В этом руководстве мы поговорим обо всем, что касается DDoS-атак: что это такое, как они работают, их виды, последствия DDoS-атак и как от них защититься.
Краткое содержание
В течение последних двадцати лет распределенные атаки типа «отказ в обслуживании» (DDoS) стали значительной силой в сети. Со временем их распространенность и мощность только возрастают, делая их одной из главных угроз для компаний, осуществляющих свою деятельность онлайн.
Обычно DDoS-атаки работают, перегружая веб-сайт или онлайн-сервис большим количеством трафика, которое сервер или сеть не могут обработать. Цель DDoS-атаки — сделать этот веб-сайт или онлайн-сервис недоступным для пользователей. Атакующие обычно полагаются на ботнеты — сети, состоящие из компьютеров, инфицированных вредоносным программным обеспечением и управляемых из одного места.
Распределенная атака типа «отказ в обслуживании» (DDoS) — это попытка злоумышленника прервать предоставление онлайн-сервиса пользователям. Это можно сделать, заблокировав доступ практически к чему угодно: серверам, сетям, устройствам, услугам, приложениям и даже конкретным транзакциям внутри приложений.
DDoS-атаки можно назвать разновидностью атак типа «отказ в обслуживании» (DoS), где злоумышленник или группа злоумышленников использует несколько устройств для одновременного выполнения DoS-атаки.
Основное отличие между DoS-атаками и DDoS-атаками в том, что в первом случае используется одна система для отправки вредоносных данных или запросов, а DDoS-атака исходит сразу с нескольких систем, что усиливает ее мощь и эффективность.
DDoS-атаки нацелены на жертв на всех уровнях, полностью блокируя им доступ к системам, и даже могут прибегать к вымогательству, чтобы прекратить атаку.
Банки, веб-сайты, интернет-магазины и новостные каналы являются основными целями для атакующих, что делает реальной задачей обеспечение безопасного доступа и публикации конфиденциальной информации.
Обнаружить и заблокировать эти DDoS-атаки сложно, поскольку сгенерированный ими трафик трудно отследить и легко спутать с легитимным трафиком.
Большинство DDoS-атак осуществляются через так называемые ботнеты — это большие сети умных устройств Интернета вещей, компьютеров, зараженных вредоносным программным обеспечением, и других подключенных к интернету устройств, которыми управляют хакеры.
Злоумышленник командует машинам в ботнете отправить огромное количество запросов на подключение к определенному веб-сайту или IP-адресу сервера.
Это перегружает этот сайт или онлайн-сервис большим количеством трафика, которое сервер или сеть не могут обработать. Итоговым результатом становится недоступность этих веб-сайтов или онлайн-сервисов для пользователей из-за перегруженности интернет-канала, оперативной памяти и процессора.
Воздействие этих DDoS-атак может варьироваться от незначительного раздражения и прерывания услуг до полной недоступности веб-сайтов, приложений или даже целых бизнесов.
DDoS-атаки могут повлиять на жертв разными способами.
В общем и целом, DDoS-атаки можно разделить на одну или несколько категорий, при этом некоторые продвинутые атаки комбинируют разные векторы. Вот три основных типа DDoS-атак.
1. Объемные атаки
Это классический тип DDoS-атак, при котором используются методы для генерации больших объемов фальшивого трафика с целью полного засорения канала веб-сайта или сервера. Этот фальшивый трафик делает невозможным нормальное функционирование целевого сайта. К таким атакам относятся атаки через UDP, ICMP и атаки с поддельными пакетами. Размер объемных атак измеряется в битах в секунду (BPS).
2. Протокольные атаки
Эти атаки более фокусированны и используют уязвимости ресурсов на сервере. Они потребляют существующие ресурсы сервера или промежуточное сетевое оборудование, такое как межсетевые экраны и балансировщики нагрузки, и отправляют им большие пакеты данных. К этому типу обычно относятся SYN-атаки, «Пинг смерти», атаки с фрагментированными пакетами, Smurf DDoS и так далее. Их размер измеряется в пакетах в секунду (PPS).
3. Атаки на уровне приложения
Это самый сложный тип DDoS-атак, который нацелен на конкретные веб-приложения. Эти атаки осуществляются путем перегрузки приложений вредоносными запросами. Размер таких атак измеряется в запросах в секунду (RRS).
1. UDP и ICMP-атаки
Эти атаки являются наиболее распространенными и относятся к объемным атакам. UDP-атаки «засоряют» ресурсы хоста пакетами User Datagram Protocol (UDP), а ICMP-атаки делают то же самое с пакетами Internet Control Message Protocol (ICMP), или, проще говоря, «пингами», пока сервис не «лежит».
К тому же, злоумышленники часто используют атаки с отражением, чтобы увеличить разрушительный поток данных. При этом IP-адрес жертвы подменяется, и ответный пакет направляется обратно на сервер, как будто он исходит от жертвы. Таким образом, эти атаки «съедают» как входящую, так и исходящую пропускную способность.
2. DNS-усиление
Как и следует из названия, эти атаки включают в себя множественные DNS-запросы с целью вывести из строя сеть. «Усиление» заключается в том, что исходящий трафик сервера увеличивается до предела.
Это делается путем отправки запросов на сервер, которые в ответе генерируют большое количество данных, и затем этот трафик направляется обратно на сервер, подменяя адрес ответа.
Итак, злоумышленник отправляет множество относительно небольших пакетов на общедоступный DNS-сервер через различные источники ботнета. Все это являются запросами на длинные ответы, например, на поиск DNS-имени. Затем DNS-сервер отвечает на каждый из этих разрозненных запросов пакетами данных, которые во много раз больше, чем исходный запрос, и все это направляется обратно на DNS-сервер жертвы.
3. Пинг смерти
Это еще одна протокольная атака, при которой злоумышленник отправляет несколько вредоносных или искаженных «пингов» на компьютер. Максимальный размер IP-пакета составляет 65 535 байт, но на уровне канала данных существует ограничение на максимальный размер кадра в сети Ethernet.
Поэтому большой IP-пакет разбивается на несколько пакетов (называемых фрагментами), и хост-получатель собирает эти фрагменты в один полный пакет. В случае «Пинга смерти», хост получает IP-пакет больше 65 535 байт при попытке собрать фрагменты вредоносных «пингов». Это приводит к переполнению буфера памяти, выделенного для пакета, и, как результат, к отказу в обслуживании даже законных пакетов данных.
4. SYN-атака
SYN-атака является одной из самых распространенных протокольных атак, которая обходит трехстадийный процесс рукопожатия, необходимый для установления TCP-соединений между клиентами и серверами.
Обычно соединение устанавливается так: клиент отправляет серверу исходный запрос на синхронизацию (SYN), сервер отвечает подтверждением (SYN-ACK), и клиент завершает рукопожатие окончательным подтверждением (ACK).
SYN-атаки работают, отправляя быстро подряд эти исходные запросы на синхронизацию и оставляя сервер «в подвешенном состоянии», так как никогда не отправляют окончательное подтверждение. В итоге сервер вынужден держать открытыми кучу «полуоткрытых» соединений, которые в конечном итоге приводят к перегрузке ресурсов и краху сервера.
5. HTTP-атака
Эти атаки являются одним из наиболее распространенных типов DDoS-атак на уровне приложения. Здесь преступник взаимодействует с веб-сервером или приложением, притворяясь обычным пользователем.
Хотя все эти взаимодействия идут от веб-браузеров и выглядят как обычная пользовательская активность, они организованы так, чтобы потребить как можно больше ресурсов с сервера.
Запрос, сделанный злоумышленником, может включать в себя все что угодно: от вызова URL для документов или изображений с использованием GET-запросов до обработки сервером вызовов к базе данных с использованием POST-запросов.
Услуги DDoS-атак часто продаются на темной площадке.
DDoS-атаки часто маскируются под безобидные события, которые могут создать проблемы с доступностью. Например, они могут выглядеть как сбой сервера или системы, слишком много запросов от реальных пользователей или даже как перерезанный кабель. Поэтому вам всегда нужно анализировать трафик, чтобы понять, что происходит.
Если вы стали жертвой DDoS-атаки, вы заметите резкий рост входящего трафика, из-за которого ваш сервер не выдержит и упадет. Кроме того, если вы посетите сайт, подвергшийся DDoS-атаке, он будет загружаться очень медленно или покажет ошибку 503 «сервис недоступен». Вероятно, вы не сможете получить доступ к этому сайту, пока атака не прекратится.
Самым очевидным симптомом DDoS-атаки является замедление работы сайта или сервиса. Общие симптомы DDoS-атаки включают в себя:
Хотя легитимный рост трафика тоже может вызвать проблемы с производительностью, важно провести дополнительное расследование. Особенно это стоит сделать, когда трафик выглядит подозрительным.
Пример: Интернет-магазин испытывает всплеск трафика сразу после распродаж на Черную Пятницу, Рождество и так далее. Помимо вышеупомянутых симптомов, DDoS-атаки имеют специфические симптомы в зависимости от типа атаки.
К тому же, если ваш компьютер используется ботнетом для проведения DDoS-атаки, это проявится следующими признаками:
Защита от DDoS-атаки — задача не из простых. Организациям нужно хорошо спланировать свои действия, чтобы предотвратить такие атаки.
Определение ваших уязвимостей — это ключевой и первый шаг любой стратегии защиты. Кроме того, приведенные ниже шаги помогут уменьшить риск атаки на организацию и смягчить нанесенный DDoS-атакой ущерб.
К тому же, соблюдение правил безопасного поведения в интернете поможет предотвратить использование ваших устройств в ботнетах.
Используйте сложные пароли
Используйте длинные, уникальные и сложно угадываемые пароли для всех своих аккаунтов. К тому же, можно воспользоваться менеджером паролей для безопасного хранения и синхронизации паролей между устройствами.
Пользуйтесь актуальным программным обеспечением
Устаревшее ПО полно уязвимостей, которые хакеры могут использовать. Поэтому регулярно обновляйте программное обеспечение и как можно быстрее устанавливайте выпущенные производителями обновления и патчи. Они часто созданы для устранения различных уязвимостей.
Будьте осторожны с подозрительными ссылками и вложениями
Киберпреступники пытаются заставить вас скачать их вредоносное ПО, отправляя письма с вредоносными ссылками или вложениями. Поэтому не взаимодействуйте с такими письмами, если не узнаете отправителя. Кроме того, можно использовать инструменты для проверки вложений на наличие вредоносного ПО.
Используйте файервол
Файервол способен блокировать доступ от и к неавторизованным источникам. Более того, умный файервол может предотвратить попытки хакеров взаимодействовать с вашими устройствами, если они попытаются заразить их ботнет-вредоносным ПО.
DDoS-атаки предоставляют злоумышленникам возможность сделать сайт или онлайн-сервис недоступным на определенное время или бессрочно.
Они сильно различаются по сложности и могут серьезно повлиять на целевые бизнесы или организации. Поэтому онлайн-бизнесам и организациям следует предпринять все возможные шаги, чтобы снизить риски DDoS-атак и обеспечить безопасность своих систем.
Последствия этих атак могут варьироваться от финансовых потерь до ущерба доверию клиентов. Для защиты от таких атак организациям нужно определить уязвимости, настроить файерволы и маршрутизаторы, мониторить сетевой трафик и разработать план смягчения последствий.
Соблюдение правил безопасного поведения в интернете, таких как использование сложных паролей и файерволов, также может помочь предотвратить использование устройств в ботнетах.
Почему профессионалам в области кибербезопасности следует беспокоиться о DDoS-атаках?
DDoS-атаки могут серьезно нарушить доступность критически важных онлайн-ресурсов и служить маскировкой для совершения других незаконных действий в сети.Почему трудно предотвратить DDoS-атаки, используя традиционные методы фильтрации в области кибербезопасности?
Поскольку DDoS-атаки осуществляются распределенным способом с использованием нескольких систем, сложно блокировать вредоносный трафик, закрывая одну конкретную уязвимость.
Какова роль ботнета в DDoS-атаке?
Ботнеты — это сети зараженных устройств, которыми управляют киберпреступники. Иногда их называют ботами или зомби. Эти зараженные устройства могут включать в себя десктопы, ноутбуки, серверы и устройства IoT. Злоумышленники связываются с этими машинами и объединяют их, чтобы создать распределенные источники вредоносного трафика для перегрузки инфраструктуры компании.