DDoS saldırıları (ücretsiz çeviride Dağıtılmış Hizmet Reddi olarak adlandırılır: dağıtılmış hizmet reddi), bilgisayar sistemlerine veya ağ hizmetlerine yönelik en yaygın hacker saldırıları arasındadır ve tüm mevcut ve ücretsiz kaynakları işgal etmek üzere tasarlanmıştır. İnternet üzerindeki tüm hizmetin işleyişini engellemek (örneğin, web siteniz ve e-postanız barındırılır).
DDoS saldırısı nedir?
DDoS saldırısı, aynı anda birçok yerden (birçok bilgisayardan) aynı anda saldırı gerçekleştirmekten oluşur. Bu tür bir saldırı, özel yazılımlar (ör. Botlar ve Truva atları) kullanılarak kontrolün alınmış olduğu bilgisayarlardan gerçekleştirilir. Bu, bu bilgisayarların sahiplerinin, bilgisayarlarının, dizüstü bilgisayarlarının veya ağa bağlı diğer cihazlarının, farkında olmadan bir DDoS saldırısı gerçekleştirmek için kullanılabileceğini bile bilmeyebilecekleri anlamına gelir.
DDoS saldırısı, ele geçirilen tüm bilgisayarlar kurbanın web hizmetine veya sistemine aynı anda saldırmaya başladığında başlar. Bir DDoS saldırısının hedefi daha sonra hizmetleri kullanmak için yanlış girişimlerle doludur (örneğin, bir web sitesini arama girişimleri veya başka istekler olabilir).
DDoS saldırısı neden hizmet kesintilerine neden oluyor?
Hizmeti kullanmaya yönelik her girişim (örneğin, bir web sitesini arama girişimi), saldırıya uğrayan bilgisayarın bu isteğe hizmet etmek için uygun kaynakları (örneğin işlemci, bellek, ağ bant genişliği) tahsis etmesini gerektirir ve bu türden çok sayıda istekle sonuçlanır. mevcut kaynakların tükenmesi ve sonuç olarak, saldırıya uğrayan sistemin çalışmasında bir kesinti veya hatta askıya alınması.
Kendinizi DDoS saldırılarından nasıl korursunuz?
DDoS saldırıları şu anda ağda faaliyet gösteren şirketler için en olası tehdittir ve sonuçları yalnızca BT alanının ötesine uzanır, ancak aynı zamanda gerçek, ölçülebilir mali ve imaj kayıplarına da neden olur. Bu tür saldırılar sürekli olarak gelişmekte ve giderek daha hassas hale gelmektedir. Amaçları, ağ altyapısının veya internet bağlantısının mevcut tüm kaynaklarını tüketmektir.
İnternette DDoS saldırılarına karşı koruma teklifleri bulabilirsiniz. Çoğu zaman, DDoS saldırılarına karşı bu tür korumanın etkinleştirilmesi, tüm HTTP / HTTPS trafiğini, her paketin ve sorgunun ayrıntılı incelemesinin yapıldığı filtreleme katmanı üzerinden yönlendirecek olan DNS kayıtlarını değiştirerek yapılır.
Ardından, gelişmiş algoritmalar ve uygun şekilde tanımlanmış kurallar, hatalı paketleri ve saldırı girişimlerini filtreleyerek sunucunuza yalnızca saf trafik gider. DDoS saldırılarına karşı koruma sağlayan şirketler, dünyanın farklı yerlerinde konumlara sahiptir, bu sayede saldırıları kaynağında etkin bir şekilde engelleyebilir, en yakın veri merkezinden statik veri sunabilir ve böylece sayfa yükleme süresini kısaltabilir.
DDoS saldırısı ve şantaj suçtur
DDoS saldırısı tehdidi bazen şirketlere şantaj yapmak için kullanılır, ör. İşlem sisteminin kesintiye uğramasının şirket ve müşterileri için doğrudan mali kayıplara dönüştüğü açık artırma siteleri, aracı kurumlar ve benzerleri. Bu gibi durumlarda saldırının arkasındaki kişiler, saldırıyı iptal etmek veya durdurmak için fidye talep ediyor. Böyle bir şantaj suçtur.
DoS / DDoS saldırılarından kendinizi nasıl korursunuz?
Basit bir ifadeyle DoS saldırıları, bir bilgisayar sistemini meşru kullanıcılara hizmet edemeyeceği veya amaçlanan işlevlerini doğru bir şekilde yerine getiremeyeceği noktaya getirmeyi amaçlayan kötü niyetli bir faaliyet türüdür. Yazılımdaki (yazılımdaki) hatalar veya ağ kanalına veya bir bütün olarak sisteme aşırı yük binmesi genellikle bir "hizmet reddi" durumuna yol açar. Sonuç olarak, yazılım veya makinenin tüm işletim sistemi "çöker" veya kendisini "döngülü" bir durumda bulur. Bu da kesinti, ziyaretçi / müşteri kaybı ve kayıplarla tehdit ediyor.
DoS saldırısının anatomisi
DoS saldırıları yerel ve uzak olarak sınıflandırılır. Yerel istismarlar, her seferinde bir milyon dosya açan veya bellek ve işlemci kaynaklarını tüketen döngüsel bir algoritma çalıştıran çeşitli istismarlar, çatal bombaları ve programları içerir. Bütün bunlar üzerinde durmayacağız. Uzak DoS saldırılarına daha yakından bakalım. İki türe ayrılırlar:
Çalışmaz hale getirmek için yazılım hatalarının uzaktan kullanılması.
Sel - kurbanın adresine çok sayıda anlamsız (daha az anlamlı) paket göndermek. Taşkın hedefi bir iletişim kanalı veya makine kaynakları olabilir. İlk durumda, paket akışı tüm bant genişliğini kaplar ve saldırıya uğrayan makineye meşru istekleri işleme yeteneği vermez. İkincisi, karmaşık, kaynak yoğun bir işlem gerçekleştiren herhangi bir hizmete yapılan tekrarlanan ve çok sık çağrılarla makinenin kaynakları yakalanır. Bu, örneğin, web sunucusunun etkin bileşenlerinden (komut dosyası) birine yapılan uzun bir çağrı olabilir. Sunucu, makinenin tüm kaynaklarını saldırganın isteklerini işlemek için harcar ve kullanıcıların beklemesi gerekir.
Geleneksel versiyonda (bir saldırgan - bir kurban), artık sadece ilk tür saldırılar etkilidir. Klasik sel işe yaramaz. Sırf bugünün sunucu bant genişliği, bilgi işlem gücü seviyesi ve çeşitli anti-DoS tekniklerinin yazılımda yaygın olarak kullanılmasıyla (örneğin, aynı istemcinin defalarca aynı eylemleri gerçekleştirmesinin gecikmesi), saldırgan sinir bozucu bir sivrisineğe dönüşür. herhangi bir zarar veremedi ve herhangi bir hasar yoktu.
Ancak bu sivrisineklerden yüzbinlerce, hatta yüzbinlerce varsa, sunucuyu omuz bıçaklarına kolayca yerleştirebilirler. Kalabalık, sadece hayatta değil, bilgisayar dünyasında da korkunç bir güçtür. Genellikle birçok zombileştirilmiş ana bilgisayar kullanılarak gerçekleştirilen dağıtılmış bir hizmet reddi (DDoS) saldırısı, dış dünyadaki en zorlu sunucuyu bile kesebilir.
Kontrol yöntemleri
Çoğu DDoS saldırısının tehlikesi, onların mutlak şeffaflığında ve "normalliğinde" yatmaktadır. Sonuçta, bir yazılım hatası her zaman düzeltilebiliyorsa, kaynakların tam tüketimi neredeyse yaygın bir durumdur. Birçok yönetici, makine kaynakları (bant genişliği) yetersiz kaldığında veya web sitesi bir Slashdot etkisine maruz kaldığında (Michael Jackson'ın ilk ölüm haberinden birkaç dakika sonra twitter.com kullanılamaz hale geldi) onlarla yüzleşir. Ve arka arkaya herkes için trafiği ve kaynakları keserseniz, DDoS'den kurtarılacaksınız, ancak müşterilerinizin yarısını kaybedeceksiniz.
Bu durumdan çıkmanın neredeyse hiçbir yolu yoktur, ancak DDoS saldırılarının sonuçları ve etkinlikleri, yönlendiriciyi, güvenlik duvarını ve ağ trafiğindeki anormalliklerin sürekli analizini uygun şekilde yapılandırarak önemli ölçüde azaltılabilir. Makalenin bir sonraki bölümünde şunlara bir göz atacağız:
yeni başlayan bir DDoS saldırısını tanımanın yolları;
belirli DDoS saldırıları ile mücadele yöntemleri;
DoS saldırısına hazırlanmanıza ve etkinliğini azaltmanıza yardımcı olacak genel tavsiyeler.
En sonunda soruya cevap verilecek: DDoS saldırısı başladığında ne yapılmalı.
Sel saldırılarına karşı savaşın
Bu nedenle, iki tür DoS / DDoS saldırısı vardır ve bunlardan en yaygın olanı, su basması, yani kurbanı çok sayıda paketle doldurma fikrine dayanır. Sel farklıdır: ICMP flood, SYN flood, UDP flood ve HTTP flood. Modern DoS botları tüm bu tür saldırıları aynı anda kullanabilir, bu nedenle her birine karşı önceden yeterli koruma sağlamalısınız. En yaygın saldırı türlerine karşı nasıl savunma yapılacağına bir örnek.
HTTP Seli
Günümüzde en yaygın sel yöntemlerinden biri. Web sunucusunu diğer tüm istekleri işleyemeyecek şekilde yüklemek için 80 numaralı bağlantı noktasına sonsuz bir şekilde HTTP GET mesajları göndermeye dayanır. Çoğu zaman, taşma hedefi web sunucusunun kökü değil, kaynak yoğun görevler gerçekleştiren veya veritabanıyla çalışan komut dosyalarından biridir. Her durumda, web sunucusu günlüklerinin anormal derecede hızlı büyümesi, başlamış bir saldırının göstergesi olarak hizmet edecektir.
HTTP flooding ile başa çıkma yöntemleri arasında, bir saldırının etkisini azaltmak için web sunucusunun ve veritabanının ayarlanması ve çeşitli teknikler kullanarak DoS botlarının filtrelenmesi yer alır. Öncelikle, aynı anda veritabanına maksimum bağlantı sayısını artırmalısınız. İkinci olarak, Apache web sunucusunun önüne hafif ve verimli nginx kurun - istekleri önbelleğe alacak ve statik olarak hizmet verecektir. Bu, yalnızca DoS saldırılarının etkisini azaltmakla kalmayıp, aynı zamanda sunucunun muazzam yüklere dayanmasına da olanak tanıyan, sahip olunması gereken bir çözümdür.
Gerekirse, bir adresten eşzamanlı bağlantı sayısını sınırlayan nginx modülünü kullanabilirsiniz. Kaynak yoğun komut dosyaları, gecikmeler, "Beni tıkla" düğmeleri, tanımlama bilgileri ayarlayarak ve "insanlığı" kontrol etmeyi amaçlayan diğer hileler kullanılarak botlardan korunabilir.
Evrensel ipuçları
Sistemlerde bir DDoS fırtınasının çökmesi sırasında umutsuz bir duruma düşmemek için, onları böyle bir duruma dikkatlice hazırlamalısınız:
Harici ağa doğrudan erişimi olan tüm sunucular, hızlı ve kolay bir uzaktan yeniden başlatma için hazırlanmalıdır. Büyük bir artı, ana kanalın tıkanması durumunda sunucuya erişebileceğiniz ikinci, idari bir ağ arayüzünün varlığı olacaktır.
Sunucuda kullanılan yazılım her zaman güncel olmalıdır. Tüm delikler yamalanır, güncellemeler yüklenir (önyükleme kadar basit, birçoğunun uymadığı tavsiyeler). Bu sizi hizmetlerdeki hatalardan yararlanan DoS saldırılarından koruyacaktır.
Yönetim amaçlı kullanıma yönelik tüm dinleme ağ hizmetleri, bunlara erişimi olmaması gereken kişilerden güvenlik duvarı tarafından gizlenmelidir. Ardından saldırgan, bunları DoS saldırıları veya kaba kuvvet saldırıları için kullanamayacaktır.
Sunucuya (en yakın yönlendirici) yaklaşımlarda, devam etmekte olan bir saldırıyı zamanında öğrenmeyi ve bunu önlemek için zamanında önlem almayı mümkün kılacak bir trafik analiz sistemi kurulmalıdır.
Tüm tekniklerin, makinenin kaynaklarını kullanmayı amaçlayan DDoS saldırılarının etkinliğini azaltmaya yönelik olduğu unutulmamalıdır. Kanalı enkazla tıkayan bir sele karşı savunmak neredeyse imkansızdır ve tek doğru, ancak her zaman uygulanabilir olmayan mücadele yolu "anlamdan yoksun bırakmaktır". Küçük bir botnet'ten gelen trafiğe kolayca izin verecek gerçekten geniş bir kanalınız varsa, sunucunuzun saldırıların% 90'ından korunduğunu düşünün.
Daha sofistike bir savunma var. Farklı omurgalara bağlı birçok yedekli sunucuyu içeren dağıtılmış bir bilgisayar ağının organizasyonuna dayanır. Kanalın bilgi işlem gücü veya bant genişliği bittiğinde, tüm yeni istemciler başka bir sunucuya veya aşamalı olarak yeniden yönlendirilir. "
Bir başka az ya da çok etkili çözüm, donanım sistemleri satın almaktır. Birlikte çalışarak, yeni başlayan bir saldırıyı bastırabilirler, ancak öğrenmeye ve durum analizine dayalı diğer çözümlerin çoğu gibi başarısız olurlar.
Başlamış gibi görünüyor. Ne yapalım?
Saldırının hemen başlamasından önce, botlar "ısınır" ve saldırıya uğrayan makineye giden paket akışını kademeli olarak arttırır. Anı yakalamak ve harekete geçmek önemlidir. Harici ağa bağlı yönlendiricinin sürekli izlenmesi bu konuda yardımcı olacaktır. Kurban sunucusunda, saldırının başlangıcını mevcut araçlarla belirleyebilirsiniz.