Det finnes mange cybertrusler som nettbrukere og nettverksadministratorer må være på vakt mot, men for organisasjoner hvis tjenester i stor grad fungerer på nett, er et av de viktigste angrepene å være oppmerksom på, på grunn av deres økende utbredelse – Distributed Denial of Service (DDoS) ) angrep. Men hva er et tjenestenektangrep, hvordan fungerer de, og finnes det måter å forhindre dem på?
Distribuert Denial of Service: En definisjon
Hva er et DDoS-angrep? Noen ganger kalt distribuerte nettverksangrep, denne typen nettangrep utnytter de spesifikke kapasitetsgrensene som gjelder for alle nettverksressurser – for eksempel infrastrukturen som aktiverer et selskaps nettsted. DDoS-angrepet vil sende flere forespørsler til den angrepne nettressursen – med sikte på å overskride nettstedets kapasitet til å håndtere flere forespørsler og forhindre nettstedet i å fungere som det skal. Typiske mål for DDoS-angrep inkluderer nettsteder for netthandel og enhver organisasjon som tilbyr nettjenester.
Hvordan fungerer det?
En viktig del av å forstå DDoS-angrep er å lære hvordan disse angrepene fungerer. Nettverksressurser – for eksempel nettservere – har en begrenset grense for hvor mange forespørsler de kan betjene samtidig. I tillegg til kapasitetsgrensen til serveren, vil kanalen som kobler serveren til Internett også ha en begrenset båndbredde eller kapasitet. Når antallet forespørsler overskrider kapasitetsgrensene for en komponent i infrastrukturen, vil tjenestenivået sannsynligvis bli skadelidende.
Vanligvis er angriperens mål i alle eksempler på DDoS-angrep å overvelde nettressursens server, forhindre normal funksjon og resultere i totalt denial-of-service. Angriperen kan også be om betaling for å stoppe angrepet. I noen tilfeller kan et DDoS-angrep til og med være et forsøk på å miskreditere eller skade en konkurrents virksomhet.
For å utføre angrepet tar angriperen kontrollen over et nettverk eller en enhet ved å infisere det med skadelig programvare , og opprette et botnett . De starter deretter angrepet ved å sende spesifikke instruksjoner til robotene. I sin tur begynner botnettet å sende forespørsler til målserveren gjennom IP-adressen , overveldende den og forårsake tjenestenekt for den vanlige trafikken.
Eksempler på DDoS-angrep: Hva er de forskjellige typene angrep?
Å lære DDoS-betydningen og hvordan disse angrepene fungerer er ett skritt i å forhindre dem, men det er også viktig å forstå at det finnes forskjellige typer DDoS-angrep. Dette avhenger av først å skissere hvordan nettverkstilkoblinger dannes.
Modellen Open Systems Interconnection (OSI), utviklet av Den internasjonale standardiseringsorganisasjonen, definerer syv forskjellige lag som utgjør nettverkstilkoblinger til Internett. Disse inkluderer det fysiske laget, datalenkelaget, nettverkslaget, transportlaget, øktlaget, presentasjonslaget og applikasjonslaget.
De mange eksemplene på DDoS-angrep er forskjellige etter hvilket tilkoblingslag de retter seg mot. Nedenfor er noen av de vanligste eksemplene.
- angrep på programnivå
Noen ganger kalt et lag 7-angrep (fordi det retter seg mot det syvende (applikasjons-) laget i OSI-modellen), disse angrepene tømmer målserverens ressurser ved å bruke DDoS-nettsteder. Det syvende laget er der en server genererer nettsider som svar på en HTTP-forespørsel. Angripere kjører mange HTTP-forespørsler, og overvelder målserveren mens den reagerer ved å laste inn de mange filene og kjøre databasespørringene som kreves for å opprette en webside.
HTTP-flom
Tenk på disse DDoS-angrepene som oppdaterer en nettleser flere ganger på mange datamaskiner. Dette skaper en "flom" av HTTP-forespørsler, og tvinger frem et tjenestenekt. Implementeringen av disse angrepene kan være enkel – ved å bruke én URL med et smalt område med IP-adresser – eller komplisert ved å bruke en rekke IP-adresser og tilfeldige URL-adresser.
Protokollangrep
Disse DDoS-angrepene kalles ofte state-exhaustion-angrep, og utnytter sårbarheter i det tredje og fjerde laget av OSI-modellen (nettverks- og transportlagene). Disse angrepene skaper tjenestenekt av overveldende serverressurser eller nettverksutstyrsressurser, for eksempel brannmurer . Det finnes flere typer protokollangrep, inkludert SYN-flommer. Disse utnytter TCP-håndtrykket (Transmission Control Protocol), som gjør det mulig for to å opprette en nettverkstilkobling ved å sende et uhåndterlig antall TCP "Initial Connection Requests" fra falske IP-adresser.
- volumetriske angrep
Disse eksemplene på DDoS-angrep skaper tjenestenekt ved å bruke all tilgjengelig båndbredde på en målserver ved å sende enorme datamengder for å skape en økning i trafikken på serveren.
DNS-forsterkning
Dette er et refleksjonsbasert angrep der en forespørsel sendes til en DNS-server fra en falsk IP-adresse (målserverens), som ber DNS-serveren om å "ringe" målet tilbake for å bekrefte forespørselen. Denne handlingen forsterkes ved hjelp av et botnett, som raskt overvelder målserverens ressurser.
Identifisere et DDoS-angrep
DDoS-angrep kan være vanskelig å identifisere fordi de kan etterligne vanlige tjenesteproblemer og blir stadig mer sofistikerte. Det er imidlertid visse tegn som kan tyde på at et system eller nettverk har blitt offer for et DDoS-angrep. Her er noen eksempler:
- En plutselig økning i trafikken som stammer fra en ukjent IP-adresse
- En flom av trafikk fra mange brukere som deler spesifikke likheter, for eksempel geografisk plassering eller nettleserversjon
- En uforklarlig økning i forespørsler om én enkelt side
- Uvanlige trafikkmønstre
- Langsom nettverksytelse
- En tjeneste eller et nettsted som plutselig blir offline uten grunn
Forebygging og redusering av DDoS-angrep
Selv om DDoS-angrep kan være utfordrende å oppdage, er det mulig å iverksette flere tiltak for å prøve å forhindre denne typen nettangrep og redusere eventuelle skader i tilfelle et angrep. For brukere som lurer på hvordan de kan forhindre DDoS-angrep, er nøkkelen å lage en handlingsplan for å sikre systemer og begrense skader i tilfelle et angrep. Generelt er det fordelaktig å implementere en løsning som Kaspersky DDoS-beskyttelse for bedrifter, som kontinuerlig analyserer og omdirigerer skadelig trafikk. I tillegg kan følgende generelle råd hjelpe deg med å forbedre forsvaret ditt ytterligere:
- Vurder det nåværende systemoppsettet - inkludert programvare, enheter, servere og nettverk - for å identifisere sikkerhetsrisikoer og potensielle trusler, og iverksett deretter tiltak for å redusere disse; gjennomføre jevnlige risikovurderinger.
- Hold all programvare og teknologi oppdatert for å sikre at de kjører de nyeste sikkerhetsoppdateringene.
- Utvikle en levedyktig strategi for forebygging, oppdagelse og redusering av DDoS-angrep.
- Sørg for at alle som er involvert i angrepsforebyggingsplanen, forstår DDoS-angrepets betydning og deres tilordnede roller.
I tilfelle et angrep, kan disse handlingene virke begrensende:
- Anycast-nettverk: Bruk av et Anycast-nettverk for å omfordele trafikken kan bidra til å opprettholde serverbrukbarheten mens problemet løses, og sikre at serveren ikke trenger å slås helt av.
- Sorte hull-ruting: I dette scenariet omdirigerer en nettverksadministrator for Internett-leverandøren all trafikk fra målserveren til en sort hull-rute (målrettet IP-adresse), mister den fra nettverket og bevarer integriteten. Dette kan imidlertid være et ekstremt skritt å ta, da det også blokkerer legitim trafikk.
- Satsbegrensende: Denne begrenser hvor mange forespørsler en server kan godta til enhver tid. Selv om det ikke vil være veldig effektivt i seg selv, kan det være nyttig som en del av en større strategi.
- Brannmurer: Organisasjoner kan bruke brannmurer for nettapplikasjoner (WAF) til å fungere som en omvendt proxy for å beskytte serverne sine. WAF-er kan settes med regler for å filtrere trafikk, og administratorer kan endre dette i sanntid hvis de mistenker et DDoS-angrep.
Relaterte artikler og lenker:
- Hva er et trojansk hestevirus? typer og hvordan du fjerner det
- Slik forhindrer du DDoS-angrep fra å ødelegge din neste spilløkt
Relaterte produkter og tjenester:
