Cyber-crimele au fost în creștere târziu, cu atacuri ransomware (WannaCry, NotPetya), hacked baze de date (Equifax, Sony, Yahoo), și backdoor software-ul (Floxif / CCleaner, ShadowPad / NetSarang). Deși amploarea și amploarea acestor atacuri sunt uimitoare, este adevărat că infractorii cibernetici nu se limitează doar la furtul datelor, identității sau banilor. Sfera crimelor în lumea virtuală este la fel de mare ca în lumea reală, dacă nu mai mult. Un tip de atac cibernetic care a fost în centrul atenției este DDoS sau denial-of-service distribuit care au împărțit adesea comunitatea hackerilor de alb-pălărie de-a lungul anilor. Cu furnizorul de servicii CDN, Cloudflare, care anunță acum o protecție gratuită DDoS pentru toți clienții săi, dezbaterea veche a DDoS "etice" împotriva DDoS rău intenționat a început încă o dată, ambele părți având susținerea completă a argumentelor respective. Odată cu dezbaterea despre atacurile DDoS care se rănesc pe internet, să analizăm astăzi fenomenul astăzi, încercând nu numai să învățăm mai multe despre el, dar și să încercăm să înțelegem de ce grupurile de hacktivisti și grupurile de advocacy de liberă exprimare continuă să eșueze eforturile lor de a ajunge la un consens cu privire la aceasta în primul rând:
Ce este DDoS și cum funcționează?
În cel mai simplu mod de termen, un atac distribuit de serviciu (DDoS) este o încercare de a întrerupe în mod artificial funcționarea normală a unui site sau a unei rețele prin inundarea serverului țintă cu o cantitate copleșitoare de trafic care încetinește sau blochează complet rețeaua . Acest lucru se realizează prin utilizarea mai multor sisteme compromise, ca parte a unui "botnet" care poate include orice dispozitiv conectat la rețea, inclusiv, dar fără a se limita la, computere, smartphone-uri și dispozitive IoT. Black Hat hackerii, precum și hacktivistii folosesc diverse instrumente sofisticate pentru a efectua aceste atacuri, nu numai prin inundarea serverelor țintă cu o cantitate excesivă de trafic, dar și prin utilizarea unor tehnici de infiltrare mai subtile și mai dificil de detectat care vizează securitatea critică a rețelei infrastructură, cum ar fi firewall-uri și IDS / IPS (Sistem de detecție / prevenire a intruziunilor).
Ce este DoS și cum diferă de la DDoS?
Denial-of-Service (DoS) atacuri este exact ceea ce pare, în măsura în care împiedică utilizatorii legitimi de acces la servere, sisteme sau alte resurse de rețea. Ca și în cazul atacurilor DDoS, o persoană sau persoane care efectuează un astfel de atac ar inunda, de regulă, infrastructura vizată cu un volum excesiv de cereri inutile pentru a-și copleși resursele, făcând astfel dificil sau chiar imposibil pentru rețeaua afectată sau sistem pentru a răspunde cererilor veritabile de service. Pentru un utilizator final, efectele lui DoS nu sunt complet diferite de cele ale DDoS, dar spre deosebire de fostul care utilizează în mod obișnuit o singură mașină și o singură conexiune de internet pentru a efectua atacul, acesta din urmă utilizează dispozitive compromise multiple pentru a inunda ținta dorită, ceea ce face incredibil de dificilă detectarea și prevenirea.
Care sunt diferitele tipuri de atacuri DDoS?
După cum am menționat mai devreme, atât infractorii cibernetici cât și hacktivistii folosesc nenumărați vectori de atac pentru a-și îndeplini atacurile DDoS, însă majoritatea acestor atacuri vor fi, în cea mai mare parte, sub trei categorii largi: Atacuri volumetrice sau de bandă, sau atacurile de epuizare de stat, atacurile cu straturi de aplicație sau atacurile din stratul 7. Toate aceste atacuri vizează diferite componente ale unei conexiuni de rețea care este compusă din 7 straturi diferite, după cum se vede în imaginea de mai jos:
1. Atacurile volumetrice sau atacurile de lățime de bandă
Aceste tipuri de atacuri sunt considerate a constitui peste jumătate din toate atacurile DDoS desfășurate în întreaga lume în fiecare an. Există diferite tipuri de atacuri volumetrice, cele mai frecvente fiind inundațiile de tip User Datagram Protocol (UDP), prin care un atacator trimite un număr mare de pachete UDP către porturile aleatoare dintr-o gazdă la distanță, determinând serverul să verifice în mod repetat și să răspundă la non- - aplicații existente, ceea ce face ca acesta să nu răspundă la traficul legitim. Rezultatele similare pot fi obținute, de asemenea, prin inundarea unui server victima cu solicitări de ecou ICMP (Internet Control Message Protocol) de la mai multe adrese IP care sunt adesea falsificate. Serverul țintă încearcă să răspundă la fiecare dintre aceste cereri fictive cu bună-credință, eventual devenind supraîncărcat și incapabil să răspundă la cererile ecologice ICMP autentice. Atacurile volumetrice sunt măsurate în biți pe secundă (Bps).
2. Atacuri de protocol sau atacuri de epuizare de stat
Protocoalele de atac, cunoscute și sub denumirea de State-Exhaustion attacks, consumă capacitatea tabelei de stare a conexiunii nu numai a serverelor de aplicații web, ci și a altor componente ale infrastructurii, inclusiv a resurselor intermediare, cum ar fi balansoarele de încărcare și firewall-urile. Aceste tipuri de atacuri sunt denumite "atacuri de protocol", deoarece vizează punctele slabe din straturile 3 și 4 ale stiva de protocol pentru a-și atinge obiectivul. Chiar și dispozitivele comerciale de ultimă oră special concepute pentru a menține statul pe milioane de conexiuni pot fi grav afectate de atacurile de protocol. Unul dintre cele mai cunoscute atacuri de protocol este "inundația SYN" care exploatează "mecanismul de strângere a mâinilor în trei direcții" din TCP. Modul în care funcționează este că gazda trimite o mulțime de pachete TCP / SYN, adesea cu o adresă de expediere forjată, pentru a consuma suficiente resurse server pentru a face aproape imposibil ca cererile legitime să treacă. Alte tipuri de atacuri Protocol includ Ping of Death, Smurf DDoS și atacuri fragmentate de pachete. Aceste tipuri de atacuri sunt măsurate în pachete pe secundă (PPS).
3. Atacurile cu straturi de aplicație sau atacurile de la nivelul 7
Aplicațiile, denumite adesea atacuri de nivel 7 în raport cu nivelul 7 al modului OSI, vizează stratul în care paginile web sunt generate pentru a fi trimise utilizatorilor care trimit cererile HTTP. Diferitele tipuri de atacuri de tip "strat-7" includ infamul atac " Slowloris ", prin care atacatorul trimite un număr mare de cereri HTTP "lent" către un server țintă, dar fără a finaliza vreuna dintre solicitări. Atacatorul va continua să trimită anteturi suplimentare la intervale mici, forțând astfel serverul să păstreze o conexiune deschisă pentru aceste cereri HTTP care nu se termină, reușind în cele din urmă să utilizeze suficiente resurse pentru a face sistemul să nu răspundă la solicitări valide. Un alt atac popular al stratului 7 este atacul HTTP Flood, prin care un număr mare de solicitări false de HTTP, GET sau POST inundă serverul vizat într-o perioadă scurtă de timp, ducând la refuzul de serviciu pentru utilizatorii legitimi. Întrucât atacurile de pe platforma de aplicație includ în mod obișnuit trimiterea unui număr mare de solicitări anormal la un server țintă, acestea sunt măsurate în cereri pe secundă (Rps).
În plus față de atacurile cu un singur vector descrise mai sus, există și atacuri multi-vector care vizează sistemele și rețelele dintr-o serie de direcții diferite dintr-o dată, ceea ce face din ce în ce mai dificil pentru inginerii de rețea să stabilească strategii cuprinzătoare împotriva atacurilor DDoS. Un astfel de exemplu de atac multi-vector este când un atacator va cupla Amplificarea DNS, care vizează straturile 3 și 4, cu HTTP Flood care vizează nivelul 7.
Cum să vă protejați rețeaua împotriva unui atac DDoS
Deoarece majoritatea atacurilor DDoS funcționează prin copleșirea unui server sau a unei rețele cu trafic, primul lucru care trebuie făcut pentru a atenua atacurile DDoS este diferențierea între traficul real și traficul rău intenționat . Cu toate acestea, așa cum v-ați aștepta, lucrurile nu sunt atât de ușor, având în vedere varietatea plină, complexitatea și nivelurile sofisticate ale acestor atacuri. În acest caz, protejarea rețelei împotriva atacurilor DDoS cele mai recente și mai sofisticate necesită inginerii de rețea pentru a elabora cu atenție strategii pentru a nu arunca bebelușul cu apa de baie. Deoarece atacatorii vor încerca să facă ca traficul lor rău intenționat să pară normal, încercările de atenuare care implică limitarea întregului trafic vor restrânge traficul onest, în timp ce un design mai permisiv va permite hackerilor să evite mai ușor contramăsurile. În acest caz, va trebui să adoptați o soluție stratificată pentru a obține cea mai eficientă soluție.
Cu toate acestea, înainte de a ajunge la tehnici, trebuie să înțelegem că, de vreme ce majoritatea atacurilor DDoS din zilele noastre au implicat oprirea benzii de comunicare într-un fel sau altul, unul dintre lucrurile evidente de făcut este să vă protejați și rețeaua dvs. este mai multă redundanță: mai mult lățimea de bandă și mai multe servere răspândite pe mai multe centre de date din diferite locații geografice, care acționează de asemenea ca asigurări de la dezastre naturale etc.
Un alt lucru important de făcut este să urmați câteva din cele mai bune practici ale industriei atunci când vine vorba de serverele DNS. A scăpa de rezolvările deschise este unul dintre primii pași critici în apărarea dvs. împotriva DDoS, pentru că ce bun este un site web dacă nimeni nu poate rezolva numele dvs. de domeniu în primul rând? În acest caz, trebuie să privim dincolo de setarea obișnuită a serverului DNS dublu pe care majoritatea registratorilor de nume de domeniu le furnizează în mod implicit. Multe companii, inclusiv majoritatea furnizorilor de servicii CDN de top, oferă de asemenea o protecție DNS îmbunătățită prin intermediul serverelor DNS redundante care sunt protejate în spatele aceluiași tip de echilibrare a încărcării pe care o au resursele web și alte resurse.
În timp ce majoritatea site-urilor și blogurilor își externalizează găzduirea către terțe părți, unii aleg să-și servească propriile date și să-și gestioneze propriile rețele. Dacă aparțineți acelui grup, unele dintre practicile de bază, dar esențiale, pe care trebuie să le urmați, implică crearea unui firewall eficient și blocarea ICMP dacă nu aveți nevoie de ele. Asigurați-vă, de asemenea, că toate rutele dvs. scad pachetele junk . De asemenea, trebuie să contactați ISP-ul dvs. pentru a verifica dacă vă pot ajuta să blocați traficul dorit pentru dvs. Termenii și condițiile vor varia de la un ISP la altul, deci trebuie să verificați cu centrele lor de operare pentru a vedea dacă oferă astfel de servicii pentru întreprinderi. În general, următorii sunt câțiva dintre pașii pe care furnizorii de CDN, ISP-urile și administratorii de rețea folosesc adesea pentru a atenua atacurile DDoS:
Traseul gaurii negre
Black Hole Routing sau Blackholing este una dintre cele mai eficiente metode de atenuare a unui atac DDoS, dar trebuie pusă în aplicare numai după o analiză adecvată a traficului în rețea și prin crearea unui criteriu strict de restricționare, deoarece în caz contrar va fi "gaura neagră" traficul pe un traseu nul (negru), indiferent dacă este autentic sau rău intenționat. Aceasta va eluda tehnic un DDoS, dar atacatorul va fi realizat obiectivul de a perturba traficul de rețea oricum.
Limitare de rata
O altă metodă care este adesea folosită pentru a atenua atacurile DDoS este "Limitarea ratei". După cum sugerează și numele, aceasta presupune limitarea numărului de cereri pe care un server le va accepta într-un interval de timp specificat . Este util să opriți răzuitoarele de pe web pentru a fura conținut și pentru a atenua încercările de conectare la forța brute, dar trebuie să fie utilizat împreună cu alte strategii pentru a putea gestiona eficient atacurile DDoS.
Firewall pentru aplicații web (WAF)
Deși nu este suficient în sine, proxy-urile inverse și WAF-urile sunt unii dintre primii pași pe care trebuie să le luați pentru a atenua o varietate de amenințări, nu doar DDoS. WAF-urile ajută la protejarea rețelei țintă de atacurile de tip 7 prin filtrarea cererilor bazate pe o serie de reguli utilizate pentru a identifica instrumentele DDoS, dar este de asemenea foarte eficientă în protejarea serverelor de injecții SQL, de script-uri încrucișate și de cereri de falsificare a site-urilor.
Difuzarea rețelei ortografice
Rețelele de distribuire a conținutului (CDN) utilizează adesea rețelele Anycast ca o modalitate eficientă de atenuare a atacurilor DDoS. Sistemul funcționează prin redirecționarea tuturor traficului destinat unei rețele subactivă către o serie de servere distribuite în diferite locații, astfel difuzând efectul distructiv al unui atac DDoS încercat.
Cum propune Cloudflare să pună capăt atacurilor DDoS pentru bine cu protecția DDoS gratuită?
Una dintre cele mai importante rețele de distribuire de conținut din lume, Cloudflare, a anunțat recent că va oferi protecție împotriva atacurilor DDoS nu numai clienților săi plătiți, ci și clienților săi liberi, indiferent de mărimea și amploarea atacului . Asa cum era de asteptat, anuntul facut la inceputul acestei saptamani a creat un buzunar in industrie, precum si mass-media globala, care sunt de obicei folosite pentru CDN-uri, inclusiv Cloudflare, fie lovind clientii lor sub atac, fie cerand mai multi bani pentru protecție continuă. În timp ce victimele până acum au trebuit să se descurce singure atunci când au fost atacate, promisiunea protecției gratuite și nedeclarate a DDoS a fost primită călduros de bloguri și întreprinderi ale căror pagini web și rețele rămân sub amenințare constantă pentru publicarea conținutului controversat.
În timp ce oferta Cloudflare este într-adevăr revoluționară, singurul lucru care trebuie menționat este faptul că oferta de protecție gratuită și neîngrădită este aplicabilă numai atacurilor de nivel 3 și 4, în timp ce atacurile de nivel 7 sunt încă disponibile numai pentru planurile plătite care încep de la 20 de dolari pe luna.
Dacă este de succes, ce va oferi Cloudflare pentru "hacktivism"?
Așa cum era de așteptat, anunțul lui Cloudflare a reaprins dezbaterea între hacktivisti și experții în domeniul securității pe internet despre hacking-ul etic și despre libertatea de exprimare. Multe grupări hacktiviste, cum ar fi Chaos Computer Club (CCC) și Anonymous, au susținut de mult timp că este necesar să se organizeze "proteste digitale" împotriva site-urilor web și a blogurilor care propagă propaganda de ură și ideologii fanatizate - adesea violente. În acest caz, aceste grupuri de hackeri activiști sau hacktiviști au vizat adesea site-uri teroriste, bloguri neo-nazi și agenți de pornografie pentru copii cu atacuri DDoS, cel mai recent accident fiind blogul "Stormer" de extremă dreaptă care a lăudat recent uciderea unui activist pentru drepturile omului din Charlottesville, Virginia, de către un extremist de dreapta.
În timp ce unii dintre ei, cum ar fi CEO-ul Cloudflare Mattew Prince și Fundația Electronic Frontier Foundation, au criticat hacktivistii pentru că au încercat să opună tăcerea liberă cu atacurile DDoS, susținătorii hacktivismului susțin că protestele lor digitale împotriva ideologiilor abominabile nu sunt altceva decât umplerea unei piețe deținând un sit-in de-a lungul mișcării "Ocupaților", care a început pe 17 septembrie 2011 cu manifestația Occupy Wall Street, aducând o atenție globală creșterii inegalității socio-economice la nivel mondial.
În timp ce unii ar putea susține că DDoS este un instrument de protest autentic, permițând hackerilor etici să acționeze rapid împotriva teroriștilor, bigoților și pedofililor, astfel încât conținutul imoral (și adesea ilegal) să fie offline offline pentru astfel de atacuri . Investigații jurnaliști și fluieranți au fost adesea țintele unor astfel de atacuri în trecut, iar anul trecut, site-ul jurnalistului de securitate cibernetică, Brian Krebs, a fost eliminat de un atac masiv DDoS care a măsurat un maxim de 665 Gbps la vârf . Krebs a raportat mai devreme despre un serviciu israelian DDoS-for-hire numit vDOS, care a dus la arestarea a doi cetățeni israelieni, iar atacul a fost considerat a fi retribuabil.
Atacurile DDoS și planul Cloudflare pentru a le face un lucru al trecutului
În ciuda afirmațiilor îndrăznețe ale lui Cloudflare că ar face atacuri DDoS în trecut, mulți experți susțin că nu este tehnologic posibil ca atacurile DDoS să fie complet depășite în acest stadiu. În timp ce corporații gigantice, cum ar fi Facebook sau Google, au disponibilizările necesare infrastructurii pentru a se asigura că nu suferă niciodată de astfel de atacuri, extinderea acestei protecții la fiecare site sub soare poate reprezenta o provocare chiar și pentru cea mai mare dintre CDN-uri. Cu toate acestea, Prince a susținut că Cloudflare este capabil să absoarbă "tot ceea ce aruncă la noi pe Internet", deci doar timpul va spune dacă atacurile DDoS vor fi trimise analiilor istoriei pentru bine sau dacă grupurile hacktiviste vor putea să eludeze unele de contramăsuri pentru a-și continua cruciada morală împotriva violenței, a urii și a nedreptății.
