Distribuerte tjenestenekt (DDoS) angrep: Et jukseark

Hvordan dempe stigningen i massive DDoS-angrep ZDNets Steve Ranger forklarer hvorfor DDoS-angrep øker i frekvens og kraft.

Angrep om denial of service (DoS) er det nettvåpenet du velger for statlig sponsede trusselaktører og frittgående manuskripter. Uavhengig av hvem som bruker dem, kan fornektelse av tjenesteangrep være spesielt forstyrrende og skadelig for organisasjoner som er målrettet av nettkriminelle. Siden 2018 har frekvensen og kraften til DDoS-angrep økt, noe som gjør dem til en mer potent risiko for organisasjoner.

TechRepublics jukseark om angrep mot nektelse av tjenester er en omfattende guide til dette emnet. Denne artikkelen vil oppdateres med jevne mellomrom etter hvert som angreps- og formildingsstrategier utvikler seg. Det er også tilgjengelig som nedlasting, Cheat sheet: Distribuerte denial of service (DDoS) angrep (gratis PDF).

(ZDNet spesialrapport) | Last ned rapporten som en PDF (TechRepublic)

Hva er et fornektelse av tjenesteangrep?

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Et angrep på denial of service (DoS) er en angrepsstrategi der en ondsinnet aktør prøver å forhindre andre i å få tilgang til en webserver, webapplikasjon eller skytjeneste ved å oversvømme den med tjenesteforespørsler. Mens et DoS-angrep hovedsakelig er enkelt opprinnelse, bruker et distribuert denial of service (DDoS) angrep et stort antall maskiner på forskjellige nettverk for å forstyrre en bestemt tjenesteleverandør; dette er mer utfordrende å dempe, da angrepet blir utført fra flere kilder.

Etter et kraftig DDoS-angrep mot den populære sikre messenger-appen Telegram, beskrev selskapet fargerikt DDoS-angrep som et tilfelle der "serverne dine får GADZILLIONS sic av søppelforespørsler som hindrer dem i å behandle legitime forespørsler. Tenk deg at en hær av lemminger bare hoppet køen på McDonald's foran deg - og hver bestiller en heiter. Serveren er opptatt med å fortelle kjeppene om at de kom til feil sted - men det er så mange av dem at serveren ikke en gang kan se deg prøve og ta bestillingen. "

Typisk er DDoS-angrep rettet mot nettverksinfrastrukturen, og har som mål å få ned hele nettverksstabelen. Derimot er applikasjonslag angrep rettet mot spesifikk funksjonalitet på et gitt nettsted, og tar sikte på å deaktivere en spesifikk funksjon ved å utvide prosessen med for mange antall forespørsler.

Andre typer DDoS-angrep inkluderer smurf-angrep, som bruker et stort antall Internet Control Message Protocol (ICMP) pakker med et offerets IP-adresse spoofet for å vises som opprinnelse.

Generelt kan DDoS-angrep kategoriseres som flomangrep, som tar sikte på å overbelaste systemer, eller krasjangrep, som prøver å få ned et program eller et system.

Tilleggsressurser

  • Hvordan virksomheter planlegger å beskytte seg mot nettangrep (TechRepublic)

  • CoAP-protokollen er den neste store tingen for DDoS-angrep (ZDNet)

  • Denne nye typen DDoS-angrep utnytter en gammel sårbarhet (ZDNet)

  • Hvordan organisasjoner bedre kan forsvare seg mot DNS-angrep (TechRepublic)

  • Nettverkssikkerhetspolicy (TechRepublic Premium)

Hvor enkle å utføre og skade er DDoS-angrep?

Å utføre et DDoS-angrep er ikke noe som krever spesiell ferdighet. "Et DDoS-angrep er ikke et sofistikert angrep, " sa Matthew Prince, administrerende direktør og medgründer av Cloudflare, til TechRepublic i 2015, etter et angrep på Protonmail. "Det er den funksjonelle ekvivalenten til en hulmann i en klubb. Men en hulemann med en klubb kan gjøre mye skade."

Selv om det er relativt trygt å anta at DDoS-angrep med høyere makt er fagfolk, er dette angrep som til og med din gjennomsnittlige skriptkiddie kan starte med betydelig suksess. Industrien av DDoS-angrep har også gitt opphav til "fornektelse av tjenesten som en tjeneste", ellers kjent som "booter" eller "stresser" -tjenester, slik at brukere kan utføre et DDoS-angrep på ethvert vilkårlig mål i bytte mot betaling.

På grunn av hvor enkelt DDoS-angrep kan lanseres, kan de brukes av hvem som helst - fra høyt finansierte statssponsorerte hackere til tenåringer med et nag mot noen.

For bedrifter er de potensielle skader som følge av et strømbrudd omfattende. Enten gjennom tapt salg, et velrenommerte treff for å ha opplevd driftsstans, eller kostnader knyttet til overskytende mengder nettverkstrafikk, er de potensielle problemene som følger av DDoS-angrep for store til å ignorere. Disse risikoene gir behov for proaktive avbøtende tiltak før et angrep settes i gang.

Tilleggsressurser

  • Her er hvor mye penger en bedrift kan forvente å tape hvis de blir rammet av et DDoS-angrep (TechRepublic)

  • Operatør av åtte DDoS-for-hire-tjenester erklærer seg skyldig (ZDNet)

  • Politiet retter seg nå mot tidligere WebStresser DDoS-for-hire-brukere (ZDNet)

  • The Dark Web: En guide for forretningsfolk (gratis PDF) (TechRepublic)

  • Sikkerhetsbevissthet og opplæringspolitikk (TechRepublic Premium)

Hva er de største observerte DDoS-angrepene?

Hovedsakelig påvirker angrep på benektelse av internett-tilkoblet vert målrettet av angriperen. I praksis påvirker dette virksomheten som blir målrettet av angripere, så vel som brukere av tjenesten som virksomheten tilbyr. Enhver organisasjon kan målrettes ved et fornektelse av tjenesteangrep - på grunn av deres effektivitet og relative letthet som de kan brukes, blir de ofte distribuert mot mindre organisasjoner med stor effekt.

Alle jukseark fra TechRepublic og smarte personguider

I februar 2018 ble det observert en rekke DDoS-angrep med postinnstillinger som benyttet en sårbarhet i den memcached-protokollen, og utnyttet feil i user datagram-protokollen (UDP). Opprinnelige rapporter fra CDN-leverandør Cloudflare observerte 260 Gbps inngående trafikk generert i memcached-powered DDoS-angrep. En dag senere traff memkatdrevne angrep GitHub i topphastigheter på 1, 35 Tbps. I mars 2018 bekreftet NETSCOUTs Arbor Networks et 1, 7 Tbps DDoS-angrep som ble utført mot en av kundene.

Disse angrepene initieres av en server som forfalsker IP-adressen deres - spesifiserer måladressen som opprinnelsesadresse - og sender en forespørselspakke på 15 byte. Denne forespørselspakken blir besvart av en sårbar memcachet server med svar fra 134KB-750KB. Størrelsesforskjellen mellom forespørsel og svar - så mye som 51.200 ganger større - er det som gjør forsterkningsangrep så effektive. Da den sammenkoblede sikkerhetsproblemet ble oppdaget, ble det funnet 88 000 ubeskyttede servere som angrep kunne startes fra, tilkoblet internett.

Kan russiske hackere stoppes? Her er grunnen til at det kan ta 20 år (cover story PDF)

Viktigere er at 260 Gbps angrep på Cloudflare ble observert med maksimalt 23 millioner pakker i sekundet; på grunn av forsterkningsegenskapene, var det nødvendig med et relativt lite antall pakker for å utføre angrepet, men med en relativt høy båndbredde. I 2019 observerte Imperva et DDoS-angrep som oversteg 500 millioner pakker i sekundet - fire ganger GitHub-angrepet - og legger betydelig mer belastning på avbøtningssystemer, ettersom disse typisk inspiserer overskriftene på hver pakke, men vanligvis ikke full nyttelast.

Mange DDoS-angrep bruker botnett av kompromitterte enheter, spesielt Internet of Things (IoT) enheter. Mirai botnet har blitt brukt til å påvirke rutere og IoT-enheter, og ble brukt til å angripe den administrerte DNS-leverandøren Dyn, og forårsake strømbrudd som berørte nesten en fjerdedel av internett. Tilsvarende ble Mirai brukt i et angrep som slo ut internettjenester for hele Liberia.

DDoS-angrep ser en gjenoppblomstring, da angrep økte 94% i Q1 2019, ifølge en Kaspersky Lab-rapport. På samme måte angrep over 100 Gbps med 967% i Q1 2019 sammenlignet med Q1 2018, ifølge en Neustar-rapport.

Tilleggsressurser

  • Det lengste DDoS-angrepet siden 2015 varer 329 timer (TechRepublic)

  • 3 måter statlige aktører målretter seg mot virksomheter innen nettkrigføring, og hvordan du kan beskytte deg selv (TechRepublic)

  • Mørke kriminalitetsmarkeder rettet mot tilbakevendende DDoS-angrep (ZDNet)

  • Sikre dataene dine med tofaktorautentisering (gratis PDF) (TechRepublic)

  • Cybersecurity og cyberwar: Mer må-lese dekning (TechRepublic på Flipboard)

Hvordan kan jeg beskytte mot et DDoS-angrep?

Det er måter å avbøte effekten av DDoS-angrep, slik at målrettede systemer kan fortsette å fungere normalt for brukere, transparent, som om ikke noe angrep skjedde.

Det første trinnet er å skille ekte brukere fra programmatisk generert trafikk som brukes i DDoS-angrep. Dette kan gjøres ved å bruke IP-adressefiltrering, sjekke informasjonskapsler / sesjonstilstander, og nettleserens fingeravtrykk, blant andre metoder.

Trafikkfiltreringsstrategier inkluderer tilkoblingssporing, hastighetsbegrensning, svarteliste eller hvitlisting av trafikk. Manuell DDoS-avbøtning kan bekjempes av avanserte angripere ved å distribuere angrep i etapper og montere angrepet fra et annet sett med enheter når tilkoblinger nektes fra systemene som ble brukt i det første angrepsfasen.

Skybasert DDoS-begrensning er tilgjengelig gjennom leverandører inkludert Cloudflare, Imperva, Akamai, Radware, Coreo og Arbor Networks. En av metodene som brukes av disse leverandørene inkluderer sporing av IP-adresser på tvers av nettsteder beskyttet av en gitt tjeneste for å skille ekte brukere fra generert trafikk.

Tilleggsressurser

  • DDoS som ikke var: en viktig takeaway for webdomenesikkerhet (ZDNet)

  • Hvordan forberede deg på neste DDoS-angrep (CNET)

  • Eksklusivt: Inne i beleiringen av ProtonMail: hvordan to små selskaper kjempet mot et av Europas største DDoS-angrep (TechRepublic)

  • FCCs nettnøytralitet DDoS-angrep skjedde ikke. Her er hva du trenger å vite (CNET)

Hvordan kan jeg unngå å være deltaker i et distribuert angrepsangrep?

VPNFilter ble brukt til å infisere 500 000 rutere globalt, inkludert enheter produsert av ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, UPVEL og ZTE, samt nettverkstilkoblede lagringsenheter av NAS QNAP. De første rapportene indikerte at omstart av ruteren var nok til å fjerne infeksjonen, men ytterligere oppdateringer fant ut at det ikke var tilstrekkelig, og anbefaler at brukerne også gjenspeiler firmware.

"En av de raskt voksende kildene til DDoS-angrep for øyeblikket, er kompromitterte IoT-enheter rekruttert til massive botnett. Organisasjoner som bruker slike enheter må ta i bruk beste praksis for å oppdatere programvare til de nyeste utgivelsene og sikre god passordhygiene, ettersom mange enheter leveres med vanlige standarder, "Sa Sean Newman, direktør for produktstyring i Coreo, til TechRepublic. "Det andre vanlige målet er DNS-infrastruktur som brukes til å forsterke DDoS-angrep. Enhver organisasjon med egne DNS-servere bør sikre at beste praksis rundt overvåking og sikkerhet er på plass, for å unngå at de blir misbrukt for å angripe andre."

Tilleggsressurser

  • Internett-sikkerhet: Drepe botnet-beistet og DDoS-dragen (ZDNet)

  • Massive DDoS-angrep som varte i mer enn en time økte 487% i 2019 (TechRepublic)

  • Mennesker i midten-angrep: En innsideveiledning (gratis PDF) (TechRepublic)

  • Phishing og spearphishing: En IT-pro's guide (gratis PDF) (TechRepublic)

  • Hvordan bli en cybersecurity-proff: Et jukseark (TechRepublic)

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag Bilde: Getty Images / iStockphoto

© Copyright 2020 | mobilegn.com