DDoS je zkratkou pro Distributed Denial of Service. Česky by se to dalo trochu neohrabaně přeložit jako rozdělené odmítnutí služby. Tento útok je postavený na úmyslném přetížení nějaké služby pomocí více zdrojů. Zjednodušeně řečeno, představte si že velké množství lidí bude v jeden okamžik mačkat F5 v prohlížeči na nějaké stránce až je nebude stíhat server odbavovat a přetíží se. Hodně zjednodušený příklad 🙂
U reálném útoku jde převážně o narušení komunikace mezi klientem a serverem, v takovém rozsahu, že cílová služba je nepoužitelná úplně anebo je příliš pomalá.
Existuje více druhů útoků. Ve většině případů je použito několik druhů naráz, aby se cíl nedokázal efektivně bránit. (postupně se je všechny pokusím rozvést v samostatném článku)
- APDoS – Advanced Persistent DoS
- Application-level flood
- DoS L2
- HTTP POST DDOS
- Nuke
- PDoS
- Peer-to-peer
- Ping flood
- Ping of death
- R-U-Dead-Yet?
- Slow Read attack
- Smurf attack
- Spoofed attack
- SYN flood
- Teardrop
Na rozdíl od klasického DoS vyžaduje DDoS využití více zařízení naráz. Většinou se jedná o napadené počítače s malware. Ty ovládá útočník přes C&C servery v rámci botnet. Posílá jim instrukce, kdy a na co zaútočit. Obrana je velice obtížná, protože útočících zařízení mohou být i desítky tisíc. Čím větší botnet je tím horší jsou možnosti obrany. Při výkonu současných počítačů a dostupnosti rychlého internetu nestačí například navýšit konektivitu serveru připojeného k internetu. Je nutné pořídit drahou ochranou anebo spoléhat na služby třetích stran.
Ochrana
Základní obranou je firewall, který omezí provoz například na port 80, což znemožní některé druhy útoků. Samozřejmě proti DDoS útoku je většinou bezmocný.
Ochrana v hardware je dalším silným prvkem. Switch a router dnes už dokáže vyhodnotit podezřelý provoz a částečně jej podle nastavení filtrovat anebo omezit. Ovšem jedná se o drahé modely, které si domů jen tak nepořídíte 🙂
Speciální hardware s velmi výkonnými procesory dokáže čistit provoz. Nakupují je datacentra pro své klienty. Cena se však pohybuje v milionech korun. Mezi nejznámější výrobce patří třeba RadWare.
Cíl proti kterému jde velmi silný DDoS útok většinou sebou stáhne i ostatní stroje s kterými se dělí o konektivitu. V rámci ochrany ostatních se pak používá takzvaný blackholing. V podstatě všechno co směřuje na DNS anebo IP adresu končí v černé díře. Jako by přestal existovat.
Tento článek byl byl přečten 5494 krát