การโจมตี DDoS (เรียกว่าการปฏิเสธการให้บริการแบบกระจายในการแปลฟรี: การปฏิเสธการให้บริการแบบกระจาย) เป็นหนึ่งในการโจมตีของแฮ็กเกอร์ที่พบบ่อยที่สุดซึ่งส่งไปยังระบบคอมพิวเตอร์หรือบริการเครือข่ายและได้รับการออกแบบมาเพื่อครอบครองทรัพยากรที่มีอยู่และฟรีทั้งหมดเพื่อ ป้องกันการทำงานของบริการทั้งหมดบนอินเทอร์เน็ต (เช่นเว็บไซต์และอีเมลของคุณที่โฮสต์)
DDoS Attack คืออะไร?
การโจมตี DDoS ประกอบด้วยการโจมตีพร้อมกันจากหลาย ๆ ที่ในเวลาเดียวกัน (จากคอมพิวเตอร์หลายเครื่อง) การโจมตีดังกล่าวส่วนใหญ่ดำเนินการจากคอมพิวเตอร์ที่มีการควบคุมโดยใช้ซอฟต์แวร์พิเศษ (เช่นบอทและโทรจัน) ซึ่งหมายความว่าเจ้าของคอมพิวเตอร์เหล่านี้อาจไม่รู้ด้วยซ้ำว่าคอมพิวเตอร์แล็ปท็อปหรืออุปกรณ์อื่น ๆ ที่เชื่อมต่อกับเครือข่ายอาจถูกใช้โดยที่พวกเขาไม่รู้ตัวเพื่อทำการโจมตี DDoS
การโจมตี DDoS เริ่มต้นเมื่อคอมพิวเตอร์ที่ถูกบุกรุกทั้งหมดเริ่มโจมตีบริการเว็บหรือระบบของเหยื่อพร้อมกัน จากนั้นเป้าหมายของการโจมตี DDoS จะเต็มไปด้วยความพยายามที่ผิดพลาดในการใช้บริการ (เช่นอาจพยายามโทรไปที่เว็บไซต์หรือคำขออื่น ๆ )
เหตุใดการโจมตี DDoS จึงทำให้บริการหยุดชะงัก
ความพยายามในการใช้บริการแต่ละครั้ง (เช่นความพยายามที่จะเรียกเว็บไซต์) ต้องการให้คอมพิวเตอร์ที่ถูกโจมตีจัดสรรทรัพยากรที่เหมาะสมเพื่อให้บริการตามคำขอนี้ (เช่นโปรเซสเซอร์หน่วยความจำแบนด์วิดท์เครือข่าย) ซึ่งเมื่อมีคำขอดังกล่าวจำนวนมากจะนำไปสู่ ความสิ้นเปลืองทรัพยากรที่มีอยู่และเป็นผลให้หยุดการทำงานหรือแม้กระทั่งการระงับระบบที่ถูกโจมตี
จะป้องกันตนเองจากการโจมตี DDoS ได้อย่างไร?
ปัจจุบันการโจมตี DDoS เป็นภัยคุกคามที่น่าจะเกิดขึ้นกับ บริษัท ต่างๆที่ดำเนินงานในเครือข่ายและผลที่ตามมานั้นขยายไปไกลกว่าเฉพาะด้านไอทีเท่านั้น แต่ยังก่อให้เกิดความสูญเสียทางการเงินและภาพลักษณ์ที่วัดได้จริง การโจมตีประเภทนี้มีการพัฒนาอย่างต่อเนื่องและแม่นยำมากขึ้นเรื่อย ๆ วัตถุประสงค์ของพวกเขาคือการใช้ทรัพยากรที่มีอยู่ทั้งหมดของโครงสร้างพื้นฐานเครือข่ายหรือการเชื่อมต่ออินเทอร์เน็ต
คุณสามารถค้นหาข้อเสนอสำหรับการป้องกันการโจมตี DDoS บนอินเทอร์เน็ต บ่อยครั้งการเปิดใช้งานการป้องกันดังกล่าวจากการโจมตี DDoS ทำได้โดยการเปลี่ยนระเบียน DNS ซึ่งจะกำหนดเส้นทางการรับส่งข้อมูล HTTP / HTTPS ทั้งหมดผ่านชั้นการกรองซึ่งจะดำเนินการตรวจสอบโดยละเอียดของแต่ละแพ็กเก็ตและแบบสอบถาม
จากนั้นอัลกอริทึมขั้นสูงตลอดจนกฎที่กำหนดไว้อย่างเหมาะสมจะกรองแพ็กเก็ตที่ผิดพลาดและความพยายามในการโจมตีออกไปดังนั้นมีเพียงทราฟฟิกที่บริสุทธิ์เท่านั้นที่จะไปยังเซิร์ฟเวอร์ของคุณ บริษัท ที่ป้องกันการโจมตี DDoS มีสถานที่ตั้งอยู่ในส่วนต่างๆของโลกซึ่งสามารถบล็อกการโจมตีจากต้นทางได้อย่างมีประสิทธิภาพรวมทั้งให้บริการข้อมูลแบบคงที่จากศูนย์ข้อมูลที่ใกล้ที่สุดซึ่งจะช่วยลดเวลาในการโหลดหน้าเว็บ
การโจมตี DDoS และการแบล็กเมล์ถือเป็นอาชญากรรม
บางครั้งการคุกคามของการโจมตี DDoS จะใช้กับ บริษัท แบล็กเมล์เช่น ไซต์ประมูล บริษัท นายหน้าและที่คล้ายกันซึ่งการหยุดชะงักของระบบธุรกรรมแปลเป็นการสูญเสียทางการเงินโดยตรงสำหรับ บริษัท และลูกค้า ในกรณีเช่นนี้ผู้ที่อยู่เบื้องหลังการโจมตีเรียกร้องค่าไถ่เพื่อยกเลิกหรือหยุดการโจมตี การหักหลังดังกล่าวถือเป็นอาชญากรรม
วิธีป้องกันตนเองจากการโจมตี DoS / DDoS
พูดง่ายๆก็คือการโจมตี DoS เป็นรูปแบบหนึ่งของกิจกรรมที่เป็นอันตรายซึ่งมีเป้าหมายเพื่อนำระบบคอมพิวเตอร์ไปยังจุดที่ไม่สามารถให้บริการผู้ใช้ที่ถูกต้องหรือทำงานตามที่ตั้งใจไว้ได้อย่างถูกต้อง ข้อผิดพลาดในซอฟต์แวร์ (ซอฟต์แวร์) หรือการโหลดมากเกินไปบนช่องสัญญาณเครือข่ายหรือระบบโดยรวมมักนำไปสู่เงื่อนไข "ปฏิเสธการให้บริการ" เป็นผลให้ซอฟต์แวร์หรือระบบปฏิบัติการทั้งหมดของเครื่อง "ขัดข้อง" หรือพบว่าตัวเองอยู่ในสถานะ "วนซ้ำ" และสิ่งนี้คุกคามด้วยการหยุดทำงานการสูญเสียผู้เยี่ยมชม / ลูกค้าและการสูญเสีย
กายวิภาคของการโจมตี DoS
การโจมตี DoS จัดเป็นแบบโลคัลและแบบระยะไกล การหาประโยชน์ในพื้นที่รวมถึงการหาประโยชน์ต่างๆส้อมระเบิดและโปรแกรมที่เปิดไฟล์เป็นล้านไฟล์ในแต่ละครั้งหรือเรียกใช้อัลกอริทึมแบบวงกลมที่กินทรัพยากรหน่วยความจำและโปรเซสเซอร์ เราจะไม่อยู่กับทั้งหมดนี้ ลองมาดูการโจมตี DoS ระยะไกลกันดีกว่า แบ่งออกเป็นสองประเภท:
การใช้ประโยชน์จากจุดบกพร่องของซอฟต์แวร์จากระยะไกลเพื่อทำให้ไม่สามารถใช้งานได้
น้ำท่วม - ส่งแพ็กเก็ตที่ไร้ความหมาย (มักไม่ค่อยมีความหมาย) จำนวนมากไปยังที่อยู่ของเหยื่อ เป้าหมายน้ำท่วมอาจเป็นช่องทางการสื่อสารหรือทรัพยากรเครื่องจักร ในกรณีแรกสตรีมแพ็กเก็ตจะใช้แบนด์วิดท์ทั้งหมดและไม่ให้เครื่องที่ถูกโจมตีสามารถดำเนินการตามคำขอที่ถูกต้องได้ ในประการที่สองทรัพยากรของเครื่องจะถูกจับโดยการโทรซ้ำและบ่อยมากไปยังบริการใด ๆ ที่ดำเนินการที่ซับซ้อนและใช้ทรัพยากรมาก ตัวอย่างเช่นการเรียกใช้หนึ่งในคอมโพเนนต์ที่ใช้งานอยู่ (สคริปต์) ของเว็บเซิร์ฟเวอร์ เซิร์ฟเวอร์ใช้ทรัพยากรทั้งหมดของเครื่องในการประมวลผลคำขอของผู้โจมตีและผู้ใช้ต้องรอ
ในเวอร์ชันดั้งเดิม (ผู้โจมตีหนึ่งคน - เหยื่อหนึ่งราย) การโจมตีประเภทแรกเท่านั้นที่มีผลในขณะนี้ น้ำท่วมคลาสสิกไม่มีประโยชน์ เพียงเพราะด้วยแบนด์วิดท์ของเซิร์ฟเวอร์ในปัจจุบันระดับพลังการประมวลผลและการใช้เทคนิคต่อต้าน DoS ต่างๆในซอฟต์แวร์อย่างแพร่หลาย (ตัวอย่างเช่นความล่าช้าเมื่อไคลเอนต์รายเดิมดำเนินการแบบเดิมซ้ำ ๆ ) ผู้โจมตีกลายเป็นยุงที่น่ารำคาญนั่นคือ ไม่สามารถสร้างความเสียหายใด ๆ และไม่มีความเสียหายใด ๆ
แต่ถ้ามียุงหลายร้อยหลายพันตัวหรือหลายแสนตัวก็สามารถวางเซิร์ฟเวอร์ไว้บนสะบัก ฝูงชนเป็นพลังที่น่ากลัวไม่เพียง แต่ในชีวิต แต่ยังรวมถึงโลกของคอมพิวเตอร์ด้วย การโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายซึ่งโดยปกติจะดำเนินการโดยใช้โฮสต์ที่ถูก zombified จำนวนมากสามารถตัดขาดแม้แต่เซิร์ฟเวอร์ที่ยากที่สุดจากโลกภายนอก
วิธีการควบคุม
อันตรายจากการโจมตี DDoS ส่วนใหญ่อยู่ที่ความโปร่งใสและ "ปกติ" ท้ายที่สุดหากสามารถแก้ไขข้อผิดพลาดของซอฟต์แวร์ได้เสมอการใช้ทรัพยากรอย่างสมบูรณ์นั้นเป็นเหตุการณ์ที่เกิดขึ้นบ่อย ผู้ดูแลระบบหลายคนต้องเผชิญกับพวกเขาเมื่อทรัพยากรเครื่อง (แบนด์วิดท์) ไม่เพียงพอหรือเว็บไซต์ได้รับผลกระทบจาก Slashdot (twitter.com ไม่สามารถใช้งานได้ภายในไม่กี่นาทีหลังจากข่าวการเสียชีวิตของ Michael Jackson ครั้งแรก) และหากคุณตัดทราฟฟิกและทรัพยากรสำหรับทุกคนติดต่อกันคุณจะรอดจาก DDoS แต่คุณจะสูญเสียลูกค้าไปครึ่งหนึ่ง
แทบจะไม่มีทางออกจากสถานการณ์นี้ แต่ผลที่ตามมาของการโจมตี DDoS และประสิทธิภาพจะลดลงอย่างมีนัยสำคัญโดยการกำหนดค่าเราเตอร์ไฟร์วอลล์และการวิเคราะห์ความผิดปกติอย่างต่อเนื่องในการรับส่งข้อมูลเครือข่าย ในส่วนถัดไปของบทความเราจะดูที่:
วิธีรับรู้การโจมตี DDoS ที่เกิดขึ้น
วิธีการจัดการกับการโจมตี DDoS บางประเภท
คำแนะนำทั่วไปเพื่อช่วยคุณเตรียมพร้อมสำหรับการโจมตี DoS และลดประสิทธิภาพ
ในตอนท้ายคำตอบจะได้รับสำหรับคำถาม: จะทำอย่างไรเมื่อการโจมตี DDoS เริ่มขึ้น
ต่อสู้กับอุทกภัย
ดังนั้นจึงมีการโจมตี DoS / DDoS สองประเภทและที่พบบ่อยที่สุดคือขึ้นอยู่กับแนวคิดเรื่องน้ำท่วมนั่นคือทำให้เหยื่อท่วมด้วยแพ็คเก็ตจำนวนมาก น้ำท่วมแตกต่างกัน: น้ำท่วม ICMP, น้ำท่วม SYN, น้ำท่วม UDP และน้ำท่วม HTTP บ็อต Modern DoS สามารถใช้การโจมตีทุกประเภทพร้อมกันได้ดังนั้นคุณควรดูแลการป้องกันที่เหมาะสมกับพวกมันล่วงหน้า ตัวอย่างวิธีป้องกันการโจมตีประเภทที่พบบ่อยที่สุด
HTTP Flood
วิธีการป้องกันน้ำท่วมที่แพร่หลายมากที่สุดวิธีหนึ่งในปัจจุบัน ขึ้นอยู่กับการส่งข้อความ HTTP GET อย่างไม่มีที่สิ้นสุดบนพอร์ต 80 เพื่อโหลดเว็บเซิร์ฟเวอร์เพื่อให้ไม่สามารถดำเนินการตามคำขออื่น ๆ ทั้งหมดได้ บ่อยครั้งเป้าหมายน้ำท่วมไม่ใช่รูทของเว็บเซิร์ฟเวอร์ แต่เป็นหนึ่งในสคริปต์ที่ทำงานที่ต้องใช้ทรัพยากรมากหรือทำงานกับฐานข้อมูล ไม่ว่าในกรณีใดบันทึกของเว็บเซิร์ฟเวอร์ที่เติบโตอย่างรวดเร็วผิดปกติจะเป็นตัวบ่งชี้การโจมตีที่เริ่มขึ้น
วิธีการจัดการกับ HTTP น้ำท่วมรวมถึงการปรับแต่งเว็บเซิร์ฟเวอร์และฐานข้อมูลเพื่อลดผลกระทบจากการโจมตีตลอดจนการกรองบ็อต DoS โดยใช้เทคนิคต่างๆ ขั้นแรกคุณควรเพิ่มจำนวนการเชื่อมต่อสูงสุดกับฐานข้อมูลในเวลาเดียวกัน ประการที่สองติดตั้ง nginx ที่เบาและมีประสิทธิภาพที่หน้าเว็บเซิร์ฟเวอร์ Apache - มันจะแคชคำขอและให้บริการแบบคงที่ นี่เป็นโซลูชันที่ต้องมีซึ่งไม่เพียง แต่จะลดผลกระทบของการโจมตี DoS แต่ยังช่วยให้เซิร์ฟเวอร์สามารถรับภาระมหาศาลได้อีกด้วย
หากจำเป็นคุณสามารถใช้โมดูล nginx ซึ่ง จำกัด จำนวนการเชื่อมต่อพร้อมกันจากที่อยู่เดียว สคริปต์ที่ใช้ทรัพยากรมากสามารถป้องกันจากบอทได้โดยใช้การหน่วงเวลาปุ่ม "คลิกฉัน" การตั้งค่าคุกกี้และกลเม็ดอื่น ๆ ที่มุ่งตรวจสอบ "ความเป็นมนุษย์"
เคล็ดลับสากล
เพื่อไม่ให้ตกอยู่ในสถานการณ์ที่สิ้นหวังระหว่างการล่มสลายของพายุ DDoS ในระบบคุณต้องเตรียมความพร้อมสำหรับสถานการณ์ดังกล่าวอย่างรอบคอบ:
เซิร์ฟเวอร์ทั้งหมดที่มีการเข้าถึงโดยตรงไปยังเครือข่ายภายนอกต้องเตรียมพร้อมสำหรับการรีบูตระยะไกลที่ง่ายและรวดเร็ว ข้อดีอย่างมากคือการปรากฏตัวของอินเทอร์เฟซเครือข่ายการดูแลระบบที่สองซึ่งคุณสามารถเข้าถึงเซิร์ฟเวอร์ในกรณีที่ช่องหลักอุดตัน
ซอฟต์แวร์ที่ใช้บนเซิร์ฟเวอร์ต้องทันสมัยอยู่เสมอ รูทั้งหมดได้รับการแก้ไขติดตั้งการอัปเดตแล้ว (ง่ายๆเหมือนการบูตคำแนะนำที่หลายคนไม่ปฏิบัติตาม) วิธีนี้จะปกป้องคุณจากการโจมตี DoS ที่ใช้ประโยชน์จากจุดบกพร่องในบริการ
บริการเครือข่ายการฟังทั้งหมดที่มีไว้สำหรับการดูแลระบบจะต้องถูกซ่อนโดยไฟร์วอลล์ไม่ให้ใครก็ตามที่ไม่ควรเข้าถึง จากนั้นผู้โจมตีจะไม่สามารถใช้พวกมันสำหรับการโจมตี DoS หรือการโจมตีแบบเดรัจฉาน
ในแนวทางไปยังเซิร์ฟเวอร์ (เราเตอร์ที่ใกล้ที่สุด) ควรติดตั้งระบบวิเคราะห์การรับส่งข้อมูลซึ่งจะทำให้สามารถเรียนรู้เกี่ยวกับการโจมตีที่กำลังดำเนินอยู่ได้อย่างทันท่วงทีและดำเนินมาตรการป้องกันอย่างทันท่วงที
ควรสังเกตว่าเทคนิคทั้งหมดมีจุดมุ่งหมายเพื่อลดประสิทธิภาพของการโจมตี DDoS ซึ่งมีเป้าหมายเพื่อใช้ทรัพยากรของเครื่องให้หมด แทบจะเป็นไปไม่ได้เลยที่จะป้องกันน้ำท่วมที่อุดช่องทางด้วยเศษขยะและวิธีการต่อสู้ที่ถูกต้อง แต่ไม่สามารถทำได้เสมอไปคือ "กีดกันการโจมตีแห่งความหมาย" หากคุณมีช่องสัญญาณที่กว้างมากซึ่งจะอนุญาตให้มีการรับส่งข้อมูลจากบ็อตเน็ตขนาดเล็กได้อย่างง่ายดายให้พิจารณาว่าเซิร์ฟเวอร์ของคุณได้รับการปกป้องจากการโจมตี 90%
มีการป้องกันที่ซับซ้อนมากขึ้น มันขึ้นอยู่กับองค์กรของเครือข่ายคอมพิวเตอร์แบบกระจายซึ่งรวมถึงเซิร์ฟเวอร์ซ้ำซ้อนจำนวนมากที่เชื่อมต่อกับแบ็คโบนที่แตกต่างกัน เมื่อพลังการประมวลผลหรือแบนด์วิดท์ของช่องสัญญาณหมดลงไคลเอนต์ใหม่ทั้งหมดจะถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์อื่นหรือค่อยๆ "
อีกวิธีหนึ่งที่มีประสิทธิภาพไม่มากก็น้อยคือการซื้อระบบฮาร์ดแวร์ การทำงานควบคู่กันพวกเขาสามารถยับยั้งการโจมตีที่เกิดขึ้นได้ แต่เช่นเดียวกับโซลูชันอื่น ๆ ส่วนใหญ่ที่อาศัยการเรียนรู้และการวิเคราะห์สถานะพวกเขาล้มเหลว
ดูเหมือนว่าจะเริ่มขึ้นแล้ว จะทำอย่างไร?
ก่อนที่จะเริ่มการโจมตีทันทีบอท "อุ่นเครื่อง" ค่อยๆเพิ่มการไหลของแพ็กเก็ตไปยังเครื่องที่ถูกโจมตี สิ่งสำคัญคือต้องยึดช่วงเวลาและเริ่มลงมือทำ การตรวจสอบเราเตอร์ที่เชื่อมต่อกับเครือข่ายภายนอกอย่างต่อเนื่องจะช่วยในเรื่องนี้ บนเซิร์ฟเวอร์เหยื่อคุณสามารถกำหนดจุดเริ่มต้นของการโจมตีได้ด้วยวิธีการที่มีอยู่