Problem ataków DDoS rokrocznie rośnie, a ich ofiarami stają się kolejne firmy i instytucje, także w Polsce. Paraliż łączy internetowych, firmowych serwerów czy telefonów VoIP oznacza realne straty finansowe i wizerunkowe.
Ataki DDoS prowadzone są z różnych powodów – często mają podłoże ideologiczne, polityczne, ale również finansowe (walka z konkurencją, szantaże). Niestety, ataki DDoS można dziś kupić za kilka dolarów w formie usługi (Crime as a Service), dlatego taki atak można również otrzymać w odwecie od niezadowolonego klienta lub jako efekt uboczny walk między klanami graczy on-line.
Atak DDoS – co to jest?
Podczas gdy atak DoS (Denial of Service) jest zwykle przeprowadzany przez tylko jeden komputer, duży wpływ DDoS (Distributed Denial of Service) uzyskuje się poprzez połączenie wielu komputerów w botnet w celu spowodowania awarii serwera. W tym celu zmanipulowane pakiety IP są zwykle wysyłane masowo jednocześnie do serwera. Ataki DDoS są wykorzystywane zarówno przez cyberprzestępców, jak i ruchy protestacyjne, takie jak Anonymous.
Aby wywołać atak DDoS na serwerze, w atak musi być zaangażowanych jak najwięcej komputerów. W tym celu inne urządzenia są infekowane złośliwym oprogramowaniem, które umożliwia atakującym przejęcie ich i wykorzystanie ich mocy obliczeniowej do własnych celów. Często wykorzystywane są rozprzestrzeniające się wirusy komputerowe. Zainfekowane komputery ostatecznie zamienią się w boty, którymi można zarządzać z centralnej lokalizacji. W celu ukrycia komputera kontrolującego w atakach DDoS wykorzystywane są dodatkowe narzędzia, które trwale zmieniają odpowiednie adresy IP. Dlatego autor ataku zwykle pozostaje niewykryty.
Głównym celem ataku DDoS jest uniemożliwienie dostępu do strony internetowej. W związku z tym użytkownik nie może dotrzeć do informacji zawartych na zaatakowanej witrynie. Dla sklepów internetowych lub innych serwisów komercyjnych, takich jak dostawcy usług płatniczych, może to oznaczać ogromne straty finansowe. Ponadto ofiary ataków hakerskich są zazwyczaj piętnowane jako osoby niezabezpieczone. Skutkiem tego jest utrata reputacji i wiarygodności.
Typy ataków DDoS
Atak DDoS można przeprowadzić na różne sposoby, ale generalnie istnieją cztery rodzaje:
- Przeciążenie zasobów serwera : w tym przypadku zasoby systemu docelowego są tak przeciążone, że serwer nie może odpowiedzieć na więcej zapytań.
- Przeciążenie przepustowości : Próbuje przeciążyć całą pojemność sieci, aby docelowa witryna nie była już dostępna.
- Exploit : Wykorzystując luki w oprogramowaniu serwera lub strony internetowej, osoby atakujące próbują kontrolować docelowy serwer za pomocą ataku DDoS.
- Tworzenie niewykonanych żądań (SYN Flood) : Używana jest funkcja TCP, za pomocą której odbiorca potwierdza serwerowi, że pakiet danych został odebrany.
Kto jest narażony na atak DDoS?
Atakiem DDoS zagrożone są wszystkie podmioty w sieci. Wyróżnikiem jest motyw ataku. Obejmuje on:
- Bezpośredni zysk pieniężny (zwykle z wymuszenia DDoS: rozpoczęcie i kontynuowanie ataku do momentu zapłacenia okupu),
- Pośredni zysk pieniężny (na przykład witryna detaliczna atakuje konkurenta w okresie świątecznych zakupów, aby ukraść część jego sprzedaży),
- Motywy polityczne (na przykład media rządowe DDoSing, które postrzega jako wrogie, lub działacze polityczni, których uważa za zagrażających),
- Zemsta,
- Trolling (ataki tylko dla zabawy).
Możliwe ataki DDoS obejmują wszystkie witryny internetowe. Jeśli jakiś serwis nie był ostatnio atakowany, istnieje duże prawdopodobieństwo, że nastąpi to wkrótce.
Jak bronić się przed DDoS? Dyskusja na ISP Forum
Również na ISP Forum pojawił się wątek dotyczący ataków DDoS i sposobów obrony. Przyjrzyjmy się jak z cyberprzestępcami radzą sobie operatorzy telekomunikacyjni.
„[…] dziś trafiło na mnie” – napisał założyciel tematu. Opisał incydent, gdy przez godzinę trwał atak DDoS na konkretny adres IP klienta. Padło też pytanie: „Jak przekierować takie IP w ‘czarną dziurę’?”.
Użytkownicy ISP Forum szybko przypomnieli sobie o projekcie „bgp blackholing„, który doskonale przydałby się we wspomnianej sytuacji, ale pozostał wyłącznie na etapie pomysłu.
„Najszybciej fastnetmon (community edition) + sflow ze switcha/routera. Ewentualnie jakieś MT + mirror i skrypt Kamila z tego forum i masz automatyczny blackholing” – jeden z forumowiczów poradził taką opcję.
Czy to rozwiązuje problem? Nie zdaniem kolejnego odpowiadającego: „Ten nieaktualny projekt do dodatek do systemu BH […] potrzebujesz rozwiązania które wykryje Ci atak wolumetryczny i RTBH”.
Jeśli znacie rozwiązanie problemu, to dołączcie do ISP Forum już teraz! Może wspólnymi siłami operatorzy wypracują uniwersalne rozwiązanie i taktykę obrony przed DDoS?
