Cyber-forbrytelser har steget sent, med ransomware-angrep (WannaCry, NotPetya), hackede databaser (Equifax, Sony, Yahoo) og programvare bakdører (Floxif / CCleaner, ShadowPad / NetSarang) som gjør overskrifter ofte. Mens omfanget og rekkevidden til disse angrepene er forbløffende, er faktum at cyberkriminelle ikke bare er begrenset til å stjele data, identitet eller penger. Omfanget av forbrytelser i den virtuelle verden er like stort som det er i den virkelige verden, om ikke mer. En type cyber-angrep som har vært i fokus for sent er DDoS, eller distribuert denial-of-service som ofte har delt hvite hat-hacker-fellesskapet gjennom årene. Med den ledende CDN-leverandøren Cloudflare, som nå annonserer gratis DDoS-beskyttelse for alle sine kunder, har den gamle debatten om "etisk" DDoS mot ondskapsfull DDoS igjen startet, med begge sider kommet ut i full støtte av deres respektive argumenter. Med debatten om DDoS-angrep som raser over hele internett, la oss se nærmere på fenomenet i dag for å ikke bare lære mer om det, men også for å prøve å forstå hvorfor hacktivister og fredsforhandlingsgrupper fortsetter å mislykkes i deres innsats for å komme til enighet om det i første omgang:
Hva er DDoS og hvordan fungerer det?
I det enkleste av vilkårene er et distribuert denial-of-service (DDoS) -angrep et forsøk på kunstig å forstyrre normal drift av et nettsted eller nettverk ved å oversvømme målserveren med en overveldende mengde trafikk som enten senker eller krasjer nettverket helt . Dette oppnås ved å bruke flere kompromitterte systemer som en del av det som kalles "botnet", som kan inkludere en hvilken som helst nettilkoblet enhet, inkludert, men ikke begrenset til, datamaskiner, smarttelefoner og IoT-enheter. Blackhat-hackere og hacktivister bruker ulike sofistikerte verktøy for å utføre disse angrepene ved ikke bare å oversvømme målserverne med en uvanlig mengde trafikk, men også ved å bruke mer subtile og vanskelig å oppdage infiltrasjonsteknikker som målretter kritisk nettverkssikkerhet infrastruktur, for eksempel brannmurer og IDS / IPS (Intrusion Detection / Prevention System).
Hva er DoS og hvordan er det forskjellig fra DDoS?
Denial-of-Service (DoS) angrep er akkurat det det høres ut, for så vidt det forhindrer lovlige brukere i å få tilgang til målrettede servere, systemer eller andre nettverksressurser. Som det er tilfelle med DDoS-angrep, ville en person eller personer som utfører et slikt angrep typisk oversvømme den målrettede infrastrukturen med et uhyre høyt volum overflødige forespørsler for å overvelde dets ressurser, og dermed gjøre det vanskelig eller umulig for det berørte nettverket eller system for å svare på ekte forespørsler om service. For en sluttbruker er virkningen av DoS ikke helt annerledes enn DDoS, men i motsetning til den tidligere som vanligvis bruker en enkelt maskin og en enestående internettforbindelse for å utføre angrepet, bruker sistnevnte flere kompromitterte enheter for å oversvømme det tilsiktede målet, noe som gjør det utrolig vanskelig å oppdage og forhindre.
Hva er de forskjellige typer DDoS-anfall?
Som tidligere nevnt benytter både cyberkriminelle og hacktivister bruk av myriade angrepsvektorer for å utføre DDoS-angrepene, men et stort flertall av disse angrepene vil for det meste falle under tre brede kategorier: Volumetrisk eller Bandwidth Attacks, Protocol Attacks eller angrep på statlig utmattelse, og applikasjonslag angrep eller lag 7 angrep. Alle disse angrepene retter seg mot ulike komponenter i en nettverkstilkobling som består av 7 forskjellige lag, som vist i bildet nedenfor:
1. Volumetriske angrep eller båndbreddeangrep
Disse typer angrep antas å utgjøre over halvparten av alle DDoS-angrep som utføres rundt om i verden hvert år. Det finnes ulike typer volumetriske angrep, med den vanligste bruken av User Datagram Protocol (UDP), hvor en angriper sender et stort antall UDP-pakker til tilfeldige porter på en ekstern vert, noe som forårsaker at serveren gjentatte ganger ser etter og svarer på ikke- eksisterende applikasjoner, slik at den ikke reagerer på lovlig trafikk. Lignende resultater kan også oppnås ved å oversvømme en offertserver med ekkoforespørsler fra ICMP (Internet Control Message Protocol) fra flere IP-adresser som ofte er spoofed. Målserveren forsøker å svare på hver eneste av disse falske forespørsler i god tro, etter hvert bli overbelastet og ute av stand til å svare på ekte ICMP-ekkoforespørsler. Volumetriske angrep måles i biter per sekund (Bps).
2. Protokollangrep eller statstanker
Protokollangrep, også kjent som «State-Exhaustion» -angrep, forbruker kapasitetstabellkapasiteten til ikke bare webapplikasjonsservere, men også andre infrastrukturkomponenter, inkludert mellomliggende ressurser, for eksempel belastningsbalansere og brannmurer. Disse typer angrep er kalt "protokollangrep" fordi de retter seg mot svakheter i lag 3 og 4 i protokollstakken for å oppnå deres mål. Selv banebrytende kommersielle enheter spesielt utviklet for å opprettholde tilstanden på millioner av tilkoblinger kan bli sterkt påvirket av protokollangrep. Et av de mest kjente protokollangrepene er "SYN-flommen" som utnytter "treveishåndtrykksmekanismen" i TCP. Slik fungerer det, verten sender en flom av TCP / SYN-pakker, ofte med en smidd avsenderadresse, for å forbruke nok serverressurser for å gjøre det nesten umulig for legitime forespørsler om å komme igjennom. Andre typer protokollangrep inkluderer Ping of Death, Smurf DDoS og fragmenterte pakkeangrep. Disse typer angrep måles i pakker per sekund (Pps).
3. Application-layer Attacks eller Layer 7 Attacks
Applikasjonslagsangrep, ofte referert til som lag 7-angrep i forhold til det 7. lag av OSI-modus, målretter laget der websider genereres for å bli levert til brukere som sender HTTP-forespørslene. Ulike typer lag 7-angrep inkluderer det beryktede Slowloris -angrepet, der angriperen sender et stort antall HTTP-forespørsler sakte til en målserver, men uten å fullføre noen av forespørslene. Angriperen vil fortsette å sende flere overskrifter med små mellomrom, og derved tvinge serveren til å holde en åpen forbindelse for disse uendelige HTTP-forespørsler, og til slutt bruker man nok ressurser for å få systemet til å svare på gyldige forespørsler. Et annet populært lag 7-angrep er HTTP Flood- angrepet, hvor et stort antall falske HTTP-, GET- eller POST-forespørsler oversvømmer den målrettede serveren i løpet av kort tid, noe som resulterer i benektelser for legitime brukere. Siden applikasjonslagangrep vanligvis inkluderer å sende en unaturlig høy mengde forespørsler til en målserver, måles de i forespørsler per sekund (RPS).
I tillegg til enkeltvektorangrepene beskrevet ovenfor, er det også flere vektorangrep som målretter systemer og nettverk fra en rekke forskjellige retninger samtidig, noe som gjør det vanskeligere for nettverksingeniører å kalkle ut omfattende strategier mot DDoS-angrep. Et slikt eksempel på et flervektangrep er når en angriper vil koble DNS-forsterkning, som retter seg mot lag 3 og 4, med HTTP Flood som retter seg mot lag 7.
Slik beskytter du nettverket ditt mot et DDoS-angrep
Siden de fleste DDoS-angrep fungerer ved å overvelde en målserver eller et nettverk med trafikk, er det første som må gjøres for å redusere DDoS-angrep, skille mellom ekte trafikk og ondsinnet trafikk . Men som du forventer, er det ikke så lett, gitt det store variasjonsnivået, kompleksiteten og raffinementene i disse angrepene. Når det gjelder å beskytte nettverket mot de nyeste og mest sofistikerte DDoS-angrepene, krever nettverksingeniører nøye utformede strategier for ikke å kaste babyen ut med badevannet. Fordi angripere vil gjøre sitt beste for å gjøre sin ondsinnede trafikk til å virke som vanlig, vil begrensende forsøk som innebærer å begrense all trafikk begrense ærlig trafikk, mens en mer permissiv design vil tillate hackere å omgå motforanstaltninger lettere. Når det er tilfelle, må man vedta en lagdelt løsning for å oppnå den mest effektive løsningen.
Men før vi kommer til teknikkene, må vi forstå at siden de fleste DDoS-angrep i disse dager involverte chocking av kommunikasjonsbanene på en eller annen måte, er en av de åpenbare tingene å beskytte seg selv, og nettverket ditt er mer overflødig: mer båndbredde og flere servere spredt over flere datacentre på forskjellige geografiske steder, som også virker som forsikring fra naturkatastrofer etc.
En annen viktig ting å gjøre er å følge noen av de beste praksisene i bransjen når det gjelder DNS-serverne. Å bli kvitt åpen resolvere er en av de kritiske første skrittene i forsvaret mot DDoS, for hva er et nettsted hvis ingen kan løse domenenavnet ditt i utgangspunktet? Når det er tilfelle, må man se utover det vanlige dual-DNS-serveroppsettet som de fleste domenenavnregistratorer oppgir som standard. Mange selskaper, inkludert de fleste av de beste CDN-tjenesteleverandørene, tilbyr også forbedret DNS-beskyttelse ved hjelp av overflødige DNS-servere som er beskyttet bak den samme typen lastbalansering som din web og andre ressurser er.
Mens de fleste nettsteder og blogger outsource deres hosting til tredjeparter, velger noen å betjene sine egne data og administrere sine egne nettverk. Hvis du tilhører den gruppen, må noen av de grunnleggende, men kritiske bransjepraksisene du følger, involvere å sette opp en effektiv brannmur og blokkere ICMP hvis du ikke trenger dem. Pass også på at alle ruterne dine slipper søppelpakker . Du bør også kontakte ISP for å sjekke om de kan bidra til å blokkere ønsket trafikk for deg. Vilkårene vil variere fra en ISP til en annen, så du må sjekke med nettverksoperasjonssentrene for å se om de tilbyr slike tjenester for bedrifter. Generelt er følgende noen av trinnene som CDN-leverandører, Internett-leverandører og nettverksadministratorer ofte bruker til å redusere DDoS-angrep:
Black Hole Routing
Black Hole Routing, eller Blackholing, er en av de mest effektive måtene for å redusere et DDoS-angrep, men det må bare implementeres etter riktig analyse av nettverkstrafikk og skape streng restriksjonskriterium, som det ellers ville være "black hole" eller rute alle innkommende trafikk til null-rute (blackhole) uansett om det er ekte eller ondsinnet. Det vil teknisk omgå en DDoS, men angriperen vil ha oppnådd sitt mål om å forstyrre nettverkstrafikken uansett.
Ressursbegrensning
En annen metode som ofte brukes til å redusere DDoS-angrep, er 'Rate Limiting'. Som navnet antyder, innebærer det å begrense antall forespørsler en server vil akseptere innen en angitt tidsramme . Det er nyttig å stoppe webskraper fra å stjele innhold og for å redusere brute force login-forsøk, men må brukes sammen med andre strategier for å kunne håndtere DDoS-angrep effektivt.
Web Application Firewall (WAF)
Selv om det ikke er nær nok i seg selv, er omvendte proxyer og WAFer noen av de første skrittene man må ta for å redusere en rekke trusler, ikke bare DDoS. WAFer bidrar til å beskytte målnettverket fra lag 7-angrep ved å filtrere forespørsler basert på en rekke regler som brukes til å identifisere DDoS-verktøy, men det er også svært effektivt for å beskytte servere fra SQL-injeksjon, krypteringsskripting og forespørsler om overfallsforfalskning.
Anycast Network Diffusion
Content Delivery Networks (CDN) bruker ofte Anycast-nettverk som en effektiv måte å dempe DDoS-angrep på. Systemet fungerer ved å omdirigere all trafikk som er bestemt for et underangrepsnettverk til en rekke distribuerte servere på forskjellige steder, og derved diffunderer den forstyrrende effekten av et forsøk på DDoS-angrep.
Hvordan foreslår Cloudflare å avslutte DDoS Attacks for Good med sin gratis DDoS-beskyttelse?
Et av de fremste innholdsleverandørnettene i verden, Cloudflare, annonserte nylig at det vil gi beskyttelse mot DDoS-angrep, ikke bare til sine betalte kunder, men også til sine gratis kunder, uavhengig av angrepets størrelse og omfang . Som forventet, har kunngjøringen gjort tidligere denne uken, skapt en stor buzz i bransjen, så vel som globale tech media, som vanligvis brukes til CDN, inkludert Cloudflare, enten sparker ut sine underangrepsklienter eller krever mer penger fra dem for fortsatt beskyttelse. Mens ofre frem til nå har måttet forsvare seg når de er angrepet, har løftet om gratis, uoppdaget DDoS-beskyttelse blitt mottatt varmt av blogger og bedrifter hvis nettsteder og nettverk forblir i konstant trussel for publisering av kontroversielt innhold.
Mens Cloudflares tilbud er faktisk revolusjonerende, er det en ting som må nevnes at tilbudet om fri, uberørt beskyttelse bare gjelder for lag 3 og 4 angrep, mens lag 7 angrep fremdeles bare er tilgjengelige for de betalte planene som starter på $ 20 per måned.
Hvis vellykket, hva vil Cloudflare tilbud bety for "hacktivisme"?
Som forventet har Cloudflares kunngjøring gjenopplatt debatten blant hacktivister og internetsikkerhetseksperter om etisk hacking og ytringsfrihet. Mange hacktivistiske grupper, som Chaos Computer Club (CCC) og Anonym, har lenge hevdet at det er nødvendig å skape "digitale protester" mot nettsteder og blogger som sprer uthatlig propaganda og bigoted - ofte voldelige ideologier. Det er tilfelle at disse gruppene av aktivistiske hackere eller hacktivister ofte har rettet mot terroristwebsteder, neo-nazi-blogger og barnepornagere med DDoS-angrep. Det siste tilfellet er den høyre høyre Daily Stormer-bloggen som roste nylig Mord på en menneskerettighetsaktivist i Charlottesville, Virginia, av en høyres ekstremist.
Mens noen som Cloudflare, CEO Mattew Prince, og EFF (Electronic Frontier Foundation) har kritisert hacktivister for å forsøke å tavle tale med DDoS-angrep, hevder argumenter for hacktivisme at deres digitale protester mot avskyelige ideologier ikke er annerledes enn å fylle et torg eller Holde en sit-in langs linjene i "Occupy" -bevegelsen som startet med den berømte Occupy Wall Street-protesten den 17. september, som bringer global oppmerksomhet mot økende sosioøkonomisk ulikhet over hele verden.
Mens noen kan hevde at DDoS er et verktøy for ekte protest, slik at etiske hackere kan handle raskt mot terrorister, bigots og pedofiler for å ta sitt umoralske (og ofte ulovlige) innhold offline for godt, har slike angrep også en mørk side . Undersøkende journalister og fløyteblåsere har ofte vært målene for slike angrep i det siste, og det var bare i fjor at nettsiden til cybersecurity journalisten Brian Krebs ble tatt ned av et massivt DDoS-angrep som målt en vanvittig 665 Gbps ved sin topp . Krebs hadde tidligere rapportert om en israelsk DDoS-for-hire-tjeneste kalt vDOS, noe som resulterte i arrestasjon av to israelske statsborgere, og angrepet ble antatt å være til gjengjeldelse.
DDoS Attacks og Cloudflare planer om å gjøre dem til en fortid
Til tross for Cloudflares dristige påstander om å gjøre DDoS-angrep en ting om fortiden, hevder mange eksperter at det ikke er teknologisk mulig å gjøre DDoS-angrep helt foreldet på dette stadiet. Mens gigantiske selskaper som Facebook eller Google har de nødvendige infrastrukturavvik for å sørge for at de aldri lider av slike angrep, kan det utgjøre en utfordring for selv de største CDNene å utvide beskyttelsen til hvert eneste sted under solen. Imidlertid har Prince hevdet at Cloudflare er i stand til å absorbere "alt som internett kaster på oss", så bare tid vil fortelle om DDoS-angrep vil bli sendt til historiens annaler for godt, eller hvis hacktivistgrupper vil kunne omgå noen av motforanstaltninger for å fortsette sin moralske korstog mot vold, hat og urettferdighet.