התקפת DDoS: משמעות המונח, סוגי התקפות ודרכי התגוננות

התקפת מניעת שירות מבוזרת (DDoS) היא סוג של פשע סייבר שבו האקר מציף שרת, שירות או רשת בבקשות מזויפות כדי למנוע ממשתמשים לגשת לאתר ולהשתמש בשירות. זה דומה לפקק תנועה, שבו הכביש הראשי עמוס במכוניות שנשלחו על ידי ההאקר, בעוד התנועה של מכוניות רגילות המגיעה מהכביש הצדדי כבר לא יכולה להיכנס.

התקפת DDoS משבשת את התפקוד התקין של שרת היעד או אתר האינטרנט על ידי מיצוי משאבי המחשוב שלו, מה שמוביל לכך שהאתר או השירות הופך לאיטי, מפסיק להגיב או הופך לבלתי זמין לחלוטין עבור משתמשים אמיתיים.

התקפות DDoS הן עוצמתיות מכיוון שהן משתמשות במספר מחשבים או מכשירים. האקר יוצר רשת על ידי פריצה למכשירים, הפיכתם לבוטים (הנקראים גם זומבים), והפנייתם ​​מרחוק לכתובת IP ספציפית בבת אחת. זה יכול לגרום לקריסת השירות.

התקפות DDoS יכולות להימשך למעלה מ-24 שעות וקשה לזהות אותן. האקרים יכולים להשתלט על המחשב שלכם ולהפוך אותו לחלק מצבא בוטים (הנקרא גם רשת זומבים), כאשר המחשב מגיב בסתר לפקודות זדוניות, ואפילו לא תדעו זאת – הסימנים היחידים יכולים להיות ירידה שולית בביצועים או מכשיר מתחמם. התנועה שמפציצה את שרת המטרה מגיעה ממכשירים לגיטימיים (אם כי הם נגועים בתוכנה זדונית). זה מקשה עוד יותר על ההבחנה בין תנועה אמיתית וזדונית. לשם השוואה, מתקפת PDoS גורמת נזק ישיר לחומרה, ולכן קל הרבה יותר להבחין בה.

התקפות DDoS יכולות לכוון פגיעה ברכיב ספציפי של חיבור הרשת או במספר רכיבים. כל חיבור שנוצר דרך האינטרנט עובר דרך שכבות מודל OSI. רוב התקפות DDoS מתרחשות בשלוש השכבות הבאות:

• שכבת הרשת (שכבה 3). התקפות על שכבה זו כוללות התקפות smurf, ICMP/Ping Floods ו-IP/ICMP Fragmentation.
• שכבת התעבורה (שכבה 4). התקפות אלו כוללות SYN Floods, UDP Floods ו-TCP Connection Exhaustion.
• שכבת היישום (שכבה 7). בעיקר התקפות מוצפנות HTTP.

התקפת מניעת שירות (DoS) מציפה שרת בתנועה והופכת שירות או אתר אינטרנט לבלתי זמין. DoS היא התקפת “מערכת על מערכת” המשתמשת במערכת אחת כדי לתקוף שירות ספציפי. לעומת זאת, התקפת DDoS משתמשת במספר מחשבים ומערכות כדי לפגוע ביעד המטרה. בעוד שגם התקפות DoS וגם DDoS משרתות את אותה מטרה, DDoS היא חזקה ומסוכנת יותר.

ככל שתזהו מוקדם יותר התקפת DDoS, כך יגדלו הסיכויים שלכם לעצור אותה. הנה הרמזים העיקריים לכך שמתרחשת התקפת DDoS:

• שירות איטי או לא זמין. זה בדרך כלל הסימן הראשון להתקפת DDoS. מה שנראה כמו שגיאת 502 bad gateway יכול להיות התקפת DDoS בפעולה. עם זאת, בעיות רבות אחרות יכולות לגרום לביצועים איטיים, ולכן איננו יכולים להסתמך רק על גורם זה בזיהוי התקפת DDoS
• כמות גדולה של תנועה מגיעה מכתובת IP בודדת. ניתן לבדוק את התנועה באמצעות כלי ניתוח תנועה.
• עליות לא שגרתיות בתנועה באתר/שרת בשעות אקראיות של היום.
• גל פתאומי ובלתי מוסבר של בקשות גישה לעמוד או נקודת קצה מסוימים.

ישנם מספר סוגים של התקפות DDoS, הנבדלים במונחי מורכבות, משך זמן השיבוש והתחכום שלהם.

התקפות חיבור TCP, הידועות גם כהתקפות הצפת SYN, מתרחשות כאשר התוקף שולח בקשות חיבור רבות לשרת אך לעולם לא משלים אותן. זה משאיר את השרת בהמתנה והוא אינו יכול לעבד בקשות חדשות. ככל שהתוקף ממשיך לשלוח בקשות נוספות, השרת הופך למוצף ובסופו של דבר קורס.

התקפות נפחיות, הסוג השכיח ביותר של התקפת DDoS, הן פשוט צורכות את כל רוחב הפס הזמין בין היעד לבין האינטרנט. תוקפים בדרך כלל משיגים זאת על ידי מינוף רשתות בוטים כדי להציף את המטרה בתנועה.

דוגמה אחת להתקפה נפחית היא כאשר האקר מזייף את ה-IP של הקורבן ומבצע בקשות מרובות לשרת DNS פתוח. ההתקפה בנויה כך שכאשר שרת ה-DNS מגיב, הוא שולח כמות עצומה של נתונים לקורבן, מה שגורם לעומס יתר על מערכת המכשיר שלו.

תנועה הנשלחת דרך האינטרנט מחולקת לחבילות נתונים. הנתונים עוברים ומורכבים מחדש בדרכים שונות, בהתאם לפרוטוקולי התעבורה TCP או UDP. התקפת פרגמנטציה שולחת חבילות נתונים מזויפות כדי לשבש את זרימת הנתונים ובכך מציפות את השרת.

אסטרטגית “הצפת חבילות נתונים” היא דוגמה להתקפת פרגמנטציה, בה מתרחשת הצפה של הרשת במספר עצום של חבילות נתונים חלקיות ומקוטעות.

התקפות שכבת יישומים או התקפות שכבה 7, כפי שהשם מרמז, מתמקדת ברמת היישום – השכבה שבה השרת מייצר דפי אינטרנט ומגיב לבקשות HTTP. התקפה כזו תיראה לשרת כאילו מישהו לוחץ על רענון באותו דף פעמים רבות. זה ייראה כמו תנועה לגיטימית עד שהשרת יוצף. התקפות אלה גם פחות יקרות וקשות יותר לגילוי מאשר התקפות שכבת הרשת.

בהתקפת הגברה (amplification attack) של DDoS, פושעי סייבר מנצלים פרצות אבטחה בשרתי DNS. הם ממירים בקשות קטנות לבקשות ענקיות (ומכאן המונח “הגברה”), חונקים את רוחב הפס של הקורבן ועוצרים למעשה את הפעילות של שרת היעד. ישנם שני סוגים של התקפות הגברה: DNS Reflection ו- CharGEN Reflection.

תפקידו של שרת DNS הוא לחפש את כתובת ה-IP של שם הדומיין שהקלדתם בשורת החיפוש שלכם. זהו פנקס הכתובות של האינטרנט. התקפת Reflection DNS מתרחשת כאשר האקר מעתיק את כתובת ה-IP של הקורבן ושולח בקשות לשרת ה-DNS, ומבקש תשובות גדולות. ידוע כי התשובות מוגדלות עד פי 70 מגודלו הרגיל, ויוצרות עומס על תשתית הקורבן באופן מיידי.

CharGEN לפי תקני אינטרנט, הוא פרוטוקול עתיק שנוצר בשנת 1983 למטרות איתור באגים או ביצוע בדיקות. לרוע המזל, מדפסות או מכונות צילום רבות המחוברות לאינטרנט עדיין משתמשות בפרוטוקול זה, מה שמאפשר להאקרים לנצל את הפרצות הרבות של CharGEN שנגרמו בשל הטכנולוגיה המיושנת שלו. ההאקר ישלח הרבה חבילות נתונים זעירות במסווה של כתובת ה-IP של הקורבן לכל מה שרץ ב-CharGEN. לאחר מכן, המכשיר מציף את המערכת של הקורבן בתגובות User Datagram Protocol – UDP, יוצר עומס יתר על שרת היעד וגורם לו לאתחל מחדש או לקריסה מוחלטת.

ככל שהטכנולוגיה מתקדמת ומערכות האבטחה נעשות מתוחכמות יותר מדי שנה, כך גם הכלים המשמשים לפרוץ אותן הולכים ומתפתחים. אם נשווה את עוצמת ההתקפה משנות ה-90 לסטנדרט המודרני של DDoS, ההבדל הוא עצום.

ממוצע הבקשות בהתקפת DDoS משנות ה-90 בקושי התעלה על 150 בקשות בשנייה. לשם ההשוואה, בהתקפת ה-DDoS המוצלחת ביותר שתועדה בתקופה האחרונה, כלומר התקפת GitHub בשנת 2018, האתר הופצץ ב-1.35 טרה-ביט של תעבורה לשנייה. התקיפה השביתה את האתר באופן זמני ונמשכה רק 8 דקות.

ישנם מגוון מניעים מאחורי התקפות DDoS. הנה כמה מהסיבות העיקריות מדוע אנשים מבצעים את ההתקפות הללו:

• האקטיביזם (Hacktivism). האקטיביסטים משתמשים בהתקפות DDoS כדי להשבית אתרים ושירותים שונים שהם אינם מסכימים איתם. לדוגמה, הם יכולים להציב כיעד אתרים של ממשלות, אישי ציבור, ארגוני פשע או טרור, תאגידים וגופים אחרים. לעתים קרובות האקטיביסטים משתמשים ב-DDoS כדי להפיץ מסרים ולהעלות מודעות.
• סחיטה. פושעי סייבר משתמשים גם בהתקפות DDoS לצורך סחיטה. הם עשויים לדרוש כסף עבור הפסקת או אי ביצוע של התקפה.
• ונדליזם. האקרים יכולים ליזום התקפות DDoS אך ורק לשם השעשוע או כדי לתסכל ולהרגיז אחרים. מה שמכונה “script kiddies” יכולים בקלות להפעיל התקפות כאלה באמצעות כלים מוכנים מראש.
• יריבות היא סיבה נוספת למתקפת DDoS. אדם פרטי או חברה מתחרה עלולים לשבש את האתר או השירות של המתחרים שלהם ולגרום להפסד כלכלי משמעותי, חשיפת מידע, או פשוט להכעיס לקוחות.
• לוחמת סייבר. DDoS הוא נשק המשמש ללוחמת סייבר. גורמי איום של מדינות מפעילים התקפות DDoS בקנה מידה גדול כדי לשבש תשתיות קריטיות במדינות יריבות. ממשלות יכולות גם להשתמש בהתקפות כאלה כדי להשתיק כוחות אופוזיציה. התקפות DDoS בחסות המדינה בדרך כלל מתוכננות היטב וקשה יותר להתגונן מפניהן.

בשנים האחרונות, התרחשו אינספור התקפות DDoS על עסקים, בדרגות חומרה ונזק שונות. אלו שלוש ההתקפות הזדוניות ביותר:

התקפת ה-DDoS הגדולה ביותר התרחשה ב-2017 והתמקדה בשירותי גוגל. התוקפים הציפו 180,000 שרתי אינטרנט ששלחו את תגובותיהם בחזרה לגוגל. מתקפת הסייבר הגיעה לגודל של 2.54 TBps. בהתחשב בכך שהתקפת DDoS טיפוסיות נמדדות ב-GBps (גיגה-ביט לשנייה), התקפה עם נפח תעבורה המגיע ל-TBps (טרה-ביט לשנייה) היא גדולה פי אלף ומסוגלת להציף אפילו את השירותים המקוונים החסינים ביותר. על פי ההערכות מדובר בהתקפה שהגיעה מסין בחסות המדינה.

התקפת DDoS מאסיבית פגעה בשירותי האינטרנט של אמזון בשנת 2020. היא התמקדה בלקוח לא מזוהה ונחשבת לאחת מהתקפות ה-DDoS האכזריות ביותר בהיסטוריה. באמצעות שימוש בשרתי צד שלישי, התוקפים הצליחו להגביר את כמות הנתונים שנשלחו לכתובת IP בודדת עד פי 70. ההתקפה הגיעה לגודל של 2.3 TBps.

Cloudflare דיווחה ומיתנה התקפת DDoS של 15.3 מיליון בקשות לשנייה שכוונה על לקוח המפעיל פלטפורמת השקת מטבעות קריפטו. המתקפה השתמשה ברשת בוטים של כ-6,000 מכשירים ייחודיים מ-112 מדינות. התוקפים השתמשו בחיבור HTTPS מאובטח ומוצפן כדי ליזום את ההתקפה הזו.

התקפות DDoS נחשבות לא חוקיות במדינות רבות. לדוגמה, בארה”ב, התקפת DDoS יכולה להיחשב כפשע פדרלי ועלולה להוביל לקנסות ומאסר. ברוב מדינות אירופה, DDoSing עלול להוביל למעצר, ובבריטניה, עבריינים עלולים להישפט לעד 10 שנות מאסר על ייזום התקפה כזו.

קשה לזהות התקפות DDoS כי רובן מופצות על פני מאות ואלפי מכשירים אחרים. כמו כן, אלו שיוזמים התקפות מהסוג הזה בדרך כלל נוקטים באמצעי זהירות משמעותיים כדי להסתיר את זהותם.

ניתן לזהות התקפות DDoS בזמן אמת על ידי שימוש בכלי אבטחת סייבר מסוימים לניתוח תעבורה. עם זאת, זה בדרך כלל יהיה כבר מאוחר מדי לעצור אותן. במקרה הטוב, ניתן לנתח את הנתונים ולבצע את שינויי אבטחת הסייבר המתאימים לעתיד.

להלן מספר אמצעים למניעת התקפות DDoS:

• השתמשו בכלים למניעת DDoS של צד שלישי. שירותי צד שלישי שונים יכולים לעזור לכם להפחית את סיכוני ה-DDoS. רק הקפידו להשתמש בשירותים בטוחים ואמינים. עם זאת, זכרו שאף אחד מהשירותים הללו לא יכול להבטיח לכם בטיחות מוחלטת ב-100%.
• כארגון, אתם יכולים לפתח אסטרטגיית הגנה מפני DDoS עם ספק שירותי האינטרנט שלכם. במילים אחרות, לשתף פעולה עם ספק האינטרנט שלכם על מנת להבטיח רוחב פס נקי. ספקי שירותי אינטרנט יכולים בדרך כלל לזהות חבילות זדוניות לפני שהן מגיעות למכשיר שלכם ולהפחית את הסיכון.
• נטרו אחר התנועה שלכם עם כלים לניטור תנועה ובדקו אם מתרחשים דפוסים מוזרים.
• בצעו בדיקות אבטחה באופן קבוע. העריכו את בטיחות הרשתות שלכם באופן שגרתי ושקלו להשתמש בכלי התקפת DDoS מיוחדים כדי לבחון ​​את המערכות שלכם ולמצוא נקודות תורפה.

בדרך כלל, האקרים משתמשים בהתקפות DDoS כדי לסחוט מפתחים ומפרסמים או כדי לפגוע במוניטין או במכירות של אדם או פלטפורמה מסוימת. עם זאת, גם משתמשים פרטיים, כמו גיימרים, יכולים להיות מושפעים מהתקפות אלו. היריב שלכם עשוי להשתמש בהתקפות DDoS עליכם כדי לשבש את המשחק שלכם, ועל אף שזה לא מהווה איום אבטחה כשלעצמו, זה יכול להיות מתסכל, במיוחד אם אתם משחקים במשחק תחרותי.

DoS ו-DDoS תוקפים שרתי יעד, כך שלא תוכלו למנוע התקפה נגד שרת באמצעות VPN. עם זאת, במשחקי P2P, כאשר אתם מתחברים ישירות עם שחקנים אחרים, היריב שלכם יכול לחפש את כתובת ה-IP שלכם ולהשתמש בה כדי לבצע התקפת DoS או DDoS נגדכם. למרבה המזל, תוכלו למנוע מהם לעשות זאת על ידי שימוש ב-VPN למשחקים כדי להסוות את ה-IP המקורי שלכם. אם גורמים זדוניים לא יודעים את כתובת ה-IP האמיתית שלכם, הם פשוט לא יכולים לבצע התקפת DoS/DDoS נגדכם. בנוסף, התקפת ה-DDoS עצמה מכוונת לשרת ה-VPN, שיש בו אמצעי זהירות נגד DDoS.