trafikflood
botnät används för att skapa en HTTP-eller HTTPS-översvämning. Botnet av datorer används för att skicka vad som verkar vara legitima HTTP-eller HTTPS-förfrågningar att attackera och överväldiga en webbserver. HTTP-kort för HyperText Transfer Protocol-är det protokoll som styr hur meddelanden formateras och överförs. En HTTP-förfrågan kan vara antingen en GET-förfrågan eller en postförfrågan., Här är skillnaden:
- en GET-förfrågan är en där information hämtas från en server.
- en postbegäran är en där information begärs att laddas upp och lagras. Denna typ av begäran kräver större användning av resurser av den riktade webbservern.
medan HTTP-översvämningar med postförfrågningar använder fler resurser på webbservern, är HTTP-översvämningar med GET-förfrågningar enklare och enklare att implementera.
DDoS-attacker kan köpas på svarta marknader
montering av botnät som är nödvändiga för att utföra DDoS-attacker kan vara tidskrävande och svårt.,
cyberbrottslingar har utvecklat en affärsmodell som fungerar på detta sätt: mer sofistikerade cyberbrottslingar skapa botnät och sälja eller hyra ut dem till mindre sofistikerade cyberbrottslingar på den mörka webben – den del av Internet där brottslingar kan köpa och sälja varor som botnät och stulna kreditkortsnummer anonymt.
den mörka webben nås vanligtvis via TOR-webbläsaren, vilket ger ett anonymt sätt att söka på Internet. Botnät hyrs ut på dark web för så lite som ett par hundra dollar., Olika mörka webbplatser säljer ett brett utbud av olagliga varor, tjänster och stulna data.
på vissa sätt fungerar dessa mörka webbplatser som konventionella online-återförsäljare. De kan ge kundgarantier, rabatter och användarbetyg.
vilka är symtomen på en DDOS-attack?
DDoS-attacker har definitiva symptom. Problemet är, symptomen är så mycket som andra problem som du kan ha med din dator — allt från ett virus till en långsam Internet — anslutning-att det kan vara svårt att säga utan professionell diagnos., Symptomen på en DDoS inkluderar:
- långsam tillgång till filer, antingen lokalt eller på distans
- en långsiktig oförmåga att komma åt en viss webbplats
- Internet frånkoppling
- problem med att komma åt alla webbplatser
- överdriven mängd skräppost
de flesta av dessa symtom kan vara svåra att identifiera som ovanliga. Trots det, om två eller flera inträffar under långa perioder, kan du vara ett offer för en DDoS.,
typer av DDoS-attacker
DDoS-attacker består i allmänhet av attacker som faller i en eller flera kategorier, med några mer sofistikerade attacker som kombinerar attacker mot olika vektorer. Det här är kategorierna:
- volymbaserade attacker. Dessa skickar enorma mängder trafik för att överväldiga ett nätverks bandbredd.
- Protokollattacker. Dessa är mer fokuserade och utnyttja sårbarheter i en server resurser.
- Applikationsattacker. är den mest sofistikerade formen av DDoS-attacker, med fokus på särskilda webbapplikationer.,
här är en närmare titt på olika typer av DDoS-attacker.
tcp-Anslutningsattacker
tcp-Anslutningsattacker eller SYN-översvämningar utnyttjar en sårbarhet i TCP-anslutningssekvensen som vanligtvis kallas trevägsanslutningen med värden och servern.
Så här gör vi. Den riktade servern tar emot en begäran om att börja handslaget. I en SYNFLOD är handskakningen aldrig klar. Det lämnar den anslutna porten som upptagen och otillgänglig för att bearbeta ytterligare förfrågningar., Samtidigt fortsätter cyberbrottslingar att skicka fler och fler förfrågningar överväldigande alla öppna portar och stänga av servern.
Application Attacks
Application layer attacks — som ibland kallas Layer 7 attacks — target applications of the victim of the attack på ett långsammare sätt. På så sätt kan de inledningsvis visas som legitima förfrågningar från användare, tills det är för sent, och offret är överväldigad och oförmögen att svara. Dessa attacker riktar sig till det lager där en server genererar webbsidor och svarar på http-förfrågningar.,
ofta kombineras applikationsnivåattacker med andra typer av DDoS-attacker som inte bara riktar sig till applikationer utan även nätverket och bandbredden. Applikationslagerattacker är särskilt hotande. Varför? De är billiga att använda och svårare för företag att upptäcka än attacker fokuserade på nätverksskiktet.
Fragmenteringsattacker
Fragmenteringsattacker är en annan vanlig form av en DDOS-attack., It-brottsligheten utnyttjar sårbarheter i datagramfragmenteringsprocessen, där IP-datagram är uppdelade i mindre paket, överförs över ett nätverk och sedan sammanfogas. I fragmentering attacker, falska datapaket inte kan återmonteras, överväldiga servern.
i en annan form av Fragmenteringsattack som kallas en Teardrop-attack förhindrar skadlig kod att paketen återmonteras. Sårbarheten som utnyttjas i Teardrop-attacker har patchats i de nyare versionerna av Windows, men användare av föråldrade versioner skulle fortfarande vara sårbara.,
volymetriska attacker
volymetriska attacker är den vanligaste formen av DDoS-attacker. De använder ett botnät för att översvämma nätverket eller servern med trafik som verkar legitimt, men överväldigar nätverkets eller serverns förmåga att bearbeta trafiken.
typer av DDoS-förstärkning
i en DDoS-Förstärkningsattack överväldigar cyberbrottslingar en DNS-server (Domain Name System) med vad som verkar vara legitima förfrågningar om service., Med hjälp av olika tekniker kan cyberkriminalen förstora DNS-frågor, genom en botnet, till en stor mängd trafik som syftar till det riktade nätverket. Detta förbrukar offrets bandbredd.
chargen reflektion
en variant av en DDoS Amplifieringsattack utnyttjar Chargen, ett gammalt protokoll som utvecklades 1983. I denna attack skickas små paket som innehåller en spoofed IP av det riktade offret till enheter som arbetar Chargen och ingår i sakernas Internet. Till exempel använder många internetanslutna kopiatorer och skrivare detta protokoll., Enheterna översvämmer sedan målet med User Datagram Protocol (UDP) – paket, och målet kan inte bearbeta dem.
DNS-reflektion
DNS-Reflektionsattacker är en typ av DDoS-attack som cyberbrottslingar har använt många gånger. Känsligheten för denna typ av attack beror i allmänhet på konsumenter eller företag som har routrar eller andra enheter med DNS-servrar felkonfigurerade för att acceptera frågor från var som helst istället för DNS-servrar korrekt konfigurerade för att tillhandahålla tjänster endast inom en betrodd domän.,
cyberbrottslingar skickar sedan spoofed DNS-frågor som verkar komma från målets nätverk så när DNS-servrarna svarar, gör de det till den riktade adressen. Attacken förstoras genom att fråga ett stort antal DNS-servrar.
kolla in DDoS Digital Attack Map
den digitala Attackkartan utvecklades av Arbor Networks ATLAS global threat intelligence system. Den använder data som samlats in från mer än 330 ISP-kunder anonymt dela nätverkstrafik och attack information
ta en titt på den digitala Attack kartan., Det gör att du kan se på en global karta där DDoS-attacker inträffar med information uppdaterad varje timme.
hur du skyddar dig från distribuerade överbelastningsattacker
skydda dig från en DDOS-attack är en svår uppgift. Företagen måste planera att försvara och mildra sådana attacker. Att fastställa dina sårbarheter är en viktig inledande del av alla skyddsprotokoll.
Metod 1: vidta snabba åtgärder
ju tidigare en DDOS-attack som pågår identifieras, desto lättare kan skadan innehålla., Företag bör använda teknik eller anti-DDoS-tjänster som kan hjälpa dig att erkänna legitima spikar i nätverkstrafik och en DDOS-attack.
om du upptäcker att ditt företag är under attack, bör du meddela din ISP-leverantör så snart som möjligt för att avgöra om din trafik kan omdirigeras. Att ha en backup ISP är också en bra idé. Tänk också på tjänster som sprider den massiva DDoS-trafiken bland ett nätverk av servrar som gör attacken ineffektiv.,
Internetleverantörer kommer att använda Black Hole Routing som leder trafiken till en null-rutt som ibland kallas ett svart hål när överdriven trafik uppstår och därigenom hålla den riktade webbplatsen eller nätverket från att krascha, men nackdelen är att både legitim och olaglig trafik omdirigeras på detta sätt.
Metod 2: konfigurera brandväggar och routrar
brandväggar och routrar ska konfigureras för att avvisa falsk trafik och du bör hålla dina routrar och brandväggar uppdaterade med de senaste säkerhetspatcharna. De här är din första försvarslinje.,
application front end hårdvara som är integrerad i nätverket innan trafiken når en server analyser och skärmar datapaket klassificera data som prioritet, regelbunden eller farlig när de kommer in i ett system och kan användas för att blockera hotande data.