Flood ruchu
botnety są używane do tworzenia powodzi HTTP lub HTTPS. Botnet komputerów jest używany do wysyłania legalnych żądań HTTP lub HTTPS do ataku i przytłoczenia serwera www. HTTP-skrót od HyperText Transfer Protocol – jest protokołem, który kontroluje sposób formatowania i przesyłania wiadomości. Żądanie HTTP może być żądaniem GET lub post., Oto różnica:
- żądanie GET to takie, w którym informacje są pobierane z serwera.
- żądanie POST to takie, w którym wymagane jest przesyłanie i przechowywanie informacji. Ten typ żądania wymaga większego wykorzystania zasobów przez docelowy serwer WWW.
podczas gdy http floods korzystający z żądań POST wykorzystuje więcej zasobów serwera www, http floods korzystający z żądań GET jest prostszy i łatwiejszy do zaimplementowania.
ataki DDoS można kupić na czarnym rynku
montaż botnetów niezbędnych do przeprowadzenia ataków DDoS może być czasochłonny i trudny.,
cyberprzestępcy opracowali model biznesowy, który działa w ten sposób: bardziej wyrafinowani cyberprzestępcy tworzą botnety i sprzedają je lub dzierżawią mniej wyrafinowanym cyberprzestępcom w dark web — tej części Internetu, w której przestępcy mogą anonimowo kupować i sprzedawać towary, takie jak botnety i skradzione numery kart kredytowych.
dark web jest zwykle dostępny za pośrednictwem przeglądarki Tor, która zapewnia anonimowy sposób wyszukiwania w Internecie. Botnety są dzierżawione w dark web za zaledwie kilkaset dolarów., Różne ciemne strony internetowe sprzedają szeroką gamę nielegalnych towarów, usług i skradzionych danych.
pod pewnymi względami te ciemne strony internetowe działają jak konwencjonalne sklepy internetowe. Mogą one zapewniać klientom gwarancje, rabaty i oceny użytkowników.
Jakie są objawy ataku DDoS?
ataki DDoS mają definitywne objawy. Problem polega na tym, że objawy są tak podobne do innych problemów, które możesz mieć z komputerem — począwszy od wirusa do powolnego połączenia internetowego – że może być trudno powiedzieć bez profesjonalnej diagnozy., Objawy DDoS obejmują:
- powolny dostęp do plików, lokalnie lub zdalnie
- długotrwała niemożność uzyskania dostępu do konkretnej witryny
- rozłączenie Internetu
- problemy z dostępem do wszystkich stron
- nadmierna ilość spamu
większość z tych objawów może być trudna do zidentyfikowania jako nietypowa. Mimo to, jeśli dwa lub więcej wystąpią w dłuższym okresie czasu, możesz być ofiarą DDoS.,
rodzaje ataków DDoS
ataki DDoS zazwyczaj składają się z ataków, które należą do jednej lub więcej kategorii, z pewnymi bardziej wyrafinowanymi atakami łączącymi ataki na różne wektory. Są to kategorie:
- ataki oparte na wolumenie. Wysyłają one ogromne ilości ruchu, aby przytłoczyć przepustowość sieci.
- ataki protokołów. Są one bardziej skoncentrowane i wykorzystują luki w zasobach serwera.
- ataki aplikacji. są najbardziej wyrafinowaną formą ataków DDoS, koncentrując się na konkretnych aplikacjach internetowych.,
oto bliższe spojrzenie na różne rodzaje ataków DDoS.
ataki połączenia TCP
ataki połączenia TCP lub synapsy wykorzystują lukę w sekwencji połączeń TCP potocznie nazywaną trójdrożnym połączeniem z hostem i serwerem.
oto jak. Serwer docelowy otrzymuje prośbę o rozpoczęcie uścisku dłoni. W synodzie uścisk dłoni nigdy się nie kończy. Oznacza to, że podłączony port jest zajęty i niedostępny do przetwarzania dalszych żądań., Tymczasem cyberprzestępca nadal wysyła coraz więcej żądań przytłaczających wszystkie otwarte porty i wyłączających serwer.
Application layer attacks
Application layer attacks — czasami określane jako layer 7 attacks — atakują aplikacje ofiary ataku w wolniejszy sposób. W ten sposób mogą początkowo pojawiać się jako uzasadnione żądania od użytkowników, dopóki nie będzie za późno, a ofiara będzie przytłoczona i nie będzie w stanie odpowiedzieć. Ataki te mają na celu warstwę, na której serwer generuje strony internetowe i odpowiada na żądania http.,
często ataki na poziomie aplikacji są łączone z innymi rodzajami ataków DDoS skierowanych nie tylko do aplikacji, ale także do sieci i przepustowości. Szczególnie groźne są ataki warstwy aplikacji. Dlaczego? Są niedrogie w obsłudze i trudniejsze do wykrycia przez firmy niż ataki skupione na warstwie sieciowej.
ataki fragmentacji
ataki fragmentacji są kolejną popularną formą ataku DDoS., Cyberprzestępcy wykorzystują luki w zabezpieczeniach w procesie fragmentacji datagramów, w którym datagramy IP są dzielone na mniejsze pakiety, przesyłane przez sieć, a następnie ponownie składane. W atakach fragmentacji fałszywe pakiety danych nie mogą być ponownie złożone, przytłaczają serwer.
w innej formie ataku fragmentacji zwanego atakiem łzy, wysłane złośliwe oprogramowanie zapobiega ponownemu złożeniu pakietów. Luka wykorzystywana w atakach Teardrop została poprawiona w nowszych wersjach systemu Windows, ale użytkownicy przestarzałych wersji nadal będą podatni na ataki.,
ataki wolumetryczne
ataki wolumetryczne są najczęstszą formą ataków DDoS. Używają botnetu do zalewania sieci lub serwera ruchem, który wydaje się uzasadniony, ale przytłacza możliwości przetwarzania ruchu przez sieć lub serwer.
rodzaje ataków DDoS
w ataku DDoS Amplification cyberprzestępcy przytłaczają serwer DNS (Domain Name System) z czymś, co wydaje się być uzasadnione żądaniami usługi., Korzystając z różnych technik, cyberprzestępca jest w stanie powiększyć zapytania DNS, za pośrednictwem botnetu, do ogromnej ilości ruchu skierowanego do docelowej sieci. To zużywa przepustowość ofiary.
Chargen Reflection
odmiana ataku DDoS wykorzystująca Chargen, Stary protokół opracowany w 1983 roku. W tym ataku małe pakiety zawierające sfałszowany adres IP ofiary są wysyłane do urządzeń, które obsługują Chargen i są częścią Internetu Rzeczy. Na przykład wiele kopiarek i drukarek podłączonych do Internetu korzysta z tego protokołu., Urządzenia zalewają obiekt docelowy pakietami UDP (User Datagram Protocol), a obiekt docelowy nie jest w stanie ich przetworzyć.
odbicie DNS
ataki DNS Reflection to rodzaj ataku DDoS, z którego cyberprzestępcy korzystali wiele razy. Podatność na tego typu ataki jest na ogół spowodowane przez konsumentów lub firm mających routery lub inne urządzenia z serwerami DNS źle skonfigurowane do przyjmowania zapytań z dowolnego miejsca zamiast serwerów DNS prawidłowo skonfigurowanych do świadczenia usług tylko w zaufanej domenie.,
cyberprzestępcy wysyłają fałszywe zapytania DNS, które wydają się pochodzić z sieci docelowej, więc gdy serwery DNS odpowiadają, robią to na adres docelowy. Atak jest powiększany poprzez odpytywanie dużej liczby serwerów DNS.
Sprawdź cyfrową mapę ataków DDoS
cyfrowa mapa ataków została opracowana przez Arbor Networks ATLAS global threat intelligence system. Wykorzystuje dane zebrane od ponad 330 klientów ISP anonimowo udostępniając ruch sieciowy i informacje o atakach
spójrz na cyfrową mapę ataków., Pozwala to zobaczyć na mapie globalnej, gdzie występują ataki DDoS z informacjami aktualizowanymi co godzinę.
jak chronić się przed atakami Distributed Denial of Service
Ochrona przed atakami DDoS jest trudnym zadaniem. Firmy muszą planować obronę i łagodzenie takich ataków. Określenie luk w zabezpieczeniach jest podstawowym elementem każdego protokołu ochrony.
Metoda 1: Szybkie działanie
im wcześniej zostanie zidentyfikowany atak DDoS, tym łatwiej będzie powstrzymać szkodę., Firmy powinny korzystać z technologii lub usług anty-DDoS, które mogą pomóc w rozpoznawaniu uzasadnionych skoków w ruchu sieciowym i ataku DDoS.
Jeśli zauważysz, że Twoja firma jest atakowana, powinieneś jak najszybciej powiadomić swojego dostawcę usług internetowych, aby ustalić, czy twój ruch może zostać przekierowany. Posiadanie kopii zapasowej ISP jest również dobrym pomysłem. Rozważ również usługi, które rozpraszają ogromny ruch DDoS wśród sieci serwerów, co czyni atak nieskutecznym.,
dostawcy usług internetowych będą korzystać z trasowania czarnej dziury, która kieruje ruch do trasy zerowej, czasami określanej jako czarna dziura, gdy występuje nadmierny ruch, co zapobiega awarii docelowej strony internetowej lub sieci, ale wadą jest to, że zarówno legalny, jak i nielegalny ruch jest przekierowywany w ten sposób.
Metoda 2: Konfigurowanie zapór sieciowych i routerów
zapory sieciowe i routery powinny być skonfigurowane tak, aby odrzucały fałszywy ruch i powinny być aktualizowane o najnowsze poprawki zabezpieczeń. To twoja pierwsza linia obrony.,
sprzęt front end aplikacji, który jest zintegrowany z siecią, zanim ruch dotrze do serwera analizuje i wyświetla pakiety danych klasyfikując dane jako priorytetowe, regularne lub niebezpieczne, gdy wchodzą do systemu i mogą być używane do blokowania danych zagrażających.