- Co to są ataki DoS i DDoS?
- Jak kategoryzowane są narzędzia do ataków DoS/DDoS?
- Narzędzia niskiego i powolnego ataku
- Narzędzia do ataku na warstwę aplikacji (L7)
- Narzędzia do ataków w warstwie protokołu i transportu (L3/L4)
- Jakie są powszechnie używane narzędzia do ataków DoS/DDoS?
- Low Orbit Ion Cannon (LOIC)
- High Orbit Ion Cannon (HOIC)
- Slowloris
- R.U.D.Y (R-U-Dead-Yet)
- Jak mogę się bronić przed narzędziami DoS/DDoS?
Co to są ataki DoS i DDoS?
Ataki typu DoS (DoS) i DDoS (Distributed Denial-of-Service) są złośliwymi próbami zakłócenia normalnego działania docelowego serwera, usługi lub sieci przez przytłoczenie go zalewem ruchu internetowego.
Ataki DDoS osiągają to zakłócenie przez wysyłanie złośliwego ruchu z pojedynczej maszyny – zazwyczaj komputera. Mogą być bardzo proste; podstawowy atak ping flood może być przeprowadzony przez wysłanie większej liczby żądań ICMP (ping) do docelowego serwera, niż jest on w stanie przetworzyć i skutecznie na nie odpowiedzieć.
Ataki DDoS wykorzystują więcej niż jedną maszynę do wysyłania złośliwego ruchu do celu. Często maszyny te są częścią botnetu – zbioru komputerów lub innych urządzeń, które zostały zainfekowane złośliwym oprogramowaniem i mogą być zdalnie kontrolowane przez pojedynczego atakującego. W innych okolicznościach wielu indywidualnych napastników przeprowadza ataki DDoS, współpracując przy wysyłaniu ruchu ze swoich komputerów.
Ataki DDoS są bardziej powszechne i szkodliwe we współczesnym Internecie z dwóch powodów. Po pierwsze, nowoczesne narzędzia bezpieczeństwa rozwinęły się tak, aby powstrzymać niektóre zwykłe ataki DoS. Po drugie, narzędzia do ataków DDoS stały się stosunkowo tanie i łatwe w obsłudze.
Jak kategoryzowane są narzędzia do ataków DoS/DDoS?
Istnieje wiele narzędzi, które mogą być przystosowane do przeprowadzania ataków DoS/DDoS lub są wyraźnie zaprojektowane do tego celu. Pierwsza kategoria to często „stresory” – narzędzia, których celem jest pomoc badaczom bezpieczeństwa i inżynierom sieciowym w przeprowadzaniu testów warunków skrajnych w ich własnych sieciach, ale które mogą być również wykorzystywane do przeprowadzania prawdziwych ataków.
Niektóre z nich są wyspecjalizowane i koncentrują się tylko na konkretnej warstwie modelu OSI, podczas gdy inne są zaprojektowane tak, aby umożliwić przeprowadzanie wielu wektorów ataku. Kategorie narzędzi ataku obejmują:
Narzędzia niskiego i powolnego ataku
Jak sama nazwa wskazuje, tego typu narzędzia ataku wykorzystują niewielką ilość danych i działają bardzo powoli. Zaprojektowane do wysyłania małych ilości danych przez wiele połączeń w celu utrzymania otwartych portów na docelowym serwerze tak długo, jak to możliwe, narzędzia te kontynuują zajmowanie zasobów serwera do momentu, gdy nie jest on w stanie utrzymywać dodatkowych połączeń. Wyjątkowo, ataki o niskim i powolnym tempie mogą być czasami skuteczne nawet bez użycia systemu rozproszonego, takiego jak botnet, i są powszechnie używane przez pojedynczą maszynę.
Narzędzia do ataku na warstwę aplikacji (L7)
Narzędzia te celują w warstwę 7 modelu OSI, gdzie występują żądania internetowe, takie jak HTTP. Używając ataku HTTP flood w celu przytłoczenia celu żądaniami HTTP GET i POST, złośliwy aktor może uruchomić ruch związany z atakiem, który trudno odróżnić od normalnych żądań wykonywanych przez rzeczywistych odwiedzających.
Narzędzia do ataków w warstwie protokołu i transportu (L3/L4)
Schodząc dalej w dół stosu protokołów, narzędzia te wykorzystują protokoły takie jak UDP do wysyłania dużych ilości ruchu do serwera docelowego, na przykład podczas powodzi UDP. Chociaż często są one nieskuteczne indywidualnie, ataki te są zazwyczaj spotykane w formie ataków DDoS, gdzie korzyści płynące z dodatkowych atakujących maszyn zwiększają efekt.
Jakie są powszechnie używane narzędzia do ataków DoS/DDoS?
Niektóre powszechnie używane narzędzia obejmują:
Low Orbit Ion Cannon (LOIC)
LoIC jest aplikacją open-source do testowania warunków skrajnych. Pozwala na przeprowadzanie ataków zarówno na warstwę protokołu TCP jak i UDP przy użyciu przyjaznego dla użytkownika interfejsu WYSIWYG. Ze względu na popularność oryginalnego narzędzia stworzono jego pochodne, które pozwalają na przeprowadzanie ataków za pomocą przeglądarki internetowej.
High Orbit Ion Cannon (HOIC)
To narzędzie do przeprowadzania ataków zostało stworzone w celu zastąpienia LOIC poprzez rozszerzenie jego możliwości i dodanie modyfikacji. Wykorzystując protokół HTTP, HOIC jest w stanie przeprowadzać ataki ukierunkowane, które są trudne do zminimalizowania. Oprogramowanie zostało zaprojektowane tak, aby minimum 50 osób pracowało razem w skoordynowanym ataku.
Slowloris
Slowloris to aplikacja zaprojektowana do przeprowadzania powolnych ataków na docelowy serwer. Potrzebuje stosunkowo niewielkiej ilości zasobów, aby wywołać szkodliwy efekt.
R.U.D.Y (R-U-Dead-Yet)
R.U.D.Y. to kolejne narzędzie do przeprowadzania powolnych ataków, zaprojektowane tak, aby umożliwić użytkownikowi łatwe przeprowadzanie ataków przy użyciu prostego interfejsu typu „wskaż i kliknij”. Otwierając wiele żądań HTTP POST, a następnie utrzymując te połączenia otwarte tak długo, jak to możliwe, atak ma na celu powolne przeciążenie docelowego serwera.
Jak mogę się bronić przed narzędziami DoS/DDoS?
Ponieważ ataki DoS i DDoS przybierają różne formy, łagodzenie ich wymaga zastosowania różnych taktyk. Typowe taktyki powstrzymywania ataków DDoS obejmują:
- Ograniczanie prędkości: Ograniczenie liczby żądań, które serwer przyjmie w określonym oknie czasowym
- Zapory aplikacji internetowych: Narzędzia, które filtrują ruch sieciowy na podstawie serii reguł
- Rozprzestrzenianie się sieci Anycast: Umieszczanie dużej, rozproszonej sieci chmurowej między serwerem a ruchem przychodzącym, zapewniając dodatkowe zasoby obliczeniowe, za pomocą których można odpowiadać na żądania.
Cloudflare stosuje wszystkie te strategie i wiele więcej, aby bronić się przed największymi, najbardziej złożonymi atakami DoS i DDoS. Dowiedz się więcej o ochronie DDoS firmy Cloudflare i sposobie jej działania.