Pokud pracujete v oblasti výpočetní techniky nebo síťové bezpečnosti, určitě znáte pojem „denial of service“, který je hovorově označován jako „DoS útok“. V současnosti se jedná o jeden z nejběžnějších typů síťových útoků prováděných na internetu. Pro ty, kteří nevědí, provedu vzdělávací program a pokusím se vysvětlit, co je útok DoS, v nejpřístupnější a nejsrozumitelnější formě.
Všechno to začalo, když jeden z pracovních míst byl včera asi dvě hodiny mimo provoz. Web je hostován na NIC.RU, nepatří k nejlevnějším, a zdá se, že to nejsou nováčci, ale jak se říká, „i stará žena se může poserout“.
DDoS - Denial of Service
Co je útok DOS?
Denial of service neboli „DoS“ útoky jsou typem síťového útoku určeného k zaplavení cílových sítí nebo strojů velkým množstvím zbytečného provozu, aby se napadený stroj přetížil a nakonec srazil na kolena. Hlavním bodem útoku DoS je dočasně nedostupné služby běžící na cílovém počítači (například webové stránky, DNS server atd.) pro zamýšlené uživatele. Útoky DDoS se obvykle provádějí na webových serverech, které hostí životně důležité služby, jako jsou bankovní služby, elektronický obchod, zpracování osobních údajů a kreditní karty.
Běžná varianta útoku DOS, známá jako útok DDoS (Distributed Denial of Service), se v posledních letech stala poměrně populární, protože se jedná o velmi silný a obtížně odhalitelný útok. Útok DoS má jeden výchozí bod, zatímco útok DDoS pochází z více IP adres distribuovaných ve více sítích. Jak DDoS funguje, je znázorněno na následujícím diagramu:
Na rozdíl od DoS útoku, kdy útočník používá k útoku na cíl jeden jediný počítač nebo síť, DDoS útok pochází z mnoha dříve infikovaných počítačů a serverů, které obvykle patří do různých sítí. Vzhledem k tomu, že útočník používá počítače a servery z různých sítí, a dokonce i z různých zemí, příchozí provoz zpočátku nevyvolává podezření mezi bezpečnostními službami, protože je obtížné jej odhalit.
Je možné bojovat s DoS/DDoS útoky?
Útočníky využívající DoS útoky lze snadno přidat na černou listinu firewallu pomocí nejrůznějších skriptů a filtrů (podle IP adres nebo rozsahů adres), ze kterých pochází příliš mnoho požadavků nebo spojení. DDoS útoky je příliš obtížné určit, protože příchozí požadavky vypadají víceméně přirozeně, protože dochází řekněme k přílivu klientů atd.. V tomto případě je obtížné rozlišit mezi skutečným a škodlivým provozem. Přílišná bezpečnostní opatření na firewallu mohou vést k falešným poplachům, a proto mohou být skuteční klienti odmítnuti systémem, což není dobré.
Když příliv falešných „klientů“ začne exponenciálně narůstat, je příliš pozdě cokoliv dělat, pokud samozřejmě nemáte celý tým systémových administrátorů a programátorů zodpovědných za ochranu před útoky tohoto druhu, vaše servery se stanou nepružnými a pomalými, a nakonec přestanou reagovat na „vnější podněty“ a čekají, až tento proud spamu skončí.
Mezitím zlí hackeři oživují své temné plány.