W 2018 roku GitHub był świadkiem jednego z największych ataków DDoS, jakie kiedykolwiek odnotowano. Według Wired, atak mierzył 1,35 terabitów danych na sekundę, a GitHub cierpiał z powodu przestojów w wyniku. Na szczęście firma miała wdrożoną strategię łagodzenia i szybko przełączyła się na kierowanie ruchu przez swoją usługę ochrony DDoS, udaremniając atak.
Według Netscout, którego spółka zależna Arbor Networks stworzyła mapę, która pokazuje codzienne ataki DDoS, firma wykryła średnio 23 000 ataków każdego dnia w 2019 roku. Jej roczny raport dotyczący zagrożeń ostrzega, że wzrost IoT, który przyniesie przewidywane 20 miliardów podłączonych urządzeń w tym roku, znacznie zwiększa ryzyko ataków DDoS, które wzrosły pod względem częstotliwości i intensywności.
Ale jak pokazuje doświadczenie GitHub, możliwe jest posiadanie planu, który może zmniejszyć szkody, a nawet odeprzeć ataki DDoS, gdy wystąpią. Firmy mogą podjąć techniczne środki ostrożności, korzystać z usług ochrony przed DDoS i przyjąć jasne plany biznesowe w oczekiwaniu na atak.
Co to jest rozproszony atak typu denial-of-service (DDoS)?
Więcej o CYBERSECURITYPolice Radio Apps Are Surging in Popularity. There’s Just One Problem.
Jak wygląda odmowa usługi (Denial of Service)?
Instruktor Tom Scott wyjaśnia na Computerphile, że złośliwym rdzeniem ataku DDoS jest odmowa usługi (Denial of Service), czyli forma ataku po raz pierwszy zaobserwowana w latach 90. ubiegłego wieku, kiedy większość osób posiadających komputery przeglądała internet, korzystając z połączenia dial-up. Dial-up jest powolny – działa z prędkością 56 000 bitów na sekundę, czyli mniej niż 1 procent prędkości nowoczesnych połączeń szerokopasmowych. Zgodnie z wpisem na blogu SolarWinds, takie prędkości uniemożliwiają oglądanie filmów w czasie rzeczywistym, a nawet załadowanie pojedynczej strony w nowoczesnej witrynie zajmuje średnio ponad minutę.
W filmie Computerphile, Scott wyjaśnia, że atakujący, którzy mieli dostęp do szybszego Internetu, takiego jak szerokopasmowy dostęp do komputerów firmowych i uniwersyteckich, wybierali cel i wysyłali do niego powódź danych, pozostawiając cel niezdolny do wykonywania dodatkowych połączeń. Najważniejszym czynnikiem decydującym o powodzeniu ataku było posiadanie szybszego połączenia internetowego niż cel, dzięki czemu celowi zabrakłoby przepustowości do obsługi innych żądań.
Scott twierdzi, że chociaż ten rodzaj cyberataku nie wykrada żadnych informacji ani nie uszkadza trwale systemów, stanowi problem dla stron internetowych, które nie mogą obsługiwać swoich użytkowników z powodu atakujących wypierających wszystkie legalne żądania. Dla użytkownika próbującego przejść na stronę, na którą nastąpił atak typu denial-of-service, strona nigdy się nie załaduje – będzie się zawieszać przez długi czas, a następnie po prostu się wyłączy.
W dzisiejszych czasach, jak zauważa Scott, ten rodzaj ataku typu denial-of-service flood jest mniej popularny, ponieważ trudno jest mieć jeden komputer o przepustowości wystarczającej do samodzielnego zniszczenia strony. Ale atakujący są dość kreatywni i istnieją różne odmiany odmowy usługi, które pozwalają obejść ten problem.
Jeden z ciekawych sposobów znany jest jako Slowloris, który instruktor Mike Pound opisuje w filmie Computerphile. Zamiast przesyłać jak najwięcej danych przez komputer atakującego, atak Slowloris wydłuża czas każdego żądania w nieskończoność, wykorzystując sposób, w jaki komunikują się ze sobą serwery WWW i klienci. Metoda ta powoduje spiętrzenie połączeń z serwerem i w efekcie zmonopolizowanie całego ruchu do atakowanego serwera. Dla atakujących zaletą ataków Slowloris jest to, że nie zajmują dużo pasma, ale atak ten jest skuteczny tylko na serwerach, które mają problemy z obsługą dużej liczby równoczesnych połączeń.
Types of DDoS Attacks
DDoS – co jest skrótem od distributed denial of service – to jedna z najpopularniejszych wersji ataków typu denial-of-service. Cloudflare, firma oferująca usługi ochrony przed DDoS, a także inne produkty związane z infrastrukturą internetową i bezpieczeństwem, wyjaśnia strategię ataku na swojej stronie internetowej. Zamiast przeprowadzać atak z jednego komputera, napastnicy wykorzystują wiele rozproszonych maszyn w różnych lokalizacjach, które współpracują ze sobą, aby obezwładnić cel. Maszyny rozproszone to często komputery, a nawet inteligentne urządzenia, takie jak monitory dla dzieci, które zostały potajemnie zainfekowane złośliwym oprogramowaniem i wcielone do botnetu pod kontrolą atakującego. Atakujący jest następnie w stanie wykorzystać maszyny rozproszone – lub boty – do wysyłania ruchu wszędzie tam, gdzie jest to potrzebne do przeprowadzenia dowolnego rodzaju ataku DDoS.
Według Cloudflare CTO John Graham-Cumming, w dzisiejszych czasach często zdarza się, że ataki wykorzystują wiele rodzajów DDoS w jednym ataku: „To po prostu próba przytłoczenia sieci, więc będą próbować wysyłać tak wiele różnych rzeczy, jak to tylko możliwe” – powiedział Built In.
To powiedziawszy, ataki zwykle dzielą się na trzy kategorie.
Pierwszy typ ataku DDoS, znany jako atak warstwy aplikacji, działa jak ataki typu denial-of-service flood, tylko na większą skalę, zgodnie z witryną Cloudflare. Boty wysyłają potok ruchu w kierunku celu, wypierając innych użytkowników próbujących uzyskać dostęp do serwera docelowego. Atakujący zazwyczaj kierują ruch na czasochłonne punkty końcowe na celu – na przykład żądania, które wymagają dużych zapytań do bazy danych lub generują duże pliki. Tego typu punkty końcowe nie wymagają dużych zasobów ze strony atakującego, ale wymagają dużej przepustowości, aby cel mógł na nie odpowiedzieć. Oznacza to, że cel może szybko wyczerpać swoje zasoby.
„To po prostu próba przeciążenia sieci, więc będą próbowali wysyłać jak najwięcej różnych rzeczy.”
Inny rodzaj ataku DDoS jest wymierzony w sposób, w jaki mają działać protokoły internetowe – zasady ułatwiające komunikację komputerów w Internecie. Przykładem przedstawionym przez Cloudflare jest atak SYN flood, który jest wymierzony w protokół kontroli transmisji (TCP). W normalnej transakcji TCP, klient i serwer nawiązują połączenie poprzez wymianę standaryzowanej serii wiadomości zwanych „handshake”, podobnie jak we wspinaczce skałkowej, wspinacz komunikuje się z asekuracją za pomocą standaryzowanych potwierdzeń. Taki uścisk dłoni informuje obie strony, że połączenie zostało pomyślnie nawiązane.
Atak SYN flood ma pewne podobieństwa z atakiem typu Slowloris denial of service. Podczas tego ataku atakujący wysyła do serwera docelowego tylko pierwszą z trzech części trójstronnego uścisku dłoni. Serwer odpowiada drugą częścią, ale atakujący nie wysyła końcowego potwierdzenia, pozostawiając serwer w stanie oczekiwania i niezdolności do wykorzystania połączenia do odpowiedzi na dodatkowe żądania przez pewien czas. Wykonanie tej czynności przez botnet zwielokrotnia efekt dla celu.
Trzecim rodzajem ataku DDoS jest atak wzmacniający. Według firmy Cloudflare ataki te wykorzystują różne protokoły internetowe do zwielokrotnienia rozmiaru każdego żądania wysyłanego przez atakującego. Na przykład, atak wzmacniający DNS (domain name system) wykorzystuje protokół DNS, którego komputery zwykle używają do wyszukiwania adresu IP odpowiadającego danemu adresowi URL strony internetowej, co umożliwia poruszanie się po Internecie. Klienci zazwyczaj wysyłają żądanie zawierające adres URL strony internetowej, którą chcą sprawdzić, do serwera DNS i otrzymują odpowiedź z odpowiednim adresem IP.
Cloudflare wyjaśnia, że atakujący przeprowadza wzmocnienie DNS poprzez „spoofing”, skąd pochodzi żądanie – sprawiając, że serwer DNS myśli, że żądanie zostało wysłane od celu, a nie od atakującego. Żądanie zazwyczaj prosi serwer DNS o dużą ilość danych, które następnie serwer DNS wysyła do celu. Efekt wzmocnienia wynika ze stosunkowo niewielkiej szerokości pasma potrzebnego atakującemu do wysłania żądania, w stosunku do szerokości pasma wymaganego przez cel do otrzymania odpowiedzi, oraz ze zdolności atakującego do wysyłania żądań do wielu serwerów DNS. Jak w przypadku wszystkich ataków rozproszonych, jest to pomnożone przez liczbę botów w botnecie przeprowadzającym atak.
Zmniejszanie skutków DDoS
Ataki DDoS, podobnie jak inne cyberataki, są nielegalne na mocy amerykańskiej ustawy Computer Fraud and Abuse Act, ale to nie powstrzymało ludzi przed ich stosowaniem. Aktywiści używają DDoS jako formy protestu online, a hakerski kolektyw Anonymous złożył nawet petycję, aby DDoS stały się legalne, argumentując, że jest to forma wolnej wypowiedzi podobna do tej, w której protestujący osobiście odmawiają dostępu do budynku. Ataki na graczy online są tak powszechne, że firmy produkujące gry zamieszczają nawet poradniki na temat strategii zapobiegawczych. Rządy również były celem i sprawcą ataków DDoS.
Aby uniknąć stania się kolejną ofiarą, firmy mogą podjąć kroki zapobiegawcze. W kursie Pluralsight „Ethical Hacking: Denial of Service” instruktor Troy Hunt wyjaśnia, że DDoS wyrządza szkody, zajmując wszystkie połączenia sieciowe lub przepustowość, które firma powinna przeznaczyć dla legalnych użytkowników. Szybkie skalowanie serwerów w celu obsługi większej liczby połączeń i przepustowości może złagodzić problem – ale może też być kosztowne. Firmy, które hostują swoje witryny u dostawców chmury, mają zazwyczaj łatwy dostęp do tej opcji.
Hunt wyjaśnia w swoim kursie, że inną strategią dla firm jest umieszczenie punktów końcowych, które wykonują funkcje wymagające dużych zasobów, za pewnego rodzaju ochroną, utrudniającą botom dotarcie do nich. Przykładowo, firmy mogą uniemożliwić botom szybkie zajęcie zasobów serwera, umieszczając punkty końcowe wykonujące intensywne zapytania do bazy danych lub pobierające duże pliki za stronami logowania. Wszechobecny test, z falującymi słowami lub obrazami, które użytkownicy muszą rozszyfrować, to kolejny sposób na ochronę punktów końcowych wymagających dużych zasobów przed botami.
Jak twierdzi Hunt, ważny jest również sposób, w jaki firmy tworzą swoje witryny. Kodowanie witryny jako wzajemnie połączonych komponentów, a nie jako współzależnego monolitu, pozwoliłoby innym sekcjom witryny zachować funkcjonalność, nawet jeśli jedna z nich zostanie dotknięta atakiem DDoS.
Jak działają usługi ochrony DDoS
Dzisiaj wiele firm oferuje ochronę DDoS jako usługę.
Cloudflare jest jedną z największych z tych usług ochrony DDoS. Wykorzystuje ona niektóre z tych samych technik, których poszczególne firmy używają do ochrony przed DDoS, ale zgodnie z blogiem firmy jej największą bronią jest duża sieć serwerów na całym świecie, które przechwytują ruch internetowy w imieniu klientów.
Sieć Cloudflare siedzi pomiędzy serwerami klienta a resztą Internetu, przyjmując przychodzące żądania klientów i przekazując je do serwerów klienta. Jako pośrednik Cloudflare może wyszukiwać podejrzane działania i odfiltrowywać złośliwe żądania, porzucając je, zanim dotrą do klienta.
Nawet gdy atak DDoS jest skierowany na klienta, Cloudflare jest w stanie wchłonąć natłok danych, rozprzestrzeniając je w sieci Cloudflare i rozdzielając pracę na wiele serwerów. Na każdym serwerze Cloudflare sprawdza każdy rodzaj ataku DDoS i odpowiednio filtruje żądania.
„Wszystkie te różne rodzaje ataków, co chcesz zrobić, to podzielić je tak, aby trafiły do jak największej liczby różnych miast” – powiedział Graham-Cumming w rozmowie z Built In. „W każdym centrum danych można zidentyfikować, co jest złe i pozbyć się tego. Niezależnie od tego, czy jest to atak typu SYN flood, ACK, coś, co wykorzystuje wzmocnienie DNS, pod wieloma względami jest to ta sama rzecz.”
„Dosłownie możesz spojrzeć na wzór danych w pakiecie i powiedzieć, 'To jest SYN flood.
Poszczególnym firmom może być trudno radzić sobie z atakami obejmującymi wiele typów DDoS, zwłaszcza że niektóre odmiany są trudniejsze do wykrycia niż inne. Graham-Cumming powiedział, że najtrudniejsze do wykrycia dla firm są ataki w warstwie aplikacji, gdzie ataki DDoS mogą wyglądać jak zwykłe żądania, poza objętością.
Cloudflare radzi sobie z atakami w warstwie aplikacji, analizując oznaki złośliwych intencji. Niektóre z tych analiz są wspomagane przez uczenie maszynowe, powiedział Graham-Cumming.
„Ze względu na skalę sieci cloud-first – z tak dużą liczbą użytkowników korzystających z Cloudflare, ruchem przechodzącym przez nas – możemy faktycznie szukać anomalii w naszej sieci, które wskazywałyby na jakiś rodzaj ataku, a następnie możemy wykorzystać to do ochrony innych użytkowników”, powiedział. „Chodzi raczej o to, aby przyjrzeć się ruchowi w sieci, przyjrzeć się pakietom przychodzącym do nas, zrobić na nich odcisk palca i powiedzieć: 'Wiemy, że ten pakiet uczestniczy w ataku DDoS ze względu na pewną cechę samego pakietu'.”
Odciski palców opracowane przez Cloudflare w celu rozpoznawania wzorców ataków są dość wrażliwe, powiedział.
„Dosłownie, można spojrzeć na wzór danych w pakiecie i powiedzieć 'To jest flood SYN'” – powiedział Graham-Cummings.
Ale firmy korzystające z usług ochrony przed DDoS nadal powinny zachować czujność.
„Atakujący próbują obejść usługę” – powiedział. „Spróbują znaleźć oryginalny adres IP Twojej usługi i zaatakować ją bezpośrednio.”
Graham-Cumming zalecił, aby klienci korzystający z usług ochrony przed DDoS ustawili filtrowanie ruchu – tak, aby ich serwery akceptowały tylko ruch pochodzący z adresu IP usługi – w celu rozwiązania tego problemu.
Co potrzebuje każda firma w przypadku ataku DDoS
DoS może zaszkodzić reputacji firmy, negatywnie wpłynąć na przychody i wymagać znacznych wydatków na naprawę ataku. Hunt wyjaśnia w swoim kursie Pluralsight, że legalni użytkownicy i klienci nie są w stanie uzyskać dostępu do atakowanej witryny, uniemożliwiając normalne funkcjonowanie firmy i odcinając ją od zakupów oraz przychodów z reklam.
Ataki DDoS nie mogą bezpośrednio wykraść informacji z celu, ale osoby atakujące są znane z wykorzystywania DDoS do odwracania uwagi firm od równolegle przeprowadzanych cyberataków – podczas gdy organizacja jest zajęta próbami zarządzania DDoS, osoby atakujące realizują swoje prawdziwe cele. A ataki DDoS, które trwają przez dłuższy czas, mogą być wykorzystywane do wymuszania okupu na swoich celach, podobnie jak ataki typu ransomware.
Hunt wyjaśnia w swoim kursie, że najlepszym sposobem reagowania na atak DDoS jest posiadanie planu już w momencie jego wystąpienia. Dobrym pomysłem jest przygotowanie oświadczenia firmy, które zostałoby upublicznione w przypadku ataku. Firmy powinny również zastanowić się nad kosztami związanymi z atakiem DDoS na ich witryny i wykorzystać te szacunki do określenia kwoty, jaką są skłonne zapłacić za rozwiązanie problemu ataku.
Próba dokonania kalkulacji kosztów i korzyści w środku kryzysu nie jest dobrym pomysłem, twierdzi Hunt, zwłaszcza jeśli atak z każdą minutą kosztuje firmę utratę przychodów. Jednak dzięki wcześniejszemu przygotowaniu strategii biznesowych i wprowadzeniu technicznych środków ochronnych firmy nie zostaną zaskoczone i będą w stanie przetrwać atak DDoS.
Więcej o CYBERSECURITY Oto, co dzieje się po włamaniu do firmy