Što je to DDoS?

Akronimom DDoS (Distributed Denial of Service) označavamo napad čiji je cilj legitimnim korisicima onemogućiti pristup nekom servisu ili serveru. Sama tehnika DDoSa nije osobito komplicirana, a svodi se na sljedeće – šalji serveru više zahtjeva nego što taj server može obraditi.

Način na koji to napadač radi je da upravlja “botnetom”. Botnet je mreža većinom inficiranih računala i servera kojima napadač moze kontrolirati s bilo koje lokacije na svijetu, uz uvijet da ima pristup Internetu. Zabrinjavajuća je činjenica da, uz botnete, postoji sve više online servisa gdje već za nekoliko dolara mozete iznajmiti botnet i izvršavati DDoS napade. Velika većina tih servisa radi pod krinkom da nude usluge testiranja “stabilnosti vaše mreže”.

DDoS napade možemo podijeliti u tri kategorije:

  •  Volume based napadi, gdje napadač šalje ogromne količine mrežnog prometa sa ciljem da saturira internet link servera koji se napada.Ovakve napade mjerimo u Gbps – “Gigabits/sec”
  • Protocol based napadi, gdje napadač bombardira server “SYN” zahtjevima, fragmentiranim paketima, itd. Ovakve napade mjerimo u “packets/sec
  • Application layer napadi su napadi gdje napadač većinom šalje legitimne zahtjeve na server, a sve sa ciljem preopterećivanja servera. Ovakvi napadi se nesto rijeđe dogadaju, ali ih je zato relativno teško identificirati iz razloga što se na prvi pogled, zahtjevi koji dolaze na server čine legitimnim. O ovoj vrsti napada smo već pisali u drugom članku.

Postoji li obrana od DDoS napada?

Da, obrana postoji, ali uspjeh ponajviše ovisi o veličini i vrsti DDoS napada. Bitno je reći da ne postoji univerzalni način obrane, nego se obrana postavlja ovisno o vrsti DDoS napada. Ako se radi o volume based DDoS napadu, najbitnija stvar je da su Vaši mrežni kapaciteti veći od mrežnih kapaciteta napadača. Ukoliko je napad veći od Vaših mrežnih kapaciteta, ne možete puno napraviti osim čekati da napad stane. Prosječni DDoS napadi koje viđamo su izmedu 5 i 10 Gbps.

Ako se radi o protocol based napadima, administrator može analizirati pakete koji stižu na server, te ih filtrirati u firewallu, mrežnoj opremi ili s Anti-DDoS uređajem. Analiza application layer napada je nešto kompliciranija, ali se također svodi na analizu zahtjeva koji dolaze na server, te eventualno filtriranje tih zahtjeva na razini sâmog servera.

Uz sve to, postoje razni online servisi koji nude DDoS zaštitu. Jedan od poznatijih je CloudFlare, o kojem smo već pisali na našem blogu.

Kako DDoS uopće izgleda?

DDOS-slika1

Na grafu je prikazan broj paketa/sek koje je server morao obrađivati. Prosječna vrijednost za shared hosting server, dok nije pod napadom, je oko 2500 paketa/sek.  Dok je server bio pod DDoS napadom, količina paketa je porasla na preko 600 000 paketa/sek, sto je povećanje od ~240 puta!

Drugi, zanimljiviji prikaz DDoS napada je video zapis koji smo napravili koristeći prikupljeni promet u periodu od 10 sekundi s jednog od naših servera dok je bio pod DDoS napadom. Na lijevoj strani možemo vidjeti IP adrese napadača, točkice koje idu prema serveru su paketi koje napadači šalju, a na desnoj strani je sâm server koji te pakete mora obrađivati. Na videu je prikazan manji DDoS napad od “samo” ~40 000 paketa/sek.

Povezani članci

Odgovori