Startpagina » hoe » Wat zijn Denial of Service en DDoS-aanvallen?

    Wat zijn Denial of Service en DDoS-aanvallen?

    DoS-aanvallen (Denial of Service) en DDoS-aanvallen (Distributed Denial of Service) worden steeds gebruikelijker en krachtiger. Denial of Service-aanvallen zijn er in vele vormen, maar hebben een gemeenschappelijk doel: gebruikers geen toegang tot een bron geven, of het nu een webpagina, e-mail, het telefoonnetwerk of iets anders is. Laten we eens kijken naar de meest voorkomende soorten aanvallen tegen webdoelen en hoe DoS DDoS kan worden.

    De meest voorkomende vormen van Denial of Service (DoS) -aanvallen

    In de kern wordt een Denial of Service-aanval meestal uitgevoerd door een server, bijvoorbeeld de server van een website, te laten overstromen, zo veel dat het zijn services niet aan legitieme gebruikers kan aanbieden. Er zijn een paar manieren waarop dit kan worden uitgevoerd, de meest voorkomende zijn TCP-overstromingsaanvallen en DNS-versterkingsaanvallen.

    TCP Flooding Attacks

    Bijna alle web (HTTP / HTTPS) verkeer wordt uitgevoerd met behulp van het Transmission Control Protocol (TCP). TCP heeft meer overhead dan het alternatief User Datagram Protocol (UDP), maar is ontworpen om betrouwbaar te zijn. Twee computers die via TCP met elkaar zijn verbonden, bevestigen de ontvangst van elk pakket. Als er geen bevestiging wordt gegeven, moet het pakket opnieuw worden verzonden.

    Wat gebeurt er als een computer wordt losgekoppeld? Misschien verliest een gebruiker stroom, heeft zijn ISP een storing of stopt de applicatie die hij gebruikt zonder de andere computer te informeren. De andere client moet stoppen met het opnieuw verzenden van hetzelfde pakket, anders verspilt het bronnen. Om niet-eindigende verzending te voorkomen, wordt een time-outduur opgegeven en / of wordt een limiet gesteld aan het aantal keren dat een pakket opnieuw kan worden verzonden voordat de verbinding volledig wordt verbroken.

    TCP is ontworpen om betrouwbare communicatie tussen militaire bases in geval van een ramp mogelijk te maken, maar dit ontwerp maakt het kwetsbaar voor denial of service aanvallen. Toen TCP werd gemaakt, zag niemand in dat het door meer dan een miljard clientapparaten zou worden gebruikt. Bescherming tegen moderne denial-of-service-aanvallen was gewoon geen onderdeel van het ontwerpproces.

    De meest voorkomende Denial of Service-aanval tegen webservers wordt uitgevoerd door SYN-pakketten (synchroniseren) te spammen. Het verzenden van een SYN-pakket is de eerste stap van het initiëren van een TCP-verbinding. Na ontvangst van het SYN-pakket antwoordt de server met een SYN-ACK-pakket (bevestiging synchroniseren). Ten slotte verzendt de client een ACK (bevestiging) -pakket, waarmee de verbinding wordt voltooid.

    Als de client echter niet binnen een ingestelde tijd op het SYN-ACK-pakket reageert, verzendt de server het pakket opnieuw en wacht op een antwoord. Het zal deze procedure keer op keer herhalen, wat geheugen en processortijd op de server kan verspillen. Als dit voldoende gebeurt, kan het namelijk zoveel geheugen en processortijd verspillen dat legitieme gebruikers hun sessies korter krijgen of dat nieuwe sessies niet kunnen starten. Bovendien kan het verhoogde bandbreedtegebruik van alle pakketten netwerken verzadigen, waardoor ze niet in staat zijn om het verkeer te vervoeren dat ze eigenlijk willen.

    DNS-amplificatieaanvallen

    Denial of service-aanvallen kunnen ook gericht zijn op DNS-servers: de servers die domeinnamen (zoals howtogeek.com) vertalen in IP-adressen (12.345.678.900) die computers gebruiken om te communiceren. Wanneer u howtogeek.com in uw browser typt, wordt het naar een DNS-server verzonden. De DNS-server leidt u vervolgens naar de eigenlijke website. Snelheid en lage latency zijn grote zorgen voor DNS, dus het protocol werkt via UDP in plaats van TCP. DNS is een cruciaal onderdeel van de infrastructuur van het internet en de bandbreedte die wordt gebruikt door DNS-verzoeken is over het algemeen minimaal.

    Echter, DNS groeide langzaam, met nieuwe functies geleidelijk aan toegevoegd in de tijd. Dit bracht een probleem met zich mee: DNS had een pakketlimiet van 512 bytes, wat niet genoeg was voor al die nieuwe functies. Dus in 1999 publiceerde de IEEE de specificatie voor uitbreidingsmechanismen voor DNS (EDNS), waardoor de limiet werd verhoogd naar 4096 bytes, waardoor meer informatie kon worden opgenomen in elk verzoek.

    Deze wijziging maakte DNS echter kwetsbaar voor "amplificatie-aanvallen". Een aanvaller kan speciaal vervaardigde aanvragen naar DNS-servers sturen, die om grote hoeveelheden informatie vragen en vragen dat deze naar het IP-adres van hun doelwit worden verzonden. Er wordt een "versterking" gemaakt omdat het antwoord van de server veel groter is dan het verzoek dat het genereert, en de DNS-server stuurt zijn antwoord naar het vervalste IP-adres.

    Veel DNS-servers zijn niet geconfigureerd om slechte verzoeken te detecteren of te laten vallen, dus wanneer aanvallers herhaaldelijk vervalste verzoeken verzenden, wordt het slachtoffer overspoeld met grote EDNS-pakketten, waardoor het netwerk wordt overbelast. Niet in staat om zoveel gegevens te verwerken, zal hun legitieme verkeer verloren gaan.

    Dus wat is een Distributed Denial of Service (DDoS) Attack?

    Een gedistribueerde denial of service-aanval is er een met meerdere (soms onwetende) aanvallers. Websites en applicaties zijn ontworpen om veel gelijktijdige verbindingen af ​​te handelen - websites zouden immers niet erg handig zijn als slechts één persoon tegelijkertijd zou kunnen bezoeken. Gigantische services zoals Google, Facebook of Amazon zijn ontworpen om miljoenen of tientallen miljoenen gelijktijdige gebruikers te verwerken. Daarom is het niet mogelijk voor een enkele aanvaller om ze neer te halen met een denial of service-aanval. Maar veel aanvallers konden.

    De meest gebruikelijke manier om aanvallers te werven is via een botnet. In een botnet infecteren hackers allerlei apparaten die op internet zijn aangesloten met malware. Die apparaten kunnen computers, telefoons of zelfs andere apparaten in uw huis zijn, zoals DVR's en beveiligingscamera's. Zodra ze zijn geïnfecteerd, kunnen ze die apparaten (zombies genoemd) gebruiken om periodiek contact te maken met een opdracht- en controleserver om instructies te vragen. Deze commando's kunnen variëren van cryptocurrencies mining tot, ja, deelnemen aan DDoS-aanvallen. Op die manier hebben ze geen massa hackers nodig om zich te verbinden - ze kunnen de onveilige apparaten van normale thuisgebruikers gebruiken om hun vuile werk te doen.

    Andere DDoS-aanvallen kunnen vrijwillig worden uitgevoerd, meestal om redenen van politiek gemotiveerde aard. Klanten zoals Low Orbit Ion Cannon maken DoS-aanvallen eenvoudig en zijn eenvoudig te distribueren. Houd er rekening mee dat het in de meeste landen illegaal is om (opzettelijk) deel te nemen aan een DDoS-aanval.

    Ten slotte kunnen sommige DDoS-aanvallen onbedoeld zijn. Oorspronkelijk aangeduid als het Slashdot-effect en veralgemeend als de 'knuffel van de dood', kunnen grote hoeveelheden legitiem verkeer een website verlammen. Je hebt dit waarschijnlijk eerder gezien: een populaire site linkt naar een kleine blog en een grote toevloed aan gebruikers brengt de site per ongeluk naar beneden. Technisch gezien is dit nog steeds geclassificeerd als DDoS, zelfs als het niet opzettelijk of kwaadwillig is.

    Hoe kan ik mezelf beschermen tegen Denial of Service Attacks?

    Typische gebruikers hoeven zich geen zorgen te maken dat ze het doelwit zijn van denial of service-aanvallen. Met uitzondering van streamers en pro-gamers, komt het zeer zelden voor dat een DoS op een persoon wordt gewezen. Dat gezegd hebbende, moet u nog steeds het beste doen om uw apparaten te beschermen tegen malware die u onderdeel kan maken van een botnet.

    Als u een beheerder van een webserver bent, is er echter een schat aan informatie over hoe u uw services kunt beveiligen tegen DoS-aanvallen. Serverconfiguratie en apparaten kunnen sommige aanvallen beperken. Andere kunnen worden voorkomen door ervoor te zorgen dat niet-geverifieerde gebruikers geen bewerkingen kunnen uitvoeren waarvoor aanzienlijke serverresources nodig zijn. Helaas wordt het succes van een DoS-aanval meestal bepaald door wie de grotere pijp heeft. Diensten zoals Cloudflare en Incapsula bieden bescherming door voor websites te staan, maar kunnen duur zijn.