Zarówno atak DoS (Denial of Service, odmowa usługi), jak i atak DDoS (Distributed Denial of Service, rozproszona odmowa usługi) mają na celu atak na system komputerowy lub usługę sieciową w celu uniemożliwiania jej działania. Co do zasady polega on na zalewaniu danej aplikacji serwującej danymi w celu załamania jej pracy. Skutkiem udanego ataku jest niedostępność takiej aplikacji dla jej użytkowników, np. portalu internetowego czy bankowości elektronicznej.
Z uwagi na zasadnicze podobieństwa i tę samą metodę działania skoncentruję się na omówieniu znacznie popularniejszego ataku DDoS, wskazując jednocześnie różnice pomiędzy oboma rodzajami ataków.
DDoS a DoS
Zasadnicza różnica pomiędzy atakiem DDoS a atakiem DoS polega na tym, że atak DoS jest kierowany z jednego urządzenia oraz jednego adresu IP, przez co jest łatwy do zablokowania a atakującego jest stosunkowo prosto wykryć. Z uwagi na to zdecydowanie bardziej popularne są ataki DDoS, które pochodzą z wielu hostów posiadających różne adresy IP, często z różnych stron świata, wobec czego hakerzy stojący za takim atakiem są stosunkowo trudni do wykrycia, a sam atak jest dużo trudniejszy w obronie. Wpływa na to fakt, że podczas ataku DDoS może być użyta:
– nieograniczona liczba źródeł ataku, przez co znacznie trudniej jest naleźć metodę odfiltrowywania i blokowania pojedynczych adresów IP, będących źródłem ataków,
– nieograniczona liczba źródeł geograficznych, ponieważ komputery i urządzenia Internetu Rzeczy użyte do ataku mogą znajdować się w wielu miejscach na całym świecie, wobec czego odfiltrowywanie i wyłączanie ruchu z danego obszaru geograficznego nie jest zbyt skuteczne.
Ponadto pojawia się ryzyko odcięcia zwykłego użytkownika, ponieważ atak DDoS jest generowany z komputerów i urządzeń zwykłych użytkowników, którzy nie są świadomi tego, że ich sprzęt bierze udział w ataku, stąd też odrzucenie ruchu pakietów z konkretnego adresu IP może skończyć się odcięciem od serwisu internetowego zwykłego użytkownika.
Z powyższych powodów systemy obronne bardzo mocno się skomplikowały. Dla obrony przed atakiem DoS w zupełności wystarczała „czarna lista” adresów IP, które były blokowane. Natomiast w przypadku ataku DDoS analiza ruchu internetowego musi być zdecydowanie większa i dokładniejsza, gdyż musi prowadzić do odróżnienia zwykłej aktywności użytkownika od aktywności programu atakującego działającego bez wiedzy i woli właściciela sprzętu.
Składowe ataku DDoS
Atakujący zazwyczaj tworzą sieć komputerów (botów, komputerów zombie), nad którymi przejęli kontrolę za pomocą specjalistycznego oprogramowania (rozprzestrzenianego np. za pomocą wirusów typu trojan), zwaną botnetem. Taka sieć komputerów zombie w jednym, ustalonym przez hakera momencie, zaczyna jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług jakie oferuje. Dla każdego pojedynczego wywołania usług atakowany komputer (serwer) musi przydzielić pewne zasoby (tj. pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej liczbie żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu oferowanych usług lub nawet zawieszenia całego systemu.
Co ważne, zwykły użytkownik zainfekowanego komputera przeważnie nie wie, że jego komputer padł ofiarą hakerów i bierze udział w ataku, ponieważ wszystkie procesy, które wykonuje takie urządzenie, dzieją się w tle, zabierając na tyle mało zasobów, aby nie były widoczne dla użytkownika. W tym miejscu należy wskazać, że hakerzy do przeprowadzania tego rodzaju ataków często używają sprzętów podłączonych do Internetu innych niż komputery. Często są to urządzenia domowe i biurowe podłączone do sieci Internet (IoT), które mogą komunikować się i wymieniać między sobą dane bez ingerencji człowieka, jak np. lodówki, radia, drukarki, zmywarki, odkurzacze, pralki, telewizory, itp. Z uwagi na brak wystarczających, a zazwyczaj brak jakichkolwiek zabezpieczeń, hakerzy nie mają większych trudności w przejęciu nad nimi kontroli.
Kierunki ataku DDoS
Ataki DDoS wykonywane są przeciwko konkretnym stronom, usługom internetowym, czy nawet całym sieciom, zwłaszcza tym o kluczowym znaczeniu, w tym przeciwko dużym firmom, bankom, stronom rządowym, dostawcom Internetu, e-commerce czy przeciwko serwisom gamingowym. Mają na celu spowodowanie utraty wiarygodności firmy, właściciela danej platformy czy określonej agencji rządowej kierując się utratą zaufania przez użytkowników do niedziałającej na skutek ataku strony internetowej, aplikacji czy usługi.
Stąd też taki atak jest szczególnie groźny dla serwisów aukcyjnych i firm brokerskich, ponieważ nawet chwilowy brak dostępu do strony internetowej związany jest ze znacznymi stratami finansowymi i wizerunkowymi.
Warto zaznaczyć, że ofiarami ataku DDoS jest nie tylko system komputerowy lub usługa sieciowa, ale także są nimi właściciele zainfekowanych komputerów i urządzeń IoT (Internetu Rzeczy) wcielonymi do sieci botnet, a także osoby niemogące skorzystać z niedziałających na skutek ataku usług internetowych.
Cele ataku DDoS
Ataki DDoS kierowane są przeciwko sieciom komputerowym, stronom WWW, usługom internetowym czy aplikacjom, jednak najczęściej ataki przeprowadzane są na:
- Łącze internetowe – tu wykorzystywane są wolumetryczne ataki DDoS, które polegają na przesyłaniu tak dużej ilości danych, które nie są w stanie być odebrane przez atakowane łącze internetowe. Warto zauważyć, że przeciętne łącze internetowe w Polsce ma przepustowość na poziomie 50 – 100 Mb/s. Natomiast wolumetryczne ataki DDoS zaczynają się od 6 – Mb/s, przez 200 – 500 Mb/s, po ataki na poziomie kilkudziesięciu – kilkuset Gb/s. Największy wykryty i odparty atak DDoS na świecie miał przepływność ponad 400Gb/s, natomiast największym niepotwierdzonym atakiem miał być atak z 2016 roku o przepływności ponad 600 Gb/s.
- Firewall (zapora ogniowa) – w tym przypadku do ataku wykorzystywany jest port 80 (HTTP), który jest wykorzystywany do przeglądania stron WWW. Dla firewalla jest to otwarty port komunikacji z Internetem, wobec czego każda sesja internetowa, która jest zestawiana z tym portem jest tylko rejestrowana w specjalnym rejestrze. Niestety zapory ogniowe mogą obsłużyć ograniczoną liczbę monitorowanych i rejestrowanych sesji, np. 100 000, a ataki DDoS powodują otwarcie miliona lub większej ilości sesji, co przyczynia się do przepełnienia rejestru i zaburza pracę firewalla. W konsekwencji zapora ogniowa nie pozwala na otwarcie kolejnej sesji, której nie jest w stanie monitorować, a tym samym rzeczywisty użytkownik chronionego serwisu internetowego nie będzie mógł się połączyć z tym serwisem, np. bankowością elektroniczną czy portalem. Jako ciekawostkę warto dodać, że niektóre firewalle posiadają funkcję oznaczaną antiDDoS. Przeważnie funkcja ta nie ma nic wspólnego z ochroną przed atakami DDoS, a jedynie chroni samą zaporę ogniową przed przepełnieniem rejestru i zawieszeniem systemu ochrony.
- IDS (Intrusion Prevenction System) / IDS (Intrusion Detection System) – ataki na systemy wykrywania intruzów mają na celu spowodowanie zaburzenia normalnego ich działania w skutek zbyt dużej ilości sesji internatowych, które podlegają analizie.
- Load balancer/ADC – są to ataki na system równomiernego rozkładania obciążenia systemów informatycznych (np. pamięci, mocy procesora). Zadaniem takiego systemu jest przeciwdziałanie przeciążeniu pojedynczego serwera. Atak DDoS na taki system ma na celu spowodować utratę dostępności do aplikacji na skutek źle skonfigurowanego Load balancera, który nie będzie potrafił odpowiednio rozłożyć obciążenia systemów pomimo posiadania wolnych zasobów.
- Serwery – stanowią główny cel ataków DDoS, którym jest wyczerpanie zasobów informatycznych przeznaczonych do realizacji funkcji serwisu internetowego czy aplikacji. Bardzo często ataki na aplikacje mają na celu dostanie się do bazy danych wykorzystywanej do poprawnej pracy danej aplikacji.
Rodzaje ataków DDoS
Podział ogólny
Co do zasady ataki DDoS możemy podzielić na:
- Ataki wolumetryczne, czyli polegające na wysyłaniu dużej ilości danych na określony adres IP. W wyniku tego ataku dochodzi do przeciążenia sieci z uwagi na otrzymywanie ogromnej liczby fałszywych żądań z każdego dostępnego portu. W wyniku dużej ilości zapytań strona lub usługa internetowa nie jest w stanie obsługiwać zapytań zwykłych użytkowników. W przypadku tego ataku ilość przesyłanych danych jest większa niż wydajność łącza internetowego, co powoduje, że nie ma możliwości obsłużenia wszystkich transmisji z napływającymi danymi. Nadmiar danych sprawia, że systemy ochrony (np. firewall) nie są w stanie obsłużyć wszystkich danych, a tym bardziej ich przeanalizować. W zależności od konfiguracji firewall blokuje obsługę kolejnych sesji internetowych lub, co jest szczególnie niebezpieczne, wyłącza ochronę i przepuszcza wszystkie sesje, jakim tylko uda się przebić przez natłok danych. Atak wolumetryczny jest najpowszechniejszym i najczęstszym rodzajem ataku DDoS.
- Ataki na poziomie aplikacji są ukierunkowane na aplikacje, z których korzystają użytkownicy i działają bezpośrednio na ruch internetowy, atakując protokoły HTTP, HTTPS, DNS lub SMTP. Takie ataki są trudne do wychwycenia i zablokowania, ponieważ skutecznie naśladują standardowy ruch sieciowy. Z uwagi na to, że ruch aplikacyjny nie stanowi całego ruchu w sieci, zauważenie tego ataku, który wysyca wydajność aplikacji, jest praktycznie niemożliwe dla większości powszechnie używanych systemów monitorujących ruch sieciowy. Ponadto atak aplikacyjny typu slow powoduje maksymalne wydłużenie odpowiedzi, co w praktyce oznacza, że każda aplikacja internetowa rozpoczynając nową sesję (np. z przeglądarką użytkownika), rezerwuje mały procent zasobów informatycznych, potrzebnych do obsługi tej sesji, ale czas oczekiwania na odpowiedź w zestawie reguł typu „pytanie-odpowiedź” jest ustawiony na maksymalnie długi okres, przez co zasoby informatyczne zarezerwowane dla danej sesji są utrzymywane w gotowości i nie mogą służyć do obsługi innych procesów informatycznych. Odpowiednio duża liczba otwieranych sesji, które odpowiadają z maksymalną dopuszczalną zwłoką, sprawia, że zasoby mogą ulec wyczerpaniu. Pierwszym objawem tego ataku jest spowolniona obsługa aplikacji (spowolnione jest otwieranie kolejnych stron aplikacji internetowej), a w skrajnym przypadku zaatakowana aplikacja przestaje obsługiwać jakiekolwiek sesje, ponieważ nie posiada wystarczającej mocy obliczeniowej czy pamięci. W takim przypadku klikanie w poszczególne aktywne miejsca strony internetowej nie przynosi żadnego efektu, a w przeglądarce użytkownika pojawia się komunikat o braku odpowiedzi ze strony aplikacji internetowej czy strony WWW – np. błąd 500 – wewnętrzny błąd serwera (internal server error).
Wyróżniany jest jeszcze podtyp ataku aplikacyjnego, mianowicie atak z wykorzystaniem tunelu SSL.
Warto wskazać, iż tunel SSL to metoda wymiany danych, gdzie informacja przed wysłaniem podlega zaszyfrowaniu, a po przesłaniu do miejsca docelowego następuje odkodowanie zawartych w niej danych pakietowych. O tunelowym przesyle danych oraz infrastrukturze klucza publicznego (PKI) możesz przeczytać tutaj.
Pod względem cyberbezpieczeństwa, takie szyfrowane przesyłanie widomości ma także swoje negatywne konsekwencje, ponieważ może zostać wykorzystane do ataku na aplikację. Wynika to stąd, że pełna poufność przesyłanych danych wymaga, aby odkodowanie informacji (zaszyfrowanych danych przesyłanych w pakietach) następowało dopiero na poziomie aplikacji. Tym samym systemy ochronne (np. firewalle) nie mają technicznej możliwości weryfikacji tego, jakie dane są przesyłane (z jakim ładunkiem), a tym samym weryfikacji, czy taki przesył danych nie jest atakiem hakerskim, np. DDoS. Niestety z roku na rok rośnie liczba ataków DDoS opierających się na szyfrowanym przesyle danych. - Ataki na poziomie protokołu są ukierunkowane w te części sieci, które służą do weryfikowania połączeń. Podczas tego ataku wysyłane są wolne lub zniekształcone sygnały ping, przez co sieć zużywa dużo zasobów na próby ich weryfikacji. Atak ten może celować w zapory ogniowe (firewalle) poprzez wysyłanie dużej ilości specjalnie zniekształconych danych.
Warto zaznaczyć, że podczas jednego ataku wykorzystywane są jednocześnie trzy powyższe metody ataków, co ma na celu całkowite przeciążenie sieci i spowodowanie jej awarii.
Podział ze względu na użyte oprogramowanie
W tym miejscu pragnę wyraźnie zaznaczyć, że zdecydowanie sprzeciwiam się wszelkiego rodzaju działalności hakerskiej, a poniższa lista oprogramowania służącego do wykonywania ataków DDoS ma jedynie charakter informacyjny i ma na celu zwiększenie świadomości zwykłych użytkowników sprzętu komputerowego oraz osób odpowiedzialnych za bezpieczeństwo.
Przedmiotowy podział ten odnosi się do oprogramowania służącego do przeprowadzenia ataków DDoS:
- LOIC (Low Obit Ion Cannon) – jest to program najczęściej wykorzystywany przez początkujących hakerów i tzw. hacktywistów i służy do prostego floodowania (zalewania) ruchu TCP, UDP i HTTP. Tego programu używa często grupa Anonymous w celu wykonywania skoordynowanych ataków.
- HOIC (High Orbit Ion Cannon) – jest to program, który powstał w odpowiedzi na zamknięcie przez amerykański departament sprawiedliwości witryny megaupload.com i jest często wykorzystywany przez tzw. haktywistów. HOIC wyposażony jest w prosty interfejs graficzny, pozwalający w łatwy sposób na wysyłanie masowych żądań http, tj. GET i POST.
- hping3 – jest to konsolowy program podobny do narzędzie ping, jednak oferuje znacznie więcej funkcji niż wysyłanie zwykłych żądań ICMP Echo Request. Program ten wspiera protokoły TCP, UDP, ICMP i RAW IP, skanowanie portów, a także spoofowanie adresów IP.
- R-U-Dead-Yet (R.U.D.Y.) – jest to program w formie aplikacji służący do wykonywania ataków typu low and slow. Wykorzystuje on wbudowane formularze atakowanej witryny i wysyła żądanie http POST z niepoprawną długością nagłówka „content-lenght”, a następnie w określonym czasie wstrzykuje do formularza informacje zawarte w jednobajtowych pakietach, które wysyłane są w powolnym tempie. Takie działanie programu powoduje utworzenie wielu zalegających wątków aplikacji, a poprzez długą zawartość w nagłówku uniemożliwia serwerowi zamknięcie połączenia, co w konsekwencji prowadzi do przepełnienia tablicy połączeń serwera i spowodowania jego niedostępności. Hakerzy do wykonywania ataków low and slow wykorzystują także inne programy, np. Slowloris czy PyLoris.
- Miari – jest jednym z najnowszych programów wykorzystywanych do ataków DDoS. Do przeprowadzenia takiego ataku wykorzystuje urządzenia zaliczane do Internetu Rzeczy (internet of things, IoT). Instaluje się na urządzeniach z domyślnymi hasłami, łączy z serwerami IRC i czeka na sygnał do ataku. Program ten atakuje serwery DNS, doprowadzając do ich przeciążenia, i mimo to dalej wysyła zapytania aż do momentu, w którym żaden atakowany DNS nie ma możliwości obsłużenia żądania. Na szczęście oprogramowanie to można łatwo wykryć za pomocą oprogramowania antywirusowego.
W tym miejscu warto wskazać, że botnety mogą być także budowane na podstawie urządzeń z oprogramowaniem Android, które jest obecnie najpopularniejsze na świecie. Tworzenie takich sieci ułatwiają fałszywe aplikacje, które niestety są dostępne także w sklepie Play. Przykładem może być stosunkowo niedawno odkryty WireX Android DDoS Botnet, który składa się z ponad 120 000 urządzeń z Androidem zarażonych wirusami zawartymi w różnych aplikacjach pochodzących z oficjalnego sklepu Play.
Aplikacje, które najczęściej są zawirusowane odpowiadają za odtwarzanie video, dzwonki i motywy oraz managery pamięci masowej. O skali problemu może świadczyć fakt, że w sklepie Play zostało odkrytych ponad 300 aplikacji zawierających złośliwe oprogramowanie.
Przebieg ataku DDoS
Skuteczność i możliwość przeprowadzenia tego typu ataków wynika z faktu, że zasoby sieciowe, w tym serwery, mogą obsłużyć tylko określoną ilość żądań w danym czasie. Tak samo ograniczona jest przepustowość łącza internetowego serwera oraz innych warstw sieci.
Coraz częstszą praktyką staje się atakowanie różnych punktów w ramach jednego ataku DDoS, przez co coraz trudniej jest zapobiegać takim atakom i przeciwdziałać im w czasie ich trwania. Ponadto im bardziej złożony jest atak, tym trudniej jest odróżnić związany z nim ruch od normalnych działań użytkowników.
Ataki DDoS uniemożliwiają działanie usługom internetowym poprzez zalanie fikcyjnym ruchem, czyli danymi z tysięcy zainfekowanych komputerów oraz innych urządzeń połączonych w sieć botnet. W związku z tym w wyniku wysyłania przez sieć botnet wielu zapytań, czyli powstania sztucznego i nienaturalnie dużego ruchu, dochodzi do przekroczenia dostępnej przepustowości i zasobów (m. in. pamięci, czasu procesora czy pasma sieciowego), gdyż strona próbuje odpowiadać na liczne żądania. W efekcie, gdy liczba żądań do komponentów sieciowych przekroczy limit przepustowości, strona lub aplikacja internetowa natychmiast zaczyna źle funkcjonować. Wydłuża się czas ładowania strony, strona zrywa połączenie lub całkowicie nie da się jej otworzyć (przestaje działać), a klienci nie mają dostępu do usług internetowych. W skrajnych przypadkach może nawet dojść do awarii lub zniszczenia elementów infrastruktury IT, np. serwerów czy routerów brzegowych.
Konsekwencje ataku DDoS
Na początku warto stwierdzić, że ataki DDoS zazwyczaj nie stanowią bezpośredniego zagrożenia dla bezpieczeństwa, ponieważ z reguły podczas tych ataków nie dochodzi do wycieku danych uwierzytelniających, nazw użytkowników i innych danych wartościowych dla hakerów. Jednakże negatywnymi konsekwencjami takiego ataku są:
– utrudniony lub niemożliwy dostęp do strony lub usługi internetowej,
– straty finansowe wynikające z utraty możliwości sprzedażowych i utraty możliwości biznesowych,
– utrata dostępu do krytycznych danych,
– utrata wizerunku firmy oraz zaufania klientów,
– utrata klientów z uwagi na niedziałające podczas ataku serwisy i usługi,
– generowanie strachu u użytkowników, w szczególności stron bankowych i rządowych – przykładem może być atak DDoS na ukraińskie strony banków i instytucji rządowych 15 i 23 lutego 2022 roku.
Wykrycie i rozpoznanie ataku DDoS
Po stronie użytkownika atak DDoS można rozpoznać po znacznym spowolnieniu działania strony lub usługi internetowej lub jej niedostępności.
Ponadto oprogramowanie po stronie właściciela witryny czy strony internetowej także pomaga w śledzeniu ruchu pakietów IP i wczesnym wykrywaniu takiego ataku. Pomocne przy tym jest takie oprogramowanie jak IDS, IPS, czy dobrze skonfigurowany SIEM.
Zdecydowanie trudniejsze jest rozpoznanie przez użytkownika, że jego komputer padł ofiarą hakerów i jest „komputerem zombie” podłączonym do botnetu. Pomocne mogą być pewne symptomy, np. wolniejsza praca komputera, wyświetlanie komunikatów o błędach, przerywanie działania. Jednakże nie przesądzają one w 100% o zainfekowaniu komputera i podłączeniu go do botnetu – mogą być one spowodowane innymi czynnikami, np. brakiem aktualizacji, miejsca na dysku, czy przeciążeniem bieżącymi procesami realizowanymi na komputerze związanymi z bieżącą pracą użytkownika.
Niezależnie od powyższego, obecnie ataki DDoS są coraz bardziej wyrafinowane, a koszty ich przeprowadzenia coraz mniejsze. Stąd też coraz bardziej problematyczne staje się ich wykrywanie, a kluczowymi problemami są:
- Prowadzenie ataku DDoS na porty i z użyciem protokołów, które wykorzystywane są przez przeglądarki internetowe, co powoduje znaczące utrudnienie w filtracji charakterystycznych sesji lub ruchu pakietów na konkretne porty.
- Wysyłanie strumieni pakietów przez sieć botnet, czyli tysięcy zawirusowanych komputerów zombie, smartfonów i urządzeń IoT.
- Używanie metod zwielokratniających wielkość ruchu pakietów IP, jakie wysyłane są na łącze internetowe ofiary. Najskuteczniejsze metody potrafią zwiększyć strumień IP nawet 4000 razy. W teorii oznacza to, że wystarczy z jednego źródła wysłać strumień 100kb/s (dla porównania strumień wideo, np. z serwisu YouTube ma ok. 13 000 kb/s), aby po zwielokrotnieniu na łącze internetowe ofiary takiego ataku trafił strumień 400 000 kb/s (ok. 400 Mb/s). Jednakże w praktyce nie jest tak prosto wygenerować tak duży atak, choć nie wymaga on szczególnie dużych umiejętności hakerskich.
- Wykrywanie ataków przeprowadzanych z użyciem szyfrowania (tunelów SSL) i ich mitygacja (tłumienie), gdyż wymagają posiadania specjalistycznych i wyrafinowanych rozwiązań.
- Odparcie wolumetrycznego ataku DDoS, ponieważ wysyłanie olbrzymiej ilości pakietów danych na ograniczone łącze internetowe prowadzi do jego zablokowania. Należy dodać, że analiza ruchu przychodzącego i weryfikacja pakietów oraz otwartych portów dla konkretnego strumienia danych odbywa się dopiero na końcu łącza internetowego, czyli u klienta. Na końcu łącza internetowego także dokonuje się odrzucenia niechcianych danych. Polega to na zablokowaniu łącza. Dopiero po tej czynności systemy ochrony (np. firewall) dokonują analizy danych, które zostały przesłane (zmieściły się) w ograniczonym łączu internetowym. Natomiast pakiety danych, które nie zmieściły się w danej chwili w paśmie łącza internetowego są bezpowrotnie tracone.
Ochrona przed atakami DDoS
Niestety zwykli użytkownicy nie mają możliwości zabezpieczenia się przed atakami DDoS, ponieważ jedynie administrator strony internetowej posiada informacje o niespodziewanych skokach w ruchu na stronie i może podjąć działania zapobiegające atakowi.
Mogą oni sobie jednak pomóc poprzez instalację dobrego i sprawdzonego programu antywirusowego pewnej marki. Taki program będzie wykrywał i usuwał ewentualne złośliwe oprogramowanie, które udostępnia komputer w sieci botnet.
Ponadto użytkownicy powinni przestrzegać podstawowych zasad bezpiecznego korzystania z Internetu, czyli:
– nie pobierać na komputer nieznanego oprogramowania (może być zawirusowane),
– nie klikać w podejrzane linki, załączniki, wyskakujące okienka i podejrzane reklamy,
– nie wchodzić na niesprawdzone strony,
– pobierać oprogramowanie wyłącznie ze sprawdzonych źródeł,
– zwracać uwagę na przypadki dziwnego zachowania komputera lub nagłe spowolnienie jego pracy.
Natomiast firmy i organizacje, w celu ochrony przed atakami DDoS, powinny opracować odpowiednią strategię działania, w której wyraźnie powinny być wskazane informacje takie jak, np.:
– osoba lub osoby odpowiedzialne za blokowanie adresów IP,
– osoba lub osoby kontaktujące się z dostawcą usług internetowych, hostingiem i dostawcami zabezpieczeń,
– osoba lub osoby odpowiedzialne za monitorowanie ataku, a także prowadzenie działań obronnych,
– procedurę przekazywania informacji o tym jak i gdzie odbywa się atak.
Co istotne taka strategia nie może być zlepkiem kliku ogólnych zdań, lecz musi zawierać dokładną analizę zasobów informatycznych przedsiębiorstwa i precyzować co robić, aby w sytuacji zajścia ataku DDoS utrzymać ciągłość działania przedsiębiorstwa.
Przygotowując się do opracowania i wdrożenia takiej strategii (lub jej zmiany) powinno się sporządzić listę wszystkich serwisów, jakie są zainstalowane w serwerowni. Do takich serwisów można np. zaliczyć pocztę elektroniczna (e-mail), serwis WWW (np. strona internetowa firmy), intranet (obejmujący zarówno komunikację wewnątrz firmy, wnioski urlopowe, bazę wiedzy, strukturę organizacyjną, itp.), aplikacje internetowe (np. sklep internetowy czy platforma do składania zamówień), itd.
Kolejnym krokiem powinno być rozproszenie wrażliwych dla danego przedsiębiorstwa systemów, a przy tym znaczne zwiększenie odporności na atak DDoS, czego nie może zaoferować model centralizacji polegający na rozbudowie własnej serwerowni i utrzymywania w jednym miejscu wszystkich krytycznych dla przedsiębiorstwa systemów.
Ponadto powinno się zainwestować w dobrą ochronę Anty-DDoS, która najczęściej odbywa się poprzez zmianę rekordów DNS, co powoduje skierowanie całego ruchu http/HTTPS przez warstwę filtrującą, w której dokonywana jest szczegółowa inspekcja każdego pakietu i zapytania. Następnie zaawansowane algorytmy oraz odpowiednio zdefiniowane reguły odfiltrowują błędne pakiety i próby ataków, dzięki czemu na serwer trafia wyłącznie czysty ruch, a wszystkie oferowane usługi mogą być cały czas dostępne.
Kto stoi za przeprowadzaniem ataków DDoS
Motywacji i powodów, o czym poniżej, do przeprowadzania ataków DDoS jest wiele, jednakże można wyróżnić głównych aktorów stojących za takimi atakami, są nimi:
- Cyberwojownicy – czyli grupy osób najczęściej działające na zlecenie państw lub organizacji paramilitarnych, których celem jest dezorganizacja jakiegoś sektora danego państwa. Ataki DDoS stanowią jedno z ważniejszych narzędzi dla takich grup. Obecnie w ramach wojsk poszczególnych państw budowane są specjalne jednostki, zwane „cyberjednostkami” lub „wojskiem obrony cyberprzestrzeni”, których zadaniem jest budowanie scenariuszy i narzędzi wykorzystywanych we współczesnych wojnach hybrydowych i walka z grupami cyberwojowników.
- Cyberprzestępcy – to grupy osób, których celem jest dokonywanie przestępstw komputerowych. W tym przypadku ataki DDoS stanowią wstęp lub „zasłonę dymną” dla ataków innego rodzaju, ponieważ DDoS bardzo mocno angażuje informatyków, przez co nie mają oni czasu na zajmowanie się bieżącym monitorowaniem i odpowiednim reagowaniem na inne pojawiające się incydenty naruszenia bezpieczeństwa informatycznego. Warto zauważyć, że cyberprzestępcy stosują wobec firm cyberszantaż, który polega na wysłaniu do ofiary informacji z żądaniem zapłacenia okupu w zamian za nieprzeprowadzenie ataku DDoS.
- Haktywiści – to grupa osób, który ataki DDoS traktują jako formę protestu w Internecie. Przykładem ataków DDoS przeprowadzonych przez haktywistów mogą być ataki przeprowadzone przez grupę Anonymous na polskie strony internetowe Policji, Sejmu i Rady Ministrów w czasie, gdy trwały negocjacje nad przyjęciem ACTA przez Polskę.
- Szpiedzy – to szereg wyspecjalizowanych grup i firm zajmujących się szpiegostwem przemysłowym lub politycznym, których głównym celem jest zdobycie pilnie strzeżonych informacji. Dla szpiegów ataki DDoS są jedynie „zasłoną dymną” dla innych ataków hakerskich mających za zadanie włamanie się do pilnie strzeżonych sieci komputerowych.
- Amatorzy – to osoby prywatne, które przeprowadzają ataki DDoS, począwszy od nastolatków atakujących szkolne dzienniki elektroniczne, czy serwery gier, po sfrustrowanych zwolnionych pracowników, którzy w ten sposób próbują odegrać się na swoim byłym pracodawcy.
Powody ataków DDoS
Hakerzy przeprowadzający atak DDoS mogą mieć wiele różnych powodów. Oczywiście podstawowym jest uniemożliwienie dostępu do strony czy usługi internetowej innym osobom, co może być podyktowane różnymi motywacjami, np.:
– tzw. hacktivism, czyli atak jako reakcja na kontrowersyjną wypowiedź na stronie lub decyzje organizacji będącej właścicielem strony, z którymi haker się nie zgadza,
– chęcią wykluczenia konkurencji, np. konkurent doprowadza do wyłączenia strony internetowej swojego głównego konkurenta w kluczowym okresie sprzedaży, aby przejąć jego klientów,
– zniszczeniem reputacji właściciela danej strony internetowe, witryny,
– odwróceniem uwagi pracowników IT atakowanej firmy, gdyż atak DDoS może stanowić rodzaj tzw. „zasłony dymnej” dla innego nielegalnego działania, w tym przeprowadzenia innego ataku,
– uzyskaniem okupu za zakończenie ataku,
– próbą wpływu na decyzje polityczne i pobudzenia określonych ruchów społecznych,
– wywołaniem strachu,
– z nudów – tak, takie ataki też mają miejsce.
Warto wskazać, że w darknecie, w ramach usługi Hackig as a Service (HaaS) są łatwo dostępne i stosunkowo tanie oferty wynajmu sieci botnet do przeprowadzenia ataku i czasowego wyłączenia strony internetowej będącej przedmiotem ataku.
W związku z tym ilość i częstotliwość ataków DDoS z roku na rok gwałtownie wzrasta – tylko w pierwszym półroczu 2022 roku liczba ataków DDoS wzrosła o 203% rok do roku.
Ile może trwać atak DDoS?
Średnio atak DDoS trwa około 3 godzin, a badania firmy Kaspersky pokazują, że ponad 80% ataków trwa krócej niż 4 godziny. Ponad 90% ataków kończy się najpóźniej po 9 godzinach. Ataki trwające dłużej niż 140 godzin są rzadkością i stanowią jedynie 0,08% wszystkich ataków DDoS. Oczywiście sporadycznie zdarza się, że ataki trwają nawet kilka dni, a najdłuższy odnotowany atak DDoS miał miejsce w II kwartale 2019 roku i trwał 509 godzin, czyli prawie trzy tygodnie.
Niestety z roku na rok wydłuża się czas trwania ataków DDoS, o czym informują wszystkie firmy zajmujące się ochotną cybernetyczną, a coraz powszechniejsze są ataki trwające od 48 do 72 godzin oraz takie trwające po kilkanaście dni.
Mity związane z ochroną przed DDoS
Z uwagi na znaczną komplikację ataków, a także częsty brak pełnego zrozumienia trudności obrony przed tymi atakami, wyrosły pewne mity, które prezentuję poniżej:
- Mit nr 1: Wystarczy zwiększyć pasmo – jest to chyba najpopularniejszy mit. Obalić go można przykładem rzeczywistego ataku przeprowadzonego 17 lipca 2014 roku na jeden z polskich serwisów internetowych, podczas którego przesył danych wyniósł 100 Gb/s. W praktyce nie jest możliwe zwiększenie w przeciągu kilku godzin swojego pasma do aż tak dużej przepustowości.
- Mit nr 2: Chmura wchłonie każdy atak DDoS – nie jest to prawdą z uwagi na to, że zasoby w chmurze są ograniczone, a ochrona Anty DDoS zewnętrznych serwerowni (data center) nie zawsze chroni klientów. Obalając ten mit podnieść należy, że twórcy aplikacji przewidują zapotrzebowanie na moc obliczeniową i pamięć z pewnym zapasem, nigdy jednak te zasoby nie są nieograniczone, a ataki DDoS typu slow bardzo szybko wyczerpują dostępne zasoby. Natomiast systemy obrony zewnętrznych data center chronią zazwyczaj przed atakami wolumetrycznymi, a sporadycznie przed atakami aplikacyjnymi, choć według statystyk ataki aplikacyjne stanowią połowę wszystkich ataków DDoS. Ponadto ochrona zewnętrznych serwerowni przed atakami DDoS zazwyczaj dotyczy obrony przed wysyceniem łącza konkretnego data center, a nie przed wysyceniem zasobów konkretnego klienta. Ponadto żaden dostawca usług chmurowych nie zagwarantuje odparcia ataku DDoS dla aplikacji umieszczonej w chmurze z zagwarantowaną przepływnością 100 Mb/s, ponieważ aby móc ochronić tak wąskie pasmo przed atakiem wolumetrycznym, system aktywnej analizy pakietów powinien mieć podzielony ruch IP wpływający do data center na małe podsieci przydzielone poszczególnym klientom. Jest to istotne, ponieważ większość systemów wykrywających ataki DDoS bazuje na analizie próbek netflow, czyli analizie zbliżonej do skróconego opisu ruchu IP. Analiza netflow pozwala nawet na 500-krotne zmniejszenie ilości analizowanych danych, co niestety przekłada się na mniejszą skuteczność i sporą bezwładność w wykrywaniu ataków DDoS. Jeżeli analizie netflow poddaje się bardzo duży ruch sieciowy, to do analizatora próbek trafia zaledwie co tysięczna próbka, co przekłada się na wykrywanie jedynie bardzo dużych ataków wolumetrycznych.
- Mit nr 3: Wystarczy przeczekać DDoS – przeczekanie jest najgorszym z możliwych sposobów reakcji na taki atak, zwłaszcza dla systemów informatycznych, od których zależy sprawne działanie firmy czy instytucji. Ponadto stale zwiększająca się długość ataków oraz możliwości grup hakerskich do atakowania serwisów internetowych praktycznie non-stop pokazują jak bardzo błędne i niewłaściwe jest takie podejście.
- Mit nr 4: DDoS to przestępstwo, więc mogę liczyć na pomoc organów ścigania – źródłem tego mitu jest przeświadczenie, że wystarczy zgłosić fakt ataku odpowiednim organom ścigania, np. Policji i problem będzie rozwiązany. Lecz w żadnym kraju służby państwowe nie przeciwdziałają atakom DDoS – od tego są specjalistyczne firmy prywatne oferujące wyspecjalizowane oprogramowanie. Służby mundurowe mogą wesprzeć ofiarę takiego ataku poprzez prowadzenie śledztwa i tropienie cyberprzestępców, bazując na przesłanych mailem żądaniach okupu, czy sposobie realizacji płatności.
- Mit nr 5: Reputacja jest dobra na wszystko – mit ten powstał z uwagi na zbytnią wiarę w systemy ochronne, np. firewalle znanych producentów. Jednakże tylko bardzo drogie i zaawansowane systemy NGFW (New Generation Firewall) rzeczywiście posiadają funkcje odpowiedniej analityki, aby przynajmniej częściowo chronić przed atakami DDoS, o ile wcześniej podczas ataku, nie zostanie wysycona przepustowość łącza internetowego. Dodatkowo w przypadku ataku DDoS trudno opierać się na danych z centrów reputacyjnych, ponieważ ataki takie są prowadzone za pomocą botnetów, w skład których wchodzą komputery i urządzenia prywatnych użytkowników nieposiadające stałych adresów IP.
- Mit nr 6: Ataki DDoS mnie nie dotyczą, bo jestem za mały – obalając ten mit należy wskazać, że nie wielkość sieci czy systemu informatycznego może zdecydować o ataku, ale podatność na konkretny atak. W praktyce za wieloma atakami hakerskimi stoją automaty, a automat nie będzie oceniał, czy dana firma jest duża, czy też mała. Po prostu wykona procedury i w raporcie do hakera przekaże efekty swojego działania z przeprowadzonego ataku DDoS.
- Mit nr 7: DDoS to atak sieciowy, najczęściej typu SYN FLOODS – mit ten polega na przekonaniu, że większość ataków DDoS stanowi jeden typ, czyli SYN Floods. Kiedyś rzeczywiście tak było, ale obecnie zdecydowana większość ataków DDoS to wielowektorowe ataki zarówno sieciowe, jak i aplikacyjne. Na podstawie badań RADWARE ataki DDoS prezentują się następująco:
1. 51%, to ataki sieciowe, w tym:
– 18% – ataki typu TCP-SYN Flood,
– 16% – ataki wykorzystujące protokół UDP,
– 10% – inne ataki wykorzystujące protokół TCP,
– 6% – ataki wykorzystujące protokół ICMP,
– 1% – ataki IPv6,
2. 49%, to ataki aplikacyjne, w tym:
– 23% – ataki webowe wykorzystujące protokoły HTTP lub HTTPS,
– 16% – ataki na DNS,
– 9% – ataki wykorzystujące protokół SMTP,
– 1% – ataki VoIP.
Mając powyższe na uwadze, wyraźnie widać, że ataki typu SYN Flood stanowią jedynie 18% wszystkich ataków DDoS, a popularność tego ataku z roku na rok spada. Już w 2012 roku wynosił on jedynie niewiele ponad 35% wszystkich ataków DDoS.
Podsumowanie
Ataki DDoS z roku na rok stają się coraz bardziej popularne i wykorzystywane są zarówno w celach politycznych, gospodarczych jak i przestępczych. Wykorzystywane są zarówno w celu zablokowania lub znaczącego utrudnienia funkcjonowania firm i organizacji, dla szantażu, a także w celu maskowania innych rodzajów ataków.
Z uwagi na coraz większy stopień skomplikowania ataków DDoS, a także na stosunkową łatwość w ich przeprowadzeniu, stają się one coraz groźniejszym narzędziem w rękach hakerów.
Jednakże firmy, organizacje i instytucje nie są bezbronne. Odpowiednio dostosowane polityki i procedury, znajomość własnych systemów, ich rozproszenie, a także wykorzystywanie najnowszych narzędzi AntyDDoS pozwalają skutecznie bronić się przed takimi atakami.
Autor: Michał Mamica