Τι είναι μια επίθεση DDOS;

Το DDOS σημαίνει Κατανεμημένη άρνηση παροχής υπηρεσιών. Είναι ένας τύπος εγκλήματος στον κυβερνοχώρο όπου ένα ή περισσότερα μέρη προσπαθούν να διακόψουν την κυκλοφορία ενός διακομιστή ή ιστότοπου. Για να είναι αποτελεσματικοί, δεν χρησιμοποιούν μόνο έναν υπολογιστή για να επιτεθούν, αλλά συχνά ένα ολόκληρο δίκτυο από αυτούς.

Ωστόσο, δεν πρόκειται μόνο για τα μηχανήματα του εισβολέα – υπάρχουν είδη κακόβουλου λογισμικού και ιών που μπορούν να επηρεάσουν τον υπολογιστή ενός κανονικού χρήστη και να τον μετατρέψουν σε μέρος της επίθεσης. Ακόμη και οι συσκευές IoT δεν είναι ασφαλείς – εάν έχετε μια έξυπνη συσκευή στο σπίτι σας, θα μπορούσε θεωρητικά να χρησιμοποιηθεί για μια τέτοια επίθεση.

Πώς λειτουργεί;

Ο απλούστερος τρόπος για να εξηγήσετε τις επιθέσεις DDOS είναι να τις συγκρίνετε με μποτιλιαρίσματα. Η κανονική ροή της κυκλοφορίας διακόπτεται επειδή δεκάδες (ή εκατοντάδες, χιλιάδες, κ.λπ.) απροσδόκητα αυτοκίνητα συγχωνεύονται στον κεντρικό δρόμο χωρίς να αφήσουν άλλα αυτοκίνητα να φύγουν.

Η αναδυόμενη εμπλοκή εμποδίζει τους κανονικούς οδηγούς να φτάσουν στον στόχο τους – σε ένα συμβάν DDOS, αυτός θα ήταν ο διακομιστής ή ο ιστότοπος που αναζητούν.

Υπάρχουν διάφοροι τύποι επίθεσης που στοχεύουν διαφορετικά στοιχεία της κανονικής επικοινωνίας πελάτη-διακομιστή.

Οι επιθέσεις επιπέδου εφαρμογής προσπαθούν να εξαντλήσουν τους πόρους του στόχου αναγκάζοντάς τον να φορτώνει επανειλημμένα αρχεία ή ερωτήματα βάσης δεδομένων – αυτό επιβραδύνει τον ιστότοπο και μπορεί, σε ακραίες περιπτώσεις, να προκαλέσει προβλήματα με τον διακομιστή υπερθέρμανση του ή αυξάνοντας τη χρήση ενέργειας. Αυτές οι επιθέσεις είναι δύσκολο να αμυνθούν, επειδή είναι δύσκολο να εντοπιστούν – δεν είναι εύκολο να πούμε εάν η αύξηση της χρήσης οφείλεται σε αύξηση της πραγματικής κυκλοφορίας ή σε κακόβουλη επίθεση.

Οι επιθέσεις πλημμύρας HTTP πραγματοποιούνται ουσιαστικά με την ανανέωση μιας σελίδας προγράμματος περιήγησης ξανά και ξανά – εκτός από εκατομμύρια φορές. Αυτή η πλημμύρα αιτημάτων προς έναν διακομιστή συχνά θα έχει ως αποτέλεσμα να κατακλύζεται και να μην ανταποκρίνεται πλέον σε (γνήσια) αιτήματα. Οι άμυνες περιλαμβάνουν την ύπαρξη εφεδρικών διακομιστών και αρκετή χωρητικότητα για τη διαχείριση υπερχείλισης αιτημάτων. Για παράδειγμα, μια τέτοια επίθεση σχεδόν σίγουρα δεν θα λειτουργούσε εναντίον του Facebook επειδή η υποδομή τους είναι τόσο ισχυρή που μπορεί να χειριστεί επιθέσεις σαν αυτήν.

Οι επιθέσεις πρωτοκόλλου προσπαθούν να εξαντλήσουν έναν διακομιστή καταναλώνοντας όλη τη χωρητικότητα που έχουν πράγματα όπως οι εφαρμογές Ιστού – έτσι επαναλαμβάνοντας αιτήματα σε ένα στοιχείο ενός ιστότοπου ή μιας υπηρεσίας. Κάτι τέτοιο προκαλεί τη διακοπή της απόκρισης της εφαρμογής web. Συχνά, χρησιμοποιούνται φίλτρα που μπλοκάρουν επαναλαμβανόμενα αιτήματα από τις ίδιες διευθύνσεις IP, προκειμένου να αποφευχθούν επιθέσεις και να διατηρηθεί η λειτουργία της υπηρεσίας για κανονικούς χρήστες.

Οι επιθέσεις SYN Flood γίνονται, στην ουσία, ζητώντας επανειλημμένα από τον διακομιστή να ανακτήσει ένα στοιχείο και στη συνέχεια να μην επιβεβαιώσει τη λήψη του. Αυτό σημαίνει ότι ο διακομιστής κρατά τα στοιχεία και περιμένει την απόδειξη που δεν θα έρθει ποτέ – έως ότου τελικά δεν μπορεί να κρατήσει άλλο και αρχίσει να τα ρίχνει για να πάρει περισσότερα.

Οι Volumetric Attacks προσπαθούν να δημιουργήσουν τεχνητά συμφόρηση καταλαμβάνοντας ειδικά όλο το εύρος ζώνης που διαθέτει ένας διακομιστής. Αυτό είναι παρόμοιο με τις επιθέσεις HTTP Flood με τη διαφορά ότι αντί για επαναλαμβανόμενα αιτήματα, τα δεδομένα αποστέλλονται στον διακομιστή, με αποτέλεσμα να τον κρατούν πολύ απασχολημένο για να ανταποκρίνεται στην κανονική κίνηση. Τα botnet χρησιμοποιούνται συνήθως για την πραγματοποίηση αυτών των επιθέσεων – συχνά χρησιμοποιούν επίσης ενίσχυση DNS.

Συμβουλή: Η ενίσχυση DNS λειτουργεί σαν μεγάφωνο – ένα μικρότερο αίτημα ή πακέτο δεδομένων παρουσιάζεται ως πολύ μεγαλύτερο από ό,τι είναι. Θα μπορούσε να είναι ο εισβολέας που ζητά όλα όσα έχει να προσφέρει ένας διακομιστής και στη συνέχεια του ζητά να επαναλάβει όλα όσα ζήτησε ο εισβολέας – ένα σχετικά μικρό και απλό αίτημα καταλήγει να καταλαμβάνει πολλούς πόρους.

Πώς να αμυνθείτε από επιθέσεις DDOS;

Το πρώτο βήμα για την αντιμετώπιση αυτών των επιθέσεων είναι να βεβαιωθείτε ότι συμβαίνουν πραγματικά. Ο εντοπισμός τους δεν είναι πάντα εύκολος, καθώς οι αυξήσεις στην κυκλοφορία μπορεί να είναι φυσιολογική συμπεριφορά λόγω των ζωνών ώρας, των δελτίων ειδήσεων και άλλων. Για να δουλέψουν οι επιθέσεις τους, οι εισβολείς DDOS προσπαθούν να κρύψουν τη συμπεριφορά τους στην κανονική κυκλοφορία όσο το δυνατόν περισσότερο.

Άλλες ρουτίνες για τον μετριασμό των επιθέσεων DDOS είναι οι μαύρες τρύπες, ο περιορισμός ρυθμού και τα τείχη προστασίας. Οι μαύρες τρύπες είναι ένα αρκετά ακραίο μέτρο – δεν προσπαθούν να διαχωρίσουν την πραγματική κίνηση από μια επίθεση, αλλά μάλλον ανακατευθύνουν κάθε αίτημα μακριά από τον διακομιστή και στη συνέχεια το απορρίπτουν. Αυτό μπορεί να γίνει κατά την προετοιμασία μιας αναμενόμενης επίθεσης, για παράδειγμα.

Ο περιορισμός ρυθμού είναι λίγο λιγότερο σκληρός για τους χρήστες – θέτει ένα τεχνητό όριο για το πόσα αιτήματα θα δεχτεί ένας διακομιστής. Αυτό το όριο είναι αρκετό για να επιτρέψει τη διέλευση της κανονικής κυκλοφορίας, αλλά πάρα πολλά αιτήματα ανακατευθύνονται αυτόματα και απορρίπτονται – με αυτόν τον τρόπο, ο διακομιστής δεν μπορεί να κατακλυστεί. Είναι επίσης ένας αποτελεσματικός τρόπος για να σταματήσετε τις προσπάθειες διάρρηξης κωδικού πρόσβασης με ωμή βία – μετά από, ας πούμε, πέντε προσπάθειες, η διεύθυνση IP που προσπαθείτε απλώς κλειδώνεται.

Τα τείχη προστασίας δεν είναι χρήσιμα μόνο για προστασία στον υπολογιστή σας, αλλά και στην επισκεψιμότητα από την πλευρά του διακομιστή. Ειδικότερα, τα τείχη προστασίας εφαρμογών Ιστού εγκαθίστανται μεταξύ του Διαδικτύου και ενός διακομιστή – προστατεύουν από πολλούς διαφορετικούς τύπους επιθέσεων. Τα καλά τείχη προστασίας μπορούν επίσης να ρυθμίσουν γρήγορα προσαρμοσμένες απαντήσεις σε επιθέσεις καθώς συμβαίνουν.

Συμβουλή: Εάν θέλετε να προστατέψετε τον ιστότοπο ή τον διακομιστή σας από κάποιου είδους επίθεση DDOS, θα χρειαστείτε μια διάταξη διαφορετικών λύσεων (πιθανότατα συμπεριλαμβανομένου ενός τείχους προστασίας). Ο καλύτερος τρόπος για να το κάνετε αυτό θα ήταν να συμβουλευτείτε έναν σύμβουλο κυβερνοασφάλειας και να του ζητήσετε να καταλήξουν σε ένα προσαρμοσμένο σχέδιο που ταιριάζει στις ανάγκες σας. Δεν υπάρχει λύση που να ταιριάζει σε όλους!