Miten DDoS | DoS- ja DDoS-hyökkäystyökalut

by admin Leave Comment

Mitä ovat DoS- ja DDoS-hyökkäykset?

Palvelunestohyökkäykset (DoS) ja hajautetut palvelunestohyökkäykset (DDoS-hyökkäykset) ovat pahantahtoisia yrityksiä häiritä kohdepalvelimen, -palvelun tai -verkon tavanomaista toimintaa ylikuormittamalla se tulvimalla Internet-liikennettä.

DoS-hyökkäyksillä saavutetaan häiriö lähettämällä pahantahtoista tietoliikennettä yksittäisestä koneesta – tyypillisesti tietokoneesta. Ne voivat olla hyvin yksinkertaisia; perus ping-tulvahyökkäys voidaan toteuttaa lähettämällä kohteena olevalle palvelimelle enemmän ICMP (ping) -pyyntöjä kuin se pystyy käsittelemään ja vastaamaan tehokkaasti.

DDoS-hyökkäyksissä puolestaan käytetään useampaa kuin yhtä konetta lähettämään haitallista liikennettä kohteeseensa. Usein nämä koneet ovat osa bottiverkkoa, joka on kokoelma tietokoneita tai muita laitteita, jotka on saastutettu haittaohjelmilla ja joita yksittäinen hyökkääjä voi siten hallita etäältä. Toisissa tapauksissa useat yksittäiset hyökkääjät käynnistävät DDoS-hyökkäyksiä työskentelemällä yhdessä lähettääkseen liikennettä yksittäisistä tietokoneistaan.

DDoS-hyökkäykset ovat yleisempiä ja vahingollisempia nykyaikaisessa Internetissä kahdesta syystä. Ensinnäkin nykyaikaiset tietoturvatyökalut ovat kehittyneet pysäyttämään joitakin tavallisia DoS-hyökkäyksiä. Toiseksi DDoS-hyökkäystyökaluista on tullut suhteellisen halpoja ja helppokäyttöisiä.

Miten DoS/DDoS-hyökkäystyökalut luokitellaan?

On olemassa useita työkaluja, jotka voidaan mukauttaa DoS/DDoS-hyökkäysten käynnistämiseen tai jotka on nimenomaisesti suunniteltu tähän tarkoitukseen. Edelliseen luokkaan kuuluvat usein ””stressorit”” – työkalut, joiden ilmoitettu tarkoitus on auttaa tietoturvatutkijoita ja verkkoinsinöörejä suorittamaan stressitestejä omia verkkojaan vastaan, mutta joita voidaan käyttää myös aitojen hyökkäysten suorittamiseen.

Jotkut niistä ovat erikoistuneita ja keskittyvät vain tiettyyn OSI-mallin kerrokseen, kun taas toiset on suunniteltu niin, että ne mahdollistavat useiden hyökkäysvektorien käytön. Hyökkäystyökalujen luokkia ovat:

Matalat ja hitaat hyökkäystyökalut

Kuten nimikin kertoo, tämäntyyppiset hyökkäystyökalut käyttävät vähän dataa ja toimivat hyvin hitaasti. Nämä työkalut on suunniteltu lähettämään pieniä määriä dataa useiden yhteyksien kautta, jotta kohteena olevan palvelimen portit pysyisivät auki mahdollisimman pitkään, ja ne vievät palvelimen resursseja niin kauan, kunnes se ei enää pysty ylläpitämään lisäyhteyksiä. Ainutlaatuisesti matalat ja hitaat hyökkäykset voivat toisinaan olla tehokkaita myös silloin, kun ei käytetä hajautettua järjestelmää, kuten bottiverkkoa, ja niitä käytetään yleisesti yhdellä koneella.

Sovelluskerroksen (L7) hyökkäystyökalut

Nämä työkalut kohdistuvat OSI-mallin 7. kerrokseen, jossa Internet-pohjaiset pyynnöt, kuten HTTP, tapahtuvat. Käyttämällä HTTP-tulvahyökkäystä, jolla kohde ylikuormitetaan HTTP GET- ja POST-pyynnöillä, pahantahtoinen toimija voi käynnistää hyökkäysliikennettä, jota on vaikea erottaa todellisten kävijöiden tekemistä normaaleista pyynnöistä.

Protokolla- ja kuljetuskerroksen (L3/L4) hyökkäystyökalut

Protokolla- ja kuljetuskerroksen hyökkäystyökalut

Protokollapinoa alempana nämä työkalut käyttävät protokollia, kuten UDP:tä, lähettäessään suuria määriä liikennettä kohteena olevalle palvelimelle, kuten UDP-tulvan aikana. Vaikka nämä hyökkäykset ovat usein yksinään tehottomia, ne esiintyvät tyypillisesti DDoS-hyökkäysten muodossa, joissa ylimääräisten hyökkäävien koneiden hyöty lisää vaikutusta.

Mitkä ovat yleisesti käytettyjä DoS/DDoS-hyökkäystyökaluja?

Joitakin yleisesti käytettyjä työkaluja ovat muun muassa:

Low Orbit Ion Cannon (LOIC)

LOIC on avoimen lähdekoodin stressitestaussovellus. Sen avulla voidaan suorittaa sekä TCP- että UDP-protokollakerroksen hyökkäyksiä käyttäjäystävällisen WYSIWYG-käyttöliittymän avulla. Alkuperäisen työkalun suosion vuoksi siitä on luotu johdannaisia, jotka mahdollistavat hyökkäysten käynnistämisen verkkoselaimella.

High Orbit Ion Cannon (HOIC)

Tämä hyökkäystyökalu luotiin korvaamaan LOICin laajentamalla sen ominaisuuksia ja lisäämällä mukautuksia. HTTP-protokollaa käyttäen HOIC pystyy käynnistämään kohdennettuja hyökkäyksiä, joita on vaikea torjua. Ohjelmisto on suunniteltu siten, että vähintään 50 henkilöä työskentelee yhdessä koordinoidussa hyökkäyksessä.

Slowloris

Slowloris on sovellus, joka on suunniteltu käynnistämään matala ja hidas hyökkäys kohteena olevalle palvelimelle. Se tarvitsee suhteellisen rajallisen määrän resursseja vahingollisen vaikutuksen aikaansaamiseksi.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. on toinen matalan ja hitaan hyökkäyksen työkalu, joka on suunniteltu siten, että käyttäjä voi helposti käynnistää hyökkäyksiä yksinkertaisen osoita ja napsauta -käyttöliittymän avulla. Avaamalla useita HTTP POST -pyyntöjä ja pitämällä näitä yhteyksiä auki mahdollisimman pitkään hyökkäyksen tavoitteena on hitaasti musertaa kohteena oleva palvelin.

Miten voin puolustautua DoS/DDoS-työkaluja vastaan?

Koska DoS- ja DDoS-hyökkäykset ilmenevät monissa eri muodoissa, niiden lieventäminen vaatii monenlaisia taktiikoita. Yleisiä taktiikoita DDoS-hyökkäysten pysäyttämiseksi ovat:

  • Rate limiting: Palvelimen hyväksymien pyyntöjen määrän rajoittaminen tietyn aikaikkunan aikana
  • Web-sovelluspalomuurit: Työkalut, jotka suodattavat verkkoliikennettä sääntöihin perustuen
  • Anycast-verkon leviäminen: Suuren, hajautetun pilviverkon sijoittaminen palvelimen ja saapuvan liikenteen väliin, mikä tarjoaa ylimääräisiä laskentaresursseja pyyntöihin vastaamiseen.

Cloudflare soveltaa kaikkia näitä strategioita ja paljon muuta puolustautuakseen suurimmilta ja monimutkaisimmilta DoS- ja DDoS-hyökkäyksiltä. Lue lisää Cloudflaren DDoS-suojauksesta ja sen toiminnasta.

Vastaa

Sähköpostiosoitettasi ei julkaista.