Kaj je napad DDoS (distributed denial-of-service) in kakšno nevarnost predstavlja za strežnik?

Vedno je vse več poročil o dejavnostih hekerjev in poskusih vdora v programsko opremo. V teh poročilih se pogosto pojavljajo napadi DDoS. Na žalost so pogosto omenjeni brez pojasnila, kaj so napadi DDoS in kako lahko škodujejo strežnikom. 

V tem članku bomo obravnavali, kaj točno so napadi DDoS in zakaj so bili do zdaj glavna skrb strokovnjakov za internetno varnost. Poleg tega boste izvedeli, kako napadi DDoS delujejo in kako jih lahko ustavite.

Kaj je napad DDoS?

Izraz napad DDoS izhaja iz kratice "Distributed Denial of Service", ki pomeni porazdeljeni napad z zavrnitvijo storitve. Namen napada DDoS je motiti normalno delovanje strežnika, storitve ali lokalnega omrežja. Glavni namen takšnega napada je, da vaša storitev odpove ali da običajnim uporabnikom oteži dostop do vaše storitve. Za dosego te naloge se ustvari poplava internetnega prometa ki je prevelika, da bi jo običajni računalniški sistem lahko obvladal.

Prometni napad ustvarja več računalnikov, lokalnih omrežij in naprav IoT. Zlonamerna dejanja posameznika ali skupine ustvarijo številne zahteve do napadenega sistema, kar napadalcem omogoča nepooblaščen dostop do dragocenih informacij. To je lahko občutljiva podatkovna zbirka, programska koda ali različica programske opreme.

V vsakdanjem življenju je napad DDoS analogen prometnemu zamašku, ki ga povzroči več vozil. Zaradi tega običajni vozniki ne morejo priti do svojih ciljev.

Kako se izvede porazdeljeni napad z zavrnitvijo storitve?

Na napad DDoS so lahko izpostavljeni samo tisti računalniški sistemi, ki imajo internetno povezavo. Globalno omrežje je sestavljeno iz številnih računalnikov in drugih naprav, ki imajo internetno povezavo.

V računalniško omrežje lahko zlonamerno (virusno) programsko opremo vnesete na več načinov. Napadi DDoS dosežejo učinkovitost z uporabo več ogroženih računalniških sistemov kot virov napadalnega prometa. Izkoriščeni računalniki se v žargonu pogosto imenujejo "zombiji", njihove skupine pa se ustrezno imenujejo botnet.

Izvedbo sistema botnet heker takoj po vzpostavitvi sistema botnet dobi priložnost za organizacijo napada DDoS, ki se izvede na naslednji način.

• Za vsakega posameznega bota se pripravi posebno navodilo, ki se mu posreduje prek omrežja.

• Po njegovem prejemu začne upravljani računalnik ali sistem oblikovati in pošiljati zahteve na naslove IP napadenega lokalnega omrežja ali strežnika.
• To povzroči upočasnitev obdelave prometa in preobremenjena oprema začne odpovedovati. Posledično je onemogočeno izvajanje storitev za ves promet, vključno s prometom običajnih uporabnikov.

Glavna težava pri preprečevanju porazdeljenih napadov DDoS je, da je izjemno težko ločiti napadalni promet od običajnega. Vsak od botov, ki jih uporabljajo hackerji, je legitimna internetna naprava, zato je zlonamerne zahteve izredno težko ločiti od običajnih.

Glavni znaki napada DDoS na strežnik

Nedavna upočasnitev delovanja strežnika, odsotnost dostopa do storitve ali ločenega spletnega mesta lahko kažejo na nezakonita dejanja hekerjev. Hkrati lahko težave nastanejo zaradi naravnih vzrokov, kot je na primer močno povečanje običajnega prometa. 

Za javno dostopne analitične storitve lahko napad DDoS prepoznate po več značilnih lastnostih:

• Znatna količina prometa z enega ali več naslovov IP, ki pripadajo istemu območju.
• Veliko število uporabnikov, ki prejemajo zahteve za dostop do analiziranih spletnih strani, ima enake vedenjske profile (geolokacija, različica brskalnika ali vrsta naprave).
• ostro povečanje prometa v določenih časovnih intervalih, na primer vsaki dve ali tri ure ali po drugačnem urniku.
• Eksplozivno povečanje števila zahtevkov za eno od internetnih storitev ali spletnih strani.

Za nekatere vrste porazdeljenih napadov DDoS so poleg teh značilni tudi drugi znaki. V takšnih primerih zmogljivosti običajnih orodij za internetno analitiko morda ne bodo zadostovale in za njihovo prepoznavanje bo potrebna specializirana programska oprema.

Klasifikacija napadov DDoS: najpogostejše vrste

Hekerji za vdor v spletna mesta uporabljajo različna orodja. Nekatere vrste napadov DDoS so usmerjene na določene komponente internetnih virov, strežnik, ali računalnike. Da bi dobili občutek, kako delujejo njihovi algoritmi, je treba razumeti, kako deluje določena omrežna povezava.

Specialna programska oprema zagotavlja internetno povezavo, ki je sestavljena iz številnih sestavnih delov, imenovanih "plasti". Vsaka sestavina je zasnovana za določen namen, skupaj pa lahko tvorijo model. Kot so podporne, nosilne in ograjene konstrukcije v gradnji.

Za opis strukture omrežne povezave se uporablja sedemnivojski model OSI:

• Prijavna ravenTo raven uporabljajo odjemalci elektronske pošte, sporočilniki in brskalniki za neposredno obdelavo podatkov.
• Nivojska raven pogledov Namen priprave podatkov (stiskanje, prevajanje in šifriranje) je priprava podatkov za uporabo v aplikacijah.
• Nivoj seje Ustanovi komunikacijski kanal med dvema napravama v omrežju in ga zapre ob koncu časa seje.
• Transportna raven Odgovorna je za upravljanje podatkovnih tokov in nadzor napak med določenimi napravami ter zagotavljanje komunikacije od konca do konca med določenimi napravami.
• omrežna raven Omogoča prenos podatkov med napravami, ki pripadajo različnim omrežjem. Ta plast zagotavlja optimalno usmerjanje, ločevanje informacij v pakete z naknadnim sestavljanjem na ciljni točki.
• raven kanala za prenos podatkov Podobno kot omrežna plast omogoča izmenjavo podatkov med napravami znotraj omrežja.
• Fizična raven Vključuje opremo, ki se uporablja za izmenjavo podatkov med napravami (kabli, stikala itd.). Na tej ravni se informacijski paketi preoblikujejo v bitni tok in signali se ujemajo.

Večina napadov DDoS je namenjena preobremenitvi določenega strežnika ali omrežja. Glede na število in naravo vektorjev napada lahko ta dejanja razvrstimo v tri kategorije:

• drugačen;
• večkratni;
• ciklični.

Poslednja se uporablja predvsem kot odziv na protiukrepe, ki se uporabljajo za zaščito internetnega vira.

Napadi DDoS, izvedeni na ravni aplikacije

Na podlagi zgornjega modela se takšni napadi imenujejo napadi DDoS sedme ravni. Njegov namen je preobremeniti spletno mesto in ustvariti pogoje, ko je servisiranje običajnega prometa nemogoče.

Tovrstni hekerski napadi se izvajajo na ravni, na kateri je spletna stran oblikovana v strežniku. Napadi se prenašajo kot odgovor na zahteve HTTP. Na strani odjemalca takšni zahtevki ne zahtevajo velikih sredstev za ustvarjanje in obdelavo informacij. Hkrati pa mora strežnik uporabiti veliko računalniških virov. Med tem procesom se lahko v ciljnem strežniku obdelajo številni zahtevki za podatkovno zbirko in prenese več datotek za oblikovanje zahtevane spletne strani.
Zaščita pred porazdeljenimi napadi na 7. stopnji je težavna zaradi dejstva, da zlonamernega prometa ni enostavno ločiti od običajnega prometa.

Poplava HTTP

Ta vrsta napada simulira več posodobitev spletnega brskalnika, ki se hkrati izvajajo v več računalnikih. Videti je, kot da veliko uporabnikov nenehno pritiska na gumb za ponastavitev, kar povzroči veliko število zahtevkov HTTP. Zaradi tega je strežnik preobremenjen, kar povzroči izpade storitev. Glede na stopnjo kompleksnosti napada lahko napade DDoS vrste HTTP flood razvrstimo kot:

• enostavni. Pri takem napadu DDoS se za zagotavljanje nepooblaščenega dostopa do istega URL-ja uporabijo usklajena dejanja z naslovov IP istega območja, ki se izvajajo z uporabo istih uporabniških agentov in prehodnih virov.
• Zloženi napadi. Za hkratni vdor v več spletnih strani napadalec uporabi tako naslove IP, ki jih vzame iz naključnih virov prometa, kot tudi uporabniške agente.

Za obvladovanje kompleksnih napadov DDoS so potrebni računalniki z ustreznimi lastnostmi ter programska oprema, ki zahteva veliko virov.

Napad na protokol

Specialisti te vrste vdorov imenujejo napadi in izčrpavanje. Protokolarni napadi lahko s porabo prevelikih strežniških virov ali določene omrežne opreme motijo delovanje različnih storitev. V takih primerih napadalci običajno ciljajo na usmerjevalnike obremenitve ali požarne zidove.

Da bi ciljna spletna stran postala nedostopna, protokolarni napad izkorišča ranljivosti na 3. in 4. plasti (sklad protokolov).

SYN-flood

Pri takem napadu se iz botov pošlje veliko paketov TCP z lažnimi naslovi IP. Omenjeni paketi SYN so namenjeni vzpostavljanju omrežnih povezav. Ciljni računalnik se odzove na te zahteve in čaka na njihovo potrditev, ki pa je ne prejme. V skladu s tem se viri napadene spletne strani izčrpajo in ta se preneha odzivati na dohodne zahteve.

SYN-flood lahko primerjamo z delom velike trgovine, v kateri zaposleni v oskrbovalnem oddelku prejemajo navodila iz trgovske hale za dobavo določenega izdelka. Odpravijo se v skladišče, najdejo, kar potrebujejo, vendar brez prejema potrditve naročila ne razumejo, kaj storiti naprej. Posledica tega je, da prenehajo z delom, dokler se okoliščine ne razjasnijo.

Množični napadi DDoS

Dejanja hekerjev so v teh primerih usmerjena v ustvarjanje takšne obremenitve, da se uporabi celotna razpoložljiva pasovna širina internetne povezave. Pri izvajanju obsežnih napadov DDoS se v ciljni vir pošiljajo veliki podatkovni paketi z uporabo različnih sredstev za generiranje velikega prometa ali drugih sredstev za ojačitev. Med napadom se uporabljajo tako posamezni boti kot celotne mreže botov, iz katerih se generirajo številne zahteve na ciljno spletno stran ali posamezen strežnik.

SiljitevDNS

Med hekerskim napadom se javnim strežnikom DNS pošljejo zahteve, ki vsebujejo naslov IP ciljne naprave. Ta se odzove s paketom, ki naj bi vseboval velike količine podatkov. Posledično se ustvari veliko teh lažnih zahtevkov, kar povzroči preobremenitev ciljne naprave in zavrnitev storitve.

Primer ojačitve DNS je, ko oseba pokliče restavracijo ali supermarket in prosi za dostavo hrane ali blaga ter zahteva, da jo pokličejo nazaj. Medtem prejme telefonsko številko soseda. Takšne klice na cilj opravi veliko število uporabnikov, kar dokončno preobremeni dostavno službo.

Metode preprečevanja napadov DDoS

Za zagotovitev zaščite pred hekerskimi napadi je bistveno razlikovati med napadalcem in običajnim prometom. V oglaševalskih kampanjah za nove izdelke lahko veliko uporabnikov obišče spletno mesto razvijalca. To lahko povzroči izredno zaustavitev prometa in napake. Če se na tem spletnem viru poveča promet znanih hekerskih skupin, je treba sprejeti ukrepe za zmanjšanje vpliva porazdeljenega napada DDoS.

Skusi hekerskih napadov so lahko različnih oblik, od najpreprostejših z enim samim virom sumljivega prometa do bolj zapletenih z večvektorskimi učinki. V slednjem primeru se hkrati uporabi več različnih vrst napadov DDoS, da se obrambna stran prisili k razpršitvi svojih sil in sredstev.

Primer takega večvektorskega učinka je hkratni napad DDoS, ki poteka na več ravneh. Takšen učinek se doseže s krepitvijo DNS, ki gre v kombinaciji z velikim številom zahtevkov HTTP. Za preprečevanje takšnih napadov morate uporabiti več strategij preprečevanja hkrati.

Ko napadalci uporabljajo porazdeljene napade z zavrnitvijo storitve s kombinacijo različnih načinov napada, se zahtevnost njihovega preprečevanja močno poveča.

Vplivci običajno čim bolj mešajo napadalni promet z običajnim prometom, da bi učinkovitost zaščitnih ukrepov zmanjšali na skoraj ničelne kazalnike.

Pokusi preprostega onemogočanja ali omejevanja prometa brez filtriranja redko prinesejo pozitiven rezultat. Hkrati se napad DDoS prilagaja in išče načine, kako zaobiti sprejete protiukrepe. V takšnih primerih je najboljša rešitev uporaba strategije večstopenjske zaščite.

Routanje po črnih luknjah

Ena od najbolj dostopnih metod zaščite pred napadi DDoS za omrežne upravitelje je ustvarjanje "črne luknje" za sumljiv promet. V svoji najpreprostejši obliki usmerjanje "črne luknje" zagotavlja preusmerjanje vseh zahtevkov, ne da bi jih delili na običajne in zlonamerne, na ničelno pot, čemur sledi odstranitev teh zahtevkov iz omrežja. Če se na določenem spletnem mestu zazna napad DDoS, ima ponudnik možnost, da kot zaščitni ukrep prekliče ves promet. Ta rešitev ni najboljša, saj napadalec doseže svoj cilj in onemogoči dostop do vseh virov.

Omejitev hitrosti napada DDoS

Vsak strežnik lahko v določenem časovnem obdobju prejme in obdela določeno število zahtevkov. Z omejevanjem hitrosti napada DDoS lahko znatno zmanjšate njegovo učinkovitost. Hkrati je treba razumeti, da ta metoda zagotavlja znatno upočasnitev kraje vsebine in programske kode s strani spletnih analizatorjev ter blokira poskuse prijave z uporabo grobe sile. Vendar pa ni dovolj učinkovita proti kompleksnim kombiniranim napadom z zavrnitvijo storitve.

Značilnosti uporabe požarnih zidov za spletne aplikacije

Z uporabo posebnih programskih izdelkov lahko bistveno omilimo napade DDoS sedme stopnje. Med internetom in zaščitenim strežnikom je požarni zid (WAF), ki deluje kot povratni posrednik. Uporablja se za blokiranje zlonamernega prometa določenih vrst. Dohodne zahteve se filtrirajo v skladu z vzpostavljenimi pravili, kar omogoča prepoznavanje orodij DDoS in preprečevanje napadov sedme stopnje. Ena glavnih prednosti te metode je možnost določitve lastnih pravil za preprečevanje napada.

Načela distribucije poljubnega oddajanja v omrežju

Ta metoda zmanjšuje škodljive posledice napadov DDoS s prerazporeditvijo prometa po omrežju strežnika.

Če isti strežnik hkrati prejme veliko zahtevkov, bo preobremenjen s prometom in se ne bo mogel učinkovito odzvati na dodatne prejete zahteve. V omrežju Anycast bo namesto, da en sam izvorni strežnik prevzame glavnino prometa, obremenitev porazdeljena med druge razpoložljive podatkovne centre, od katerih ima vsak strežnike, ki lahko obdelajo in odgovorijo na dohodno zahtevo. Ta metoda usmerjanja lahko prepreči širjenje zmogljivosti izvornega strežnika in se izogne prekinitvi storitev odjemalcev, ki od njega zahtevajo vsebino.

Najboljša analogija metode distribucije Anycast v omrežju je ločevanje toka velike reke z močnim tokom po ločenih rokavih. Zaradi prerazporeditve prometa iz napada DDoS se njegova uničevalna sposobnost zmanjša na minimum in postane popolnoma obvladljiv.