Što je distribuirani napad uskraćivanja usluge (DDoS) i kakvu opasnost predstavlja za poslužitelj?

by Nataliya Oteir

čitati 10 min.

Sve se više izvještaja pojavljuje o aktivnostima hakera i pokušajima hakiranja softvera. DDoS napadi često se pojavljuju u tim izvještajima. Nažalost, često se spominju bez objašnjenja što su DDoS napadi i kako mogu naštetiti serverima.

U ovom članku razgovarat ćemo o tome što točno DDoS napadi jesu i zašto su bili glavna briga za stručnjake za internetsku sigurnost do sada. Dodatno, naučit ćete kako DDoS napadi funkcioniraju i kako ih zaustaviti.

Što je DDoS napad?

Pojam DDoS napad dolazi od skraćenice "Distributed Denial of Service", što znači distribuirani napad uskraćivanja usluge. Svrha DDoS napada je poremetiti normalan rad servera, usluge ili lokalne mreže. Glavna svrha takvog napada je dovesti vašu uslugu do kvara ili otežati redovnim korisnicima pristup vašoj usluzi. Da bi se postigao zadatak, generira se poplava internet prometa, što je previše za obični računalni sustav da bi se nosio s time.

Promet napada generiraju više računala, lokalne mreže i IoT uređaji. Zlonamjerne radnje pojedinca ili grupe generiraju mnogo zahtjeva prema napadnutom sustavu, omogućavajući napadačima neovlašteni pristup vrijednim informacijama. To može biti osjetljiva baza podataka, programski kod ili verzija softvera.

U svakodnevnom životu, DDoS napad je analogan prometnoj gužvi uzrokovanoj višestrukim vozilima. Kao rezultat, obični vozači ne mogu doći do svojih odredišta.

Kako se provodi distribuirani napad uskraćivanja usluge?

Samo oni računalni sustavi koji imaju internetsku vezu mogu biti podvrgnuti DDoS napadu. Globalna mreža se sastoji od mnogih računala i drugih uređaja koji imaju internetsku vezu.

Postoji mnogo načina za unošenje zlonamjernog (virus) softvera u računalnu mrežu. DDoS napadi postižu učinkovitost korištenjem više kompromitiranih računalnih sustava kao izvora prometa napada. Iskorišteni strojevi često se nazivaju "zombijima" u žargonu, a njihove grupe se nazivaju botnet.

Odmah nakon stvaranja botnet sustava, haker dobiva mogućnost organiziranja DDoS napada, koji se provodi na sljedeći način.

Posebna instrukcija se razvija za svaki pojedinačni bot, koja mu se prenosi putem mreže.
Nakon što je primi, upravljano računalo ili sustav počinje formirati i slati zahtjeve na IP adrese napadnute lokalne mreže ili servera.
To uzrokuje usporavanje obrade prometa i preopterećena oprema počinje otkazivati. Kao rezultat, sav promet je uskraćen za uslugu, uključujući onaj od običnih korisnika.

Glavni problem u suprotstavljanju distribuiranim DDoS napadima je što je iznimno teško razlikovati napadački promet od normalnog prometa. Svaki od botova koje koriste hakeri su legitimni internetski uređaji i iznimno je teško odvojiti zlonamjerne zahtjeve od običnih.

Glavni znakovi DDoS napada na server

Naglo usporavanje servera, nedostatak pristupa usluzi ili odvojenom siteu može ukazivati na ilegalne radnje hakera. U isto vrijeme, poteškoće mogu nastati kao rezultat prirodnih uzroka poput, na primjer, naglog porasta normalnog prometa.

Javno dostupne analitičke usluge omogućuju vam identificiranje DDoS napada prema nizu karakterističnih značajki:

Značajna količina prometa s jedne ili više IP adresa koje pripadaju istom rasponu.
Veliki broj korisnika koji primaju zahtjeve za pristup analiziranim web stranicama imaju iste bihevioralne profile (geolokacija, verzija preglednika ili tip uređaja).
Oštar porast prometa u određenim intervalima, na primjer, svaka dva ili tri sata ili prema različitom rasporedu.
Eksplozivan porast broja zahtjeva za jednu od internetskih usluga ili web stranica.

Uz ove, postoje i drugi znakovi svojstveni određenim vrstama distribuiranih DDoS napada. U takvim slučajevima, mogućnosti konvencionalnih alata za internetsku analitiku možda neće biti dovoljne i bit će potreban specijalizirani softver za njihovo identificiranje.

Klasifikacija DDoS napada: najčešći tipovi

Hakeri koriste razne alate za provalu na web stranice. Neki tipovi DDoS napada ciljaju specifične komponente internetskih resursa, servera ili računala. Dobivanje osjećaja kako njihovi algoritmi rade zahtijeva razumijevanje kako specifična mrežna veza funkcionira.

Specijalni softver pruža internetsku vezu, koja se sastoji od mnogih komponenata nazvanih "slojevi". Svaka komponenta je dizajnirana da služi specifičnoj svrsi i zajedno su sposobne formirati model. Kao što su potporne, nosive i zatvarajuće strukture u gradnji.

Sedmerozinski OSI model koristi se za opisivanje strukture mrežne veze:

Aplikacijski sloj Ova razina se koristi od strane email klijenata, messengerâ i preglednikâ za izravnu obradu podataka.
Sloj prikaza Svrha pripreme podataka (kompresija, prijevod i enkripcija) je pripremiti podatke za korištenje u aplikacijama.
Sloj sesije Uspostavlja komunikacijski kanal između dva uređaja u mreži i zatvara ga na kraju vremena sesije.
Transportni sloj Odgovoran je za upravljanje tokovima podataka i kontrolu grešaka između specifičnih uređaja kao i osiguravanje komunikacije od kraja do kraja između specifičnih uređaja.
Mrežni sloj Olakšava prijenos podataka između uređaja koji pripadaju različitim mrežama. Ovaj sloj pruža optimalno usmjeravanje, razdvajanje informacija u pakete s naknadnim sastavljanjem na odredišnoj točki.
Sloj kanala za prijenos podataka Slično mrežnom sloju, olakšava razmjenu podataka između uređaja unutar mreže.
Fizički sloj Uključuje opremu koja se koristi za razmjenu podataka između uređaja (kabeli, switch-evi, itd.). Na ovoj razini, informacijski paketi se transformiraju u tok bitova, a signali se usklađuju.

Većina DDoS napada je usmjerena na preopterećenje specifičnog servera ili mreže. Prema broju i prirodi vektora napada, ove radnje se mogu kategorizirati u tri kategorije:

pojedinačni;
višestruki;
ciklički.

Potonji se uglavnom koristi kao odgovor na protiv-radnje korištene za zaštitu internetskog resursa.

DDoS napadi provedeni na razini aplikacije

Na temelju gornjeg modela, takvi napadi se nazivaju DDoS napadi sedme razine. Njegova svrha je preopteretiti stranicu i stvoriti uvjete kada opsluživanje normalnog prometa postaje nemoguće.

Hakerski napadi ove vrste provode se na razini na kojoj se web stranica formira na serveru. Napadi se prenose kao odgovor na HTTP zahtjeve. Na strani klijenta, takvi zahtjevi ne zahtijevaju ogromne resurse za stvaranje i obradu informacija. U isto vrijeme, server mora koristiti značajne računalne resurse. U tijeku ovog procesa, mnogi upiti baze podataka mogu biti obrađeni na ciljnom serveru i nekoliko datoteka može biti preuzeto za stvaranje tražene web stranice.
Zaštita od distribuiranih napada 7. razine je teška zbog činjenice da nije lako razlikovati zlonamjerni promet od normalnog prometa.

HTTP flood

Napad ove vrste simulira više ažuriranja web preglednika, koja se istovremeno izvode na više računala. Kao da mnogo korisnika stalno pritišće gumb za ponovno učitavanje, što rezultira velikim brojem HTTP zahtjeva. Zbog toga, server je preopterećen, što rezultira kvarovima usluge. Ovisno o razini složenosti napada, DDoS napadi HTTP flood tipa mogu se klasificirati kao:

Jednostavni. U takvom DDoS napadu, koordinirane radnje s IP adresa istog raspona se koriste za pružanje neovlaštenog pristupa istom URL-u, koje se implementiraju korištenjem istih korisničkih agenata i izvora prijelaza.
Složeni. Za hakiranje više web stranica istovremeno, napadač koristi i IP adrese, uzete iz nasumičnih izvora prometa, kao i korisničke agente.

Upravljanje složenim DDoS napadima zahtijeva računala s odgovarajućim karakteristikama kao i softver koji zahtijeva puno resursa.

Protokolni napad

Stručnjaci se odnose na ove vrste hakova kao na napade i iscrpljivanje. Trošenjem previše resursa servera ili specifične mrežne opreme, protokolni napadi mogu poremetiti rad različitih usluga. U takvim slučajevima, napadači obično ciljaju balansere opterećenja ili vatrozide.

Da bi ciljana web stranica bila nedostupna, protokolni napad iskorištava ranjivosti na sloju 3 i sloju 4 (protokolni stack).

SYN-flood

Tijekom takvog napada, mnogo TCP paketa s lažnim IP adresama se šalje s botova. Spomenuti SYN paketi su namijenjeni za iniciranje mrežnih veza. Ciljni stroj odgovara na te zahtjeve i čeka njihovu potvrdu, koju ne prima. Sukladno tome, resursi napadnute web stranice su iscrpljeni i ona prestaje odgovarati na dolazne zahtjeve.

SYN-flood se može usporediti s radom velike trgovine, u kojoj zaposlenici odjela opskrbe primaju instrukcije s trgovine za isporuku određenog proizvoda. Idu u skladište, pronalaze ono što im treba, ali bez primanja potvrde narudžbe, ne razumiju što dalje učiniti. Rezultat je da prestaju raditi dok se okolnosti ne razjasne.

DDoS napadi masovnog tipa

Radnje hakera u tim slučajevima su usmjerene na stvaranje takvog opterećenja da se koristi cijela dostupna propusnost internetske veze. Prilikom implementacije velikih DDoS napada, veliki paketi podataka se šalju ciljnom resursu korištenjem različitih sredstava generiranja velikog prometa ili drugih sredstava pojačanja. Tijekom napada, koriste se i pojedinačni botovi i cijeli botneti, iz kojih se generiraju mnogi zahtjevi ciljnoj web stranici ili pojedinačnom serveru.

DNS pojačanje

Tijekom hakerskog napada, zahtjevi se šalju javnim DNS serverima koji sadrže IP adresu ciljnog uređaja. On odgovara paketom koji navodno sadrži velike podatke. Kao rezultat, mnogo tih lažnih zahtjeva je generirano, uzrokujući ciljno preopterećenje i uskraćivanje usluge.

Primjer DNS pojačanja je kada osoba poziva restoran ili supermarket i traži dostavu hrane ili robe i traži da se pozove nazad. U međuvremenu, prima telefonski broj susjeda. Veliki broj korisnika upućuje takve pozive prema cilju, što definitivno preopterećuje uslugu dostave.

Metode prevencije DDoS napada

Kako bi se pružila zaštita od hakerskih napada, bitno je razlikovati napadača i normalni promet. U reklamnim kampanjama za nove proizvode, mnogi korisnici mogu posjetiti web stranicu developera. To može rezultirati hitnim gašenjem prometa i greškama. Ako ovaj web resurs ima porast prometa od poznatih hakerskih grupa, potrebno je poduzeti mjere za smanjenje utjecaja distribuiranog DDoS napada.

Pokušaji hakiranja mogu poprimiti različite oblike, u rasponu od najjednostavnijih s jednim izvorom sumnjivog prometa do složenijih s viševektorskim efektima. U potonjem slučaju, nekoliko različitih vrsta DDoS napada se koristi istovremeno kako bi se prisilio branitelj da raspršuje svoje snage i sredstva.

Primjer takvog viševektorskog utjecaja je simultani DDoS napad koji se događa na nekoliko razina. Takav efekt se postiže putem DNS pojačanja koje ide u kombinaciji s velikim brojem HTTP zahtjeva. Za sprječavanje takvih napada, morate koristiti nekoliko strategija protivdjelovanja odjednom.

Kada napadači koriste distribuirane napade uskraćivanja usluge s kombinacijom različitih metoda napada, složenost suprotstavljanja im se uvelike povećava.

Hakeri nastoje miješati napadački promet s normalnim prometom što je više moguće kako bi smanjili učinkovitost zaštitnih mjera na gotovo nulte pokazatelje.

Pokušaji jednostavnog onemogućavanja ili ograničavanja prometa bez filtriranja rijetko donose pozitivan rezultat. U isto vrijeme, DDoS napad se prilagođava i traži načine za zaobilaženje poduzetih protiv-radnji. U takvim slučajevima, najbolje rješenje je koristiti višerazinsku strategiju zaštite.

Blackhole usmjeravanje

Jedna od najdostupnijih metoda zaštite od DDoS-a za mrežne administratore je stvaranje "crne rupe" za sumnjivi promet. U svom najjednostavnijem obliku, Blackhole usmjeravanje osigurava preusmjeravanje svih zahtjeva bez dijeljenja na normalne i zlonamjerne na nultu rutu, nakon čega slijedi uklanjanje tih zahtjeva s mreže. Ako je DDoS napad otkriven na određenoj stranici, pružatelj ima mogućnost poništiti sav promet kao zaštitnu mjeru. Ovo rješenje nije najbolje, jer napadač postiže svoj cilj i čini sve resurse nedostupnima.

Ograničavanje brzine DDoS napada

Svaki server može primiti i obraditi određeni broj zahtjeva za navedeno vremensko razdoblje. Ograničavanje brzine DDoS napada omogućuje vam značajno smanjenje njegove učinkovitosti. U isto vrijeme, treba razumjeti da ova metoda pruža značajno usporavanje krađe sadržaja i programskog koda web parserom i blokira pokušaje prijave korištenjem grube sile. Međutim, nije dovoljno učinkovita protiv složenih kombiniranih napada uskraćivanja usluge.

Značajke korištenja vatrozida za web aplikacije

Korištenje posebnih softverskih proizvoda može značajno ublažiti DDoS napade sedme razine. Postoji vatrozid (WAF) između interneta i zaštićenog servera koji radi kao obrnuti proxy. Koristi se za blokiranje zlonamjernog prometa određenih vrsta. Dolazni zahtjevi se filtriraju prema utvrđenim pravilima, što omogućuje identificiranje DDoS alata i sprječavanje napada sedme razine. Jedna od glavnih prednosti ove metode je mogućnost postavljanja vlastitih pravila za suprotstavljanje napadu.

Principi Anycast distribucije preko mreže

Ova metoda smanjuje štetne posljedice DDoS napada redistribuiranjem prometa preko serverske mreže.

Ako isti server primi mnogo zahtjeva u isto vrijeme, bit će preopterećen prometom i neće moći učinkovito odgovoriti na dodatne dolazne zahtjeve. U Anycast mreži, umjesto da pojedinačni izvorni server podnosi teret prometa, opterećenje će biti distribuirano među drugim dostupnim podatkovnim centrima, od kojih svaki ima servere sposobne obraditi i odgovoriti na dolazni zahtjev. Ova metoda usmjeravanja može spriječiti širenje kapaciteta izvornog servera i izbjeći prekid usluge klijentima koji zahtijevaju sadržaj od njega.

Najbolja analogija metode Anycast distribucije preko mreže je razdvajanje toka velike rijeke s jakom strujom duž zasebnih grana. Kao rezultat preraspodjele prometa od DDoS napada, njegova destruktivna sposobnost se smanjuje na minimum i postaje potpuno upravljiva.

Nataliya Oteir

Copywriter

Nataliya is a skilled content marketer and writer with great experience in a variety of niches.
She is prompt in delivering the best result with the essence of uniqueness. In addition to creating the website copy and blog content for our website, Nataliya is passionate about solving problems. In her prior role at INTROSERV, she was the communications manager.