I. Wstęp
Zapewne każdy kto posiada własny serwer VPS lub serwer dedykowany, nieraz napotkał problemy typu bardzo szybkie i dziwne zużycie zasobów czy brak stabilności itp. Wymienione "objawy" mogą świadczyć o tym, że na waszą maszynę został wykonany atak (najczęściej DDoS lub DoS).
II. Rodzaje ataków
Z racji iż rodzai ataków jest naprawdę dużo wymienię tylko dwa najpopularniejsze.
-
Atak DDoS DDoS (Distributed Denial of Service) czyli atak na usługę sieciową powodujący zajęcie wszystkich wolnych zasobów poprzez masowe połączenia przychodzące w tym samym czasie. Atakujący generuje bardzo duży ruch sieciowy na naszym serwerze używając do tego celu botów lub zainfekowanych komputerów tzw. zombie. Taki atak może doprowadzić do pogorszenia pracy serwera lub nawet zawieszenia systemu. Abyście mogli lepiej zrozumieć działanie tego ataku podam wam prosty przykład:
Załóżmy, że jest wieczór godzina 23:33, jesteśmy w centrum miasta i chcemy dostać się do punktu B. Na przystanku nie jesteśmy sami (razem z nami stoi grupa imprezowiczów ok. 30 osób), po długich oczekiwaniach w końcu podjeżdża nasz autobus (przyjmijmy, że jest pusty). Drzwi się otwierają i nagle z bocznej uliczki wybiega grupa licząca ok. 200-300 osób, która masowo próbuje dostać się do autobusu przez co osoby czekające na przystanku od dłuższego czasu mogą mieć problemy z wejściem do pojazdu przez co prawdopodobnie nie zdążą wsiąść gdyż autobus będzie już zapełniony.
Powyżej przedstawiłem prostą historyjkę, która idealnie obrazuje działanie ataku DDoS
-
Atak DoS DoS (Denial of Service) czyli atak uniemożliwiający działanie naszego serwera (odcina możliwość np. wgrywanie plików przez FTP). Atak ma na celu m.i.n. zapchać system plików tak aby uploadowanie nowych było niemożliwe. Jednak głównym zadaniem ataku jest doprowadzenie do wyłączenia serwera z powodu przeciążenia (atak DoS często jest odcinany przez hosting). Odmianą ataku DoS jest wcześniej omówiony atak DDoS. Tutaj również podam przykład:
Jesteś pracownikiem dużej korporacji, który pracuje 12h dziennie. Codziennie musisz przeglądać i podpisywać dokumenty związane m.i.n. kontrakty. Pewnego dnia gdy siedzisz za biurkiem przychodzi szef i zaczyna wrzucać do twojego gabinetu pakiety dokumentów w takim tempie, że nie nadążasz podpisywać tych dokumentów co w rezultacie doprowadzi do zapchania pomieszczenia plikami dokumentów i będziesz musiał zrobić przerwę, aby to wszystko ogarnąć.
III. Podział ataków
bruteforce czyli metoda siłowa polega na sprawdzaniu wszystkich możliwych kombinacji haseł w bardzo małym odstępie czasowym np. 2tys. haseł/s.
dictionary attack czyli atak słownikowy polega na przygotowaniu plików z potencjalnymi hasłami, które będą później sprawdzane przez odpowiednie do tego programy. Metoda słownikowa łączy się z metodą bruteforce.
sniffing czyli nasłuchiwanie polega na przechwytywaniu pakietów, które przesyłane są w naszej sieci lokalnej.
backdoor czyli tylnie drzwi polega na umieszczeniu w aplikacji luki, która pozwoli na nieautoryzowany dostęp osób trzecich do naszego serwera.
IV. Diagnostyka
Wbrew pozorom nie jest łatwo wykryć ataki na nasz serwer. Jest to trudne, ale istnieją objawy, które mogą wskazać nam na to, że jesteśmy celem ataku. Jeśli podejrzewamy, że jesteśmy ofiarą ataku warto sprawdzić ruch sieciowy, który w przypadku ataku będzie odbiegał od normy. Dodatkowo podczas ataku część usług będzie niedostępna a serwer będzie bardzo wolno pracował.
Uwaga! Nie zawsze wolniejszy internet może być skutkiem ataku. Może to być po prostu awaria internetu.
Do sprawdzenia takiego ruchu posłuży nam komenda iftop w systemie Linux. Tutaj znajduje się podstawowy poradnik, który wystarczy do zdiagnozowania problemu: https://lvlup.rok.ovh/t/prosta-obsluga-iftop/7621 Jednak, najlepiej jest zapobiegać. Najprostszym sposobem będzie zmiana portu SSH https://lvlup.rok.ovh/t/zmiana-portu-ssh/197 Korzystanie z iptables https://ubuntu.pl/forum/viewtopic.php?t=103825
Te podstawowe czynności pozwolą nam zwiększyć nasze bezpieczeństwo.
V. Podsumowanie
Ataki są codziennością i największym koszmarem każdego administratora systemu Linux/Windows/Mac, ale poznanie zasady działania pozwala na efektywniejsze zwalczanie ich.