DDoS-Angriffe (Distributed Denial of Service, in freier Übersetzung: Distributed Denial of Service) gehören zu den häufigsten Hacker-Angriffen, die auf Computersysteme oder Netzwerkdienste gerichtet sind und alle verfügbaren und freien Ressourcen belegen sollen Verhindern Sie das Funktionieren des gesamten Dienstes im Internet (z. B. gehostete Website und E-Mail).
Was ist ein DDoS-Angriff?
Ein DDoS-Angriff besteht darin, einen Angriff gleichzeitig von vielen Orten gleichzeitig (von vielen Computern) aus auszuführen. Ein solcher Angriff wird hauptsächlich von Computern ausgeführt, über die die Kontrolle mit spezieller Software (z. B. Bots und Trojaner) übernommen wurde. Dies bedeutet, dass die Besitzer dieser Computer möglicherweise nicht einmal wissen, dass ihr Computer, Laptop oder ein anderes mit dem Netzwerk verbundenes Gerät ohne ihr Wissen nur zur Durchführung eines DDoS-Angriffs verwendet werden kann.
Ein DDoS-Angriff beginnt, wenn alle gefährdeten Computer gleichzeitig den Webdienst oder das System des Opfers angreifen. Das Ziel eines DDoS-Angriffs wird dann mit falschen Versuchen überflutet, die Dienste zu nutzen (z. B. können dies Versuche sein, eine Website oder andere Anforderungen aufzurufen).
Warum verursacht ein DDoS-Angriff Dienstunterbrechungen?
Bei jedem Versuch, den Dienst zu nutzen (z. B. beim Versuch, eine Website aufzurufen), muss der angegriffene Computer geeignete Ressourcen für die Bearbeitung dieser Anforderung zuweisen (z. B. Prozessor, Speicher, Netzwerkbandbreite), was bei einer sehr großen Anzahl solcher Anforderungen dazu führt die Erschöpfung der verfügbaren Ressourcen und infolgedessen eine Unterbrechung des Betriebs oder sogar eine Unterbrechung des angegriffenen Systems.
Wie schützen Sie sich vor DDoS-Angriffen?
DDoS-Angriffe sind derzeit die wahrscheinlichste Bedrohung für Unternehmen, die im Netzwerk tätig sind. Ihre Folgen gehen über den IT-Bereich hinaus, verursachen jedoch auch echte, messbare finanzielle und Imageverluste. Angriffe dieser Art entwickeln sich ständig weiter und werden immer präziser. Ihr Zweck ist es, alle verfügbaren Ressourcen der Netzwerkinfrastruktur oder der Internetverbindung zu verbrauchen.
Angebote zum Schutz vor DDoS-Angriffen finden Sie im Internet. In den meisten Fällen erfolgt die Aktivierung eines solchen Schutzes gegen DDoS-Angriffe durch Ändern der DNS-Einträge, wodurch der gesamte HTTP / HTTPS-Verkehr durch die Filterschicht geleitet wird, in der jedes Paket und jede Abfrage detailliert überprüft wird.
Erweiterte Algorithmen sowie ordnungsgemäß definierte Regeln filtern dann fehlerhafte Pakete und Angriffsversuche heraus, sodass nur reiner Datenverkehr an Ihren Server gesendet wird. Unternehmen, die vor DDoS-Angriffen schützen, verfügen über Standorte in verschiedenen Teilen der Welt, dank derer sie Angriffe an der Quelle effektiv blockieren und statische Daten aus dem nächstgelegenen Rechenzentrum bereitstellen können, wodurch die Ladezeit der Seite verkürzt wird.
DDoS-Angriff und Erpressung sind ein Verbrechen
Die Bedrohung durch einen DDoS-Angriff wird manchmal verwendet, um Unternehmen zu erpressen, z. Auktionsseiten, Maklerfirmen und ähnliches, bei denen die Unterbrechung des Transaktionssystems zu direkten finanziellen Verlusten für das Unternehmen und seine Kunden führt. In solchen Fällen fordern die Personen, die hinter dem Angriff stehen, ein Lösegeld, um den Angriff abzubrechen oder zu stoppen. Eine solche Erpressung ist ein Verbrechen.
So schützen Sie sich vor DoS / DDoS-Angriffen
In einfachen Worten, DoS-Angriffe sind eine Form böswilliger Aktivitäten, die darauf abzielen, ein Computersystem an einen Punkt zu bringen, an dem es legitimen Benutzern nicht mehr dienen oder die beabsichtigten Funktionen nicht ordnungsgemäß ausführen kann. Fehler in der Software (Software) oder eine übermäßige Belastung des Netzwerkkanals oder des gesamten Systems führen normalerweise zu einem "Denial-of-Service" -Zustand. Infolgedessen "stürzt" die Software oder das gesamte Betriebssystem der Maschine ab oder befindet sich in einem "geloopten" Zustand. Und dies droht mit Ausfallzeiten, Verlust von Besuchern / Kunden und Verlusten.
Anatomie eines DoS-Angriffs
DoS-Angriffe werden als lokal und remote klassifiziert. Zu den lokalen Exploits gehören verschiedene Exploits, Gabelbomben und Programme, die jedes Mal eine Million Dateien öffnen oder einen zirkulären Algorithmus ausführen, der Speicher- und Prozessorressourcen verbraucht. Wir werden uns nicht mit all dem befassen. Schauen wir uns die Remote-DoS-Angriffe genauer an. Sie sind in zwei Typen unterteilt:
Remote-Ausnutzung von Softwarefehlern, um sie funktionsunfähig zu machen.
Flut - Senden einer großen Anzahl bedeutungsloser (weniger oft bedeutungsvoller) Pakete an die Adresse des Opfers. Das Flutziel kann ein Kommunikationskanal oder Maschinenressourcen sein. Im ersten Fall nimmt der Paketstrom die gesamte Bandbreite ein und gibt dem angegriffenen Computer nicht die Möglichkeit, legitime Anforderungen zu verarbeiten. Im zweiten Fall werden die Ressourcen der Maschine durch wiederholte und sehr häufige Aufrufe eines Dienstes erfasst, der einen komplexen, ressourcenintensiven Vorgang ausführt. Dies kann beispielsweise ein langer Aufruf einer der aktiven Komponenten (Skripte) des Webservers sein. Der Server verwendet alle Ressourcen des Computers für die Verarbeitung der Anforderungen des Angreifers, und die Benutzer müssen warten.
In der traditionellen Version (ein Angreifer - ein Opfer) ist jetzt nur die erste Art von Angriffen wirksam. Die klassische Flut ist nutzlos. Nur weil bei der heutigen Serverbandbreite, der Rechenleistung und dem weit verbreiteten Einsatz verschiedener Anti-DoS-Techniken in Software (z. B. Verzögerungen, wenn derselbe Client wiederholt dieselben Aktionen ausführt) der Angreifer zu einer nervigen Mücke wird weder in der Lage, irgendwelche zuzufügen, noch gab es irgendwelche Schäden.
Aber wenn es Hunderte, Tausende oder sogar Hunderttausende dieser Mücken gibt, können sie den Server leicht auf seine Schulterblätter setzen. Die Menge ist eine schreckliche Kraft nicht nur im Leben, sondern auch in der Computerwelt. Ein verteilter Denial-of-Service-Angriff (DDoS), der normalerweise mit vielen zombifizierten Hosts ausgeführt wird, kann selbst den härtesten Server von der Außenwelt abschneiden.
Kontrollmethoden
Die Gefahr der meisten DDoS-Angriffe liegt in ihrer absoluten Transparenz und "Normalität". Wenn ein Softwarefehler immer korrigiert werden kann, ist der vollständige Ressourcenverbrauch fast ein häufiges Ereignis. Viele Administratoren sehen sich ihnen gegenüber, wenn die Maschinenressourcen (Bandbreite) nicht mehr ausreichen oder die Website einen Slashdot-Effekt aufweist (twitter.com wurde innerhalb von Minuten nach den ersten Nachrichten über Michael Jacksons Tod nicht mehr verfügbar). Und wenn Sie den Datenverkehr und die Ressourcen für alle in einer Reihe reduzieren, werden Sie vor DDoS gerettet, aber Sie verlieren gut die Hälfte Ihrer Kunden.
Es gibt praktisch keinen Ausweg aus dieser Situation, aber die Folgen von DDoS-Angriffen und ihre Wirksamkeit können erheblich reduziert werden, indem der Router, die Firewall und die ständige Analyse von Anomalien im Netzwerkverkehr ordnungsgemäß konfiguriert werden. Im nächsten Teil des Artikels werden wir uns Folgendes ansehen:
Möglichkeiten, einen beginnenden DDoS-Angriff zu erkennen;
Methoden zum Umgang mit bestimmten Arten von DDoS-Angriffen;
Allgemeine Ratschläge zur Vorbereitung auf einen DoS-Angriff und zur Verringerung seiner Wirksamkeit.
Ganz am Ende wird die Frage beantwortet: Was ist zu tun, als der DDoS-Angriff begann?
Kampf gegen Flutangriffe
Es gibt also zwei Arten von DoS / DDoS-Angriffen, von denen die häufigste auf der Idee der Überflutung basiert, dh der Überflutung des Opfers mit einer großen Anzahl von Paketen. Flood ist anders: ICMP-Flood, SYN-Flood, UDP-Flood und HTTP-Flood. Moderne DoS-Bots können alle diese Arten von Angriffen gleichzeitig ausführen. Sie sollten daher im Voraus auf einen angemessenen Schutz gegen jeden dieser Angriffe achten. Ein Beispiel für die Abwehr der häufigsten Angriffe.
HTTP-Flut
Eine der heute am weitesten verbreiteten Hochwassermethoden. Es basiert auf dem endlosen Senden von HTTP-GET-Nachrichten an Port 80, um den Webserver so zu laden, dass er nicht alle anderen Anforderungen verarbeiten kann. Häufig ist das Flood-Ziel nicht das Stammverzeichnis des Webservers, sondern eines der Skripts, die ressourcenintensive Aufgaben ausführen oder mit der Datenbank arbeiten. In jedem Fall dient ein ungewöhnlich schnelles Wachstum der Webserver-Protokolle als Indikator für einen begonnenen Angriff.
Zu den Methoden für den Umgang mit HTTP-Flooding gehören das Optimieren des Webservers und der Datenbank, um die Auswirkungen eines Angriffs abzuschwächen, sowie das Herausfiltern von DoS-Bots mithilfe verschiedener Techniken. Zunächst sollten Sie die maximale Anzahl von Verbindungen zur Datenbank gleichzeitig erhöhen. Zweitens installieren Sie leichtes und effizientes Nginx vor dem Apache-Webserver - es speichert Anforderungen zwischen und liefert statische Daten. Dies ist eine unverzichtbare Lösung, die nicht nur die Auswirkungen von DoS-Angriffen verringert, sondern dem Server auch ermöglicht, enormen Belastungen standzuhalten.
Bei Bedarf können Sie das nginx-Modul verwenden, das die Anzahl der gleichzeitigen Verbindungen von einer Adresse begrenzt. Ressourcenintensive Skripte können durch Verzögerungen, "Click me" -Schaltflächen, das Setzen von Cookies und andere Tricks zur Überprüfung der "Menschlichkeit" vor Bots geschützt werden.
Universelle Tipps
Um beim Zusammenbruch eines DDoS-Sturms auf Systemen nicht in eine hoffnungslose Situation zu geraten, müssen Sie diese sorgfältig auf eine solche Situation vorbereiten:
Alle Server mit direktem Zugriff auf das externe Netzwerk müssen für einen schnellen und einfachen Remote-Neustart vorbereitet sein. Ein großes Plus ist das Vorhandensein einer zweiten administrativen Netzwerkschnittstelle, über die Sie auf den Server zugreifen können, wenn der Hauptkanal verstopft ist.
Die auf dem Server verwendete Software muss immer auf dem neuesten Stand sein. Alle Löcher werden gepatcht, Updates werden installiert (einfach wie ein Boot, Ratschläge, denen viele nicht folgen). Dies schützt Sie vor DoS-Angriffen, bei denen Fehler in Diensten ausgenutzt werden.
Alle für administrative Zwecke bestimmten Überwachungsnetzwerkdienste müssen von der Firewall vor allen Personen verborgen werden, die keinen Zugriff darauf haben sollten. Dann kann der Angreifer sie nicht für DoS-Angriffe oder Brute-Force-Angriffe verwenden.
Bei der Annäherung an den Server (den nächstgelegenen Router) sollte ein Verkehrsanalysesystem installiert werden, das es ermöglicht, rechtzeitig über einen laufenden Angriff zu informieren und rechtzeitig Maßnahmen zu ergreifen, um ihn zu verhindern.
Es ist zu beachten, dass alle Techniken darauf abzielen, die Effektivität von DDoS-Angriffen zu verringern, die darauf abzielen, die Ressourcen der Maschine zu verbrauchen. Es ist fast unmöglich, sich gegen eine Flut zu verteidigen, die den Kanal mit Trümmern verstopft, und die einzig richtige, aber nicht immer praktikable Art zu kämpfen besteht darin, "dem Angriff die Bedeutung zu entziehen". Wenn Sie über einen wirklich breiten Kanal verfügen, der problemlos Datenverkehr von einem kleinen Botnetz zulässt, sollten Sie berücksichtigen, dass Ihr Server vor 90% der Angriffe geschützt ist.
Es gibt eine ausgefeiltere Verteidigung. Es basiert auf der Organisation eines verteilten Computernetzwerks, das viele redundante Server enthält, die mit verschiedenen Backbones verbunden sind. Wenn die Rechenleistung oder Bandbreite des Kanals zur Neige geht, werden alle neuen Clients auf einen anderen Server oder schrittweise umgeleitet. ""
Eine andere mehr oder weniger effektive Lösung ist der Kauf von Hardwaresystemen. Wenn sie zusammenarbeiten, können sie einen beginnenden Angriff unterdrücken, aber wie die meisten anderen Lösungen, die auf Lernen und Zustandsanalyse basieren, scheitern sie.
Es scheint begonnen zu haben. Was ist zu tun?
Vor dem sofortigen Beginn des Angriffs "erwärmen" sich die Bots und erhöhen allmählich den Paketfluss zur angegriffenen Maschine. Es ist wichtig, den Moment zu nutzen und Maßnahmen zu ergreifen. Die ständige Überwachung des mit dem externen Netzwerk verbundenen Routers hilft dabei. Auf dem Opferserver können Sie den Beginn des Angriffs anhand der verfügbaren Mittel bestimmen.