התקפות DDoS (המכונות Distributed Denial of Service, בתרגום חופשי: מניעת שירות מבוזרת) הן בין התקפות ההאקרים הנפוצות ביותר, המופנות למערכות מחשב או שירותי רשת ונועדו לתפוס את כל המשאבים הזמינים והחינמיים בכדי למנוע את תפקוד השירות כולו באינטרנט (למשל האתר שלך והדוא"ל המתארח).
מהי התקפת DDoS?
התקפת DDoS מורכבת מביצוע התקפה בו זמנית ממקומות רבים בו זמנית (ממחשבים רבים). מתקפה כזו מתבצעת בעיקר ממחשבים עליהם נלקחה שליטה, באמצעות תוכנה מיוחדת (למשל בוטים וסוסים טרויאניים). המשמעות היא שבעלי המחשבים הללו אפילו לא יכולים לדעת שהמחשב, המחשב הנייד או ההתקן האחר המחובר לרשת עשויים לשמש רק, ללא מודעותם, לצורך ביצוע התקפת DDoS.
מתקפת DDoS מתחילה כאשר כל המחשבים שנפגעו מתחילים לתקוף את שירות האינטרנט או המערכת של הקורבן בו זמנית. היעד להתקפת DDoS מוצף אז בניסיונות כוזבים להשתמש בשירותים (למשל, הם עשויים להיות ניסיונות להתקשר לאתר או לבקשות אחרות).
מדוע התקפת DDoS גורמת להפרעות שירות?
כל ניסיון להשתמש בשירות (למשל ניסיון להתקשר לאתר) מחייב את המחשב המותקף להקצות משאבים מתאימים לשירות בקשה זו (למשל מעבד, זיכרון, רוחב פס רשת), אשר, עם מספר גדול מאוד של בקשות כאלה, מוביל מיצוי המשאבים הזמינים, וכתוצאה מכך, הפסקת הפעולה או אפילו השעיה של המערכת המותקפת.
כיצד להגן על עצמך מפני התקפות DDoS?
התקפות DDoS הן כיום האיום הסביר ביותר לחברות הפועלות ברשת, והשלכותיהן חורגות רק מתחום ה- IT, אך גורמות גם להפסדים פיננסיים ותדמיתיים אמיתיים, הניתנים למדידה. התקפות מסוג זה מתפתחות כל הזמן והולכות ומדויקות יותר ויותר. מטרתם היא לצרוך את כל המשאבים הזמינים של תשתית הרשת או חיבור האינטרנט.
תוכל למצוא הצעות להגנה מפני התקפות DDoS באינטרנט. לרוב, הפעלת הגנה כזו מפני התקפות DDoS נעשית על ידי שינוי רשומות DNS, שיכוונו את כל תעבורת ה- HTTP / HTTPS דרך שכבת הסינון, בה מבוצעת בדיקה מפורטת של כל חבילה ושאילתה.
ואז, אלגוריתמים מתקדמים, כמו גם כללים שהוגדרו כראוי, מסננים מנות שגויות וניסיונות תקיפה, כך שרק תעבורה טהורה עוברת לשרת שלך. לחברות המגנות מפני התקפות DDoS יש מקומות באזורים שונים בעולם, שבזכותם הם יכולים לחסום באופן יעיל התקפות במקור, כמו גם לשרת נתונים סטטיים ממרכז הנתונים הקרוב ביותר, ובכך להפחית את זמן טעינת העמודים.
תקיפת DDoS וסחטנות זה פשע
האיום של מתקפת DDoS משמש לעתים לסחיטת חברות, למשל. אתרי מכירות פומביות, חברות תיווך וכדומה, כאשר הפרעת מערכת העסקאות מתורגמת להפסדים כספיים ישירים לחברה ולקוחותיה. במקרים כאלה, האנשים שעומדים מאחורי הפיגוע דורשים כופר לביטול או הפסקת הפיגוע. סחיטה כזו היא פשע.
כיצד להגן על עצמך מפני התקפות DoS / DDoS
במילים פשוטות, התקפות DoS הן סוג של פעילות זדונית שמטרתה להביא מערכת מחשב למצב שהיא לא יכולה לשרת משתמשים לגיטימיים או לבצע את הפונקציות המיועדות שלה כהלכה. שגיאות בתוכנה (תוכנה) או עומס יתר בערוץ הרשת או במערכת כולה מובילים בדרך כלל למצב של "מניעת שירות". כתוצאה מכך התוכנה, או כל מערכת ההפעלה של המכונה, "קורסת" או מוצאת את עצמה במצב "לולאה". וזה מאיים על השבתה, אובדן מבקרים / לקוחות ואובדן.
אנטומיה של התקף DoS
התקפות DoS מסווגות כמקומיות ומרוחקות. מעללים מקומיים כוללים מעללים שונים, פצצות מזלג ותוכניות הפותחות מיליון קבצים בכל פעם או מפעילות אלגוריתם מעגלי שאוכל את זיכרון ומשאבי המעבד. לא נתעכב על כל זה. בואו נסתכל מקרוב על התקפות DoS מרוחקות. הם מחולקים לשני סוגים:
ניצול מרחוק של באגים בתוכנה על מנת להפוך אותה ללא פעילה.
שיטפון - שליחת מספר עצום של חבילות חסרות משמעות (פחות משמעותיות) לכתובת הקורבן. יעד השיטפון יכול להיות ערוץ תקשורת או משאבי מכונה. במקרה הראשון, זרם החבילות תופס את כל רוחב הפס ולא נותן למכונה המותקפת את היכולת לעבד בקשות לגיטימיות. בשניה, משאבי המכונה נלכדים על ידי שיחות חוזרות ונשנות ותכופות מאוד לכל שירות המבצע פעולה מורכבת ועתירת משאבים. זו יכולה להיות, למשל, שיחה ארוכה לאחד מהרכיבים הפעילים (סקריפט) של שרת האינטרנט. השרת מוציא את כל משאבי המכונה על עיבוד בקשות התוקף והמשתמשים צריכים להמתין.
בגרסה המסורתית (תוקף אחד - קורבן אחד), רק סוג ההתקפות הראשון יעיל כעת. השיטפון הקלאסי הוא חסר תועלת. רק בגלל שברוחב הפס של השרתים כיום, רמת כוח המחשוב והשימוש הנרחב בטכניקות אנטי-דוס שונות בתוכנה (למשל, עיכובים כאשר אותו לקוח מבצע שוב ושוב את אותן פעולות), התוקף הופך ליתוש מעצבן שהוא לא היה מסוגל לגרום לנזק וגם לא היה נזק.
אך אם ישנם מאות, אלפים ואפילו מאות אלפי יתושים אלו, הם יכולים לשים את השרת בקלות על שכמותיו. הקהל הוא כוח נורא לא רק בחיים, אלא גם בעולם המחשבים. התקפת מניעת שירות מבוזרת (DDoS), שבדרך כלל מתבצעת באמצעות מארחים זומבים רבים, יכולה לנתק אפילו את השרת הקשה ביותר מהעולם החיצון.
שיטות בקרה
הסכנה ברוב התקפות DDoS נעוצה בשקיפות המוחלטת וב"נורמליות "שלהם. אחרי הכל, אם תמיד ניתן לתקן שגיאת תוכנה, הרי שצריכה מלאה של משאבים היא תופעה כמעט שכיחה. מנהלים רבים מתמודדים איתם כאשר משאבי המכונה (רוחב הפס) אינם מספיקים, או שהאתר סובל מאפקט של סלאשדוט (twitter.com לא היה זמין תוך מספר דקות לאחר הידיעה הראשונה על מותו של מייקל ג'קסון). ואם תקצץ תנועה ומשאבים לכולם ברציפות, תישמר מ- DDoS, אך תאבד מחצית טובה מהלקוחות שלך.
אין כמעט מוצא ממצב זה, אך ניתן להפחית משמעותית את התוצאות של התקפות DDoS ויעילותן על ידי הגדרת תצורה נכונה של הנתב, חומת האש וניתוח מתמיד של חריגות בתעבורת הרשת. בחלק הבא של המאמר נבחן:
דרכים לזהות התקף DDoS מתחיל;
שיטות להתמודדות עם סוגים ספציפיים של התקפות DDoS;
עצות כלליות שיעזרו לך להתכונן להתקף DoS ולהפחית את יעילותה.
בסוף ממש, התשובה תינתן לשאלה: מה לעשות כשהמתקפה DDoS החלה.
להילחם נגד התקפות שיטפון
לכן, ישנם שני סוגים של התקפות DoS / DDoS, והשכיח שבהם מבוסס על הרעיון של הצפה, כלומר הצפת הקורבן במספר עצום של חבילות. המבול שונה: שיטפון ICMP, שיטפון SYN, שיטפון UDP ושיטפון HTTP. בוטני DoS מודרניים יכולים להשתמש בכל סוגי ההתקפות הללו בו זמנית, לכן כדאי לדאוג להגנה מספקת מפני כל אחת מהן מראש. דוגמה כיצד להתגונן מפני סוג ההתקפות הנפוץ ביותר.
מבול HTTP
אחת משיטות ההצפה הנפוצות ביותר כיום. זה מבוסס על שליחת הודעות HTTP GET בלי סוף ביציאה 80 על מנת לטעון את שרת האינטרנט כך שהוא לא יכול לעבד את כל הבקשות האחרות. לעתים קרובות, יעד ההצפה אינו השורש של שרת האינטרנט, אלא אחד התסריטים המבצעים משימות עתירות משאבים או עובדים עם מסד הנתונים. בכל מקרה, צמיחה מהירה באופן חריג של יומני שרתי האינטרנט תשמש אינדיקטור להתקפה שהחלה.
שיטות להתמודדות עם הצפת HTTP כוללות כוונון שרת האינטרנט ומסד הנתונים כדי למתן את ההשפעה של התקפה, כמו גם סינון בוטים של DoS בטכניקות שונות. ראשית, עליך להגדיל את מספר החיבורים המרבי למסד הנתונים בו זמנית. שנית, התקן nginx קל ויעיל מול שרת האינטרנט אפאצ'י - הוא יאחסן בקשות במטמון ויגיש סטטי. זהו פתרון חובה שלא רק יצמצם את ההשפעה של התקפות DoS, אלא גם יאפשר לשרת לעמוד בעומסים עצומים.
במידת הצורך, תוכלו להשתמש במודול nginx, המגביל את מספר החיבורים בו זמנית מכתובת אחת. ניתן להגן על סקריפטים עתירי משאבים מפני בוטים באמצעות עיכובים, כפתורי "לחץ עלי", הגדרת עוגיות וטריקים אחרים שמטרתם לבדוק את "האנושות".
טיפים אוניברסליים
כדי לא להגיע למצב חסר סיכוי במהלך קריסת סערת DDoS במערכות, עליך להכין אותם בזהירות למצב כזה:
על כל השרתים עם גישה ישירה לרשת החיצונית להיות ערוכים להפעלה מרחוק מהירה וקלה. יתרון גדול יהיה נוכחות של ממשק רשת שני, אדמיניסטרטיבי, שדרכו תוכלו לגשת לשרת במקרה של סתימת הערוץ הראשי.
התוכנה המשמשת בשרת חייבת להיות מעודכנת תמיד. כל החורים מתוקנים, העדכונים מותקנים (פשוט כמו מגף, עצה שרבים לא עוקבים אחריהם). זה יגן עליך מפני התקפות DoS המנצלות באגים בשירותים.
כל שירותי רשת האזנה המיועדים לשימוש מנהלי חייבים להיות מוסתרים על ידי חומת האש בפני כל מי שלא אמור לקבל גישה אליהם. אז התוקף לא יוכל להשתמש בהם להתקפות DoS או להתקפות כוח אכזרי.
בגישות לשרת (הנתב הקרוב ביותר), יש להתקין מערכת לניתוח תעבורה שתאפשר ללמוד בזמן על התקפה שמתבצעת ולנקוט באמצעים בזמן כדי למנוע אותה.
יש לציין כי כל הטכניקות מכוונות להפחתת היעילות של התקפות DDoS, שמטרתן לנצל את משאבי המכונה. כמעט בלתי אפשרי להתגונן מפני שיטפון הסותם את הערוץ בפסולת, והדרך היחידה הנכונה, אך לא תמיד אפשרית להילחם היא "לשלול מההתקפה משמעות". אם עומד לרשותך ערוץ רחב באמת שיאפשר בקלות תעבורה מ- botnet קטן, קח בחשבון שהשרת שלך מוגן מפני 90% מהתקפות.
יש הגנה מתוחכמת יותר. הוא מבוסס על ארגון רשת מחשבים מבוזרת, הכוללת שרתים מיותרים רבים המחוברים לעמוד השדרה השונה. כאשר כוח המחשוב או רוחב הפס של הערוץ נגמר, כל הלקוחות החדשים מנותבים לשרת אחר או בהדרגה. "
פיתרון יעיל אחר פחות או יותר הוא רכישת מערכות חומרה. בעבודה הדדית, הם יכולים לדכא התקפה מתחילה, אך כמו רוב הפתרונות האחרים המבוססים על למידה וניתוח המדינה, הם נכשלים.
נראה שזה התחיל. מה לעשות?
לפני תחילת ההתקפה המיידית, הרובוטים "מתחממים", ומגדילים בהדרגה את זרימת החבילות למכונה המותקפת. חשוב לנצל את הרגע ולהתחיל לנקוט בפעולה. ניטור מתמיד של הנתב המחובר לרשת החיצונית יעזור בכך. בשרת הקורבן תוכלו לקבוע את תחילת ההתקפה באמצעות אמצעים זמינים.