MTE forklarer: Hvordan DDoS Beskyttelse virker
Gennem årene har distribueret tjenestenekt (DDoS) været en meget pålidelig måde at sikre, at en hostet tjeneste (som et websted eller en tjeneste som PlayStation Network) ikke ser dagens lys mindst et stykke tid.
Kraften til disse angreb gør folk nysgerrige efter mekanismerne bag dem. Derfor har vi taget sig tid til at forklare, hvordan de virker, og endda gik så vidt som grundigt at demonstrere, hvor enorme nogle af disse angreb kan få, til det punkt at en af dem kan endda udtage hele sektorer på internettet for millioner af mennesker. Der er imidlertid en ringe mængde offentlig diskussion om, hvordan modforanstaltningen (f.eks. DDoS-beskyttelse) virker.
Problemet med at diskutere DDoS Protection
Internettet er et massivt udvalg af netværk forbundet på tværs af et kæmpe, rodet tomrum. Der er billioner af små pakker, der rejser næsten lysets hastighed overalt i verden. For at forstå deres desorienterende og mystiske indre værker er internettet opdelt i grupper. Disse grupper er ofte opdelt i undergrupper, og så videre.
Dette gør faktisk diskussionen om DDoS-beskyttelse lidt kompliceret. Den måde, som en hjemmecomputer beskytter sig mod fra DDoS, er både ligner og lidt forskellig fra, hvordan et multimillionsdags firmaets datacenter gør det. Og vi har ikke engang nået internetudbydere (ISP'er) endnu. Der er lige så mange måder at klassificere DDoS-beskyttelse på, da der er at klassificere de forskellige forskellige stykker, der udgør internettet med sine milliarder af forbindelser, dets klynger, dets kontinentale udvekslinger og dets undernet.
Med alt det, der bliver sagt, lad os prøve en kirurgisk tilgang, der berører alle relevante og vigtige detaljer i sagen.
Princippet bag DDoS Protection
Hvis du læser dette uden et klart kendskab til hvordan DDoS virker, foreslår jeg at du læser forklaringen, jeg linkede til tidligere, ellers kan det blive lidt overvældende. Der er to ting, du kan gøre for en indgående pakke: Du kan enten ignorere den eller omdirigere den . Du kan ikke bare stoppe det fra at ankomme, fordi du ikke har kontrol over kilden til pakken. Det er her allerede, og din software ønsker at vide, hvad man skal gøre med det.
Dette er en universel sandhed, vi alle overholder, og det omfatter de internetudbydere, der forbinder os til internettet. Det er derfor, så mange angreb er vellykkede: da du ikke kan styre kildens adfærd, kan kilden sende dig nok pakker til at overvælde din forbindelse.
Hvordan Software og Routere (Home Systems) gør det
Hvis du kører en firewall på din computer, eller din router har en, sidder du som regel efter et grundlæggende princip: Hvis DDoS-trafikken kommer ind, indstiller softwaren en liste over IP'er, der kommer ind med ulovlig trafik.
Det gør det ved at bemærke, når noget sender dig en masse affaldsdata eller tilslutningsanmodninger ved en unaturlig frekvens, som mere end halvtreds gange pr. Sekund. Det blokerer så alle transaktioner, der kommer fra den pågældende kilde. Ved at blokere dem behøver din computer ikke bruge ekstra ressourcer til at tolke data indeholdt. Beskeden gør det bare ikke til sin destination. Hvis du blokeres af en computers firewall og forsøger at oprette forbindelse til den, får du en timeout for forbindelsen, fordi det, du sender, simpelthen ignoreres.
Dette er en fantastisk måde at beskytte mod DoS-angreb (single-IP denial of service), da angriberen vil se en timeout for forbindelsen hver gang de tjekker ind for at se, om deres håndværk gør noget fremskridt. Med en distribueret benægtelse af tjenesten virker dette, fordi alle de data, der kommer fra de angribende IP'er, bliver ignoreret.
Der er et problem med denne ordning.
I verden af internettet er der ikke noget som "passiv blokering." Du har brug for ressourcer, selv når du ignorerer en pakke, der kommer mod dig. Hvis du bruger software, stopper anfaldspunktet på din computer, men går stadig gennem din router som en kugle gennem papir. Det betyder, at din router arbejder utrætteligt for at lede alle de uægte pakker i din retning.
Hvis du bruger routerens firewall, stopper alt der. Men det betyder stadig, at din router scanner kilden til hver pakke og derefter gentager listen over blokerede IP'er for at se, om det skal ignoreres eller tilladt gennem.
Forestil dig nu, at din router skal gøre det, jeg netop nævnte millioner af gange per sekund. Din router har en begrænset mængde proceskraft. Når det når den grænse, vil det have problemer med at prioritere legitim trafik, uanset hvilke avancerede metoder den bruger.
Lad os lægge alt dette til side for at diskutere et andet problem. Hvis du antager, at du har en magisk router med en uendelig mængde processorkraft, giver din internetudbyder stadig dig en begrænset mængde båndbredde. Når den båndbredde er nået, vil du kæmpe for at udføre selv de enkleste opgaver på nettet.
Så den ultimative løsning til DDoS er at have en uendelig mængde proceskraft og en uendelig mængde båndbredde. Hvis nogen finder ud af, hvordan man opnår det, er vi gyldne!
Hvor store virksomheder håndterer deres belastninger
Skønheden i, hvordan virksomheder håndterer DDoS ligger i sin elegance: De anvender deres eksisterende infrastruktur for at imødegå eventuelle trusler, der kommer deres vej. Normalt gøres dette enten via en load balancer, et content distribution network (CDN) eller en kombination af begge. Mindre websteder og tjenester kan outsource dette til en tredjepart, hvis de ikke har hovedstaden til at opretholde et så stort udvalg af servere.
Med en CDN kopieres et websteds indhold til et stort netværk af servere fordelt på mange geografiske områder. Dette gør hjemmesiden hurtig, uanset hvor du er i verden, når du opretter forbindelse til den.
Load balancers supplerer dette ved at omfordele data og katalogisere det på forskellige servere, prioritere trafik ved den type server, der passer bedst til jobbet. Server med lavere båndbredde med store harddiske kan håndtere store mængder små filer. Servere med enorme båndbreddeforbindelser kan håndtere streaming af større filer. (Tænk "YouTube.")
Og her er hvordan det virker
Se hvor jeg går med dette? Hvis et angreb lander på en server, kan belastningsbalanceren holde styr på DDoS'en og lade den fortsætte med at ramme den server, mens omdirigering af al legitim trafik andetsteds på netværket. Ideen her er at bruge et decentralt netværk til din fordel, tildele ressourcer, hvor de er nødvendige, så hjemmesiden eller tjenesten kan fortsætte med at løbe, mens angrebet er rettet mod en "lokke". Temmelig smart, eh?
Fordi netværket er decentraliseret, får det en betydelig fordel over simple firewalls og uanset beskyttelse de fleste routere kan tilbyde. Problemet her er, at du har brug for en masse penge for at få din egen operation startet. Mens de vokser, kan virksomheder stole på større specialiserede udbydere for at give dem den beskyttelse, de har brug for.
Hvordan behemoths gør det
Vi har turneret små hjemnetværk og endda ventured ind i rige af megakorporationer. Det er på tide at træde ind i den sidste fase af denne quest: vi skal se på, hvordan de meget virksomheder, der giver dig en internetforbindelse, beskytter sig mod at falde i en mørk afgrund. Dette er ved at blive lidt kompliceret, men jeg vil forsøge at være så kortfattet som jeg kan uden en kvældningsfremkaldende afhandling på forskellige DDoS beskyttelsesmetoder.
Internetudbydere har deres egne unikke måder at håndtere trafikudsving på. De fleste DDoS-angreb er næppe registreret på deres radarer, da de har adgang til næsten ubegrænset båndbredde. Deres daglige trafik kl. 7-11 (dvs. "Internet Rush Hour") når niveauer, der langt overstiger båndbredden, du vil få fra en gennemsnitlig DDoS-strøm.
Selvfølgelig, da dette er internettet, vi taler om, er der (og ofte været) lejligheder, hvor trafikken bliver noget meget mere end et blip på radaren.
Disse angreb kommer ind i vindkraftsvind og forsøger at overvælde infrastrukturen hos mindre internetudbydere. Når din leverandør hæver sine øjenbryn, når den hurtigt til et arsenal af værktøjer til rådighed for at bekæmpe denne trussel. Husk, at disse fyre har enorme infrastrukturer til deres rådighed, så der er mange måder, der kan gå ned. Her er de mest almindelige:
- Fjernt udløst Black Hole - Det lyder meget som noget ud af en sci-fi-film, men RTBH er en ægte ting dokumenteret af Cisco. Der er mange måder at gøre dette på, men jeg vil give dig den "hurtige og beskidte" version: En internetudbyder vil kommunikere med netværket, angrebet kommer fra og fortælle det at blokere al udgående trafik, der er kastet i dens retning. Det er lettere at blokere trafik, der går ud end at blokere indgående pakker. Visst, alt fra den målrettede internetudbyder vises nu som om det er offline til de mennesker, der forbinder ind fra angrebskilden, men det bliver jobbet og kræver ikke meget besvær. Resten af verdens trafik forbliver upåvirket.
- Scrubbers - Nogle meget massive internetudbydere har datacentre fyldt med behandlingsudstyr, som kan analysere trafikmønstre for at afregne legitim trafik fra DDoS-trafik. Da det kræver meget computerkraft og en etableret infrastruktur, vil mindre internetudbydere ofte ty til at outsource dette job til et andet firma. Trafikken på den berørte sektor passerer gennem et filter, og de fleste DDoS-pakker blokeres, mens lovlig trafik tillades. Dette sikrer den normale drift af internetudbyderen på bekostning af massive mængder computerkraft.
- Nogle trafik voodoo - Ved hjælp af en metode, der kaldes "trafikdannelse", vil internetudbyderen bare ramme alt, hvad DDoS-angrebet bringer med det til sin IP-destination, mens alle andre knudepunkter udelades. Dette vil dybest set smide offeret under bussen for at gemme resten af netværket. Det er en meget grim løsning og ofte den sidste, som en internetudbyder vil bruge, hvis netværket er i en alvorlig krise, og det har brug for hurtig og afgørende handling for at sikre overlevelsen af det hele. Tænk på det som et "behov for de mange, der opvejer de få fås" behov.
Problemet med DDoS er, at dets effektivitet går hånd i hånd med fremskridt inden for computerens strøm og båndbredde tilgængelighed. For virkelig at bekæmpe denne trussel, skal vi bruge avancerede netværksmodificeringsmetoder, der langt overstiger kapaciteten hos den gennemsnitlige hjemmebruger. Det er nok en god ting, at husholdninger ikke ofte er direkte mål for DDoS!
Af den måde, hvis du vil se, hvor disse angreb sker i realtid, så tjek den digitale angrebskort.
Har du nogensinde været offer for disse slags angreb i dit hjem eller på din arbejdsplads? Fortæl os din historie i en kommentar!