Atacurile Dos și DDoS: diferențele și cum să le preveniți!
Ce este un atac DoS?
DoS – Denial of Service este un atac asupra unui computer sau asupra unei rețele cu scopul de a reduce/restricționa accesul utilizatorilor legitimi. Intr-un atac DoS, atacatorii “flood-ează” sistemul victimei cu cereri de servicii sau trafic pentru a supraîncărca rețeaua/computer-ul. Acestea sunt folosite pentru a opri computerele și rețelele individuale, astfel încât acestea să nu poată fi folosite de alți utilizatori. Atacul DoS duce la inaccesibilitatea unui anumit site web (de obicei cel al persoanei/firmei vizate) sau performanțe slabe în cadrul rețelei.
Există o serie de moduri diferite în care atacurile DoS pot fi utilizate și includ următoarele:
Atacurile de depășire a „zonei tampon” (Buffer overflow attacks) – acesta este cel mai frecvent atac DoS experimentat, în cadrul căruia atacatorul supraîncărcă o adresă de rețea cu trafic, astfel încât aceasta să fie scoasă din uz.
Teardrop Attack – în timpul unui atac Teardrop DoS, un atacator trimite fragmente de pachete de date IP către o rețea. Rețeaua încearcă apoi să recompileze aceste fragmente în pachetele lor originale. Procesul de compilare a acestor fragmente epuizează sistemul și ajunge să se prăbușească. Se blochează deoarece câmpurile sunt concepute pentru a încurca sistemul, astfel încât să nu le poată pune la loc.
Ușurința cu care atacurile DoS pot fi coordonate a făcut ca acestea să devină una dintre cele mai răspândite amenințări de securitate cibernetică cu care să confruntă organizațiile moderne, ce pot provoca daune devastatoare companiilor sau persoanelor fizice. Cu un singur atac DoS, o organizație poate fi scoasă din funcțiune zile sau chiar săptămâni.
Atacuri volumetrice - sunt determinate ca atacuri ce creează o congestie pe întreaga lățime de bandă a rețelei, prin direcționarea unor cantități masive de trafic, cu scopul de a consuma resursele acesteia. Deseori acest tip de atac implică și metode de “păcălire” a serverului, iar drept urmare acesta însuși generează volum mare de date, fiind nevoit să le proceseze, să le trimită și să le primească din nou, devenind, în final, indisponibil.
Fragmentation Attack – este orice tip de atac care forțează o rețea să reasambleze pachete de date manipulate. Pe tot parcursul atacului, autorul rău intenționat transmite pachete date manipulate spre rețea, astfel încât când rețeaua încearcă să le reasambleze, acțiunea nu este posibilă. Aceasta deoarece pachetele transmise au o capacitate mai mare decât cea acceptabilă și duc la imposibilitatea reasamblării lor și respectiv cauzează blocarea rețelei.
Atacuri de epuizare a statului TCP – de regulă, aceste atacuri sunt orientate spre un server sau un firewall, urmărind limitarea numărului de conexiuni care pot fi realizate. Scopul final este de a pune dispozitivul țintit la limita capacității posibilelor conexiuni concurente.
Atacurile de tip Application Layer - la nivel de aplicație, cunoscute și ca atacuri DoS de nivel 7. Țintesc punctele slabe ale unui web-site sau chiar serverul în scopul de a stabili o conexiune și apoi a epuiza capacitățile, prin crearea unui număr de solicitări aparent normale și care ar părea că provin de la utilizatori obișnuiți. Drept urmare, pe măsura intensificării atacului, serverul este copleșit și se blochează. Acest tip de atac este cel mai greu de anihilat deoarece pe de o parte este dificilă identificarea traficului rău intenționat de cel legitim, precum și implică resurse minime din partea atacatorilor.
Ce este un atac DDoS?
Atacurile DDoS (Distributed Denial of Service) implică o multitudine de sisteme compromise ce atacă o singură țintă (victimă). Astfel că, în timpul unui atac DDoS, atacatorul folosește un virus sau malware din mai multe locații pentru a infecta un singur sistem și a-l transforma într-un “zombie”. Utilizatorul nu este conștient de faptul că sistemul lui a fost atac, iar atacatorul după ce infectează zeci/sute/mii de sisteme reușește să distrugă o întreagă rețea.
Un atac DDoS poate scoate din funcțiune sistemul pentru o perioadă substanțială de timp sau poate cauza funcționarea defectuoasă a anumitor sisteme, inclusiv, cauzează costuri considerabile și o recuperare complicată.
Conform statisticilor, nouă din zece sisteme folosite pentru a executa atacuri DDoS au fost compromise, astfel încât atacatorul să poată lansa atacuri de la distanță prin utilizarea computerelor „sclave”. Aceste computere sclave sunt denumite „zombi” sau roboți. Acești roboți formează o rețea de dispozitive conectate numită botnet, ce este gestionată de atacator printr-un server de comandă și control. Serverul de comandă și control permite atacatorului sau botmasterului să coordoneze atacurile. Rețelele bot pot fi formate oriunde, până la sute de roboți diferiți.
Atacurile DDos pot lua diverse forme
Atacurile DDoS sunt mai complexe comparativ cu atacurile DoS, deoarece folosesc o serie de dispozitive pentru a majora gravitatea atacurilor. A fi atacat de un computer nu este același lucru cu a fi atacat de o rețea botnet de o sută de dispozitive. Totodată, acestea pot lua diverse forme, printre care:
Ping of Death (POD) – prin acest tip de atac se urmărește distrugerea, destabilizarea sau blocarea dispozitivului sau serviciului țintă prin transmiterea unor pachete ping malformate sau de dimensiuni ce depășesc mărimea maximă a pachetelor IP. Aceste pachete malițioase sunt transmise fragmentat, pe părți. Odată ce rețeaua vizată încearcă de a asambla aceste pachete resursele ei se dovedesc a fi limitate și epuizate, și respectiv este scoasă din funcțiune.
UDP Floods sau inundații UDP (User Data Protocol) – atac de tip DDoS care inundă rețeaua victimei cu pachete UDP.
Ping Flood – (inundare ping), comportând similitudini cu atac de tip UDP flood, acesta utilizează solicitarea ICMP Echo pentru destabilizarea întregii rețele. Atacatorul inundă rețeaua prin transmiterea continuă a pachetelor malformate, fără așteptarea unui răspuns, “inundând” victima cu o cantitate enormă de date malițioase, astfel încât traficul normal nu mai ajunge la destinație.
Atacul de tip SYN Flood are loc atunci când se folosește secvența de conexiune TCP și serverul este invadat intenționat cu pachete de tip TCP SYN în număr foarte mare și drept urmare blocul de control al transmisiei (TCB) care este o structură a protocolului de transport și păstrează toate informațiile despre o conexiune este suprasolicitat și încărcat. În cele din urmă TCB-ul este în incapacitatea de a răspunde la cererile primite. Realizarea atacului SYN Flood are loc pe mai multe căi, utilizând adrese IP reale, false sau versiunea distribuită, în care atacatorul acționează concomitent de la mai multe mașini virusate sau compromise.
Slowloris – software de atac DDos, care a fost elaborat inițiat de către Robert Hansen (RSnake), pentru a bloca și înlătura web serverele. În cazul unui Slowloris atacatorul transmite cereri incomplete de tip HTTP fără o intenție de completare ulterioară a acestora. De asemenea, pentru a menține rețeaua încărcată continuu aceste cereri HTTP sunt transmise periodic, pînă la momentul când serverul nu mai are capacitatea de a realiza conexiuni. Această formă de atac este destul de populară deoarece nu implică o anumită lățime de bandă sau alte resurse sofisticate și costisitoare.
HTTP Flood sau inundații HTTP – este un atac la nivelul 7, prin care autorii malițioși HTTP GET sau POST asaltează un server aplicație individual. Și acest atac are o incidență sporită, datorită unei lățimi mici de bandă folosită, în raport cu alte atacuri, pentru a cauza căderea rețelei victimei.
Zero-Day Attacks – atacurile care utilizează vulnerabilitățile unui sistem sau aplicații, care încă nu a fost identificate. Conform previziunilor specialiștilor în domeniu, acest tip de atacuri for spori în viitor și vor avea un impact devastator. Aceasta deoarece victima nu cunoaște vulnerabilitățile existenet și nu are nici o posibilitate de a înlătura breșele sau a se pregăti pentru careva atacuri posibile.
DoS vs DDoS: diferențe
Diferența cheie este că, în cazul unui atac DDoS sunt folosite mai multe conexiuni la internet pentru a pune rețeaua de computere a victimei offline, în timp ce în cazul unui atac DoS se folosește o singură conexiune.
Atacurile DDoS sunt mai greu de detectat, deoarece sunt lansate din mai multe locații, astfel încât victima să nu poată identifica originea atacului.
O altă diferență cheie este volumul de atac utilizat, deoarece atacurile DDoS permit atacatorului să trimită volume masive de trafic către rețeaua țintă.
Atacurile DDoS sunt executate diferit de atacurile DoS. Atacurile DDoS sunt executate prin utilizarea rețelelor botnet sau a rețelelor de dispozitive aflate sub controlul unui atacator. În schimb, atacurile DoS sunt lansate prin utilizarea unui script sau a unui instrument DoS.
Motivele comune ale atacurilor DoS și DDoS
Indiferent dacă este un atac DoS sau DDoS, există multe motive nefaste pentru care un atacator ar dori să pună o afacere offline.
Răscumpărarea este cel mai frecvent motiv pentru atacurile DDoS, însă nu există nicio garanție că afacerea va fi restabilită la funcționare completă după achitarea răscumpărării;
Concurenți rău intenționați care doresc să scoată o afacere din funcțiune. Prin distrugerea rețelei unei întreprinderi, un concurent poate încerca să fure clienți.
Hacktivism-ul are la bază, în multe cazuri, un motiv personal sau politic, iar grupurile de hacktiviști sunt cointeresați de a ataca site-urile guvernamentale și ale întreprinderilor pentru a-și marca opoziția.
Mulți atacatori cibernetici au satisfacție doar din crearea problemelor utilizatorilor personali și ai rețelelor, considerând că este amuzant și „fără victime” aceste atacuri, însă, un atac poate costa o organizație sume enorme de bani.
Un alt motiv comun pentru atacurile cibernetice sunt angajații nemulțumiți. Dacă persoana are o plângere împotriva organizației, atunci un atac DDoS poate fi o modalitate eficientă de a dăuna organizației cu care are probleme personale.
Cum să preveniți atacurile DoS și DDoS
Chiar dacă atacurile DoS reprezintă o amenințare constantă pentru organizațiile moderne, există o serie de acțiuni ce pot fi întreprinse pentru a rămâne protejați înainte și după un atac. Înainte de a implementa o strategie de protecție, este necesar de conștientizat că nu poate fi prevenit fiecare atac DoS, iar daunele pot fi minimizate dacă sunt întreprinse măsuri preventive:
· Test Run DOS Attacks
· Răspuns după atac
· Monitorizarea rețelei
Măsurile preventive au menirea de a ajuta să identificați atacurile înainte ca acestea să deconecteze sistemul și să acționeze ca o barieră pentru a fi atacate. De asemenea, testarea rulării atacurilor DoS vă permite să vă testați apărarea împotriva atacurilor DoS și să vă rafinați strategia generală. Răspunsul dvs. post-atac va determina cât de mult daune provoacă un atac DoS și este o strategie pentru a vă relua organizația după un atac de succes.
Monitorizarea traficului în rețea este unul dintre cei mai buni pași preventivi pe care îi puteți lua. Monitorizarea traficului regulat vă va permite să vedeți semnele unui atac înainte ca serviciul să cadă complet. Prin monitorizarea traficului dvs. veți putea lua măsuri în momentul în care vedeți niveluri neobișnuite de trafic de date sau o adresă IP nerecunoscută. Aceasta poate fi diferența dintre a fi luat offline sau a rămâne treaz.
Înainte de a executa un atac total, majoritatea atacatorilor îți vor testa rețeaua cu câteva pachete înainte de a lansa ofensiva completă. Monitorizarea traficului în rețea vă va permite să monitorizați aceste semne mici și să le detectați din timp, astfel încât să vă puteți menține serviciul online și să evitați costurile unui atac neașteptat.
