Înțelegerea atacurilor DDoS: un ghid pentru administratorii WordPress

Un Distributed Denial of Service (DDoS) este un tip de atac Denial of Service (DoS) în care atacul vine de la mai multe gazde, spre deosebire de una, ceea ce le face foarte dificil de blocat. Ca și în cazul oricărui atac DoS, obiectivul este de a face o țintă indisponibilă prin supraîncărcare într-un fel.

În general, un atac DDoS implică un număr de computere sau roboți. În timpul atacului, fiecare computer trimite în mod rău intenționat solicitări de supraîncărcare a țintei. Țintele tipice sunt serverele web și site-urile web, inclusiv site-urile WordPress. Ca urmare, utilizatorii nu pot accesa site-ul web sau serviciul. Acest lucru se întâmplă deoarece serverul este forțat să-și folosească resursele pentru a gestiona aceste solicitări exclusiv.

Este important ca administratorii WordPress să înțeleagă și să fie pregătiți pentru atacurile DDoS. Ele pot apărea în orice moment. În acest articol, vom explora în profunzime DDoS și vă vom oferi câteva sfaturi pentru a vă ajuta să vă păstrați site-ul WordPress protejat.

DDoS este un atac care vizează perturbarea și nu un hack

Este important să înțelegeți că un atac DDoS nu este un hack WordPress rău intenționat în sensul tradițional. Hackingul implică accesul unui utilizator neautorizat la un server sau un site web pe care nu ar trebui să-l aibă.

Un exemplu de hack tradițional este atunci când un atacator exploatează o vulnerabilitate din cod sau când folosește un sniffer de pachete pentru a fura parolele WordPress. Odată ce hackerul are acreditările, poate fura date sau poate controla site-ul web.

DDoS are un scop diferit și nu necesită acces privilegiat. DDoS urmărește pur și simplu să perturbe operațiunile normale ale țintei. Cu hack-urile tradiționale, atacatorul poate dori să treacă neobservat pentru o vreme. Cu DDoS, dacă atacatorul are succes, veți ști aproape imediat.

Diferite tipuri de atacuri Distributed Denial of Service

DDoS nu este doar un singur tip de atac. Există mai multe variante diferite și toate funcționează puțin diferit sub capotă. În categoria DDoS, există mai multe subcategorii în care atacurile pot fi clasificate. Mai jos sunt enumerate cele mai comune.

Atacurile DDoS volumetrice

Atacurile DDoS volumetrice sunt simple din punct de vedere tehnic: atacatorii inundă o țintă cu solicitări de supraîncărcare a capacității de lățime de bandă. Aceste atacuri nu vizează direct WordPress. În schimb, vizează sistemul de operare și serverul web de bază. Cu toate acestea, aceste atacuri sunt foarte relevante pentru site-urile WordPress. Dacă atacatorii au succes, site-ul dvs. WordPress nu va difuza pagini vizitatorilor legitimi pe durata atacului.

Atacurile DDoS specifice care se încadrează în această categorie includ:

• Amplificare NTP
• Inundații UDP

Atacurile DDoS la nivelul aplicației

Atacurile DDoS la nivelul aplicației se concentrează pe stratul 7, nivelul aplicației. Aceasta înseamnă că se concentrează pe serverul tău web Apache sau NGINX și pe site-ul tău WordPress. Atacurile de la nivelul 7 primesc mai mult profit atunci când vine vorba de daunele cauzate în raport cu lățimea de bandă cheltuită.

Pentru a înțelege de ce este cazul, să parcurgem un exemplu de atac DDoS asupra API-ului REST WordPress. Atacul începe cu o solicitare HTTP, cum ar fi un HTTP GET sau HTTP POST de la una dintre mașinile gazdă. Această solicitare HTTP utilizează o cantitate relativ trivială de resurse pe gazdă. Cu toate acestea, pe serverul țintă poate declanșa mai multe operațiuni. De exemplu, serverul trebuie să verifice acreditările, să citească din baza de date și să returneze o pagină web.

În acest caz, avem o mare discrepanță între lățimea de bandă folosită de atacator și resursele consumate de server. Această disparitate este de obicei exploatată în timpul unui atac. Atacurile DDoS specifice care se încadrează în această categorie includ:

• Inundații HTTP
• Atacurile Slow Post

Atacurile DDoS bazate pe protocol

Atacurile DDoS bazate pe protocol urmează același model de resurse de epuizare ca și celelalte atacuri DDoS. Cu toate acestea, în general, se concentrează pe straturile de rețea și transport, spre deosebire de serviciu sau aplicație.

Aceste atacuri încearcă să refuze serviciul prin țintirea dispozitivelor precum firewall-urile sau stiva de bază TCP\IP care rulează pe serverul dvs. Ei exploatează vulnerabilități în modul în care stiva de rețea a serverului gestionează pachetele de rețea sau cum funcționează comunicarea TCP. Exemple de atacuri DDoS bazate pe protocol includ:

• Inundații Syn
• Ping de moarte

Atacurile DDoS cu mai multe vectori

După cum v-ați putea aștepta, atacatorii nu se limitează la un singur tip de atac. Devine din ce în ce mai frecvent ca atacurile DDoS să adopte o abordare multi-vectorală. Atacurile DDoS cu mai multe vectori sunt exact ceea ce vă așteptați: atacuri DDoS care folosesc mai multe tehnici pentru a lovi o țintă offline.

Înțelegerea reflectării și amplificarii în DDoS

Doi termeni care apar frecvent cu atacurile DDoS sunt reflectarea și amplificarea. Ambele sunt tehnici pe care atacatorii le folosesc pentru a face atacurile DDoS mai eficiente.

Reflecția este o tehnică prin care atacatorul trimite o solicitare cu o adresă IP falsificată către un ^server terță parte. Adresa IP falsificată este adresa țintei. În timpul acestui tip de atacuri, atacatorii folosesc de obicei o varietate de protocoale UDP. Iată cum funcționează:

1. Atacatorul trimite o solicitare UDP cu adresa IP falsificată, să spunem IP-ul site-ului dvs. WordPress către un număr mare de servere numite reflectoare.
2. Reflectorii primesc cererea și răspund la IP-ul site-ului dvs. WordPress în același timp.
3. Răspunsurile reflectoarelor inundă site-ul dvs. WordPress, potențial supraîncărcându-l și făcându-l indisponibil.

Amplificarea funcționează similar cu reflexia. Deși necesită mai puțină lățime de bandă și resurse, deoarece cererile trimise către reflectoare sunt mult mai mici decât răspunsurile pe care reflectoarele le trimit către țintă. Funcționează asemănător cu ceea ce am văzut cu atacurile de tip Distributed Denial of Service.

Rolul botnet-urilor în atacurile DDoS

Te-ai întrebat vreodată de unde obțin atacatorii resursele necesare pentru a coordona atacurile?

Răspunsul sunt botnets. Un botnet este o rețea sau dispozitive care au fost compromise de malware. Acesta poate fi un computer, server, rețea sau dispozitiv inteligent. Malware-ul permite atacatorilor să controleze de la distanță fiecare gazdă compromisă.

Atunci când sunt utilizate pentru DDoS, rețelele bot efectuează un atac coordonat de tip Denial of Service împotriva unei anumite gazde țintă sau a unui grup de gazde. Pe scurt: botnet-urile le permit atacatorilor să folosească resursele de pe computerele infectate pentru a efectua atacuri. De exemplu, acesta a fost cazul când peste 20.000 de site-uri WordPress au fost folosite pentru a efectua atacuri DDoS împotriva altor site-uri WordPress în 2018 (citește mai mult).

Motivația din spatele atacurilor Distributed Denial of Service

„De ce oamenii efectuează atacuri DDoS?” este o întrebare bună de pus în acest moment. Am analizat de ce un hacker rău intenționat ar viza site-ul dvs. WordPress în trecut, dar doar unul dintre aceste puncte se aplică cu adevărat DDoS: hactivism. Dacă cineva nu este de acord cu punctul tău de vedere, ar putea dori să-ți reducă vocea. DDoS oferă un mijloc de a face acest lucru.

Privind dincolo de hactivisim, războiul cibernetic la nivel de stat sau atacurile industriale cu motivații comerciale sunt, de asemenea, posibili factori ai DDoS. Și destul de des întâlniți sunt și atacatorii răutăcioși, adolescenții care se distrează și folosesc DDoS pentru a crea un haos.

Desigur, unul dintre cei mai mari motivatori sunt banii. Atacatorii pot solicita o răscumpărare pentru a nu mai ataca site-ul dvs. WordPress. S-ar putea ca aceștia să beneficieze din punct de vedere comercial dacă site-ul dvs. este oprit. Făcând acest lucru cu un pas mai departe, au existat DDoS pentru servicii de închiriere!

Exemple reale de refuz de serviciu distribuit

Cât de severe pot fi atacurile Distributed Denial of Service? Să aruncăm o privire la câteva atacuri DDoS celebre din ultimii ani.

GitHub (de două ori!): GitHub a suferit un atac masiv Denial of Service în 1015. Se părea că atacurile vizau două proiecte anti-cenzură de pe platformă. Atacurile au afectat performanța și disponibilitatea GitHub pentru un număr de zile.

Apoi, în 2018, GitHub a fost din nou ținta unui atac DDoS. De data aceasta, atacatorii au folosit un atac bazat pe memcaching. Au folosit metodele de amplificare și reflexie. În ciuda dimensiunii atacului, atacatorii au doborât GitHub doar pentru aproximativ 10 minute.

Națiunea Estoniei: aprilie 2007 a marcat primul atac cibernetic cunoscut împotriva unei întregi națiuni. La scurt timp după ce guvernul estonian a decis să mute statuia Soldatului de Bronz din centrul Tallinnului într-un cimitir militar, au avut loc revolte și jaf. În același timp, atacatorii au lansat o serie de atacuri Distributed Denial of Service care au durat săptămâni. Au avut impact asupra serviciilor bancare online, mass-media și guvernamentale din țară.

Dyn DNS: Pe 21 octombrie 2016, Dyn a suferit un atac DDoS la scară largă. Din cauza atacului, serviciile Dyn DNS nu au putut rezolva interogările utilizatorilor. Drept urmare, mii de site-uri web cu trafic mare, inclusiv Airbnb, Amazon.com, CNN, Twitter, HBO și VISA nu au fost disponibile. Atacul a fost coordonat printr-un număr mare de dispozitive IoT, inclusiv camere web și monitoare pentru copii.

Sfaturi WordPress pentru protejarea împotriva atacurilor DDoS

În calitate de administrator individual WordPress, nu aveți resursele și infrastructura pentru a evita un atac DDoS. Deși multe gazde web WordPress oferă un fel de atenuare a atacurilor DDoS. Așa că întrebați despre asta atunci când alegeți un furnizor de găzduire pentru site-ul dvs. WordPress. De asemenea, puteți utiliza un paravan de protecție pentru aplicații WordPress/web (WAF) și o rețea de livrare de conținut (CDN) . Am cuplat WAF-urile și CDN-urile într-o singură intrare, deoarece există furnizori, cum ar fi Sucuri, care le oferă pe ambele într-o singură soluție.

Când utilizați un WAF sau CDN, traficul este mai întâi direcționat și filtrat de serviciu înainte de a ajunge la site-ul dvs. Această configurație poate opri multe atacuri la trecere limitând în același timp daunele altora. Unele CDN-uri oferă beneficii care permit detectarea și răspunsul la atacurile DDoS. Deoarece pot beneficia de economii de scară în cloud, CDN-urile și WAF-urile online pot descărca atacuri. Le redirecționează către rețele care au o lățime de bandă suficientă și instrumentele potrivite pentru a le gestiona.

Descurajarea hackerilor și a atacurilor DDoS

Cu toate acestea, așa cum am văzut cu WordPress BruteForce Botnet, există câteva bune practici de securitate pe care le puteți implementa pe site-ul dvs. WordPress, astfel încât să nu atragă atenția atacatorilor și, eventual, atacuri DDoS:

• Țineți-vă site-ul WordPress actualizat: menținerea actuală a nucleului WordPress, a pluginurilor, a temelor și a tuturor celorlalte programe software pe care le utilizați atenuează riscul ca o vulnerabilitate cunoscută să fie utilizată împotriva dvs. Menținerea site-ului dvs. actualizat reduce, de asemenea, șansele ca acesta să devină parte dintr-o rețea botnet.
• Utilizați un scaner pentru a verifica vulnerabilități: unele atacuri DoS exploatează probleme precum Slowloris. Aceasta și alte defecte de securitate pot fi detectate de scanerele de vulnerabilitate. Deci, atunci când vă scanați site-ul și serverul web, identificați adesea vulnerabilitățile pe care atacurile DDoS le pot exploata. Există o varietate de scanere pe care le puteți folosi. Utilizăm scanerul de securitate WPScan non-intruziv pentru administratorii WordPress.
• Examinați jurnalele pentru a îmbunătăți securitatea și a identifica problemele: jurnalele de audit WordPress și alte jurnale pot ajuta la identificarea comportamentului rău intenționat de la început. Prin intermediul jurnalelor puteți identifica problemele care pot fi cauzate de atacurile DDoS, cum ar fi anumite coduri de eroare HTTP. Jurnalele vă permit, de asemenea, să analizați și să analizați sursa unui atac. Există mai multe fișiere jurnal pe care administratorii WordPress le pot folosi pentru a gestiona și a securiza mai bine site-ul lor.
• Întăriți autentificarea utilizatorilor: aceasta ar putea fi ultima cea mai bună practică, dar este la fel de importantă ca toate celelalte. Implementați politici puternice de parole WordPress pentru a vă asigura că utilizatorii site-ului dvs. utilizează parole puternice. În plus, instalați un plugin de autentificare cu doi factori și implementați politici pentru a face obligatorie autentificarea cu doi factori.