การปฏิเสธการบริการและการโจมตี DDoS คืออะไร
การโจมตี DoS (การปฏิเสธการบริการ) และ DDoS (การกระจายการปฏิเสธการให้บริการ) กำลังเป็นเรื่องปกติและมีศักยภาพมากขึ้นเรื่อย ๆ การโจมตี Denial of Service มีหลายรูปแบบ แต่มีจุดประสงค์ร่วมกัน: การหยุดผู้ใช้ไม่ให้เข้าถึงทรัพยากรไม่ว่าจะเป็นหน้าเว็บอีเมลเครือข่ายโทรศัพท์หรือสิ่งอื่นใดโดยสิ้นเชิง มาดูประเภทการโจมตีที่พบบ่อยที่สุดกับเป้าหมายบนเว็บและวิธีที่ DoS สามารถกลายเป็น DDoS ได้อย่างไร.
การโจมตีประเภท Denial of Service (DoS) ที่พบมากที่สุด
หัวใจหลักของมันคือการโจมตีแบบปฏิเสธการให้บริการโดยปกติจะมีการโจมตีเซิร์ฟเวอร์ - เซิร์ฟเวอร์ของเว็บไซต์ - มากจนไม่สามารถให้บริการกับผู้ใช้ที่ถูกกฎหมาย มีสองสามวิธีที่สามารถดำเนินการได้ส่วนใหญ่เป็นการโจมตี TCP ที่ท่วมท้นและการโจมตีขยาย DNS.
การโจมตี Flooding TCP
ปริมาณข้อมูลเกือบทุกเว็บ (HTTP / HTTPS) ดำเนินการโดยใช้ Transmission Control Protocol (TCP) TCP มีค่าใช้จ่ายมากกว่าทางเลือกคือ User Datagram Protocol (UDP) แต่ถูกออกแบบมาให้มีความน่าเชื่อถือ คอมพิวเตอร์สองเครื่องเชื่อมต่อกันผ่าน TCP จะยืนยันการรับของแต่ละแพ็กเก็ต หากไม่มีการยืนยันจะต้องส่งแพ็กเก็ตอีกครั้ง.
จะเกิดอะไรขึ้นหากคอมพิวเตอร์เครื่องหนึ่งถูกตัดการเชื่อมต่อ บางทีผู้ใช้อาจสูญเสียพลังงาน ISP ของพวกเขามีความล้มเหลวหรือแอปพลิเคชันใดก็ตามที่พวกเขากำลังใช้งานอยู่โดยไม่แจ้งคอมพิวเตอร์เครื่องอื่น ลูกค้ารายอื่นต้องหยุดส่งแพ็กเก็ตเดียวกันซ้ำอีกครั้งมิฉะนั้นจะเป็นการสิ้นเปลืองทรัพยากร เพื่อป้องกันการส่งที่ไม่มีที่สิ้นสุดมีการระบุช่วงเวลาการหมดเวลาและ / หรือขีด จำกัด บนจำนวนแพ็คเก็ตที่สามารถส่งซ้ำได้อีกครั้งก่อนที่จะทำการเชื่อมต่อโดยสมบูรณ์.
TCP ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการติดต่อสื่อสารที่เชื่อถือได้ระหว่างฐานทัพในกรณีที่เกิดภัยพิบัติ แต่การออกแบบนี้ทำให้เสี่ยงต่อการถูกปฏิเสธการบริการ เมื่อสร้าง TCP จะไม่มีใครถ่ายภาพว่าจะใช้อุปกรณ์ไคลเอนต์มากกว่าพันล้านเครื่อง การป้องกันการปฏิเสธการจู่โจมบริการที่ทันสมัยไม่ใช่แค่ส่วนหนึ่งของกระบวนการออกแบบ.
การปฏิเสธการโจมตีบริการที่พบบ่อยที่สุดกับเว็บเซิร์ฟเวอร์นั้นทำโดยการส่งสแปม SYN (ซิงโครไนซ์) แพ็คเก็ต การส่งแพ็คเก็ต SYN เป็นขั้นตอนแรกของการเริ่มต้นการเชื่อมต่อ TCP หลังจากได้รับแพ็คเก็ต SYN แล้วเซิร์ฟเวอร์จะตอบกลับด้วยแพ็คเก็ต SYN-ACK (ซิงค์การตอบรับ) ในที่สุดไคลเอนต์ส่งแพ็กเก็ต ACK (ตอบรับ) ทำให้การเชื่อมต่อเสร็จสมบูรณ์.
อย่างไรก็ตามหากไคลเอ็นต์ไม่ตอบสนองต่อแพ็คเก็ต SYN-ACK ภายในเวลาที่กำหนดเซิร์ฟเวอร์จะส่งแพ็กเก็ตอีกครั้งและรอการตอบกลับ มันจะทำซ้ำขั้นตอนนี้ซ้ำแล้วซ้ำอีกซึ่งอาจทำให้เสียหน่วยความจำและเวลาตัวประมวลผลบนเซิร์ฟเวอร์ ในความเป็นจริงถ้าทำเพียงพออาจเสียเวลาหน่วยความจำและตัวประมวลผลจำนวนมากจนผู้ใช้ที่ถูกกฎหมายทำให้เซสชันถูกตัดสั้นหรือเซสชันใหม่ไม่สามารถเริ่มต้นได้ นอกจากนี้การใช้แบนด์วิดท์ที่เพิ่มขึ้นจากแพ็คเก็ตทั้งหมดสามารถทำให้เครือข่ายอิ่มตัวทำให้ไม่สามารถรับส่งข้อมูลที่ต้องการได้จริง.
การโจมตีการขยาย DNS
การโจมตีแบบปฏิเสธการให้บริการยังสามารถมุ่งไปที่เซิร์ฟเวอร์ DNS: เซิร์ฟเวอร์ที่แปลชื่อโดเมน (เช่น howtogeek.com) เป็นที่อยู่ IP (12.345.678.900) ที่คอมพิวเตอร์ใช้ในการสื่อสาร เมื่อคุณพิมพ์ howtogeek.com ในเบราว์เซอร์ของคุณจะถูกส่งไปยังเซิร์ฟเวอร์ DNS จากนั้นเซิร์ฟเวอร์ DNS จะนำคุณไปยังเว็บไซต์จริง ความเร็วและเวลาในการตอบสนองต่ำเป็นปัญหาสำคัญสำหรับ DNS ดังนั้นโปรโตคอลจะทำงานผ่าน UDP แทน TCP DNS เป็นส่วนสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ตและแบนด์วิดธ์ที่ใช้โดยคำขอ DNS นั้นมีน้อยที่สุด.
อย่างไรก็ตาม DNS เติบโตอย่างช้าๆพร้อมกับคุณสมบัติใหม่ ๆ ถูกเพิ่มเข้ามาเรื่อย ๆ เมื่อเวลาผ่านไป สิ่งนี้ทำให้เกิดปัญหา: DNS มีขนาดแพคเก็ต จำกัด ที่ 512 ไบต์ซึ่งไม่เพียงพอสำหรับฟีเจอร์ใหม่ทั้งหมด ดังนั้นในปี 1999 IEEE จึงเผยแพร่ข้อกำหนดสำหรับกลไกการขยายสำหรับ DNS (EDNS) ซึ่งเพิ่มจำนวนสูงสุดเป็น 4096 ไบต์ทำให้สามารถรวมข้อมูลเพิ่มเติมในแต่ละคำขอได้.
อย่างไรก็ตามการเปลี่ยนแปลงนี้ทำให้ DNS เสี่ยงต่อ“ การขยายการโจมตี” ผู้โจมตีสามารถส่งคำขอที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ DNS เพื่อขอข้อมูลจำนวนมากและขอให้ส่งไปยังที่อยู่ IP ของเป้าหมาย “ เครื่องขยายเสียง” ถูกสร้างขึ้นเนื่องจากการตอบสนองของเซิร์ฟเวอร์มีขนาดใหญ่กว่าคำขอที่สร้างขึ้นและเซิร์ฟเวอร์ DNS จะส่งการตอบสนองไปยัง IP ที่ปลอมแปลง.
เซิร์ฟเวอร์ DNS จำนวนมากไม่ได้รับการกำหนดค่าให้ตรวจจับหรือวางคำขอที่ไม่ดีดังนั้นเมื่อผู้โจมตีส่งคำขอปลอมซ้ำ ๆ เหยื่อจะถูกน้ำท่วมด้วยแพ็คเก็ต EDNS ขนาดใหญ่ทำให้แออัดของเครือข่าย ไม่สามารถจัดการข้อมูลได้มากการรับส่งข้อมูลที่ถูกกฎหมายจะสูญหาย.
ดังนั้นการโจมตีแบบปฏิเสธการให้บริการ (DDoS) คืออะไร?
การปฏิเสธการให้บริการแบบกระจายนั้นเป็นการโจมตีที่มีผู้โจมตีหลายคน (บางครั้งไม่เจตนา) เว็บไซต์และแอปพลิเคชันได้รับการออกแบบมาเพื่อรองรับการเชื่อมต่อพร้อมกันจำนวนมากหลังจากนั้นเว็บไซต์จะไม่เป็นประโยชน์หากมีเพียงคนเดียวเท่านั้นที่สามารถเยี่ยมชมได้ตลอดเวลา บริการยักษ์เช่น Google, Facebook หรือ Amazon ได้รับการออกแบบมาเพื่อรองรับผู้ใช้งานพร้อมกันนับล้านหรือสิบล้านคน ด้วยเหตุนี้จึงเป็นไปไม่ได้ที่ผู้โจมตีรายเดียวจะสามารถโจมตีพวกเขาด้วยการปฏิเสธการโจมตีจากผู้ให้บริการ แต่ จำนวนมาก ผู้โจมตีสามารถ.
วิธีการที่พบบ่อยที่สุดในการสรรหาผู้โจมตีคือผ่านบ็อตเน็ต ในบ็อตเน็ตแฮ็กเกอร์ติดอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทุกประเภทด้วยมัลแวร์ อุปกรณ์เหล่านั้นอาจเป็นคอมพิวเตอร์โทรศัพท์หรือแม้แต่อุปกรณ์อื่น ๆ ในบ้านของคุณเช่น DVR และกล้องรักษาความปลอดภัย เมื่อติดเชื้อแล้วพวกเขาสามารถใช้อุปกรณ์เหล่านั้น (เรียกว่าซอมบี้) เพื่อติดต่อคำสั่งและเซิร์ฟเวอร์ควบคุมเป็นระยะเพื่อขอคำแนะนำ คำสั่งเหล่านี้มีตั้งแต่การขุด cryptocurrencies ไปจนถึงใช่การเข้าร่วมในการโจมตี DDoS ด้วยวิธีนี้พวกเขาไม่ต้องการแฮ็กเกอร์จำนวนมากมารวมตัวกัน - พวกเขาสามารถใช้อุปกรณ์ที่ไม่ปลอดภัยของผู้ใช้ตามบ้านทั่วไปเพื่อทำงานสกปรก.
การจู่โจม DDoS อื่น ๆ อาจดำเนินการโดยสมัครใจโดยปกติจะเป็นเพราะเหตุผลทางการเมือง ลูกค้าเช่น Cannon Ion Orbit ทำให้การโจมตี DoS ง่ายและง่ายต่อการกระจาย โปรดทราบว่ามันเป็นสิ่งผิดกฎหมายในประเทศส่วนใหญ่ที่จะมีส่วนร่วมในการโจมตี DDoS (โดยเจตนา).
ในที่สุดการโจมตี DDoS อาจไม่ได้ตั้งใจ แต่เดิมเรียกว่าเอฟเฟกต์ Slashdot และใช้เป็น "กอดแห่งความตาย" ปริมาณการเข้าชมที่ถูกกฎหมายจำนวนมากสามารถทำลายเว็บไซต์ได้ คุณอาจเคยเห็นสิ่งนี้เกิดขึ้นมาก่อน - เว็บไซต์ยอดนิยมเชื่อมโยงไปยังบล็อกขนาดเล็กและมีผู้ใช้จำนวนมากไหลบ่าเข้ามาในเว็บไซต์โดยไม่ตั้งใจ ในทางเทคนิคสิ่งนี้ยังคงจัดเป็น DDoS แม้ว่าจะไม่ได้ตั้งใจหรือเป็นอันตราย.
ฉันจะป้องกันตนเองจากการถูกปฏิเสธการโจมตีได้อย่างไร?
ผู้ใช้ทั่วไปไม่ต้องกังวลเกี่ยวกับการเป็นเป้าหมายของการปฏิเสธการโจมตีบริการ ด้วยข้อยกเว้นของ streamers และนักเล่นเกมมืออาชีพจึงเป็นเรื่องยากมากที่ DoS จะชี้ไปที่บุคคล ที่กล่าวว่าคุณควรทำอย่างดีที่สุดเพื่อปกป้องอุปกรณ์ทั้งหมดของคุณจากมัลแวร์ที่อาจทำให้คุณเป็นส่วนหนึ่งของบ็อตเน็ต.
อย่างไรก็ตามหากคุณเป็นผู้ดูแลเว็บเซิร์ฟเวอร์มีข้อมูลมากมายเกี่ยวกับวิธีการรักษาความปลอดภัยบริการของคุณจากการโจมตี DoS การกำหนดค่าเซิร์ฟเวอร์และอุปกรณ์ต่างๆสามารถลดการโจมตีได้บ้าง ผู้อื่นสามารถป้องกันได้ด้วยการทำให้มั่นใจว่าผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องไม่สามารถดำเนินการที่ต้องใช้ทรัพยากรเซิร์ฟเวอร์ที่สำคัญ โชคไม่ดีความสำเร็จของการโจมตี DoS มักถูกกำหนดโดยผู้ที่มีท่อที่ใหญ่กว่า บริการต่าง ๆ เช่น Cloudflare และ Incapsula ให้ความคุ้มครองโดยยืนอยู่หน้าเว็บไซต์ แต่อาจมีราคาแพง.