Ataki DDoS zdarzają się coraz częściej i na większą skalę niż kiedykolwiek wcześniej. Na całym świecie odnotowano niemal 300-proc. wzrost tego rodzaju ataków rok do roku, a oczekuje się, że sytuacja jeszcze się pogorszy.
Niektóre z ostatnich ataków DDoS – na przestrzeni dwóch dziesiÄ™cioleci – skierowane byÅ‚y przeciwko dużym korporacjom. Te obsÅ‚ugujÄ… miliony klientów. Ale czym konkretnie jest atak DDoS? Zanim przybliżymy przykÅ‚ady, krótkie wyjaÅ›nienie.
Atak DDoS wyłącza stronę z obiegu
Atak DDoS (ang. Distributed Denial of Service) to rodzaj ataku na serwer lub sieć, którego celem jest wyłączenie z działania dostępnego publicznie zasobu, takiego jak strona internetowa, usługa online czy też cała sieć.
Czytaj też: Cyberzagrożenia: najpopularniejsze rodzaje
Atak polega na przeciążeniu atakowanego zasobu przez wysłanie do niego ogromnej liczby żądań lub pakietów. To prowadzi do przepełnienia pamięci podręcznej lub wykorzystania całkowitej przepustowości. To trochę tak, jakbyś wymusił, aby daną stronę nagle zaczęło odwiedzać tysiące, a nawet setki tysięcy ludzi.
Atak DDoS jest nazywany „rozproszonym”, ponieważ korzysta z wielu urzÄ…dzeÅ„. SÄ… one zwykle zainfekowane zÅ‚oÅ›liwym oprogramowaniem (botnet), aby jednoczeÅ›nie wysyÅ‚ać duże iloÅ›ci żądaÅ„ do celu ataku. AtakujÄ…cy mogÄ… wykorzystać wiele różnych technik, takich jak ataki UDP flood, SYN flood, ICMP flood, HTTP flood, i wiele innych.
Oto charakterystyka powyższych technik:
- UDP flood: polega na wysyłaniu dużych ilości pakietów UDP do atakowanego zasobu. Ponieważ protokół UDP nie wymaga ustanawiania połączenia między nadawcą a odbiorcą, atakujący może łatwo zasypać atakowany zasób dużą ilością pakietów, które nie wymagają zwrotnej odpowiedzi od serwera.
- SYN flood: ta technika wykorzystuje protokół TCP, który wymaga ustanowienia połączenia między nadawcą a odbiorcą. Atakujący wysyła ogromną liczbę żądań nawiązania połączenia, ale nie odpowiada na odpowiedzi serwera, co prowadzi do wyczerpania zasobów serwera i wyłączenia go z działania.
- ICMP flood: ta technika wykorzystuje protokół ICMP, który jest używany do wysyłania informacji o błędach między urządzeniami w sieci. Atakujący wysyła ogromną ilość żądań ICMP do atakowanego zasobu, co prowadzi do przeciążenia serwera i jego wyłączenia.
- HTTP flood: ta technika polega na wysyłaniu dużych ilości żądań HTTP do atakowanego zasobu, takich jak strona internetowa. Atakujący może łatwo zasypać atakowany zasób dużą ilością żądań, które wymagają odpowiedzi od serwera. To prowadzi do przeciążenia serwera i jego wyłączenia.
Atak DDoS może powodować poważne problemy. Jakie konkretnie? Np. czasowe lub trwałe wyłączenie dostępu do strony internetowej, utrudnienia w prowadzeniu działalności online, szkody finansowe oraz problemy z utrzymaniem reputacji firmy czy atakowanej instytucji. Dużo zależy od tego, jak długo trwa dany atak.
Jak wytłumaczyć czym jest atak DDoS komuś, kto kompletnie nie zna się na IT?
Atak DDoS to taki atak na strony internetowe, kiedy hakerzy wysyłają bardzo dużo informacji lub żądań do strony. Robią to po to, żeby strona przestała działać. To jakby wziąć za dużo książek z biblioteki i zrobić z nich wieżę, która się przewróci. Albo nalać zbyt dużo wody do umywalki, co sprawi, że woda się wyleje.
Zobacz jak właściciel strony poradził sobie z atakiem DDoS (j. angielski):
Analogicznie, w ataku hakerzy używają wielu komputerów, aby razem przesłać więcej informacji (za dużo), by zrobić jeszcze większy bałagan. W efekcie, strona internetowa przestaje działać, a ludzie nie mogą z niej korzystać. Jest ona przeciążona.
Trzy głośne ataki DDoS
Pierwszym z ataków, jakie opiszemy, jest ten na AWS z lutego 2020 r. Amazon Web Services (AWS) to usługa chmury obliczeniowej, która obsługuje ponad milion firm, rządów i osób prywatnych. AWS został zaatakowany w lutym 2020 r., a na jego serwery napłynęło aż 2,3 terabajta na sekundę (Tbps) żądań. Hakerzy przejęli katalogi użytkowników na serwerach Connection-less Lightweight Directory Access Protocol (CLDAP), aby zalać serwery AWS ogromną ilością informacji.
Nie przegap: Atak na T-Mobile. To już ósme naruszenie danych w ciągu 5 lat
Większość ataków DDoS w ostatnich latach wykorzystuje tę samą technikę, aby naruszyć protokoły bezpieczeństwa AWS. Na szczęście Amazon był w stanie zminimalizować atak, zanim stał się on zagrożeniem dla bezpieczeństwa użytkowników. W tamtym czasie atak na AWS był największym atakiem DDoS do tej pory.
Dalej, mamy dla was również case study pod hasÅ‚em „atak na GitHub”. ByÅ‚o to w lutym 2018 r. GitHub to zcentralizowana platforma współpracy, którÄ… mogÄ… używać programiÅ›ci z dowolnego miejsca na Å›wiecie. W 2018 r. hakerzy wykorzystali system pamiÄ™ci podrÄ™cznej znany jako Memcached, aby rÄ™cznie wysÅ‚ać 1,3 Tbps informacji do serwerów GitHub. W praktyce oznacza to, że hakerzy nie użyli tradycyjnej armii botów-zombie. Serwery Memcached umożliwiÅ‚y hakerom zrealizowanie ataku 50 000 razy.
Na szczęście atak trwał tylko ok. 20 minut, ponieważ GitHub ma silne protokoły ochrony przed atakami DDoS. Alarm został wywołany w ciągu 10 minut od początku ataku, a usługa ochrony zatrzymała atak DDoS, zanim wymknął się on spod kontroli.
Zobacz atak DDoS w akcji na wideo (j. angielski):
Kolejny przykÅ‚ad to atak na Dyn z października 2016 r. Niektóre z najwiÄ™kszych ataków DDoS miaÅ‚y miejsce przeciwko firmom Å›wiadczÄ…cym usÅ‚ugi online. W dużej mierze motywacjÄ… za tym stoi ilość danych, które te firmy przechowujÄ… na swoich serwerach. Jednak ataki DDoS czasami mogÄ… „rodzić siÄ™” z frustracji niezadowolonych klientów, co wielu uważa za przypadek ataku na Dyn.
Dyn to dostawca i rejestrator DNS, co oznacza, że przechowuje i rejestruje nazwy domen dla osób prywatnych i firm z witrynami internetowymi. W 2016 r. Dyn został zaatakowany przez botnet Mirai. Klienci Dyn, którzy ucierpieli w wyniku ataku, to m.in. Netflix, PayPal, Amazon, Visa i The New York Times. Botnet Marai użył armii urządzeń Internetu Rzeczy (IoT), składającej się z praktycznie każdego urządzenia IoT, o którym możesz pomyśleć, takich jak inteligentne telewizory, drukarki, kamery i wiele więcej, aby przeciążyć serwery Dyn. Jak większość ataków DDoS na duże firmy, Dyn rozwiązał atak w ciągu jednego dnia.
Ochrona przed DDoS
Istnieje wiele sposobów, aby chronić swoją stronę przed atakami DDoS. Oto kilka z nich:
Wybór usługi hostingowej z ochroną przed atakami DDoS
Wybierając usługodawcę hostingowego należy zwrócić uwagę na to, czy oferuje on ochronę przed atakami DDoS. Niektóre firmy oferują tę usługę w standardzie.
Używanie systemów CDN
Dystrybuowane systemy CDN (Content Delivery Network) mogą pomóc w rozproszeniu ruchu internetowego, co zmniejsza szanse na przeciążenie serwera.
Odpowiednia konfiguracja zapór ogniowych (firewall)
Zapory ogniowe pomagają w ochronie przed atakami DDoS, blokując ruch z podejrzanych adresów IP lub ograniczając liczbę żądań z jednego źródła.
Użycie oprogramowania do wykrywania ataków DDoS
Oprogramowanie takie może pomóc w wykryciu ataków DDoS i zastosowaniu odpowiednich środków zapobiegawczych.
Oto kilka popularnych programów do ochrony przed atakami DDoS:
Cloudflare – jedno z najpopularniejszych narzÄ™dzi ochrony przed atakami DDoS, które oferuje szereg usÅ‚ug, w tym wirtualne sieci prywatne (VPN), CDN i wiele innych
Czytaj też: Cloudflare to przede wszystkim CDN i ochrona przed DDoS
Akamai – oferuje kompleksowe rozwiÄ…zania bezpieczeÅ„stwa, w tym ochronÄ™ przed atakami DDoS, systemy weryfikacji użytkowników, zarzÄ…dzanie dostÄ™pem i wiele innych
Imperva – rozwiÄ…zanie, które oferuje ochronÄ™ przed atakami DDoS, botami internetowymi, weryfikacjÄ™ użytkowników i wiele innych usÅ‚ug zwiÄ…zanych z bezpieczeÅ„stwem
Arbor Networks – firma specjalizujÄ…ca siÄ™ w ochronie przed atakami DDoS, oferujÄ…ca szereg rozwiÄ…zaÅ„ i narzÄ™dzi, w tym Arbor Cloud, Arbor Peakflow, Arbor TMS i wiele innych
Radware – to rozwiÄ…zanie, które oferuje ochronÄ™ przed atakami DDoS, zarzÄ…dzanie dostÄ™pem, systemy weryfikacji użytkowników i wiele innych usÅ‚ug zwiÄ…zanych z bezpieczeÅ„stwem
Regularne aktualizacje oprogramowania
Aktualizacje oprogramowania na serwerze pomagają w uzupełnianiu luk w zabezpieczeniach, które mogą być wykorzystane przez atakujących.
Zabezpiecz się zanim będzie za późno
Firmy muszą dbać o ochronę przed atakami DDoS z wielu powodów. Oto kilka najważniejszych argumentów:
- Utrata dochodów. Atak może uniemożliwić klientom korzystanie z usług lub zakupów w sklepie internetowym, co może prowadzić do utraty dochodów firmy.
- Utrata reputacji. Atak DDoS może skłonić klientów do traktowania firmy jako niebezpiecznej lub nieodpowiedzialnej, co może prowadzić do utraty zaufania i utraty reputacji.
- Ochrona danych. Atak może prowadzić do utraty i naruszenia danych klientów, co może skłonić klientów do przeniesienia swoich usług i danych do konkurencyjnych firm.
- Zagrożenie dla stabilności sieci. Atak może spowodować przeciążenie sieci i serwerów, co może prowadzić do problemów z innymi usługami i stronami internetowymi.
- Zgodność z przepisami prawa. Niektóre branże, takie jak finanse i opieka zdrowotna, są zobowiązane do przestrzegania ścisłych przepisów dotyczących bezpieczeństwa danych, co wymaga dodatkowej ochrony przed atakami DDoS.
Wszystkie te czynniki mogą prowadzić do poważnych konsekwencji dla firm, w tym utraty klientów, dochodów i reputacji. Dlatego ważne jest, aby firmy dbały o ochronę przed atakami DDoS, by zminimalizować ryzyko takich incydentów i ich negatywnych skutków.
Autor: Sebastian Zbywarski, dziennikarz Vault-Tech
Polecamy również: