Jak se technologie vyvíjí nevídanou rychlostí, zlepšuje kvalitu našeho života a věci, které můžeme dělat na internetu. Ale zároveň je technologie jako mince se dvěma stranami. Produktivní a destruktivní. Online útoky a zlovolné hackování jsou jedním z destruktivních aspektů webu, které se masivně rozšiřují poslední dekádu. Metodologie se také stává sofistikovanější. Jeden z nejčastěji používaných online útoků je distribuovaný útok na dostupnost služby, zkráceně známý jako DDoS. DDoS je vyvinutější a pokročilejší forma útoku DoS (denial of service). Zatímco řada jiných online metod útoku, jako byl kdysi obávaný virus Trojan, se stala zastaralou, způsob útoku DDoS na síť nebo server obstál v čase a používá se dodnes s velkým úspěchem. Existují samozřejmě metody, jak mu čelit a preventivní opatření. Ale co můžeme dělat, když je naše domácí síť pod útokem? V tomto článku vám představím deset řešení a preventivních opatření pro ochranu před DDoS v domácích sítích. Ale než se do toho pustíme, pojďme si ujasněme definice.
Co je útok DDoS?
Na rozdíl od populárních představ je DDoS útok, ne hackerská operace. To znamená, že útočník, který stojí za útokem DDoS, se nesnaží převzít kontrolu nad vaší sítí nebo serverem. Chce ji přivést k výpadku a zhroucení. Existuje několik různých metod útoku DDoS, které spadají do tří obecných kategorií, ale celkové schéma je pro všechny víceméně stejné. Při útoku DDoS útočník zahlcuje síť nebo server obrovskou vlnou nelegitimních síťových požadavků.
Čistá rychlost a objem těchto falešných požadavků jsou tak vysoké, že převezmou šířku pásma vaší sítě nebo serveru a nutí ho věnovat všechny své zdroje na jejich zpracování. Server buď neodpovídá na ostatní úkoly a požadavky kvůli nedostatku výpočetních prostředků, nebo se úplně zhroutí. Útočník obvykle spouští tyto útoky z více zařízení, která byla naprogramována na spam požadavků. Tato zařízení jsou součástí sítě tzv. botnet. Domácí sítě fungují na přiděleném pásmu od centrálního serveru vašeho poskytovatele internetu, takže jejich vyřazení pomocí DDoS je mnohem jednodušší než u serveru, který provozujete sami. To vyžaduje ochranu routeru před DDoS.
Tři typy útoku DDoS
Je důležité, abyste znali tři obecné kategorie, které útočník DDoS použije, aby poškodil vaši domácí síť. Tyto tři kategorie nejsou samotné metody útoku, ale spíše schémata útoku, která obsahují několik různých metod útoku DDoS. Pojďme je rychle zhodnotit.
Objemové útoky
Jak název napovídá, útoky v kategorii volumetrické se spoléhají na čistý objem, aby byl útok úspěšný. Z tohoto důvodu jsou také nejčastěji používaným typem útoku DDoS . Proces je poměrně přímočarý. Útočník se jednoduše spoléhá na množství a pošle co nejvíce nelegitimního provozu, aby zhroutil server. Hacker bude cílit na váš DNS. Pokud první vlna požadavků a nežádoucího provozu nestačila, mohli by ji jednoduše poslat znovu a znovu. Volumetrické útoky jsou běžné, protože je skoro kdokoli snadno provede. Naštěstí to také znamená, že ochrana domácí sítě před DDoS je proti této metodě jednodušší.
Útoky na protokoly
Útoky na protokol vyžadují trochu více úsilí k provedení, ale výměnou za to jsou jejich účinky na domácí síť také mnohem ničivější. Útočník v této metodě potřebuje navázat základní úroveň komunikace mezi vaší sítí a svou. Proto pošle tzv. "handshake TCP". Přijetí tohoto handshaku vymění počáteční data, včetně IP adres a adres DNS. Hacker pak handshake nedokončí. Místo toho použije nově získaná data k opakovanému odesílání handshake požadavků TCP s falešnými IP adresami za falešnými IP adresami. Tyto požadavky potřebují šířku pásma k zpracování a dokonce i k odmítnutí. Server bude tedy přetížen a zhroutí se.
Aplikační vrstva
Útoky na vrstvě aplikací DDoS jsou nejchytřejší metodou útoku, protože zneužívají vlastní prostředky aplikace nebo serveru proti němu samému. Název také naznačuje, že útok se nezaměřuje na základní infrastrukturu serveru, ale na "vrstvu aplikace" dat hostovaných na serveru. Pokud jde o web, útočník bude neustále vyžadovat načtení neplatné části webu. Když se to stane, webová stránka musí odpovědět, že taková část neexistuje. Útočník bude pokračovat v požadavcích, dokud server nebude přetížený a přestane reagovat na jejich i ostatní požadavky, ať už jsou legitimní nebo ne.
Zero Day a další metodologie útoků DDoS
Každá ze tří zmíněných kategorií útoků DDoS má určitý počet metod útoku, které pod ní spadají. Nejčastější metody útoku v kategorii útoků na protokol jsou Zaplavení TCP a SYN útok. U objemových útoků máme Zahlcování ICMP, ping smrti, a UDP záplava. Nakonec u vrstvy aplikací máme metoda slowloris. Všechny tyto metody jsou dobře zdokumentovány a existují způsoby, jak se jim bránit jak na domácích sítích, tak na nezávislých serverech. Existuje však také další kategorie útoků DDoS nazývaná útoky Zero Day. Jak název naznačuje, jedná se o metody útoku, které dosud nebyly objeveny a jejich existence vyjde najevo pouze tehdy, když jsou poprvé použity proti nové oběti. Fluidita konceptu útoků DDoS znamená, že existuje mnoho různých zero-day útoků s novými a inovativními metodami. Útoky zero-day jsou považovány za cenné, protože jejich protokol dosud nebyl objeven. Proto se předpokládá, že tyto metody jsou uschovávány pro použití proti velkým cílům. Všechny různé metody, které jsem zmínil dříve, byly také kdysi nazývány útoky zero-day. Obecně se však o těchto útocích nemusíte příliš obávat, pokud jde o ochranu domácí sítě před DDoS.
Útoky typu HTTP flood jsou také prominentním typem útoku DDoS. Abyste se ochránili před vystavením takovému útoku, je velmi doporučováno chránit vaši HTTP při prohlížení online v prohlížečích, jako je Chrome.
Motivy za útokem DDoS
Za každým útokem DDoS stojí různé motivy. Obecně však existuje určitý vzorec týkající se hlavních příčin těchto útoků. K větším útokům DDoS obvykle dochází ze dvou důvodů. První je vydírání. Když skupině hackerů podaří vypnout online dosah podniku, těžce oslabí jeho marketingový a provozní potenciál. Proto si oběť často najde snazší řešení v tom, aby prostě zaplatila útočníkům, aby útok DDoS zvedli. Dalším důvodem pro rozsáhlé útoky DDoS je vyslání politické zprávy nebo účast na společenské aktivitě.
Když se však útok DDoS odehrává v domácí síti, důvody mohou být trochu jiné. Když je domácí síť konkrétně cílem útoku DDoS, důvody jsou obvykle osobní. Pokud ne, pak vy nebo váš poskytovatel internetu jste se s největší pravděpodobností stali obětí vydírání. Je známo, že někteří hráči používají DDoS proti ostatním hráčům v multiplayer sezeních, aby způsobili zaostávání pro své soupeře a získali si tak výhodu. Celkově jsou šance na osobní útok na vaši domácí síť útoku DDoS nízké, ale co dělat, když se to skutečně stane? Zde je deset řešení pro ochranu domácí sítě před DDoS.
10 metod ochrany domácí sítě před DDoS
Než si vysvětlíme každou z těchto metod, je důležité poznamenat, že žádné z těchto řešení nejsou absolutní při obraně proti útoku DDoS na domácí síť. Místo toho je musí být používány v kombinaci s ostatními, aby se zabránilo DDoS v domácí síti.
1. Prevence je královnou
Toto není ve skutečnosti technická metoda k boji proti útokům DDoS. Místo toho jde spíše o způsob myšlení. Útoky DDoS jsou nejčastějším typem škodlivé online aktivity. Proto je, byť je nepravděpodobné, že by vaše domácí síť utrpěla útok DDoS, stále velmi doporučováno provést si vlastní výzkum a mít na místě všechna trestací, preventivní a přípravná opatření, která zvládnete. Žádná oběť úspěšného útoku DDoS na to nikdy nebyla připravená. To jasně ukazuje, že některé z možností, které budeme dále v článku probírat, je třeba implementovat nyní. Dříve, než útok skutečně přijde na vaši domácí síť.
2. Změňte zabezpečení IP adresy
Vaša IP adresa je vaší online identitou a je to primární prostředek, jak vás poznat a rozeznat vás, vaša zařízení a síť v online světě. Proto je to také primární cesta, ze které se na vás budou neustále útočit v hypotetickém scénáři útoku. Je doporučováno, že pokud se podílíte na rizikovější online aktivitě, maskujte svou IP adresu. Lépe ještě, můžete použít strategii vyvíjející se IP adresy tím, že necháte svého poskytovatele internetu, aby vám čas od času změnil přidělenou IP adresu. To vám velmi ztíží cílení.
3. Použijte VPN
Mnoho útočníků DDoS obvykle cílí na dlouhý seznam IP adres, které sbírají z veřejných domén. Vždy existuje šance, že vaše IP adresa se také nachází v jedné z těchto domén. Proto v souladu s otázkou zabezpečení IP adresy, kterou jsem zmínil výše, je dobré řešení použít virtuální privátní síť. Tato VPN nejen, že zcela maskuje a změní vaši skutečnou IP adresu, ale také zašifruje vaša data. To ztíží spuštění úspěšného útoku DDoS na vaši domácí síť. Takže je to další důvod, proč používat VPN.
4. MACsec
IEEE 802.1AE, také známá jako MACsec, je síťový protokol, který v podstatě učiní určité aspekty vašeho připojení, jako je Ethernet a VLAN, neproniknutelné vůči jakékoli ohromující síle DDoS. Konfigurace protokolu MACsec za účelem poskytnutí ochrany DDoS pro domácí síť je poměrně obtížná a komplikovaná metoda. Přesto zůstává jednou z nejúčinnějších metod prevence útoků, jako je man in the middle a DDoS. Pokud vaše domácí síť neustále trpí od DDoS, implementace MACsec vám velmi pomůže.
5. Použijte software na ochranu před DDoS
Je to nejprostší řešení, jaké existuje. Software proti útokům typu DDoS je navržen tak, aby rozpoznal vzory používané různými metodami útoku DDoS. Jakmile identifikuje příchozí provoz jako škodlivý, jednoduše zablokuje komunikaci nebo úplně přeruší spojení mezi škodlivým zařízením a vaší sítí blokováním jejich IP adresy. Existuje spousta kvalitních nástrojů na ochranu proti útokům DDoS, například SolarWinds Security Event Manager, který vás také chrání před útoky exploitujícími protokoly vzdáleného přístupu, jako je SSH.
6. Udržujte svůj operační systém aktuální
Nemůžu dost zdůraznit, jak důležité je mít operační systém aktuální. To platí i pro všechna zařízení připojená k vaší domácí síti. Ať už máte Linux, macOS nebo Windows na ploše, nebo Android nebo iOS na mobilech, je nezbytné, aby byly všechny aktualizovány na nejnovější verzi. Zastaralé verze operačních systémů jsou jedním z nejčastěji zneužívaných slabých míst bezpečnosti. Umožňují útočníkům nejdříve proniknout do zastaralého zařízení a teprve poté zahájit útok na sítť.
7. Vyhýbejte se pochybným portům
Mnoho z nás denně používá různý software pro zábavu a komunikaci, který k přenosu dat mezi naším zařízením a jeho službami využívá určité porty. Typickými příklady jsou Steam, Netflix, Discord, Skype, Spotify, Xbox Live a další. Přestože existují oficiální porty, které jsou bezpečné, existují i alternativní porty, které lze použít k řešení chyb nebo přístupu k novému obsahu. Není to však stojí za vaši bezpečnost sítě a důrazně doporučuji, abyste tyto pochybné porty nikdy nepoužívali a vždy se drželi oficiálních portů pro každou službu. Jinak útočníci velmi snadno provedou útoky, jako jsou TCP, a zahlcují vaši síť.
8. Udržujte svůj router aktuální
Jedná se o další zásadní aspekt bezpečnosti vaší domácí sítě. To nejen zabrání útokům typu DDoS na domácí síti, ale také vám pomůže chránit se před veškerou škodlivou online aktivitou. Podobně jako zařízení připojená k síti i modemy a routery vydávají aktualizace softwaru zaměřené na zlepšení bezpečnosti. Starší verze mají slabší bezpečnost ve srovnání s novějšími verzemi. Pokud je útočník napadne, je to nejhorší scénář, protože router se stane jak cílem útoku, tak jeho nástrojem – útočník jej použije k zahlcení sítě. Udržujte routery aktuální!
9. Bezpečnost hlasového chatu
Je známo, že služby jako Skype a dokonce i Discord mohou mít slabou úroveň bezpečnosti. To umožňuje škodlivému útočníkovi vložit do jednoduchého audio nebo videochaatu požadavek s paketem UDP, aby navázal spojení a následně zahájil plný útok typu DDoS. Obecně proto nikdy nepřijímejte požadavky na audio nebo videohovory od lidí, které neznáte z internetu. To se shoduje s prvním tipem z článku – vždy si udržujte obranný přístup, abyste útokům DDoS předcházeli, spíše než je řešili, když se stanou. Nejlépe je používat komunikační software, který vás neohrožuje.
10. Kontaktujte svého poskytovatele internetu
Pokud nemáte dostatek znalostí, abyste sami implementovali řešení ze seznamu, nebo pokud vás postihla masivní útok natolik, že je síť zcela nefunkční, vaše jediné řešení je kontaktovat svého poskytovatele internetových služeb. Jako správci serveru mohou změnit vaši IP adresu, aby zastavili probíhající útok, a poté zablokovat IP adresu odpovědného za útok typu DDoS. Mnoho poskytovatelů ISP také nabízí základní ochranu proti útokům DDoS, takže výběr jednoho z nich vám také velmi pomůže!
Závěr
Útoky typu DDoS jsou zdaleka nejdráždivější formou škodlivé online aktivity, se kterou se člověk musí potýkat. Ačkoli nejde o útok na vaše osobní informace, obtížnost stopování útočníka a zvednutí útoku z něj činí obzvláště nepříjemný problém. Útoky DDoS se netýkají pouze určitého typu serveru a hostingu. Mohou se stát i při používání služeb vzdáleného přístupu, jako je VPS. Proto je velmi doporučeno vybrat si poskytovatele VPS, který má nejen vysokou úroveň základní bezpečnosti vůči útokům DDoS, ale který může útok okamžitě zastavit, pokud k němu dojde. Cloudzy nabízí špičkové Zabezpečeno technologií DDoS VPS služby, které vám odejmou obavy z útokům typu DDoS. Cloudzy má také více než 12 lokací, přizpůsobené balíčky, vynikající konektivitu, dobu provozu 99,95% a dokonce i sedmidenní záruku vrácení peněz!
Výkonný hosting VPS za dostupnou cenu
Využijte náš cenově dostupný hosting VPS pro různé účely: hostování webů nebo her, obchodování, vzdálená plocha nebo vývoj a testování aplikací.
Pořiďte si výkonný VPSČasto kladené otázky
Může být domácí síť napadena útokem typu DDoS?
Ano. Nejen že je to možné, ale jelikož domácí sítě mají přiděleno určité množství zdrojů z centrálního serveru, jsou obzvláště zranitelné vůči pádu pod váhu schopného útoku typu DDoS.
Existují routery s ochranou před DDoS?
Ano. A důrazně se doporučuje je používat. Protože se jedná o softwarové řešení, některé starší routery, které původně anti-DDoS ochranu neměly, ji mohou získat aktualizacemi. Odtud plyne důležitost aktualizace routeru.
Jak zjistím, že na mou domácí síť probíhá útok typu DDoS?
Existuje několik příznaků, které naznačují, že na vás probíhá útok typu DDoS. Mezi ně patří výrazné zpomalení rychlosti sítě a chyby timeout. Také nárůst provozu, který se řídí určitým vzorem, je jasným indikátorem.
