Na czym polega atak DoS?
Strona Główna
Artykuły
Na czym polega atak DoS?

Na czym polega atak DoS?

Początkujący
Opublikowane Jan 7, 2019Zaktualizowane Oct 25, 2023
4m

W skrócie, atak typu DoS - lub atak typu Odmowa Dostępu (ang. Denial of Service) - polega na zakłóceniu dostępu do danej usługi, serwisu lub sieci normalnym użytkownikom. Cel ten zazwyczaj osiągany jest poprzez przeładowanie danego zasobu (zazwyczaj serwera) za pośrednictwem ogromnej ilości ruchu (ang. traffic) lub poprzez wysyłanie dużej ilości szkodliwych zapytań, które ostatecznie prowadzą do utraty stabilności przez atakowany zasób lub jego całkowite wyłączenie.

Pierwszy udokumentowany atak typu DoS miał miejsce w Lutym 2000 r. Atak przeprowadzony został przez 15 letniego Kanadyjskiego hakera, który za cel obrał sobie serwery Amazonu oraz eBaya. Od tamtego czasu ilość ataków typu DoS w różnych branżach znacząco wzrosła. 


Rodzaje ataków DoS

Niektóre z rodzajów ataków DoS mają na celu zablokowanie lub uniemożliwienie dostępu do danego zasobu wskazanym osobom lub organizacjom. Inne z kolei skupiają się na całkowitym zatorowaniu dostępu dla wszystkich. Każdy z ataków może trwać kilka minut, godzin, a w najgorszym z przypadków nawet i dni. Każda z wymuszonych przerw w dostępie do zasobów często powoduje poważne straty finansowe dla przedsiębiorstw, które stają się ich celami, a które nie posiadają odpowiednich strategii łagodzenia ich skutków.

Ataki Denial of Service przybierają różne kształty i rozmiary. Ponieważ nie wszystkie urządzenia i sieci są narażone na takie wektory ataku (czyt. zagrożenia), atak często poprzedzony jest długim rozeznaniem na temat samego celu. Udany atak DoS coraz częściej jednak wzmaga w atakujących kreatywność ponieważ aby osiągnąć swój cel (zablokować dostęp do usługi) muszą oni wykorzystać różne luki w konfiguracji systemu czy też aplikacji.


Najbardziej znane rodzaje ataków typu DoS:


Przepełnienie bufora (ang. Buffer overflow attack)

Buffer overflow jest najczęściej spotykanym rodzajem ataku typu DoS. Polega on na przepełnieniu bufora czyli wysyłaniu większego ruchu do celu niż został on do tego zaprojektowany. Ten rodzaj ataku pozwala atakującemu całkowicie zawiesić atakowany cel, lub co gorsza przejąć nad nim kontrolę.


ICMP flood 

W przypadku ataku typu ICMP flood za cel obierany jest błędnie skonfigurowane urządzenie, które znajduje się w sieci docelowej na której działania chce wpłynąć atakujący. Skupienie się na zaatakowaniu źle skonfigurowanego urządzenia zmusza serwer ją obsługujący do dystrybucji fałszywych pakietów do każdego innego węzła (komputera) znajdującego się w sieci docelowej zamiast do pojedynczego węzła, co powoduje przeciążenie sieci. Atak ten często nosi nazwę "the ping of death" lub "smurf attack".


SYN flood 

Atak typu SYN flood polega na wysyłaniu żądania połączenia z serwerem sieciowym, które nigdy nie zostaje w pełni uwierzytelnione. Atak kierowany jest na wszystkie otwarte porty na docelowym serwerze sieciowym do momentu aż nie zostanie on ostatecznie uszkodzony (czyt. zawieszony). 


Atak typu DoS kontra DDoS

Innym często spotykanym atakiem jest DDoS, czyli w dosłownym tłumaczeniu Rozproszona Odmowa Usługi (ang. Distributed Denial-of-Service).  Różnica między atakiem typu Dos i DDoS polega na tym, że podczas ataku DDoS cel atakowany jest przez wiele rozproszonych “maszyn” (czyt. węzłów), a w przypadku DoS atak odbywa się z jednej maszyny. Ataki DDoS są w stanie zdecydowanie skuteczniej zakłócić pracę obranego celu niż ataki typu DoS. Atakujący coraz częściej wykorzystują DDoS ponieważ zapewniają im one większą odporność na zostanie wykrytym, ponieważ atak odbywa się z kilku punktów na raz.


Czy kryptowaluty są zagrożone atakami typu DDoS?

W większości przypadków ataki Denial of Service nakierowane są na serwery internetowe dużych korporacji, takich jak banki, sklepy internetowe, a coraz częściej usługi publiczne i rządowe. Każde urządzenie, serwer lub sieć podłączona do Internetu może stać się potencjalnym celem tego rodzaju ataków.

Biorąc pod uwagę rosnącą w ostatnich latach popularność kryptowalut, giełdy umożliwiające ich wymianę pomiędzy użytkownikami naturalnie stały się jednym z obiektów zainteresowania atakujących. Co więcej, strony Internetowe konkretnych kryptowalut również są zagrożone atakami typu DDoS. Przykładem udanego ataku jest moment uruchomienia kryptowaluty Bitcoin Gold, której witryna natychmiast po pojawieniu się w sieci Internet stała się celem potężnego ataku DDoS, który w końcu przerwał jej dostępność na wiele godzin.

Zdecentralizowany charakter sieci blockchain tworzy jednak silną warstwę ochronną przed atakami typu DDoS i innymi rodzajami cyberataków. Nawet jeśli kilka węzłów przestanie się komunikować z innymi lub po prostu przejdzie w tryb offline, sieć blockchain jest w stanie kontynuować swoje działanie i dalej walidować transakcje. W takiej sytuacji w momencie gdy uszkodzone węzły zdołają ponownie zacząć działać i wrócić do pracy, ponownie zsynchronizują się z najnowszymi danymi dostarczonymi przez te węzły, które nie były dotknięte problemem dostępu do sieci i/lub danych.

Stopień ochrony każdej sieci blockchain przed atakami typu DoS jest bezpośrednio skorelowany z liczbą węzłów uczestniczących w działaniu sieci i jej tzw. hash rate. Bitcoin będący jednocześnie najstarszą i największą kryptowalutą jest uważany za najbezpieczniejszy i odporny na ataki typu DoS i inne łańcuch bloków. 

Algorytm konsensusu sieci Bitcoin, a więc Proof of Work zapewnia, że wszystkie dane zawarte w blockchain są zabezpieczone przez szereg dowodów kryptograficznych. To sprawia, że praktycznie niemożliwym jest dokonanie zmian we wcześniej wprowadzonych danych (czyt. blokach). Zmiana jakichkolwiek już zapisanych informacji w łańcuchu bloków Bitcoina wymagałaby mocy obliczeniowej, która nie jest obecnie dostępna nawet na najpotężniejszych komputerach na naszej planecie.

Na dzień dzisiejszy nawet jeżeli atakujący zdołałby dokonać modyfikacji w sieci blockchain Bitcoina, to dotyczyłyby one kilku najnowszych bloków oraz krótkiego okna czasu. Co więcej, nawet jeśli atakujący zdoła kontrolować więcej niż 50% mocy obliczeniowej obecnej w sieci (ang. hashrate) i dokona udanego ataku typu 51%,  to mimo wszystko protokół odpowiedzialny za działanie sieci zostanie zaktualizowany jako odpowiedź na ten atak.