ความแตกต่างระหว่างดอสและดีดอส การโจมตี DoS และ DDoS: ความหมายและความแตกต่าง ฮาร์ดแวร์โอเวอร์โหลด

ตัวย่อภาษาอังกฤษ DDoS ย่อมาจาก Distributed Denial of Service ซึ่งแปลตามตัวอักษรว่า "distributed denial of service" ในความเป็นจริง คำศัพท์นี้หมายถึงการโจมตีที่เกิดขึ้นพร้อมกันจากคอมพิวเตอร์จำนวนมาก เป้าหมายของการโจมตีดังกล่าวคือการปิดการใช้งานเซิร์ฟเวอร์เป้าหมาย (โดยปกติจะเป็นองค์กรขนาดใหญ่) เนื่องจากมีคำขอจำนวนมากที่ระบบคอมพิวเตอร์ไม่สามารถดำเนินการได้ มาพิจารณาการโจมตีประเภทนี้โดยละเอียด

การแนะนำ

ผู้ที่ไม่มีประสบการณ์ในหัวข้อความปลอดภัยของข้อมูลมักจะสร้างความสับสนให้กับการโจมตี DoS และการโจมตี DDoS วิธีที่ง่ายที่สุดในการจดจำคือ: ด้วยการโจมตี Dos เครื่องโจมตีเครื่องหนึ่งจะพยายามทำให้เกิดการปฏิเสธการให้บริการ ในระหว่างการโจมตี DDoS มีเครื่องจักรมากมาย ตามกฎแล้ว มันเป็นบอตเน็ตที่มีคอมพิวเตอร์ที่ติดไวรัสซึ่งถูกควบคุมโดยผู้โจมตีอย่างสมบูรณ์

ดังที่คุณอาจเดาได้ การต่อสู้กับการโจมตี DDoS นั้นยากกว่ามาก ซึ่งอาจอยู่ได้หลายวันหรือหลายสัปดาห์ ขึ้นอยู่กับงบประมาณของอาชญากรไซเบอร์ ประสิทธิภาพของการโจมตีนี้ชัดเจน และความสามารถในการจ่ายนั้นน่าทึ่งมาก - ในตลาด darknet บอทเน็ตขนาดเล็กสามารถซื้อได้ในราคา 150 ดอลลาร์

หากต้องการทราบจำนวนการโจมตี DDoS ที่เกิดขึ้นในภูมิภาคต่างๆ ของโลก โปรดดูแผนที่การโจมตีดิจิทัลโดยเฉพาะ

ในขั้นตอนนี้ เรามีการโจมตี DDoS ที่หลากหลาย เรามาดูบางส่วนกันดีกว่า

ประเภทของการโจมตี DDoS

แอปพลิเคชันเลเยอร์ DDoS (แอปพลิเคชันชั้นดีดอส)

การโจมตีเลเยอร์แอปพลิเคชัน (หรือชั้นที่ 7) เกี่ยวข้องกับการส่งคำขอจำนวนมากที่ต้องใช้พลังการประมวลผลจำนวนมาก คลาสนี้ยังรวมถึงการโจมตี HTTP ฟลัดและการโจมตี DNS ฟลัด

HTTP ฟลัด

โดยปกติ HTTP Flooding จะดำเนินการกับเป้าหมายเฉพาะ และด้วยเหตุนี้ การโจมตีดังกล่าวจึงค่อนข้างป้องกันได้ยาก ไม่ใช้แพ็คเกจที่เป็นอันตรายและอาศัยบอตเน็ตมากกว่า

DNS ท่วมท้น

ในการโจมตีประเภทนี้ เป้าหมายคือเซิร์ฟเวอร์ DNS ของเหยื่อ หากเซิร์ฟเวอร์ DNS ไม่พร้อมใช้งาน คุณจะไม่สามารถค้นหาเซิร์ฟเวอร์ที่เกี่ยวข้องได้ DNS Flood คือการโจมตีแบบสมมาตรที่เริ่มต้นโดยซอมบี้หลายตัวที่อยู่ในบ็อตเน็ต และอยู่ในประเภทการโจมตี UDP การโจมตีนี้ทำให้การปลอมแปลงง่ายขึ้น

เลเยอร์เครือข่าย DDoS

การโจมตีเหล่านี้เป็นการโจมตีขนาดใหญ่มาก โดยวัดเป็นกิกะบิตต่อวินาที (Gbps) หรือแพ็กเก็ตต่อวินาที (PPS) ในกรณีที่เลวร้ายที่สุด การโจมตีดังกล่าวสามารถเข้าถึงได้ตั้งแต่ 20 ถึง 200 Gbps การโจมตี DDoS ประเภทนี้แบ่งออกเป็น SYN Flood และ UDP Flood

SYN น้ำท่วม

สร้างกระแสคำขอเพื่อเชื่อมต่อกับเซิร์ฟเวอร์ ทำให้ไม่สามารถตอบสนองต่อคำขอเหล่านี้ได้ เป้าหมายที่นี่คือแต่ละพอร์ตเซิร์ฟเวอร์ซึ่งมี “น้ำท่วม” (จากคำภาษาอังกฤษน้ำท่วม) ด้วยแพ็กเก็ต SYN เนื่องจากคิวการเชื่อมต่อบนเซิร์ฟเวอร์ล้น ในกรณีนี้ แพ็กเก็ต SYN-ACK จะถูกละเว้น ส่งผลให้สิ่งที่เรียกว่าการเชื่อมต่อแบบเปิดครึ่งหนึ่งกำลังรอการยืนยันจากไคลเอ็นต์

UDP น้ำท่วม

เซิร์ฟเวอร์ถูก "ท่วม" พร้อมคำขอ UDP ในทุกพอร์ต ในกรณีนี้ เซิร์ฟเวอร์ตอบสนองด้วยแพ็กเก็ต "ปลายทางที่ไม่สามารถเข้าถึงได้" ส่งผลให้ระบบที่ถูกโจมตีทำงานหนักเกินไปและจะไม่สามารถตอบสนองได้

การขยายเสียงคืออะไร?

การขยายเสียงเป็นเทคนิคที่ใช้เพื่อเพิ่มแบนด์วิดท์ของการโจมตี DDoS ด้วยการปลอมแปลงที่อยู่ IP ในคำขอ ผู้โจมตีสามารถเพิ่มประสิทธิภาพของการโจมตีได้ 70 เท่า อัตราขยายอาจแตกต่างกันไปขึ้นอยู่กับประเภทของเซิร์ฟเวอร์

ตัวอย่างเช่น คำสั่ง monlist มักใช้สำหรับการโจมตี NTP DDoS คำสั่งนี้จะส่งข้อมูลเกี่ยวกับไคลเอ็นต์ ntpd 600 รายการล่าสุดไปยังผู้โจมตี นั่นคือด้วยคำขอเล็กน้อยจากคอมพิวเตอร์ที่ติดไวรัส สตรีม UDP ขนาดใหญ่จะถูกส่งกลับ การโจมตีดังกล่าวใช้สัดส่วนมหาศาลเมื่อใช้บ็อตเน็ต

รูปที่ 1 รูปแบบการโจมตี DDoS

ข้อสรุป

ตอนนี้เรามีความเข้าใจพื้นฐานเกี่ยวกับการโจมตี DDoS แล้ว เราสามารถพูดคุยเกี่ยวกับวิธีป้องกันตนเองจากการโจมตีเหล่านั้นได้ ขั้นตอนแรกคือการพิจารณาว่าเครือข่ายของคุณมีช่องโหว่มากที่สุดที่ใด ถ้าอย่างนั้นก็คุ้มค่าที่จะลองนึกถึงผู้โจมตีเพื่อจินตนาการว่าเขาต้องทำอะไรเพื่อที่จะโจมตีเครือข่ายของคุณได้สำเร็จ

บางทีสิ่งที่สำคัญที่สุดคือการมีระบบการแจ้งเตือนที่จะแจ้งให้คุณทราบในกรณีที่มีการโจมตี DDoS ยิ่งคุณทราบข้อเท็จจริงได้เร็วเท่าไรก็ยิ่งดีเท่านั้น ดังนั้นคุณจะมีเวลาคิดทบทวนแผนการวางตัวเป็นกลาง .

สุดท้าย คุณสามารถสั่งการทดสอบการเจาะระบบ (หรือที่เรียกว่า เพนเทส เพนเทส การทดสอบการเจาะ) เพื่อตรวจสอบความปลอดภัยของเครือข่ายของคุณ ว่าพร้อมแค่ไหนสำหรับการบุกรุกจากภายนอก นี่เป็นแนวทางปฏิบัติที่ดีและจะช่วยให้คุณเข้าใจและกำจัดจุดอ่อนเพื่อให้เครือข่ายของคุณค่อนข้างปลอดภัย

ข้อผิดพลาดทั่วไปประการหนึ่งที่เกิดขึ้นในหมู่นักข่าวไซเบอร์สมัครเล่นคือความสับสนในคำศัพท์ที่แสดงถึงประเภทของการโจมตีทรัพยากรอินเทอร์เน็ต ตัวอย่างเช่น DoS และ DDoS ไม่เหมือนกัน แม้ว่าคำย่อจะแตกต่างกันเพียงตัวอักษรเดียว แต่ก็มีความแตกต่างทางข้อเท็จจริงอย่างมากเบื้องหลัง

ทุกวันนี้ เป็นเรื่องยากที่จะเขียนเกี่ยวกับว่าการโจมตี DoS คืออะไร ( การปฏิเสธการให้บริการ), เพราะ การโจมตีเหล่านี้ไม่ได้ถูกนำมาใช้จริงเนื่องจากมีประสิทธิภาพต่ำ อย่างไรก็ตาม โครงการ DoS ที่เป็นพื้นฐานของการโจมตีทางไซเบอร์แบบปฏิเสธการให้บริการสมัยใหม่

การโจมตี DoS คือการสร้างการรับส่งข้อมูล "ขยะ" จากอุปกรณ์หนึ่ง (ที่อยู่ IP) ไปยังทรัพยากร "เหยื่อ" (เช่น เว็บไซต์) เป้าหมายคือการทำให้คอมพิวเตอร์และความสามารถอื่น ๆ ของ "เหยื่อ" หมดลงเพื่อบล็อกงานของเหยื่อ

เพราะ อินเทอร์เน็ต เทคโนโลยีคอมพิวเตอร์ และอุปกรณ์เครือข่ายกำลังพัฒนาอย่างรวดเร็ว มีพลังมากขึ้น ปริมาณการโจมตี DoS หนึ่งครั้งก็เล็กเกินไปที่จะบล็อกทรัพยากรที่สำคัญใดๆ ในไม่ช้า ดังนั้นแฮกเกอร์จึงพบวิธีที่ชัดเจนที่สุดในการเพิ่มความเข้มข้นของการโจมตี DoS: ดำเนินการจากอุปกรณ์หลายเครื่อง (ที่อยู่ IP) พร้อมกัน นี่คือลักษณะของการโจมตีทางไซเบอร์แบบกระจาย (หรือขนาดใหญ่) จากการปฏิเสธการให้บริการ - DDoS ( การปฏิเสธการให้บริการแบบกระจาย)- การกรองนั้นยากกว่ามากและพลังงานสามารถเข้าถึง 1 Tbps

นอกจากนี้ มันง่ายที่จะขับไล่การโจมตี DoS เมื่อการโจมตีได้เริ่มต้นขึ้นแล้ว: คำนวณ IP ที่แพ็กเก็ตการรับส่งข้อมูลที่เป็นอันตรายเข้ามาและป้อนลงใน และเมื่อการโจมตีมาจากที่อยู่ IP หลายแห่ง งานก็จะซับซ้อนมากขึ้น ตัวอย่างเช่น เพื่อปกป้องทรัพยากร คุณสามารถบล็อกคำขอทั้งหมดที่มาจากประเทศหนึ่งซึ่ง IP ที่ถูกโจมตีนั้น "เชื่อมโยง" อย่างถูกต้องตามกฎหมาย แต่จากนั้นผู้ใช้ที่ถูกต้องตามกฎหมายจากที่นั่นจะถูกปฏิเสธการเข้าถึงไซต์ด้วย

ในแง่หนึ่ง ถ้าเราพูดถึงคำจำกัดความของ DDoS มันเป็นประเภทย่อยของการโจมตี DoS ที่เกิดขึ้นจากมันโดยการเปลี่ยนรูปแบบ แต่ไม่มีรูปแบบอื่นของการโจมตีที่คล้ายกัน และการโจมตีแบบแรกได้เข้ามาแทนที่การโจมตีครั้งที่สองจากคลังแสงของแฮ็กเกอร์ ดังนั้นในกรณีส่วนใหญ่ การใช้คำว่าการโจมตี DDoS หรือการแปลภาษารัสเซียจะถูกต้องมากกว่า - การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย

รูปแบบของการโจมตีประกอบด้วยองค์ประกอบหลักสามประการ: เครื่องควบคุมซึ่งสัญญาณควบคุมจะถูกส่งไปยังคอนโซล โดยสัญญาณจะกระจายไปยังอุปกรณ์ผู้ใช้หลายล้านเครื่อง (ถูกแฮ็กหรือติดโค้ดที่เป็นอันตราย) อุปกรณ์เหล่านี้เรียกว่าบอท หากก่อนหน้านี้ส่วนใหญ่เป็นพีซี ในปัจจุบันการโจมตีบอตเน็ตสามารถทำได้โดยใช้เราเตอร์ เครื่องบันทึกวิดีโอ สมาร์ทโฟน ฯลฯ - อุปกรณ์ใด ๆ ที่มีอินเทอร์เฟซสำหรับเชื่อมต่ออินเทอร์เน็ต ผู้ใช้บอทส่วนใหญ่มักไม่รู้ด้วยซ้ำว่าเขากำลังถูกใช้เพื่อกิจกรรมที่ผิดกฎหมาย

วันนี้บนอินเทอร์เน็ตคุณสามารถค้นหาข้อเสนอมากมายเพื่อจัดการทดสอบ DDoS ของเว็บไซต์ใด ๆ ได้อย่างอิสระโดยเสียค่าธรรมเนียมไร้สาระเพียง $ 15-20 “แฮกเกอร์” ดังกล่าวมักจะไม่มีเซิร์ฟเวอร์หรือบอตเน็ตที่ทรงพลัง (เครือข่ายของอุปกรณ์ที่ถูกแฮ็ก) เพื่อจัดการโจมตีทางไซเบอร์ครั้งใหญ่ และสำหรับเงินประเภทนั้น จำนวนสูงสุดจะเป็น DoS ซึ่งผู้ดูแลระบบที่มีความสามารถคนใดก็ตามสามารถจัดการได้

อย่างไรก็ตาม ไม่ควรมองข้ามความสำคัญของ DoS ต่ำไป - นี่คือสิ่งที่ผู้โจมตีมือใหม่ฝึกฝน และเนื่องจากกรณีดังกล่าวไม่ค่อยได้รับการสอบสวน หลายคนจึงไม่ได้รับการลงโทษ

การโจมตีดอส (ปฏิเสธการโจมตีบริการ)- การโจมตีระบบคอมพิวเตอร์โดยมีจุดประสงค์เพื่อทำให้ระบบล้มเหลว นั่นคือการสร้างเงื่อนไขที่ผู้ใช้ระบบที่ถูกต้องตามกฎหมาย (โดยชอบธรรม) ไม่สามารถเข้าถึงทรัพยากร (เซิร์ฟเวอร์) ที่ระบบให้ไว้ หรือการเข้าถึงนี้ทำได้ยาก ความล้มเหลวของระบบ “ศัตรู” ยังอาจเป็นอีกก้าวหนึ่งของการควบคุมระบบ (หากในสถานการณ์ฉุกเฉิน ซอฟต์แวร์จะผลิตข้อมูลสำคัญใดๆ เช่น เวอร์ชัน ส่วนหนึ่งของโค้ดโปรแกรม เป็นต้น) แต่บ่อยครั้งนี่เป็นการวัดแรงกดดันทางเศรษฐกิจ: การหยุดทำงานของบริการที่สร้างรายได้ การเรียกเก็บเงินจากผู้ให้บริการ และมาตรการเพื่อหลีกเลี่ยงการโจมตีกระทบ "เป้าหมาย" อย่างมาก

หากการโจมตีเกิดขึ้นพร้อมกันจากคอมพิวเตอร์จำนวนมาก เราพูดถึง การโจมตีดีดอส (จากภาษาอังกฤษ Distributed Denial of Service, Distributed Denial of Service Attack)- ในบางกรณี การโจมตี DDoS ที่เกิดขึ้นจริงนั้นเกิดจากการกระทำที่ไม่ได้ตั้งใจ เช่น การวางลิงก์ไปยังแหล่งข้อมูลอินเทอร์เน็ตยอดนิยมไปยังไซต์ที่โฮสต์บนเซิร์ฟเวอร์ที่ไม่ได้ผลมากนัก (เอฟเฟกต์เครื่องหมายทับ) การไหลเข้าของผู้ใช้จำนวนมากนำไปสู่การโหลดเกินที่อนุญาตบนเซิร์ฟเวอร์และส่งผลให้บางส่วนถูกปฏิเสธการให้บริการ

ประเภทของการโจมตี DoS

มีสาเหตุหลายประการที่ทำให้เกิดเงื่อนไข DoS:

* เกิดข้อผิดพลาดในรหัสโปรแกรมส่งผลให้เกิดการเข้าถึงส่วนที่ไม่ได้ใช้ของพื้นที่แอดเดรส การดำเนินการคำสั่งที่ไม่ถูกต้อง หรือข้อยกเว้นอื่น ๆ ที่ไม่สามารถจัดการได้เมื่อโปรแกรมเซิร์ฟเวอร์ - โปรแกรมเซิร์ฟเวอร์ - ขัดข้อง ตัวอย่างคลาสสิกคือการเข้าถึงที่อยู่ว่าง การตรวจสอบข้อมูลผู้ใช้ไม่เพียงพอ นำไปสู่การวนซ้ำไม่รู้จบหรือยาวนาน หรือเพิ่มการใช้ทรัพยากรโปรเซสเซอร์ในระยะยาว (ขึ้นอยู่กับการใช้ทรัพยากรโปรเซสเซอร์จนหมด) หรือการจัดสรร RAM จำนวนมาก (ขึ้นอยู่กับหน่วยความจำที่มีอยู่จนหมด)

* น้ำท่วม(น้ำท่วมภาษาอังกฤษ - "น้ำท่วม", "ล้น") - การโจมตีที่เกี่ยวข้องกับคำขอจำนวนมากที่มักจะไม่มีความหมายหรือจัดรูปแบบไม่ถูกต้องไปยังระบบคอมพิวเตอร์หรืออุปกรณ์เครือข่ายโดยมุ่งเป้าไปที่หรือนำไปสู่ความล้มเหลวของระบบเนื่องจากความเหนื่อยล้าของ ทรัพยากรระบบ - โปรเซสเซอร์ หน่วยความจำ หรือช่องทางการสื่อสาร

* การโจมตีประเภทที่สอง- การโจมตีที่พยายามทำให้เกิดการแจ้งเตือนที่ผิดพลาดของระบบรักษาความปลอดภัย และส่งผลให้ทรัพยากรไม่พร้อมใช้งาน หากมีการโจมตี (โดยปกติจะเป็นน้ำท่วม) พร้อมกันจากที่อยู่ IP จำนวนมาก - จากคอมพิวเตอร์หลายเครื่องที่กระจายอยู่บนเครือข่าย - ในกรณีนี้จะเรียกว่าการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS)

ประเภทของน้ำท่วม

Flood เป็นคำขอที่ไม่มีความหมายจำนวนมหาศาลจากคอมพิวเตอร์หลายเครื่องเพื่อเข้าครอบครองระบบ "ศัตรู" (โปรเซสเซอร์, RAM หรือช่องทางการสื่อสาร) และปิดการใช้งานชั่วคราว แนวคิดของ “การโจมตี DDoS” เกือบจะเทียบเท่ากับแนวคิดเรื่อง “น้ำท่วม” และในชีวิตประจำวันทั้งสองมักจะใช้แทนกันได้ (“ท่วมเซิร์ฟเวอร์” = “DDoS เซิร์ฟเวอร์”)

เพื่อสร้างน้ำท่วมคุณสามารถใช้ทั้งยูทิลิตี้เครือข่ายทั่วไปเช่น ping (ตัวอย่างเช่นชุมชนอินเทอร์เน็ต "Upyachka" เป็นที่รู้จักในเรื่องนี้) เช่นเดียวกับโปรแกรมพิเศษ ความเป็นไปได้ของ DDoS มักจะ "เดินสาย" เข้าไปในบอตเน็ต หากพบว่าไซต์ที่มีการเข้าชมสูงมีช่องโหว่สคริปต์ข้ามไซต์หรือความสามารถในการรวมรูปภาพจากแหล่งข้อมูลอื่น ไซต์นี้ก็สามารถใช้เพื่อโจมตี DDoS ได้เช่นกัน

คอมพิวเตอร์ใดๆ ที่สื่อสารกับโลกภายนอกผ่านโปรโตคอล TCP/IP จะได้รับผลกระทบจากน้ำท่วมประเภทต่อไปนี้:

* SYN น้ำท่วม- ด้วยการโจมตีแบบฟลัดประเภทนี้ แพ็กเก็ต SYN จำนวนมากจะถูกส่งไปยังโหนดที่ถูกโจมตีผ่านโปรโตคอล TCP (คำขอเปิดการเชื่อมต่อ) ในกรณีนี้ หลังจากช่วงเวลาสั้นๆ จำนวนซ็อกเก็ต (ซ็อกเก็ตเครือข่ายซอฟต์แวร์ พอร์ต) ที่พร้อมสำหรับการเปิดจะหมดลงในคอมพิวเตอร์ที่ถูกโจมตี และเซิร์ฟเวอร์จะหยุดการตอบสนอง

* UDP น้ำท่วม- น้ำท่วมประเภทนี้ไม่ได้โจมตีคอมพิวเตอร์เป้าหมาย แต่เป็นช่องทางการสื่อสาร ผู้ให้บริการถือว่าสมเหตุสมผลว่าควรส่งแพ็กเก็ต UDP ก่อน และแพ็กเก็ต TCP สามารถรอได้ แพ็กเก็ต UDP ที่มีขนาดต่างกันจำนวนมากอุดตันช่องทางการสื่อสาร และเซิร์ฟเวอร์ที่ทำงานโดยใช้โปรโตคอล TCP หยุดตอบสนอง

* ไอซีเอ็มพีน้ำท่วม- สิ่งเดียวกัน แต่ใช้แพ็กเก็ต ICMP

บริการจำนวนมากได้รับการออกแบบในลักษณะที่คำขอขนาดเล็กสามารถทำให้เกิดการสิ้นเปลืองพลังงานการประมวลผลจำนวนมากบนเซิร์ฟเวอร์ ในกรณีนี้ ไม่ใช่ช่องทางการสื่อสารหรือระบบย่อย TCP ที่ถูกโจมตี แต่เป็นบริการเอง - คำขอ "ป่วย" ที่คล้ายกันจำนวนมาก ตัวอย่างเช่น เว็บเซิร์ฟเวอร์เสี่ยงต่อการถูกฟลัด HTTP; สามารถใช้ GET / หรือคำขอฐานข้อมูลที่ซับซ้อน เช่น GET /index.php?search= เพื่อปิดการใช้งานเว็บเซิร์ฟเวอร์ได้<случайная строка>.

การตรวจจับการโจมตี DoS

มีความเห็นว่าไม่จำเป็นต้องใช้เครื่องมือพิเศษสำหรับการตรวจจับการโจมตี DoS เนื่องจากข้อเท็จจริงของการโจมตี DoS ไม่สามารถเพิกเฉยได้ ในหลายกรณีนี่เป็นเรื่องจริง อย่างไรก็ตาม บ่อยครั้งมีการสังเกตการโจมตี DoS ที่ประสบความสำเร็จ ซึ่งเหยื่อจะสังเกตเห็นได้หลังจากผ่านไป 2-3 วันเท่านั้น

เกิดขึ้นว่าผลเสียของการโจมตี (การโจมตีน้ำท่วม) ส่งผลให้เกิดค่าใช้จ่ายที่ไม่จำเป็นสำหรับการจ่ายสำหรับการรับส่งข้อมูลอินเทอร์เน็ตส่วนเกิน ซึ่งชัดเจนเมื่อได้รับใบแจ้งหนี้จากผู้ให้บริการอินเทอร์เน็ตเท่านั้น นอกจากนี้ วิธีการตรวจจับการโจมตีหลายวิธีไม่ได้ผลใกล้กับเป้าหมายการโจมตี แต่มีประสิทธิภาพบนแบ็คโบนเครือข่าย ในกรณีนี้ ขอแนะนำให้ติดตั้งระบบตรวจจับที่นั่น แทนที่จะรอจนกว่าผู้ใช้ที่ถูกโจมตีจะสังเกตเห็นด้วยตนเองและขอความช่วยเหลือ นอกจากนี้ เพื่อตอบโต้การโจมตี DoS อย่างมีประสิทธิภาพ จำเป็นต้องทราบประเภท ลักษณะ และลักษณะอื่นๆ ของการโจมตี DoS และระบบการตรวจจับช่วยให้คุณได้รับข้อมูลนี้อย่างรวดเร็ว

วิธีการตรวจจับการโจมตี DoS สามารถแบ่งออกเป็นกลุ่มใหญ่ได้หลายประเภท:

* ลายเซ็น- จากการวิเคราะห์ปริมาณการใช้ข้อมูลเชิงคุณภาพ

* เชิงสถิติ- จากการวิเคราะห์ปริมาณการใช้ข้อมูลเชิงปริมาณ

* ไฮบริด (รวมกัน)- รวมข้อดีของทั้งสองวิธีข้างต้นเข้าด้วยกัน

ป้องกันการโจมตี DoS

มาตรการตอบโต้การโจมตี DoS สามารถแบ่งออกเป็นเชิงโต้ตอบและเชิงรุก เช่นเดียวกับเชิงป้องกันและเชิงโต้ตอบ ด้านล่างนี้เป็นรายการสั้นๆ ของวิธีการหลักๆ

* การป้องกันการป้องกันเหตุผลที่กระตุ้นให้บุคคลบางคนจัดระเบียบและเริ่มการโจมตี DoS (บ่อยครั้งมากที่การโจมตีทางไซเบอร์โดยทั่วไปเป็นผลมาจากความคับข้องใจส่วนบุคคล ความขัดแย้งทางการเมือง ศาสนา และความขัดแย้งอื่นๆ พฤติกรรมที่ยั่วยุของเหยื่อ ฯลฯ)

* การกรองและการแบล็คโฮลการปิดกั้นการรับส่งข้อมูลที่มาจากเครื่องโจมตี ประสิทธิผลของวิธีการเหล่านี้จะลดลงเมื่อคุณเข้าใกล้เป้าหมายการโจมตี และเพิ่มขึ้นเมื่อคุณเข้าใกล้เครื่องจักรโจมตีมากขึ้น

* การกำจัดช่องโหว่ไม่สามารถป้องกันการโจมตีแบบน้ำท่วมได้ ซึ่ง “ช่องโหว่” คือความจำกัดของทรัพยากรระบบบางอย่าง

* การเพิ่มทรัพยากรโดยปกติแล้ว มันไม่ได้ให้การป้องกันที่สมบูรณ์ แต่เป็นพื้นฐานที่ดีสำหรับการใช้การป้องกันประเภทอื่นต่อการโจมตี DoS

* การกระจายตัวการสร้างระบบแบบกระจายและซ้ำซ้อนที่จะไม่หยุดให้บริการผู้ใช้ แม้ว่าองค์ประกอบบางส่วนจะไม่พร้อมใช้งานเนื่องจากการโจมตี DoS ก็ตาม

* การหลีกเลี่ยงการย้ายเป้าหมายการโจมตีทันที (ชื่อโดเมนหรือที่อยู่ IP) ออกจากแหล่งข้อมูลอื่นที่มักถูกเปิดเผยพร้อมกับเป้าหมายการโจมตีทันที

* การตอบสนองที่ใช้งานอยู่ผลกระทบต่อแหล่งที่มา ผู้ดำเนินการ หรือศูนย์ควบคุมของการโจมตี ทั้งวิธีการทางเทคโนโลยีและกฎหมายขององค์กร

* การใช้อุปกรณ์เพื่อขับไล่การโจมตี DoSตัวอย่างเช่น DefensePro® (Radware), Perimeter (MFI Soft), Arbor Peakflow® และจากผู้ผลิตรายอื่น

* การซื้อบริการเพื่อป้องกันการโจมตี DoSสิ่งนี้เกี่ยวข้องหากน้ำท่วมเกินความจุของช่องสัญญาณเครือข่าย

เมื่อเร็วๆ นี้ เราพบว่าการโจมตี DDoS เป็นอาวุธที่ทรงพลังในพื้นที่ข้อมูล ด้วยการใช้การโจมตี DDoS พลังสูง คุณไม่เพียงสามารถปิดเว็บไซต์ได้ตั้งแต่หนึ่งเว็บไซต์ขึ้นไป แต่ยังรบกวนการทำงานของส่วนเครือข่ายทั้งหมดหรือปิดอินเทอร์เน็ตในประเทศเล็กๆ อีกด้วย ทุกวันนี้ การโจมตี DDoS เกิดขึ้นบ่อยขึ้นเรื่อยๆ และพลังของมันก็เพิ่มขึ้นทุกครั้ง

แต่สาระสำคัญของการโจมตีดังกล่าวคืออะไร? จะเกิดอะไรขึ้นบนเครือข่ายเมื่อมีการดำเนินการ แนวคิดในการทำเช่นนี้มาจากไหน และเหตุใดจึงมีประสิทธิภาพมาก คุณจะพบคำตอบสำหรับคำถามเหล่านี้ในบทความของเราวันนี้

DDoS หรือการปฏิเสธการให้บริการแบบกระจายคือการโจมตีคอมพิวเตอร์เฉพาะบนเครือข่ายที่ทำให้คอมพิวเตอร์ไม่ตอบสนองต่อคำขอจากผู้ใช้รายอื่นโดยการโอเวอร์โหลด

เพื่อให้เข้าใจว่าการโจมตี ddos ​​หมายถึงอะไร ลองจินตนาการถึงสถานการณ์: เว็บเซิร์ฟเวอร์ให้หน้าไซต์แก่ผู้ใช้ สมมติว่าใช้เวลาครึ่งวินาทีในการสร้างเพจและถ่ายโอนไปยังคอมพิวเตอร์ของผู้ใช้โดยสมบูรณ์ จากนั้นเซิร์ฟเวอร์ของเราจะสามารถ ให้ทำงานได้ตามปกติด้วยความถี่ 2 คำขอต่อวินาที หากมีคำขอดังกล่าวมากกว่านี้ คำขอเหล่านั้นจะถูกจัดคิวและดำเนินการทันทีที่เว็บเซิร์ฟเวอร์ว่าง คำขอใหม่ทั้งหมดจะถูกเพิ่มไปที่ส่วนท้ายของคิว ทีนี้ลองจินตนาการว่ามีคำขอจำนวนมาก และส่วนใหญ่จะถูกส่งไปเพื่อทำให้เซิร์ฟเวอร์นี้โอเวอร์โหลดเท่านั้น

หากอัตราที่คำขอใหม่มาถึงเกินอัตราการประมวลผล เมื่อเวลาผ่านไป คิวคำขอจะยาวนานจนไม่มีการประมวลผลคำขอใหม่จริงๆ นี่คือหลักการสำคัญของการโจมตีแบบ ddos ก่อนหน้านี้คำขอดังกล่าวถูกส่งจากที่อยู่ IP เดียวและสิ่งนี้เรียกว่าการโจมตีแบบปฏิเสธการบริการ - Dead-of-Service อันที่จริงนี่คือคำตอบสำหรับคำถามที่ว่า dos คืออะไร แต่การโจมตีดังกล่าวสามารถต่อสู้ได้อย่างมีประสิทธิภาพโดยการเพิ่มที่อยู่ IP ต้นทางหรือหลายรายการในรายการบล็อก นอกจากนี้ เนื่องจากข้อจำกัดแบนด์วิธของเครือข่าย อุปกรณ์หลายตัวจึงไม่สามารถสร้างแพ็กเก็ตในจำนวนที่เพียงพอที่จะโอเวอร์โหลดเซิร์ฟเวอร์ร้ายแรงได้

ดังนั้นการโจมตีจึงดำเนินการจากอุปกรณ์หลายล้านเครื่องในคราวเดียว มีการเพิ่มคำว่า Distribed ลงในชื่อ ปรากฏว่า - DDoS เพียงอย่างเดียว อุปกรณ์เหล่านี้ไม่มีความหมายอะไรเลย และอาจไม่มีการเชื่อมต่ออินเทอร์เน็ตที่รวดเร็วนัก แต่เมื่ออุปกรณ์ทั้งหมดเริ่มส่งคำขอไปยังเซิร์ฟเวอร์เดียวพร้อมกัน ก็สามารถเข้าถึงความเร็วรวมสูงสุด 10 Tb/s และนี่ก็เป็นตัวบ่งชี้ที่ค่อนข้างจริงจังอยู่แล้ว

ยังคงต้องค้นหาว่าผู้โจมตีได้รับอุปกรณ์มากมายเพื่อโจมตีจากที่ใด นี่คือคอมพิวเตอร์ธรรมดาหรืออุปกรณ์ IoT ต่างๆ ที่ผู้โจมตีสามารถเข้าถึงได้ นี่อาจเป็นอะไรก็ได้กล้องวิดีโอและเราเตอร์พร้อมเฟิร์มแวร์ที่ไม่ได้รับการอัพเดตเป็นเวลานานอุปกรณ์ควบคุมและคอมพิวเตอร์ทั่วไปของผู้ใช้ที่ติดไวรัสและไม่ทราบถึงการมีอยู่ของมันหรือไม่รีบร้อนที่จะลบมันออก

ประเภทของการโจมตี DDoS

การโจมตี DDoS มีหลักๆ สองประเภท โดยบางประเภทมุ่งเป้าไปที่การโอเวอร์โหลดโปรแกรมเฉพาะ และการโจมตีที่มุ่งเป้าไปที่การโอเวอร์โหลดลิงก์เครือข่ายไปยังคอมพิวเตอร์เป้าหมาย

การโจมตีจากการโอเวอร์โหลดโปรแกรมเรียกอีกอย่างว่าการโจมตี 7 (ในโมเดลเครือข่าย OSI มีเจ็ดระดับและระดับสุดท้ายคือระดับของแต่ละแอปพลิเคชัน) ผู้โจมตีโจมตีโปรแกรมที่ใช้ทรัพยากรเซิร์ฟเวอร์จำนวนมากโดยการส่งคำขอจำนวนมาก ในที่สุดโปรแกรมก็ไม่มีเวลาประมวลผลการเชื่อมต่อทั้งหมด นี่คือประเภทที่เรากล่าวถึงข้างต้น

การโจมตี DoS บนช่องทางอินเทอร์เน็ตต้องใช้ทรัพยากรมากขึ้น แต่ก็รับมือได้ยากกว่ามาก หากเราทำการเปรียบเทียบกับ osi สิ่งเหล่านี้จะเป็นการโจมตีในระดับ 3-4 ได้แก่ ช่องทางหรือโปรโตคอลการถ่ายโอนข้อมูล ความจริงก็คือการเชื่อมต่ออินเทอร์เน็ตใด ๆ มีการจำกัดความเร็วของตัวเองซึ่งสามารถถ่ายโอนข้อมูลได้ หากมีข้อมูลจำนวนมาก อุปกรณ์เครือข่ายจะเข้าคิวรอรับส่งข้อมูลเช่นเดียวกับโปรแกรม และหากปริมาณข้อมูลและความเร็วที่มาถึงเกินความเร็วของช่องสัญญาณอย่างมาก ข้อมูลก็จะโอเวอร์โหลด อัตราการถ่ายโอนข้อมูลในกรณีดังกล่าวสามารถคำนวณได้ในหน่วยกิกะไบต์ต่อวินาที ตัวอย่างเช่น ในกรณีที่ประเทศเล็กๆ อย่างไลบีเรียถูกตัดการเชื่อมต่อจากอินเทอร์เน็ต ความเร็วในการถ่ายโอนข้อมูลจะสูงถึง 5 TB/วินาที อย่างไรก็ตาม 20-40 Gb/s ก็เพียงพอที่จะโอเวอร์โหลดโครงสร้างพื้นฐานเครือข่ายส่วนใหญ่ได้

ต้นกำเนิดของการโจมตี DDoS

ข้างต้นเราได้ดูว่าการโจมตี DDoS คืออะไร รวมถึงวิธีการโจมตี DDoS ถึงเวลาที่ต้องไปยังต้นกำเนิดของมันแล้ว คุณเคยสงสัยหรือไม่ว่าทำไมการโจมตีเหล่านี้ถึงมีประสิทธิภาพมาก? ขึ้นอยู่กับกลยุทธ์ทางทหารที่ได้รับการพัฒนาและทดสอบมานานหลายทศวรรษ

โดยทั่วไปแล้ว แนวทางการรักษาความปลอดภัยของข้อมูลหลายวิธีจะขึ้นอยู่กับกลยุทธ์ทางการทหารในอดีต มีไวรัสโทรจันที่มีลักษณะคล้ายกับ Battle of Troy โบราณ ไวรัสแรนซัมแวร์ที่ขโมยไฟล์ของคุณเพื่อเรียกค่าไถ่ และการโจมตี DDoS ที่จำกัดทรัพยากรของศัตรู ด้วยการจำกัดตัวเลือกของคู่ต่อสู้ คุณจะสามารถควบคุมการกระทำที่ตามมาของเขาได้ กลยุทธ์นี้ใช้ได้ผลดีมากสำหรับนักยุทธศาสตร์การทหารทั้งสองคน และสำหรับอาชญากรไซเบอร์

ในกรณีของยุทธศาสตร์ทางทหาร เราสามารถคิดง่ายๆ เกี่ยวกับประเภทของทรัพยากรที่สามารถจำกัดเพื่อจำกัดความสามารถของศัตรูได้ การจำกัดน้ำ อาหาร และวัสดุก่อสร้างจะทำลายศัตรูได้ สำหรับคอมพิวเตอร์ ทุกอย่างจะแตกต่างออกไป มีบริการที่หลากหลาย เช่น DNS เว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์อีเมล พวกเขาทั้งหมดมีโครงสร้างพื้นฐานที่แตกต่างกัน แต่มีบางอย่างที่รวมพวกเขาเป็นหนึ่งเดียวกัน นี่คือเครือข่าย หากไม่มีเครือข่าย คุณจะไม่สามารถเข้าถึงบริการระยะไกลได้

ขุนศึกสามารถวางยาพิษในน้ำ เผาพืชผล และตั้งจุดตรวจได้ อาชญากรไซเบอร์สามารถส่งข้อมูลที่ไม่ถูกต้องไปยังบริการ ทำให้ใช้หน่วยความจำทั้งหมด หรือโอเวอร์โหลดช่องทางเครือข่ายทั้งหมด กลยุทธ์การป้องกันก็มีรากฐานเดียวกัน ผู้ดูแลระบบเซิร์ฟเวอร์จะต้องตรวจสอบการรับส่งข้อมูลขาเข้าเพื่อค้นหาการรับส่งข้อมูลที่เป็นอันตรายและบล็อกก่อนที่จะถึงช่องทางเครือข่ายหรือโปรแกรมเป้าหมาย

ข้อสรุป

การโจมตี DDoS เริ่มแพร่หลายและมีประสิทธิภาพมากขึ้นทุกครั้ง ซึ่งหมายความว่าบริการที่เราใช้จะถูกโจมตีมากขึ้น วิธีหนึ่งที่เราสามารถลดจำนวนการโจมตีได้คือการตรวจสอบให้แน่ใจว่าอุปกรณ์ของเราไม่ติดไวรัสใดๆ และได้รับการอัปเดตตรงเวลา ตอนนี้คุณรู้แล้วว่าการโจมตี DDoS คืออะไรและรู้พื้นฐานของการป้องกันแล้ว เราจะดูรายละเอียดเพิ่มเติมในบทความใดบทความหนึ่งต่อไปนี้

โดยสรุป ฉันขอเสนอการบรรยายเกี่ยวกับการโจมตี DDoS:

เป้าหมายของการโจมตี DDoS อาจเป็นได้ทั้งเพื่อบล็อกโครงการของคู่แข่งหรือทรัพยากรยอดนิยม หรือเพื่อควบคุมระบบโดยสมบูรณ์ เมื่อโปรโมตไซต์ ให้คำนึงว่าเงื่อนไข DoS เกิดขึ้นด้วยเหตุผลดังต่อไปนี้:

  • เนื่องจากข้อผิดพลาดในรหัสโปรแกรมที่นำไปสู่การดำเนินการตามคำสั่งที่ไม่ถูกต้อง การเข้าถึงส่วนที่ไม่ได้ใช้ของพื้นที่ที่อยู่ ฯลฯ
  • เนื่องจากการตรวจสอบข้อมูลผู้ใช้ไม่เพียงพอ ซึ่งอาจนำไปสู่วงจรที่ยาวนาน (หรือไม่มีที่สิ้นสุด) การใช้ทรัพยากรโปรเซสเซอร์เพิ่มขึ้น หน่วยความจำหมด ฯลฯ
  • เนื่องจากน้ำท่วม - การโจมตีภายนอกผ่านการร้องขอที่มีรูปแบบไม่ถูกต้องหรือไร้ความหมายจำนวนมากไปยังเซิร์ฟเวอร์ มีน้ำท่วมระบบย่อย TCP ช่องทางการสื่อสารและระดับแอปพลิเคชัน
  • เนื่องจากอิทธิพลภายนอกซึ่งมีจุดประสงค์เพื่อทำให้เกิดการแจ้งเตือนที่ผิดพลาดของระบบป้องกันและส่งผลให้ทรัพยากรไม่พร้อมใช้งาน

การป้องกัน

การโจมตี DDoS นั้นซับซ้อน เพราะหากเซิร์ฟเวอร์ล่มเป็นเวลานาน เพจต่างๆ จะหลุดออกจากดัชนี ในการตรวจจับภัยคุกคาม จะมีการใช้วิธีการลายเซ็น วิธีทางสถิติ และแบบไฮบริด วิธีแรกขึ้นอยู่กับการวิเคราะห์เชิงคุณภาพ ส่วนที่สอง - ในเชิงปริมาณ และวิธีที่สามรวมข้อดีของวิธีการก่อนหน้านี้ มาตรการตอบโต้สามารถเป็นได้ทั้งเชิงรับและเชิงรุก เชิงป้องกัน และเชิงโต้ตอบ ส่วนใหญ่ใช้วิธีการต่อไปนี้:

  • ขจัดเหตุผลส่วนตัวและสังคมที่กระตุ้นให้ผู้คนจัดการโจมตี DDoS
  • การแบล็คโฮลและการกรองการจราจร
  • การกำจัดช่องโหว่ของโค้ดระหว่างการเพิ่มประสิทธิภาพกลไกค้นหาของไซต์
  • การเพิ่มทรัพยากรเซิร์ฟเวอร์ การสร้างระบบสำรองและกระจายสำหรับบริการผู้ใช้สำรอง
  • ผลกระทบด้านเทคนิคและกฎหมายขององค์กรต่อผู้จัดงาน แหล่งที่มา หรือศูนย์ควบคุมของการโจมตี
  • การติดตั้งอุปกรณ์เพื่อขับไล่การโจมตี DDoS (Arbor Peakflow®, DefensePro® ฯลฯ)
  • การซื้อเซิร์ฟเวอร์เฉพาะสำหรับการโฮสต์เว็บไซต์


บทความที่เกี่ยวข้อง