Egy elosztott szolgáltatás megtagadása (DDoS) támadás egy kártékony kísérlet arra, hogy zavarja vagy túlterhelje a hálózati szolgáltatást, a szervert vagy a weboldalt egy nagy mennyiségű nemkívánatos forgalommal. A DDoS támadás során több kompromittált eszköz, gyakran „botnetek” néven ismert, összehangoltan küld nagy mennyiségű kérést vagy adatcsomagot a célpontnak, ami lehetetlenné teszi a legitim felhasználói kérések feldolgozását.
A DDoS támadás fő célja a célpont erőforrásainak kimerítése, mint például a sávszélesség, a processzor teljesítménye vagy a memória, aminek eredményeként a szolgáltatás nem lesz elérhető a legitimebb felhasználók számára. Ez akár szolgáltatás-kiesést, letartóztatást, anyagi veszteséget és károsíthatja a szervezet vagy vállalat hírnevét is.
A DDoS támadások különböző típusokba sorolhatók a használt technikák alapján:
- Mennyiségi támadások: Ezek a támadások céljuk a célpont sávszélesség túlterhelése nagy adatmennyiséggel. Az elkövetők botneteket használhatnak nagyszámú csomag vagy kérés küldéséhez a célpontnak egyszerre, ami túlterheli a hálózati infrastruktúrát és lehetetlenné teszi a szolgáltatás elérését. Példák a mennyiségi támadásokra: UDP-flood és ICMP-flood.
- Erőforrás-kimerítő támadások: Ezek a támadások kihasználják a TCP protokoll állapotkezelését. A célpont erőforrásainak, amelyek a TCP kapcsolatokat kezelik, mint például a szerver kapacitása a kapcsolatok kezelésére vagy a memória a kapcsolatokhoz történő hozzárendeléshez, túlterhelésével az elkövető kimerítheti a célpont kapacitását a legitimebb kérések feldolgozásához. Példák az erőforrás-kimerítő támadásokra: SYN-flood és ACK-flood.
- Alkalmazásszintű támadások: Ezek a támadások konkrét alkalmazásokra vagy szolgáltatásokra összpontosítanak, amelyek a célponton futnak, és a számítási erőforrások kimerítésére vagy a sebezhetőségek kihasználására törekszenek. Példák az alkalmazásszintű támadásokra: HTTP-flood, amikor a célpontot nagy mennyiségű legitimebb HTTP kérés árasztja el, és a Slowloris támadások, amelyek a szerver erőforrásait kimerítik azáltal, hogy a kapcsolatokat minél hosszabb ideig nyitva tartják.
- Protokoll alapú támadások: Ezek a támadások kihasználják a hálózati protokollok vagy az infrastruktúra komponenseinek sebezhetőségeit a célpont szolgáltatásainak megzavarására. Példa protokoll alapú támadásra: DNS-amplifikációs támadás, amikor az elkövető hamis forrás IP-címmel kis DNS kérést küld, ami eredményez egy nagyobb választ a célpont felé.
A DDoS támadások elleni védelemhez különböző védelmi mechanizmusokra van szükség:
- Forgalmi szűrés: A kártékony vagy gyanús forgalom blokkolása és csak a legitim forgalom engedélyezése a célpont eléréséhez tűzfalak, terheléselosztók vagy támadásdetektáló rendszerek (IPS) segítségével.
- Terheléselosztás: A terheléselosztók használata a forgalom egyenletes elosztásához több szerver között, ezáltal csökkentve az egyetlen ponton történő koncentrált támadás hatását.
- Forgalmi monitorozás: A forgalmi anomáliák vagy hirtelen forgalomnövekedések gyors felismerésére szolgáló monitorozó eszközök használata, amelyek jelzik egy esetleges DDoS támadás jelenlétét.
- Hálózatalapú enyhítés: DDoS enyhítő szolgáltatások használata, amelyek azonosítják és blokkolják a káros forgalmat még annál, hogy az elérné a célt.
- Biztonsági mentés és helyreállítás: Rendszeres adatmentések készítése és terv készítése a szolgáltatások helyreállítására DDoS támadás esetén.
A DDoS támadások jelentős fenyegetést jelentenek a szervezetek számára, és folyamatos figyelmet, készültségi terveket és megfelelő biztonsági intézkedéseket igényelnek a negatív hatások minimalizálása érdekében.
