Co to DDoS? Jak rozpoznać atak DDoS?

Ataki DDoS (Distributed Denial of Service) to jedna z klas ataków DoS (Denial of Service). Atak DDoS polega na wykorzystaniu wielu połączonych urządzeń internetowych, wspólnie nazywanych botnetem, do przeciążenia docelowej witryny fałszywym ruchem.

W przeciwieństwie do innych rodzajów cyberataków, ataki DDoS nie mają na celu złamania zabezpieczeń. Ich zadaniem jest uniemożliwienie dostępu do witryny i serwerów zwykłym użytkownikom. Atak DDoS może być również wykorzystany jako zasłona dymna innych szkodliwych działań oraz może posłużyć do wyłączania urządzeń zabezpieczających – tak aby wystawić na ryzyko ostateczny cel ataku.

Udany atak DDoS to dobrze widoczne zdarzenie, które wpływa na całą bazę użytkowników online. Dlatego jest to popularna broń hakerów, wandali internetowych, szantażystów i wszystkich innych osób, które chcą zwrócić na siebie uwagę innych.

Ataki DDoS mogą przebiegać w krótkich seriach lub w sposób ciągły, ale w każdym przypadku wpływ na witrynę internetową lub firmę może utrzymywać się przez kilka dni, tygodni, a nawet miesięcy, w czasie których dana organizacja próbuje odzyskać kontrolę nad sytuacją. To sprawia, że atak DDoS może być niezwykle niszczycielski dla każdej organizacji internetowej. Ataki DDoS mogą między innymi prowadzić do utraty przychodów, podważać zaufanie konsumentów, zmuszać przedsiębiorstwa do wydawania fortun na odszkodowania oraz powodować długotrwałe szkody dla reputacji.

Różnice między zwykłymi i rozproszonymi atakami DoS są znaczne. W ataku DoS sprawca wykorzystuje lukę w oprogramowaniu lub zalewa cel fałszywymi żądaniami — zazwyczaj w celu wyczerpania zasobów serwera (na przykład pamięci RAM i procesora) — za pomocą pojedynczego połączenia internetowego.

Ataki rozproszone (DDoS) przeprowadza się z kolei z wielu połączonych urządzeń, które mogą być rozproszone po całym Internecie. Wykorzystanie wielu osób i wielu urządzeń sprawia, że ataki te są zwykle trudniejsze do odparcia — głównie ze względu na samą liczbę urządzeń, które biorą w nich udział. W przeciwieństwie do ataków DoS (z pojedynczego źródła), ataki DDoS są zazwyczaj ukierunkowane na infrastrukturę sieciową i próbują obciążyć ją nadmiernym ruchem.

Ataki DDoS różnią się także sposobem ich przeprowadzania. Ogólnie rzecz biorąc, do ataków DoS wykorzystuje się autorskie skrypty lub narzędzia DoS, podczas gdy ataki DDoS przeprowadza się za pomocą botnetów — dużych skupisk połączonych urządzeń (na przykład telefonów komórkowych, komputerów osobistych lub routerów) zainfekowanych złośliwym oprogramowaniem, które umożliwia atakującemu zdalną kontrolę.

Botnet to zbiór przejętych, połączonych z siecią urządzeń wykorzystywanych do cyberataków, które są zdalnie kontrolowane. Są to zazwyczaj komputery, telefony komórkowe, niezabezpieczone urządzenia IoT, a nawet zasoby publicznych usług przetwarzania w chmurze. Atakujący używają złośliwego oprogramowania i innych technik, aby przejąć urządzenie i zmienić je w swego rodzaju „zombie”, które staje się częścią botnetu.

Botnety umożliwiają atakującym przeprowadzanie ataków DDoS dzięki wykorzystaniu połączonej mocy wielu maszyn i ukrycia źródła ruchu. Tego typu ruch jest rozproszony, dlatego narzędzia i zespoły ds. bezpieczeństwa mają duże trudności z wykryciem ataku DDoS.

Ataki DoS można podzielić na dwie ogólne kategorie: ataki w warstwie aplikacji i ataki w warstwie sieci. Różnią się one zarówno przebiegiem, jak i celem samego ataku.

Ataki Dos lub DDoS w warstwie aplikacji (inaczej ataki w warstwie 7)

Ataki w warstwie aplikacji (inaczej ataki w warstwie 7) mogą być zagrożeniami typu DoS lub DDoS, które mają na celu przeciążenie serwera poprzez wysyłanie dużej liczby żądań, które wymagają obsługi i przetwarzania z intensywnym wykorzystaniem zasobów. Inne wektory ataku w tej kategorii obejmują HTTP flood, powolne ataki (np. Slowloris lub RUDY) i ataki DNS query flood.

Na przykład witryna gier komputerowych może stać się ofiarą potężnego ataku DNS flood, który w szczytowych momentach osiąga ponad 25 milionów pakietów na sekundę.

Wielkość ataków w warstwie aplikacji mierzy się zwykle w liczbie żądań na sekundę (RPS), przy czym do sparaliżowania większości średnich witryn internetowych potrzeba nie więcej niż 50–100 RPS.

Ataki DDoS w warstwie sieciowej (inaczej ataki w warstwie 3-4)

Ataki w warstwie sieciowej (inaczej ataki w warstwie 3–4) są prawie zawsze atakami DDoS, których celem jest zatkanie „kanałów” łączących daną sieć. Wektory ataku w tej kategorii obejmują UDP flood, SYN flood, NTP amplification, DNS amplification i inne.

Każdy z nich może posłużyć do zablokowania dostępu do serwerów, powodując jednocześnie poważne szkody operacyjne — takie jak zawieszenie konta i ogromne opłaty za przekroczenie limitów przesyłu danych.

Ataki DDoS prawie zawsze wywołują duże natężenie ruchu, które powszechnie mierzy się w gigabitach na sekundę (Gb/s) lub pakietach na sekundę (PPS). Największe ataki w warstwie sieciowej mogą osiągać wartość setek Gb/s, ale już 20–40 Gb/s wystarczy, aby całkowicie wyłączyć większość infrastruktur sieciowych.

„Atak DDoS” oznacza czynność, która polega na przeprowadzaniu ataku DDoS. Za tego typu ataki mogą odpowiadać osoby prywatne, firmy, a nawet całe państwa. Każdy z tych podmiotów może mieć swoje własne motywy.

Hakerzy aktywiści

Aktywiści stosują ataki DoS jako środek do wyrażania swojej krytyki wobec dowolnego zjawiska — od rządów i polityków, przez „wielki biznes”, aż po bieżące wydarzenia. Jeśli hakerzy nie zgadzają się z daną sprawą, związana z nią witryna może zostać wyłączona pokazowo („tango down”).

Hakerzy aktywiści są zazwyczaj mniej obeznani z technologią niż inne typy atakujących, dlatego często używają gotowych narzędzi do przeprowadzania ataków na swoje cele. Prawdopodobnie jedną z najbardziej znanych grup hakerów aktywistów jest Anonymous.

To oni odpowiadają za cyberatak skierowany przeciwko ISIS w lutym 2015 roku — po ataku terrorystycznym tej organizacji na redakcję paryskiego magazynu Charlie Hebdo —
a także za atak na rząd Brazylii i sponsorów mistrzostw świata w piłce nożnej w czerwcu 2014 roku.

Najczęstsza metoda ataku: DoS i DDoS.

Cyberwandalizm

Cyberwandali często określa się mianem „script kiddies” ze względu na ich przywiązanie do gotowych skryptów i narzędzi, których używają, aby wyrządzać krzywdy innym użytkownikom Internetu. Cyberwandale to często znudzeni nastolatkowie, którzy szukają zastrzyku adrenaliny albo chcą wyładować swoją złość lub frustrację na instytucji (na przykład szkole) lub osobie, która ich zdaniem ich skrzywdziła. Niektórzy z nich, rzecz jasna, szukają tylko uwagi i szacunku rówieśników.

Oprócz gotowych narzędzi i skryptów, cyberwandale korzystają także z usług DDoS do wynajęcia (booterów lub stresserów), które można kupić online już za 19 dolarów za sztukę.

Wymuszenia

Coraz popularniejszą motywacją ataków DDoS są wymuszenia, czyli sytuacje, w których cyberprzestępcy żądają pieniędzy w zamian za zatrzymanie (lub zaniechanie) niszczycielskiego ataku DDoS. Wiele znanych firm z branży oprogramowania online — w tym MeetUp, Bitly, Vimeo i Basecamp — otrzymywało groźby przeprowadzenia ataku DDoS, a usługi niektórych z nich były wyłączane po tym, jak odmówiły zrealizowania żądań przestępców.

Podobnie jak w przypadku cyberwandalizmu, przeprowadzenie tego rodzaju ataku jest możliwe dzięki istnieniu usług stresserów i booterów.

Najczęstsza metoda ataku: DDoS.

Konkurencja w biznesie

Ataki DDoS są coraz częściej wykorzystywane jako narzędzie do zwalczania konkurencji. Niektóre z tych ataków mają na celu uniemożliwienie konkurencji udziału w ważnym wydarzeniu (np. Cyber Monday), podczas gdy inne podejmuje się z myślą o całkowitym zablokowaniu działalności firm internetowych, nawet na wiele miesięcy.

W obu tych przypadkach chodzi o wywołanie zakłóceń, które skłonią klientów do przejścia do konkurencji, powodując jednocześnie straty finansowe i utratę reputacji. Koszt ataku DDoS w przypadku organizacji może wynosić nawet 40 000 dolarów na godzinę.

Ataki na tle biznesowym są często solidnie finansowane i realizowane przez profesjonalnych „najemników”, którzy zajmują się wczesnym rozpoznaniem, a następnie wykorzystują własne narzędzia i zasoby do przeprowadzania niezwykle agresywnych i uciążliwych ataków DDoS.

Najczęstsza metoda ataku: DDoS.

Wojny cybernetyczne

Ataki DDoS sponsorowane przez państwa służą do uciszania wewnętrznej opozycji i krytyków rządu, albo do zakłócania newralgicznych usług finansowych, zdrowotnych i infrastrukturalnych wrogich państw.

Za tego typu atakami stoją same państwa, co oznacza, że są to obficie finansowane i dobrze zorganizowane kampanie, realizowane przez profesjonalistów, którzy znają się na rzeczy.

Najczęstsza metoda ataku: DDoS.

Osobista rywalizacja

Ataki DoS mogą służyć również do załatwiania osobistych porachunków lub zakłócania rywalizacji w sieci między graczami. Często ma to miejsce przy wieloosobowych grach online, w których gracze przeprowadzają ataki DDoS przeciwko sobie nawzajem, a nawet przeciwko serwerom gier, aby zyskać przewagę lub uniknąć nieuchronnej porażki

Ataki na graczy to często ataki DoS, realizowane za pomocą powszechnie dostępnego złośliwego oprogramowania. Z kolei ataki na serwery gier to prawdopodobnie najczęściej ataki DDoS, inicjowane przez stressery i bootery.

Najczęstsza metoda ataku: DoS, DDoS.

Dostawcy usług DDoS oferują odpłatne przeprowadzanie ataków DDoS w imieniu innych osób. Tego typu usługi występują pod wieloma nazwami, takimi jak DDoSser, booter czy stresser. Szeroka dostępność usług DDoS do wynajęcia sprawia, że niemal każdy może przeprowadzić atak na dużą skalę.

Jednym z powodów, dla których przestępcy stosują konkretne nazwy swoich usług, jest funkcjonowanie pod przykrywką legalnej działalności. Usługi stresserów są zazwyczaj oferowane jako usługi testowania odporności serwerów na przeciążenia. W rzeczywistości jednak usługodawcy często nie sprawdzają, kto jest właścicielem „testowanego” serwera, co pozwoliłoby zapewnić legalność takich działań.

Z drugiej strony, dostawcy booterów i DDoSerów najczęściej nie próbują nawet ukryć nielegalnego charakteru swoich usług.

Przykład reklamowanych cen i możliwości bootera

Nie można zapobiec atakom DoS — cyberprzestępcy będą stale je przeprowadzać. Niektóre z nich dosięgną zadanego celu niezależnie od zastosowanych metod obrony. Istnieje jednak kilka środków zapobiegawczych, które można podjąć na własną rękę:

• Monitorowanie ruchu w celu wykrywania nieprawidłowości, w tym niewyjaśnionych skoków ruchu oraz wizyt z podejrzanych adresów IP i geolokalizacji — wszystko to może świadczyć o tym, że atakujący przeprowadzają „próby na sucho”, aby przetestować obronę przed przeprowadzeniem pełnego ataku; rozpoznawanie takich zdarzeń pozwoli przygotować się na nadchodzącą nawałnicę;
• Śledzenie mediów społecznościowych (szczególnie Twittera) i publicznych usług przechowywania tekstu (np. Pastebin.com) w poszukiwaniu zagrożeń, rozmów i przechwałek, które mogą wskazywać na nadchodzący atak;
• Rozważenie przeprowadzenia zewnętrznych testów DDoS (np. testów penetracyjnych), aby zasymulować atak na infrastrukturę IT, co pozwoli przygotować się na przyszłe zagrożenia; w takim przypadku warto przeprowadzić testy pod kątem szerokiej gamy ataków, nie tylko tych, które są nam znane;
• Opracowanie planu reakcji i powołanie zespołu szybkiego reagowania, czyli wyznaczonej grupy osób, których zadaniem będzie minimalizowanie skutków ataku; na etapie planowania należy wdrożyć procedury, które będą obowiązywać również zespoły ds. obsługi klienta i komunikacji, a nie tylko pracowników IT.

Aby jednak naprawdę zabezpieczyć się przed nowoczesnymi atakami DDoS, warto skorzystać z rozwiązania do łagodzenia skutków DDoS. Takie rozwiązania mogą być wdrażane lokalnie, ale częściej są udostępniane jako usługi przez zewnętrznych dostawców. Więcej informacji na temat usług łagodzenia skutków DDoS zawarliśmy w następnym rozdziale.

Pierwszym krokiem na etapie wyboru rozwiązania do łagodzenia skutków DDoS jest ocena ryzyka. Wymaga to udzielenia odpowiedzi na następujące podstawowe pytania:

• Które składniki infrastruktury wymagają ochrony?
• Jakie są wrażliwe miejsca lub pojedyncze punkty awarii?
• Co będzie potrzebne, aby je unieruchomić?
• Jak i kiedy dowiesz się, że jesteś na celowniku? Czy będzie już za późno?
• Jakie będą mierzalne i pozafinansowe skutki długotrwałej przerwy w działaniu usług?

Gdy uzyskasz te informacje, nadejdzie czas, aby ustalić priorytety poprzez analizę różnych opcji łagodzenia skutków DDoS dostępnych w granicach budżetu przeznaczonego na zabezpieczenia.
Ważne jest, aby proporcjonalnie do potencjalnych strat dopasować wydatki na ochronę swoich zasobów.

Kolejnym krokiem jest wybór metody ochrony. Najczęstszym i najskuteczniejszym sposobem wdrażania ochrony DDoS na żądanie w odniesieniu do podstawowych usług infrastrukturalnych w całej podsieci jest routing za pomocą protokołu bramy granicznej (ang. Border Gateway Protocol — BGP). Będzie on jednak działać tylko na żądanie, co będzie wymagało ręcznej aktywacji zabezpieczenia w przypadku ataku.

W związku z tym, jeśli potrzebujesz stałej ochrony swojej aplikacji internetowej przed DDoS, dobrym rozwiązaniem będzie użycie przekierowywania DNS. Będzie ono przekierowywać cały ruch w witrynie (HTTP/HTTPS) przez sieć dostawcy usług ochrony przed DDoS, która jest zwykle zintegrowana z siecią dostarczania treści (ang. content delivery network — CDN). Zaletą tego rozwiązania jest to, że większość sieci CDN oferuje dynamiczną skalowalność, co pozwala im wchłaniać ataki wolumetryczne, jednocześnie minimalizując opóźnienia i przyspieszając dostarczanie treści.

Łagodzenie skutków ataków w warstwie sieciowej

Zwalczanie ataków w warstwie sieciowej wymaga dodatkowej skalowalności, która wykracza poza to, co może zaoferować nasza własna sieć.

W związku z tym, w przypadku ataku ogłaszany jest komunikat BGP, który ma na celu zapewnienie, że cały ruch przychodzący będzie kierowany przez zestaw tzw. centrów oczyszczania, z których każde jest zdolne do przetwarzania ruchu na poziomie setek Gb/s. Wydajne serwery zlokalizowane w centrach oczyszczania będą następnie odfiltrowywać złośliwe pakiety, przekazując „czysty” ruch do serwera źródłowego przez tunel GRE.

Ta metoda zapewnia ochronę przed atakami typu direct-to-IP i jest zazwyczaj zgodna ze wszystkimi typami infrastruktur i protokołów komunikacyjnych (np. UDP, SMTP, FTP, VoIP).

Ochrona przed atakami NTP amplification: 180 Gb i 50 milionów pakietów na sekundę

Łagodzenie skutków ataków w warstwie aplikacji

Łagodzenie skutków ataków w warstwie aplikacji opiera się na rozwiązaniach do profilowania ruchu, które mogą być skalowane na żądanie, a jednocześnie są w stanie odróżnić złośliwe boty od normalnych użytkowników witryny.

W przypadku profilowania ruchu najlepsze praktyki wymagają heurystyki opartej na sygnaturach i zachowaniach, połączonej z oceną reputacji IP i stopniowym wdrażaniem wyzwań związanych z bezpieczeństwem (na przykład plikami JS i cookie).

Łagodzenie skutków ośmiodniowego ataku HTTP flood: 690 milionów żądań DDoS z 180 000 adresów IP botnetów

Wszystkie te elementy dokładnie odfiltrowują złośliwy ruch botów, chroniąc warstwę aplikacji przed atakami bez żadnego wpływu na odwiedzających.

Imperva oferuje rozwiązanie do ochrony przed atakami DDoS, które szybko łagodzi ich skutki na dużą skalę, bez negatywnego wpływu na legalnych użytkowników usług. Imperva zapewnia ochronę witryn i aplikacji internetowych, sieci i podsieci, serwerów nazw domen (DNS) oraz poszczególnych adresów IP.

Rozwiązanie Imperva wykrywa i łagodzi każdy rodzaj ataku DDoS, w tym TCP SYN+ACK, TCP Fragment, UDP, Slowloris, Spoofing, ICMP, IGMP, HTTP Flood, Brute Force, Connection Flood, DNS Flood, NXDomain, Ping of Death, Smurf, Reflected ICMP i UDP.

Zalety rozwiązania Impervy:

• obsługa Anycast i Unicast, która pozwala na automatyczne wykrywanie ataków i luk w zabezpieczeniach oraz reagowanie na nie,
• gwarancja SLA — ataki będą blokowane w ciągu trzech sekund lub krócej, co zapobiegnie przestojom i skróci czas wznawiania pracy,
• sieć o dużej przepustowości zdolna do analizowania ponad 65 miliardów pakietów na sekundę,
• panele nawigacyjne, które pozwalają wyświetlać aktualny stan, identyfikować ataki DDoS i analizować parametry ataków.