DDoS (ang. Distributed Denial of Service) to poważne zagrożenie w sieci, codziennie przeprowadza się wiele takich ataków. To jedna z najdłużej stosowanych technik i nadal skuteczna. Dlaczego te ataki są niebezpieczne i trudne do wykrycia?
Co to jest atak DDoS?
DDoS jest tak naprawdę wersją ataku DoS (Denial of Service) i ma doprowadzić do przerwania ciągłości działań operacyjnych. Atak DDoS generuje bardzo duży ruch w celu przeciążenia usługi, serwera lub połączenia sieciowego, co skutkuje ich niedostępnością. Ataki DoS przerywają działanie usługi, natomiast ataki rozproszone (DDoS) przynoszą szkody na większą skalę, ponieważ powodują całkowite wyłączenie infrastruktury oraz skalowalnych usług (cloud).
Mechanizm działania polega na obciążaniu wszystkich wolnych zasobów sieci sztucznie generowanymi zapytaniami. Przykładowo, urządzenia ofiary otrzymują masowe żądania wymagające wykorzystywania mocy obliczeniowych. Kolejne próby otwarcia aplikacji i stron internetowych mogą zakłócić działanie całego systemu.
Po co przeprowadza się ataki DDoS?
Celem jest zakłócenie działania usług lub wyłudzenie środków finansowych. Motywem mogą być względy polityczne, religijne, nieuczciwa konkurencja lub chęć osiągnięcia zysku.
Jak to działa? Cyberprzestępcy infekują komputery poprzez instalacje złośliwego oprogramowania, które czeka w uśpieniu na sygnał do ataku. W trakcie operacji hakerzy przejmują kontrolę nad zainfekowanymi urządzeniami, używając ich np. do masowego przesyłania zapytań. Przestępstwo można przeprowadzić przy użyciu nawet kilku tysięcy urządzeń (botnet). Sam użytkownik może nie być nawet świadomy, że wykorzystuje się moc jego sprzętu i że ma zainfekowany komputer. Sytuację utrudnia fakt, że sieci i komputery używane są w różnych miejscach, dlatego późniejsza identyfikacja źródła od którego rozpoczął się atak jest trudna.
Jakie są rodzaje ataków DDoS?
Ataki DDoS:
- wolumetryczne ataki – najczęściej spotykane, mają na celu uniemożliwienie dostępu do serwera, usługi, całej infrastruktury, poprzez wysyłanie ogromnej ilości zapytań. W efekcie połączenie i zasoby są wysycone i następuje obciążenie. Większa liczba zhakowanych komputerów może zostać wykorzystana do rozproszenia ataku. Znaną techniką jest np. wysyłanie dużej ilości małych pakietów do botnetu ze sfałszowanym adresem IP, który z kolei wysyła większe pakiety do serwerów będących celem ataku (na sfałszowany adres IP). Zaatakowane serwery przestają odpowiadać lub ich łącza internetowe osiągają limity przepustowości. Technika nazywana jest atakiem przez odbicie i zwielokrotnienie.
- ataki protokołowe – np. DDoS Smurf, ataki te skierowane są na protokoły używane do komunikacji sieciowej, biorą na cel ich słabe punkty, by doprowadzić do niedostępności serwera bądź usługi. I tak np. wspominany DDoS Smurf jest typem rozproszonej odmowy dostępu w sieci. Pakiet wysłany przez hakera na adres sieci rozgłoszeniowej skutkuje automatyczną odpowiedzią od każdego hosta. Ta metoda oraz spoofing źródłowych adresów IP, umożliwia hakerom wywołanie dużej ilości odpowiedzi, mogą zalać cel ataku ruchem sieciowym. Odpowiednio duża liczba odpowiedzi ICMP może doprowadzić do sparaliżowania celu.
- ataki w warstwie aplikacji (L7) – aplikacje zużywają zasoby bardzo intensywnie, nie testuje się ich odpowiednio, więc to doskonały cel. Metody ataków stosowane w odniesieniu do tej warstwy zwykle wymagają najmniejszej ilości zasobów i w większości przypadków mogą pozostać niewykryte przez ogólne zapory sieciowe i systemy ochrony przed atakami DoS. Dobrym przykładem jest atak na serwer Minecraft, który powoduje, ze pojawia się , wiele zakłóceń, utraty połączenia itp. Przez to platforma traci pozycję, dobry wizerunek, a gracze odchodzą.
Jakie szkody może wywołać atak?
Kilka przykładów:
- wysokie straty finansowe firmy
- przerwy w działaniu usług
- odpływ klientów korzystających z usług atakowanej firmy
- zużycie zasobów/ infrastruktury
- konieczność wdrożenia “na ostatnią chwilę” mechanizmów zabezpieczających
- awarie sprzętu, nieprzystosowanego do dużych obciążeń
Jak się chronić przed atakami DDoS?
Proces ochrony jest bardzo skomplikowany i polega na wykrywaniu oraz blokowaniu podejrzanego ruchu sieciowego jeszcze zanim zdąży on zablokować na stałe całą infrastrukturę sieciową ofiary. Można zainwestować w programy antywirusowe i aplikacje monitorujące sieć.
Co jeszcze?
- zoptymalizuj swoją stronę
- statyczne treści wystaw przy pomocy osobnego serwera, tzw. CDN (content delivery network)
- rozważ CDN dla całego serwisu
- skaluj moc obliczeniową swoich serwerów i łącze
- rozdziel swoje usługi (poczta/www)
- przyzwyczaj swoich użytkowników do swojej dostępności także na innych kanałach np. Facebook
Zapoznaj się z naszymi nowymi produktami, skorzystaj z naszego doradztwa i zapewnij swojej firmie cyberbezpieczeństwo: www.netcomplex.pl
Źródło: https://bezpiecznyinternet.edu.pl/co-to-jest-ddos/
https://www.ovhcloud.com/pl/security/anti-ddos/ddos-definition/
Grafika: Freepik
