Ponieważ dane nieustannie przepływają przez sieci i systemy przedsiębiorstwa, rośnie również ryzyko cyberzagrożeń. Chociaż istnieje wiele form cyberataków, DoS i DDoS to dwa rodzaje ataków, które działają inaczej pod względem skali, wykonania i wpływu, ale mają podobne cele.
Rzucimy światło na różnice między tymi dwoma typami cyberataków, aby pomóc Ci zabezpieczyć Twoje systemy.
Co to jest atak DoS?
Atak Denial of Service DoS to atak przeprowadzany na usługę, mający na celu zakłócenie normalnego działania lub odmowę innym użytkownikom dostępu do tej usługi. Może to być wysyłanie większej liczby żądań do usługi, niż może obsłużyć, co powoduje jej spowolnienie lub uszkodzenie.
Istotą DoS jest zalanie systemu docelowego większym ruchem, niż może obsłużyć, wyłącznie w celu uczynienia go niedostępnym dla zamierzonych użytkowników. Atak DoS jest zwykle przeprowadzany na pojedynczej maszynie.
Co to jest atak DDoS?
Rozproszona odmowa usługi DDoS jest również podobna do ataku DoS. Różnica polega jednak na tym, że DDoS wykorzystuje zbiór wielu połączonych urządzeń online, znanych również jako botnety, aby zalać docelowy system nadmiernym ruchem internetowym, aby zakłócić jego normalne funkcjonowanie.
DDoS działa jak nieoczekiwany korek uliczny blokujący autostradę, uniemożliwiając innym pojazdom dotarcie do celu na czas. System korporacyjny zapobiega dotarciu legalnego ruchu do miejsca docelowego przez awarię systemu lub jego przeciążenie.
Główne typy ataków DDoS
Wraz z rozwojem technologii pojawiają się różne formy ataków DoS/DDoS, ale w tej sekcji przyjrzymy się głównym istniejącym formom ataków. Powszechnie ataki te mają formę atakowania wolumenu sieci, protokołu lub warstwy aplikacji.
# 1. Ataki wolumenowe
Każda sieć/usługa ma określoną ilość ruchu, którą może obsłużyć w danym okresie. Ataki oparte na wolumenie mają na celu przeciążenie sieci fałszywą ilością ruchu, uniemożliwiając sieci przetworzenie większego ruchu lub spowolnienie dla innych użytkowników. Przykładami tego typu ataków są ICMP i UDP.
#2. Ataki oparte na protokołach
Ataki oparte na protokołach mają na celu przeciążenie zasobów serwera poprzez wysyłanie dużych pakietów do docelowych sieci i narzędzi do zarządzania infrastrukturą, takich jak zapory sieciowe. Celem tych ataków jest słabość warstw 3 i 4 modelu OSI. SYN flood to rodzaj ataku opartego na protokole.
#3. Ataki warstwy aplikacji
Warstwa aplikacji modelu OSI generuje odpowiedź na żądanie HTTP klienta. Atakujący atakuje warstwę 7 modelu OSI odpowiedzialną za dostarczanie tych stron do użytkownika, wysyłając wiele żądań dla jednej strony, przez co serwer jest zajęty tym samym żądaniem i staje się niemożliwy do dostarczenia stron.
Ataki te są trudne do wykrycia, ponieważ uzasadnionego żądania nie można łatwo odróżnić od żądania osoby atakującej. Typ tego ataku obejmuje atak slowloris i powódź HTTP.
Różne typy ataków DDoS
# 1. Ataki UDP
User Datagram Protocol (UDP) to rodzaj komunikacji bezpołączeniowej z minimalnym mechanizmem protokołów, używany głównie w aplikacjach czasu rzeczywistego, gdzie opóźnienia w odbiorze danych nie mogą być tolerowane, np. podczas wideokonferencji lub gier. Ataki te mają miejsce, gdy osoba atakująca wysyła dużą liczbę pakietów UDP do celu, uniemożliwiając serwerowi odpowiadanie na uzasadnione żądania.
#2. Ataki powodziowe ICMP
Ataki zalewania Internet Control Message Protocol (ICMP) to rodzaj ataku DoS, który wysyła do sieci nadmierną liczbę pakietów żądań echa ICMP, co prowadzi do przeciążenia sieci i marnowania przepustowości sieci, co prowadzi do opóźnienia czasu odpowiedzi dla innych użytkowników. Może to również doprowadzić do całkowitej awarii atakowanej sieci/usługi.
#3. Ataki powodziowe SYN
Źródło obrazu: Rozbłysk chmur
Ten rodzaj ataku można wytłumaczyć kelnerem w restauracji. Kiedy klient składa zamówienie, kelner dostarcza zamówienie do kuchni, a następnie kuchnia realizuje zamówienie klienta, a klient jest obsługiwany w idealnym scenariuszu.
W ataku powodziowym SYN pojedynczy klient składa zamówienie po zamówieniu dopiero po otrzymaniu któregokolwiek z poprzednich zamówień, aż kuchnia jest zbyt zatłoczona tak dużą liczbą zamówień i nie jest w stanie zrealizować zamówień innych osób. Atak SYN floods wykorzystuje słabości połączenia TCP.
Atakujący wysyła wiele żądań SYN, ale nie odpowiada na żadną z odpowiedzi SYN-ACK, co powoduje, że host nieustannie czeka na odpowiedź z żądania, wiążąc zasoby, dopóki host nie będzie mógł wysłać żądania zamówienia.
#4. Ataki typu HTTP flood
Źródło obrazu: Rozbłysk chmur
Jedną z najczęstszych i najprostszych metod tego ataku jest atak HTTP flood, który polega na wysyłaniu wielu żądań HTTP do serwera z innego adresu IP. Celem tych ataków jest zużycie mocy serwera, przepustowości sieci i pamięci przez wyglądające na uzasadnione żądania, co czyni serwer niedostępnym dla rzeczywistego ruchu użytkowników.
#5. Atak Slowlorisa
Atak slowloris polega na ustanowieniu wielu częściowych żądań do celu, utrzymywaniu serwera otwartego na połączenie, oczekiwaniu na pełne żądanie, które nigdy nie zostanie wysłane, przekroczeniu maksymalnego dozwolonego połączenia i doprowadzeniu do odmowy usługi dla innych użytkowników .
Inne ataki obejmują między innymi ping of death POD, amplifikację, atak łzy, atak fragmentacji IP i atak zalewania. Celem tego ataku jest przeciążenie usługi/serwera, co ogranicza możliwość przetwarzania uzasadnionych żądań od uprawnionych użytkowników.
Dlaczego zdarzają się ataki DoS?
W przeciwieństwie do innych ataków, które koncentrują się na pobieraniu danych z serwera, atakujący DoS ma na celu utrudnienie działania serwera poprzez zużywanie jego zasobów, powodując, że nie odpowiada on na żądania uzasadnionych użytkowników.
Dzięki postępowi technologicznemu coraz więcej firm obsługuje klientów korzystających z chmury za pośrednictwem Internetu. Aby przedsiębiorstwa mogły utrzymać przewagę na dzisiejszym rynku, obecność w sieci jest dla nich niemal niezbędna. Z drugiej strony konkurenci mogą wykorzystywać ataki DDoS, aby zdyskredytować swoją konkurencję, zamykając swoje usługi, sprawiając, że wyglądają na niewiarygodne.
Ataki DoS mogą być również wykorzystywane przez osoby atakujące jako ransomware. Przeciążanie serwera biznesowego nieistotnymi żądaniami i proszenie firmy o zapłacenie okupu przed odwołaniem ataków i udostępnieniem serwera legalnym użytkownikom.
Niektóre grupy atakowały również platformy, które nie zgadzają się z ich ideologią z powodów politycznych lub społecznych. Ogólnie rzecz biorąc, ataki DoS nie mają uprawnień do manipulowania danymi na serwerze; mogą raczej wyłączyć serwer, aby nie był używany przez innych użytkowników.
Łagodzenie ataków DoS/DDoS
Wiedząc, że istnieje możliwość ataku, firmy powinny upewnić się, że podjęły działania, aby ich systemy/serwery nie były łatwo narażone na ten atak bez podejmowania walki. Oto kilka środków, które firmy mogą podjąć, aby zapewnić sobie bezpieczeństwo.
Monitoruj swój ruch
Zrozumienie ruchu sieciowego może odegrać ogromną rolę w łagodzeniu ataków DoS. Każdy serwer ma wzorzec ruchu, który otrzymuje. Nagły skok w górę, z dala od regularnych wzorców ruchu, wskazuje na obecność nieprawidłowości, która może być również atakiem DoS. Zrozumienie ruchu może pomóc w szybkim działaniu w takich przypadkach.
Ograniczenie stawki
Ograniczając liczbę żądań, które można wysłać do serwera/sieci w określonym czasie, można złagodzić ataki DoS. Atakujący zazwyczaj wysyłają wiele żądań jednocześnie, aby przeciążyć serwer. Po wprowadzeniu limitu szybkości, gdy dozwolona liczba żądań zostanie odebrana w określonym przedziale czasu, serwer automatycznie opóźni dodatkowe żądanie, utrudniając atakującemu DoS przepełnienie serwera.
Serwer rozproszony
Posiadanie rozproszonego serwera w innym regionie to najlepsza globalna praktyka. Pomaga również łagodzić ataki DoS. Jeśli osoba atakująca przeprowadzi udany atak na serwer, inne serwery przedsiębiorstwa nie zostaną naruszone i nadal będą mogły obsługiwać uzasadnione żądania. Korzystanie z sieci dostarczania treści do buforowania serwerów w różnych lokalizacjach w pobliżu użytkowników służy również jako warstwa zapobiegania atakom DoS.
Przygotuj plan ataku DoS/DDoS
Bycie przygotowanym na każdą formę ataku jest kluczem do zmniejszenia ilości szkód, które atak może spowodować. Każdy zespół ds. bezpieczeństwa powinien dysponować szczegółowym planem postępowania w przypadku wystąpienia incydentu, aby uniknąć szukania rozwiązań w ramach ataku. Plan powinien zawierać, co robić, do kogo się udać, jak podtrzymywać uzasadnione prośby itp.
Monitorowanie systemu
Ciągłe monitorowanie serwera pod kątem wszelkich nieprawidłowości jest bardzo ważne dla ogólnego bezpieczeństwa. Monitorowanie w czasie rzeczywistym pomaga łatwo wykrywać ataki na czas i reagować na nie, zanim się nasilą. Pomaga również zespołowi dowiedzieć się, z jakiego ruchu pochodzi regularny i nietypowy ruch. Monitorowanie pomaga również łatwo blokować adresy IP wysyłane w złośliwych żądaniach.
Innym sposobem łagodzenia ataków DoS/DDoS jest wykorzystanie narzędzi zapory aplikacji internetowych i systemów monitorowania, które zostały zbudowane w celu szybkiego wykrywania udanych ataków i zapobiegania im. Narzędzia te są zautomatyzowane, aby służyć tej funkcji i mogą zapewnić wszechstronne bezpieczeństwo w czasie rzeczywistym.
Sucuri
Sucuri to zapora sieciowa aplikacji (WAF) i system zapobiegania włamaniom (IPS) dla stron internetowych. Sucuri blokuje wszelkie formy ataków DoS skierowanych na warstwy 3, 4 i 7 modelu OSI. Niektóre z jego kluczowych funkcji obejmują usługę proxy, ochronę przed atakami DDoS i szybkie skanowanie.
Rozbłysk chmur
Rozbłysk chmur jest jednym z najwyżej ocenianych narzędzi ograniczających ataki DDoS. Cloudflare oferuje również sieci dostarczania treści CDN, a także trzy warstwy ochrony, ochronę witryny przed atakami DDoS (L7), ochronę aplikacji przed atakami DDoS (L4) i ochronę sieci przed atakami DDoS (L3).
Imperva
Imperva WAF to serwer proxy, który filtruje cały ruch przychodzący i zapewnia jego bezpieczeństwo przed przekazaniem go do serwera WWW. Usługa proxy, łatanie zabezpieczeń i ciągłość dostępności witryny to tylko niektóre z kluczowych cech Imperva WAF.
Układaj WAF
Układaj WAF jest łatwy w konfiguracji i pomaga w precyzyjnej identyfikacji zagrożeń. Stack WAF zapewnia ochronę aplikacji, w tym witryn internetowych, interfejsów API i produktów SaaS, ochronę zawartości oraz ochronę przed atakami DDoS w warstwie aplikacji.
Tarcza AWS
Tarcza AWS monitoruje ruch w czasie rzeczywistym, analizując dane o przepływie w celu wykrycia podejrzanego ruchu. Wykorzystuje również filtrowanie pakietów i priorytetyzację ruchu, aby pomóc kontrolować ruch przez serwer. Warto zaznaczyć, że osłona AWS jest dostępna tylko w ramach środowiska AWS.
Dokonaliśmy przeglądu niektórych praktyk, które mogą pomóc w ograniczeniu udanego ataku DoD/DDoS na serwer. Należy zauważyć, że żadnych oznak zagrożeń/nieprawidłowości nie należy lekceważyć bez odpowiedniego postępowania
Ataki DoS vs. DDoS
DoS i DDoS na poziomie powierzchniowym są bardzo podobne. W tej sekcji omówimy niektóre z istotnych różnic, które odróżniają je od siebie.
ParameterDoSDDoSTRafficDoS pochodzi z jednego źródła. W związku z tym ilość ruchu, jaki może wygenerować, jest stosunkowo niska w porównaniu z atakiem DDoSDDoS wykorzystującym wiele botów/systemów, co oznacza, że może powodować jednocześnie dużą ilość ruchu z różnych źródeł i szybko przepełnić serwer. Źródło Pojedynczy system/botWiele systemów/botów jednocześnie Ataki TimeMitigationDoS są łatwiejsze do wykrycia i zakończenia, ponieważ pochodzą z jednego źródła. Ataki DDoS mają wiele źródeł, co utrudnia identyfikację źródła wszystkich celów i zakończenie ataku. Ataki DDoSDDoS są bardzo szybkieImpactOgraniczony wpływEkstremalny wpływ na system/serwer
Dolna linia
Organizacje powinny zapewnić, że bezpieczeństwo ich systemu jest traktowane priorytetowo w każdym przypadku; naruszenie/przerwa w działaniu usług może prowadzić do potencjalnej utraty zaufania ze strony użytkowników. Ataki DoS i DDoS są nielegalne i szkodliwe dla systemu docelowego. W związku z tym wszelkie środki mające na celu zapewnienie możliwości wykrycia tych ataków i zarządzania nimi należy traktować poważnie.
Możesz także zapoznać się z najlepszą opartą na chmurze ochroną przed atakami DDoS dla witryn małych i korporacyjnych.