oorsprong van Denial of Service-bedreigingen
bij conventionele denial of service-aanvallen stuurt de hacker meerdere verzoeken naar de doelmachine of-dienst met fictieve IP-adressen (return Internet Protocol). Wanneer de server probeert deze adressen te verifiëren, stuit hij op een golf van antwoorden met foutcodes, waardoor een terugkerende keten van SMTP-verkeer ontstaat die de server snel kan verzadigen., Evenzo, met een Smurf aanval, de hacker zou pakketten uitzenden naar meerdere hosts met een vervalste IP-adres die behoren tot die doelmachines. Wanneer de ontvangende hostmachines reageren, overspoelen ze zichzelf effectief met pakketverkeer dat reageert.
in een SYN flood maakt een aanvaller gebruik van het TCP 3-Weg Handshake proces (SYN, SYN-ACK, ACK) om een service offline te zetten. In de 3-Weg Handshake, server A zou een TCP synchroniseren verzoek bericht naar server B. Na ontvangst van het verzoek, host B (de doelmachine) stuurt een synchroniseren-bevestiging pakket terug naar server A., Het is op dit punt dat de denial of service aanval plaatsvindt. In een legitieme uitwisseling om een TCP socket-verbinding tot stand te brengen, zou de volgende stap voor host A om een bevestiging bericht terug te sturen naar host B, maar wanneer de hacker controleren host A voorkomt dat dit gebeurt, de handshake kan niet worden voltooid. Het resultaat is dat host B een verbonden poort heeft die niet beschikbaar is voor extra verzoeken. Wanneer de aanvaller herhaalde verzoeken van deze aard verstuurt, kunnen alle beschikbare poorten op host B snel ophangen en niet meer beschikbaar zijn.,
evoluerende Denial of Service bedreigingen
SYN overstromingen, bananenaanvallen en andere soorten conventionele DoS hacks zijn nog steeds in gebruik – en natuurlijk blijven botnet-aangedreven DDoS-aanvallen een constante bedreiging. Maar kwaadaardige hackers hebben in de afgelopen jaren verbreed het aantal machines en diensten die ze richten, en uitgebreid de dreiging oppervlak aanzienlijk. In toenemende mate, organisaties worden steeds gericht voor lagere intensiteit “degradatie van de dienst” aanvallen die dure service vertragingen veroorzaken zonder het nemen van middelen volledig offline., Deze methode van aanval is gegroeid steeds vaker als meer en meer organisaties zijn gekomen om te vertrouwen op Amazon Web Services (AWS) en soortgelijke cloud-aanbod aan de macht van hun webactiviteiten.
wanneer een grote detailhandelaar, financiële dienstverlener, consumentenmerk of soortgelijke commerciële onderneming hun website host op AWS, Microsoft Azure of een andere cloudexploitant, wordt de regeling geregeld door een overeenkomst inzake het niveau van dienstverlening., In feite, de cloud operator, voor een bepaalde prijs, belooft beschikbaar te maken van de verwerkingsbronnen, bandbreedte, en ondersteuning infrastructuur die nodig zijn voor die website om X hoeveelheden webverkeer te ondersteunen, waarbij X zou worden gemeten als gigabytes aan gegevens, aantal retail transacties, uren van uptime en gerelateerde statistieken. Als de verkeersbelasting de overeengekomen niveaus overschrijdt, wat positief zou zijn als het verkeer legitiem is, zou de eigenaar van de website tegen een hoger tarief in rekening worden gebracht., Dit proces is vaak volledig geautomatiseerd, zoals bij Amazon CloudWatch, die automatische schaling functies heeft om dynamisch te verhogen of te verlagen verwerkingsbronnen als dat nodig is.
kostbaar denigreren van Service
zoals men zich zou kunnen voorstellen, kunnen slechte actoren zichzelf in deze relaties injecteren door illegaal verkeer naar een doelwebsite te leiden, en gemakkelijk de kosten van het zakendoen voor een doelorganisatie verhogen. Pulserende “zombie” servers die intermitterende verkeer uitbarstingen worden vaak gebruikt in dit soort aanval., Aangezien het verkeer ladingen in kwestie zijn occasioneel en niet duidelijk van een kwaadaardige bron, ze lijken heel veel op legitieme verkeer, wat betekent dat het uiterst moeilijk kan zijn voor cyber security personeel om te ontdekken en te stoppen.
een andere toolset die wordt gebruikt in dit type denial of service of degradation-of-service incident zijn zogenaamde “stresser” – applicaties die oorspronkelijk waren ontworpen om website-eigenaren te helpen zwakke punten in hun webinfrastructuur te identificeren., Deze apps, waaronder WebHive, zijn eenvoudig te verkrijgen en te gebruiken en kunnen op meerdere cloudinstances worden geïnstalleerd om formidabele DDoS-mogelijkheden op te bouwen. Gecoördineerd op deze manier, deze aanval tools kunnen grote commerciële websites offline voor langere periodes.
Key Denial of Service Takeaways
Denial of service aanvallen zijn in de loop der jaren verschoven en veranderd, maar de schade blijft toenemen., Een Ponemon Instituut onderzoek van grote ondernemingen in een reeks van industriesectoren bleek dat het typische bedrijf lijdt vier denial-of-service incidenten per jaar, en dat de gemiddelde totale kosten per jaar om te gaan met DoS is ongeveer $1,5 miljoen. Het opzetten van een beveiligingsarchitectuur waarmee u DoS-aanvallen kunt detecteren, voorkomen en reageren, is een cruciale stap in elk effectief cyber security-programma.