Czym jest atak DDoS?

Jednym z najpotężniejszych ataków na dzisiejszy internet jest atak typu Distributed Denial of Service, czyli DDoS. Jego potęga tkwi w wszechstronności – za każdym razem, gdy eksperci ds. bezpieczeństwa informacji sądzą, że widzieli już wszystko, pojawia się nowa wersja tego ataku. Tak dzieje się od momentu, gdy ataki te pojawiły się po raz pierwszy na początku XXI wieku.

Eugene Kaspersky, legendarny pionier cyberbezpieczeństwa, najlepiej ujął to na swoim blogu, omawiając ten temat :

„Ataki DDoS ewoluowały bardzo szybko… Stały się o wiele bardziej złośliwe i zaawansowane technicznie; od czasu do czasu stosują zupełnie nietypowe metody ataku; atakują nowe, świeże cele i biją rekordy świata w największych i najgroźniejszych atakach DDoS w historii. Ale świat, w którym funkcjonują ataki DDoS, również ewoluował bardzo szybko. Wszystko, łącznie z kuchennym zlewem, jest online: liczba różnorodnych „inteligentnych” urządzeń podłączonych do sieci znacznie przewyższa liczbę starych, dobrych komputerów stacjonarnych i laptopów”.

Podstawową ideą ataku DDoS jest przeciążenie celu do momentu, aż nie będzie on mógł funkcjonować zgodnie z przeznaczeniem. Jego początki sięgają ataku Denial-of-Service (DoS), ale to, co je odróżnia, to liczba zaangażowanych maszyn. W ataku DoS jedna maszyna atakuje cel. Natomiast w ataku DDoS atakująca maszyna jest wspomagana przez wiele innych maszyn.

Te maszyny nazywane są botnetem, co jest połączeniem słów „robot” i „sieć”. Botnet składa się z setek, tysięcy, a nawet milionów urządzeń kontrolowanych przez atakującego. Maszyny tworzące botnet nazywane są zombie. Termin „zombie” sugeruje, że komputer jest kontrolowany przez infekcję (podobnie jak fikcyjne potwory). Zombie są albo infekowane złośliwym oprogramowaniem, albo wykorzystywane poprzez lukę w zabezpieczeniach oprogramowania. Sterowanie tymi zombie odbywa się za pośrednictwem serwera Command-and-Control (C2). Wszystkie polecenia wysyłane przez atakującego do maszyn są przesyłane za pośrednictwem serwera C2.

Kiedyś do kontrolowania botnetów potrzebna była osoba ze specjalistyczną wiedzą. Obecnie jednak każdy, kto ma dostęp do kryptowaluty, takiej jak Bitcoin, może wynająć botnet. DDoS jako usługa (DDoS-as-a-Service), stało się poważnym zagrożeniem, ponieważ pozwala „skryptowym dzieciakom” na chwilę odgrywać rolę hakerów. Za każdym razem, gdy stosowana jest metoda DDoS jako usługa, klient otrzymuje łatwy w obsłudze interfejs użytkownika. Strona ta działa jako serwer poleceń i kontroli w formie graficznego interfejsu użytkownika (GUI). Jej obsługa nie wymaga dużej wiedzy technicznej, co czyni ją jeszcze bardziej niebezpieczną.

Nowoczesne strategie cyberbezpieczeństwa wymagają nie tylko zrozumienia potencjalnych zagrożeń, takich jak botnety wykorzystywane w atakach DDoS, ale także skutecznego zarządzania przy użyciu zaawansowanych narzędzi AMS w celu wykrywania i ograniczania luk w zabezpieczeniach zanim zostaną one wykorzystane przez atakujących.

Wiele destrukcyjnych botnetów jest dostępnych za pomocą szyfrowanej płatności, a znaczna część z nich stanowi większość odnotowanych ataków DDoS. Najbardziej znanym przypadkiem było wykorzystanie przez Lizard Squad wynajętego botnetu do zniszczenia Xbox Live , PlayStation Network, a nawet północnokoreańskich stron rządowych . Ta banda trolli i „skryptowych dzieciaków” zaatakowała cele o wysokim priorytecie z furią niespotykaną od lat, być może od czasu ataków hakerskich Anonymous. Zdobyli znaczący rozgłos medialny i choć ich arogancja ostatecznie doprowadziła do nich władze, pozostawili po sobie chaos.

Więcej o botnetach: Znane przykłady

Botnety ewoluowały na przestrzeni lat, a ich przeznaczeniem nie zawsze było przeprowadzanie ataków DDoS. Oto kilka najważniejszych przykładów:

Spamer Earthlink:

Stworzony przez Khana K. Smitha w 2000 roku, był prawdopodobnie pierwszym znaczącym botnetem. Jego celem nie były ataki DDoS, lecz masowe wysyłanie wiadomości phishingowych. Niezależnie od tego, czy był celowy, czy nie, atak DDoS narodził się właśnie tutaj, wraz z powstaniem mechanizmu jego tworzenia. Inne botnety, takie jak Cutwail z 2007 roku, podążały za tym stylem ataku phishingowego.

Marudzić:

Ten botnet wygenerował znaczną część światowego ruchu spamowego w 2010 roku. Powstał w 2008 roku i przed zamknięciem w 2012 roku około 18% globalnego spamu pochodziło z Grum. Wiadomości spamowe były zazwyczaj adresowane do firm farmaceutycznych. Te wiadomości spamowe były oczywiście złośliwymi próbami zainfekowania użytkowników. Do dziś duża liczba infekcji złośliwym oprogramowaniem jest wynikiem tego typu spamu.

Conficker:

Botnety utworzone przez złośliwe oprogramowanie Conficker były legendarne. Był to wirus-robak, który z łatwością przenikał systemy obronne i stał się jednym z największych botnetów w pierwszej dekadzie XXI wieku. Łącznie 4 miliony komputerów zostało zainfekowanych i utworzyło botnet. Jego szczyt przypadł na 2009 rok, a szacuje się, że zainfekował on około 15 milionów komputerów na całym świecie. Jak pokazują dane, nie wszystkie zainfekowane maszyny dołączyły do botnetu.

Mariposa:

Ten botnet, po hiszpańsku „motyl”, nie był niczym subtelnym. Był to jeden z najgroźniejszych i najpotężniejszych botnetów, jakie widziano w 2009 roku. Mariposa wykorzystywała połączenie sieci peer-to-peer (P2P), złośliwych łączy internetowych i pendrive’ów z oprogramowaniem (popularna taktyka socjotechniczna). Ostatecznie zaangażowało się FBI, które namierzyło serwer C2 Mariposy i go wyłączyło. Zanim jednak do tego doszło, Mariposa zainfekowała ogromną część firm z listy Fortune 500. Był to również jeden z pierwszych botnetów DDoS-as-a-Service w historii.

Mirai:

Mirai, pierwszy botnet wykorzystujący urządzenia IoT, zmienił krajobraz zagrożeń na zawsze. Nie tylko komputery stawały się członkami botnetu, ale każde inteligentne urządzenie, które mogło zostać wykorzystane (lodówki, telewizory i wiele innych). Mirai samo w sobie było złośliwym oprogramowaniem stworzonym do wykorzystywania serwerów Minecraft, ale stworzyło coś znacznie wykraczającego poza gry. Główną przyczyną rozprzestrzeniania się Mirai były słabe praktyki bezpieczeństwa IoT.

Botnet jest wszechstronny, łatwo dostępny i potężny. Nic dziwnego, że ataki DDoS są przez niego tak łatwo przeprowadzane.

Znane ataki DDoS

Aby w pełni zrozumieć siłę rozproszonego ataku typu „odmowa usługi” (Distributed Denial-of-Service), podobnie jak w przypadku botnetów, konieczne jest zbadanie znanych incydentów. To, co następuje, dalekie jest od wyczerpującej listy i analizy, ale powinno rzucić światło na to, jak niebezpieczny jest atak DDoS.

GitHub:

W 2018 roku popularna witryna z repozytoriami oprogramowania padła ofiarą potężnego ataku DDoS. Atak osiągnął prędkość 1,35 Tb/s na sekundę i przeciążył serwery GitHub. Firma miała wdrożoną ochronę przed atakami DDoS, ale po prostu nie była w stanie wytrzymać tak rekordowej fali ataków. Według GitHub, tysiące autonomicznych maszyn zaatakowało dziesiątki tysięcy unikalnych punktów końcowych.

Cloudflare:

Nazwa Cloudflare jest synonimem ochrony przed atakami DDoS, więc nie powinno dziwić, że hakerzy wszelkiej maści chcą testować ich zabezpieczenia. W 2014 roku Cloudflare doświadczyło ataku DDoS z odbiciem NTP. W rezultacie serwery były obciążone przepustowością 400 Gb/s na sekundę.

Igrzyska Olimpijskie w Rio:

W 2015 roku Letnie Igrzyska Olimpijskie w Rio de Janeiro w Brazylii przygotowywały się do rozpoczęcia z pełną mocą. Jednocześnie w pełni rozgorzał potężny atak DDoS, prowadzony przez botnet DDoS-as-a-Service (DDoS-as-a-Service). Botnet o nazwie LizardStresser współpracował z innymi botnetami i atakował oficjalne strony internetowe komitetów olimpijskich. Ataki trwały miesiącami, zakłócając funkcjonowanie domen. W szczytowym momencie przepustowość ataków osiągnęła zawrotne 540 Gb/s.

Imperva:

Podobnie jak atak DDoS na Cloudflare, Imperva jest również głównym celem cyberprzestępców ze względu na swoje usługi ochrony przed atakami DDoS. W 2019 roku Imperva padła ofiarą ataku SYN DDoS, którego szczytowa liczba pakietów wyniosła około 580 milionów na sekundę. To znacznie przewyższyło atak Cloudflare, przynajmniej pod względem PPS, ponieważ szczytowa liczba pakietów na sekundę w ataku Cloudflare wynosiła około 130.

Dyn:

Pamiętacie botnet Mirai, o którym mówiliśmy wcześniej? Był on wykorzystywany w wielu znanych atakach DDoS, a ten jest jednym z największych. Dostawca DNS Dyn padł ofiarą ataku botnetu w 2016 roku. Wiele znanych firm korzystających z usług Dyn, w tym Netflix, Paypal i Reddit, zostało unieruchomionych w wyniku tego ataku.

Krebs o bezpieczeństwie:

Brian Krebs to szanowany badacz cyberbezpieczeństwa, który prowadzi bloga „Krebs on Security”. Ten blog również stał się celem botnetu Mirai i, według Krebsa, był to największy atak DDoS, jaki kiedykolwiek widział. Krebs nie jest obcy atakom DDoS, jako dziennikarz zajmujący się cyberbezpieczeństwem, uważa je za coś w rodzaju „nieodłącznego” dla tej branży, ale w przypadku ataku Mirai jego strona nie wytrzymała ataku. Atak osiągnął szczyt przepustowości około 623 Gb/s i na jakiś czas całkowicie zablokował witrynę.

Rodzaje ataków DDoS

Choć nie jest to wyczerpująca lista, celem jest zademonstrowanie wszechstronności ataku DDoS. Oto niektóre z najpopularniejszych typów ataków DDoS:

Atak odbicia:

Atakujący podszywa się pod pakiety internetowe, aby serwer zareagował w określony sposób. Chodzi o to, aby serwer uwierzył, że pakiety są wysyłane z kontrolowanej przez niego domeny. Dlatego nazywa się to odbiciem, ponieważ atak typu „odmowa usługi” (Denial-of-Service) jest wywoływany poprzez nakłonienie serwera do „odbicia” komunikacji. Dane rozprzestrzeniają się szybko i sprawnie, eliminując cel ataku bez wszczynania alarmu.

Powódź ICMP:

Atakujący zalewa cel złośliwymi pakietami protokołu IMC (Internet Control Messaging Protocol). Istnieje wiele rodzajów tego ataku, a jednym z popularnych przykładów jest tzw. ping flood. W tym ataku do celu wysyłana jest ogromna liczba żądań ping. Ponieważ ping jest legalnym żądaniem, serwer docelowy odpowiada na każde żądanie echa ICMP. W końcu zalew pakietów z botnetu staje się zbyt intensywny i serwer nie jest już w stanie komunikować się ani odbierać nowych żądań.

Powódź SYN:

Protokół TCP/IP wymaga trzyetapowego uzgadniania (handshake) w celu nawiązania połączenia z urządzeniem. Połączenie Syn-Syn/Ack-Ack stwarza mniej możliwości ataku DDoS niż na przykład protokół UDP, który nie wymaga uzgadniania. Nie oznacza to jednak, że jest ono wolne od luk w zabezpieczeniach. W przypadku ataku DDoS typu SYN flood botnet wysyła w kółko pierwszą wiadomość SYN, zmuszając serwer do ponownego uzgadniania, aż nie będzie już w stanie jej obsłużyć. Atak obejmuje wszystkie otwarte porty.

Slowloris:

Nazwany na cześć uroczego azjatyckiego naczelnego, atak ten opiera się na starej zasadzie „powolne i konsekwentne wygrywa wyścig”. Zamiast przeciążać cel maksymalnym ruchem w krótkim czasie, atak Slowloris wykorzystuje botnet w pomysłowy sposób. Wszystkie maszyny wysyłają częściowe żądania HTTP, które z czasem powodują, że docelowy serwer zapełnia swoją pulę połączeń. To blokuje połączenie wszystkim legalnym użytkownikom. Dowiedz się więcej o ataku Slowloris

Proces ataku DDoS

Wszystkie ataki DDoS przebiegają generalnie w ten sam sposób. Aby lepiej zrozumieć sposób myślenia atakującego, warto wymienić ten proces.

  • Atakujący znajduje domenę lub adres IP celu, którego chce zaatakować atakiem DDoS.
  • Poprzez infekcję, wykorzystywanie luk w zabezpieczeniach lub wypożyczenie oprogramowania w darknecie atakujący przejmuje kontrolę nad potężnym botnetem.
  • Rozważając swoje opcje i plan ataku, sprawca zagrożenia zaczyna wydawać botnetowi polecenia wykonania ataku DDoS za pośrednictwem swojego serwera C2.
  • Jeśli atakowany cel nie ma żadnej strategii przeciwdziałania atakom DDoS lub jeśli ma ją, ale okazuje się ona nieskuteczna, cel zaczyna odczuwać zakłócenia.
  • W końcu obiekt docelowy nie jest w stanie obsłużyć tak dużego natężenia ruchu i zostaje przeciążony.
  • Atak DDoS może trwać tak długo, jak chce tego atakujący, lub też zabezpieczenia przed DDoS w końcu zaczną działać i zablokują punkty końcowe ataku.
  • Atak DDoS jest następnie zgłaszany odpowiednim organom, które próbują ustalić lokalizację i tożsamość atakującego. Czasami zostaje on złapany, a czasami pozostaje bezkarny, jeśli uda mu się zapobiec pozostawieniu cyfrowego śladu.
Proces ataku DDoS

Strategie łagodzenia ataków DDoS

Zapobieganie atakom na samego siebie to wielopłaszczyznowa sprawa. Pierwszą linią obrony, którą powinieneś zastosować, jest silna zapora sieciowa. Niektóre ataki DDoS celują w określone porty, które – jeśli zapora sieciowa jest poprawnie skonfigurowana – uniemożliwiają przesyłanie pakietów podczas ataku do routera. Chociaż zapory sieciowe to dobry początek, nie są one końcem historii, ponieważ wiele ataków DDoS omija systemy wykrywania włamań. W zależności od atakującego, może to być „dzieciak skryptowy” lub osoba posiadająca wiedzę techniczną. Nie zakładaj, że będzie to ta pierwsza opcja.

Niektóre wyspecjalizowane ataki DDoS, takie jak wzmocnienie NTP , wymagają specyficznej konfiguracji w celu stworzenia odpowiedniej obrony. Polecenie „monlist” jest kluczowe do wykorzystania serwera NTP . W zależności od używanego serwera, możliwe jest zainstalowanie poprawki, która wyłącza polecenie „monlist”. Problem w tym, że poprawka musi być w wersji 4.2.7 lub nowszej. Wiele serwerów NTP jest starszymi serwerami i nie obsługuje tej poprawki. W związku z tym istnieje inne obejście, które należy wdrożyć w celu złagodzenia zagrożenia. Na publicznym serwerze NTP, US-CERT zaleca, aby starsze systemy wprowadziły polecenie „noquery” do konfiguracji systemu „restrict default”. Jeśli zostanie wykonane poprawnie, wyłączy polecenie „monlist”.

Niezależnie od rodzaju ataku DDoS, duże organizacje powinny rozważyć skorzystanie z usług zewnętrznych firm zajmujących się ochroną przed atakami DDoS . Niezależnie od tego, czy jesteś państwem, korporacją międzynarodową, czy innym dużym podmiotem, jest to kluczowy element kompleksowej obrony. Usługi te mogą poradzić sobie z poważnymi atakami, ponieważ dysponują przestrzenią serwerową pozwalającą na zatrzymanie i rozbicie pakietów, zanim dotrą one do celu. Te „zawsze dostępne” usługi ochrony nie są jednak tanie, dlatego korzystanie z nich jest zalecane tylko dla największych firm (lub osób, które mają pieniądze do stracenia).

W przypadku routerów należących do sieci lokalnej (LAN), statyczny adres IP będzie najprawdopodobniej przyczyną ataku DDoS. Aby zapobiec wykorzystaniu Twojego prawdziwego adresu IP przeciwko Tobie, najlepszym rozwiązaniem jest wirtualna sieć prywatna (VPN). Dobra sieć VPN szyfruje połączenie i ukrywa Twój adres IP za adresem IP serwera. Dzięki temu atakujący nie jest w stanie znaleźć wektora ataku.

Dzięki PureVPN zyskujesz ekonomiczną opcję zapobiegania atakom DDoS. Dzięki sieci ponad 6500 serwerów w ponad 78 krajach, 256-bitowemu szyfrowaniu AES , obsłudze wszystkich protokołów i wielu innym funkcjom, PureVPN chroni Cię przed cyberprzestępcami. PureVPN zapobiega wyciekom danych z WebRTC , DNS i IPv6, dzięki czemu masz pewność, że żaden atakujący nie znajdzie danych niezbędnych do przeprowadzenia ataku.

Pobierz PureVPN 31-dniowa gwarancja zwrotu pieniędzy

Podsumowując

Na zakończenie warto rozważyć poniższe słowa profesorów Qijun Giu i Peng Liu na temat ochrony przed atakami DoS i DDoS (zapisane w obszernym opracowaniu badawczym na ten temat):

„Atakujący DoS wykorzystują luki w protokołach i systemach, aby uniemożliwić dostęp do docelowych usług. Atakujący kontrolują również dużą liczbę zainfekowanych hostów, aby przeprowadzać ataki DDoS. Samo zabezpieczenie serwerów nie wystarcza już do zapewnienia dostępności usługi w trakcie ataku, ponieważ techniki ataków DoS są bardziej skomplikowane, a w ataki DoS zaangażowanych jest wielu nieświadomych hostów… Obrońcom trudno jest ocenić, czy pakiet został sfałszowany, zapobiec przejęciu kontroli nad hostem, poprosić routery nadrzędne o filtrowanie niechcianego ruchu i uchronić samych obrońców przed atakami DoS… Ataki DoS w sieciach bezprzewodowych obejmują zakres, który nie jest możliwy w Internecie. Istniejące metody obrony pokazują, że środki bezpieczeństwa powinny być badane i włączane do protokołów bezprzewodowych na niższych warstwach, a hosty mobilne powinny aktywnie i wspólnie uczestniczyć w ochronie swoich sieci bezprzewodowych”.

Ataki typu Denial-of-Service i Distributed-Denial-of-Service będą się nadal rozwijać. Nie da się tego powstrzymać. Wraz z nieuniknionym postępem technologicznym, rozwiązania bezpieczeństwa muszą dotrzymywać kroku temu postępowi. Wymaga to działań nie tylko ze strony specjalistów ds. bezpieczeństwa informacji, ale także zwykłych ludzi. Wszyscy musimy wziąć odpowiedzialność za zapobieganie tego typu atakom. Zwalczanie infekcji, które mogą powodować botnety , zwiększanie ochrony serwerów, unikanie pułapek socjotechnicznych i podejmowanie wszelkich innych działań, które mogą powodować rozwój ataków DDoS.

To będzie wymagało od nas wszystkich. Razem. Wierzę w to mocno, w PureVPN jesteśmy tu, żeby pomóc.