Cyberbrott har varit i början av sena, med ransomware-attacker (WannaCry, NotPetya), hackade databaser (Equifax, Sony, Yahoo) och mjukvaru-bakdörrar (Floxif / CCleaner, ShadowPad / NetSarang) som ofta skapar rubriker. Medan omfattningen och räckvidden för dessa attacker är förvånande, är det faktum att cyberkriminella inte bara är begränsade till att stjäla dina data, identitet eller pengar. Omfattningen av brott i den virtuella världen är lika stor som i den verkliga världen, om inte mer. En typ av cyberangrepp som har varit i fokus för sent är DDoS, eller distribuerad denial-of-service som ofta har delat upp hattenhackersamhället genom åren. Med den ledande CDN-leverantören Cloudflare, som nu meddelar gratis DDoS-skydd för alla sina kunder, har den åldrade debatten om "etisk" DDoS mot skadlig DDoS återigen startat, med båda sidorna som fulla stöd för sina respektive argument. Med debatten om DDoS-attacker som rasar över hela internet, låt oss ta en detaljerad titt på fenomenet idag i ett försök att inte bara lära oss mer om det, men också för att försöka förstå varför hacktivister och frivilliga förespråkargrupper fortsätter att misslyckas deras ansträngningar att komma överens om det i första hand:
Vad är DDoS och hur fungerar det?
I de enklaste termerna är en DDoS-attack (Denial of Service) ett försök att artificiellt störa den normala funktionen hos en webbplats eller ett nätverk genom att översvämma målservern med en överväldigande mängd trafik som antingen saktar ner eller kraschar nätverket helt . Detta uppnås genom att använda flera kompromissystem som en del av det så kallade botnet som kan innefatta alla nätverksanslutna enheter, inklusive men inte begränsade till datorer, smartphones och IoT-enheter. Svarthatthackare och hacktivister använder olika sofistikerade verktyg för att utföra dessa attacker genom att inte bara översvämma målservrarna med en orimlig mängd trafik utan också genom att använda mer subtila och svåra att upptäcka infiltrationstekniker som riktar sig mot kritisk nätverkssäkerhet infrastruktur, såsom brandväggar och IDS / IPS (Intrusion Detection / Prevention System).
Vad är DoS och hur skiljer det från DDoS?
Denial-of-Service (DoS) -attackerna är exakt vad det låter som, i den mån det hindrar legitima användare från att komma åt riktade servrar, system eller andra nätverksresurser. Såsom är fallet med DDoS-attacker skulle en person eller personer som utför en sådan attack översvämma den riktade infrastrukturen med en mycket hög volym överflödiga förfrågningar för att överväldiga sina resurser och därigenom göra det svårt eller till och med omöjligt för det drabbade nätverket eller system för att svara på äkta serviceförfrågningar. För en slutanvändare är effekterna av DoS inte helt annorlunda än de för DDoS, men i motsats till den tidigare som vanligtvis använder en enda maskin och en enskild internetanslutning för att utföra attacken använder den senare flera komprometterade enheter för att översvämma det avsedda målet, vilket gör det oerhört svårt att upptäcka och förhindra.
Vad är de olika typerna av DDoS-attacker?
Som tidigare nämnde använder både cyberkriminella och hacktivister sig av myriad attackvektorer för att utföra DDoS-attackerna, men en stor majoritet av dessa attacker kommer till stor del att falla under tre stora kategorier: Volym- eller Bandbredd Attacks, Protocol Attacks eller statliga utmattningsattacker och applikationslagsattacker eller lag 7-attacker. Alla dessa attacker riktar sig mot olika komponenter i en nätverksanslutning som består av 7 olika lager, vilket framgår av bilden nedan:
1. Volumetriska attacker eller bandbreddattacker
Dessa typer av attacker antas utgöra mer än hälften av alla DDoS-attacker som utförs runt om i världen varje år. Det finns olika typer av volymetriska attacker, med den vanligaste användningen av User Datagram Protocol (UDP), där en angripare skickar ett stort antal UDP-paket till slumpmässiga portar på en fjärr värd, vilket gör att servern upprepade gånger söker efter och svarar på icke existerande applikationer, vilket gör att den inte svarar på legitim trafik. Liknande resultat kan också uppnås genom att översvämma en offertservern med ICMP (Internet Control Message Protocol) echo-förfrågningar från flera IP-adresser som ofta är spoofed. Målservern försöker svara på var och en av dessa falska förfrågningar i god tro, så småningom blir överbelastad och oförmögen att svara på äkta ICMP-echo-förfrågningar. Volymetriska attacker mäts i bitar per sekund (Bps).
2. Protokollattacker eller statliga utmattningsattacker
Protokollattacker, även kända som attacker mot statliga utmattningar, förbrukar anslutningstillståndstabellkapaciteten för inte bara webbapplikationsservrarna utan även andra infrastrukturkomponenter, inklusive mellanliggande resurser, såsom lastbalanseringar och brandväggar. Dessa typer av attacker heter "protokollattacker" eftersom de riktar sig mot svagheter i lag 3 och 4 i protokollstacken för att uppnå sitt mål. Till och med avancerade kommersiella enheter som är specifikt utformade för att upprätthålla tillståndet på miljontals anslutningar kan påverkas mycket av protokollattacker. Ett av de mest kända protokollattackerna är "SYN-översvämningen" som utnyttjar "trevägs handskakningsmekanismen" i TCP. Hur det fungerar är att värden skickar en översvämning av TCP / SYN-paket, ofta med en smidad avsändaradress, för att konsumera tillräckligt med serverresurser för att göra det nästan omöjligt för legitima förfrågningar att komma igenom. Andra typer av attacker inkluderar Ping of Death, Smurf DDoS och fragmenterade paketattacker. Dessa typer av attacker mäts i paket per sekund (Pps).
3. Applikationslag Attacks eller Layer 7 Attacks
Ansökningsskiktattacker, som ofta kallas lag 7-attacker i förhållande till det 7: e lagret i OSI-läget, riktar sig till det lager där webbsidor genereras som levereras till användare som skickar HTTP-förfrågningarna. Olika typer av skikt-7-attacker inkluderar den ökända " Slowloris " -attacken, så att angriparen skickar ett stort antal HTTP-förfrågningar långsamt till en målserver utan utan att någonsin slutföra några av förfrågningarna. Anfallaren fortsätter att skicka ytterligare rubriker med små intervall och tvingar servern att hålla en öppen anslutning för dessa oändliga HTTP-förfrågningar, så småningom utnyttjade tillräckliga resurser för att få systemet att inte svara på giltiga förfrågningar. Ett annat populärt lager 7-angrepp är HTTP Flood- attacken, där ett stort antal falska HTTP-, GET- eller POST-förfrågningar översvämmer den riktade servern inom en kort tidsperiod vilket resulterar i förnekande av service för legitiska användare. Eftersom applikationslagsattacker normalt inkluderar att skicka en onaturlig stor mängd begäranden till en målserver, mäts de i förfrågningar per sekund (Rps).
Förutom de enskilda vektorattackerna som beskrivs ovan finns det också flera vektorattacker som målar system och nätverk från ett antal olika håll samtidigt, vilket gör det svårare för nätverksingenjörerna att kritisera omfattande strategier mot DDoS-attacker. Ett sådant exempel på en multi-vektorattack är när en angripare skulle koppla DNS-förstärkning, som riktar sig till lag 3 och 4, med HTTP Flood som riktar sig till lag 7.
Hur skyddar du ditt nätverk mot DDoS Attack
Eftersom de flesta DDoS-attacker fungerar genom att överväldiga en målserver eller ett nätverk med trafik, måste det första som måste vidtas för att mildra DDoS-attacker skilja på äkta trafik och skadlig trafik . Men som du förväntar dig, är det inte så lätt, med tanke på den stora variationen, komplexiteten och sofistikationsnivåerna i dessa attacker. Däremot kräver nätverksingenjörerna noggrant utformade strategier för att skydda ditt nätverk mot de senaste och mest sofistikerade DDoS-attackerna för att inte slänga barnet med badvattnet. Eftersom attacker kommer att göra sitt bästa för att göra sin skadliga trafik verkar normalt, kommer begränsningsförsök som innebär att all trafik begränsas, att begränsa äkta trafik, medan en mer tillåten design gör att hackare lättare kan kringgå motåtgärder. I så fall måste man anta en skiktlösning för att uppnå den mest effektiva lösningen.
Men innan vi kommer till tekniken måste vi förstå att eftersom de flesta DDoS-attackerna i dessa dagar involverade chocking av kommunikationsvägarna på ett eller annat sätt, är en av de uppenbara sakerna att skydda dig själv och ditt nätverk är mer redundans: mer bandbredd och fler servrar sprids över flera datacenters över olika geografiska platser, vilket också fungerar som försäkringar från naturkatastrofer etc.
En annan viktig sak att göra är att följa några av branschens bästa praxis när det gäller DNS-servrarna. Att bli av med öppna beslutsfattare är ett av de kritiska första stegen i ditt försvar mot DDoS, för vad bra är en webbplats om ingen kan lösa ditt domännamn i första hand? I så fall måste man se bortom det vanliga dubbla DNS-serverprogrammet som de flesta domännamnregistratorer tillhandahåller som standard. Många företag, inklusive de flesta av de bästa CDN-tjänsteleverantörerna, erbjuder också förbättrat DNS-skydd genom överflödiga DNS-servrar som är skyddade bakom samma typ av lastbalansering som din web och andra resurser är.
Medan de flesta webbplatser och bloggar lägger ut deras hosting till tredje part väljer vissa att betjäna sina egna data och hantera sina egna nätverk. Om du tillhör den gruppen måste några av de grundläggande men kritiska branschpraxis du behöver följa med att konfigurera en effektiv brandvägg och blockera ICMP om du inte behöver dem. Se också till att alla routrar släpper skräpspaket . Du bör också kontakta din Internetleverantör för att kontrollera om de kan hjälpa till att blockera önskad trafik för dig. Villkoren kommer att variera från en Internetleverantör till en annan, så du måste kontrollera med sina nätverksoperatörer för att se om de erbjuder sådana tjänster för företag. I allmänhet är följande några av de steg som CDN-leverantörer, Internetleverantörer och nätverksadministratörer ofta använder för att mildra DDoS-attacker:
Black Hole Routing
Black Hole Routing, eller Blackholing, är ett av de mest effektiva sätten att mildra DDoS-attacken, men det behöver bara genomföras efter korrekt analys av nätverkstrafik och skapa strikt begränsningskriterium, eftersom det annars skulle vara "svarthål" eller rutt alla inkommande trafik till en null-rutt (svarthål) oavsett om det är äkta eller skadligt. Det kommer tekniskt kringgå en DDoS, men angriparen kommer att ha uppnått sitt mål att störa nätverkstrafik ändå.
Räntebegränsning
En annan metod som ofta används för att mildra DDoS-attacker är "Rate Limiting". Som namnet antyder innebär det att det begränsas antalet begäranden som en server accepterar inom en viss tidsram . Det är användbart att stoppa webbskrapor från att stjäla innehåll och för att mildra brute force login-försök, men måste användas tillsammans med andra strategier för att effektivt kunna hantera DDoS-attacker.
Web Application Firewall (WAF)
Medan inte tillräckligt nära i sig är omvända proxys och WAFs några av de första stegen man måste ta för att mildra en rad hot, inte bara DDoS. WAF-filer skyddar målnätverket från skikt 7-attacker genom att filtrera förfrågningar baserade på en rad regler som används för att identifiera DDoS-verktyg, men det är också mycket effektivt när det gäller att skydda servrar från SQL-injektion, skript på webbplatsen och förfalskningar på begäran.
Anycast Network Diffusion
Content Delivery Networks (CDN) använder ofta Anycast-nätverk som ett effektivt sätt att mildra DDoS-attacker. Systemet fungerar genom att omdirigera all trafik som är avsedd för ett angrepsnätverk till en serie distribuerade servrar på olika platser, vilket diffunderar störningseffekten av ett försök till DDoS-attack.
Hur föreslår Cloudflare att avsluta DDoS Attacks for Good med sitt fria DDoS-skydd?
Ett av världens främsta innehållsleveransnätverk, Cloudflare, tillkännagav nyligen att det kommer att ge skydd mot DDoS-attacker, inte bara till sina betalda kunder utan också till sina lediga kunder, oberoende av attackens storlek och omfattning . Som förväntat har tillkännagivandet, som gjorts tidigare i veckan, skapat en ganska buzz inom branschen, såväl som globala tech media, som vanligtvis används för att CDN, inklusive Cloudflare, antingen sparkar ut sina underattacksklienter eller kräver mer pengar från dem för fortsatt skydd. Samtidigt som offren hittills måste försvara sig när de under attack har löftet om gratis, oövervakat DDoS-skydd mottagits varmt av bloggar och företag vars webbplatser och nätverk förblir under konstant hot för att publicera kontroversiellt innehåll.
Medan Cloudflares erbjudande faktiskt är revolutionerande är det enda som behöver nämnas att erbjudandet om gratis, omätat skydd endast gäller för lag 3 och 4-attacker, medan lag 7-attacker fortfarande endast är tillgängliga för de betalda planerna som börjar på $ 20 per månad.
Om framgångsrik, vad kommer Cloudflare erbjudande att betyda för "hacktivism"?
Som förväntat har Cloudflares tillkännagivande återupptaget debatten bland hacktivister och internetsäkerhetsexperter om etisk hacking och yttrandefrihet. Många hacktivistiska grupper, som Chaos Computer Club (CCC) och Anonym, har länge hävdat att det är nödvändigt att föra "digitala protester" mot webbplatser och bloggar som sprider hatfull propaganda och bigoted - ofta våldsamma ideologier. I så fall har dessa grupper av aktivisthackare eller hacktivister ofta riktat mot terroristwebbplatser, neo-nazi-bloggar och barnpornagåtar med DDoS-attacker, där det senaste olyckan är den högra högra "Daily Stormer" -bloggen som berömde den senaste tiden Mord på en människorättsaktivist i Charlottesville, Virginia, av en höger extremist.
Medan vissa som Cloudflare VD Mattew Prince och EFF (Electronic Frontier Foundation) har kritiserat hacktivister för att försöka tysta yttrande med DDoS-attacker, hävdar anhängare av hacktivism att deras digitala protester mot avskyvärda ideologier inte skiljer sig från att fylla ett torg eller håller en sit-in i linje med "Occupy" -rörelsen som startade med den berömda Occupy Wall Street protesten den 17 september 2011, vilket bringar global uppmärksamhet åt växande socioekonomisk ojämlikhet över hela världen.
Medan vissa kan hävda att DDoS är ett verktyg för äkta protest, så att etiska hackare snabbt kan agera mot terrorister, bigots och pedofiler för att ta sitt omoraliska (och ofta olagliga) innehåll offline för bra, har sådana attacker också en mörk sida . Undersökande journalister och visselpipare har ofta varit målen för sådana attacker tidigare, och det var bara förra året att cybersäkerhetsjournalistens webbplats, Brian Krebs, togs ner av en massiv DDoS-attack som uppmätt en galen 665 Gbps vid sin topp . Krebs hade tidigare rapporterat om en israelisk DDoS-for-hire-tjänst som heter vDOS, vilket ledde till att två israeliska medborgare arresterades och attacken trodde att de var i straff.
DDoS Attacks och Cloudflare planerar att göra dem till en sak av det förflutna
Trots Cloudflares djärva påståenden om att göra DDoS-attacker en sak om det förflutna hävdar många experter att det inte är tekniskt möjligt att göra DDoS-attacker helt föråldrade på detta stadium. Även om gigantiska företag som Facebook eller Google har de nödvändiga infrastrukturen uppsägningar för att se till att de aldrig lider av sådana attacker, kan utökande av sådant skydd till varje enskilt sajt under solen utgöra en utmaning för att även de största CDN: erna. Prins har dock hävdat att Cloudflare kan absorbera "allt som internet kastar på oss", så det kommer bara dags att se om DDoS-attacker kommer att sändas till historiens annaler för gott, eller om hacktivistgrupper kommer att kunna kringgå några av motåtgärder för att fortsätta sin moraliska korståg mot våld, hat och orättvisa.