Dla osób początkujących rozróżnienie pojęć takich jak DoS, DDoS czy DRDoS może sprawiać problemy. Wbrew pozorom nie są to jednoznaczne tematy, a nazewnictwo stosowane w internecie może wprowadzać w błąd. W związku z tym powstał niniejszy artykuł, w którym staramy się wyjaśnić owe pojęcia na podstawie znanych nam przykładów.
DoS
DoS, czyli Denial of Service jest atakiem, który prowadzi do uniemożliwienia działania danego systemu bądź serwera. Istnieją różne rodzaje ataków DoS. Kiedy o nim czytamy, autor najczęściej będzie miał na myśli atak polegający na ciągłym wysyłaniu określonych typów pakietów na adres IP ofiary. Jest to prosty i niewyrafinowany sposób, ponieważ w łatwy sposób jest możliwość zablokowania ruchu poprzez blokadę IP atakującego. Innym problemem tego ataku jest jego opłacalność – aby atak zadziałał, potrzebne jest posiadanie większego łącza pasma internetowego niż ofiara.
DDoS
Ponieważ tradycyjne ataki DoS z czasem zostały utrudnione, atakujący wpadli na pomysł ataku DDoS, czyli Distributed Denial of Service. Polega on na ataku serwera z wielu komputerów jednocześnie. Często okazywało się, że atakujące komputery robią to nieświadomie i wynikało to z wcześniejszej infekcji systemu.
Podsumowując: DDoS polega na uniemożliwieniu dostępu do serwera lub odmowie świadczenia usług użytkownikom przez określony czas przy żądaniach pochodzących z wielu źródeł, w przeciwieństwie do DoS, który zwykle oznacza jedno źródło ataku.
Z czasem atak DDoS ulegał skrupulatnym filtrowaniom, a dostęp do wielu komputerów jednocześnie stał się utrudniony. Wymyślono więc różne metody ataków mające rozwiązać te problemy.
Metody ataków DDoS
Odmian ataków DDoS są setki jak nie tysiące. Część z dostępnych metod ataków DDoS możecie sprawdzić w repozytorium MHDDoS. Aby zobrazować każdą z odmian ataku po kolei, trzeba by było poświęcić na nie kilka książek. W związku z tym w naszym artykule przyjrzymy się tylko części z nich.
DRDoS
DRDOS polega na wysłaniu fałszywych żądań imitujących cel (ofiarę) do tysięcy komputerów i sprawia, że odpowiedzi trafiają na maszynę ofiary. Wykorzystywane są do tego spoofingi (podszywanie się) adresów IP. Adres źródłowy ustawiany jest na adres docelowej ofiary. O podobnej metodzie wspomnieliśmy w artykule dotyczącym ataku SYN flood.
Hit-and-run DoS
Innym ciekawym przypadkiem jest atak Hit-and-run DoS. Polega on na cyklicznym atakowaniu ofiary pod sporym natężeniem. Ataki tego typu mogą trwać nawet kilka dni.
Slowloris
Jako kolejny przykład może posłużyć atak Slowloris. Polega on na utrzymywaniu z atakowanym serwerem jak największej liczby otwartych połączeń przez jak najdłuższy czas. Bardziej szczegółowo, atak slowloris polega na przesyłaniu żądania HTTP, a następnie (co jakiś czas) wysyłaniu nagłówków, aby utrzymać otwarte połączenia. Połączenia nigdy nie są zamykane, co docelowo skutkuje wyczerpaniem puli wątków serwera i odrzucaniem przez niego żądań od faktycznych klientów.
Ping of Death (PoD)
Ostatnim omawianym przykładem jest atak Ping of Death. Najczęściej przesyłane pakiety ping mają rozmiar 56 bajtów lub 64 bajtów. Każdy pakiet IPv4 może mieć rozmiar równy maksymalnie 65 535 bajtów. Część z systemów nie została zaprojektowana w prawidłowy sposób i nie przewidziały obsługi pakietów ping większych niż rozmiar 65 535 bajtów. Kiedy przesyłamy pakiety, w warstwie łącza danych najczęściej są nałożone ograniczenia w postaci maksymalnej wielkości odbieranych pakietów. Przez to, jeśli pakiet docelowy jest większy niż ten o maksymalnej wielkości, jest on dzielony na mniejsze części, a host będący odbiorcą po odebraniu wszystkich części składa je w kompletny pakiet.
W ataku Ping of Death przesyłamy do serwera wielokrotnie pakiety o większym rozmiarze niż 65 535 bajtów, które są następnie składane w całość na hoście co prowadzić może do przepełnienia bufora. Dobrze przeprowadzony atak może prowadzić do RCE (Remote Code Execution).
Źródła
https://www.ijiss.org/ijiss/index.php/ijiss/article/download/949/pdf_100
https://security.stackexchange.com/questions/46344/how-is-ddos-different-from-drdos
https://www.imperva.com/learn/ddos/ddos-attacks/