'ятати, що вітрина магазину веб-сайту затоплена і зруйнована, тоді як внутрішні мережі банку і силових структур зазвичай залишаються недоторканими, як пояснюється в коміксі XKCD 932, показаному вище.
Системи зомбі або ботнети
Розподілена атака типу «відмова в обслуговуванні» вимагає декількох систем атаки. Це зазвичай не вимагає кількох Нападників. Часто масштабні атаки здійснюються не через власний комп'ютер зловмисника, а через велику кількість заражених зомбі-систем. Зловмисники можуть зловживати вразливістю нульового дня вразливість і використовуйте черв'яка або троянського коня щоб отримати контроль над великою кількістю скомпрометованих систем. Потім зловмисник використовує ці заражені системи для організації атаки проти своєї мети. Заражені системи, які використовуються таким чином, часто називають системами ботів або зомбі. Колекція ботів називається ботнетом.
Хоча веб-сайт, на який націлена атака DDoS, зазвичай зображується як єдина жертва, користувачі заражених систем, які є частиною ботнету, також піддаються впливу. Ботнет використовує не тільки їхні комп'ютери для незаконних атак, а й ресурси їхніх комп'ютерів і підключення до Інтернету.
Типи атак
Як згадувалося раніше, DDoS-атака тільки встановлює ціль атаки - забирає у системи її ресурси і робить її нездатною виконати заплановане обслуговування. Є кілька способів досягнення цієї мети. Зловмисник може захопити ресурси системи або навіть перемістити систему на межу і змусити її впасти. У серйозних випадках атака з постійною відмовою в обслуговуванні (PDoS), також відома як флешинг, завдає такої великої шкоди своїй меті, що апаратні компоненти повинні бути повністю замінені, перш ніж вони зможуть відновити нормальну роботу.
Ми розглянемо два важливих методи атаки. Цей список ні в якому разі не є вичерпним. Великий список можна знайти в DoS статті Вікіпедії.
ICMP Flood
ICMP (або протокол керуючих повідомлень Інтернету, але це менш важливо) є невід'ємною частиною Інтернет-протоколу. Атака ICMP-атак виконується шляхом бомбардування мережі мережевими пакетами, використання ресурсів і її збою. Одним з типів атак є Ping Flood, проста DoS-атака, де зловмисник ефективно пригнічує свою мету за допомогою пакетів «ping». Ідея в тому, що пропускна здатність зловмисника більша, ніж у його мети.
Атака Smurf - більш розумний спосіб повені ICMP. Деякі мережі дозволяють мережевим клієнтам транслювати повідомлення всім іншим клієнтам, відправляючи їх на одну широкомовну адресу. Атака Smurf націлена на цю широкомовну адресу і змушує його пакети виглядати так, як ніби вони прийшли з цілі. Мета передає ці пакети всім мережевим клієнтам, ефективно виступаючи в якості підсилювача для атаки.
(S) SYN Потоп
A (S) SYN Flood спирається на основні принципи роботи мережевого взаємодії. Під час нормальної роботи клієнт починає зв'язок, відправляючи серверу пакет TCP/SYN, по суті кажучи, повідомляючи серверу, що він хоче зв'язатися. Сервер після отримання пакета створює з'єднання для зв'язку з клієнтом і відправляє назад підтвердження та посилання на канал зв'язку.
Клієнт відправляє підтвердження по черзі і починає зв'язок з сервером. Однак, якщо клієнт не відповідає з цим другим підтвердженням, сервер вважає, що він не прийшов належним чином (як це відбувається досить часто), і відправляє його повторно.
A (S) SYN Flood зловживає цією механікою, посилаючи незліченну кількість пакетів TCP/SYN (кожен з різним, зазначеним підробленим походженням). Кожен пакунок пропонує серверу створити з'єднання і продовжити надсилання підтверджень. Незабаром сервер витратив свої власні ресурси з напіввідкритими з'єднаннями. Цей принцип проілюстрований в коміксі вище, намальований і опублікований правдоподібністю Redditor.
Як пояснено вище, DDoS-атаки різні, але мають єдину ціль: (тимчасово) перешкодити автентичним користувачам використовувати цільову систему. Чи відповідає це вашим початковим уявленням про DDoS-атаки? Дайте нам знати в розділі коментарів.