Rodzaje i cele ataków DDoS

Ataki sieciowe DDoS to obecnie jedno z najpoważniejszych zagrożeń dla użytkowników Internetu. Dotyczy też firm, w tym działających w sektorach: bankowym, ubezpieczeniowym i gamingowym, a także instytucji państwowych. Sukcesywnie rośnie skala zagrożeń z tym związanych – w czwartym kwartale 2021 r. zanotowano 29% więcej zdarzeń niż w analogicznym okresie 2020 r. Incydenty stają się coraz bardziej niebezpieczne, gdyż w 2021 r. średni rozmiar ataku wyniósł ponad 21 GB/s, a więc czterokrotnie więcej niż w 2020 r. Cyberprzestępcy stosują zróżnicowane metody służące do blokowania serwerów. W artykule omówimy rodzaje ataków hakerskich typu DDoS.

Ataki na strony internetowe DDoS stale ewoluują. W odpowiedzi na działania podejmowane przez służby policyjne oraz rozwój systemów bezpieczeństwa hakerzy zmieniają metody, aby zwiększyć ich skuteczność. Obecnie stosują zróżnicowane metody distributed denial of service, czyli rozproszonej odmowy usługi. Skupimy się na tych, które ujawniają się najczęściej i wywołują najpoważniejsze zagrożenia.

Typy ataków DDoS – podział ze względu na atakowaną warstwę

Opisując rodzaje ataków hakerskich typu DDoS, trzeba zauważyć, że dotyczą one warstw w modelu OSI. Takie warstwy służą do komunikacji sieciowej, ułatwiając wymianę informacji oraz projektowanie i wdrażanie rozwiązań technicznych czy programowych. Cyberprzestępcy wykorzystują słabości i luki w zabezpieczeniach protokołów, doprowadzając do blokowania serwisów internetowych.

Atak DDoS może objąć każdą z warstw, a więc, poczynając od najniższej:

• fizyczną – zagrożenia wywołuje destrukcja serwera w wyniku przeciążenia nadmierną liczbą żądań, a także manipulacja danymi na zaatakowanych urządzeniach,
• łącza danych – spotykany jest MAC Flooding, polegający na zapełnieniu pamięci CAM i zakłóceniu pracy przełączników, co uniemożliwia łączenie segmentów sieci komputerowych oraz przepływ danych między nadawcą a odbiorcą,
• sieciową – ataki wolumetryczne typu ICMP Flooding, w których maszyna jest blokowana w wyniku konieczności ciągłego odpowiadania na żądania ECHO, a więc pingi (normalnie służą do wykonywania testów szybkości łącza i sprawności serwera),
• transportu – incydenty typu SYN Flood, polegające na wysyłaniu, najczęściej ze sfałszowanego adresu źródłowego, ogromnej liczby pakietów SYN, na które serwer musi odpowiedzieć; inne metody to przeciążenie komputerami pakietami ACK albo smurf attack, w którym spreparowane pingi są wysyłane na adres rozgłoszeniowy sieci składającej się z wielu komputerów,
• sesji – uderzenia w protokół SSL, w których dochodzi do renegocjowania połączeń (stałe kończenie i rozpoczynanie przesyłu danych), a także wykorzystywanie przez hakerów luk w zabezpieczeniach serwera Telnet, który umożliwia zdalne zalogowanie się do innego urządzenia działającego w tej samej sieci,
• prezentacji – Malformed SSL Requests, czyli wysyłka zniekształconych żądań SSL i wyczerpanie zasobów serwera,
• aplikacji – stosowanie ogromnej liczby pakietów HTTP GET czy HTTP POST.

Szczególnie często ataki sieciowe dotyczą warstw od trzeciej i czwartej, gdyż zapewniają dużą skuteczność i szybkie zalanie systemu komputerowego czy usługi sieciowej wieloma zapytaniami na raz.

DRDoS, amplification DDoS i inne typy ataków DDoS

DDoS obejmuje różne metody i ataki hakerskie. Rodzaje, które ujawniają się szczególnie często, dotyczą działań umożliwiających wysyłkę odpowiedzi w rozmiarze znacznie przekraczającym rozmiar zapytań, co prowadzi do szybkiej blokady serwera. Należy wyodrębnić:

• DRDoS (distributed reflected denial of service, czyli rozproszony odbity atak odmowy dostępu) – spreparowane żądania zostają wysłane z adresu IP nadawcy, który jest rzeczywistą ofiarą ataku, do przypadkowych urządzeń i każde z nich udziela odpowiedzi; w ten sposób za pomocą relatywnie małych zasobów atakującego można wygenerować odpowiedź nawet do 50 tys. razy większą niż zapytanie,
• amplification DDoS – poza techniką odbicia metoda bazuje również na wzmocnieniu, które osiąga się dzięki wysłaniu zapytań do serwerów DNS za pomocą armii zombie, a więc przejętych przez hakerów urządzeń.

Cyberprzestępcy wykorzystują również ataki typu ReDoS (regular expression denial of service – odmowa dostępu poprzez wyrażenie regularne). Za ich pośrednictwem aplikacja jest blokowana w wyniku przesyłania nieprawdziwych i skomplikowanych danych, które wymagają złożonej analizy. Atak DDoS na IP może przybrać postać LAND – adres ofiary jest zarówno nadawcą, jak i odbiorcą przesyłanych pakietów danych, co powoduje blokadę połączenia sieciowego.

Inna odmiana to APDoS. Tego typu atak jest szczególnie groźny dla dużych sieci IT, przy czym zagrożenie może pozostać nierozpoznane nawet przez wiele miesięcy czy lat – służą do tego rootkity. Metoda wykorzystuje mechanizm APT (advanced persistent threat). Atak następuje w ramach 3 etapów:

• przygotowanie – zgromadzenie informacji o ofierze, analiza stosowanych przez nią zabezpieczeń,
• wtargnięcie – instalacja tzw. backdoor, czyli „tylnych drzwi”, przez które następuje przełamanie zabezpieczeń,
• aktywne włamanie – uzyskanie pełnej kontroli nad zainfekowanym urządzeniem i wykorzystanie go do przestępczej działalności.

Warto wspomnieć jeszcze o atakach Hit-and-run DoS. Odbywają się one cyklicznie i trwają przez kilka godzin czy dni, a następnie, po upływie określonego czasu, są ponawiane.

Atakując witrynę sieciową, cyberprzestępcy dążą do jej zablokowania. Staje się ona niedostępna dla użytkowników, co powoduje, że jej właściciel ponosi znaczne straty:

• finansowe – nie jest możliwa sprzedaż produktów bądź intensyfikacja relacji biznesowych z kontrahentami (w przypadku giełd), a często konieczna jest zapłata kary umownej z tytułu niewykonania usługi,
• wizerunkowe – wyświetlanie informacji o niedostępności serwisu zniechęca użytkowników do korzystania z niego i wpływa na spadek popularności marki oraz utratę zaufania do niej.

Częstym powodem ataku na stronę WWW jest chęć uzyskania okupu – zdesperowany właściciel, jeśli nie jest w stanie odzyskać kontroli nad serwerem, często decyduje się zapłacić hakerom pieniądze.

Pozostałe czynniki to odwrócenie uwagi od innych nielegalnych działań podejmowanych względem właściciela (zajęty przywracaniem sprawności serwisu może nie zauważyć, że z jego konta bankowego kradzione są pieniądze) czy wymuszenie jakiegoś działania, w tym w sferze politycznej.

Atak DDoS na IP – co chce osiągnąć cyberprzestępca?

Poszczególne rodzaje ataków hakerskich są często skierowane na konkretne adresy IP. Dlaczego? Głównie po to, by haker:

• dotarł do danych, które stanowią na przykład tajemnicę przedsiębiorstwa,
• zdezorganizował funkcjonowanie określonej instytucji, w tym rządowej,
• wywołał efekt oczekiwany przez konkurencję atakowanego, jeśli działa na jej zlecenie.

Częstym celem ataków DDoS jest osiągnięcie korzyści finansowych w wyniku oszustwa internetowego. Na przykład dzięki metodzie APDoS można wykorzystać komputer używany przez jednego z pracowników przedsiębiorstwa do wykonania przelewu na konto, którym dysponują cyberprzestępcy.

Czy ataki DDoS mogą być przeprowadzane w słusznym celu?

Ataki DDoS nierzadko są realizowane w celu zwrócenia uwagi publicznej na określony problem. Często zmierzają do promowania ważnych celów społecznych, gospodarczych i politycznych. Czy wówczas można jednak mówić o tym, że są podejmowane w słusznej sprawie?

Trudno orzec. Na określenie tego typu działań używa się terminu „haktywizm” – na przykład członkowie ruchu Anonymous biorą udział w masowych protestach społecznych, a także podejmują inicjatywy na rzecz wolności, pokoju i praw człowieka. Czasem jednak trudno odróżnić haktywizm od cyberprzęstepczości, dlatego jest to zjawisko, którego nie można jednoznacznie ocenić. Wiele zależy od perspektywy, z której próbujemy ustosunkować się do zjawiska.

Dowiedz się więcej na temat przyczyn ataków hakerskich.

Ataki DDoS przybierają zróżnicowane formy. Mogą objąć którąś z warstw komunikacji sieciowej OSI, a także bazować na mechanizmie APT. Ze względu na wiele rodzajów ataków hakerskich walka z nimi jest utrudniona.