DDoS

From EIK wiki

Autor

Nimi: Katariina Purru
Rühm: A21
Töö esitamise kuupäev: 04.12.2016

Ülevaade

DDoS (Distributed Denial-of-Service attack ing.k) ehk hajutatud teenusetõkestamise rünne on arvuti või arvutivõrgu ülekoormamine kui samal ajal saadavad üheaegselt paljud kasutajad paljudest arvutitest suure hulga päringuid. Tänu sellele ujutatakse võrk üle tarbetu liiklusega, mis muudab võrguteenuse kasutamise võimatuks. DDoS ja DoS (Denial-of-Service ing.k) on väga sarnased. Nende erinevus peitubki selles, et kui DoS-i rünnakus kasutatakse arvuti ülekoormamiseks ühte arvutit, siis DDoS-is ründab ühte arvutit mitu arvutit. DoS-ründed võivad olla suunatud mistahes võrguseadme vastu, kaasa arvatud marsruuterid ning veebi-, meili- ja DNS-serverid.[1]
DDoS-i rünnaku anatoomia on väga keeruline. Olenevalt sellest, mis töövahendid ja ressursid on ründajale kättesaadavad, võib rünnakut alustada üksainus arvuti, millel on üks ohver, aga võib olla miljoneid arvuteid, mis saadavad miljoneid pakette ühele või mitmele sihtmärgile. Üldjuhul kõikidel juhtudel, saab ründaja enda valdusesse sadu või isegi tuhandeid arvuteid, lisab need botnettidesse(botnets ing.k) ning kasutab neid rünnaku alguskohaks. Botnettide kasutamine aitab ründajal ründe korral liiklust suurendada, mis omakorda suurendab võimalust, et rünnak on edukas. Samamoodi muudab see rünnaku geograafilise ala palju suuremaks, tänu millele on rünnakut raskem leevendada. Loomulikult on ka ründajat ennast palju raskem leida. Asja muudab veel keerulisemaks see, et tehnika areneb tänapäeval pidevalt ning see tähendab ka seda, et DDoS-i rünnakuid on palju raskem avastada. [2]

Meetodid

Rünnaku kategooriad

Laias laastus võib DDoS-i rünnakud jagada nelja liiki:

  • TCP ühenduse rünnakud(TCP Connection Attacks ing.k) - Need rünnakud üritavad ära kasutada kõik olemasolevad ühendused infrastruktuuri seadmetesse(näiteks tulemüüri ja rakendusserver). Isegi seadmed, mis peaksid olema võimelised üleval hoidma miljoneid ühendusi, on võimalik nende rünnakutega maha võtta.
  • Mahurünnakud(Volumetric Attacks ing.k) - Need rünnakud toimuvad kas rünnatava võrgu/teenuse või rünnatava võrgu/teenuse ja ülejäänud Interneti vahel, kus üritatakse ära tarbida kogu ribalaius. Selle rünnaku eesmärk on kõigest tekitada ummistust(congestion ing.k).
  • Fragmentide rünnakud(Fragmentation Attacks ing.k) - Need rünnakud tekitavad üleujutuse, saates ohvrile TCP või UDP fragmente. Tänu sellele väheneb süsteemi jõudlus ning ohver ei saa enam andmevooge uuesti kokku panna.
  • Rakenduste rünnakud(Application Attacks ing.k) - Need rünnakud üritavad ühe kindla rakenduse või teenuse aspekti üle koormata. Need rünnakud on isegi siis väga efektiivsed, kui ründavaid masinaid on vähe, sest tekkivat madalat liiklust on keeruline leida ja rünnakut on raske nõrgendada.

Rünnaku võimendamine

  • DNS-i peegeldus(DNS Reflection ing.k) - Ohvri IP aadressi võltsides saab ründaja saata väikeseid päringuid DNS serverile ning lasta sellel ohvrile saata suur vastus. See võimaldab ründajal oma päringute võimsust botnetiga 70 korda suuremaks muuta, tänu millele on ohvrit palju kergem üle koormata.
  • Chargen-i peegeldus(Chargen Reflection ing.k) - Suurem osa arvuteid ja internetti ühendatud printerid toetavad aegunud testimise teenust nimega Chargen. See võimaldab suvalisle inimesel küsida seadmelt vastust, mis koosneb suvaliste tähemärkide jadast. Chargeni saab kasutada selleks, et võimendada eelnevalt mainitud DNS-i rünnakuid.[3]

DDoS-i sümptomid

Kõik katkestused teenuses pole tingitud DoS-i ründest. On võimalik, et teatud võrgul esineb tehnilisi probleeme või teostab süsteemi administraator parasjagu hooldustöid tänu millele ei toimi kõik nii nagu peab. Siiski tasub silmas pidada teatud tundemärke, mis võivad viidata sellele, et võrk on sattunud DDoS-i ründe alla.[4]

  • Üks märk rünnakust on see, et arvuti ja internet on aeglasem kui muidu. See viitab sellele, et igakord kui üritatakse avada mõnda faili või lehekülge, kulub selle avamiseks aega kauem kui muidu.
  • Lisaks sellele võib esineda raskusi mõnele leheküljele ligi pääsemisega ning mõnikord ei saa rünnaku tõttu üldse sellele leheküljele ligi.
  • Ka rämpsposti suurenenud kogus võib viidata sellele, et arvuti on sattunud DDoS-i rünnaku alla.
  • Mõnikord võib ka juhtuda, et interneti liiklus on häiritud kindlas geograafilises alas.[5]

DDoS-i ennetamine

  • Kõige lihtsam, kuid samas ka kõige kulukam meetod on osta juurde rohkem ribalaiust. DoS on mäng mahu peale. Näiteks kui on 10000 süsteemi, mis kõik saadavad 1Mbps andmeid, siis see tähendab, et serverisse jõuab iga sekund 10 Gb andmeid. See on väga suur liiklus. Siin kohal tahab süsteemi administraator rohkem servereid, mis oleksid erinevates andmekeskustes(data center ing.k), et koormus oleks paremini tasakaalustatud. Kui liiklus on serveritele hajutatud, on koormus sellele ühele serverile palju väiksem, tänu millele saab liiklust paremini hallata. Kuid kuna tänapäeva DDoS-i rünnakud on kasvanud palju laiaulatuslikumaks, võib ribalaiuse suurendamine muutuda palju kallimaks, kui seda rahalised vahendid lubavad. Samuti, mida süsteemi administraatorid kipuvad unustama on see, et tihti peale ei ole rünnaku sihtmärgiks veebisait.
  • Võrgu üks kõige kriitilisemaid osi on DNS server. Halb idee on jätta see teistele avatuks. See tuleb panna kinni, et seda ei saaks rünnakus kasutada. Sarnaselt, mis saab siis kui need serverid satuvad rünnaku alla? Isegi siis kui leheküljele on ligipääs olemas, puudub DNS serveriga ühendus ning domeeninime ei saa IP aadressiks ümber tõlkida, mis on sama halb. Suurem osa kasutab domeeni registreerimisel kahte DNS serverit, kuid tihti ainult kahest ei piisa. Süsteemi administraator peab kindlaks tegema, et DNS on kaitstud sama hästi kui veebiserverid ja teised ressursid. On olemas isegi firmasid, mis pakuvad suurendatud DNS-i kaitset.
  • Oma võrgu haldamisel tuleb teha palju asju, et kaitsta seda võrgukihil. Peab kindlaks tegema, et ruuter ei edasta rämps-pakette, ICMP tuleks blokeerida, kui pole vaja, et see läbi läheks ning kasutada häid tulemüüre. Kinni tuleb panna pordid, mida ei kasutata ning võrgukihil blokeerida kõik, mida vähegi saab. Paremgi veel, lasta interneti teenusepakkujal teha seda ise. Paljud internetiteenuste pakkujad pakuvad seda sorti teenust firmadele, kus teenusepakkuja blokeerib kogu liikluse, mida pole vaja ning kui peaks juhtuma, et firma satub rünnaku alla, aitab teenusepakkuja sellega toime tulla.
  • Samuti tuleb mõelda ka sellele, kuidas rünnakut leevendada. Hea oleks, kui on olemas plaan juhuks kui on vaja kiiresti dünaamilised ressursid staatiliste ressurside vastu välja vahetada. Kindlasti peavad olema serveritele paigutatud süsteemid, mis rünnakut kiiresti märkavad. Ei ole midagi hullemat firma jaoks, kui see, et võrk või lehekülg läheb maha. Seetõttu on vaja teada võimalikult kiiresti rünnaku algusest ning olla valmis selle vastu võitlemiseks. DDoS-i rünnaku peatamine on väga keeruline, sest rünnaku alguspunkti leidmine on raske ja aeganõudev protsess. Just sellepärast tuleb püsti panna infrastruktuur, millesse on raske sisse murda ning oleks võimalikult turvaline. Need kõik on asjad, millele peab süsteemi administraator mõtlema. [6]

Võimalike kahjude minimeerimine

DDoS-i rünnakut on võimatu takistada. Seetõttu tuleb selleks alati valmis olla ning proovida minimeerida kahju, mida rünnak endaga kaasa võib tuua. Ei tohi olla "paned-püsti-ja-siis-unustad" suhtumist, sest see ei tööta, kui tahetakse DDoS-i rünnaku eest end kaitsta. DDoS-i rünnaku leevendamine nagu ka ülejäänud turvasüsteem, peab olema üles ehitatud nii, et need oleksid algusest peale nii turvalised kui võimalik. Seejärel peab kõike pidevalt hooldama ning uuendama, sest süsteem peab vastu pidama rünnakutele, mis niigi muutuvad pidevalt.[7]
Kahjude minimeerimiseks peab olema ründe ajaks plaan valmis. Selleks peab märkama DDoS-i rünnaku varaseid tunnuseid ning selleks peab võrgu liiklust jälgima, et tabada sellel ebatavalist tegevust. Seejärel tuleb kindlaks määrata, mis põhjustab suurenenud liikluse. Pidev valmisolek on efektiivse küberturbe nurgakivi ning see peab just eriti paika, kui tuleb tegeleda DDoS-i rünnakute eest kaitsmisega.[8]
Võrku ja veebiteenusied peab tihti ka skaneerima, et turvariske saaks võimalikult varakult avastada. Kindlasti tuleb kaitsta ära kõik võrgu ressursid infrastruktuuris ja mitte ainult need, mis on DDoS-i rünnaku vastu kõige tundlikumad. Kaitstes oma infrastruktuuri aitab selle vastu, et ründajad ei saaks kasutada servereid, sülearvuteid ja teisi ressursse botnettide tegemisel, mida siis omakorda kasutatakse ära selleks, et teha DDoS-i rünnak oma võrgu seest. Mõned rakendused, näiteks IBM Security aitab rünnaku korral vältida varade ohtu sattumist, kaitseb rakenduskihti rünnakute eest ning isegi võib ära hoida mõne väiksema DDoS-i rünnaku.[9]

Kokkuvõte

Tänapäeval on DDoS-i rünnak muutunud täiesti tavaliseks. Rünnakuid toimub lausa iga päev. Tegu on rünnakuga, mis hõlmab endas seda, et ründaja kasutab ära teiste arvuteid, et läbi viia laiaulatuslikum rünne ühele või mitmele ohvrile, saates ohvri võrgule miljoneid pakette. Kuigi DDoS-i on peavõimatu peatada, peab süsteemi administraator tegema kõik, et tagatud oleks võrgu turvalisus. Kõik süsteemi administraatorid peaksid ennast antud rünnakuliigiga kurssi viima, sest rünnaku ajal saab nii kahjusid kõige paremini minimeerida.

Kasutatud allikad

E-teatmik
Security Intelligence
Digital Attack Map
US Cert
Brainsquad
TechRepublic
Imperva Incapsula
TREND MICRO