Što je to DDoS (Distributed Denial of Service)?

Akronimom DDoS (Distributed Denial of Service) označavamo napad čiji je cilj legitimnim korisnicima onemogućiti pristup nekom servisu ili serveru. Sama tehnika DDoSa nije osobito komplicirana. Svodi se na sljedeće – šalji serveru više zahtjeva nego što taj server može obraditi.

ddos

Kako se radi DDoS?

Način na koji to napadač radi je da upravlja “botnetom”. Botnet je mreža većinom inficiranih računala i servera kojima napadač može kontrolirati s bilo koje lokacije na svijetu, uz uvjet da ima pristup Internetu. Zabrinjavajuća je činjenica da, uz botnete, postoji sve više online servisa gdje već za nekoliko dolara možete iznajmiti botnet i izvršavati DDoS napade. Velika većina tih servisa radi pod krinkom da nude usluge testiranja “stabilnosti vaše mreže”.

DDoS napade možemo podijeliti u tri kategorije:

  • Volume based napadi. Napadač šalje ogromne količine mrežnog prometa s ciljem da saturira internet link servera koji se napada. Ovakve napade mjerimo u Gbps – “Gigabits/sec”
  • Protocol based napadi. Napadač bombardira server “SYN” zahtjevima, fragmentiranim paketima, itd. Ovakve napade mjerimo u “packets/sec
  • Application layer napadi. Napadač većinom šalje legitimne zahtjeve na server, a sve s ciljem preopterećivanja servera. Ovakvi napadi se nešto rjeđe događaju. Relativno ih je teško identificirati iz razloga što se na prvi pogled, zahtjevi koji dolaze na server čine legitimnim. O ovoj vrsti napada smo već pisali u drugom članku.

Postoji li obrana od DDoS napada?

Da, obrana postoji, ali uspjeh ponajviše ovisi o veličini i vrsti napada. Bitno je reći da ne postoji univerzalni način obrane. Obrana se postavlja ovisno o vrsti napada. Ako se radi o volume based DDoS napadu, najbitnija stvar je da su vaši mrežni kapaciteti veći od mrežnih kapaciteta napadača. Ako je napad veći od vaših mrežnih kapaciteta, ne možete puno napraviti osim čekati da napad stane. Prosječni napadi koje viđamo su između 5 i 10 Gbps.

Ako se radi o protocol based napadima, administrator može analizirati pakete koji stižu na server. Može ih filtrirati u firewallu, mrežnoj opremi ili s Anti-DDoS uređajem. Analiza application layer napada je nešto kompliciranija, ali se također svodi na analizu zahtjeva koji dolaze na server, te eventualno filtriranje tih zahtjeva na razini sâmog servera.

Uz sve to, postoje razni online servisi koji nude DDoS zaštitu. Jedan od poznatijih je CloudFlare, o kojem smo već pisali na našem blogu.

Kako DDoS uopće izgleda?

DDOS sustav

Na grafu je prikazan broj paketa/sek koje je server morao obrađivati. Prosječna vrijednost za shared hosting server, dok nije pod napadom, je oko 2500 paketa/sek.  Dok je server bio pod DDoS napadom, količina paketa je porasla na preko 600 000 paketa/sek, sto je povećanje od ~240 puta!

Drugi, zanimljiviji prikaz napada je video zapis koji smo napravili koristeći prikupljeni promet u periodu od 10 sekundi s jednog od naših servera dok je bio pod DDoS napadom. Na lijevoj strani možemo vidjeti IP adrese napadača, točkice koje idu prema serveru su paketi koje napadači šalju, a na desnoj strani je sâm server koji te pakete mora obrađivati. Na videu je prikazan manji DDoS napad od “samo” ~40 000 paketa/sek.

Povezani članci

Odgovori