Jak technologie postupuje rychlostí blesku, zlepšuje kvalitu života a věci, které můžeme dělat na internetu. Ale zároveň, stejně jako všechny ostatní časy v lidské paměti, je technologie hodně jako mince se dvěma tvářemi. Produktivní tvář a destruktivní tvář. Online útoky a škodlivé hackování jsou jedním z destruktivních aspektů webu, který v posledním desetiletí zaznamenal masivní nárůst využití. Metodika je také čím dál propracovanější. Jedním z nejčastěji používaných online útoků je distribuovaný útok odmítnutí služby, zkráceně známý jako DDoS. Samotný DDoS je vyvinutá a pokročilejší forma útoku DoS (denial of service). Zatímco mnoho různých metod online útoku, jako je notoricky známý trojský virus, bylo kdysi obáváno a nyní je zastaralé, způsob útoku na síť nebo server DDoS obstál ve zkoušce času a dodnes se s velkým úspěchem používá. Samozřejmě existují metody, jak s ní bojovat, a metody prevence, které je třeba vzít v úvahu. Ale co můžeme dělat, když je naše domácí síť napadena? V tomto článku se podívám na deset řešení a metod prevence DDoS ochrany pro domácí sítě. Než však předskočíme, uveďme si své definice na pravou míru.
Co je to DDoS útok?
Na rozdíl od populární představivosti je DDoS útok a ne hackerská operace. To znamená, že útočník, který stojí za útokem DDoS, se nesnaží získat kontrolu nad vaší sítí nebo serverem. Spíš to chtějí vyřadit z provozu a havarovat. I když existuje několik různých metod útoku DDoS, které spadají do tří obecných kategorií, celkové schéma pro všechny se víceméně řídí stejným vzorem. Při DDoS útoku útočník přetíží dotyčnou síť nebo server masivní vlnou nelegitimních síťových požadavků.
Naprostá rychlost a objem těchto falešných požadavků jsou tak vysoké, že přebírají šířku pásma vaší sítě nebo serveru a nutí je věnovat všechny své zdroje zpracování těchto požadavků. Server proto buď nebude reagovat na další úkoly a požadavky z důvodu nedostatku prostředků pro zpracování, nebo se jinak zhroutí a úplně shoří. Útočník obvykle spouští tyto útoky prostřednictvím řady zařízení, která byla napsána na spamové požadavky; tato zařízení jsou využívána jako součást sítě „botnet“. Vzhledem k tomu, že domácí sítě běží na přidělené šířce pásma z centrálního serveru, který patří vašemu poskytovateli internetových služeb, je jejich odstranění pomocí DDoS poněkud jednodušší ve srovnání se serverem, který provozujete sami. To vyžaduje ochranu routeru DDoS.
Tři typy DDoS útoků
Je důležité, abyste znali tři obecné kategorie, které DDoS útočník použije k poškození vaší domácí sítě. Tyto tři kategorie nejsou útočné metody samy o sobě, ale spíše jsou to útočná schémata, z nichž každá má v sobě několik různých metod DDoS útoku. Pojďme je rychle vyhodnotit.
Objemové útoky
Jak již název napovídá, útoky po objemové kategorii spoléhají na to, že útok úspěšně provede samotný objem. Z tohoto důvodu jsou také nejpoužívanějším typem DDoS útoku stát se. Postup je poměrně přímočarý. Útočník se jednoduše spolehne na množství a pošle co nejvíce nelegitimního provozu, aby zhroutil server. Hacker se zaměří na váš DNS. Pokud by první vlna požadavků a nechtěného provozu nestačila, mohli to jednoduše posílat znovu a znovu. Objemové útoky jsou běžné, protože je snadno provede téměř každý. Naštěstí to také znamená, že proces DDoS ochrany pro domácí sítě je proti této metodě jednodušší.
Protokolové útoky
Útoky založené na protokolu vyžadují trochu více úsilí, ale na oplátku jsou jejich účinky v domácí síti také mnohem ničivější. Útočník v této metodě potřebuje základní úroveň komunikace, která má být navázána mezi vaší a jejich sítí. Proto pošlou to, co je známé jako „TCP“ handshake. Přijetím tohoto handshake dojde k výměně sady počátečních dat, včetně adres IP a DNS. Hacker pak nedokončí požadavek na handshake. Namísto toho používají nově získaná data k tomu, aby za falešnými IP adresami zadávali požadavky TCP handshake s falešnými IP adresami. Tyto požadavky potřebují šířku pásma ke zpracování a dokonce k odmítnutí. Proto bude server přetížen a rozbit.
Aplikační vrstva
DDoS útoky na aplikační vrstvě jsou nejchytřejší metodou útoku, protože proti sobě použijí vlastní hostované zdroje aplikace nebo serveru. Název také naznačuje, že místo toho, aby se řídil základní infrastrukturou serveru, útok se místo toho odehrává na „aplikační vrstvě“ jakýchkoli dat hostovaných na serveru. Pokud se jedná o webovou stránku, bude hacker neustále žádat o načtení nelegitimní podsekce této webové stránky. Když k tomu dojde, webová stránka je musí informovat, že žádná taková podsekce s balíčkem odpovědí neexistuje. Útočník bude vyžadovat stránku, dokud nebude server zahlcen a nebude již moci reagovat na jeho požadavky nebo požadavky někoho jiného, nebudou legitimní nebo nelegitimní.
Nultý den a další metodologie útoku DDoS
Nyní má každá ze tří výše uvedených kategorií DDoS útoků také řadu útočných metod, které spadají pod jejich deštník. Nejběžnější způsoby útoku v kategorii útočících protokolů jsou TCP záplava a SYN záplava. U volumetrických útoků máme ICMP záplava, ping smrtia Záplava UDP. Konečně, s aplikační vrstvou, máme metoda slowloris. Všechny tyto metody jsou dobře zdokumentovány a existují způsoby, jak jim čelit jak v domácích sítích, tak na nezávislých serverech. Existuje ale také další kategorie DDoS útoků známá jako Útoky nultého dne. Jak název napovídá, tyto útoky jsou metody, které ještě nebyly objeveny a jejich existence vyjde najevo, až když jsou poprvé použity proti nové oběti. Plynulost konceptu DDoS útoků znamená, že existuje mnoho různých zero-day útoků využívajících nové a inovativní metody útoku. Útoky nultého dne jsou považovány za cenné, protože jejich protokol ještě nebyl objeven. Proto se předpokládá, že tyto metody jsou chráněny před použitím proti hlavním cílům. Všechny různé metody, které jsem dříve jmenoval, se také kdysi nazývaly útoky zero-day. Obecně jsou však tyto útoky to poslední, o co se musíte v souvislosti s ochranou vaší domácí sítě DDoS starat.
HTTP flood je také prominentním DDoS útokem. Chcete-li se chránit před vystavením, důrazně se doporučuje chránit svůj HTTP při procházení online v prohlížečích, jako je Chrome.
Motivace za DDoS útokem
Za každým DDoS útokem stojí různé motivace. Obecně však existuje vzorec, který je třeba dodržovat, pokud jde o základní příčiny těchto útoků. K větším útokům DDoS obvykle dochází ze dvou důvodů. První je vydírání. Když skupina hackerů úspěšně deaktivuje online dosah firmy, vážně omezuje její marketingovou a provozní kapacitu. Proto je pro oběť často jednodušší jednoduše zaplatit útočníkům za zrušení DDoS útoku. Dalším důvodem rozsáhlých DDoS útoků je poslat politický vzkaz nebo se zúčastnit společenského aktivismu.
Když však DDoS útok probíhá proti domácí síti, důvody mohou být trochu jiné. Když je DDoS zaměřena konkrétně na domácí síť, důvody jsou obvykle osobní. Pokud ne, pak jste se vy nebo váš ISP s největší pravděpodobností stali obětí vyděračského plánu. Je známo, že někteří hráči také používají DDoS proti jiným hráčům v multiplayerových relacích, aby vytvořili zpoždění pro soupeře a získali pro sebe výhodu. Celkově je šance, že budete osobně napadeni ve vaší domácí síti útokem DDoS, nízká, ale co dělat, když k tomu skutečně dojde? Zde je deset řešení pro ochranu vaší domácí sítě před DDoS.
10 metod ochrany DDoS v domácí síti
Než se dostaneme k vysvětlení každé z těchto metod, je důležité poznamenat, že žádné z těchto řešení není absolutní v obraně proti DDoS útoku proti vaší domácí síti; místo toho musí být používány ve vzájemném spojení, aby se zabránilo DDoS v domácí síti.
1. Prevence je král
Toto není ve skutečnosti technická metoda pro boj s DDoS útoky; místo toho jde spíše o způsob myšlení. DDoS útoky jsou nejběžnějším typem online škodlivé aktivity. Proto, jakkoli je nepravděpodobné, že by vaše domácí síť utrpěla útok DDoS, stále se důrazně doporučuje, abyste uzavřeli svůj vlastní výzkum a provedli všechna trestná, varovná a předběžná opatření, která můžete shromáždit. Žádná oběť úspěšného DDoS na to nebyla nikdy připravena. To jasně ukazuje, že některé z možností, které se chystáme prozkoumat dále v článku, je třeba nyní implementovat. Než útok skutečně přijde na vaši domácí síť.
2. Změňte zabezpečení IP
Vaše IP adresa je vaší online identitou a je primárním prostředkem k rozpoznání vás a vašich zařízení a sítě v online světě. Proto je to také primární cesta, ze které budou proti vám neustále zahajovány útoky v hypotetickém scénáři útoku. Doporučuje se, abyste se podíleli na rizikové online aktivitě, maskujte svou IP adresu. A co je ještě lepší, můžete použít vyvíjející se strategii IP adres tak, že váš ISP čas od času změní přidělenou IP adresu. Díky tomu bude mnohem těžší vás zaměřit.
3. Použijte VPN
Mnoho DDoS útočníků se obvykle zaměřuje na velký seznam IP adres, které shromažďují z veřejných domén. Vždy existuje šance, že vaše IP adresa bude také nalezena v jedné z těchto domén. Proto je v souladu se záležitostí zabezpečení IP, kterou jsem zmínil výše, dobrým řešením použití virtuální privátní sítě. Tato VPN nejen zcela zakryje a změní vaši skutečnou IP adresu, ale také zašifruje vaše data. To značně ztíží provedení úspěšného DDoS útoku proti vaší domácí síti. Takže tohle je další důvod proč používat VPN.
4. MACsec
IEEE 802.1AE, také známý jako MACsec, je síťový protokol, který v podstatě zajistí, že určité aspekty vašeho připojení, jako je Ethernet a VLAN, budou neprůstřelné vůči jakékoli drtivé síle DDoS. Nyní je konfigurace protokolu MACsec pro zajištění ochrany DDoS pro domácí síť poměrně obtížnou a komplikovanou metodou. Navzdory tomu zůstává jednou z nejúčinnějších metod v prevenci útoků typu man in the middle a DDoS. Pokud vaše domácí síť neustále trpí DDoS, implementace MACsec vás velmi ochrání.
5. Používejte software Anti-DDoS
To je zdaleka to nejpřímější, co může být. Anti-DDoS software je navržen speciálně tak, aby rozpoznával vzory, které jsou používány různými metodami DDoS útoků. Poté, co úspěšně určí, že příchozí provoz je škodlivý, jednoduše zablokuje komunikaci nebo jinak zcela přeruší spojení mezi škodlivým zařízením a vaší sítí zablokováním jejich IP adresy. Existuje mnoho důvěryhodných možností, pokud jde o anti-DDoS programy, např Správce událostí zabezpečení SolarWinds, který vás také ochrání před útoky používanými ke zneužívání protokolů vzdáleného přístupu, jako je SSH.
6. Udržujte svůj OS aktuální
Nemohu dostatečně zdůraznit, jak důležité je pro vás mít aktuální operační systém. A to se vztahuje na všechna zařízení, která jsou připojena k vaší domácí síti. Ať už se jedná o Linux, macOS nebo Windows na vašich počítačích, nebo pokud máte na svých telefonech Android nebo iOS, je nutné, abyste je všechny aktualizovali na nejnovější verzi. Zastaralé verze OS jsou jedním z nejvíce využívaných slabých míst v zabezpečení, které usnadňují všechny způsoby útoků proti vám tím, že umožňují hackerovi nejprve infiltrovat zastaralé zařízení před zahájením útoku na síť.
7. Vyhněte se stínovým portům
Mnoho z nás používá každý den jiný zábavní a komunikační software, který používá určité přenosové porty k přenosu dat mezi naším zařízením a jejich službami. Hlavními příklady jsou Steam, Netflix, Discord, Skype, Spotify, Xbox Live atd. I když existují oficiální porty, které jsou bezpečné, existují také alternativní porty, které lze použít k vyřešení některých chyb nebo přístupu k novému obsahu. Nicméně to prostě nestojí za zabezpečení vaší sítě a radím vám, abyste za žádných okolností nepoužívali tyto stinné porty a vždy zůstali u oficiálně uvedených portů pro každou službu. V opačném případě se pro útočníka stane navázání spojení pro útoky, jako je TCP flood, opravdu snadné.
8. Udržujte směrovač aktuální
To je další zásadní aspekt zabezpečení vaší domácí sítě obecně. Nejen, že to zabrání DDoS v domácí síti, ale je to také opravdu užitečné proti všem způsobům online škodlivé aktivity zaměřené na vás. Podobně jako u zařízení připojených k síti vydávají modemy a směrovače také aktualizace softwaru, jejichž cílem je zlepšit zabezpečení. Starší verze mají následně ve srovnání s novějšími verzemi oslabené zabezpečení. Infiltrace vašeho routeru je nejhorší scénář, protože bude fungovat jako centrální cíl útoku, ale také jako útočník, protože záškodnická strana použije samotný router k přetížení sítě. Udržujte routery aktuální!
9. Zabezpečení hlasového chatu
Je také známo, že služby jako Skype a dokonce i takové jako Discord mohou mít ohroženou základní úroveň zabezpečení. To umožňuje útočníkovi se zlými úmysly načíst jednoduchý zvukový chat nebo požadavek na videohovor s paketem UDP, aby navázal handshake a poté pokračoval v úplném útoku DDoS. Proto jako obecné pravidlo nikdy nepřijímejte žádosti o audio chaty nebo videohovory od lidí, které na webu neznáte. To je v souladu s prvním tipem článku mít vždy defenzivní stav mysli, abyste zabránili útokům DDoS, spíše než je řešili, když k nim dojde. Je také nejlepší používat komunikační software, který vás neodhalí.
10. Kontaktujte svého ISP
Pokud jednoduše nemáte počítačové znalosti k provedení různých řešení uvedených v tomto seznamu nebo pokud proti vám již došlo k úplnému útoku do té míry, že síť zcela nereaguje, pak jediným řešením je kontaktovat svého poskytovatele internetových služeb. Jako správci serveru mohou změnit vaši IP adresu, aby zrušili probíhající útok, a poté zablokovat odpovědnou IP adresu, která proti vám spustila DDoS útok. Mnoho možností ISP také nabízí ochranu DDoS na základní úrovni, takže výběr jedné z nich také hodně pomáhá!
Závěr
Útoky DDoS jsou zdaleka nejbolestivějším typem škodlivé činnosti online, se kterou se musí člověk vypořádat. I když se škody netýkají vašich osobních údajů, obtížnost se sledováním útočníka a zrušením útoku je mimořádně obtěžující. DDoS útoky nejsou omezeny na konkrétní typ serveru a hostitele. Mohou se také stát, když používáte služby vzdáleného přístupu, jako je VPS. Proto se důrazně doporučuje, abyste se rozhodli pro poskytovatele VPS, který má nejen vysokou úroveň základního zabezpečení s ohledem na útoky DDoS, ale dokáže útok okamžitě zrušit, pokud k němu skutečně dojde. Cloudzy nabízí premiéru VPS chráněné DDoS služby, které vás nadobro uklidní od obav z DDoS. Cloudzy také nabízí více než 12 míst, balíčky na míru, vynikající konektivitu, míru dostupnosti 99,95 % a dokonce sedmidenní záruku vrácení peněz!
Vysoce výkonný VPS hosting s nízkou cenou
Využijte náš cenově dostupný hosting VPS pro různé případy použití, včetně hostování webových stránek nebo her, obchodování, serveru vzdálené plochy a vývoje a testování aplikací.
Získejte vysoce účinný VPSFAQ
Může být domácí síť napadena DDoS?
Ano. Nejen, že je to možné, ale vzhledem k tomu, že domácím sítím je přiděleno určité množství zdrojů z centrálního serveru, jsou zvláště náchylné k pádu pod tíhou schopného útoku DDoS.
Existují routery s ochranou DDoS?
Ano. A důrazně se doporučuje, abyste je používali. Protože přicházejí v softwarové podobě, některé ze starších směrovačů, které původně neměly anti-DDoS, je přidávají s aktualizacemi. Proto je důležité aktualizovat router.
Jak zjistit DDoS útok v mé domácí síti?
Existuje několik známek toho, že proti vám probíhá DDoS útok. Patří mezi ně výrazné snížení rychlosti sítě a chyby vypršení časového limitu. Jasným ukazatelem jsou také dopravní špičky, které sledují vzor.
