Rozproszona odmowa usługi (Distributed Denial of Service — DDoS)

Czym jest atak DDoS?

Rozproszona odmowa usługi (Distributed Denial of Service — DDoS) to atak, który polega na zakłóceniu normalnego funkcjonowania ruchu sieciowego na serwerze, w usłudze lub w sieci poprzez przeciążenie jego lub otaczającej go infrastruktury za pośrednictwem masowej liczby połączeń. W tym celu ataki DDoS wykorzystują wiele zhakowanych systemów komputerowych, z których są przeprowadzane. Maszyny te mogą obejmować komputery i inne zasoby działające w sieci, na przykład urządzenia połączone z internetem rzeczy (IoT). Atak DDoS można porównać do zatoru drogowego, który blokuje autostradę i uniemożliwia uczestnikom normalnego ruchu dotarcie do miejsca docelowego.

Jak przebiega atak DDoS?

Przeprowadzenie ataku DDoS wymaga od hakera przejęcia kontroli nad siecią maszyn działających online. Komputery i inne maszyny (na przykład urządzenia działające w internecie rzeczy) zostają zainfekowane szkodliwym oprogramowaniem, które zamienia je w boty (tzw. komputery-zombie). W wyniku tego działania przestępca może sprawować zdalną kontrolę nad grupą botów — siecią botnet. Po zbudowaniu sieci botnet haker może sterować komputerami i zdalnie przesyłać do każdego bota na bieżąco aktualizowane polecenia. Gdy komputery z sieci botnet wezmą na cel adres IP ofiary, każdy bot wysyła do niego żądania, co potencjalnie powoduje wyczerpanie dostępnych zasobów wybranego serwera lub sieci i skutkuje odmową usług realizowanych w normalnym ruchu sieciowym. A ponieważ każdy bot jest pełnoprawnym urządzeniem internetowym, odróżnienie szkodliwego ruchu sieciowego od normalnego może nastręczać duże trudności.

Jakie są najczęstsze rodzaje ataków DDoS?

Poszczególne wektory ataku DDoS są wymierzone w różne komponenty połączenia sieciowego. Aby w pełni zrozumieć przebieg ataków DDoS, trzeba wiedzieć, w jaki sposób nawiązywane jest połączenie sieciowe. Połączenie z siecią internetową składa się z wielu różnych komponentów, inaczej nazywanych „warstwami”. Podobnie jak w przypadku budowy domu od zera, tak i w tym modelu każdy etap spełnia inne zadanie. Model OSI to struktura pojęciowa, w ramach której opisuje się siedem odrębnych warstw połączenia sieciowego.

Jak wygląda przeciwdziałanie atakowi DDoS?

Dowiedz się więcej o DDoS

Mimo że niemal wszystkie ataki DDoS polegają na przeciążeniu wybranego urządzenia lub wybranej sieci za pośrednictwem ruchu sieciowego, można je podzielić na trzy kategorie. Haker może wykorzystywać pojedynczy wektor lub wiele różnych wektorów, a także zmieniać wektory w odpowiedzi na potencjalne formy przeciwdziałania przedsięwzięte przez cel ataku. W nowoczesnej sieci internetowej sztuczny ruch generowany przez atak DDoS może przybierać wiele postaci — od ataków opartych na pojedynczym urządzeniu, pod które jednak haker się nie podszywa, po złożone i specjalnie zaadoptowane ataki wielowektorowe. Wielowektorowy atak DDoS wykorzystuje liczne ścieżki ataku do przeciążenia celu na różne sposoby, co potencjalnie uniemożliwia podjęcie działań obronnych tylko w jednym kierunku. Wielowektorowy atak DDoS jest wymierzony w wiele warstw stosu protokołu naraz, stanowiąc na przykład połączenie ataku DNS Amplification (uderzającego w warstwy 3. i 4.) i HTTP Flood (przeciążającego warstwę 7.). Przeciwdziałanie wielowektorowemu atakowi DDoS wymaga szeregu strategii przewidujących podjęcie wielokierunkowych działań. Ogólnie rzecz ujmując, im bardziej złożony jest atak, tym trudniej szkodliwy ruch sieciowy odseparować od normalnego. Haker dąży do maksymalnego „wtopienia się” w środowisko, utrudniając efektywne zwalczanie ataku. Próby obniżenia lub ograniczenia całego ruchu mogą doprowadzić do wyeliminowania zarówno pożądanych, jak i szkodliwych połączeń. Ponadto atak może być modyfikowany i dostosowywany tak, aby omijać przedsięwzięte środki. Do walki ze złożonymi atakami zakłócającymi normalne działanie niezbędne jest wielowarstwowe rozwiązanie, które zapewnia najlepsze rezultaty.

Firewall aplikacji WWW (Web Application Firewall — WAF)

Czym jest firewall aplikacji WWW?

Firewall aplikacji WWW (Web Application Firewall — WAF) pomaga w ochronie aplikacji WWW poprzez filtrowanie i monitorowanie ruchu HTTP między aplikacjami WWW a internetem. Zazwyczaj zabezpiecza aplikacje WWW przed atakami, takimi jak Cross-site request forgery, Cross-site scripting (XSS), RFI i LFI czy wstrzyknięcia SQL. Zaporę WAF stworzono w celu ochrony 7. warstwy protokołu (według modelu OSI), a nie z myślą o niwelowaniu innych rodzajów ataków. Omawiany sposób przeciwdziałania zwykle wchodzi w skład zestawu narzędzi, które razem zapewniają kompleksową ochronę przed szeroką gamą wektorów ataku. Zapora WAF wdrożona po stronie aplikacji WWW stanowi tarczę umieszczoną między daną aplikacją WWW a internetem. Podczas gdy serwer proxy chroni tożsamość komputera klienta za pomocą rozwiązań pośredniczących, firewall aplikacji WWW stanowi rodzaj odwrotnego proxy, zabezpieczając serwer przed atakami za pomocą zapory, którą klienci muszą przebyć, zanim dotrą do serwera. Zapora WAF działa w oparciu o zestaw reguł nazywanych politykami. Mają one chronić wrażliwe punkty aplikacji poprzez odfiltrowywanie sztucznego ruchu sieciowego. Wartość firewalla aplikacji WWW opiera się na szybkości i łatwości, z jaką można modyfikować polityki. Pozwala to błyskawicznie odpowiadać na ataki o zmiennych wektorach. W trakcie ataku DDoS można szybko implementować ograniczenia przepustowości łącza poprzez wprowadzanie zmian w obowiązującej strategii WAF.

Czym się różnią czarne i białe listy firewallów aplikacji WWW?

Dowiedz się więcej o WAF

Zapora WAF działająca w oparciu o czarną listę (model negatywny) chroni przed znanymi atakami. Czarną listę WAF można sobie wyobrazić jako bramkarza, który odmawia wstępu wszystkim niestosownie ubranym gościom. Z kolei zapora WAF bazująca na białej liście (model pozytywny) przepuszcza wyłącznie zatwierdzony wcześniej ruch sieciowy. Pracuje niczym ochroniarz na wystawnym przyjęciu i zaprasza do środka wyłącznie te osoby, które znajdują się na liście gości. Białe i czarne listy mają swoje zalety i wady, dlatego wiele firewalli aplikacji WWW oferuje hybrydowy model bezpieczeństwa, wykorzystujący obie listy.

Sieć dostarczania treści (Content Delivery Network — CDN)

Czym jest sieć dostarczania treści?

Sieć dostarczania treści (Content Delivery Network — CDN) to rozproszona geograficznie grupa serwerów, które wspólnie umożliwiają dostarczanie treści internetowych w szybki sposób. Sieć CDN pozwala na błyskawiczne przesyłanie zasobów niezbędnych do wczytywania treści internetowych, m.in. stron HTML, plików JavaScript, arkuszy stylu, obrazów i materiałów wideo. Popularność usług CDN stale rośnie — obecnie większość ruchu WWW jest obsługiwana właśnie przez sieci CDN.

Jak działa sieć CDN?

CDN to sieć połączonych ze sobą serwerów, które mają za zadanie dostarczać treści w maksymalnie szybki, tani, niezawodny i bezpieczny sposób. W celu polepszania szybkości i łączności sieć CDN umieszcza serwery w punktach wymiany między różnymi sieciami. Te punkty wymiany ruchu internetowego (Internet Exchange Point — IXP) stanowią główne lokalizacje łączące różnych dostawców usług internetowych, zapewniając im dostęp do ruchu sieciowego inicjowanego w różnych sieciach. Dzięki dostępowi do szybko działających i wysoce ze sobą skomunikowanych miejsc dostawca CDN może ograniczać koszty i czas transferu związane z błyskawicznym przesyłaniem danych.

Jak sieć CDN skraca czas ładowania stron WWW?

Dowiedz się więcej o sieci CDN

Użytkownicy szybko rezygnują z odwiedzania stron, które powoli się ładują. Globalny charakter sieci CDN pozwala skrócić dystans między użytkownikami i zasobami WWW. Zamiast łączyć się z pierwotną lokalizacją serwera, na którym znajduje się strona WWW, sieć CDN umożliwia użytkownikom połączenie się z najbliższym im geograficznie centrum przetwarzania danych. A krótszy czas przesyłania oznacza szybsze świadczenie usługi.

System nazw domen (Domain Name System — DNS)

Czym jest system DNS?

System nazw domen (Domain Name System — DNS) to swoista książka telefoniczna internetu. Użytkownicy uzyskują dostęp do informacji online za pośrednictwem nazw domen, takich jak nytimes.com czy espn.com. Natomiast przeglądarki WWW wykorzystują adresy protokołu internetowego (Internet Protocol — IP). System DNS tłumaczy nazwy domen na adresy IP, tak aby przeglądarki mogły wczytywać zasoby internetowe. Każde urządzenie połączone z internetem ma swój unikalny adres IP, który inne komputery używają do znajdowania tego urządzenia. Serwery DNS eliminują konieczność zapamiętywania adresów IP, takich jak 192.168.1.1 (w przypadku protokołu IPv4), czy też bardziej złożonych, nowszych alfanumerycznych adresów IP, takich jak 2400:cb00:2048:1:c629:d7a2 (IPv6).

Jak działa system DNS?

Proces rozpoznawania nazw DNS obejmuje konwersję nazwy hosta (na przykład www.ibm.com) na akceptowany przez komputer adres IP (na przykład 192.168.1.1). Każde urządzenie w internecie otrzymuje własny adres IP. Jest on niezbędny do znajdowania właściwych urządzeń internetowych, tak jak nazwa ulicy jest potrzebna do znalezienia wybranego domu. Gdy użytkownik chce wczytać stronę WWW, następuje tłumaczenie ciągu znaków wprowadzonego przez użytkownika w przeglądarce WWW (przykladowanazwa.com) na rozpoznawany przez komputer adres wymagany do zlokalizowania strony przykladowanazwa.com. Aby zrozumieć, jak przebiega proces stojący za rozpoznawaniem nazw DNS, trzeba dowiedzieć się nieco więcej na temat różnych komponentów sprzętowych, między którymi wędruje zapytanie DNS. W przypadku przeglądarki WWW działanie serwera DNS odbywa się niejako „za kulisami” i nie wymaga od komputera użytkownika żadnych działań za wyjątkiem zainicjowania żądania.

Czym jest resolwer DNS?

Dowiedz się więcej o DNS

Resolwer DNS to pierwszy przystanek podczas wyszukiwania DNS. Zajmuje się klientem, który zainicjował żądanie. Resolwer uruchamia sekwencję zapytań, które ostatecznie prowadzą do adresu URL tłumaczonego na niezbędny adres IP. Uwaga: typowe wyszukiwanie DNS bez udziału pamięci podręcznej obejmuje zapytania zarówno rekurencyjne, jak i iteracyjne. Różnica między rekurencyjnym zapytaniem DNS a rekurencyjnym resolwerem DNS jest znaczna. Zapytanie odnosi się do żądania wysłanego do resolwera DNS, które wymaga przetłumaczenia nazwy. Z kolei rekurencyjny resolwer DNS to komputer przyjmujący zapytanie rekurencyjne i przetwarzający odpowiedź poprzez wysłanie odpowiednich żądań.

Pierwsze kroki

Możemy zaczynać? Dzięki naszemu portalowi i interfejsowi API wystarczy kilka kliknięć, aby zapewnić szybkość i bezpieczeństwo zasobów internetowych.