Zerbitzua etetzeko erasoak: DOS, DDOS eta DrDOS

Bezero zerbitzari arkitektura, zerbitzari multzo batek ehundaka edo milaka bezeroen eskaerak kudeatu eta emaitzekin erantzutean datza. Bezero guzti horien eskaerak independenteki kudeatu behar ditu zerbitzariak eta horregatik, bere sistema eragilea, softwarea eta hardwareak bereziki prestatuak egon behar dira fluxu horri aurre egiteko.

Zerbitzari batek eskaeren fluxuari aurre egin ezin dienean esaten da zerbitzuaren etena izan dela. Eraso honi DOS(Deny of service) erasoa deitzen zaio. Erasotzaileak eskaera ugari ixurtzen ditu konputazio sarean zerbitzari helburuaren banda zabalera bete eta zerbitzariaren erantzun ezina sortarazteko. Zerbitzari askok aldiz eskalatze sistemak dituzte montatuta non eskaera kantitate haundiaren aurrean, horizontalki eskala daitezen eta proxy baten bitartez karga nodo guztien artean banatu.

Eraso hauen artean hurrengo hauek ezberdindu daitezke: ICMP Flood, UDP Flood, Ping of death, HTTP Flood, SYN Flood

DDOS eta DrDOS, lehen honetan oinarritzen dira baina egitura konplexuagoak erabiltzen dituzte ekintzak burutzeko. Hurrengo puntuetan azken bi hauek definituko dira.

DDOS

DDOS (Distributed Deny of Service) edo zerbitzua eteteko eraso banatua,  DOS erasoan oinarritzen den erasoa da baina sortutako eskaera fluxua ez da puntu bakar batetik sortzen, konputazio sareko hainbat puntu ezberdinetatik batera baizik.

Honek detektatu eta zein iturburutik datorren jakitea zailtzen du, baita defentsak antolatzeko ere.

Goiko irudian ikusten den bezala, erasotzaileak konputazio sareko (internet normalean) hainbat makina konprometitu erabiltzen ditu helburuko zerbitzariari segunduko milaka eskaera egiteko. Horrela zerbitzariaren konputazio maila asetu egiten da eta ezinagatik zerbitzariak, legezko erabiltzaileen eskaerak baztertu egiten ditu.

Eraso honen adibide esanguratsuenatako bat 2016ko Urrian gertatu zen. Amazon, Airbnb, Netflix, Spotify eta beste hainbat interneteko zerbitzuen domeinu izenak kudeatzen zituen Dyn DNS zerbitzariak jaso zuena. Bere zerbitzariak erantzun ezin geratu ziren eta horrela Netflix, Spotify eta horrelakoen legezko erabiltzaileek zerbitzu hauek atzitu ezinik geratu ziren. Horretarako erasotzaileek interneten zabalik dauden eta segurtasun mantenurik gabeko IoT(Internet of Things) gailuak erabili zituzten: routerrak, grabagailuak, etxeko tresnak… Gailu guzti hauen segurtasun zuloak erabiliz, erasotzaileek beraien kodea sartzea lortu zuten gailu hauen jabe bihurtzeko eta gailuen jabeak ohartu gabe erasoak egiteko.

DrDOS

DrDOS (Distributed Reflection Denial of Service) edo isladaz zerbitzua eteteko eraso banatua, erasotzaile bakar batekin eta ahulak diren zerbitzariak erabiliz, biktimak eskatu ez dituen erantzunak bidaltzean datza. Erantzun hauek biktimaren makina ahitzen dute horrela bere zerbitzua eteaz.

Erasotzaileek portu eskaneatzaileak erabiliz tarteko zerbitzarien portu ahulak identifikatzen dituzte eta horiek erabiliz biktimako zerbitzaria erasotzen dute. Teknika hau gainera oso erabilia da P2P motako sareetan beste erabiltzaileak ezagutzeko erreztasuna dela eta.

Hau dena kontuan izanik, interneteko zerbitzuak eskeintzen dituen zerbitzari bat baldin baduzu, ahalik eta informazio gutxien zabal ezazu, behar ez diren portuak itxiaz, firewallak erabiliaz, softwarea eguneratua mantenduaz eta iturburu batetik datozen segunduko eskaerak kontrolatuaz.

Besterik gabe,

Ondo izan.

Web orri honek cookiek erabiltzen ditu erabiltzailearen nabigazioa errazteko