DDoS saldırılarında kurumsal güvenlik "saldırı ve savunma yolu"
Tehdit aktörleri için Dağıtılmış hizmet reddi (DDoS) saldırıları, para gasp etmek ve kurbanlardan veri çalmak için hala tercih edilen silahtır ve hatta daha fazla bilgisayar korsanlığı niyetleri için bile, herhangi bir zamanda büyük ölçekli saldırılar başlatılabilir. Siber savaş. Dağıtılmış Hizmet Reddi (DDoS) saldırıları, gerçek kullanıcıların erişim sağlayamaması için ağın, uygulamaların veya hizmetlerin kaynaklarını tüketmek üzere tasarlanmıştır.
Bir zamanlar finansal hizmetler, e-ticaret ve oyun endüstrilerini sular altında bırakan tehdit, şimdi her büyüklükteki şirketin yüzleşmesi gereken bir tehdit haline geldi. Şimdi, neredeyse aynı motivasyonla, küçük işletmeler tıpkı büyük kuruluşlar gibi DDoS saldırılarının hedefi olmaya başlıyor.
Botnet yapı kitlerinin ve sözde "stres", "güçlendirici" ve diğer DDoS kiralama hizmetlerinin yaygın kullanımı ile hemen hemen herkes, seçtikleri hedeflere karşı DDoS saldırıları başlatabilir. Günümüzde DDoS altyapısını kullanabilenler artık sadece devlet destekli bilgisayar korsanları ve APT kuruluşları değil, sıradan siber suçlular bile kolayca DDoS saldırısı başlatabilir.
DDoS saldırısı tam olarak nedir?
DDoS, İngilizce'de Dağıtılmış Hizmet Reddi'nin kısaltmasıdır ve "dağıtılmış hizmet reddi" anlamına gelir. Amaç, ağ, uygulamalar veya hizmetler için mevcut kaynakları tüketmek, yasal kullanıcıların normal ağ kaynaklarına erişmesini engellemek ve web sitesinin zamansız yanıt vermesini sağlamaktır. felç.
DDoS, bilgisayar korsanlarının güvenlik açıkları bulduğu ve kullanıcının ağını enjeksiyon için ele geçirdiği kötü amaçlı saldırılardan farklıdır. DDoS, hedefe girmek için belirli bir girişe ihtiyaç duymaz, bunun yerine birçok "zombi ana bilgisayar" (saldırgan tarafından istila edilmiş veya dolaylı olarak istismar edilmiş ana bilgisayar) aracılığıyla ) Kurban ana bilgisayara, ağda tıkanıklığa veya sunucu kaynaklarının tükenmesine neden olan çok sayıda görünürde meşru ağ paketi gönderin. Dağıtılmış bir hizmet reddi saldırısı uygulandığında, saldırı ağı paketleri kurban ana bilgisayarı bir sel gibi taşar. Meşru kullanıcıların ağ paketlerini batırmak, meşru kullanıcıların sunucunun ağ kaynaklarına normal olarak erişememesine neden olmak, bu nedenle DDoS'ye "taşkın saldırısı" da denir.
DDoS saldırı mimarisi
Farklı DDoS saldırıları türleri vardır, ancak genel olarak DDoS saldırıları aynı anda birden çok farklı ana bilgisayardan başlatılır ve hatta en büyük kuruluşların İnternet hizmetlerinin ve kaynaklarının kullanılabilirliğini etkiler.
Birçok şirket için DDoS her gün gerçekleşir. 10. Küresel Altyapı Güvenliği Raporuna göre, ankete katılanların% 42'si her ay 21'den fazla DDoS saldırısı tespit ederken, 2013'te% 25. Bu saldırılar sadece sıklıkta değil, aynı zamanda ölçek olarak da artmaktadır. 2013'te 100 Gbps'yi aşan 40'tan az saldırı vardı, ancak 2014'te en büyüğü 400 Gbps olmak üzere 100 Gbps'lik 159 saldırı gerçekleşti. 2013'te 100Gbps'yi aşan hızlarda 40'tan az saldırı vardı, ancak 2014'te en yüksek saldırı hızı 400Gbps olan 100Gbps'yi aşan hızlarda 159 saldırı gerçekleşti.
Kurumsal ağ, ağ güvenliğini sağlamak için en iyi DDoS saldırı önleme hizmetini seçmelidir.
DDoS saldırı türleri
Farklı DDoS saldırı türleri büyük ölçüde değişiklik gösterir, ancak genellikle üç kategoriye ayrılabilirler:
1. Kapasite tükenme saldırısı - bu saldırının amacı, geniş bant tarafından tüketilen trafik veya kaynak istekleriyle ağın altyapısını yok etmektir.
2. TCP durum tablosu tükenme saldırganları, bu yöntemi TCP protokolünün durumunu kötüye kullanmak, sunucudaki kaynakları, yük dengeleyiciyi ve güvenlik duvarını tüketmek için kullanır.
3. Uygulama katmanı saldırıları - Bu saldırılar, 7. katman uygulamalarının veya hizmetlerinin belirli yönlerini hedefler.
Toplu saldırılar hala en yaygın DDoS saldırılarıdır, ancak üç vektörü birleştiren saldırılar giderek daha yaygın hale geldi ve bu nedenle saldırıların genişliğini ve ölçeğini artırdı. DDoS türlerinin dağılımı,% 64'ü kapasite tükenme saldırıları,% 18'i durum tükenme saldırıları ve uygulama katmanı saldırıları da yaklaşık% 18'dir.
DDoS saldırılarının ana itici faktörleri aşağı yukarı aynıdır: politika ve ideoloji ve kötü niyetli imha. DDoS, bilgisayar korsanları ve teröristler için tercih edilen saldırgan silah olmasına rağmen, rakiplerin faaliyetlerine şantaj yapmak veya aksatmak için de kullanılır.
DDoS saldırıları, bir örtü stratejisi olarak giderek daha sık kullanılmaktadır. Örneğin, Advanced Persistent Threat Movement, diğer tarafın dikkatini dağıtmak için ağa karşı DDoS saldırıları kullanıyor.Saldırganların asıl amacı çalınan verileri sızdırmaktır.
Bilgisayar korsanı topluluğu, başlangıçta karmaşık olan çeşitli saldırıları kullanımı kolay, indirilebilir programlar halinde paketlediğinden, gerekli uzmanlığa sahip olmayanlar bile DDoS saldırılarını başlatmak için bu araçları satın alabilir. Ve durum daha da kötüleşecek Saldırganlar, üretilebilecek saldırı trafiğini artırmak için oyun konsollarından yönlendiricilere ve modemlere kadar cihazları kontrol etmek için tüm araçları kullanacaklar.
Bu cihazların ağ işlevleri varsayılan olarak açıktır ve varsayılan hesapları ve parolaları kullanır, bu nedenle DDoS saldırıları için son derece kolay hedeflerdir. Çoğu cihaz Evrensel Tak ve Çalıştır'ı (UPnP) destekler ve temelindeki protokol kötüye kullanılabilir.
Akamai, İnternet'e bakan 4,1 milyon UPnP cihazının yansıma tipi DDoS saldırılarına açık olabileceğini keşfetti. Güvenliği veya yapılandırması zayıf olan İnternet bağlantılı cihazların sayısı giderek artmaktadır, saldırganların saldırıları gerçekleştirmesini kolaylaştırmaktadır.
Önleme yöntemi: hem semptomları hem de temel nedenleri tedavi edin
Şimdiye kadar, DDoS saldırılarının savunması nispeten zordu. Öncelikle bu tür saldırının özelliği, TCP / IP protokolünün zafiyetlerinden faydalanmasıdır TCP / IP kullanılmadığı takdirde DDoS saldırılarına tamamen direnmek mümkündür. Ancak bu, DDoS saldırılarını durdurmanın bir yolu olmadığı anlamına gelmez, DDoS saldırılarını azaltmak için elimizden gelenin en iyisini yapabiliriz. DDoS savunması sistematik bir projedir.İşletmeler için hem semptomları hem de temel nedenleri ele almak ve kök nedenlere karşı savunma yapmak gerekir.
İşte bazı temel savunma yöntemleri:
1. Sunucunun sistem dosyalarının en son sürüm olduğundan emin olun ve sistem yamalarını zamanında güncelleyin.
2. Gereksiz hizmetleri kapatın.
3. Aynı anda açılan SYN yarı bağlantılarının sayısını sınırlayın.
4. SYN yarı bağlantısının zamanını kısaltın.
5. Güvenlik duvarını doğru şekilde kurun:
Ana bilgisayarın açık olmayan hizmetlerine erişimi yasaklayın;
Belirli IP adreslerine erişimi kısıtlayın;
Güvenlik duvarının anti-DDoS özelliklerini etkinleştirin;
Açık sunuculara harici erişimi kesinlikle kısıtlayın;
Bağlantı noktası eşleştiricisini veya bağlantı noktası tarayıcıyı çalıştırmak için, ayrıcalıklı bağlantı noktalarını ve ayrıcalıksız bağlantı noktalarını dikkatlice kontrol etmelisiniz.
6. Ağ ekipmanının ve ana bilgisayar / sunucu sisteminin günlüklerini dikkatlice kontrol edin. Günlükte delikler olduğu veya zaman değişiklikleri olduğu sürece, makine saldırıya uğrayabilir.
7. Güvenlik duvarının dışındaki ağ dosyalarıyla paylaşımı kısıtlayın. Bu, bilgisayar korsanlarına sistem dosyalarını ele geçirme fırsatı verecek ve ana bilgisayarın bilgileri, şüphesiz diğer tarafa istila etme fırsatı verecek şekilde bilgisayar korsanına açık olacak.
İnternete açık cihazların ve hizmetlerin korunması yalnızca kişisel ağların güvenliğini korumakla kalmaz, aynı zamanda DDoS saldırıları nedeniyle virüs bulaşabilecek cihazların sayısını da azaltır. Sıkı bir yöntemin tekrarlanabilir testi ve uygulaması: her tür web uygulaması güvenlik açıkları için sızma testi.
Bilgisayar korsanlarının DDoS trafiği oluşturmak için kötüye kullandığı protokoller arasında NTP, DNS, SSDP, Chargen, SNMP ve DVMRP bulunur, bu nedenle bu hizmetleri kullanan herhangi bir kullanıcının yapılandırmayı dikkatlice kontrol etmesi ve sağlamlaştırılmış özel bir sunucuda çalışması gerekir.
Çoğu saldırı etkilidir çünkü saldırganlar iletişim trafiği oluşturmak için sahte kaynak IP adresleri kullanabilir. Şirketlerin, bilgisayar korsanlarının diğer ağlardan geliyormuş gibi veri paketleri göndermesini önlemek için sahteciliği önleme filtreleri benimsemesi gerekir. Tüm farklı DDoS saldırı türleri tahmin edilemez veya önlenemez.Kısıtlı kaynaklara sahip saldırganlar bile büyük miktarda iletişim trafiği oluşturabilir ve bu da yaygın ağ felcine veya ciddi hasara yol açabilir.
DDoS saldırılarını tamamen ortadan kaldırmak veya hafifletmek neredeyse imkansız olsa da, uzun vadede bu sorunları azaltmanın anahtarı, tüm cihazların ve hizmetlerin, kamu hizmetlerinin potansiyel saldırganlar tarafından kullanılmaması veya kötüye kullanılmaması için uygun şekilde yapılandırılmasını sağlamaktır. Başkalarına yardım ederek kendimize de yardım edeceğiz. DDoS saldırılarının ilkelerini anlayarak ve savunma önlemlerimizi geliştirerek bazı DDoS saldırılarını engellemeye çalışabiliriz.
Orijinal makale, yazar: M0tto1n, http: //www.mottoin.com/sole/view/119602.html adresinden yeniden üretilmiştir.
