Các cuộc tấn công từ chối dịch vụ phân tán (DDoS): Một mánh gian lận

0
34

        Hướng dẫn toàn diện này bao gồm các loại tấn công từ chối dịch vụ khác nhau, chiến lược bảo vệ DDoS, cũng như lý do tại sao nó quan trọng đối với doanh nghiệp.
    

        
                                                        
        
        

                 [1945901] [[ [19459008[ [1945901] ]
    

     Làm thế nào để ngăn chặn làn sóng gia tăng của các cuộc tấn công DDoS lớn
     Steve Ranger của ZDNet giải thích lý do tại sao các cuộc tấn công DDoS đang gia tăng về tần suất và sức mạnh.
    

    

Các cuộc tấn công từ chối dịch vụ (DoS) là sự lựa chọn không gian mạng cho các diễn viên đe dọa được nhà nước bảo trợ và cả những người tự do kịch bản tự do. Không phụ thuộc vào những người sử dụng chúng, các cuộc tấn công từ chối dịch vụ có thể đặc biệt gây rối và gây tổn hại cho các tổ chức mà tội phạm mạng nhắm đến. Kể từ năm 2018, tần suất và sức mạnh của các cuộc tấn công DDoS ngày càng tăng, khiến chúng trở thành rủi ro lớn hơn cho các tổ chức.

Bảng cheat của TechRepublic về tấn công từ chối dịch vụ là một hướng dẫn toàn diện cho chủ đề này. Bài viết này sẽ được cập nhật định kỳ khi các chiến lược tấn công và giảm thiểu phát triển.

XEM: Tất cả các bảng cheat của TechRepublic và hướng dẫn của người thông minh

Tấn công từ chối dịch vụ?

Tấn công từ chối dịch vụ (DoS) là một chiến lược tấn công trong đó một diễn viên độc hại cố gắng ngăn người khác truy cập vào máy chủ web, ứng dụng web hoặc đám mây dịch vụ bằng cách tràn ngập nó với các yêu cầu dịch vụ. Mặc dù một cuộc tấn công DoS về cơ bản là một nguồn gốc duy nhất, một cuộc tấn công từ chối dịch vụ phân tán (DDoS) sử dụng một số lượng lớn máy trên các mạng khác nhau để phá vỡ một nhà cung cấp dịch vụ cụ thể; điều này là khó khăn hơn để giảm thiểu, vì cuộc tấn công đang được tiến hành từ nhiều nguồn.

Sau một cuộc tấn công DDoS mạnh mẽ chống lại ứng dụng nhắn tin bảo mật phổ biến Telegram, công ty đã mô tả màu sắc các cuộc tấn công DDoS như một trường hợp trong đó "máy chủ của bạn nhận được GADZILLIONS [sic] yêu cầu rác ngăn chặn chúng xử lý các yêu cầu hợp pháp. rằng một đội quân vượn cáo đã nhảy hàng đợi ở McDonald trước mặt bạn và mỗi người đang ra lệnh cho một người đánh máy. Máy chủ đang bận nói với những người vất vả họ đến sai địa điểm, nhưng có rất nhiều người trong số họ có thể ' thậm chí không gặp bạn để thử và nhận đơn đặt hàng của bạn. "

Thông thường, các cuộc tấn công DDoS nhắm vào cơ sở hạ tầng mạng, nhằm hạ thấp toàn bộ ngăn xếp mạng. Ngược lại, tấn công lớp ứng dụng nhắm mục tiêu chức năng cụ thể của một trang web nhất định, nhằm vô hiệu hóa một tính năng cụ thể bằng cách vượt quá quy trình với số lượng yêu cầu quá mức.

Các loại tấn công DDoS khác bao gồm các cuộc tấn công smurf sử dụng một số lượng lớn các gói Giao thức tin nhắn điều khiển Internet (ICMP) với địa chỉ IP của nạn nhân bị giả mạo để xuất hiện.

Nói chung, các cuộc tấn công DDoS có thể được phân loại thành các cuộc tấn công lũ lụt, nhằm mục đích gây quá tải cho các hệ thống, hoặc tấn công sự cố, nhằm cố gắng hạ bệ một ứng dụng hoặc hệ thống.

Tài nguyên bổ sung ]

Các cuộc tấn công DDoS đơn giản như thế nào?

Thực hiện một cuộc tấn công DDoS không phải là một việc đòi hỏi kỹ năng đặc biệt. "Một cuộc tấn công DDoS không phải là một cuộc tấn công tinh vi", Matthew Prince, CEO và đồng sáng lập của Cloudflare, nói với TechRepublic vào năm 2015, sau một cuộc tấn công vào Protonmail. "Đó là chức năng tương đương với một người thượng cổ với một câu lạc bộ. Nhưng một người thượng cổ với một câu lạc bộ có thể gây ra nhiều thiệt hại."

Mặc dù tương đối an toàn khi cho rằng các cuộc tấn công DDoS công suất cao hơn là công việc của các chuyên gia, đây là những cuộc tấn công mà ngay cả kiddie kịch bản trung bình của bạn cũng có thể khởi động với thành công đáng kể. Ngành công nghiệp tấn công DDoS cũng đã tạo ra "dịch vụ từ chối dịch vụ như một dịch vụ", còn được gọi là dịch vụ "booter" hoặc "stresser" cho phép người dùng thực hiện một cuộc tấn công DDoS vào bất kỳ mục tiêu tùy ý nào để đổi lấy thanh toán.

XEM: Báo cáo đặc biệt: Cyberwar và tương lai của an ninh mạng (PDF miễn phí)

Vì có thể dễ dàng khởi động các cuộc tấn công DDoS có thể được sử dụng bởi bất cứ ai, từ các tin tặc được nhà nước tài trợ cao cho thanh thiếu niên có ác cảm với ai đó.

Đối với các doanh nghiệp, thiệt hại tiềm tàng xuất phát từ việc ngừng hoạt động là rất lớn. Cho dù thông qua doanh số bị mất, một cú đánh uy tín để trải qua thời gian chết hoặc chi phí liên quan đến lượng lưu lượng mạng vượt quá, các vấn đề tiềm ẩn phát sinh từ các cuộc tấn công DDoS là quá đáng để bỏ qua. Những rủi ro này thúc đẩy nhu cầu về các biện pháp giảm thiểu chủ động trước khi một cuộc tấn công được phát động.

Tài nguyên bổ sung

Các cuộc tấn công DDoS được quan sát lớn nhất là gì?

, tấn công từ chối dịch vụ ảnh hưởng đến máy chủ kết nối internet mà kẻ tấn công nhắm đến. Trong thực tế, điều này ảnh hưởng đến doanh nghiệp đang bị tấn công bởi những kẻ tấn công, cũng như người dùng dịch vụ mà doanh nghiệp cung cấp. Bất kỳ tổ chức nào cũng có thể bị nhắm mục tiêu bởi một cuộc tấn công từ chối dịch vụ vì tính hiệu quả và dễ dàng sử dụng của chúng, chúng thường được triển khai để chống lại các tổ chức nhỏ hơn có hiệu quả lớn.

Vào tháng 2 năm 2018, một số Các cuộc tấn công DDoS thiết lập bản ghi sử dụng lỗ hổng trong giao thức memcached đã được quan sát, tận dụng các lỗ hổng trong giao thức datagram người dùng (UDP). Các báo cáo ban đầu từ nhà cung cấp CDN Cloudflare đã quan sát thấy 260 Gbps lưu lượng truy cập được tạo trong các cuộc tấn công DDoS được hỗ trợ bởi memcached. Một ngày sau, các cuộc tấn công được hỗ trợ bởi memcached đã tấn công GitHub ở tốc độ cao nhất là 1,35 Tbps. Vào tháng 3 năm 2018, Arbor Networks của NETSCOUT đã xác nhận một cuộc tấn công DDoS 1.7 Tbps được tiến hành đối với một trong những khách hàng của mình.

Các cuộc tấn công này được bắt đầu bởi một máy chủ giả mạo địa chỉ IP của họ, chỉ định địa chỉ là địa chỉ và gửi gói yêu cầu 15 byte. Gói yêu cầu này được trả lời bởi một máy chủ memcached dễ bị tổn thương với các câu trả lời từ 134KB-750KB. Sự chênh lệch về kích thước giữa yêu cầu và phản hồi, có thể lớn hơn 51.200 lần, là điều làm cho các cuộc tấn công khuếch đại trở nên hiệu quả. Khi lỗ hổng memcached được phát hiện, 88.000 máy chủ không được bảo vệ từ đó các cuộc tấn công có thể được phát hiện đã được kết nối với internet.

XEM: Tin tặc Nga có thể bị chặn không? Đây là lý do tại sao có thể mất 20 năm (ảnh bìa PDF)

Điều quan trọng là, cuộc tấn công 260 Gbps trên Cloudflare được quan sát ở mức tối đa 23 triệu gói mỗi giây; do các đặc tính của khuếch đại, cần một số lượng gói tương đối thấp để thực hiện cuộc tấn công, nhưng với băng thông tương đối cao. Vào năm 2019, Imperva đã quan sát thấy một cuộc tấn công DDoS vượt quá 500 triệu gói mỗi giây bốn lần so với cuộc tấn công GitHub, gây căng thẳng đáng kể cho các hệ thống giảm thiểu, vì chúng thường kiểm tra các tiêu đề của mỗi gói, mặc dù thường không phải là toàn bộ tải trọng.

Nhiều cuộc tấn công DDoS sử dụng các botnet của các thiết bị bị xâm nhập, đặc biệt là các thiết bị Internet of Things (IoT). Mạng botnet Mirai đã được sử dụng để ảnh hưởng đến các bộ định tuyến và thiết bị IoT và được sử dụng để tấn công nhà cung cấp DNS được quản lý Dyn, gây ra sự cố mất điện ảnh hưởng đến gần một phần tư internet. Tương tự, Mirai đã được sử dụng trong một cuộc tấn công đánh sập các dịch vụ internet cho toàn bộ Liberia.

Các cuộc tấn công DDoS đang hồi sinh, khi các cuộc tấn công tăng 94% trong Q1 2019, theo báo cáo của Kaspersky Lab. Tương tự, các cuộc tấn công trên 100Gbps bằng 967% trong Q1 2019 so với Q1 2018, theo báo cáo của Neustar.

Tài nguyên bổ sung

Làm cách nào tôi có thể bảo vệ chống lại cuộc tấn công DDoS ?

Có nhiều cách để giảm thiểu tác động của các cuộc tấn công DDoS, cho phép các hệ thống được nhắm mục tiêu tiếp tục hoạt động bình thường cho người dùng, như thể không có cuộc tấn công nào xảy ra.

Bước đầu tiên là tách người dùng chính hãng từ lưu lượng được tạo theo chương trình được sử dụng trong các cuộc tấn công DDoS. Điều này có thể được thực hiện bằng cách sử dụng lọc địa chỉ IP, kiểm tra trạng thái cookie / phiên và lấy dấu vân tay của trình duyệt, trong số các phương pháp khác.

Chiến lược lọc lưu lượng bao gồm theo dõi kết nối, giới hạn tốc độ, danh sách đen hoặc lưu lượng truy cập danh sách trắng. Giảm thiểu DDoS thủ công có thể bị đánh bại bởi những kẻ tấn công tiên tiến bằng cách triển khai các cuộc tấn công theo từng giai đoạn và gắn lại cuộc tấn công từ một bộ thiết bị khác khi các kết nối bị từ chối khỏi các hệ thống được sử dụng trong giai đoạn tấn công đầu tiên.

Dựa trên đám mây Giảm thiểu DDoS có sẵn thông qua các nhà cung cấp bao gồm Cloudflare, Imperva, Akamai, Radware, Coreo và Arbor Networks. Một trong những phương pháp được các nhà cung cấp này sử dụng bao gồm theo dõi địa chỉ IP trên các trang web được bảo vệ bởi một dịch vụ nhất định để phân biệt người dùng chính hãng với lưu lượng truy cập được tạo.

Tài nguyên bổ sung

VPNFilter đã được sử dụng để lây nhiễm 500.000 bộ định tuyến trên toàn cầu, bao gồm các thiết bị được sản xuất bởi ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti , UPVEL và ZTE, cũng như các thiết bị lưu trữ gắn mạng (NAS) của QNAP. Các báo cáo ban đầu chỉ ra rằng việc khởi động lại bộ định tuyến là đủ để xóa nhiễm trùng, nhưng các bản cập nhật tiếp theo cho thấy điều đó là không đủ, khuyến nghị người dùng cũng nên khởi động lại phần sụn.

"Một trong những nguồn tấn công DDoS phát triển nhanh nhất hiện nay, là các thiết bị IoT bị xâm nhập được tuyển dụng vào các botnet lớn. Các tổ chức sử dụng các thiết bị đó cần áp dụng các thực tiễn tốt nhất trong việc cập nhật phần mềm lên các bản phát hành mới nhất và đảm bảo vệ sinh mật khẩu tốt, như nhiều thiết bị xuất xưởng với các mặc định phổ biến ", Sean Newman, giám đốc quản lý sản phẩm tại Coreo, nói với TechRepublic. "Mục tiêu phổ biến khác là cơ sở hạ tầng DNS đang được sử dụng để khuếch đại các cuộc tấn công DDoS. Bất kỳ tổ chức nào có máy chủ DNS của riêng họ đều phải đảm bảo thực hành tốt nhất về giám sát và bảo mật, để tránh bị lạm dụng để tấn công người khác."

Tài nguyên bổ sung

                                                                                

                                                

 Từ chối dịch vụ hoặc khái niệm tấn công DDoS "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh: Hình ảnh của Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
<div class=