Откако скоро цела недела бевме под DDoS напад од страна на засега непознат сторител, веќе 48 часа пиеме „кафе на раат“… нема нови напади ниту пак обиди од тоа што може да забележиме на IT.mk.
Можеби тоа се должи на оневозможувањето на ботнетот поради нечии преземени активности, или пак можеби Command & Control серверот на напаѓачот е оневозможен, можеби… :) Или пак можеби грешиме, а на напаѓачот само му станало #DDoSадно. Ќе видиме… една работа со DDoS нападите е дека ако некој сака да те DDoS-ира и покрај тоа што ќе му исклучиш ботнет, лесно може да плати за друг – а од тоа произлегува дека DDoS нападите не може да се спречат, може само да се митигираат.
Ако се погледне сообраќајот на IT.mk во последните 7 дена, ќе забележите високи пикови на барања во првите инстанци од неделниот напад, но и интересен тренд на опаѓање на јачината на нападите – за кој ќе пишуваме во еден од нашите следни текстови од овој серијал кога ќе направиме целосна анатомија на DDoS нападот врз IT.mk.
За основите на DDoS нападот може да прочитате во нашиот прв текст Што е DDoS напад?, а во овој ќе пишуваме за разните типови на DDoS и како истите се категоризираат.
Категоризација на DDoS напад
Генерално, DDoS нападите можат да бидат категоризирани во повеќе од 30 категории, зависно од фактот по кој ќе ги одредувате нападите – дали по техниката со којашто се изведуваат, дали по типот на барања што се праќаат, по протоколите кои се таргетираат или сл.
Според едни од лидерите во DDoS митигација, Imperva, најосновна класификација на DDoS нападите е:
Напади засновани на волумен
Вклучува испраќање барања на комуникацискиот протокол UDP (User Datagram Protocol), преплавување на ICMP (Internet Control Message Protocol) и испраќање сообраќај со лажни пакети. Целта на нападот е да се засити пропусниот опсег на нападнатата локација, а големината се мери во битови во секунда (Bps).
Напади врз протокол
Вклучува тактики како преплавување на SYN (вид на TCP пакет), напади на фрагментирани пакети, Ping of Death, Smurf DDoS (напад на мрежен слој- именуван според malware-от Smurf) и многу повеќе. Овој тип на напад ги троши вистинските ресурси на серверот, или оние на опремата за средна комуникација, како што се firewall-ите и load balancer-ите, и се мери во пакети во секунда (Pps).
Напади на апликациски слој
Вклучува ниски и бавни напади, со преплавување на GET/POST барања, напади кои ги таргетираат пропустите на Apache, Windows или OpenBSD и многу повеќе. Составени од навидум легитимни барања, целта на овие напади е да се урне веб-серверот, а големината се мери во Барања во секунда (Rps). – нападот на IT.mk е од овој карактер.
Најчести типови на DDoS напади
HTTP flood
Од апликациските, најчест напад е т.н. HTTP flood (HTTP поплава). Овој напад е сличен на притискање на F5 (refresh) во прелистувачот одново и одново на многу различни компјутери одеднаш – што во суштина предизвикува голем број барања за HTTP кои го преплавуваат серверот, што резултира во искористување на достапните ресурси и блокирање.
Овој тип на напад може да е едноставен, но може и да е навистина сложен – зависи од искуството на напаѓачот или пак од каков вид ботнет закупил. Поедноставните имплементации може да пристапат до една URL адреса со ист опсег на напаѓачки IP адреси, referrers и user agents. Посложената верзија може да користи голем број напаѓачки IP адреси и да таргетираат случајни URL-а користејќи рандом параметри со што би се искомплицирала митигацијата и одредувањето на правилата во firewall-от кој би можел да го митигира нападот.
SYN flood
Cloudflare, уште еден клучен играч во глобалната DDoS митигација, за нападот SYN Flood дава аналоген пример на работник во магацин кој прима пакети од предната страна на магацинот. Работникот добива барање, оди и го зема пакетот и чека потврда пред да го стави на соодветно место во магацинот. Работникот потоа добива уште многу барања за пакети без потврда за каде да ги однесе се додека не може да носи повеќе пакети, со што се преоптоварува и не е веќе во можност да преземе пакет без притоа да однесе веќе преземен пакет на соодветно место.
Овој напад го експлоатира ракувањето со TCP – секвенцата на комуникации со која два компјутери иницираат мрежна врска – со испраќање на голем број SYN пакети со лажни изворни IP адреси. Таргетираната машина одговара на секое барање за поврзување и потоа го чека последниот чекор во ракувањето, што никогаш не се случува, исцрпувајќи ги ресурсите на целта во процесот.
Амплификација на DNS
Амплификација на DNS (Domain Name System) е како некој да се јави во ресторан и да каже „Ќе нарачам сè од менито, ве молам јавете ми се назад на овој број и повторете ми ја целата моја нарачка“, каде што бројот за повратен повик всушност и припаѓа на жртвата. Со многу малку напор, се генерира долг одговор и се испраќа до жртвата. Со поднесување барање до отворен DNS сервер со лажирана IP адреса (IP адресата на жртвата), целната IP адреса потоа добива одговор од серверот. Овој вид на напад практично го искористува целиот достапен интернет сообраќај на располагање.
Преплавување на UDP
Преплавување на UDP (User Datagram Protocol), по дефиниција, е секој DDoS напад што преплавува цел со UDP пакети. Целта на нападот е да се преоптеретат случајни портови на сервер. Ова предизвикува серверот постојано да проверува дали апликацијата слуша на таа порта и (кога не е пронајдена апликација) да одговара со ICMP пакет дека дестинацијата не е достапна. Процесов ги преоптеретува ресурсите на серверот, што на крајот може да доведе до недостапност.
Ping of Death
Ping of Death (Пинг на смртта) или познат уште и како Ping Flood е олд-скул тип на DDoS напад кој манипулира со IP протоколи со цел испраќање малициозни пингови до системот. Практично, со испраќање на неконвенционални ping-пакети чија големина значително ја надминува максималната дозволена вредност од 65,535 бајти, се прави недоследност која предизвикува компјутерскиот систем да одвои премногу ресурси за повторно составување на ваквите пакети. После тоа, системот може да наиде на прелевање на баферот или дури и паѓање. Популарен уште пред 20 години, овој тип на DDoS напад денеска скоро и да не е ефикасен бидејќи новите системи имаат специфична заштита против PoD.
Smurf DDoS напад
Нападов што навидум делува дека има име инспирирано од цртанот Штрумфови, всушност името го добил од малициозниот софтвер Smurf – преку чија инсталација се овозможува извршување на нападот. Станува збор за напад на мрежен слој, кој ја преплавува компјутерската мрежа со ICMP барања за пинг кои носат лажна IP адреса на целта. Уредите што примаат се конфигурирани да одговараат на IP адресата, што може да предизвика поплава од пингови што серверот не може да ги обработи. Сличен напад, но кој наместо ICMP таргетира UDP сообраќај на мрежно ниво се вика Fraggle DDoS напад.
Други типови на DDoS
- Slowloris – напад кој држи отворени конекции на сервер,
- Амплификација на NTP (Network Time Protocol) – ги користи серверите за синхронизација на време и ги преплавува со UDP пакети,
- Напреден перзистенен DoS (Advanced Persistent DoS – APDoS) – е можеби еден од најсериозните типови, користи комбинација од разни напади – пр. HTTP flood, SYN flood и сл. и испраќа милиони барања.
- Zero-day DDoS напади – нападите кои искористуваат незакрпени софвери кои имаат багови, се познати под ова име.
Како што рековме, класификацијата по тип, категорија и сл. не е стриктно дефинирана категоризација и на други места може да се сретнете и повеќе подкатегории на DDoS нападите – но според Cloudflare и Imperva, горенаведените се едни од најчестите форми на класификација по категорија и тип.
Во следните текстови од серијалот ќе зборуваме за техники на митигација на DDoS напади, како и ќе направиме целосна анатомија на нападот врз IT.mk кој интерно го нарековме #DDoSадно со конкретни објаснувања за преземeните активности.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
