Serangan DoS dan DDoS: makna dan perbedaan. Mengapa serangan DoS dan DDoS berbahaya? Perbedaan antara dos dan ddos

Pada sistem komputasi untuk membuatnya gagal, yaitu, menciptakan kondisi di mana pengguna sistem yang sah (sah) tidak dapat mengakses sumber daya (server) yang disediakan oleh sistem, atau akses ini sulit. Kegagalan sistem "musuh" juga bisa menjadi langkah untuk menguasai sistem (jika dalam keadaan darurat perangkat lunak memberikan informasi penting - misalnya, versi, bagian dari kode program, dll.). Tetapi lebih sering itu adalah ukuran tekanan ekonomi: waktu henti layanan yang menghasilkan pendapatan, tagihan dari penyedia, dan tindakan untuk menghindari serangan secara signifikan mengenai "target" di kantong.

Jika serangan dilakukan secara bersamaan dari sejumlah besar komputer, seseorang berbicara tentang serangan DDoS(dari bahasa Inggris. Distributed Denial of Service, didistribusikan penolakan serangan layanan). Dalam beberapa kasus, tindakan yang tidak diinginkan mengarah pada serangan DDoS yang sebenarnya, misalnya, menempatkan tautan pada sumber daya Internet populer ke situs yang dihosting di server yang tidak terlalu produktif (efek garis miring). Masuknya pengguna dalam jumlah besar menyebabkan beban yang diizinkan di server terlampaui dan, akibatnya, penolakan layanan untuk beberapa dari mereka.

Jenis serangan DoS

Ada berbagai alasan mengapa kondisi DoS dapat terjadi:

  • Kesalahan dalam kode program, mengakibatkan akses ke fragmen ruang alamat yang tidak digunakan, eksekusi instruksi yang tidak valid, atau pengecualian tidak tertangani lainnya saat program server macet - program server. Contoh klasik adalah referensi berbasis nol. batal) alamat.
  • Validasi data pengguna tidak memadai, mengarah ke siklus tak terbatas atau panjang atau peningkatan konsumsi sumber daya prosesor jangka panjang (hingga habisnya sumber daya prosesor) atau alokasi RAM dalam jumlah besar (hingga habisnya memori yang tersedia).
  • banjir(Bahasa inggris) banjir- "flood", "overflow") - serangan yang terkait dengan sejumlah besar permintaan yang biasanya tidak berarti atau salah format ke sistem komputer atau peralatan jaringan, yang tujuannya atau menyebabkan kegagalan sistem karena kelelahan sumber daya sistem- prosesor, memori atau saluran komunikasi.
  • Serangan jenis kedua- serangan yang berupaya menyebabkan alarm palsu dari sistem perlindungan dan dengan demikian menyebabkan tidak tersedianya sumber daya.

Jika serangan (biasanya banjir) dilakukan bersamaan dengan jumlah yang besar Alamat IP - dari beberapa komputer yang tersebar di jaringan - dalam hal ini disebut didistribusikan penolakan serangan layanan ( DDoS).

Eksploitasi bug

Mengeksploitasi nama program, potongan kode program, atau urutan perintah program yang mengeksploitasi kerentanan di perangkat lunak dan digunakan untuk menyerang sistem cyber. Dari eksploitasi yang mengarah pada serangan DoS, tetapi tidak cocok, misalnya, untuk menguasai sistem "musuh", yang paling terkenal adalah WinNuke dan Ping kematian (Ping kematian).

banjir

Untuk banjir sebagai pelanggaran netiket, lihat banjir.

banjir panggil aliran besar permintaan yang tidak berarti dengan komputer yang berbeda untuk menempati sistem "musuh" (prosesor, RAM atau saluran komunikasi) dengan pekerjaan dan dengan demikian menonaktifkannya untuk sementara. Konsep “DDoS attack” hampir sama dengan konsep “flood”, dan dalam kehidupan sehari-hari keduanya sering dipertukarkan (“flood the server” = “DDoS’it the server”).

Untuk membuat banjir bisa digunakan seperti biasa utilitas jaringan seperti ping (ini dikenal, misalnya, komunitas Internet " Upyachka"), dan program khusus. Kemungkinan DDoS sering "dijahit" di botnet. Jika kerentanan skrip lintas situs atau kemampuan untuk menyertakan gambar dari sumber lain ditemukan di situs dengan lalu lintas tinggi, situs ini juga dapat digunakan untuk serangan DDoS.

Saluran komunikasi dan banjir subsistem TCP

Setiap komputer yang terhubung ke dunia luar melalui protokol TCP/IP, tunduk pada jenis banjir berikut:

  • Banjir SYN - dengan jenis serangan banjir ini, sejumlah besar paket SYN dikirim ke node yang diserang melalui protokol TCP (permintaan untuk membuka koneksi). Pada saat yang sama, setelah beberapa saat, jumlah soket yang tersedia untuk dibuka (soket jaringan perangkat lunak, port) habis di komputer yang diserang, dan server berhenti merespons.
  • Banjir UDP - banjir jenis ini tidak menyerang komputer target, tetapi saluran komunikasinya. Penyedia cukup berasumsi bahwa paket UDP harus dikirimkan terlebih dahulu, sementara TCP bisa menunggu. Sejumlah besar paket UDP dengan ukuran berbeda menyumbat saluran komunikasi, dan server yang menjalankan protokol TCP berhenti merespons.
  • Banjir ICMP - hal yang sama, tetapi dengan bantuan paket ICMP.

Banjir lapisan aplikasi

Banyak layanan dirancang sedemikian rupa sehingga permintaan kecil dapat menyebabkan biaya yang besar. daya komputasi di server. Dalam hal ini, bukan saluran komunikasi atau subsistem TCP yang diserang, tetapi layanan (layanan) itu sendiri - banjir permintaan yang "sakit". Misalnya, server web rentan terhadap banjir HTTP - baik GET sederhana / atau kueri basis data kompleks seperti GET /index.php?search= dapat digunakan untuk menonaktifkan server web<случайная строка> .

Deteksi serangan DoS

Ada pendapat bahwa alat khusus untuk mendeteksi serangan DoS tidak diperlukan, karena fakta serangan DoS tidak dapat diabaikan. Dalam banyak kasus ini benar. Namun, serangan DoS yang berhasil diamati cukup sering, yang diketahui oleh para korban hanya setelah 2-3 hari. Kebetulan konsekuensi negatif dari serangan ( banjir-serangan) mengakibatkan biaya berlebihan untuk membayar kelebihan lalu lintas Internet, yang baru diketahui saat menerima faktur dari penyedia Internet. Selain itu, banyak metode deteksi intrusi yang tidak efektif di dekat target serangan, tetapi efektif pada tulang punggung jaringan. Dalam hal ini, disarankan untuk menginstal sistem deteksi tepat di sana, dan tidak menunggu sampai pengguna yang diserang menyadarinya sendiri dan mencari bantuan. Selain itu, untuk menangkal serangan DoS secara efektif, perlu diketahui jenis, sifat, dan karakteristik lain dari serangan DoS, dan sistem deteksi memungkinkan untuk mendapatkan informasi ini dengan cepat.

Metode deteksi serangan DoS dapat dibagi menjadi beberapa kelompok besar:

  • signature - berdasarkan analisis lalu lintas kualitatif.
  • statistik - berdasarkan analisis kuantitatif lalu lintas.
  • hybrid (gabungan) - menggabungkan keunggulan kedua metode di atas.

perlindungan DoS

Tindakan untuk melawan serangan DoS dapat dibagi menjadi pasif dan aktif, serta preventif dan reaktif.

Di bawah ini adalah daftar singkat metode utama.

  • Pencegahan. Pencegahan alasan yang mendorong individu tertentu untuk mengatur dan melakukan serangan DoS. (Seringkali, serangan dunia maya pada umumnya merupakan hasil dari keluhan pribadi, ketidaksepakatan politik, agama, dan lainnya, perilaku provokatif korban, dll.)
  • Penyaringan dan blackholing. Memblokir lalu lintas dari mesin yang menyerang. Efektivitas metode ini berkurang saat Anda semakin dekat dengan objek serangan dan meningkat saat Anda semakin dekat dengan mesin penyerang.
  • Membalikkan DDOS- mengarahkan lalu lintas yang digunakan untuk serangan ke penyerang.
  • Penghapusan kerentanan. Tidak bekerja melawan banjir-serangan yang "kerentanan" adalah keterbatasan sumber daya sistem tertentu.
  • Meningkatkan sumber daya. Secara alami, ini tidak memberikan perlindungan mutlak, tetapi merupakan latar belakang yang baik untuk menerapkan jenis perlindungan lain terhadap serangan DoS.
  • Bubaran. Membangun sistem terdistribusi dan duplikasi yang tidak akan berhenti melayani pengguna, bahkan jika beberapa elemennya menjadi tidak tersedia karena serangan DoS.
  • Penghindaran. Memindahkan target langsung serangan (nama domain atau alamat IP) menjauh dari sumber daya lain yang sering juga terpengaruh bersamaan dengan target langsung serangan.
  • Respon aktif. Dampak pada sumber, penyelenggara atau pusat kendali serangan, baik dengan cara buatan manusia maupun organisasi dan hukum.
  • Menggunakan peralatan untuk menangkis serangan DoS. Misalnya DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® dan pabrikan lainnya.
  • Akuisisi layanan untuk melindungi dari serangan DoS. Sebenarnya jika melebihi bandwidth saluran jaringan oleh banjir.

Lihat juga

Catatan

literatur

  • Chris Kaspersky Virus komputer di dalam dan di luar. - Petrus. - St.Petersburg. : Peter, 2006.-S.527.-ISBN 5-469-00982-3
  • Stephen Northcutt, Mark Cooper, Matt Fearnow, Karen Frederik. Analisis pelanggaran keamanan tipikal dalam jaringan = Tanda Tangan dan Analisis Intrusi. - New Riders Publishing (Bahasa Inggris) St.
  • Morris, R.T.= Kelemahan pada Software 4.2BSD Unix TCP/IP. - Laporan Teknis Ilmu Komputer No.117. - Laboratorium AT&T Bell, Februari 1985.
  • Bellovin, S.M.= Masalah Keamanan di TCP/IP protocol Suite. - Tinjauan Komunikasi Komputer, Vol. 19, No.2. - AT&T Bell Laboratories, April 1989.
  • = daemon9 / route / infinity "IP-spooling Demystified: Trust Realationship Exploitation". - Majalah Phrack, Vol.7, Edisi 48. - Guild Production, Juli 1996.
  • = daemon9 / route / infinity "Proyek Neptunus". - Majalah Phrack, Vol.7, Edisi 48. - Guild Production, Juli 1996.

Tautan

  • serangan DoS di Direktori Tautan Proyek Direktori Terbuka (

Baru-baru ini, kami dapat memastikan bahwa serangan DDoS adalah senjata yang cukup kuat ruang informasi. Dengan bantuan serangan DDoS berkekuatan tinggi, Anda tidak hanya dapat menonaktifkan satu atau beberapa situs, tetapi juga mengganggu pengoperasian seluruh segmen jaringan atau bahkan menonaktifkan Internet di negara kecil. Saat ini, serangan DDoS semakin sering terjadi dan kekuatannya semakin meningkat setiap saat.

Tapi apa inti dari serangan seperti itu? Apa yang terjadi di jaringan saat dieksekusi, dari mana ide untuk melakukan ini berasal dan mengapa begitu efektif? Anda akan menemukan jawaban untuk semua pertanyaan ini di artikel kami hari ini.

DDoS atau penolakan layanan terdistribusi (split denial of service) adalah serangan terhadap komputer tertentu di jaringan, yang menyebabkannya, dengan kelebihan muatan, tidak menanggapi permintaan dari pengguna lain.

Untuk memahami apa arti serangan ddos, bayangkan situasinya: server web memberikan halaman situs kepada pengguna, katakanlah butuh setengah detik untuk membuat halaman dan mentransfernya sepenuhnya ke komputer pengguna, maka server kami akan menjadi dapat bekerja secara normal pada frekuensi dua permintaan per detik. Jika ada lebih banyak permintaan seperti itu, permintaan tersebut akan diantrekan dan diproses segera setelah server web kosong. Semua permintaan baru ditambahkan ke akhir antrian. Sekarang mari kita bayangkan ada banyak permintaan, dan kebanyakan dari mereka hanya membebani server ini.

Jika tingkat kedatangan permintaan baru melebihi tingkat pemrosesan, maka seiring waktu, antrian permintaan akan menjadi sangat panjang sehingga permintaan baru tidak lagi diproses. Ini adalah prinsip utama serangan ddos. Sebelumnya, permintaan semacam itu dikirim dari satu alamat IP dan ini disebut serangan denial of service - Dead-of-Service, sebenarnya ini adalah jawaban untuk pertanyaan apa itu dos. Tetapi serangan semacam itu dapat ditangani secara efektif hanya dengan menambahkan alamat ip sumber atau beberapa ke daftar blokir, terlebih lagi, beberapa perangkat, karena keterbatasan bandwidth jaringan, secara fisik tidak dapat menghasilkan jumlah paket yang cukup untuk membebani server yang serius.

Oleh karena itu, kini serangan dilakukan langsung dari jutaan perangkat. Kata Distribed ditambahkan ke penamaan, didistribusikan, ternyata - DDoS. Satu per satu, perangkat ini tidak berarti apa-apa, dan mungkin memiliki koneksi internet dengan tidak terlalu kecepatan tinggi, tetapi ketika mereka semua mulai mengirim permintaan ke server yang sama pada waktu yang sama, mereka dapat mencapai kecepatan total hingga 10 Tb / dtk. Dan ini sudah menjadi indikator yang cukup serius.

Masih harus mencari tahu di mana penyerang mengambil begitu banyak perangkat untuk melakukan serangan mereka. dia komputer konvensional, atau berbagai perangkat IoT yang dapat diakses penyerang. Bisa apa saja, camcorder dan router dengan firmware yang sudah lama tidak diperbarui, perangkat kontrol, dan komputer biasa pengguna yang entah bagaimana telah terjangkit virus dan tidak menyadari keberadaannya atau tidak terburu-buru untuk menghapusnya.

Jenis serangan DDoS

Ada dua jenis utama serangan DDoS, satu berfokus pada membebani program tertentu dan serangan yang ditujukan untuk membebani tautan jaringan itu sendiri ke komputer target.

Serangan terhadap beban berlebih suatu program disebut juga serangan pada 7 (dalam model jaringan osi, ada tujuh level dan yang terakhir adalah level aplikasi individual). Penyerang menyerang program yang menggunakan banyak sumber daya server dengan mengirimkan permintaan dalam jumlah besar. Pada akhirnya, program tidak punya waktu untuk memproses semua koneksi. Ini adalah jenis yang kita bahas di atas.

Serangan DoS pada saluran Internet membutuhkan lebih banyak sumber daya, tetapi jauh lebih sulit untuk dihadapi. Jika kita analogikan dengan osi, maka ini adalah serangan pada level 3-4 yaitu pada channel atau protokol transfer data. Faktanya adalah bahwa setiap koneksi Internet memiliki batas kecepatannya sendiri yang dengannya data dapat dikirim melaluinya. Jika ada banyak data, maka perangkat keras jaringan dengan cara yang sama seperti program, itu akan mengantri mereka untuk transmisi, dan jika jumlah data dan kecepatan kedatangannya jauh melebihi kecepatan saluran, maka itu akan kelebihan beban. Kecepatan transfer data dalam kasus seperti itu dapat dihitung dalam gigabyte per detik. Misalnya, dalam kasus negara kecil Liberia yang terputus dari Internet, kecepatan transfer data mencapai 5 Tb / s. Namun, 20-40 Gb/s sudah cukup untuk membanjiri sebagian besar infrastruktur jaringan.

Asal serangan DDoS

Di atas, kami melihat apa itu serangan DDoS, serta metode serangan DDoS, saatnya beralih ke asalnya. Pernahkah Anda bertanya-tanya mengapa serangan ini begitu efektif? Mereka didasarkan pada strategi militer yang telah dikembangkan dan diuji selama beberapa dekade.

Secara umum, banyak pendekatan untuk informasi keamanan berdasarkan strategi militer masa lalu. Ada virus Trojan yang menyerupai pertempuran kuno untuk Troy, ransomware yang mencuri file Anda untuk mendapatkan uang tebusan, dan serangan DDoS yang membatasi sumber daya musuh. Dengan membatasi pilihan musuh, Anda mendapatkan kendali atas tindakan selanjutnya. Taktik ini bekerja sangat baik untuk kedua ahli strategi militer. dan untuk penjahat dunia maya.

Dalam kasus strategi militer, kita dapat dengan mudah memikirkan jenis sumber daya yang dapat dibatasi untuk membatasi kemampuan musuh. Membatasi air, makanan, dan bahan bangunan hanya akan menghancurkan musuh. Dengan komputer, semuanya berbeda, ada berbagai layanan, misalnya DNS, server web, server Surel. Semuanya memiliki infrastruktur yang berbeda, namun ada yang menyatukannya. Ini adalah jaringan. Tanpa jaringan, Anda tidak akan dapat mengakses layanan jarak jauh.

Panglima perang dapat meracuni air, membakar tanaman, dan mendirikan pos pemeriksaan. Penjahat dunia maya dapat mengirim data yang tidak valid ke layanan, memaksanya menghabiskan semua memori, atau membebani seluruh saluran jaringan sepenuhnya. Strategi pertahanan juga memiliki akar yang sama. Administrator server harus memantau lalu lintas masuk untuk menemukan lalu lintas berbahaya dan memblokirnya sebelum mencapai saluran atau program jaringan target.

temuan

Serangan DDoS menjadi lebih umum dan lebih kuat setiap saat. Artinya, layanan yang kita gunakan akan semakin diserang. Salah satu cara kami dapat mengurangi jumlah serangan adalah memastikan perangkat kami tidak terinfeksi virus apa pun dan menerima pembaruan tepat waktu. Sekarang Anda tahu apa itu serangan DDoS dan mengetahui dasar-dasar perlindungan, di salah satu artikel berikut kita akan melihat poin terakhir lebih detail.

Sebagai kesimpulan, saya menawarkan kuliah tentang serangan DDoS:

Serangan DoS dan DDoS adalah dampak eksternal yang agresif pada sumber daya komputasi server atau workstation, yang dilakukan untuk membuat yang terakhir gagal. Yang kami maksud dengan kegagalan bukanlah kegagalan fisik mesin, tetapi ketidaktersediaan sumber dayanya untuk pengguna yang teliti - kegagalan sistem untuk melayani mereka ( D enial Hai f S layanan, dari mana singkatan DoS dibentuk).

Jika serangan semacam itu dilakukan dari satu komputer, itu diklasifikasikan sebagai DoS (DoS), jika dari beberapa - DDoS (DDoS atau DDoS), yang artinya "D diterbitkan D enial Hai f S layanan" - penolakan layanan terdistribusi. Selanjutnya, kita akan berbicara tentang mengapa penyerang melakukan tindakan seperti itu, apa itu, kerugian apa yang mereka timbulkan pada penyerang, dan bagaimana yang terakhir melindungi sumber daya mereka.

Siapa yang dapat terpengaruh oleh serangan DoS dan DDoS

Server perusahaan perusahaan dan situs web terkena serangan, apalagi - komputer pribadi individu. Tujuan dari tindakan tersebut, sebagai suatu peraturan, adalah sama - untuk menimbulkan kerugian ekonomi pada orang yang diserang dan pada saat yang sama tetap berada dalam bayang-bayang. Dalam beberapa kasus, serangan DoS dan DDoS adalah salah satu tahapan peretasan server dan ditujukan untuk mencuri atau menghancurkan informasi. Padahal, sebuah perusahaan atau website milik siapa saja bisa menjadi korban penyerang.

Diagram yang menggambarkan inti dari serangan DDoS:

Serangan DoS dan DDoS paling sering dilakukan atas saran dari pesaing yang tidak jujur. Jadi, dengan "mengisi" situs web toko online yang menawarkan produk serupa, Anda bisa menjadi "monopoli" untuk sementara dan mengambil pelanggannya sendiri. Dengan "meletakkan" server perusahaan, Anda dapat mengganggu pekerjaan perusahaan pesaing dan dengan demikian mengurangi posisinya di pasar.

Serangan skala besar yang dapat menyebabkan kerusakan signifikan biasanya dilakukan oleh penjahat dunia maya profesional untuk mendapatkan banyak uang. Tapi tidak selalu. Peretas amatir rumahan dapat menyerang sumber daya Anda - karena minat, dan pembalas dendam dari antara karyawan yang diberhentikan, dan hanya mereka yang tidak memiliki pandangan yang sama tentang kehidupan.

Terkadang dampaknya dilakukan untuk tujuan pemerasan, sementara penyerang secara terbuka meminta uang dari pemilik sumber daya untuk menghentikan serangan.

Server perusahaan negara dan organisasi terkenal sering diserang oleh kelompok anonim peretas yang sangat terampil untuk memengaruhi pejabat atau menimbulkan kemarahan publik.

Bagaimana serangan dilakukan

Prinsip operasi serangan DoS dan DDoS adalah mengirim aliran besar informasi ke server, yang, secara maksimal (sejauh kemampuan peretas memungkinkan), memuat sumber daya komputasi prosesor, RAM, menyumbat saluran komunikasi atau mengisi ruang disk. Mesin yang diserang tidak dapat mengatasi pemrosesan data yang masuk dan berhenti merespons permintaan pengguna.

Beginilah tampilan operasi normal server, yang divisualisasikan dalam program Logstalgia:

Efektivitas serangan DOS tunggal tidak terlalu tinggi. Selain itu, serangan dari komputer pribadi membuat penyerang berisiko teridentifikasi dan tertangkap. Serangan terdistribusi (DDoS) yang dilakukan dari apa yang disebut jaringan zombie atau botnet memberikan lebih banyak keuntungan.

Beginilah situs web Norse-corp.com menampilkan aktivitas botnet:

Jaringan zombie (botnet) adalah sekelompok komputer yang tidak memiliki koneksi fisik satu sama lain. Mereka dipersatukan oleh fakta bahwa mereka semua berada di bawah kendali penyerang. Kontrol dilakukan melalui Trojan, yang untuk saat ini mungkin tidak memanifestasikan dirinya dengan cara apa pun. Saat melakukan serangan, peretas menginstruksikan komputer yang terinfeksi untuk mengirim permintaan ke situs web atau server korban. Dan dia, tidak mampu menahan serangan itu, berhenti merespons.

Beginilah cara Logstalgia menunjukkan serangan DDoS:

Setiap komputer dapat bergabung dengan botnet. Dan bahkan smartphone. Cukup menangkap Trojan dan tidak mendeteksinya tepat waktu. Omong-omong, botnet terbesar berjumlah hampir 2 juta mesin di seluruh dunia, dan pemiliknya tidak tahu apa yang harus mereka lakukan.

Metode serangan dan pertahanan

Sebelum melancarkan serangan, peretas mengetahui cara melakukannya dengan efek maksimal. Jika node yang diserang memiliki beberapa kerentanan, dampaknya dapat dilakukan ke arah yang berbeda, yang akan sangat mempersulit penanggulangan. Oleh karena itu, penting bagi setiap administrator server untuk mempelajari semua "kemacetan" dan, jika mungkin, memperkuatnya.

banjir

Flud, secara sederhana, adalah informasi yang tidak membawa beban semantik. Dalam konteks serangan DoS / DDoS, banjir adalah longsoran permintaan kosong dan tidak berarti dari satu tingkat atau lainnya yang terpaksa diproses oleh node penerima.

Tujuan utama penggunaan flooding adalah untuk menyumbat saluran komunikasi sepenuhnya, untuk menjenuhkan bandwidth secara maksimal.

Jenis flud:

  • Banjir MAC - berdampak pada komunikator jaringan (pemblokiran port oleh aliran data).
  • Banjir ICMP - membanjiri korban dengan permintaan gema layanan menggunakan jaringan zombie atau mengirim permintaan "atas nama" host yang diserang sehingga semua anggota botnet secara bersamaan mengirimkan respons gema (serangan Smurf). Kasus khusus banjir ICMP adalah banjir ping (mengirim permintaan ping ke server).
  • Banjir SYN - mengirim banyak permintaan SYN ke korban, membanjiri antrian koneksi TCP dengan membuat sejumlah besar koneksi setengah terbuka (menunggu konfirmasi klien).
  • Banjir UDP - bekerja sesuai dengan skema serangan Smurf, di mana datagram UDP dikirim sebagai pengganti paket ICMP.
  • Banjir HTTP - membanjiri server dengan banyak pesan HTTP. Opsi yang lebih canggih adalah banjir HTTPS, di mana data yang dikirimkan dienkripsi sebelumnya, dan sebelum node yang diserang memprosesnya, ia harus mendekripsinya.


Bagaimana melindungi diri dari banjir

  • Konfigurasikan sakelar jaringan untuk memvalidasi dan memfilter alamat MAC.
  • Batasi atau nonaktifkan pemrosesan permintaan gema ICMP.
  • Blokir paket yang datang dari alamat atau domain tertentu, yang memberikan alasan untuk mencurigainya tidak dapat diandalkan.
  • Tetapkan batas jumlah koneksi setengah terbuka dengan satu alamat, kurangi waktu penyimpanannya, perpanjang antrian koneksi TCP.
  • Nonaktifkan layanan UDP agar tidak menerima lalu lintas dari luar, atau batasi jumlah koneksi UDP.
  • Gunakan CAPTCHA, penundaan, dan teknik perlindungan bot lainnya.
  • Meningkatkan jumlah maksimum Koneksi HTTP, konfigurasikan caching permintaan dengan nginx.
  • Perluas bandwidth saluran jaringan.
  • Jika memungkinkan, alokasikan server terpisah untuk memproses kriptografi (jika digunakan).
  • Buat saluran cadangan untuk akses administratif ke server dalam situasi darurat.

Membebani sumber daya perangkat keras

Ada jenis banjir yang tidak memengaruhi saluran komunikasi, tetapi sumber daya perangkat keras komputer yang diserang, memuatnya secara maksimal dan menyebabkan macet atau macet. Sebagai contoh:

  • Membuat skrip yang akan diposting di forum atau situs web tempat pengguna memiliki kesempatan untuk meninggalkan komentar, sejumlah besar informasi tekstual yang tidak berarti hingga semua ruang disk terisi.
  • Sama, hanya log server yang akan mengisi drive.
  • Memuat situs tempat beberapa jenis transformasi data yang dimasukkan dilakukan dengan pemrosesan terus menerus dari data ini (mengirim apa yang disebut paket "berat").
  • Memuat prosesor atau memori dengan mengeksekusi kode melalui antarmuka CGI (dukungan CGI memungkinkan Anda menjalankan beberapa program eksternal di server).
  • Memicu sistem keamanan yang membuat server tidak dapat diakses dari luar, dll.


Bagaimana melindungi diri Anda dari kelebihan sumber daya perangkat keras

  • Tingkatkan kinerja perangkat keras dan ruang disk. Saat server berjalan dalam mode normal, setidaknya 25-30% sumber daya harus tetap gratis.
  • Aktifkan analisis lalu lintas dan sistem pemfilteran sebelum mengirimkannya ke server.
  • Batasi penggunaan sumber daya perangkat keras oleh komponen sistem (tetapkan kuota).
  • Simpan file log server di drive terpisah.
  • Mendistribusikan sumber daya di beberapa server independen. Sehingga jika satu bagian gagal, bagian lainnya tetap beroperasi.

Kerentanan dalam sistem operasi, perangkat lunak, firmware perangkat

Ada lebih banyak pilihan untuk melakukan serangan seperti itu daripada menggunakan banjir. Implementasinya bergantung pada keterampilan dan pengalaman penyerang, kemampuannya untuk menemukan kesalahan dalam kode program dan menggunakannya untuk keuntungannya sendiri dan merugikan pemilik sumber daya.

Setelah seorang peretas menemukan kerentanan (bug dalam perangkat lunak yang dapat digunakan untuk mengganggu sistem), ia hanya perlu membuat dan menjalankan eksploit - program yang mengeksploitasi kerentanan ini.

Eksploitasi kerentanan tidak selalu dimaksudkan hanya untuk menyebabkan penolakan layanan. Jika peretas beruntung, dia akan dapat menguasai sumber daya dan membuang "hadiah takdir" ini atas kebijakannya sendiri. Misalnya, gunakan untuk mendistribusikan malware, mencuri dan menghancurkan informasi, dll.

Metode untuk melawan eksploitasi kerentanan dalam perangkat lunak

  • Instal pembaruan tepat waktu yang menutup kerentanan sistem operasi dan aplikasi.
  • Isolasi dari akses pihak ketiga semua layanan yang dirancang untuk menyelesaikan tugas administratif.
  • Gunakan alat untuk terus memantau pengoperasian OS dan program server (analisis perilaku, dll.).
  • Tolak program yang berpotensi rentan (gratis, ditulis sendiri, jarang diperbarui) demi program yang terbukti dan terlindungi dengan baik.
  • Gunakan cara yang sudah jadi untuk melindungi sistem dari serangan DoS dan DDoS, yang ada baik dalam bentuk perangkat keras maupun sistem perangkat lunak.

Cara menentukan apakah suatu sumber daya telah diserang oleh peretas

Jika penyerang berhasil mencapai tujuan, tidak mungkin untuk tidak memperhatikan serangan tersebut, tetapi dalam beberapa kasus administrator tidak dapat menentukan dengan tepat kapan serangan itu dimulai. Artinya, dari awal serangan hingga gejala yang terlihat, terkadang beberapa jam berlalu. Namun, selama dampak laten (sampai server "berbaring"), tanda-tanda tertentu juga muncul. Sebagai contoh:

  • Perilaku tidak wajar dari aplikasi server atau sistem operasi(hang, crash, dll).
  • beban CPU, RAM dan kapasitas penyimpanan meningkat tajam dibandingkan level awal.
  • Volume lalu lintas di satu atau lebih port meningkat secara signifikan.
  • Ada permintaan berulang kali dari klien ke sumber daya yang sama (membuka satu halaman situs, mengunduh file yang sama).
  • Analisis log server, firewall, dan perangkat jaringan menunjukkan sejumlah besar permintaan berulang dari berbagai alamat, seringkali diarahkan ke port atau layanan tertentu. Terutama jika situs tersebut difokuskan pada audiens yang sempit (misalnya, berbahasa Rusia), dan permintaan datang dari seluruh dunia. Pada saat yang sama, analisis lalu lintas kualitatif menunjukkan bahwa permintaan tidak masuk akal secara praktis bagi pelanggan.

Semua hal di atas bukanlah 100% tanda serangan, tetapi selalu menjadi alasan untuk memperhatikan masalah dan mengambil tindakan perlindungan yang sesuai.

serangan DoS adalah serangan yang menyebabkan kelumpuhan server atau komputer pribadi karena banyaknya permintaan yang tiba dengan kecepatan tinggi ke sumber daya yang diserang. Jika serangan semacam itu dilakukan secara bersamaan dari sejumlah besar komputer, maka dalam hal ini kita berbicara tentang serangan DDoS.

DoS- Kegagalan layanan- serangan terhadap "denial of service". Serangan ini dapat dilakukan dengan dua cara. Dengan metode pertama Serangan DoS menggunakan kerentanan pada perangkat lunak yang diinstal pada komputer yang diserang. Menggunakan kerentanan seperti itu di komputer, Anda dapat menyebabkan kesalahan kritis tertentu yang akan menyebabkan pelanggaran sistem.

Pada metode kedua, serangan dilakukan dengan mengirimkan sejumlah besar paket informasi secara bersamaan ke komputer yang diserang. Menurut prinsip transfer data antar komputer dalam jaringan, setiap paket informasi yang dikirim oleh satu komputer ke komputer lainnya diproses untuk beberapa waktu tertentu.

Jika pada saat yang sama permintaan lain tiba di komputer, maka paket memasuki "antrian" dan menempati sejumlah sumber daya fisik sistem. Oleh karena itu, jika sejumlah besar permintaan dikirim ke komputer pada saat yang sama, beban yang berlebihan akan menyebabkan komputer "hang" atau terputus dari Internet dalam keadaan darurat. Inilah yang dibutuhkan oleh penyelenggara serangan DoS.

Serangan DDoS adalah jenis serangan DoS. Distributed Denial of Service- "penolakan layanan terdistribusi" - diatur menggunakan sejumlah besar komputer, yang karenanya server dapat diserang bahkan dengan bandwidth saluran Internet yang sangat besar.

Terkadang efek serangan DDoS "bekerja" secara tidak sengaja. Ini terjadi jika, misalnya, tautan ditempatkan di situs yang terletak di server di sumber daya Internet yang populer. Hal ini menyebabkan lonjakan besar dalam lalu lintas situs ( efek titik percikan), yang bekerja di server dengan cara yang mirip dengan serangan DDoS.

Serangan DDoS, tidak seperti serangan DoS sederhana, paling sering dilakukan untuk keuntungan komersial, karena ratusan ribu komputer diperlukan untuk mengatur serangan DDoS, dan tidak semua orang mampu membayar biaya material dan waktu yang begitu besar. Untuk mengatur serangan DDoS, penyerang menggunakan jaringan komputer khusus - botnet.

Botnet adalah jaringan komputer yang terinfeksi jenis virus tertentu. "zombie". Penyerang dapat mengontrol setiap komputer tersebut dari jarak jauh, tanpa sepengetahuan pemilik komputer. Dengan bantuan virus atau program yang dengan terampil menyamar sebagai "konten bermanfaat", kode program berbahaya dipasang di komputer korban, yang tidak dikenali oleh antivirus dan beroperasi dalam "mode siluman". Pada saat yang tepat, atas perintah pemilik botnet, program semacam itu diaktifkan dan mulai mengirimkan permintaan ke server yang diserang.

Saat melakukan serangan DDoS, penyerang sering menggunakan "Kluster DDoS"- arsitektur tiga tingkat khusus dari jaringan komputer. Struktur ini berisi satu atau lebih konsol kontrol, dari mana sinyal tentang serangan DDoS dikirim langsung.

Sinyal ditransmisikan ke komputer utama- "tautan transmisi" antara konsol kontrol dan komputer agen. Agen Ini adalah komputer yang langsung menyerang server dengan permintaan mereka. Baik komputer induk maupun komputer agen, pada umumnya, adalah "zombie", mis. pemiliknya tidak tahu bahwa mereka adalah peserta serangan DDoS.

Metode perlindungan terhadap serangan DDoS berbeda tergantung dari jenis serangan itu sendiri. Serangan DDoS termasuk jenis berikut:

Banjir UDP - serangan dengan mengirimkan banyak paket UDP ke alamat "korban"; Banjir TCP - serangan dengan mengirimkan banyak paket TCP ke alamat "korban"; Banjir TCP SYN - serangan dengan mengirimkan sejumlah besar permintaan untuk menginisialisasi koneksi TCP; Banjir ICMP - serangan karena permintaan ping ICMP.

Penyerang dapat menggabungkan ini dan jenis serangan DDoS lainnya, yang membuat serangan semacam itu semakin berbahaya dan sulit dihilangkan.

Sayangnya, tidak ada metode perlindungan universal terhadap serangan DDoS. Tetapi mengikuti beberapa aturan umum akan membantu mengurangi risiko serangan DDoS atau menangani konsekuensinya seefektif mungkin.

Jadi, untuk mencegah serangan DDoS, perlu untuk terus memantau penghapusan kerentanan dalam perangkat lunak yang digunakan, menambah sumber daya, dan membubarkannya. Pastikan untuk menginstal setidaknya paket perangkat lunak perlindungan DDoS minimum di komputer Anda. Ini bisa berupa firewall biasa (firewall) dan program anti-DDoS khusus. Untuk mendeteksi serangan DDoS, perangkat lunak khusus dan sistem perangkat keras harus digunakan.

Tujuan serangan DDoS dapat berupa memblokir proyek pesaing atau sumber daya populer, atau untuk mendapatkan kendali penuh atas sistem. Saat mempromosikan situs, perlu diperhatikan bahwa kondisi DoS terjadi karena alasan berikut:

  • karena kesalahan dalam kode program yang menyebabkan eksekusi instruksi yang tidak valid, akses ke bagian ruang alamat yang tidak terpakai, dll.;
  • karena validasi data pengguna yang tidak mencukupi, yang dapat menyebabkan siklus panjang (atau tak terbatas), peningkatan konsumsi sumber daya prosesor, kehabisan memori, dll.;
  • karena banjir - serangan eksternal melalui sejumlah besar permintaan yang salah bentuk atau tidak berarti ke server. Ada banjir subsistem TCP, saluran komunikasi, dan lapisan aplikasi
  • karena pengaruh eksternal, yang tujuannya adalah untuk menyebabkan alarm palsu sistem perlindungan dan, sebagai akibatnya, menyebabkan tidak tersedianya sumber daya.

Perlindungan

Serangan DDoS membuatnya lebih sulit, karena jika server mati dalam waktu yang cukup lama, halaman keluar dari indeks. Untuk mendeteksi ancaman, tanda tangan, metode statistik dan hibrid digunakan. Yang pertama didasarkan pada analisis kualitatif, yang terakhir pada analisis kuantitatif, dan yang ketiga menggabungkan keunggulan metode sebelumnya. Penanggulangan bersifat pasif dan aktif, preventif dan reaksioner. Metode berikut terutama digunakan:

  • penghapusan alasan pribadi dan sosial yang mendorong orang untuk mengatur serangan DDoS,
  • blackholing dan penyaringan lalu lintas,
  • penghapusan kerentanan kode selama Optimisasi Mesin Pencari lokasi,
  • meningkatkan sumber daya server, membangun sistem duplikat dan terdistribusi untuk layanan cadangan pengguna,
  • dampak teknis dan organisasi-hukum pada penyelenggara, sumber atau pusat kendali serangan,
  • pemasangan peralatan untuk menangkis serangan DDoS (Arbor Peakflow®, DefensePro®, dll.),
  • pembelian server khusus untuk hosting situs web.


ARTIKEL TERKAIT