Serangan DDoS (disebut Distributed Denial of Service, dalam terjemahan gratis: penolakan layanan terdistribusi) adalah di antara serangan peretas yang paling umum, yang diarahkan ke sistem komputer atau layanan jaringan dan dirancang untuk menempati semua sumber daya yang tersedia dan gratis untuk mencegah berfungsinya seluruh layanan di Internet (mis. situs web dan hosting email Anda).
Apa itu serangan DDoS?
Serangan DDoS terdiri dari melakukan serangan secara bersamaan dari banyak tempat pada waktu yang sama (dari banyak komputer). Serangan semacam itu terutama dilakukan dari komputer yang kontrolnya telah diambil, menggunakan perangkat lunak khusus (misalnya bot dan Trojan). Ini berarti bahwa pemilik komputer ini bahkan mungkin tidak tahu bahwa komputer, laptop, atau perangkat lain yang terhubung ke jaringan mungkin saja digunakan, tanpa sepengetahuan mereka, untuk melakukan serangan DDoS.
Serangan DDoS dimulai ketika semua komputer yang disusupi mulai menyerang layanan web atau sistem korban secara bersamaan. Target serangan DDoS kemudian dibanjiri dengan upaya palsu untuk menggunakan layanan (misalnya, mereka mungkin mencoba memanggil situs web atau permintaan lain).
Mengapa serangan DDoS menyebabkan gangguan layanan?
Setiap upaya untuk menggunakan layanan (misalnya upaya untuk memanggil situs web) membutuhkan komputer yang diserang untuk mengalokasikan sumber daya yang sesuai untuk melayani permintaan ini (misalnya prosesor, memori, bandwidth jaringan), yang, dengan jumlah permintaan yang sangat besar, mengarah ke kehabisan sumber daya yang tersedia, dan akibatnya, penghentian operasi atau bahkan penangguhan sistem yang diserang.
Bagaimana cara melindungi diri Anda dari serangan DDoS?
Serangan DDoS saat ini merupakan ancaman yang paling mungkin terjadi bagi perusahaan yang beroperasi di jaringan, dan konsekuensinya tidak hanya mencakup area TI, tetapi juga menyebabkan kerugian finansial dan citra yang nyata dan terukur. Serangan jenis ini terus berkembang dan menjadi lebih dan lebih tepat. Tujuannya adalah untuk menggunakan semua sumber daya yang tersedia dari infrastruktur jaringan atau koneksi internet.
Anda dapat menemukan penawaran untuk perlindungan terhadap serangan DDoS di Internet. Paling sering, aktivasi perlindungan tersebut terhadap serangan DDoS dilakukan dengan mengubah catatan DNS, yang akan mengarahkan semua lalu lintas HTTP / HTTPS melalui lapisan pemfilteran, di mana pemeriksaan mendetail dari setiap paket dan kueri dilakukan.
Kemudian, algoritme tingkat lanjut, serta aturan yang ditentukan dengan benar, memfilter paket yang salah dan upaya serangan, sehingga hanya lalu lintas murni yang masuk ke server Anda. Perusahaan yang melindungi dari serangan DDoS memiliki lokasi di berbagai belahan dunia, berkat itu mereka dapat secara efektif memblokir serangan di sumbernya, serta menyajikan data statis dari pusat data terdekat, sehingga mengurangi waktu buka halaman.
Serangan DDoS dan pemerasannya adalah kejahatan
Ancaman serangan DDoS terkadang digunakan untuk memeras perusahaan, mis. situs lelang, perusahaan pialang dan sejenisnya, di mana gangguan sistem transaksi diterjemahkan ke dalam kerugian finansial langsung bagi perusahaan dan kliennya. Dalam kasus seperti itu, orang-orang yang berada di balik penyerangan tersebut menuntut uang tebusan untuk membatalkan atau menghentikan serangan tersebut. Pemerasan seperti itu adalah kejahatan.
Bagaimana melindungi diri Anda dari serangan DoS / DDoS
Secara sederhana, serangan DoS adalah bentuk aktivitas berbahaya yang bertujuan membawa sistem komputer ke titik di mana ia tidak dapat melayani pengguna yang sah atau menjalankan fungsi yang dimaksudkan dengan benar. Kesalahan dalam perangkat lunak (software) atau beban yang berlebihan pada saluran jaringan atau sistem secara keseluruhan biasanya mengarah pada kondisi "penolakan layanan". Akibatnya, perangkat lunak, atau seluruh sistem operasi mesin, "crash" atau menemukan dirinya dalam status "loop". Dan ini mengancam dengan downtime, kehilangan pengunjung / pelanggan dan kerugian.
Anatomi serangan DoS
Serangan DoS diklasifikasikan sebagai serangan lokal dan jarak jauh. Eksploitasi lokal mencakup berbagai eksploitasi, bom garpu, dan program yang membuka satu juta file setiap kali atau menjalankan algoritme melingkar yang memakan memori dan sumber daya prosesor. Kami tidak akan memikirkan semua ini. Mari kita lihat lebih dekat serangan DoS jarak jauh. Mereka dibagi menjadi dua jenis:
Eksploitasi jarak jauh dari bug perangkat lunak untuk membuatnya tidak beroperasi.
Banjir - mengirimkan sejumlah besar paket yang tidak berarti (kurang sering berarti) ke alamat korban. Target banjir dapat berupa saluran komunikasi atau sumber daya mesin. Dalam kasus pertama, aliran paket menggunakan seluruh bandwidth dan tidak memberi mesin yang diserang kemampuan untuk memproses permintaan yang sah. Yang kedua, sumber daya mesin ditangkap oleh panggilan yang berulang dan sangat sering ke layanan apa pun yang melakukan operasi kompleks dan intensif sumber daya. Ini dapat berupa, misalnya, panggilan panjang ke salah satu komponen aktif (skrip) server web. Server menghabiskan semua sumber daya mesin untuk memproses permintaan penyerang, dan pengguna harus menunggu.
Dalam versi tradisional (satu penyerang - satu korban), hanya jenis serangan pertama yang sekarang efektif. Banjir klasik tidak berguna. Hanya karena dengan bandwidth server saat ini, tingkat daya komputasi, dan meluasnya penggunaan berbagai teknik anti-DoS dalam perangkat lunak (misalnya, penundaan ketika klien yang sama berulang kali melakukan tindakan yang sama), penyerang berubah menjadi nyamuk yang mengganggu. tidak dapat menimbulkan kerusakan apapun juga tidak ada.
Namun jika terdapat ratusan, ribuan bahkan ratusan ribu nyamuk tersebut, mereka dapat dengan mudah meletakkan server pada tulang belikatnya. Kerumunan adalah kekuatan yang mengerikan tidak hanya dalam kehidupan, tetapi juga di dunia komputer. Serangan denial-of-service (DDoS) terdistribusi, biasanya dilakukan menggunakan banyak host yang di-zombifikasi, bahkan dapat memotong server yang paling tangguh dari dunia luar.
Metode pengendalian
Bahaya dari kebanyakan serangan DDoS terletak pada transparansi dan "normalitas" absolutnya. Lagi pula, jika kesalahan perangkat lunak selalu dapat diperbaiki, maka konsumsi sumber daya sepenuhnya hampir sering terjadi. Banyak administrator menghadapinya ketika sumber daya mesin (bandwidth) menjadi tidak mencukupi, atau situs web mengalami efek Slashdot (twitter.com menjadi tidak tersedia dalam beberapa menit setelah berita pertama kematian Michael Jackson). Dan jika Anda memotong lalu lintas dan sumber daya untuk semua orang secara berurutan, Anda akan diselamatkan dari DDoS, tetapi Anda akan kehilangan setengah dari pelanggan Anda.
Hampir tidak ada jalan keluar dari situasi ini, tetapi konsekuensi serangan DDoS dan keefektifannya dapat dikurangi secara signifikan dengan mengkonfigurasi router, firewall, dan analisis anomali yang konstan dalam lalu lintas jaringan. Di bagian artikel selanjutnya, kita akan membahas:
cara untuk mengenali serangan DDoS yang baru jadi;
metode menangani jenis serangan DDoS tertentu;
saran umum untuk membantu Anda mempersiapkan diri menghadapi serangan DoS dan mengurangi keefektifannya.
Pada akhirnya, jawaban akan diberikan untuk pertanyaan: apa yang harus dilakukan saat serangan DDoS dimulai.
Melawan serangan banjir
Jadi, ada dua jenis serangan DoS / DDoS, dan yang paling umum didasarkan pada ide flooding, yaitu membanjiri korban dengan paket yang sangat banyak. Banjir berbeda: banjir ICMP, banjir SYN, banjir UDP, dan banjir HTTP. Bot DoS modern dapat menggunakan semua jenis serangan ini secara bersamaan, jadi Anda harus berhati-hati terhadap setiap serangan sebelumnya. Contoh cara bertahan dari jenis serangan yang paling umum.
Banjir HTTP
Salah satu metode banjir yang paling luas saat ini. Ini didasarkan pada pengiriman pesan HTTP GET tanpa henti pada port 80 untuk memuat server web sehingga tidak dapat memproses semua permintaan lainnya. Seringkali, target banjir bukanlah root server web, tetapi salah satu skrip yang melakukan tugas intensif sumber daya atau bekerja dengan database. Bagaimanapun, pertumbuhan log server web yang sangat cepat akan berfungsi sebagai indikator serangan yang telah dimulai.
Metode untuk menangani flooding HTTP termasuk menyetel server web dan database untuk mengurangi dampak serangan, serta memfilter bot DoS menggunakan berbagai teknik. Pertama, Anda harus meningkatkan jumlah maksimum koneksi ke database pada saat yang bersamaan. Kedua, instal nginx yang ringan dan efisien di depan server web Apache - ini akan menyimpan permintaan cache dan melayani statis. Ini adalah solusi yang harus dimiliki yang tidak hanya akan mengurangi efek serangan DoS, tetapi juga memungkinkan server untuk menahan beban yang sangat besar.
Jika perlu, Anda dapat menggunakan modul nginx, yang membatasi jumlah koneksi simultan dari satu alamat. Skrip padat sumber daya dapat dilindungi dari bot dengan menggunakan penundaan, tombol "Klik saya", pengaturan cookie, dan trik lain yang bertujuan untuk memeriksa "kemanusiaan".
Kiat universal
Agar tidak masuk ke situasi tanpa harapan selama runtuhnya badai DDoS pada sistem, Anda harus mempersiapkannya dengan hati-hati untuk situasi seperti ini:
Semua server dengan akses langsung ke jaringan eksternal harus disiapkan untuk reboot jarak jauh yang cepat dan mudah. Nilai tambah yang besar adalah kehadiran antarmuka jaringan administratif kedua di mana Anda dapat mengakses server jika saluran utama tersumbat.
Perangkat lunak yang digunakan di server harus selalu mutakhir. Semua lubang ditambal, pembaruan diinstal (sederhana seperti boot, saran yang tidak diikuti banyak orang). Ini akan melindungi Anda dari serangan DoS yang mengeksploitasi bug dalam layanan.
Semua layanan jaringan pendengar yang ditujukan untuk penggunaan administratif harus disembunyikan oleh firewall dari siapa pun yang seharusnya tidak memiliki akses ke sana. Kemudian penyerang tidak akan dapat menggunakannya untuk serangan DoS atau serangan brute-force.
Pada pendekatan ke server (router terdekat), sistem analisis lalu lintas harus dipasang, yang akan memungkinkan untuk mempelajari serangan yang sedang berlangsung dan mengambil tindakan tepat waktu untuk mencegahnya.
Perlu dicatat bahwa semua teknik bertujuan untuk mengurangi efektivitas serangan DDoS, yang bertujuan untuk menggunakan sumber daya mesin. Hampir tidak mungkin untuk bertahan dari banjir yang menyumbat saluran dengan puing-puing, dan satu-satunya cara yang benar, tetapi tidak selalu layak untuk bertempur adalah dengan "menghilangkan serangan makna." Jika Anda memiliki saluran yang sangat luas yang dapat dengan mudah mengizinkan lalu lintas dari botnet kecil, pertimbangkan bahwa server Anda dilindungi dari 90% serangan.
Ada pertahanan yang lebih canggih. Ini didasarkan pada organisasi jaringan komputer terdistribusi, yang mencakup banyak server redundan yang terhubung ke tulang punggung yang berbeda. Ketika daya komputasi atau bandwidth saluran habis, semua klien baru dialihkan ke server lain atau secara bertahap. "
Solusi lain yang kurang lebih efektif adalah membeli sistem perangkat keras. Bekerja bersama-sama, mereka dapat menekan serangan yang baru jadi, tetapi seperti kebanyakan solusi lain berdasarkan pembelajaran dan analisis status, mereka gagal.
Sepertinya sudah dimulai. Apa yang harus dilakukan?
Sebelum serangan dimulai, bot melakukan "pemanasan", secara bertahap meningkatkan aliran paket ke mesin yang diserang. Penting untuk menangkap momen dan mulai mengambil tindakan. Pemantauan konstan dari router yang terhubung ke jaringan eksternal akan membantu dalam hal ini. Di server korban, Anda dapat menentukan awal serangan dengan cara yang tersedia.