Kaj je DDOS napad?

DDOS je kratica za Distributed Denial-Of-Service. To je vrsta kibernetskega kriminala, pri katerem ena ali več strank poskuša prekiniti promet strežnika ali spletnega mesta. Da bi bili učinkoviti, za napad ne uporabljajo samo enega računalnika, ampak pogosto celo njihovo mrežo.

To pa niso samo napadalčevi stroji – obstajajo vrste zlonamerne programske opreme in virusov, ki lahko prizadenejo običajen uporabniški računalnik in ga spremenijo v del napada. Tudi naprave interneta stvari niso varne – če imate pametno napravo v vašem domu, bi jo teoretično lahko uporabili za tak napad.

Kako deluje?

Najpreprostejši način za razlago napadov DDOS je primerjava s prometnimi zastoji. Običajni prometni tok je prekinjen, ker se na desetine (ali stotine, tisoče itd.) nepričakovanih avtomobilov zlijejo na glavno cesto, ne da bi izpustili druge avtomobile.

Nastajajoči zastoj preprečuje običajnim voznikom, da bi dosegli svoj cilj – v dogodku DDOS bi to bil strežnik ali spletno mesto, ki ga iščejo.

Obstajajo različne vrste napadov, ki ciljajo na različne elemente običajne komunikacije odjemalec-strežnik.

Napadi na aplikacijski sloj poskušajo izčrpati vire cilja tako, da ga prisilijo v večkratno nalaganje datotek ali poizvedb v bazi podatkov – to upočasni spletno mesto in lahko v skrajnih primerih povzroči težave s strežnikom, tako da ga pregreje ali poveča porabo energije. Pred temi napadi se je težko braniti, ker jih je težko opaziti – ni lahko reči, ali je porast uporabe posledica povečanja resničnega prometa ali zlonamernega napada.

Napadi HTTP Flood se izvajajo tako, da se stran v brskalniku vedno znova osveži – razen na milijone krat. Ta poplava zahtev strežniku bo pogosto povzročila, da je preobremenjen in se ne bo več odzival na (pristne) zahteve. Obramba vključuje rezervne strežnike in dovolj zmogljivosti za obravnavo prekoračitev zahtev. Na primer, tak napad skoraj zagotovo ne bi deloval proti Facebooku, ker je njihova infrastruktura tako močna, da lahko prenese takšne napade.

Napadi na protokol poskušajo izčrpati strežnik tako, da porabijo vso zmogljivost, ki jo imajo stvari, kot so spletne aplikacije – torej s ponavljanjem zahtev za element spletnega mesta ali storitve. S tem se spletna aplikacija preneha odzivati. Pogosto se uporabljajo filtri, ki blokirajo ponavljajoče se zahteve z istih naslovov IP, da preprečijo napade in ohranijo delovanje storitve za običajne uporabnike.

Napadi SYN Flood se v bistvu izvajajo tako, da strežnik večkrat zahteva, da pridobi element, in nato ne potrdi njegovega prejema. To pomeni, da strežnik drži elemente in čaka na potrdilo, ki nikoli ne pride – dokler ga na koncu ne zdrži več in jih začne spuščati, da bi pobral več.

Volumetrični napadi poskušajo umetno ustvariti preobremenjenost tako, da posebej zasedejo vso pasovno širino, ki jo ima strežnik. To je podobno napadom HTTP Flood, le da se namesto ponavljajočih se zahtev strežniku pošiljajo podatki, zaradi česar je prezaseden, da bi se odzval na običajen promet. Botneti se običajno uporabljajo za izvajanje teh napadov – pogosto uporabljajo tudi ojačanje DNS.

Nasvet: ojačanje DNS deluje kot megafon – manjša zahteva ali podatkovni paket je predstavljen kot veliko večji, kot je. Lahko je, da napadalec zahteva vse, kar lahko ponudi strežnik, in nato zahteva, da ponovi vse, kar je napadalec zahteval – razmeroma majhna in preprosta zahteva na koncu vzame veliko sredstev.

Kako se zaščititi pred DDOS napadi?

Prvi korak pri soočanju s temi napadi je zagotoviti, da se res dogajajo. Njihovo odkrivanje ni vedno enostavno, saj so skoki prometa lahko normalno vedenje zaradi časovnih pasov, objav novic in drugega. Da bi napadi delovali, DDOS napadalci poskušajo čim bolj prikriti svoje vedenje v običajnem prometu.

Druge rutine za ublažitev napadov DDOS so črne luknje, omejevanje hitrosti in požarni zidovi. Črne luknje so precej skrajni ukrep – ne poskušajo ločiti pristnega prometa od napada, temveč vsako zahtevo preusmerijo stran od strežnika in jo nato opustijo. To je na primer mogoče storiti pri pripravi pričakovanega napada.

Omejevanje hitrosti je za uporabnike nekoliko manj grobo – postavlja umetno omejitev, koliko zahtev bo strežnik sprejel. Ta omejitev zadostuje za prehod običajnega prometa, vendar se preveč zahtev samodejno preusmeri in zavrne – na ta način strežnika ni mogoče preobremeniti. To je tudi učinkovit način za ustavitev poskusov vdora gesla z grobo silo – po, recimo, petih poskusih je poskusni naslov IP preprosto zaklenjen.

Požarni zidovi niso uporabni samo za zaščito vašega računalnika, ampak tudi na strani strežnika izven spletnega prometa. Predvsem požarni zidovi spletnih aplikacij so postavljeni med internetom in strežnikom – ščitijo pred več različnimi vrstami napadov. Dobri požarni zidovi lahko tudi hitro nastavijo odzive po meri na napade, ko se zgodijo.

Namig: Če želite zaščititi svoje spletno mesto ali strežnik pred nekakšnim napadom DDOS, boste potrebovali razporeditev različnih rešitev (najverjetneje vključno s požarnim zidom). Najboljši način za to bi bil, da se posvetujete s svetovalcem za kibernetsko varnost in ga prosite, da pripravi načrt po meri, ki ustreza vašim potrebam. Ne obstaja rešitev, ki bi ustrezala vsem!