Cyber-forbrydelser har været stigende for sent, med ransomware-angreb (WannaCry, NotPetya), hackede databaser (Equifax, Sony, Yahoo) og software bagdøre (Floxif / CCleaner, ShadowPad / NetSarang) gør overskrifter ofte. Mens omfanget og rækkevidden af disse angreb er forbløffende, er det faktisk, at cyberkriminelle ikke kun er begrænset til at stjæle dine data, identitet eller penge. Omfanget af forbrydelser i den virtuelle verden er så stort som i den virkelige verden, hvis ikke mere. En type cyber-angreb, der har været i fokus for sent, er DDoS, eller distribueret denial-of-service, der ofte har opdelt hvidhattenhackersamfundet gennem årene. Med den førende CDN-udbyder Cloudflare, der nu annoncerer gratis DDoS-beskyttelse for alle sine kunder, er den alderlige debat om "etiske" DDoS mod ondsindede DDoS igen startet, hvor begge sider kommer ud i fuld støtte af deres respektive argumenter. Med debatten om DDoS-angrebene, der raser over internettet, lad os tage et detaljeret kig på fænomenet i dag for ikke kun at lære mere om det, men også for at forsøge at forstå, hvorfor hacktivister og fredspræsidentgrupper fortsætter med at mislykkes i deres bestræbelser på at nå til enighed om det i første omgang:
Hvad er DDoS og hvordan virker det?
I det enkleste af termer er et distribueret denial-of-service (DDoS) -angreb et forsøg på kunstigt at forstyrre normal drift af et websted eller netværk ved at oversvømme målserveren med en overvældende mængde trafik, der enten forsinker eller nedbrud netværket fuldstændigt . Dette opnås ved at bruge flere kompromitterede systemer som led i det såkaldte "botnet", der kan omfatte enhver netforbundet enhed, herunder, men ikke begrænset til, computere, smartphones og IoT-enheder. Blackhatt hackere såvel som hacktivister bruger forskellige sofistikerede værktøjer til at udføre disse angreb ved ikke blot at oversvømme målserverne med en usædvanlig mængde trafik, men også ved at bruge mere subtile og svære at detektere infiltrationsteknikker, der målretter kritisk netværkssikkerhed infrastruktur, såsom firewalls og IDS / IPS (Intrusion Detection / Prevention System).
Hvad er DoS og hvordan er det forskelligt fra DDoS?
Denial-of-Service (DoS) -angreb er præcis, hvad det lyder som, for så vidt det forhindrer lovlige brugere i at få adgang til målrettede servere, systemer eller andre netværksressourcer. Som det er tilfældet med DDoS-angreb, ville en person eller personer, der udfører et sådant angreb, typisk oversvømme den målrettede infrastruktur med et uhyre stort antal overflødige anmodninger for at overbelaste sine ressourcer, hvilket gør det vanskeligt eller endog umuligt for det berørte netværk eller system til at reagere på ægte anmodninger om service. For en slutbruger er virkningerne af DoS ikke helt forskellige fra DDoS, men i modsætning til den tidligere, der typisk bruger en enkelt maskine og en enkelt internetforbindelse til at udføre angrebet, bruger sidstnævnte flere kompromitterede enheder til at oversvømme det tilsigtede mål, hvilket gør det utrolig vanskeligt at opdage og forhindre.
Hvad er de forskellige typer DDoS-angreb?
Som tidligere nævnt benytter både cyberkriminelle og hacktivister brug af utallige angrebsvektorer til at udføre deres DDoS-angreb, men et stort flertal af disse angreb vil for det meste falde ind under tre brede kategorier: Volumetrisk eller Bandwidth Attacks, Protocol Attacks eller statens udmattelsesangreb og applikationslagsangreb eller lag 7 angreb. Alle disse angreb retter sig mod forskellige komponenter i en netværksforbindelse, der består af 7 forskellige lag, som det ses i billedet nedenfor:
1. Volumetriske angreb eller båndbreddeangreb
Disse typer angreb antages at udgøre over halvdelen af alle DDoS-angreb, der udføres rundt om i verden hvert år. Der er forskellige typer af volumetriske angreb, hvor den mest almindelige oversvømmelse af User Datagram Protocol (UDP) er, hvorved en angriber sender et stort antal UDP-pakker til tilfældige porte på en ekstern vært, hvilket får serveren til gentagne gange at kontrollere og reagere på ikke- eksisterende applikationer, hvorved den ikke reagerer på lovlig trafik. Lignende resultater kan også opnås ved at oversvømme en offert server med ICMP (Internet Control Message Protocol) ekko-anmodninger fra flere IP-adresser, der ofte er spoofed. Målserveren forsøger at reagere på hver eneste af disse falske anmodninger i god tro, i sidste ende bliver overbelastet og ude af stand til at reagere på ægte ICMP-ekkoanmodninger. Volumetriske angreb måles i bit per sekund (bps).
2. Protokollanfald eller statsstødsangreb
Protokollangreb, også kendt som State-Exhaustion-angreb, forbruger forbindelsestilstandskapaciteten for ikke kun webapplikationsservere, men også andre infrastrukturkomponenter, herunder mellemliggende ressourcer, såsom belastningsbalancer og firewalls. Disse typer angreb kaldes 'protokolangreb', fordi de retter sig mod svagheder i lag 3 og 4 i protokollstakken for at nå deres mål. Selv avancerede kommercielle enheder, der er specielt designet til at opretholde tilstanden på millioner af forbindelser, kan blive hårdt ramt af protokollangreb. Et af de mest kendte protokollangreb er "SYN-oversvømmelsen", der udnytter "trevejshåndtryksmekanismen" i TCP. Den måde, det virker på, er, at værten sender en oversvømmelse af TCP / SYN-pakker, ofte med en smedet afsenderadresse, for at forbruge tilstrækkelige serverressourcer til at gøre det næsten umuligt for legitime anmodninger om at komme igennem. Andre typer af protokollangreb omfatter Ping of Death, Smurf DDoS og fragmenterede pakkeangreb. Disse typer angreb måles i pakker pr. Sekund (Pps).
3. Application-layer Attacks eller Layer 7 Attacks
Applikationslagsangreb, der ofte omtales som lag 7-angreb i forhold til det 7. lag af OSI-tilstanden, retter sig mod det lag, hvor websider genereres til at blive leveret til brugere, der sender HTTP-anmodningerne. Forskellige typer af lag 7-angreb omfatter det berygtede " Slowloris " -angreb, hvorved angriberen sender langsomt et stort antal HTTP-anmodninger til en målserver, men uden at have fuldført nogen af anmodningerne. Angregeren vil fortsætte med at sende flere overskrifter med små intervaller og derved tvinge serveren til at holde en åben forbindelse til disse uendelige HTTP-anmodninger, og til sidst anvender der tilstrækkelige ressourcer til at gøre systemet ude af stand til gyldige anmodninger. Et andet populært lag 7-angreb er HTTP Flood- angrebet, hvor et stort antal falske HTTP-, GET- eller POST-anmodninger oversvømmer den målrettede server inden for en kort tidsperiode, hvilket resulterer i benægtelse af service til legitime brugere. Da applikationslagsangreb typisk omfatter at sende en unaturlig stor mængde anmodninger til en målserver, måles de i anmodninger pr. Sekund (Rps).
Udover de ovenfor beskrevne enkeltvektorangreb er der også flere vektorangreb, der målretter systemer og netværk fra en række forskellige retninger på én gang, hvilket gør det endnu vanskeligere for netværksingeniører at udklare omfattende strategier mod DDoS-angreb. Et sådant eksempel på et multi-vektorangreb er, når en hacker ville forbinde DNS-forstærkning, som målretter lag 3 og 4, med HTTP Flood, der er målrettet til lag 7.
Sådan beskytter du dit netværk mod et DDoS-angreb
Da de fleste DDoS-angreb arbejder ved at overvældende en målserver eller et netværk med trafik, er det første, der skal gøres for at mildne DDoS-angreb, at skelne mellem ægte trafik og ondsindet trafik . Men som du ville forvente, er det ikke så let, i betragtning af de mange forskellige, komplekse og sofistikerede niveauer af disse angreb. Da det er tilfældet, beskytter dit netværk mod de nyeste og mest sofistikerede DDoS-angreb, kræver netværksingeniører omhyggeligt designet strategier for ikke at smide babyen ud med badvandet. Fordi angriberne vil gøre deres bedste for at få deres ondsindede trafik til at virke normale, vil afbødningsforsøg, der indebærer begrænsning af al trafik, begrænse ærlig trafik, mens et mere permissivt design tillader hackere at omgå modforanstaltninger lettere. Når det er tilfældet, skal man vedtage en lagdelt løsning for at opnå den mest effektive løsning.
Men inden vi kommer til de tekniske aspekter, skal vi forstå, at da de fleste DDoS-angreb i disse dage involverede chocking fra kommunikationsbanerne på en eller anden måde, er en af de oplagte ting at gøre, at beskytte dig selv og dit netværk er mere overflødig: mere båndbredde og flere servere spredes over flere datacentre på tværs af forskellige geografiske steder, hvilket også virker som forsikring mod naturkatastrofer mv.
En anden vigtig ting at gøre er at følge nogle af branchens bedste praksis, når det gælder DNS-servere. At slippe af med åbne beslutningstagere er et af de kritiske første skridt i dit forsvar mod DDoS, for hvor god er en hjemmeside, hvis ingen kan løse dit domænenavn i første omgang? Når det er tilfældet, skal man se ud over den sædvanlige dual-DNS-server-opsætning, som de fleste domænenavnregistratorer leverer som standard. Mange virksomheder, herunder de fleste af de bedste CDN-udbydere, tilbyder også forbedret DNS-beskyttelse ved hjælp af overflødige DNS-servere, der er beskyttet bag den samme type belastningsbalancering, at dit web og andre ressourcer er.
Mens de fleste websteder og blogs outsourcer deres hosting til tredjeparter, vælger nogle at betjene deres egne data og administrere deres egne netværk. Hvis du tilhører denne gruppe, er nogle af de grundlæggende, men kritiske industripraksis, du skal følge med, at oprette en effektiv firewall og blokere ICMP, hvis du ikke har brug for dem. Sørg også for, at alle dine routere taber junk-pakker . Du skal også kontakte din internetudbyder for at kontrollere, om de kan hjælpe med at blokere for ønsket trafik for dig. Vilkårene vil variere fra en internetudbyder til en anden, så du skal kontrollere med deres netværksoperationscentre for at se, om de tilbyder sådanne tjenester til virksomheder. Generelt er følgende nogle af de trin, som CDN-udbydere, internetudbydere og netværksadministratorer ofte bruger til at afbøde DDoS-angreb:
Black Hole Routing
Black Hole Routing eller Blackholing er en af de mest effektive måder at afbøde et DDoS-angreb på, men det skal kun implementeres efter korrekt analyse af netværkstrafik og skabe strenge restriktionskriterium, da det ellers ville være "black hole" eller rute alle indgående trafik til null-rute (blackhole) uanset om det er ægte eller ondsindet. Det vil teknisk omgå en DDoS, men angriberen har nået deres mål om at forstyrre netværkstrafik alligevel.
Satsbegrænsning
En anden metode, der ofte bruges til at afbøde DDoS-angreb, er 'Rate Limiting'. Som det hedder, betyder det at begrænse antallet af anmodninger, en server vil acceptere inden for en angivet tidsramme . Det er nyttigt at stoppe webskrabere fra at stjæle indhold og til at mildne brute force login-forsøg, men skal bruges sammen med andre strategier for effektivt at kunne håndtere DDoS-angreb.
Web Application Firewall (WAF)
Selvom det ikke er nok nok i sig selv, er omvendte proxyer og WAF'er nogle af de første skridt, man skal tage for at mildne en række trusler, ikke kun DDoS. WAF'er hjælper med at beskytte målnetværket mod lag 7-angreb ved at filtrere anmodninger baseret på en række regler, der bruges til at identificere DDoS-værktøjer, men det er også yderst effektivt til beskyttelse af servere fra SQL-indsprøjtning, cross-site scripting og forespørgsler over forfalskning på stedet.
Anycast Network Diffusion
Content Delivery Networks (CDN'er) bruger ofte Anycast-netværk som en effektiv måde at afbøde DDoS-angreb på. Systemet virker ved at omdirigere al trafik, der er bestemt til et underangrebsnetværk til en række distribuerede servere på forskellige steder, og derved diffunderer den forstyrrende virkning af et forsøg på DDoS-angreb.
Hvordan foreslår Cloudflare at afslutte DDoS Attacks for Good med sin gratis DDoS-beskyttelse?
Et af de førende indholdsleveringsnetværk i verden, Cloudflare, meddelte for nylig, at det vil yde beskyttelse mod DDoS-angreb, ikke kun til sine betalte kunder, men også til sine gratis kunder, uanset angrebets størrelse og omfang . Som forventet har annonceringen, der blev foretaget tidligere i denne uge, skabt en smule buzz inden for branchen såvel som de globale tekniske medier, som typisk bruges til CDN'er, herunder Cloudflare, enten at sparke deres underangrebsklienter eller kræve flere penge fra dem for fortsat beskyttelse. Mens ofre indtil nu har været nødt til at klare sig selv, når de er under angreb, har løfterne om gratis, ikke-målrettet DDoS-beskyttelse modtaget varmt af blogs og virksomheder, hvis websites og netværk forbliver under konstant trussel for at offentliggøre kontroversielt indhold.
Mens Cloudflares tilbud faktisk er revolutionerende, er den eneste ting, der skal nævnes, at tilbuddet om fri, ubemandet beskyttelse kun gælder for lag 3 og 4 angreb, mens lag 7-angreb stadig kun er tilgængelige for de betalte planer, der starter ved $ 20 om måneden.
Hvis vellykket, hvad vil cloudflare's tilbud betyde for 'hacktivisme'?
Cloudflare har som forventet genoplivet debatten blandt hacktivister og internettsikkerhedseksperter om etisk hacking og ytringsfrihed. Mange hacktivistiske grupper, som Chaos Computer Club (CCC) og Anonym, har længe hævdet, at det er nødvendigt at fremstille digitale protester mod hjemmesider og blogs, der spreder hadisk propaganda og bigoted - ofte voldelige ideologier. Det er tilfældet, at disse grupper af aktivistiske hackere eller hacktivister ofte har rettet mod terroristwebsteder, neo-nazi-blogs og børnepornagere med DDoS-angreb, hvor den seneste ulykke er den langt højre Daily Stormer-blog, der roste de seneste mord på en menneskerettighedsaktivist i Charlottesville, Virginia, af en højre ekstremist.
Mens nogle som Cloudflare CEO Mattew Prince og EFF (Electronic Frontier Foundation) har kritiseret hacktivister for at forsøge at tavle ytringsfriheden med DDoS-angreb, hævder tilhængere af hacktivisme, at deres digitale protester mod uhyggelige ideologier ikke er anderledes end at fylde et torg eller at holde en sit-in langs linjerne af "Occupy" -bevægelsen, der startede med den berømte Occupy Wall Street protest den 17. september 2011, hvilket bringer global opmærksomhed på voksende socioøkonomisk ulighed på verdensplan.
Mens nogle måske hævder, at DDoS er et redskab til ægte protest, så ethiske hackere hurtigt kan handle imod terrorister, bigots og pædofile for at tage deres umoralske (og ofte ulovlige) indhold offline til gode, har sådanne angreb også en mørk side . Undersøgende journalister og fløjteblæsere har ofte været målene for sådanne angreb i fortiden, og det var kun sidste år, at cybersecurity journalisten, Brian Krebs, blev taget ned af et massivt DDoS-angreb, der målt en vanvittig 665 Gbps ved sin højdepunkt . Krebs havde tidligere rapporteret om en israelsk DDoS-for-hire-tjeneste kaldet vDOS, hvilket resulterede i anholdelsen af to israelske statsborgere, og angrebet blev antaget til gengæld.
DDoS Attacks og Cloudflare's plan om at gøre dem til en fortid
På trods af Cloudflares dristige påstande om at gøre DDoS-angreb en ting, hvis fortiden, hævder mange eksperter, at det ikke er teknisk muligt at gøre DDoS-angreb helt forældede på dette stadium. Mens gigantiske virksomheder som Facebook eller Google har de nødvendige infrastrukturafskedigelser for at sikre, at de aldrig lider af sådanne angreb, kan udvidelse af en sådan beskyttelse til hvert enkelt sted under solen udgøre en udfordring for selv de største CDN'er. Prins har imidlertid hævdet, at Cloudflare er i stand til at absorbere "alt hvad internettet smider på os", så kun tid vil vide, om DDoS-angreb vil blive afsendt til historiens annaler for godt, eller hvis hacktivistgrupper vil kunne omgå nogle af modforanstaltninger for at fortsætte deres moralske korstog mod vold, had og uretfærdighed.
