सेवा के अस्वीकार (डीओएस) हमलों के सबसे आम प्रकार
इसके मूल में, सेवा हमले का एक अस्वीकार आमतौर पर सर्वर-कहने, वेब साइट के सर्वर को बाढ़ करके किया जाता है-इतना है कि यह वैध उपयोगकर्ताओं को अपनी सेवाएं प्रदान करने में असमर्थ है। ऐसा कुछ तरीकों से किया जा सकता है, टीसीपी बाढ़ के हमलों और डीएनएस एम्पलीफिकेशन हमलों के सबसे आम हैं।
टीसीपी बाढ़ हमले
लगभग सभी वेब (HTTP / HTTPS) यातायात ट्रांसमिशन कंट्रोल प्रोटोकॉल (टीसीपी) का उपयोग करके किया जाता है। वैकल्पिक, उपयोगकर्ता डेटाग्राम प्रोटोकॉल (यूडीपी) की तुलना में टीसीपी में अधिक ओवरहेड है, लेकिन इसे विश्वसनीय होने के लिए डिज़ाइन किया गया है। टीसीपी के माध्यम से एक दूसरे से जुड़े दो कंप्यूटर प्रत्येक पैकेट की प्राप्ति की पुष्टि करेंगे। अगर कोई पुष्टि प्रदान नहीं की जाती है, तो पैकेट फिर से भेजा जाना चाहिए।
क्या होता है यदि एक कंप्यूटर डिस्कनेक्ट हो जाता है? हो सकता है कि कोई उपयोगकर्ता शक्ति खो देता है, उनके आईएसपी में विफलता है, या जो भी एप्लीकेशन वे अन्य कंप्यूटर को सूचित किए बिना छोड़कर उपयोग कर रहे हैं। अन्य क्लाइंट को एक ही पैकेट को फिर से भेजने को रोकने की जरूरत है, अन्यथा यह संसाधनों को बर्बाद कर रहा है। कभी-कभी समाप्त होने वाले ट्रांसमिशन को रोकने के लिए, टाइमआउट अवधि निर्दिष्ट नहीं होती है और / या कनेक्शन को पूरी तरह से छोड़ने से पहले कितनी बार पैकेट को फिर से भेजा जा सकता है, इस पर एक सीमा निर्धारित की जाती है।
टीसीपी को आपदा की स्थिति में सैन्य अड्डों के बीच विश्वसनीय संचार की सुविधा के लिए डिज़ाइन किया गया था, लेकिन यह बहुत ही डिजाइन इसे सेवा हमलों से इनकार करने के लिए कमजोर छोड़ देता है। जब टीसीपी बनाया गया था, तो किसी ने भी इमेज नहीं किया कि इसका उपयोग एक अरब से अधिक क्लाइंट डिवाइसों द्वारा किया जाएगा। सेवा हमलों के आधुनिक इनकार के खिलाफ संरक्षण सिर्फ डिजाइन प्रक्रिया का हिस्सा नहीं था।
वेब सर्वर के खिलाफ सेवा हमले का सबसे आम अस्वीकार SYN (सिंक्रनाइज़) पैकेट स्पैमिंग द्वारा किया जाता है। एक एसईएन पैकेट भेजना एक टीसीपी कनेक्शन शुरू करने का पहला कदम है। SYN पैकेट प्राप्त करने के बाद, सर्वर एक SYN-ACK पैकेट के साथ प्रतिक्रिया करता है (पावती सिंक्रनाइज़ करें)। अंत में, ग्राहक कनेक्शन को पूरा करते हुए एक एसीके (पावती) पैकेट भेजता है।
हालांकि, यदि ग्राहक एक निर्धारित समय के भीतर SYN-ACK पैकेट का जवाब नहीं देता है, तो सर्वर फिर से पैकेट भेजता है, और प्रतिक्रिया के लिए प्रतीक्षा करता है। यह इस प्रक्रिया को बार-बार दोहराएगा, जो सर्वर पर मेमोरी और प्रोसेसर समय बर्बाद कर सकता है। वास्तव में, यदि पर्याप्त किया जाता है, तो यह इतनी मेमोरी और प्रोसेसर समय बर्बाद कर सकता है कि वैध उपयोगकर्ताओं को उनके सत्र कम हो जाते हैं, या नए सत्र शुरू करने में असमर्थ होते हैं। इसके अतिरिक्त, सभी पैकेटों से बढ़ी हुई बैंडविड्थ उपयोग नेटवर्क को संतृप्त कर सकती है, जिससे वे वास्तव में इच्छित ट्रैफ़िक को ले जाने में असमर्थ हो जाते हैं।
डीएनएस प्रवर्धन हमले
सेवा हमलों से इनकार करने से डीएनएस सर्वर पर भी लक्ष्य हो सकता है: सर्वर जो डोमेन नाम (जैसे howtogeek.com) का आईपी पते (12.345.678.900) में अनुवाद करते हैं, जो कंप्यूटर संचार करने के लिए उपयोग करते हैं। जब आप अपने ब्राउज़र में howtogeek.com टाइप करते हैं, तो यह एक DNS सर्वर पर भेजा जाता है। DNS सर्वर तब आपको वास्तविक वेबसाइट पर निर्देशित करता है। गति और कम विलंबता DNS के लिए प्रमुख चिंताएं हैं, इसलिए प्रोटोकॉल टीसीपी के बजाय यूडीपी पर काम करता है। DNS इंटरनेट के बुनियादी ढांचे का एक महत्वपूर्ण हिस्सा है, और DNS अनुरोधों द्वारा खपत बैंडविड्थ आम तौर पर न्यूनतम होती है।
हालांकि, डीएनएस धीरे-धीरे बढ़ी, नई सुविधाओं को समय के साथ धीरे-धीरे जोड़ा जा रहा है। इसने एक समस्या पेश की: DNS में 512 बाइट्स की एक पैकेट आकार सीमा थी, जो उन सभी नई सुविधाओं के लिए पर्याप्त नहीं थी। इसलिए, 1 999 में, आईईईई ने डीएनएस (ईडीएनएस) के लिए विस्तार तंत्र के लिए विनिर्देश प्रकाशित किया, जिसने कैप को 4096 बाइट तक बढ़ा दिया, जिससे प्रत्येक अनुरोध में अधिक जानकारी शामिल की जा सके।
हालांकि, इस परिवर्तन ने DNS को "प्रवर्धन हमलों" के लिए कमजोर बना दिया। एक हमलावर विशेष रूप से डीएनएस सर्वर को तैयार किए गए अनुरोध भेज सकता है, बड़ी मात्रा में जानकारी मांगता है, और उन्हें अपने लक्ष्य के आईपी पते पर भेजने के लिए कह सकता है। एक "प्रवर्धन" बनाया गया है क्योंकि सर्वर की प्रतिक्रिया इसे उत्पन्न करने के अनुरोध से काफी बड़ी है, और DNS सर्वर जाली आईपी को इसकी प्रतिक्रिया भेज देगा।
कई DNS सर्वर खराब अनुरोधों को पहचानने या छोड़ने के लिए कॉन्फ़िगर नहीं किए जाते हैं, इसलिए जब हमलावर बार-बार जाली अनुरोध भेजते हैं, तो पीड़ित को विशाल ईडीएनएस पैकेट के साथ बाढ़ आती है, जिससे नेटवर्क को भीड़ मिलती है। इतना डेटा संभालने में असमर्थ, उनके वैध यातायात खो जाएगा।
तो एक वितरित अस्वीकार सेवा (डीडीओएस) हमला क्या है?
सेवा हमले का एक वितरित अस्वीकार वह है जिसमें एकाधिक (कभी-कभी अनजान) हमलावर होते हैं। वेब साइट्स और एप्लिकेशन कई समवर्ती कनेक्शनों को संभालने के लिए डिज़ाइन किए गए हैं-आखिरकार, वेब साइट बहुत उपयोगी नहीं होगी अगर केवल एक ही व्यक्ति एक समय में जा सके। Google, फेसबुक या अमेज़ॅन जैसी विशाल सेवाएं लाखों या लाखों समवर्ती उपयोगकर्ताओं को संभालने के लिए डिज़ाइन की गई हैं। इसके कारण, एक हमलावर के लिए सेवा हमले से इनकार करने के लिए उन्हें कम करने के लिए संभव नहीं है। परंतु अनेक हमलावर कर सकते थे।
हमलावरों की भर्ती की सबसे आम विधि एक बोनेट के माध्यम से है।एक बॉटनेट में, हैकर्स मैलवेयर के साथ इंटरनेट से जुड़े सभी प्रकार के उपकरणों को संक्रमित करते हैं। वे डिवाइस आपके घर में कंप्यूटर, फोन या यहां तक कि अन्य डिवाइस भी हो सकते हैं, जैसे डीवीआर और सुरक्षा कैमरे। एक बार संक्रमित होने पर, वे निर्देशों के लिए समय-समय पर कमांड और नियंत्रण सर्वर से संपर्क करने के लिए उन उपकरणों (ज़ोंबी कहा जाता है) का उपयोग कर सकते हैं। ये आदेश खनन क्रिप्टोक्रांस से लेकर, हां, डीडीओएस हमलों में भाग ले सकते हैं। इस तरह, उन्हें एक साथ बैंड के लिए हैकर्स की एक टन की आवश्यकता नहीं है, वे सामान्य घर के उपयोगकर्ताओं के असुरक्षित उपकरणों का उपयोग अपने गंदे काम करने के लिए कर सकते हैं।
अन्य डीडीओएस हमलों को स्वेच्छा से किया जा सकता है, आमतौर पर राजनीतिक रूप से प्रेरित कारणों से। लो ऑर्बिट आयन कैनन जैसे ग्राहक डीओएस हमलों को सरल बनाते हैं और वितरित करना आसान होते हैं। ध्यान रखें कि अधिकांश देशों में (जानबूझकर) डीडीओएस हमले में भाग लेना अवैध है।
अंत में, कुछ डीडीओएस हमले अनजाने हो सकते हैं। मूल रूप से स्लेशडॉट प्रभाव के रूप में जाना जाता है और मौत के रूप में सामान्यीकृत किया जाता है, वैध ट्रैफिक की भारी मात्रा एक वेबसाइट को अपंग कर सकती है। आपने शायद यह देखा होगा कि एक छोटे से ब्लॉग के लिए लोकप्रिय साइट लिंक और उपयोगकर्ताओं का एक बड़ा प्रवाह गलती से साइट को नीचे लाता है। तकनीकी रूप से, यह अभी भी डीडीओएस के रूप में वर्गीकृत है, भले ही यह जानबूझकर या दुर्भावनापूर्ण न हो।
मैं सेवा हमलों से इनकार करने के खिलाफ खुद को कैसे सुरक्षित रख सकता हूं?
विशिष्ट उपयोगकर्ताओं को सेवा हमलों से इनकार करने का लक्ष्य होने के बारे में चिंता करने की ज़रूरत नहीं है। स्ट्रीमर्स और समर्थक gamers के अपवाद के साथ, एक व्यक्ति पर एक डीओएस के लिए बहुत दुर्लभ है। उस ने कहा, आपको अभी भी अपने सभी उपकरणों को मैलवेयर से बचाने के लिए सबसे अच्छा करना चाहिए जो आपको बोनेट का हिस्सा बना सकता है।
यदि आप किसी वेब सर्वर के व्यवस्थापक हैं, तो, डीओएस हमलों के खिलाफ आपकी सेवाओं को सुरक्षित करने के तरीके के बारे में जानकारी है। सर्वर कॉन्फ़िगरेशन और उपकरण कुछ हमलों को कम कर सकते हैं। अन्य लोगों को यह सुनिश्चित करके रोका जा सकता है कि अनधिकृत उपयोगकर्ता ऐसे ऑपरेशन नहीं कर सकते हैं जिनके लिए महत्वपूर्ण सर्वर संसाधनों की आवश्यकता होती है। दुर्भाग्यवश, एक डीओएस हमले की सफलता अक्सर निर्धारित होती है कि किसके पास बड़ी पाइप है। क्लाउडफ्लेयर और इंकापुला जैसी सेवाएं वेबसाइटों के सामने खड़े होकर सुरक्षा प्रदान करती हैं, लेकिन महंगा हो सकती हैं।
