DoS – Denial-of-Service (DoS), и неговият още по-развит наследник с допълнително “D” за distributed в началото – DDoS, са със сигурност нещо, за което не искате да чувате. Но се налага.
„Отказ от услуга“, евентуално с „дистрибутирана“ или „разпределена“ в началото. Една от най-големите опасности за всеки собственик на сайт е изведнъж достъпът до страницата му да стане невъзможен. Сървърите да бъдат атакувани така, че да не успеят да отговорят на заявките на потребителите.
Щетите могат да са за много сериозни суми и неслучайно този тип хакерска атака остава популярен през последните две десетилетия. И все пак, след като дори и огромни компании пострадаха от този тип нападения, се смята, че са достатъчно ясни и важните фактори, които могат да ги предотвратят.
DDoS-та лош
Продавате бонбони на сергията и изведнъж ви нападат десетки хлапетата. Само най-напористите успяват да си купят, другите си остават да чакат, без нещо сладко. Е, точно същото се получава и при DOS или DDOS атака. Сървърът е атакуван от прекалено много заявки, които не е в състояние да обработи и не може да си върши работата, а именно – да показва вашата страница на всеки, който я заяви през браузъра си.
А разликата между двете е, че във втория случай атаката се осъществява от многобройни компютри, координирани да правят заявки по едно и също време, за да блокират работата на своята мишена. Най-често става дума за машини, които вече са били поразени по някакъв начин от хакерите и се включват в атаката, без собствениците им да подозират. В този случай се казва, че е използван ботнет – мрежа от роботи, а манипулираните компютри се наричат „зомбита“.
DDoS атаката цели винаги едно от двете – или да изчерпа пропускателната способност на канала за връзка с интернет, или да заеме голяма част от изчислителните ресурси на сървъра.
Да счупиш интернет
През 2000-ата Майкъл Калче е 15-годишно хлапе, което обича да се заиграва с програмирането. По онова време световната мрежа е доста различно място, но той се чувства у дома си в него. И решава да направи нещо, което оставя завинаги името му в историята на компютрите.
Навръх 14 февруари в последната година на миналото хилядолетие изведнъж милиони потребители по света забелязват, че почти целият интернет… е изчезнал. Няма ги почти всички водещи сайтове по онова време – eBay, Amazon, Yahoo и кои ли още не. Нещата изглеждат толкова страшни, че чак американският президент свиква съвета за национална сигурност. По-късно щетите от това ще бъдат оценени на повече от 1 милиард долара!
Да, съвсем като на шега, хлапето всъщност се е превърнало в най-успешния и в първия известен ни хакер, използвал успешно DDoS атака. Много вероятно е дори Майкъл да беше останал неизвестен в тази си роля… ако сам не беше си признал в чатове с приятели.
Тъй като е непълнолетен, получава само условна присъда и през следващите години се превръща в един от водещите експерти в света на информационната сигурност. Но след направеното от него, всички собственици на сайтове вече са наясно, че този тип атака е изключително опасен. Дори и за най-големите.
Атака на ниво
Макар че общият принцип на атаката е един и същ, съществуват различни разновидности, а съответно – и различни подходи за защита. За да ги обясним, се налага да навлезем за кратко в мрежовите принципи и да споменем OSI модела. Казано накратко, всички мрежови комуникации днес се осъществяват на 7 различни нива – първото е физическо, постепенно стават по-абстрактни, докато се стигне до последното – апликационния или приложен слой.
Именно там, на 7-ото ниво от OSI модела, се случват най-голям процент от атаките. Това е най-простата и най-честа форма на DDOS – устройствата в ботнета влизат в ролята на многобройни обикновени потребители, които се опитват да заредят уеб страницата. Тъй като обаче сървърът има определен капацитет, това в един момент го претоварва и страницата спира да се зарежда.
Силите в атака!
За щастие, днес този тип атаки са доста по-лесни за предотвратяване, особено когато става дума за по-големи сайтове. Защото, във времената, когато облачните услуги са базова необходимост, хостингът е значително по-гъвкав. Той може да пренасочва трафика, да включва допълнителни сървъри при повишено търсене и атакуващите наистина трябва да са огромна армия, способна на безкрайно количество заявки, за да надвишат възможностите на облака.
Решение в тази посока са и мрежите за разпространение на съдържание (CDN). При тях данните ви са едновременно на няколко сървъра на различни места по света, като потребителят ги получава в зависимост от местоположението си. И съответно отново е удобно да се управлява потокът от заявки, така че да не се стигне до отказа от услуга.
Удар по протокол
На второ място идват протоколните атаки. Този тип DDoS използва някои възможни несъвършенства в начина, по който сървърът обработва заявките на потребителите. Казано опростено, зомбитата изпращат непълни пакети данни, а сървърът оставя връзката отворена, за да получи потвърждение от изходния IP адрес. То така и не идва, броят на отворените връзки расте, постепенно компютърът – дом на сайта ни, отново „прегрява“ и излиза от строя. Най-често се използват SYN-ACK флаговете при заявките, които служат за първоначалното свързване със сървъра.
При протоколните атаки се атакуват други ресурси – например самата връзка на сървърите с мрежата, или инфраструктурни компоненти като лоуд-балансери и файъруоли.
Въпрос на обем
Обемните (наричани също и волуметрични) атаки приличат на тези на приложния слой, но се използват не обикновени заявки, подобни на тези от всеки потребител, а манипулирани. Така че да увеличат максимално обема на данните, които се разменят, и сървърите да бъдат претоварени от усилията на значително по-малко машини в ботнета. Един от подходите е, като сървърите бъдат подвеждани да изпращат отново и отново сами на себе си огромни количества данни.
Колко е „силна“ волуметричната атака се измерва в битове в секунда. В този случай се атакуват обикновено протоколите ICMP и UDP , които пък са част от третия и четвъртия слой от OSI модела – мрежовия и транспортния.
Напоследък все по-чести (и по-опасни) са т. нар. мултивекторни атаки, при които едновременно се използват няколко от описаните техники. Тогава защитата е много по-трудна, защото по-трудно се разбира какво точно се случва, а и е по-голям хакерите да да попаднат на слабо звено.
Ботнетът в засада
Ето така стигаме и до най-важното – как най-ефективно да се предпазим от подобен тип атака, особено ако не сме глобална фирма с десетки експерти по сигурността, чиято работа е да правят именно това.
На първо място – като изберем внимателно правилния хостинг. Именно от това колко добре се справя фирмата, която осигурява присъствието ни онлайн, зависи в най-голяма степен дали сме добре защитени. Защото хостинг компаниите имат широк набор от инструменти, с които да следят трафика и при нужда да го филтрират. Или пък да блокират заявките, ако от определен странен и далечен регион започнат да пристигат неочаквано много и настоятелни потребители.
Както вече стана ясно, атаките на приложния слой трудно могат да се справят със солиден сайт в наши дни. А всички останали включват различни форми на манипулиране на заявките, които могат да бъдат открити с подходящите инструменти.
Опознай врата
Има и неща, с които сами може да помогнем, понякога буквално спасително за сайта ни. Малко или повече, всеки собственик на интернет страница познава потребители си. Ясно е, че е важно да следиш трафика на сайта си и да научаваш колкото можеш повече от него, независимо дали става дума за блог, онлайн магазин или ресторант. Ето защо необичайното, нелогично увеличение на трафика от неочаквани места определено може да бъде знак, че нещо не е наред. А стане ли ясно, че атаката е в ход, е много по-лесно тя да бъде спряна.
Ключовото в случая е обаче наистина да познавате аудиторията си и да можете да отличите истинската атака. За да не се подведете например по огромния трафик, когато сте обявили атрактивна промоция. Или пък някоя от публикациите в блога ви е станала хит в социалните медии.
Стабилна защита
Сред другите важни решения, разбира се, е да не ползваме несигурни услуги на външни доставчици. Криптираната връзка е задължителна за успешната защита, при това с достатъчно сигурни криптиращи алгоритми.
Обновявайте редовно софтуера. Погрижете се и винаги да можете да разчитате на резервно копие на данните си, ако нещата се окажат по-сериозни.
Съвсем резонно е, ако веднъж сте пострадали от атака от далечна държава, в която няма как да имате реални потребители, да блокирате достъпа на сайта ви за тамошните IP адреси.
Класическо решение срещу DDOS атаките са и „капча“ или добре познатите валидации на формите, че потребителят не е робот.
Много от големите компании пък разчитат на една от най-нашумелите услуги, осигуряващи превенция – Cloudflare. Тази мрежа изпълнява ролята на защитна стена, която разпределя неочаквано високия трафик между сървърите и така блокира DDoS атаката. Подобни решения обаче са по-скоро в бюджетите на големите бизнеси.
Неканени гости
Също толкова важно е обаче да успеете да усетите и ако някои от вашите устройства са станали част от ботнет. Така, без вие да подозирате, те могат да участват в атаки срещу сайтове. А това освен че вреди някому, не е от полза и за вас, тъй като бави връзката ви и „източва“ от ресурсите на компютъра.
Признаци в тази посока са забавеният компютър, по-мудното зареждане на сайтовете. С една дума, ако компютърът ви се държи странно, по-добре е да проучите какво се случва или да потърсите помощ от специалист.
Добро решение, което да предпази компютъра ви от “зомбиране“, е работещият файъруол. Този тип софтуер филтрира заявките, които правите и ви предупреждава за тези, които намери за подозрителни.
В наши дни обаче далеч не само компютрите могат да се превърнат в членове на ботнета. Направлението „интернет на нещата“ (IoT или Internet Of Things) направи възможно всичко в домовете – от лампите до прахосмукачките, да стане част от мрежата. А по този начин всяка „умна“ джаджа е и своеобразен компютър, който може да бъде атакуван и хакнат.
Зад всеки ъгъл
Така или иначе, DDoS атаките определено не са нещо, което може да бъде подценено. Неслучайно жертви на такива са ставали в една или друга степен всички най-големи технологични гиганти.
В края на миналата година лабораторията „Касперски“ отбеляза, че през последното десетилетие всяка година броят на DDOS атаките в глобален мащаб се е удвоявал.
Нещо повече – срещу DDoS атаките няма универсална защита, мерките трябва да бъдат комплексни. А ние ще навлезем в подробностите за доста от тях в следващите материали от поредицата за сигурността онлайн в блога на ZETTAHOST.bg. Останете сигурни!
