Kaj je napad DDoS (distributed denial-of-service) in kakšno nevarnost predstavlja za strežnik?

Pojavlja se vse več poročil o dejavnostih hekerjev in poskusih vdora v programsko opremo. V teh poročilih se pogosto pojavljajo napadi DDoS. Žal so pogosto omenjeni brez pojasnila, kaj so napadi DDoS in kako lahko škodujejo strežnikom.

V tem članku bomo obravnavali, kaj točno so napadi DDoS in zakaj so bili do zdaj glavna skrb strokovnjakov za internetno varnost. Poleg tega boste izvedeli, kako napadi DDoS delujejo in kako jih lahko ustavite.

Kaj je napad DDoS?

Izraz napad DDoS izhaja iz kratice "Distributed Denial of Service", kar pomeni porazdeljeni napad z zavrnitvijo storitve. Namen napada DDoS je motiti normalno delovanje strežnika, storitve ali lokalnega omrežja. Glavni namen takega napada je, da vaša storitev odpove ali da običajnim uporabnikom oteži dostop do vaše storitve. Za izvedbo naloge se ustvari poplava internetnega prometa, ki je prevelik, da bi ga običajni računalniški sistem lahko obvladal.

Napadalni promet ustvarja več računalnikov, lokalnih omrežij in naprav interneta stvari. Zlonamerna dejanja posameznika ali skupine ustvarijo številne zahteve do napadenega sistema, kar napadalcem omogoča nepooblaščen dostop do dragocenih informacij. To je lahko občutljiva podatkovna zbirka, programska koda ali različica programske opreme.

V vsakdanjem življenju je napad DDoS analogen prometnemu zamašku, ki ga povzroči več vozil. Zaradi tega običajni vozniki ne morejo priti do svojih ciljev.

Kako se izvede porazdeljeni napad z zavrnitvijo storitve?

Napad DDoS je mogoče izvesti samo na tiste računalniške sisteme, ki imajo internetno povezavo. Globalno omrežje je sestavljeno iz številnih računalnikov in drugih naprav, ki imajo internetno povezavo.

Obstaja več načinov, kako v računalniško omrežje vnesti zlonamerno (virusno) programsko opremo. Napadi DDoS dosežejo učinkovitost z uporabo več ogroženih računalniških sistemov kot virov napadalnega prometa. Izkoriščeni računalniki se v žargonu pogosto imenujejo "zombiji", njihove skupine pa se ustrezno imenujejo botnet.

Takoj po vzpostavitvi sistema botnet heker dobi priložnost, da organizira napad DDoS, ki se izvede na naslednji način.

• Za vsakega posameznega bota se pripravi posebno navodilo, ki se mu posreduje prek omrežja.

• Ko ga prejme, začne upravljani računalnik ali sistem oblikovati in pošiljati zahteve na naslove IP napadenega lokalnega omrežja ali strežnika.
• To povzroči upočasnitev obdelave prometa in preobremenjena oprema začne odpovedovati. Posledično se onemogoči izvajanje storitev za ves promet, vključno s prometom običajnih uporabnikov.

Glavna težava pri preprečevanju porazdeljenih napadov DDoS je, da je izjemno težko ločiti napadalni promet od običajnega. Vsak od botov, ki jih uporabljajo hekerji, je legitimna internetna naprava, zato je zlonamerne zahteve izredno težko ločiti od običajnih.

Glavni znaki napada DDoS na strežnik

Nenadna upočasnitev delovanja strežnika, odsotnost dostopa do storitve ali ločenega spletnega mesta lahko kažejo na nezakonita dejanja hekerjev. Hkrati lahko težave nastanejo zaradi naravnih vzrokov, kot je na primer močno povečanje običajnega prometa.

Javno dostopne analitične storitve omogočajo prepoznavanje napada DDoS po številnih značilnih lastnostih:

• znatna količina prometa z enega ali več naslovov IP, ki pripadajo istemu območju.
• Veliko število uporabnikov, ki prejemajo zahteve za dostop do analiziranih spletnih strani, ima enake vedenjske profile (geolokacija, različica brskalnika ali vrsta naprave).
• Močno povečanje prometa v določenih časovnih intervalih, na primer vsaki dve ali tri ure ali po drugačnem urniku.
• Eksplozivno povečanje števila zahtevkov za eno od internetnih storitev ali spletnih strani.

Poleg teh obstajajo še drugi znaki, ki so značilni za nekatere vrste porazdeljenih napadov DDoS. V takšnih primerih zmogljivosti običajnih orodij za internetno analitiko morda ne bodo zadostovale in za njihovo prepoznavanje bo potrebna specializirana programska oprema.

Razvrstitev napadov DDoS: najpogostejše vrste

Hekerji za vdor v spletna mesta uporabljajo različna orodja. Nekatere vrste napadov DDoS so usmerjene v določene komponente internetnih virov, strežnika ali računalnikov. Za razumevanje delovanja njihovih algoritmov je treba razumeti, kako deluje določena omrežna povezava.

Posebna programska oprema zagotavlja internetno povezavo, ki je sestavljena iz številnih komponent, imenovanih "plasti". Vsaka komponenta je zasnovana tako, da služi določenemu namenu, skupaj pa lahko tvorijo model. Kot so podporne, nosilne in ograjene konstrukcije v gradnji.

Za opis strukture omrežne povezave se uporablja sedemnivojski model OSI:

• Toraven uporabljajo odjemalci e-pošte, sporočilniki in brskalniki za neposredno obdelavo podatkov.
• Raven pogledov Namen priprave podatkov (stiskanje, prevajanje in šifriranje) je pripraviti podatke za uporabo v aplikacijah.
• Raven seje Vzpostavi komunikacijski kanal med dvema napravama v omrežju in ga ob koncu časa seje zapre.
• Raven prenosa Odgovorna je za upravljanje podatkovnih tokov in nadzor napak med določenimi napravami ter zagotavljanje komunikacije od konca do konca med določenimi napravami.
• Omrežna raven Omogoča prenos podatkov med napravami, ki pripadajo različnim omrežjem. Ta raven zagotavlja optimalno usmerjanje, ločevanje informacij v pakete z naknadnim sestavljanjem na ciljni točki.
• Raven kanala za prenos podatkov Podobno kot omrežna plast omogoča izmenjavo podatkov med napravami v omrežju.
• Fizična raven Vključuje opremo, ki se uporablja za izmenjavo podatkov med napravami (kabli, stikala itd.). Na tej ravni se informacijski paketi preoblikujejo v bitni tok, signali pa se ujemajo.

Cilj večine napadov DDoS je preobremenitev določenega strežnika ali omrežja. Glede na število in naravo vektorjev napada lahko ta dejanja razvrstimo v tri kategorije:

• edini;
• več;
• ciklične.

Slednje se večinoma uporabljajo kot odgovor na protiukrepe, ki se uporabljajo za zaščito internetnega vira.

Napadi DDoS, izvedeni na ravni aplikacije

Na podlagi zgornjega modela se takšni napadi imenujejo napadi DDoS sedme ravni. Njegov namen je preobremeniti spletno mesto in ustvariti pogoje, ko je servisiranje običajnega prometa nemogoče.

Hekerski napadi te vrste se izvajajo na ravni, na kateri je spletna stran oblikovana v strežniku. Napadi se prenašajo kot odgovor na zahteve HTTP. Na strani odjemalca takšne zahteve ne zahtevajo velikih virov za ustvarjanje in obdelavo informacij. Hkrati pa mora strežnik uporabiti veliko računalniških virov. Med tem postopkom se lahko v ciljnem strežniku obdelajo številni zahtevki za podatkovno zbirko in prenese več datotek, da se ustvari zahtevana spletna stran.
Zaščita pred porazdeljenimi napadi na 7. stopnji je težavna zaradi dejstva, da zlonamernega prometa ni enostavno razlikovati od običajnega.

Poplava HTTP

Napad te vrste simulira več posodobitev spletnega brskalnika, ki se hkrati izvajajo v več računalnikih. Videti je, kot da veliko uporabnikov nenehno pritiska na gumb za ponastavitev, kar povzroči veliko število zahtevkov HTTP. Zaradi tega je strežnik preobremenjen, kar povzroči izpade storitev. Glede na stopnjo zapletenosti napada lahko napade DDoS vrste HTTP flood razvrstimo v naslednje skupine:

• Preproste. Pri takem napadu DDoS se za zagotavljanje nepooblaščenega dostopa do istega URL-ja uporabijo usklajena dejanja z naslovov IP istega območja, ki se izvajajo z uporabo istih uporabniških agentov in prehodnih virov.
• Kompleksni napadi. Za hkratni vdor v več spletnih strani napadalec uporablja tako naslove IP, ki jih vzame iz naključnih virov prometa, kot tudi uporabniške agente.

Za upravljanje kompleksnih napadov DDoS so potrebni računalniki z ustreznimi lastnostmi ter programska oprema, ki zahteva veliko virov.

Napad na protokol

Strokovnjaki te vrste vdorov označujejo kot napade in izčrpavanje. Protokolni napadi lahko s porabo prevelikih strežniških virov ali določene omrežne opreme motijo delovanje različnih storitev. V takih primerih napadalci običajno ciljajo na usmerjevalnike obremenitve ali požarne zidove.

Da bi ciljna spletna stran postala nedostopna, protokolarni napad izkorišča ranljivosti na 3. in 4. plasti (sklad protokolov).

SYN-flood

Med takšnim napadom se iz botov pošlje veliko paketov TCP z lažnimi naslovi IP. Omenjeni paketi SYN so namenjeni vzpostavljanju omrežnih povezav. Ciljni računalnik se odzove na te zahteve in čaka na njihovo potrditev, ki pa je ne prejme. V skladu s tem so viri napadene spletne strani izčrpani in ta se preneha odzivati na dohodne zahteve.

Napade SYN lahko primerjamo z delom velike trgovine, v kateri zaposleni v oskrbovalnem oddelku prejemajo navodila iz trgovske hale za dobavo določenega izdelka. Odpravijo se v skladišče, najdejo, kar potrebujejo, vendar brez prejema potrditve naročila ne razumejo, kaj storiti naprej. Posledica tega je, da prenehajo z delom, dokler se okoliščine ne razjasnijo.

Množični napadi DDoS

Cilj dejanj hekerjev v teh primerih je ustvariti takšno obremenitev, da se uporabi celotna razpoložljiva pasovna širina internetne povezave. Pri izvajanju obsežnih napadov DDoS se v ciljni vir pošiljajo veliki podatkovni paketi z uporabo različnih sredstev za generiranje velikega prometa ali drugih sredstev za ojačitev. Med napadom se uporabljajo tako posamezni boti kot celotne mreže botov, iz katerih se generirajo številne zahteve na ciljno spletno stran ali posamezen strežnik.

Krepitev DNS

Med hekerskim napadom se javnim strežnikom DNS pošljejo zahteve, ki vsebujejo naslov IP ciljne naprave. Ta se odzove s paketom, ki naj bi vseboval veliko podatkov. Posledično se ustvari veliko teh lažnih zahtevkov, ki povzročijo preobremenitev ciljnega strežnika in zavrnitev storitve.

Primer ojačitve DNS je, ko oseba pokliče restavracijo ali supermarket in prosi za dostavo hrane ali blaga ter zahteva, da jo pokličejo nazaj. Medtem prejme telefonsko številko soseda. Takšne klice na cilj opravi veliko število uporabnikov, kar dokončno preobremeni dostavno službo.

Metode preprečevanja napadov DDoS

Za zagotovitev zaščite pred hekerskimi napadi je treba nujno razlikovati med napadalnim in običajnim prometom. V oglaševalskih kampanjah za nove izdelke lahko veliko uporabnikov obišče spletno mesto razvijalca. To lahko povzroči izredno zaustavitev prometa in napake. Če je na tem spletnem viru povečan promet znanih hekerskih skupin, je treba sprejeti ukrepe za zmanjšanje učinka porazdeljenega napada DDoS.

Poskusi hekerskih napadov so lahko različnih oblik, od najpreprostejših z enim samim virom sumljivega prometa do bolj zapletenih z večvektorskimi učinki. V slednjem primeru se hkrati uporabi več različnih vrst napadov DDoS, da se obrambna stran prisili k razpršitvi svojih sil in sredstev.

Primer takega večvektorskega učinka je hkratni napad DDoS, ki poteka na več ravneh. Takšen učinek se doseže s krepitvijo DNS, ki gre v kombinaciji z velikim številom zahtevkov HTTP. Za preprečevanje takšnih napadov morate uporabiti več strategij preprečevanja hkrati.

Kadar napadalci uporabljajo porazdeljene napade z zavrnitvijo storitve s kombinacijo različnih načinov napada, se zapletenost njihovega preprečevanja močno poveča.

Hekerji običajno čim bolj mešajo napadalni promet z običajnim prometom, da bi učinkovitost zaščitnih ukrepov zmanjšali na skoraj ničelne kazalnike.

Poskusi preprostega onemogočanja ali omejevanja prometa brez filtriranja le redko prinesejo pozitiven rezultat. Hkrati se napad DDoS prilagaja in išče načine, kako zaobiti sprejete protiukrepe. V takšnih primerih je najboljša rešitev uporaba večstopenjske strategije zaščite.

Usmerjanje po črnih luknjah

Ena od skrbnikom omrežja najbolj dostopnih metod zaščite pred DDoS je ustvarjanje "črne luknje" za sumljiv promet. V najpreprostejši obliki usmerjanje "črne luknje" zagotavlja preusmerjanje vseh zahtevkov, ne da bi jih delili na običajne in zlonamerne, na ničelno pot, čemur sledi odstranitev teh zahtevkov iz omrežja. Če se na določenem spletnem mestu zazna napad DDoS, ima ponudnik možnost, da kot zaščitni ukrep prekliče ves promet. Ta rešitev ni najboljša, saj napadalec doseže svoj cilj in onemogoči dostop do vseh virov.

Omejitev hitrosti napada DDoS

Vsak strežnik lahko v določenem časovnem obdobju sprejme in obdela določeno število zahtevkov. Z omejevanjem hitrosti napada DDoS lahko znatno zmanjšate njegovo učinkovitost. Hkrati je treba razumeti, da ta metoda zagotavlja znatno upočasnitev kraje vsebine in programske kode s strani spletnih analizatorjev ter blokira poskuse prijave z uporabo grobe sile. Vendar pa ni dovolj učinkovita proti kompleksnim kombiniranim napadom z zavrnitvijo storitve.

Značilnosti uporabe požarnih zidov za spletne aplikacije

Z uporabo posebnih programskih izdelkov je mogoče bistveno ublažiti napade DDoS sedme stopnje. Med internetom in zaščitenim strežnikom je požarni zid (WAF), ki deluje kot povratni posrednik. Uporablja se za blokiranje zlonamernega prometa določenih vrst. Dohodne zahteve se filtrirajo v skladu z vzpostavljenimi pravili, kar omogoča prepoznavanje orodij DDoS in preprečevanje napadov sedme stopnje. Ena glavnih prednosti te metode je možnost določitve lastnih pravil za preprečevanje napada.

Načela distribucije poljubnega oddajanja v omrežju

Ta metoda zmanjšuje škodljive posledice napadov DDoS s prerazporeditvijo prometa po omrežju strežnikov.

Če isti strežnik hkrati prejme veliko zahtevkov, bo preobremenjen s prometom in se ne bo mogel učinkovito odzvati na dodatne prejete zahteve. V omrežju Anycast bo namesto enega samega izvornega strežnika, ki bo prevzel glavnino prometa, obremenitev porazdeljena med druge razpoložljive podatkovne centre, od katerih ima vsak strežnike, ki lahko obdelajo in odgovorijo na prejeto zahtevo. Ta metoda usmerjanja lahko prepreči povečanje zmogljivosti izvornega strežnika in prepreči prekinitev storitev odjemalcev, ki od njega zahtevajo vsebino.

Najboljša analogija metode distribucije Anycast v omrežju je ločevanje toka velike reke z močnim tokom po ločenih vejah. Zaradi prerazporeditve prometa iz napada DDoS se njegova uničevalna sposobnost zmanjša na minimum in postane popolnoma obvladljiv.