Co to jest atak DDoS?
Jest więcej niż prawdopodobne, że słyszałeś o tym, jak strona internetowa została wyłączona przez hakerów lub że popularna strona uległa awarii. Większość takich przestojów na popularnych stronach o dużym ruchu jest spowodowana atakami typu Distributed Denial of Service (DDoS).
Istnieją limity przepustowości ruchu, jakie urządzenie sieciowe może obsłużyć. Wspomniany limit zależy od czynników takich jak moc obliczeniowa urządzenia, granica danych węzła połączenia (przełącznika lub routera) oraz maksymalna prędkość połączenia i przepustowość dozwolona przez Dostawcę Usług Internetowych (ISP).
Jak to wszystko prowadzi do przestojów na stronie internetowej? W jaki sposób dochodzi do tych ataków? Ten artykuł będzie ujawnieniem na temat ataków DDoS i jak ich unikać lub zapobiegać.
## Analiza typowego ataku DDoS
Hakerzy inicjują ataki DDoS, najpierw rekrutując armię podatnych komputerów, popularnie nazywanych Botnetem. Botnety to seria połączonych ze sobą komputerów i urządzeń, które zostały skompromitowane przez złośliwe oprogramowanie. Następnie botnety są używane przez hakerów do jednoczesnego wysyłania żądań zasobów, które zużywają pasmo połączenia ofiary, uniemożliwiając tym samym legitymacyjnym zdalnym użytkownikom usług na urządzeniu dostęp do nich.
Pakiety danych używane do przeprowadzania ataków DDoS są takie same lub podobne do tych używanych do codziennej komunikacji w internecie, z tą różnicą, że są one koordynowane w ogromnie dużych ilościach na sekundę. Serwery online obsługujące ruch związany z transmisją wideo mogą pozwolić na maksymalną przepustowość 20 Gigabajtów na sekundę. W porównaniu, ataki DDoS mogą obciążyć pojedynczy serwer lub urządzenie sieciowe danymi do 1 Terabajta na sekundę. Taka ilość ruchu z powodzeniem może sprawić, że usługa tak duża jak Google stanie się nieresponsywna.
## Kto jest potencjalnym celem ataków DDoS?
Ataki DDoS są niezwykle łatwe do przeprowadzenia ze względu na podatność wielu urządzeń z połączeniem internetowym oraz dostępność botnetów w dark webie dla początkujących hakerów. Wiele osób korzystających z internetu, a co zaskakujące, niektóre organizacje, wdrażają technologie z możliwością połączenia z internetem, nie zmieniając domyślnych danych logowania producenta, które otrzymały wraz z danym urządzeniem. Hakerzy przeszukują internet w poszukiwaniu takich urządzeń, uzyskują do nich dostęp i instalują złośliwe oprogramowanie, które umożliwia im zdalne kontrolowanie tych urządzeń, bez wiedzy właściwych właścicieli o tym, że ich urządzenie jest częścią botnetu.
Botnety, które składają się z sieci podatnych urządzeń, nie są tutaj głównymi ofiarami, ale są wykorzystywane do przeprowadzenia skoordynowanego ataku na pojedynczą stronę internetową lub usługę online – to one były głównymi ofiarami ataków DDoS.
Ataki DDoS na strony internetowe i platformy usług online mogą przyjmować formę fałszywych pakietów, przychodzących wiadomości lub żądań nawiązania połączenia. Są one przeważnie przeprowadzane jako zemstywny atak, mający na celu zszarganie reputacji konkurentów i w konsekwencji spadek ich udziału w rynku, atak na przeciwników politycznych, lub czasami jako sposób demoralizacji ruchów i podmiotów walczących o prawa człowieka.
Amazon Web Services (AWS) doświadczyło jednego z ostatnich ataków DDoS w lutym 2020 roku. Nieujawniony główny klient AWS był celem ataku, co wpłynęło na ich usługi online przez trzy dni. Szczyt przepustowości ruchu osiągający 2,3 Terabajta na sekundę sprawił, że ogromna przepustowość AWS wydawała się dziecinnie prosta.
Najpopularniejszy dotychczas botnet – Mirai, był centrum serii ataków DDoS w 2016 roku. We wrześniu 2016 roku, internet był świadkiem największego w tamtym czasie ataku DDoS przez botnet Mirai, z ruchem osiągającym szczytową przepustowość 620 Gbps, uderzającego w bloga analityka cyberbezpieczeństwa. Po tym, jak fragment kodu Mirai został upubliczniony podczas spotkania DEFCON w tym samym miesiącu, znacznie większa skala ataku uderzyła w znaczącego dostawcę usług nazw domen – Dyn.
Dyn był dostawcą usług DNS dla takich stron jak Netflix, GitHub, PayPal, Reddit, Airbnb i HBO w czasie ataku Mirai. Atak DDoS na sieć stron Dyn o przepustowości 1,5 Gigabita na sekundę spowodował, że ich usługi były nieodpowiednie podczas trwania ataku. W 2016 roku miało miejsce kilka innych ataków Mirai, niektóre z nich obejmowały przejęte urządzenia IoT, takie jak kamery CCTV, ekspresy do kawy, a nawet monitory do obserwacji dzieci.
## Rodzaje ataków DDoS
Istnieją różne rodzaje ataków DDoS. Przyjrzyjmy się niektórym z nich poniżej:
Zero-Day DDoS: Zero-Day DDoS to termin używany przez hakerów na ich tajnych stronach internetowych hostowanych w dark webie. Termin odnosi się do serii kodów źródłowych i armii zwerbowanych botnetów, które są na sprzedaż; jednak stanowi to poziom podatności, dla którego łatki bezpieczeństwa nie zostały jeszcze wydane.
Ping Śmierci: Polega to na wysyłaniu przez atakujących wielokrotności sfałszowanych pakietów ping do węzła sieciowego. Urządzenia obsługujące lokalne urządzenia (przełączniki i routery) mają ograniczenia długości pakietów, które mogą przepuszczać przez siebie na sekundę. W związku z tym, długie pakiety są często fragmentowane, aby zostały ponownie złożone przez hosta odbiorczego. Średnia długość danych pakietu IP wynosi około 1700 bajtów; jednakże, hakerzy dążą do przeprowadzenia ataku Ping Śmierci, wysyłając pakiety z danymi o rozmiarach do 71,423 bajtów, gdy są ponownie składane na końcu odbiorczym. Ten typ ataku DDoS skutecznie wyczerpuje pamięć serwera i uniemożliwia odpowiedź na legalne zapytania, podczas gdy trwa atak.
Atak typu UDP Flood; Jest to rodzaj ataku DDoS, który polega na zalewaniu ofiary stałymi strumieniami danych klasy User Datagram Protocol (UDP). W tego typu ataku zdalny host ma losowe porty, które są wielokrotnie zalewane żądaniami połączenia. Podobny do zalewania UDP jest zalew ICMP (ping), który wysyła szybkie i losowe pakiety ping bez oczekiwania na informację zwrotną o połączeniu. Zalew pakietów wyczerpuje zasoby i przepustowość hosta i czasami uniemożliwia nawiązanie uścisku dłoni, gdy są składane legalne zapytania o połączenie.
Atak typu SYN Flood: Ten rodzaj ataku wykorzystuje podatność w połączeniach TCP – trójfazowe uzgadnianie połączenia. Trójfazowe uzgadnianie połączenia polega na tym, że zdalny komputer wysyła żądanie połączenia do serwera; serwer odpowiada, potwierdzając żądanie. Zdalny komputer musi również odpowiedzieć na potwierdzenie, wysyłając pakiet inicjujący połączenie. To, co hakerzy robią, aby przeprowadzić atak DDoS przez ten kanał, to wysyłanie wielu żądań połączenia SYN do pojedynczego hosta za pomocą botnetu. Serwery odpowiadają na każdy węzeł komunikatem ACK, ale hakerzy uniemożliwiają botnetom odpowiedź. Brak odpowiedzi na komunikat ACK pozostawia zaatakowany serwer w zawieszeniu, a więcej żądań uzgadniania jest wysyłanych, aż wszystkie zasoby ofiary zostaną wyczerpane.
Ataki typu HTTP Flood: Polegają na wykorzystywaniu legalnych żądań przeznaczonych dla działań GET i POST pakietów przesyłanych do i z witryny lub serwera. Atak zwykle polega na oszukaniu zdalnego serwera, aby przydzielił maksymalne zasoby na fałszywe żądania.
## Środki zapobiegawcze przeciwko atakom DDoS
Jak wcześniej podkreślono, ataki DDoS są przeprowadzane w dwóch etapach: rekrutacji węzłów tworzących botnet oraz zalewaniu sieci ofiary ogromnym ruchem. Codzienni użytkownicy domowych sieci internetowych mogą chronić się przed uczestnictwem w ataku botnet poprzez eliminowanie każdego źródła podatności na osobistych urządzeniach, postępując zgodnie z poniższymi krokami:
1. Zmień hasła na nowych urządzeniach:
Sprzęt sieciowy, takie jak routery, przełączniki, centrale Wi-Fi i urządzenia IoT, są wyposażone w domyślne hasła. Zmiana domyślnych haseł jest rozsądnym krokiem, ponieważ dzięki temu urządzenie oraz wszystkie inne podłączone do jego sieci są bardziej odporne na zagrożenia. Wystarczy rzucić okiem na instrukcję użytkownika lub stronę internetową producenta, aby znaleźć proste kroki zmiany hasła urządzenia.
2. Korzystaj z aktualnych i niezawodnych zasobów bezpieczeństwa:
Aktualizacja oprogramowania układowego urządzeń front-end, zapór ogniowych oraz systemu operacyjnego będzie pierwszą linią obrony przed infiltracją złośliwego oprogramowania do urządzeń sieciowych.
Dla organizacji, które odkryją, że ich infrastruktura sieciowa jest celem ataku DDoS, poniższe działania powinny zapewnić, że czas przestoju i wynikające z tego straty będą minimalne.
3. Wykorzystaj technologię bramek, która identyfikuje nagłe skoki ruchu
Atak DDoS może być łatwo opanowany, jeśli zostanie zauważony wystarczająco wcześnie; to pozwoli na wystarczająco dużo czasu, aby skontaktować się z dostawcą usług internetowych firmy, który następnie zastosowałby swoją najlepszą technikę rozpraszania ataków DDoS. Dostawca usług internetowych może zatrzymać lub zminimalizować wpływ ataku DDoS, rozpraszając ruch do serwerów z dostępnymi przepustowościami lub kierując ruch do Sink Hole lub Black Hole. Black Holes są jednak bardziej skuteczne, ponieważ cały ruch, zarówno legalny, jak i nielegalny, kierowany do atakowanego adresu IP jest wysyłany do “null interface” hole. Sinkholes, przeciwnie, próbują filtrować pakiety danych.
4. Ponowna konfiguracja zasobów sieciowych w warstwie backend
Możliwe jest ograniczenie przepustowości dozwolonej przez sprzęt takie jak przełączniki i routery, co dotyczy również zapor ogniowych. Dzięki ograniczeniu ruchu, ogromna przepustowość ruchu charakterystyczna dla ataków DDoS jest blokowana, podczas gdy pakiety o normalnych cechach są dopuszczane do lokalnej sieci.
5. Zabezpiecz urządzenia IoT
Podatność w ekspresie do kawy miała zostać wykorzystana do zhakowania infrastruktury sieciowej kasyna. Wcześniej udzielona rada dotycząca urządzeń IoT zasługuje na podkreślenie – zmieniaj domyślne hasła jak najszybciej po wyjęciu urządzeń IoT z pudełka i staraj się regularnie aktualizować oprogramowanie urządzenia.
## Podsumowanie
Ataki DDoS mogą wydawać się zniechęcające i dość skomplikowane, ale to już przeszłość. Dzięki nowo zdobytej lub zaktualizowanej wiedzy na temat ataków DDoS za pośrednictwem tego artykułu, wiedza na temat możliwości dostawcy usług internetowych (ISP) w ochronie Twojej strony internetowej przed takim atakiem powinna znaleźć się na liście rzeczy do sprawdzenia przy decydowaniu, na którego dostawcę usług internetowych się zdecydować.