Како функционишу DDOS напади и како заштитити Вордпрес сајт од DDOS напада

Ако сте већ неко време у онлине бранши или једноставно доста читате на интернету, сигурно сте већ наишли на термин DDoS напад. DDoS (енгл.Distrubuited Denial of Service) није нови термин. Познат је од раних деведесетих и коришћен је за обарање сајтова и веб услуга простим упућивањем великог броја захтева према жртвином серверу.
DDoS напад је метод у коме хакер (кракер, злонамерни хакер) шаље саобраћај, преко компромитованих мрежа и рачунара, према одређеној мети. На овај начин “мета” је толико заузета да престаје да одговара на захтеве који долазе од легитимних корисника. Ова тактика коришћена је чак и као средство уцене где су хакери захтевали откуп како би ослободили одређени веб-сајт.

Адриахост - блог пост о ДДоС нападима

Приказ напада широм планете на сајту: Digital Attack Map

Како DDoS напад ради?

Током DDoS напада, циљани сервер или мрежа прима захтеве из компромитованих система. Учесталост захтева је толико велика да проток достиже свој максимум који може да има када су ресурси и могућности сервера у питању. Сервер успорава до мере у којој постаје бескористан све док напад траје.
Постоји неколико типова DDoS напада, али у овом тексту концентрисаћемо се на два најучесталија. То су:

  • Volumetric Attack
  • Application Level Attack

Volumetric Attack

Када је ова врста напада у питању, циљани веб-сајт или мрежа бомбардује се саобраћајем и захтевима са ботнета и инфицираних зомби система. Модели напада који спадају у ову категорију су:

  1. Conection flood
  2. TCP SYN flood
  3. ICMP/UDP flood

И они углавном циљају трећи и четврти ниво (слика испод), односно, Network Layer и Transport Layer.

Open Systems Interconnection model (OSI Model)

Овакви модели напада искоришћавају инфициране системе да створе велики проток саобраћаја. Системи се “дистрибуирају” географски и то са протоком који прелази чак 10TB/s. Иако делују сирово, овакви напади временом напредују и постају све софистициранији.

Application Level Attack

Познати и као Layer-7 DDoS напади, обично циљају рањивости веб-апликација шаљући саобраћај у одређени део веб-сајта. Овај поступак такође оптерећује конзумацију протока, али у највећем броју случајева не доводи до пада система сајта.
Тешко се уочава зато што саобраћај који долази из овог напада изгледа као да долази од стране правих људи. Ови напади обично користе HTTP, DNS и SMTP захтеве.
Најчешћи типови Application Level DDoS напада су:

  • Request flooding напади  
    Код овог типа, Application Layer прима високу дозу захтева на HTTP и DNS.
  • Asymmetric напади
    Application Layer прима радне захтеве који хардверски искоришћавају ресурсе сервера (CPU и RAM).
  • Repeated one-shot напади
    Ови напади погађају Application и Network нивое слањем радних захтева ка апликацијама комбинујући TCP сесије.
  • Application exploit напади
    Циљају рањивост апликација преузимајући их у потпуности или управљајући их тако да изазову грешку у OS-у или серверу.
Адриахост - блог пост о ДДоС нападима и застити

Живи приказ напада са Darknet-а у току, на сајту Norse Intelligence Platform, обухвата хиљаде локација у преко 40 земаља

Како се заштитити од DDoS напада?

Постоје кораци и методе предострожности уз помоћ којих се може умањити ефекат, док се чак мањи DDoS напади могу потпуно одбити.
Неке методе се примењују на нивоу мреже за детектовање и блокирање нелегитимног саобраћаја, док већина новијег мрежног хардвера има могућност филтрирања.

Свичеви и рутери уз софтвер за rate-limiting и филтрацију дају резултате

Новији свичеви и рутери долазе са софтвером који има Rate-Limiting опције. Кроз њих, мрежни хадвер може да идентификује лажне ИП адресе које шаљу нелегитимне захтеве, да их блокира и тако спречи даље заузимање мрежних и системских ресурса. SYN flood и напади преко “Dark Addresses”-а могу лако бити блокирани на овај начин.
Проблем може постојати уколико користите услуге хостинг провајдера, односно, немате утицај на мере предострожности и опрему која се користи у дата-центрима. У том случају најбоље је користити услуге провајдера који може потврдити да располаже савременим хардвером и да је предузео све мере предострожности.

Intrusion Prevention системи

Постоје системи који детектују DDoS нападе. У понуди су многих компанија које се баве сигурношћу на интернету. Већина њих развила је софтвер који детектује легитимни и нелегитимни саобраћајни шаблон и на основу тога врши филтрирање. Ови системи могу детектовати џепове података на мрежи и блокирати сваку малициозну активност.

Примера ради, можемо поменути да TippingPoint Intrusion Prevention System нуди ову услугу са ценом од 4,995-169,995$.

Scrubbing и Blackholing

Сав долазећи саобраћај пролази кроз “scrubbing center” пре него што приступи мрежи или апликацији. Њима управљају компаније које обезбеђују услугу DDoS Mitigation-а, али нису јефтини. Међутим, ако сте жртва честих и великих DDoS напада који угрожавају ваш посао, немате избора нега да уложите у ову услугу.

Како поправити рањивост Вордпрес сајта на DDoS напад

Вордпрес, као што већ знамо спада у најбоља CMS решења која иза себе имају велику заједницу одржаваоца и корисника. Проблем је у томе што је Вордпрес склон рањивостима које DDoS нападачи најчешће искористе. Главни разлог је што Вордпрес држи више од 20% CMS платформи и то је итекако примамљиво нападачима.
Највећи терет и одговорност лежи на Вордпрес администраторима док крајњи корисници најчешће и не знају да се њихов сајт користи као зомби за напад на друге сајтове.
Осигурање сајта од напада није једноставно и никада потпуно, али постоје задовољавајућа решења. Свакако, ако ништа друго увек се може редуковати број напада и ефеката поправљањем Вордпресових рањивости. Ево и како:

Блокирање XML-RPC функционалности у Вордпресу

Ова функционалност укључена је подразумевано још о Вордпрес 3.5 верзије и обезбеђује сервисе као што су PINGBACK и TRACKBACK-ови. Управо они се могу искористити за слање HTTP захтева на циљани веб-сајт.
Ако је хиљаду сајтова компромитовано и сви почну да шаљу захтеве на циљани веб-сајт (жртва) паралелно, одвија се велики DDoS напад на Application нивоу.

ДДоС напад - искорисцење XМЛ-РПЦ функционалности на Wордпрессу
Најбоље решење је искључити XML-RPC функционалност на свим вашим сајтовима како би могли да буду искоришћени за DDoS нападе.
Довољно је додати следећи код у .htaccess датотеку:

# Početak - XML RPC blokiranje
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
# Kraj - XML RPC blokiranje

Уместо овога начина може се користити и додатак Disable XML-RPC & Unset X-Pingback за искључивање. Уз овај додатак друге XML-RPC могућности остају нетакнуте. Поред тога што вас штити, овај плугин вам штеди и CPU/RAM ресурсе.

Редовно ажурирање Вордпреса и система чини веб-сајт сигурнијим

Једна од најбољих ствари коју можете добити коришћењем Вордпреса је редовно ажурирање уз које добијате сигурносна побољшања захваљујући одржаваоцима и искуству целокупне заједнице. Ево шта се препоручује за ажурирање:

  • Вордпреса инсталација
  • Вордпреса теме
  • Вордпреса додаци
  • PHP верзија на серверу
  • Apache верзија
  • MySQL верзија
  • OS верзија
  • Остали софтвер који користите

Одржавање контакта са хостинг провајдером

Потребно је да будете обавештени и да се сами распитујете о ажурности софтвера и хардвера који ваш провајдер нуди. Сазнајте које превентивне мере су предузете против напада, као и са каквим решењима располаже када је опоравак вашег сајта у питању.

Користите сигурносне додатке

Постављање сигурносне заштите инсталацијом Вордпрес додатка може бити велики плус када је сигурност у питању. Много више о сигурносним додацима прочитајте у нашем раније чланку: Вордпрес прикључци за детектовање малициозног кода и заштиту, а посебну пажњу обратите на Wordfence додатак који може активно да прати и спречи DDoS напад на ваш Вордпрес сајт.

Како пратити нападе који се дешавају свакога минута широм планете?

Постоје неколико веб-сајтова који се баве праћењем и анализом, обрађивањем шаблона и учењем из познатих сценарија напада. Ево и примера са адекватним приказом информација:

digitalattackmap.com        и        map.norsecorp.com

И на једном и на другом, у реалном времену можете пратити нападе који трају. Да ли ће неки од ових сајтова у једном тренутку ухватити и вашу локацију као компромитовану, зависи од неколико фактора, а то колико сте озбиљно прихватили информације из текста изнад је само је један од њих.

ПРИЈАВИТЕ СЕ ЗА НАЈНОВИЈЕ ТЕКСТОВЕ СА НАШЕГ БЛОГА!

Tags: , , , , , ,

Нема коментара.

Пошаљи коментар