Dos срещу DDoS атаки: Разликите и как да ги предотвратим
Какво е DoS атака, какво е DDoS атака и каква е разликата?
АDoS атакае атака за отказ на услуга, при която компютър се използва за наводняване на сървър с TCP и UDP пакети. АDDoS атакае мястото, където множество системи са насочени към една система с DoS атака. След това целевата мрежа се бомбардира с пакети от множество места.
Всички DDoS = DoS, но не всички DoS = DDoS.
Отказ от услуга (DoS)иРазпределен отказ от услуга (DDoS)атаките са две от най-плашещите заплахи, пред които са изправени съвременните предприятия. Малко форми на атака могат да имат финансови последици като тази на успешна DoS атака. Проучванията за сигурност показват, че цената на една DDoS атака е средно между $20 000-$40 000 на час . Това е астрономическа цифра и може да постави под натиск дори най-големите организации.
По-нататък в тази публикация,правим преглед на двата най-добри доставчици на Edge услуги:
- StackPath Edge Services ИЗБОР НА РЕДАКТОРА Група периферни услуги от StackPath, които включват защитна стена на уеб приложение за блокиране на атаки на приложния слой и услуга за защита от DDoS. Услугите на StackPath са внедрени като прокси, така че те също крият истинския IP адрес на вашия сървър. Опитайте Edge Delivery 20 на 1-месечен безплатен пробен период.
- Sucuri Edge Services (НАУЧЕТЕ ПОВЕЧЕ) Услуга за защитна стена на уеб приложение, внедрена като прокси, разположена в един от 28 центъра за данни по света. Решението Sucuri е в състояние да абсорбира всякакъв вид DDoS атака.
Какво е DoS атака?
АDoS атакаеатака за отказ на услугакъдето компютърът е свикналнаводняване на сървър с TCP и UDP пакети.
По време на този тип атака услугата се извежда от действие, тъй като пакетите, изпратени по мрежата допретоварват възможностите на сървъра и правят сървъра недостъпенкъм други устройства и потребители в цялата мрежа. DoS атаките се използват за изключване на отделни машини и мрежи, така че да не могат да бъдат използвани от други потребители.
Има няколко различни начина, по които могат да се използват DoS атаки. Те включват следното:
- Атаки при препълване на буфер– Този тип атака е най-често срещаната DOS атака. При тази атака нападателят претоварва мрежов адрес с трафик, така че да бъде изведен от употреба.
- Пинг на смъртта или ICMP наводнение– Ан ICMP flood атаката се използва за вземане на неконфигурирани или неправилно конфигурирани мрежови устройства и ги използва за изпращане на фалшиви пакети за пинг на всеки компютър в целевата мрежа. Това също е известно като ping of death (POD) атака.
- SYN наводнение– SYN flood атаките изпращат заявки за свързване към сървър, но не завършват ръкостискането. Крайният резултат е, че мрежата се наводнява от заявки за връзка, които пречат на всеки да се свърже с мрежата.
- Теардроп Атака– По време на Teardrop DoS атака, нападателят изпраща фрагменти от IP пакети с данни към мрежа. След това мрежата се опитва да прекомпилира тези фрагменти в оригиналните им пакети. Процесът на компилиране на тези фрагменти изтощава системата и тя завършва със срив. Той се срива, защото полетата са предназначени да объркат системата, така че да не може да ги събере отново.
Лекотата, с която DoS атаките могат да бъдат координирани, означава, че те са станалиедна от най-разпространените заплахи за киберсигурносттас които съвременните организации трябва да се сблъскат. DoS атаките са прости, но ефективни и могат да причинят опустошителни щети на компаниите или лицата, към които са насочени. С една атака една организация може да бъде извадена от действие за дни или дори седмици.
Времето, което една организация прекарва офлайн, се сумира. Липсата на достъп до мрежата струва на организациите хиляди всяка година. Данните може да не бъдат загубени, но прекъсването на обслужването и престоят могат да бъдат огромни. Предотвратяването на DoS атаки е едно от основните изисквания за защита в съвременната епоха.
Допълнителна информация: Какво е ICMP?
Какво е DDoS атака?
АDDoS атакае един от най-разпространените видове DoS атаки, използвани днес. По време на DDoS атака,множество системи са насочени към една система със злонамерен трафик. Използвайки множество местоположения за атака на системата, нападателят може да постави системата офлайн по-лесно.
Причината за това е, че има по-голям брой машини на разположение на нападателите и за жертвата става трудно да определи произхода на атаката.
Освен това, използвайки DDoS атакаправи възстановяването на жертвата по-сложно. Девет пъти от десет системите, използвани за изпълнение на DDoS атаки, са били компрометирани, така че атакуващият да може да стартира атаки от разстояние чрез използването на подчинени компютри. Тези подчинени компютри се наричат зомбита или ботове.
Тези ботове образуват мрежа от свързани устройства, наречена a ботнет който се управлява от нападателя чрез команден и контролен сървър. Сървърът за управление и управление позволява на атакуващия или ботмастъра да координира атаките. Ботнет мрежите могат да бъдат съставени от шепа ботове до стотици различни ботове.
Вижте също: Разбиране на DoS и DDoS атаките
Широки видове DoS и DDoS атаки
Има редица широки категории, в които попадат DoS атаките за извеждане на мрежите офлайн. Те идват под формата на:
- Обемни атаки –Обемните атаки се класифицират като всяка форма на атака, при която ресурсите на честотната лента на целевата мрежа се консумират умишлено от нападател. След като честотната лента на мрежата бъде изразходвана, тя не е достъпна за законни устройства и потребители в мрежата. Обемните атаки се случват, когато атакуващият наводни мрежовите устройства с ICMP ехо заявки, докато няма повече налична честотна лента.
- Фрагментационни атаки –Фрагментационните атаки са всякакъв вид атака, която принуждава мрежата да сглобява отново манипулирани мрежови пакети. По време на фрагментираща атака нападателят изпраща манипулирани пакети към мрежа, така че след като мрежата се опита да ги сглоби отново, те не могат да бъдат сглобени отново. Това е така, защото пакетите имат повече информация за заглавката на пакета, отколкото е разрешено. Крайният резултат са заглавки на пакети, които са твърде големи, за да се сглобят отново в насипно състояние.
- Атаки с изчерпване на TCP-състояние –При атака на TCP-State Exhaustion атакуващият се насочва към уеб сървър или защитна стена в опит да ограничи броя на връзките, които могат да направят. Идеята зад този стил на атака е да изтласкате устройството до лимита на броя на едновременните връзки.
- Атаки на приложния слой –Атаките на приложния слой или слой 7 са атаки, които са насочени към приложения или сървъри в опит да използват ресурси чрез създаване на възможно най-много процеси и транзакции. Атаките на приложния слой са особено трудни за откриване и адресиране, тъй като не се нуждаят от много машини, за да започнат атака.
Подобни публикации: Най-добрите анти-DDoS инструменти и услуги за защита
Най-често срещаните форми на DDoS атаки
Както можете да видите, DDoS атаките са по-сложните от двете заплахи, защото използват набор от устройства, които увеличават тежестта на атаките. Да бъдеш атакуван от един компютър не е същото като да бъдеш атакуван от ботнет от сто устройства!
Част от подготовката за DDoS атаки е да сте запознати с възможно най-много различни форми на атака. В този раздел ще ги разгледаме по-подробно, за да можете да видите как тези атаки се използват за увреждане на корпоративни мрежи.
DDoS атаките могат да бъдат под различни форми, включително:
- Пинг на смъртта –По време на Ping of Death (POD) атака нападателят изпраща множество ping до един компютър. POD атаките използват манипулирани пакети за изпращане на пакети към мрежата, които имат IP пакети, които са по-големи от максималната дължина на пакета. Тези нелегитимни пакети се изпращат като фрагменти. След като мрежата на жертвата се опита да сглоби отново тези пакети, мрежовите ресурси се изразходват, те са недостъпни за законните пакети. Това спира целевата мрежа и я изважда напълно от действие.
- UDP наводнения –UDP наводнението е DDoS атака, която наводнява мрежата на жертвата с пакети на потребителския дейтаграмен протокол (UDP). Атаката работи чрез наводняване на портове на отдалечен хост, така че хостът да продължи да търси приложение, което слуша на порта. Когато хостът открие, че няма приложение, той отговаря с пакет, който казва, че дестинацията не е била достъпна. Това изразходва мрежови ресурси и означава, че други устройства не могат да се свържат правилно.
- Ping Flood –Подобно на UDP flood атака, ping flood атаката използва ICMP Echo Request или ping пакети, за да дерайлира услугата на мрежата. Нападателят изпраща тези пакети бързо, без да чака отговор, в опит да направи целевата мрежа недостъпна чрез груба сила. Тези атаки са особено обезпокоителни, тъй като честотната лента се изразходва и в двете посоки, като атакуваните сървъри се опитват да отговорят със собствените си ICMP Echo Reply пакети. Крайният резултат е спад в скоростта в цялата мрежа.
- SYN наводнение –SYN Flood атаките са друг тип DoS атака, при която нападателят използва последователността на TCP връзка, за да направи мрежата на жертвата недостъпна. Нападателят изпраща SYN заявки до мрежата на жертвата, която след това отговаря с отговор SYN-ACK. След това подателят трябва да отговори с ACK отговор, но вместо това нападателят не отговаря (или използва подправен IP адрес на източника, за да изпрати вместо това SYN заявки). Всяка заявка, която остава без отговор, заема мрежови ресурси, докато нито едно устройство не може да осъществи връзка.
- Slowloris –Slowloris е вид софтуер за DDoS атака, който първоначално е разработен от Robert Hansen или RSnake за сваляне на уеб сървъри. Атака Slowloris възниква, когато атакуващият изпрати частични HTTP заявки без намерение да ги изпълни. За да продължи атаката, Slowloris периодично изпраща HTTP заглавки за всяка заявка, за да поддържа ресурсите на компютърната мрежа свързани. Това продължава, докато сървърът не може да прави повече връзки. Тази форма на атака се използва от нападателите, защото не изисква никаква честотна лента.
- HTTP Flood –При атака на HTTP Flood нападателят използва HTTP GET или POST заявки за стартиране на нападение срещу отделен уеб сървър или приложение. HTTP наводненията са атака от ниво 7 и не използват неправилно формирани или подправени пакети. Нападателите използват този тип атака, защото изискват по-малко честотна лента от други атаки, за да извадят мрежата на жертвата от работа.
- Атаки от нулев ден –Zero-Day атаките са атаки, които използват уязвимости, които все още не са открити. Това е общ термин за атаки, които могат да бъдат изправени в бъдеще. Тези видове атаки могат да бъдат особено опустошителни, защото жертвата няма конкретен начин да се подготви за тях, преди да преживее атака на живо.
DoS срещу DDoS: Каква е разликата?
The ключова разлика между DoS и DDoS атаки е това последният използва множество интернет връзки да остави компютърната мрежа на жертвата офлайн, докато първият използва една връзка . DDoS атаките са по-трудни за откриване, тъй като се стартират от множество места, така че жертвата да не може да определи произхода на атаката. Друга ключова разлика е обемът на използваната атака, тъй като DDoS атаките позволяват на атакуващия да изпраща огромни обеми трафик към целевата мрежа.
Важно е да се отбележи, че DDoS атаките също се изпълняват различно от DoS атаките.DDoS атакисе изпълняват чрезизползване на ботнет мрежиили мрежи от устройства под контрола на нападател. За разлика,DoS атакиобикновено се стартират презизползване на скрипт или DoS инструменткатоЙонно оръдие с ниска орбита.
Защо се случват DoS и DDoS атаки?
Независимо дали става въпрос за DoS или DDoS атака, има много нечестиви причини, поради които един нападател би искал да остави бизнеса офлайн. В този раздел ще разгледаме някои от най-честите причини, поради които DoS атаките се използват за атакуване на предприятия. Често срещаните причини включват:
- Откуп –Може би най-честата причина за DDoS атаки е изнудване за откуп. След като атаката приключи успешно, нападателите ще поискат откуп, за да спрат атаката и да върнат мрежата отново онлайн. Не се препоръчва да плащате тези откупи, защото няма гаранция, че бизнесът ще бъде възстановен до пълноценна работа.
- Злонамерени конкуренти –Друга възможна причина за извършването на DDoS атаки са злонамерени конкуренти, които искат да извадят бизнес от работа. Като свали мрежата на дадено предприятие, конкурентът може да се опита да открадне клиентите ви. Смята се, че това е особено често срещано в общността на онлайн хазарта, където конкурентите ще се опитват да поставят един друг офлайн, за да получат конкурентно предимство.
- Хактивизъм –В много случаи мотивацията за атака няма да бъде финансова, а лична и политическа. Не е необичайно хактивистките групи да оставят правителствени и корпоративни сайтове офлайн, за да отбележат своята опозиция. Това може да е по всякаква причина, която нападателят смята за важна, но често се случва поради политически мотиви.
- Причиняване на проблеми –Много нападатели просто харесват да създават проблеми на лични потребители и мрежи. Не е тайна, че кибер нападателите намират за забавно да оставят организациите офлайн. За много нападатели DDoS атаките предлагат начин за шега на хората. Мнозина виждат тези атаки като „без жертви“, което е жалко предвид сумата пари, която една успешна атака може да струва на една организация.
- Недоволни служители –Друга често срещана причина за кибератаки са недоволни служители или бивши служители. Ако лицето има оплакване срещу вашата организация, тогава DDoS атака може да бъде ефективен начин да ви се върне. Докато по-голямата част от служителите се справят зряло с оплакванията, все още има малцинство, които използват тези атаки, за да навредят на организация, с която имат лични проблеми.
Как да предотвратите DoS и DDoS атаки
Въпреки че DOS атаките са постоянна заплаха за съвременните организации, има няколко различни стъпки, които можете да предприемете, за да останете защитени преди и след атака. Преди да приложите стратегия за защита, жизненоважно е да осъзнаете, че няма да можете да предотвратите всяка DoS атака, която ви попречи. Като се има предвид това, вие ще можетеминимизиране на щетите от успешна атакатова идва по пътя ти.
Минимизирането на щетите от входящи атаки се свежда до три неща:
- Превантивни мерки
- Тестово изпълнение на DOS атаки
- Отговор след нападение
Превантивни мерки, подобно на наблюдението на мрежата, са предназначени да ви помогнатидентифицирайте атаките, преди да извадят системата ви офлайни действат като бариера срещу нападение. по същия начин,тестване на DoS атаки ви позволява да тествате вашите защитисрещу DoS атаки и усъвършенствайте цялостната си стратегия. Вашият отговор след атака ще определи колко щети нанася една DoS атака и е стратегия за възстановяване на работата на вашата организация след успешна атака.
Превантивни мерки: Мрежов мониторинг
Наблюдението на вашия мрежов трафик е една от най-добрите превантивни стъпки можеш да вземеш. Наблюдението на редовния трафик ще ви позволи да видите признаците на атака, преди услугата да спре напълно. Като наблюдавате трафика си, вие ще можете вземете мерки в момента, в който видите необичаен трафик на данни нива или неразпознат IP адрес. Това може да е разликата между това да бъдете офлайн или да останете будни.
Преди да извършите тотална атака, повечето нападатели ще тестват вашата мрежа с няколко пакета, преди да стартират пълната атака . Наблюдението на вашия мрежов трафик ще ви позволи да следите за тези малки признаци и да ги откриете рано, така че да можете да поддържате услугата си онлайн и да избегнете разходите за неочаквани прекъсвания.
Вижте също: 25 най-добри мрежови монитора
Тестово изпълнение на DoS атаки
За съжаление, няма да можете да предотвратите всяка DoS атака, която ви попадне. Можете обаче да се уверите, че сте подготвени, след като пристигне атака. Един от най-преките начини да направите това е дасимулирайте DDoS атаки срещу вашата собствена мрежа. Симулирането на атака ви позволява даизпробвайте настоящите си методи за превенцияи помага заизградете някои стратегии за превенция в реално времетова може да спести много пари, ако се случи истинска атака.
Отговор след нападение: Създайте план
Ако атака започне, тогава трябва да имате готов план, за да управлявате щетите.Ясният план може да бъде разликата между атака, която е неудобна, и такава, която е опустошителна. Като част от план, вие искате даопределете роли на членовете на вашия екипкой ще отговаря за реакцията, след като се случи атака. Това включва проектиране на процедури за поддръжка на клиенти, така че клиентите да не бъдат оставени на сухо, докато вие се занимавате с технически проблеми.
Гранични услуги срещу DDoS атаки
Несъмнено един от най-ефективните начини за директно посрещане на DDoS атаки е използването накрайно обслужване. Решение за крайно обслужване катоStackPathилисоковеможе да седи на ръба на вашата мрежа и да прихваща DDoS атаки, преди да влязат в сила. В този раздел ще разгледаме как тези решения могат да предпазят вашата мрежа от безскрупулни нападатели.
Нашата методика за избор на система за защита от DDoS
Прегледахме пазара на услуги за защита от DDoS и анализирахме опциите въз основа на следните критерии:
- Услуга, която ще хоства вашия IP адрес
- Голям капацитет на трафика
- VPN за предаване на чист трафик
- Базирана на облак услуга, която крие истинския ви IP адрес
- Система за докладване, която ще ви покаже извършените атаки
- Безплатна пробна версия или демо услуга, която ще позволи безплатна оценка
- Стойност за парите, представена от ефективен блокер на DDoS атаки на разумна цена
Използвайки този набор от критерии, ние потърсихме крайни услуги, които означават, че скоковете на злонамерен трафик дори не достигат до вашия собствен уеб сървър. Системата за защита от DDoS също трябва да има високи скорости за преминаване на истински трафик.
StackPath Edge Services
Едно от най-големите притеснения, когато оставате защитени срещу DDoS атаки, е предотвратяването на щети, като същевременно поддържате производителността. Граничните услуги на StackPath са проектирани да минимизират влошаването на производителността и да се борят с всички често срещани форми на DDoS атаки. С периферните услуги на StackPath можете разпознават атаки в реално време и ги блокират преди да изведат целевата мрежа офлайн.
За по-сложни атаки,Защитната стена за уеб приложения (WAF) на StackPathпредотвратява проникването на атаки на приложния слой. Атаките на приложния слой се блокират от алгоритми за откриване, които могат да видят признаците на злонамерен трафик, преди да достигне вашата мрежа.
StackPath също предлагаStackPath Edge Delivery 200услуга за по-големи мрежи, която има редица други мерки за защита срещу други видове DDoS атаки катоUDP наводнения,SYN наводнения, иHTTP наводнениякакто добре. Без значение на какъв вид DDoS атака сте подложени, решенията на StackPath имат основни функции, които могат да ви помогнат да останете защитени от изваждане офлайн.
Професионалисти:
- Предлага изключително приспособим подход за смекчаване, предотвратяване и сортиране на DDoS
- Може автоматично да идентифицира нови модели на атака и да блокира нови заплахи
- Спира атаките на приложния слой чрез WAF функционалност
- Предлага корпоративна услуга за организации, които се нуждаят от най-голямо време за работа и наличност
Минуси:
- Стабилна платформа с много функции, които отнемат време за цялостно изследване
ИЗБОР НА РЕДАКТОРИТЕ
StackPath Edge Servicesпривлича нашата награда за избор на редактора заради своята надеждна и иновативна услуга. Системата StackPath е спасила много уебсайтове с голям обем трафик от претоварване и нейната мащабируемост на услугата я прави достъпна за всякакъв размер на бизнеса. Извънсайтовата конфигурация на StackPath Edge Services означава, че истинският IP адрес на вашия уеб сървър е скрит и вредният трафик няма да се доближи до него.
Изтегли:Стартирайте 1-месечен безплатен пробен период
Официален сайт:stackpath.com/products/waf/
ВИЕ:Базиран на облак
Услуги на Sucuri Edge
Друг водещ доставчик на решения за предотвратяване на DDoS еУслугата на Sucuri за защита и смекчаване на DDoS. Sucuri е вещ в боравенетослой 7 HTTP наводненияно може и да предотвратиTCP SYN наводнения,ICMP наводнения,Slowloris,UDP наводнения,Заобикаляне на HTTP кеша, иусилен DNS DDoSза да назовем няколко.
Sucuri има подход за защитна стена на приложение за уебсайт, който има aглобално разпределена мрежа с 28 точки на присъствие. Също така няма ограничение за размера на атаката, така че независимо какво се случва, оставате защитени. Sucuri WAF е базирано на облак SaaS решение, което прихваща HTTP/HTTPS заявки, изпратени до вашия уебсайт.
Една особено полезна функция еспособността да се идентифицира дали трафикът идва от браузъра на легитимен потребител или скрипт, използван от нападател. Това гарантира, че обикновените потребители все още имат достъп до сайта и неговите онлайн услуги, докато злонамерените потребители са блокирани от стартиране на своите атаки. Sucuri предлага различни планове за крайните си услуги според вашите мрежови нужди.
Професионалисти:
- Може да предотврати множество атаки като HTTP, TCP, ICMP, UDP и SYN наводнения
- Използва прости визуални елементи и отчети, за да илюстрира риска и заплахите
- Използва базиран на облак WAF, за да спре атаките на приложния слой
- Може да прави разлика между автоматизирано и реално потребителско поведение
Минуси:
- Проектиран специално за фирми, а не за домашни потребители или малки лаборатории
Платформа за уеб сигурност Juices Намерете подходящ план в Sucuri.net
Вижте също: 5-те най-добри доставчици на периферни услуги
DoS срещу DDoS атаки: управляема заплаха
Има няколко атаки срещу услуги, които са толкова тревожни, колкото DoS атаките за съвременните организации. Въпреки че кражбата на данни може да бъде изключително вредна, прекратяването на вашата услуга чрез атака с груба сила води със себе си цял набор от други усложнения, с които трябва да се справите. Само един ден престой може да има значително финансово въздействие върху организацията.
Познаването на типовете DoS и DDoS атаки, които можете да срещнете, ще извърви дълъг път към минимизиране на щетите от атаките. Най-малкото, което искатеуверете се, че имате a инструмент за наблюдение на мрежата така че да можете да откриете необичаен трафик на данни, който показва потенциална атака. Въпреки това, ако сте сериозни относно справянето с DoS атаките, тогава трябва да сте сигурни, че виеима план за отговор след нападението.
DoS атаките се превърнаха в една от най-популярните форми на кибератаки в света, защото са лесни за изпълнение. Поради това е изключително важно да бъдете проактивни и да прилагате възможно най-много мерки, за да предотвратите атаки и да отговорите на атаки, ако са успешни. По този начин ще ограничите загубите си и ще се оставите в позиция, в която можете да се върнете към нормална работа възможно най-бързо.
Dos срещу DDoS атаки Често задавани въпроси
Как да подобрим сигурността с помощта на мрежа за доставка на съдържание (CDN)?
Мрежата за доставка на съдържание (CDN) съхранява копия на съдържанието на уебсайтове, включително цели уеб страници на сървъри по целия свят. Посетителите на сайта всъщност получават тези уеб страници от CDN сървър, а не от вашата инфраструктура. И така, атаките за отказ на услуга се насочват към CDN сървъра. Тези сървъри имат голям капацитет и могат да поемат големи обеми фалшиви заявки за връзка.
Какъв е процесът на откриване на DDoS атака?
DDoS атаката включва голям обем трафик от голям брой източници. Софтуерът за откриване на DDoS ще забележи скок в заявките за връзка. Примерни заявки за свързване на DDoS система за защита на случаен принцип, вместо да се проверява всяка една. Когато бъдат открити типични DDoS стратегии, ще се задействат процеси за смекчаване.
Можете ли да проследите DDoS атака?
Опустошителната тактика на DDoS атака се крие в способността й да претовари уеб сървър с повече заявки за връзка, отколкото може да обработи. По този начин има малко време по време на атака за проследяване на източника на атаките. Освен това няма голям смисъл да се прави това, тъй като всеки зомби компютър обикновено изпраща само една заявка. По този начин, ако стигнете до източника на неправилно формирано съобщение за връзка, няма да попречите на хиляди други компютри да изпращат заявки в този момент. Повечето от изходните IP адреси на заявките за DDoS връзка са истински, но не принадлежат на компютъра на истинския нападател.
DDoS атаката уврежда ли хардуера?
Не. DDoS атаките са предназначени да изтласкат рутери, балансьори на натоварването и сървъри до техните граници на производителност. Тези ограничения означават, че устройството никога не може да бъде принудено да се повреди физически поради фактори като прегряване.
Вижте също:100+ ужасяващи статистики и тенденции за киберпрестъпления и киберсигурност
Допълнителна информация: