Zrozumienie ataków DDoS: przewodnik dla administratorów WordPress

Opublikowany: 2019-10-10

Rozproszona odmowa usługi (DDoS) to rodzaj ataku typu odmowa usługi (DoS), w którym atak pochodzi z wielu hostów, a nie z jednego, co bardzo utrudnia ich zablokowanie. Jak w przypadku każdego ataku DoS, celem jest uczynienie celu niedostępnym przez przeciążenie go w jakiś sposób.

Ogólnie rzecz biorąc, atak DDoS obejmuje szereg komputerów lub botów. Podczas ataku każdy komputer złośliwie wysyła żądania przeciążenia celu. Typowymi celami są serwery i witryny internetowe, w tym witryny WordPress. W rezultacie użytkownicy nie mają dostępu do strony internetowej lub usługi. Dzieje się tak, ponieważ serwer jest zmuszony używać swoich zasobów wyłącznie do obsługi tych żądań.

Ważne jest, aby administratorzy WordPressa zrozumieli i byli przygotowani na ataki DDoS. Mogą wystąpić w dowolnym momencie. W tym artykule szczegółowo omówimy DDoS i przedstawimy kilka wskazówek, które pomogą chronić Twoją witrynę WordPress.

DDoS to atak mający na celu zakłócenia, a nie włamanie

Ważne jest, aby zrozumieć, że atak DDoS nie jest złośliwym włamaniem do WordPressa w tradycyjnym tego słowa znaczeniu. Hakowanie oznacza, że ​​nieautoryzowany użytkownik uzyskuje dostęp do serwera lub strony internetowej, którego nie powinien mieć.

Przykładem tradycyjnego włamania jest wykorzystanie przez atakującego luki w kodzie lub użycie sniffera pakietów do kradzieży haseł WordPress. Gdy haker zdobędzie dane uwierzytelniające, może ukraść dane lub kontrolować witrynę.

DDoS służy innym celom i nie wymaga dostępu uprzywilejowanego. DDoS ma po prostu na celu zakłócenie normalnego działania celu. W przypadku tradycyjnych hacków atakujący może chcieć pozostać niezauważony przez jakiś czas. Dzięki DDoS, jeśli atakującemu się powiedzie, będziesz o tym wiedział niemal natychmiast.

Różne rodzaje ataków typu Distributed Denial of Service

DDoS to nie tylko jeden typ ataku. Istnieje kilka różnych wariantów i wszystkie działają pod maską trochę inaczej. W kategorii DDoS istnieje kilka podkategorii, do których można zaklasyfikować ataki. Poniżej wymieniono najczęstsze z nich.

Ataki wolumetryczne DDoS

Ataki wolumetryczne DDoS są technicznie proste: atakujący zalewają cel żądaniami przeciążenia przepustowości. Ataki te nie są skierowane bezpośrednio do WordPressa. Zamiast tego celują w podstawowy system operacyjny i serwer sieciowy. Niemniej jednak te ataki są bardzo istotne dla witryn WordPress. Jeśli atakujący odniosą sukces, Twoja witryna WordPress nie będzie wyświetlać stron legalnym odwiedzającym w czasie trwania ataku.

Konkretne ataki DDoS należące do tej kategorii obejmują:

  • Wzmocnienie NTP
  • powodzie UDP

Ataki DDoS w warstwie aplikacji

Ataki DDoS w warstwie aplikacji koncentrują się na warstwie 7, warstwie aplikacji. Oznacza to, że koncentrują się na serwerze internetowym Apache lub NGINX oraz witrynie WordPress. Ataki w warstwie 7 są bardziej opłacalne , jeśli chodzi o szkody wyrządzone w stosunku do zużytej przepustowości.

Aby zrozumieć, dlaczego tak się dzieje, przejrzyjmy przykład ataku DDoS na WordPress REST API. Atak rozpoczyna się żądaniem HTTP, takim jak HTTP GET lub HTTP POST z jednej z maszyn hosta. To żądanie HTTP wykorzystuje stosunkowo niewielką ilość zasobów na hoście. Jednak na serwerze docelowym może wywołać kilka operacji. Na przykład serwer musi sprawdzić poświadczenia, odczytać z bazy danych i zwrócić stronę internetową.

W tym przypadku mamy dużą rozbieżność między przepustowością, z której korzystał atakujący, a zasobami zużytymi przez serwer. Ta rozbieżność jest zwykle wykorzystywana podczas ataku. Konkretne ataki DDoS należące do tej kategorii obejmują:

  • Powodzi HTTP
  • Powolne ataki post

Ataki DDoS oparte na protokole

Ataki DDoS oparte na protokołach przebiegają zgodnie z tym samym modelem zasobów wyczerpania, co inne ataki DDoS. Jednak na ogół koncentrują się one na warstwie sieciowej i transportowej, a nie na usłudze lub aplikacji.

Ataki te próbują odmówić usługi, atakując urządzenia, takie jak zapory lub bazowy stos TCP\IP działający na serwerze. Wykorzystują luki w sposobie, w jaki stos sieciowy serwera obsługuje pakiety sieciowe lub jak działa komunikacja TCP. Przykłady ataków DDoS opartych na protokołach obejmują:

  • Syn powodzi
  • Ping śmierci

Wielowektorowe ataki DDoS

Jak można się spodziewać, napastnicy nie ograniczają się tylko do jednego rodzaju ataku. Coraz częściej ataki DDoS przyjmują podejście wielowektorowe. Wielowektorowe ataki DDoS są dokładnie tym, czego można się spodziewać: ataki DDoS, które wykorzystują wiele technik do wyłączenia celu z trybu offline.

Zrozumienie odbicia i wzmocnienia w DDoS

Dwa terminy, które często pojawiają się w przypadku ataków DDoS, to odbicie i wzmocnienie. Obie te techniki są wykorzystywane przez atakujących w celu zwiększenia skuteczności ataków DDoS.

Odbicie to technika polegająca na tym, że osoba atakująca wysyła żądanie ze sfałszowanym adresem IP do serwera innej firmy. Sfałszowany adres IP to adres celu. Podczas tego typu ataków osoby atakujące zazwyczaj korzystają z różnych protokołów UDP. Oto jak to działa:

  1. Atakujący wysyła żądanie UDP ze sfałszowanym adresem IP, powiedzmy IP witryny WordPress, do dużej liczby serwerów zwanych reflektorami.
  2. Reflektory otrzymują żądanie i odpowiadają na adres IP Twojej witryny WordPress w tym samym czasie.
  3. Odpowiedzi reflektorów zalewają witrynę WordPress, potencjalnie przeciążając ją i czyniąc niedostępną.

Wzmocnienie działa podobnie do odbicia. Chociaż wymaga mniejszej przepustowości i zasobów, ponieważ żądania wysyłane do reflektorów są znacznie mniejsze niż odpowiedzi wysyłane przez reflektory do celu. Działa podobnie do tego, co widzieliśmy w przypadku ataków typu Distributed Denial of Service w warstwie aplikacji.

Rola botnetów w atakach DDoS

Czy zastanawiałeś się kiedyś, skąd atakujący czerpią środki do koordynowania ataków?

Odpowiedzią są botnety. Botnet to sieć lub urządzenia, które zostały zaatakowane przez złośliwe oprogramowanie. Może to być komputer, serwer, sieć lub urządzenie inteligentne. Złośliwe oprogramowanie umożliwia atakującym zdalne kontrolowanie każdego zaatakowanego hosta z osobna.

W przypadku użycia do ataków DDoS botnety przeprowadzają skoordynowany atak typu Denial of Service przeciwko danemu hostowi docelowemu lub grupie hostów. W skrócie: botnety umożliwiają atakującym wykorzystanie zasobów zainfekowanych komputerów w celu przeprowadzenia ataków. Tak było na przykład w przypadku, gdy ponad 20 000 witryn WordPress zostało wykorzystanych do przeprowadzenia ataków DDoS na inne witryny WordPress w 2018 roku (czytaj więcej).

Motywacja ataków typu Distributed Denial of Service

„Dlaczego ludzie przeprowadzają ataki DDoS?” to dobre pytanie, które warto zadać w tym momencie. Sprawdziliśmy, dlaczego złośliwy haker atakował Twoją witrynę WordPress w przeszłości, ale tylko jeden z tych punktów naprawdę odnosi się do DDoS: haktywizm. Jeśli ktoś nie zgadza się z Twoim punktem widzenia, może chcieć uciszyć Twój głos. DDoS zapewnia do tego środki.

Patrząc w przeszłość na haktywisy, cyberwojny na poziomie stanowym lub ataki przemysłowe o motywach komercyjnych również są potencjalnymi czynnikami DDoS. Często zdarzają się też złośliwi napastnicy, bawiące się nastolatki i wykorzystujące DDoS do wywołania chaosu.

Oczywiście jednym z największych motywatorów są pieniądze. Atakujący mogą zażądać okupu, aby przestać atakować Twoją witrynę WordPress. Możliwe, że czerpią korzyści komercyjne, jeśli Twoja witryna nie działa. Idąc o krok dalej, pojawiły się DDoS dla usług wynajmu!

Rzeczywiste przykłady rozproszonej odmowy usługi

Jak poważne mogą być ataki typu Distributed Denial of Service? Przyjrzyjmy się kilku słynnym atakom DDoS z ostatnich kilku lat.

GitHub (dwa razy!): GitHub doznał masowego ataku Denial of Service w 1015. Wydawało się, że ataki były wymierzone w dwa projekty antycenzury na platformie. Ataki wpłynęły na wydajność i dostępność usługi GitHub przez kilka dni.

Następnie w 2018 r. GitHub ponownie stał się celem ataku DDoS. Tym razem atakujący wykorzystali atak oparty na memcachingu. Wykorzystali metody wzmocnienia i odbicia. Pomimo rozmiaru ataku atakujący wyłączyli GitHuba tylko na około 10 minut.

Naród Estonii: W kwietniu 2007 r. miał miejsce pierwszy znany cyberatak na cały naród. Krótko po tym, jak estoński rząd podjął decyzję o przeniesieniu pomnika Brązowego Żołnierza z centrum Tallina na cmentarz wojskowy, doszło do zamieszek i grabieży. W tym samym czasie osoby atakujące przeprowadziły szereg ataków typu Distributed Denial of Service, które trwały tygodnie. Wpłynęły na bankowość internetową, media i usługi rządowe w kraju.

Dyn DNS: 21 października 2016 r. Dyn doznał ataku DDoS na dużą skalę. Z powodu ataku usługi Dyn DNS nie mogły rozwiązywać zapytań użytkowników. W rezultacie tysiące witryn o dużym natężeniu ruchu, w tym Airbnb, Amazon.com, CNN, Twitter, HBO i VISA, były niedostępne. Atak był koordynowany przez dużą liczbę urządzeń IoT, w tym kamery internetowe i elektroniczne nianie.

Porady WordPress dotyczące ochrony przed atakami DDoS

Jako indywidualny administrator WordPress nie masz zasobów i infrastruktury, aby odeprzeć atak DDoS. Chociaż wiele hostów internetowych WordPress oferuje pewien rodzaj łagodzenia ataków DDoS. Zapytaj o to przy wyborze dostawcy hostingu dla swojej witryny WordPress. Możesz także użyć zapory WordPress/aplikacji internetowej (WAF) i sieci dostarczania treści (CDN) . Połączyliśmy WAF i CDN w jeden wpis, ponieważ istnieją dostawcy, tacy jak Sucuri, którzy zapewniają je w jednym rozwiązaniu.

Kiedy korzystasz z WAF lub CDN, ruch jest najpierw kierowany i filtrowany przez usługę, zanim trafi na Twoją witrynę. Taka konfiguracja może odeprzeć wiele ataków na przełęczy, jednocześnie ograniczając obrażenia innych. Niektóre sieci CDN oferują korzyści, które umożliwiają wykrywanie i reagowanie na ataki DDoS. Ponieważ mogą korzystać z ekonomii skali w chmurze, sieci CDN i WAF online mogą odciążać ataki. Przekierowują ich do sieci o dużej przepustowości i odpowiednich narzędzi do ich obsługi.

Odstraszanie hakerów i ataków DDoS

Jednak, jak widać w przypadku botnetu BruteForce WordPress, istnieje kilka najlepszych praktyk w zakresie bezpieczeństwa, które można wdrożyć w witrynie WordPress, aby nie przyciągać uwagi atakujących i prawdopodobnie ataków DDoS:

  • Aktualizuj swoją witrynę WordPress: aktualizowanie rdzenia WordPress, wtyczek, motywów i całego innego oprogramowania, z którego korzystasz, zmniejsza ryzyko wykorzystania przeciwko Tobie znanej luki w zabezpieczeniach. Aktualizowanie witryny zmniejsza również szanse, że stanie się ona częścią botnetu.
  • Użyj skanera, aby sprawdzić luki: niektóre ataki DoS wykorzystują problemy, takie jak Slowloris. Te i inne luki w zabezpieczeniach mogą zostać wykryte przez skanery luk w zabezpieczeniach. Dlatego często skanując witrynę i serwer sieciowy, identyfikujesz luki w zabezpieczeniach, które mogą wykorzystać ataki DDoS. Istnieje wiele różnych skanerów, z których możesz korzystać. Używamy nieinwazyjnego skanera bezpieczeństwa WPScan dla administratorów WordPress.
  • Przejrzyj dzienniki, aby poprawić bezpieczeństwo i zidentyfikować problemy: Dzienniki kontrolne WordPress i inne dzienniki mogą pomóc na wczesnym etapie zidentyfikować złośliwe zachowanie. Za pomocą dzienników można zidentyfikować problemy, które mogą być spowodowane atakami DDoS, takie jak określone kody błędów HTTP. Dzienniki umożliwiają również drążenie i analizę źródła ataku. Istnieje kilka plików dziennika, których administratorzy WordPress mogą używać do lepszego zarządzania i zabezpieczania swojej witryny.
  • Wzmocnij uwierzytelnianie użytkownika: może to być ostatnia najlepsza praktyka, ale jest tak samo ważna jak wszystkie inne. Zaimplementuj silne zasady haseł WordPress, aby upewnić się, że użytkownicy Twojej witryny używają silnych haseł. Ponadto zainstaluj wtyczkę do uwierzytelniania dwuskładnikowego i zaimplementuj zasady, aby uwierzytelnianie dwuskładnikowe było obowiązkowe.