Filmů o zombie bylo v posledních letech mnoho. Zápletky jsou podobné — nemrtví sledují živé — a inscenace obecně nejsou oscarovým materiálem. Ale nějak ta hrozba naráží na nervy široké veřejnosti. Abychom ilustrovali hrozbu jiného druhu, pojďme si vymyslet vlastní příběh. Předpokládejme, že nic netušící zákazníci řetězce restaurací jsou kontaminováni druhem zombie viru. A aby to bylo zajímavější, řekněme, že virus je schopen komunikovat na dálku s jakýmsi vzdáleným ovladačem. Po rozkazu někdy později se z těchto lidí náhle stanou zombie a začnou útočit na budovu společnosti v New Yorku. Je jich tolik, že jsou okupanti zahlceni. Vše se zastaví. Dav zombie je tak velký, že společnost již nemůže pokračovat. Což nás přivádí k distribuovaným útokům odmítnutí služby (DDOS).
Waking the Zombies
Jedním z nejlepších způsobů, jak zastavit počítačový systém, je vyčerpat jeho zdroje. Svažte CPU, paměť a procesy zbytečnou zaneprázdněnou prací a nezbudou mu žádné prostředky na práci, pro kterou byl vytvořen. To je myšlenka za DDOS. Tyto typy útoků mohou vypnout server nebo počítačovou síť, protože síť zaplaví množství servisních požadavků. Všechno je to využití mechanismu výměny TCP.
Jedním z nejlepších způsobů, jak zastavit počítačový systém, je vyčerpat jeho zdroje.
A spiknutí se zombiemi, které jsme vás v úvodu odvrátili? To je opravdové. Pouze zombie v tomto případě nejsou lidé. Jsou to počítače, které leží ladem, dokud nejsou aktivovány prostřednictvím rozsáhlého botnetu. Když jsou zombie počítače z celého světa probuzeny jejich zlým vládcem, pošlou každý z nich TCP požadavek po TCP požadavku do cílového systému. Když ukončí hovor uprostřed každé konverzace TCP, cílový počítač neustále pinguje a snaží se zjistit, co je trápí, zombie pošle další. A další. Brzy je toho příliš a cílový systém je zahlcen.
Zombíci dostávali příkazy od svého pána přes botnet. Smutné na tom je, že tito zombie sami nejsou zlí. Jsou to prostě kompromitované počítače, nevinní pěšáci v příšerné kampani kybernetické zlomyslnosti, vlastněné nic netušícími občany světa. Botnet zombie se zapisují prostřednictvím e-mailu, webových stránek a sociálních médií. Jeden z nich může být váš.
Rušení internetu
Útoky odepření služby (DOS) jsou tu již nějakou dobu. Za starých časů to byl ojedinělý útok z jednoho zdroje. Proti těmto druhům útoků je nyní poměrně snadné čelit. Hrozba byla před příchodem zombie botnetu poněkud zvládnutelná.
Ale padouši jsou velmi podnikaví, jak všichni víme. Místo aby zasvětili svou mysl a talent pro dobro lidstva, útočníci DDOS stále zdokonalují své dovednosti a hledají nové způsoby, jak si s lidmi pohrát. A hrozba exponenciálně expandovala.
Útok slzy, jak vysvětluje Radware, je útok typu denial-of-service využívající fragmentované pakety. „Jedním z polí v hlavičce IP je pole ‚offset fragmentu‘,“ vysvětlují, „označující počáteční pozici nebo offset dat obsažených v fragmentovaném paketu vzhledem k datům v původním paketu. Smyslem tohoto typu útoku je zmást cílový počítač hraním si s tímto polem. Starší počítače na to byly náchylné.
Šmoulí útok funguje tak, že podvrhne IP adresu cílového počítače při vysílání ICMP zpráv (pingů). Příjemci pingů přirozeně ping zpět – na cílový stroj, který jej přehluší. Tento útok byl ve většině sítí poměrně dobře neutralizován.
Velký táta útoků DOS se nazývá amplifikační DDOS útoky. Strategie spočívá v použití veřejně dostupných serverů DNS, které způsobí zkázu na zranitelných systémech. Spisovatel Wikipedie říká, že to zahrnuje nový mechanismus zvaný „efekt zesílení“. Tom Scott z Computerphile to vysvětluje velmi dobře. Varuje, že je to útok, který může zničit téměř jakýkoli systém, něco, co by mohlo narušit celý internet. A moc se s tím dělat nedá.
Útočníci mají své důvody
Potěšení pachatelů zla zůstává mimo naše vysvětlení, ale existují určité konkrétní cíle, které mohou mít někteří útočníci na mysli. Jedna věc, kterou dokáže neúnavný útok DDOS, je odvést pozornost. V kombinaci s dalšími exploity může útočník proklouznout do jiné části počítačové infrastruktury, zatímco IT personál je zaneprázdněn bojem s útokem DDOS zombie. To je jedna věc, na kterou si dát pozor.
Dalším způsobem, jak se používá DDOS, je vyhrožování společnosti, dokud nebude zaplaceno výkupné. Pravděpodobně se děje mnoho takových aktivit, o kterých nevíme. Pokud společnost zaplatí útočníkovi výkupné, nemusí to být něco, o čem by chtěla být veřejně známá.
Hacktivisté mohou mít pro používání DDOS i jiné důvody. Mohou být politické – například zaměřené na webovou stránku kandidáta nebo systém politické organizace – nebo mohou existovat komerční motivy. Pokud je web konkurenta bombardován a zahlcen, dokud nebude vyřazen z provozu – dobře, to se postará o konkurenci, ne?
Ale normální lidé by to neudělali, že? No, některé arény (politika, velký byznys) jsou pěkně drsné. A mějte na paměti, že nechutné postavy mohou získat software nebo si práci dokonce pronajmout. Ano, lidé budou útočit na sítě pro peníze – jako by to byl legitimní obchod. V jakém světě žijeme.
Pak máte další, kteří to dělají pro zábavu. Zvědaví teenageři by možná chtěli vidět, jak jsou dobří. A jít proti velkým organizacím ze sklepa vaší matky se může zdát jako výzva na nudný víkend.
Detekce a zmírnění
Nestačí pokrčit rameny a vzdát se obrany proti distribuovaným útokům typu denial-of-service. Tom Scott je docela chytrý a říká, že potřebují něco udělat s „relé“, která šíří tento provoz po internetu. Ale nemůžete zůstat jen sedící kachnou a čekající na napadení.
Prvním krokem je dávat pozor na útok. Existují nástroje a systémy pro detekci útoků DDOS v reálném čase. Jeden z nich se nazývá Wireshark. Jednou z výhod je prudký nárůst statistik TCP SYN. Abychom to vysvětlili dále, podívejme se na rozpis této transakce TCP, kterou využívají útoky DDOS.
TCP, což je zkratka pro protokol řízení přenosu, je protokol čtvrté vrstvy v zásobníku TCP/IP – internetu. Téměř celý internet je závislý na zprávách TCP. Protokol je konverzace mezi dvěma síťovými zařízeními. Porovnejme dva rozhovory, jeden lidský a druhý mezi dvěma počítači.
Člověk
John: „Ahoj! Já jsem John.”
Susie: “Ahoj! Já jsem Susie.”
John: “Rád tě poznávám, Susie!”
(Nyní si John a Susie podají ruce.)
Počítač
Hostitel A: SYN (synchronizovat)
Hostitel B: SYN-ACK (synchronizace-potvrzení)
Host A: ACK (potvrzuji)
(Nyní máme TCP třícestný handshake.)
Co když hostitel A (útočník DDOS) nikdy nepřizná? Předpokládejme, že stále odesílá další požadavky SYN. A stejně tak všichni jeho botnetoví kolegové zombie. Pak máte spoustu nepotvrzených statistik SYN, které by měly být patrné na Wiresharku nebo jiných nástrojích.
Detekce však nestačí. Potřebujete strategii pro zmírnění. Linda Musthaler z NetworkWorld pro nás jeden sestavila v článku nazvaném „Nejlepší postupy pro zmírnění DDoS útoků“, takže to zde jen shrneme. Jsem si jistý, že jí nebude vadit, když si vypůjčíme její hlavní body:
- Nepočítejte s tím, že firewall zabrání nebo zastaví DDoS útok
- Zaveďte DDoS do plánu kontinuity podnikání a obnovy po havárii
- Poznejte známky aktivního útoku
- Vědět, komu zavolat, aby zastavil útok
- Poznejte své zákazníky a zablokujte neočekávané transakce
- Změřte finanční dopad toho, že jste po určitou dobu offline
- Pokud jste obětí DDoS útoku, hledejte podvody, úniky dat nebo jinou trestnou činnost
„Organizace, které provozují sítě připojené k internetu, mohou sloužit jako nevědomí účastníci Denial of Service (DoS)“
Web SANS Institute nabízí postupný přístup k boji proti DDOS útokům, který je ve své podstatě trochu techničtější. Hovoří o výstupním filtrování, aby zabránily falešným IP paketům opustit vaši síť, a zabrání tomu, aby se váš web stal zdrojem pro zesílení DDOS, Jejich varování je celkem jasné: „Organizace, které provozují sítě připojené k internetu, mohou sloužit jako nevědomí účastníci odmítnutí. služby (DoS)”
Vaši síťoví profesionálové pravděpodobně mají v rukávu několik triků, jak se vypořádat s útoky DDOS. Mohou používat seznamy řízení přístupu a rychlostní limity k řešení nežádoucího síťového provozu. Pokud máte například spoustu nepříjemných problémů odněkud z Asie, kde nemáte žádné zákazníky, možná budete chtít odfiltrovat provoz z této oblasti. Nebo to může být záležitost protahování síťových konfigurací nebo skrývání se za NAT nebo přechod na jiný server – nebo možná jen na chvíli vše vypnout, pokud to nepoškodí podnikání.
Proč investovat do čističky vzduchu?
Je to nebezpečný svět, ve kterém žijeme – jak vám museli říct vaši rodiče. Hrozby číhají v temných koutech světa. A i když se někteří mohou tajně obávat nadcházející zombie apokalypsy, skutečnými hrozbami pro vaši firmu mohou být digitální zombie, které mohly být smeteny do nějakého strašlivého botnetu, čekající. čekající na signál k útoku.
Zanecháváme vám tento úryvek ze zprávy The Hacker News z 27. září 2016:
Největší 1 Tbps DDoS útok na světě byl zahájen ze 152,000 XNUMX hacknutých chytrých zařízení
Víte — Vaše chytrá zařízení se mohla neúmyslně zúčastnit rekordně největšího kybernetického útoku, jakého byl Internet právě svědkem.
Pokud vlastníte chytré zařízení, jako jsou televizory připojené k internetu, auta, ledničky nebo termostaty, můžete být již součástí botnetu s miliony infikovaných zařízení, který byl použit ke spuštění dosud největšího známého DDoS útoku s maximální rychlostí přes 1 Tb/s. z traffic.rom 152,000 XNUMX hacknutých chytrých zařízení.
Zombie přicházejí. Byl jsi varován.