Kako funkcionišu DDoS napadi i kako zaštititi WordPress sajt od DDoS napada

ddos napad wordpressAko ste već neko vreme u online branši ili jednostavno dosta čitate na internetu, sigurno ste već naišli na termin DDoS napad. DDoS (engl. Distrubuited Denial of Service) nije novi termin. Poznat je od ranih devedesetih i korišćen je za obaranje sajtova i veb usluga prostim upućivanjem velikog broja zahteva prema žrtvinom serveru.
DDoS napad je metod u kome haker (kraker, zlonamerni haker) šalje saobraćaj, preko kompromitovanih mreža i računara, prema određenoj meti. Na ovaj način “meta” je toliko zauzeta da prestaje da odgovara na zahteve koji dolaze od legitimnih korisnika. Ova taktika korišćena je čak i kao sredstvo ucene gde su hakeri zahtevali otkup kako bi oslobodili određeni veb-sajt.

Adriahost - blog post o DDoS napadima

Prikaz napada širom planete na sajtu: Digital Attack Map

Kako DDoS napad radi?

Tokom DDoS napada, ciljani server ili mreža prima zahteve iz kompromitovanih sistema. Učestalost zahteva je toliko velika da protok dostiže svoj maksimum koji može da ima kada su resursi i mogućnosti servera u pitanju. Server usporava do mere u kojoj postaje beskoristan sve dok napad traje.
Postoji nekoliko tipova DDoS napada, ali u ovom tekstu koncentrisaćemo se na dva najučestalija. To su:

  • Volumetric Attack
  • Application Level Attack

Volumetric Attack

Kada je ova vrsta napada u pitanju, ciljani veb-sajt ili mreža bombarduje se saobraćajem i zahtevima sa botnet-a i inficiranih zombi sistema. Modeli napada koji spadaju u ovu kategoriju su:

  1. Conection flood
  2. TCP SYN flood
  3. ICMP/UDP flood

I oni uglavnom ciljaju treći i četvrti nivo (slika ispod), odnosno, Network Layer i Transport Layer.

OSI nivoi - DDoS napad i zastita sajta

Open Systems Interconnection model (OSI Model)

Ovakvi modeli napada iskorišćavaju inficirane sisteme da stvore veliki protok saobraćaja. Sistemi se “distribuiraju” geografski i to sa protokom koji prelazi čak 10TB/s. Iako deluju sirovo, ovakvi napadi vremenom napreduju i postaju sve sofisticiraniji.

Application Level Attack

Poznati i kao Layer-7 DDoS napadi, obično ciljaju ranjivosti veb-aplikacija šaljući saobraćaj u određeni deo veb-sajta. Ovaj postupak takođe opterećuje konzumaciju protoka, ali u najvećem broju slučajeva ne dovodi do pada sistema sajta.
Teško se uočava zato što saobraćaj koji dolazi iz ovog napada izgleda kao da dolazi od strane pravih ljudi. Ovi napadi obično koriste HTTP, DNS i SMTP zahteve.
Najčešći tipovi Application Level DDoS napada su:

  • Request flooding napadi
    Kod ovog tipa, Application Layer prima visoku dozu zahteva na HTTP i DNS.
  • Asymmetric napadi
    Application Layer prima radne zahteve koji hardverski iskorišćavaju resurse servera (CPU i RAM).
  • Repeated one-shot napadi
    Ovi napadi pogađaju Application i Network nivoe slanjem radnih zahteva ka aplikacijama kombinujući TCP sesije.
  • Application exploit napadi
    Ciljaju ranjivost aplikacija preuzimajući ih u potpunosti ili upravljajući ih tako da izazovu grešku u OS-u ili serveru.
Adriahost - blog post o DDoS napadima i zastiti

Živi prikaz napada sa Darknet-a u toku, na sajtu Norse Intelligence Platform, obuhvata hiljade lokacija u preko 40 zemalja

Kako se zaštititi od DDoS napada?

Postoje koraci i metode predostrožnosti uz pomoć kojih se može umanjiti efekat, dok se čak manji DDoS napadi mogu potpuno odbiti.
Neke metode se primenjuju na nivou mreže za detektovanje i blokiranje nelegitimnog saobraćaja, dok većina novijeg mrežnog hardvera ima mogućnost filtriranja.

Svičevi i ruteri uz softver za rate-limiting i filtraciju daju rezultate

Noviji svičevi i ruteri dolaze sa softverom koji ima Rate-Limiting opcije. Kroz njih, mrežni hadver može da identifikuje lažne IP adrese koje šalju nelegitimne zahteve, da ih blokira i tako spreči dalje zauzimanje mrežnih i sistemskih resursa. SYN flood i napadi preko “Dark Addresses”-a mogu lako biti blokirani na ovaj način.
Problem može postojati ukoliko koristite usluge hosting provajdera, odnosno, nemate uticaj na mere predostrožnosti i opremu koja se koristi u data-centrima. U tom slučaju najbolje je koristiti usluge provajdera koji može potvrditi da raspolaže savremenim hardverom i da je preduzeo sve mere predostrožnosti.

Intrusion Prevention sistemi

Postoje sistemi koji detektuju DDoS napade. U ponudi su mnogih kompanija koje se bave sigurnošću na internetu. Većina njih razvila je softver koji detektuje legitimni i nelegitimni saobraćajni šablon i na osnovu toga vrši filtriranje. Ovi sistemi mogu detektovati džepove podataka na mreži i blokirati svaku malicioznu aktivnost.

Primera radi, možemo pomenuti da TippingPoint Intrusion Prevention System nudi ovu uslugu sa cenom od 4,995-169,995$.

Scrubbing i Blackholing

Sav dolazeći saobraćaj prolazi kroz “scrubbing center” pre nego što pristupi mreži ili aplikaciji. Njima upravljaju kompanije koje obezbeđuju uslugu DDoS Mitigation-a, ali nisu jeftini. Međutim, ako ste žrtva čestih i velikih DDoS napada koji ugrožavaju vaš posao, nemate izbora nega da uložite u ovu uslugu.

Kako popraviti ranjivost WordPress sajta na DDoS napad

WordPress, kao što već znamo spada u najbolja CMS rešenja koja iza sebe imaju veliku zajednicu održavaoca i korisnika. Problem je u tome što je WordPress sklon ranjivostima koje DDoS napadači najčešće iskoriste. Glavni razlog je što WordPress drži više od 20% CMS platformi i to je itekako primamljivo napadačima.
Najveći teret i odgovornost leži na WordPress administratorima dok krajnji korisnici najčešće i ne znaju da se njihov sajt koristi kao zombi za napad na druge sajtove.
Osiguranje sajta od napada nije jednostavno i nikada potpuno, ali postoje zadovoljavajuća rešenja. Svakako, ako ništa drugo uvek se može redukovati broj napada i efekata popravljanjem WordPressovih ranjivosti. Evo i kako:

Blokiranje XML-RPC funkcionalnosti u WordPressu

Ova funkcionalnost uključena je podrazumevano još o WordPress 3.5 verzije i obezbeđuje servise kao što su PINGBACK i TRACKBACK-ovi. Upravo oni se mogu iskoristiti za slanje HTTP zahteva na ciljani veb-sajt.
Ako je hiljadu sajtova kompromitovano i svi počnu da šalju zahteve na ciljani veb-sajt (žrtva) paralelno, odvija se veliki DDoS napad na Application nivou.

DDoS napad - iskoriscenje XML-RPC funkcionalnosti na WordPressu
Najbolje rešenje je isključiti XML-RPC funkcionalnost na svim vašim sajtovima kako bi mogli da budu iskorišćeni za DDoS napade.
Dovoljno je dodati sledeći kod u .htaccess datoteku:

# Početak - XML RPC blokiranje
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
# Kraj - XML RPC blokiranje

Umesto ovoga načina može se koristiti i dodatak Disable XML-RPC & Unset X-Pingback za isključivanje. Uz ovaj dodatak druge XML-RPC mogućnosti ostaju netaknute. Pored toga što vas štiti, ovaj plugin vam štedi i CPU/RAM resurse.

Redovno ažuriranje WordPress-a i sistema čini veb-sajt sigurnijim

Jedna od najboljih stvari koju možete dobiti korišćenjem WordPress-a je redovno ažuriranje uz koje dobijate sigurnosna poboljšanja zahvaljujući održavaocima i iskustvu celokupne zajednice. Evo šta se preporučuje za ažuriranje:

  • WordPress instalacija
  • WordPress teme
  • WordPress dodaci
  • PHP verzija na serveru
  • Apache verzija
  • MySQL verzija
  • OS verzija
  • Ostali softver koji koristite

Održavanje kontakta sa hosting provajderom

Potrebno je da budete obavešteni i da se sami raspitujete o ažurnosti softvera i hardvera koji vaš provajder nudi. Saznajte koje preventivne mere su preduzete protiv napada, kao i sa kakvim rešenjima raspolaže kada je oporavak vašeg sajta u pitanju.

Koristite sigurnosne dodatke

Postavljanje sigurnosne zaštite instalacijom WordPress dodatka može biti veliki plus kada je sigurnost u pitanju. Mnogo više o sigurnosnim dodacima pročitajte u našem ranije članku: WordPress priključci za detektovanje malicioznog koda i zaštitu, a posebnu pažnju obratite na WordFence dodatak koji može aktivno da prati i spreči DDoS napad na vaš WordPress sajt.

Kako pratiti napade koji se dešavaju svakoga minuta širom planete?

Postoje nekoliko veb-sajtova koji se bave praćenjem i analizom, obrađivanjem šablona i učenjem iz poznatih scenarija napada. Evo i primera sa adekvatnim prikazom informacija:

digitalattackmap.com        i        map.norsecorp.com

I na jednom i na drugom, u realnom vremenu možete pratiti napade koji traju. Da li će neki od ovih sajtova u jednom trenutku uhvatiti i vašu lokaciju kao kompromitovanu, zavisi od nekoliko faktora, a to koliko ste ozbiljno prihvatili informacije iz teksta iznad je samo je jedan od njih.

PRIJAVITE SE ODMAH ZA NAJNOVIJE TEKSTOVE SA NAŠEG BLOGA!

 

Tags: , ,

No comments yet.

Submit Comment