Tecnologie Web: Possibile il governo impedire un attacco DDoS?
Gli attacchi DDoS sono parte integrante del mondo del Web. Non sarà mai completamente immune, ma sono disponibili procedure che consentono di ridurre eventuali rischi.
Verrà Hogan
Su Dec. 8, 2010, un gruppo di hacker avviati Distributed Denial of Service (DDoS) attacchi contro i server Web di PayPal e Visa. Si è verificato un altro evento all'incirca nello stesso momento, durante il quale gli hacker visite al sito Web ufficiale del governo svedese. Questi attacchi sono state in gran parte correttamente. Tutti i servizi offerti da questi siti sono stati seriamente disturbato il funzionamento.
Se società importanti quali Visa che operano a livello globale non può impedire gli attacchi, i governi e agenzie governative Arresta tali attacchi sui server Web? La semplice risposta è "no", o, ad esempio, "probabilmente non".
Per comprendere perché sono così difficili difendersi da questi tipi di attacchi, valutare con precisione cosa un DDoS attacco è e cosa si differenzia da un Denial of Service (DoS) attacchi. È possibile considerare la procedura che è necessario eseguire per preparare e proteggere l'infrastruttura contro gli attacchi descritti.
Enorme quantità di connessioni
Una condivisione di computer limitazione è un numero massimo di connessioni simultanee. In qualsiasi momento, può essere non più di 65535 connessioni effettuate su un server o un PC basato su Windows. Si tratta di una limitazione interessante e uno che assume particolare importanza, poiché fornisce la base per un attacco DoS standard.
Se un pirata informatico o un gruppo di hacker, può sostenere 65535 sessioni simultanee a un server, questi verranno negano in modo efficace tale servizio per tutti gli altri. Altri utenti potranno connettersi fino a quando alcuni di tali connessioni vengono interrotte. Una volta che un server Web raggiunge tale soglia, è non possibile sostenere ulteriori connessioni, pertanto la condizione di denial of service.
In generale, esistono due tipi di attacchi DoS. Alcuni sono destinati all'arresto anomalo del sistema (ad esempio, il "ping of death"). Altri sono destinati a coprire il sistema con le richieste di risorse (larghezza di banda, tempo del processore, lo spazio su disco e così via). Entrambi sono potenzialmente devastante nel proprio modo.
È possibile configurare i router di non rispondere alle richieste ping o trasmissioni e inoltra i pacchetti diretti a indirizzi broadcast. Accessori filtro IP moderni sono ora smart per ridurre questi rischi con l'eliminazione di qualsiasi dimensioni superiori a una determinata quantità di ping. Possono anche essere impostati per consentire un numero limitato di connessioni simultanee da qualsiasi indirizzo IP singolo.
Limitando la quantità di connessioni simultanee è efficacia contro attacchi di tipo DoS, se il limite è impostato su basso, ovvero un nome simile a cinque o sei connessioni, ad esempio. Per generare risorse sufficienti richieste avrebbe indicato che non vi deve essere un numero molto elevato di utenti malintenzionati coinvolti, più che potrebbero essere organizzate in un unico gruppo. Di conseguenza, gli hacker DoS hanno dovuto trovare un'alternativa.
Gli attacchi DDoS agli hacker di aggirare questa limitazione. In un attacco DDoS, l'hacker non sono inviando l'attacco DoS dal proprio PC. Utilizzare invece una rete di PC su cui sono state gestite posizionare un agente di zombie"." Questo permette loro di utilizzare tali PC per attivare l'attacco DDoS (noto come una botnet). Un hacker potrebbe essere nel controllo di diverse migliaia "agenti di zombie" ogni recupero di cinque o sei connessioni a un server Web senza che il proprietario del PC anche sia consapevole che è in corso.
Un piccolo gruppo di utenti malintenzionati, che agiscono di concerto, potrebbe facilmente negare l'accesso a qualsiasi utente autorizzato o un intero sistema di arresto anomalo del sistema. Tecnologia di filtro IP corrente non è possibile evitare questo tipo di attacchi, così esiste possiamo fare qualcosa?
Le operazioni di attenuazione (insieme ai motivi per cui probabilmente non funzionano):
- Legislate per garantire che tutte le applicazioni e sistemi operativi PC sono completamente protette da tutti i malware infiltrazione. Si tratta di un'idea interessante, ma un po' poco pratica. Anche se è Impossibile eseguire questa operazione, è Impossibile arrestare il complesso che apre la posta elettronica non richiesto, fa doppio clic sull'allegato e lo installa inavvertitamente un cavallo di Troia.
- Installare l'applicazione di servizio Web su un numero elevato di server indipendenti in base in diverse parti del mondo. Ciascuno di essi potrebbe comunque essere attaccato, ma le possibilità di tali tutti perdendo la connessione è sottile.
- Installare l'applicazione di servizio Web su un numero elevato di server indipendenti in un'unica posizione. Front-end con una matrice di bilanciamento carico di apparecchiature. Questa operazione può essere difficile e dispendioso, è essenziale, ma se il servizio si fornisce, quindi la quantità è vale per l'organizzazione di hosting per ciò che non sia oggetto di un attacco?
Si verificano gli attacchi DDoS. Anche i governi non è immuni. Nell'estate del 2010, il server irlandese ufficio centrale di applicazioni è stato raggiunto da un attacco DDoS. Nel 2009, durante le elezioni Riyal, il sito Web ufficiale del governo Riyal è stato aggredito e reso inaccessibile. Nel 2001, il server di reparto delle finanze del governo irlandese è stato raggiunto da un attacco DDoS.
Non esiste un metodo infallibile per impedire un attacco DDoS allo stato attuale. Tuttavia, per i servizi Web missioni-critici, è necessario eseguire un'operazione, e quando ci si trova sulle mani in attesa di un attacco non è un'opzione. È necessario decidere la strategia migliore per proteggere l'organizzazione.
.jpg)
Will Hogan è l'amministratore delegato di Idappcom Ltd., gli sviluppatori di traffico IQ Professional.