„DDoS“ ataka: reikšmė, tipai ir apsauga

Kas yra „DDoS“ ataka?

Paskirstytojo paslaugos trikdymo (angl. Distributed Denial-of-Service, „DDoS“) ataka yra kibernetinis nusikaltimas, kurio metu įsilaužėliai siunčia daugybę netikrų užklausų į serverį, paslaugą ar tinklą, kad naudotojai negalėtų pasiekti svetainės ir naudoti paslaugos. Tai yra tarsi eismo kamštis, kurio metu pagrindinis kelias perpildomas įsilaužėlių siunčiamų automobilių ir kiti eismo dalyviai į jį nebegali patekti iš šalutinių kelių.

„DDoS“ ataka sutrikdo įprastą serverio arba svetainės, į kurią ji nukreipta, veikimą. Ji išsemia taikinio duomenų apdorojimo resursus, todėl svetainė arba paslauga sulėtėja, nebereaguoja arba tampa visiškai nepasiekiama teisėtiems naudotojams. Tačiau kaip tiksliai veikia „DDoS“ atakos?

Kaip veikia „DDoS“ atakos

„DDoS“ atakos yra galingos, nes joms įgyvendinti naudojami keli kompiuteriai ar kiti įrenginiai. Įsilaužėlis sukuria tinklą užkrėsdamas įrenginius, paversdamas juos botais ir nuotoliniu būdu juos visus nukreipdamas vienu konkrečiu IP adresu. Dėl to atakuojama paslauga gali nebeveikti.

„DDoS“ atakos gali trukti ilgiau nei 24 valandas ir jas sunku susekti. Jūsų kompiuteris gali būti naudojamas kaip marionetė, kuri slapta atliks kenkėjiškas komandas, o jūs to net nežinosite. Vieninteliai tai išduodantys požymiai gali būti visiškai sulėtėjęs įrenginio veikimas arba jo perkaitimas. Taikinį bombarduojantis duomenų srautas keliaus iš teisėtų (nors ir užkrėstų) įrenginių. Todėl bus dar sunkiau atskirti, ar duomenų srautas yra kenkėjiškas. Tuo tarpu „PDoS“ (angl. Permanent Denial-of-Service) ataka sukelia tik tiesioginę žalą aparatinei įrangai ir ją kur kas lengviau pastebėti.

„DDoS“ atakos gali būti nukreiptos į konkretų tinklo ryšio komponentą ar jų derinius. Kiekvienas internetu veikiantis ryšys keliauja per OSI modelio lygmenis. Dauguma „DDoS“ atakų įvyksta toliau nurodytuose trijuose lygmenyse:

• Tinklo lygmuo (3 lygmuo). Šiame lygmenyje vykstančios atakos apima „smurfų“ atakas, ICMP / ryšio užklausų antplūdžius ir IP / ICMP fragmentavimą.
• Transportavimo lygmuo (4 lygmuo). Šios atakos apima SYN antplūdžius, UDP antplūdžius ir TCP ryšio išnaudojimą.
• Programėlės lygmuo (7 lygmuo). Iš esmės šis lygmuo apima HTTP užšifruotas atakas.

„DoS“ ir „DDoS“ palyginimas ir skirtumai

Paslaugos trikdymo (angl. Denial-of-Service, „DoS“) atakos metu į serverį siunčiamas didžiulis duomenų srautas, todėl nebegalima naudoti paslaugos arba svetainės. „DoS“ yra sistemų sistemos ataka, kurios metu naudojama viena sistema konkrečiai paslaugai užpulti. Skirtingai nei „DoS“ atveju, „DDoS“ metu naudojami keli kompiuteriai ir sistemos taikiniui užpulti.

Nors „DoS“ ir „DDoS“ atakos naudojamos tuo pačiu tikslu, „DDoS“ atakos yra galingesnės ir pavojingesnės.

„DDoS“ atakos aptikimas

Kuo greičiau aptiksite „DDoS“ ataką, tuo didesnė tikimybė, kad ją sustabdysite. Toliau pateikiami pagrindiniai „DDoS“ atakos požymiai.

• Lėtai veikianti arba neveikianti paslauga. Dažniausiai tai yra pirmasis „DDoS“ atakos požymis. Tai, kas yra panašu į 502 blogų vartų klaidą, gali būti jau vykstanti „DDoS“ ataka. Tačiau lėtą veikimą gali lemti ir daug kitų priežasčių, tad negalima pasikliauti vien tik šiuo veiksniu sprendžiant, ar vyksta „DDoS“ ataka.
• Didelis duomenų srautas iš vieno IP adreso. Duomenų srautą galite patikrinti naudodami duomenų srauto analizės įrankius.
• Staigiai ir neįprastai bet kuriuo paros metu padidėjantis duomenų srautas.
• Staigus ir nepaaiškinamas užklausų kiekio padidėjimas tam tikrame puslapyje ar galiniame įrenginyje.

„DDoS“ atakų tipai

„DDoS“ atakos būna skirtingos. Jos skiriasi sudėtingumu, trukme ir įmantrumu.

TCP ryšio atakos

TCP ryšio atakos, dar vadinamos SYN antplūdžiais, vyksta tuomet, kai niekada nepabaigiamas trikryptis TCP procesas tarp pagrindinio įrenginio ir serverio. Šios atakos metu procesas inicijuojamas, tačiau įsilaužėlis sukelia serverio strigimą ir palieka atvirus prievadus. Tai reiškia, kad serveris nebegali priimti jokių kitų užklausų. Įsilaužėlis ir toliau inicijuoja procesus, kol galiausiai serveris nebeveikia.

Talpinės atakos

Talpinės atakos yra dažniausiai pasitaikantis „DDoS“ atakų tipas. Jų metu išnaudojamas visas taikinio ir interneto pralaidumas. To dažnai siekiama naudojant botnetus arba nukreipiant juos į konkretų taikinį.

Vienas iš būdų, kuriuos naudoja įsilaužėliai vykdydami talpinę ataką, yra aukos IP adreso suklastojimas ir kelių užklausų siuntimas į atvirą duomenų vardų sistemos (angl. Domain Name System, DNS) serverį. Ataka suplanuojama taip, kad DNS serveriui sureagavus taikiniui būtų siunčiama daugiau duomenų nei jis gali apdoroti.

Fragmentavimo atakos

Internetu siunčiamas duomenų srautas suskirstomas į duomenų paketus. Jie keliauja ir yra skirtingai iš naujo perskirstomi atsižvelgiant į tai, kuris protokolas naudojamas – TCP ar UDP transportavimo protokolas. Fragmentavimo atakos metu siunčiami netikri duomenų paketai, kurie iškraipo duomenų srautą ir perpildo serverį.

Vienas iš fragmentavimo atakos pavyzdžių yra „per didelio paketų kiekio“ naudojimas. Tinklas užtvindomas per dideliu nepilnų, fragmentuotų paketų kiekiu.

Programėlės lygmens atakos

Programėlės lygmens arba 7 lygmens atakos, kaip nurodoma pačiame pavadinime, yra nukreiptos į programėles. Tai yra tas lygmuo, kuriame serveris generuoja svetaines ir atsako į HTTP užklausas. Tokios atakos serveriui yra panašios į daug kartų tame pačiame puslapyje spaudžiamą atnaujinimo mygtuką. Toks duomenų srautas atrodo teisėtas tol, kol serveris perpildomas ir jau būna per vėlu. Be to, šios atakos yra ne tokios brangios ir sunkiau aptinkamos nei tinklo lygmens atakos.

„DDoS“ sustiprinimo būdai

„DDoS“ sustiprinimo atakos metu kibernetiniai nusikaltėliai taikosi į saugumo spragas DNS serveriuose. Jų metu mažos užklausos paverčiamos didžiulėmis (todėl ir vadinama sustiprinimu), sumažinamas taikinio pralaidumas ir veiksmingai trikdomi atakuojamo serverio procesai. Yra dviejų tipų sustiprinimo atakos – DNS atspindėjimo ir „CharGEN“ atspindėjimo.

DNS atspindėjimas

DNS serverio darbas yra ieškoti bet kokio paieškos juostoje įvesto domeno vardo IP adreso. DNS atspindėjimo atakos metu įsilaužėlis nukopijuoja aukos IP adresą ir siunčia užklausas DNS serveriui, prašydamas plačių atsakymų. Atsakymai gali būti iki 70 kartų didesni nei įprastai ir akimirksniu perpildyti taikinį.

„CharGEN“ atspindėjimas

Remiantis interneto standartais, „CharGEN“ yra pasenęs protokolas, sukurtas 1983 m. klaidų taisymo ir testavimo tikslais. Deja, daug prie interneto prijungtų spausdintuvų ir kopijavimo aparatų vis dar naudoja šį protokolą, tad įsilaužėliai naudojasi daugeliu dėl „CharGEN“ amžiaus atsiradusių spragų. Aukos IP adresu prisidengęs įsilaužėlis siųs daugybę mažyčių duomenų paketų ten, kur naudojamas „CharGEN“ protokolas. Tada įrenginys perpildys aukos sistemą UDP (vartotojo paketų kelio schemos protokolo) atsakymais, o užpultas serveris bus perpildytas ir paleistas iš naujo arba atjungtas.

„DDoS“ atakų apimtis

Technologijos modernėja, o saugos sistemos kasmet tampa vis įmantresnės. Tas pats pasakytina ir apie joms sutrikdyti naudojamus įrankius. Lyginant atakų galingumą nuo 1990-ųjų iki šiuolaikinio „DDoS“ standarto, skirtumas tiesiog pribloškia.

1990-aisiais vidutinė „DDoS“ ataka vargiai viršijo 150 užklausų per sekundę. Palyginkite šiuos duomenis su neseniai vykusia didžiausia užfiksuota sėkminga „DDoS“ ataka, būtent 2018 m. „GitHub“ ataka, kai svetainę užtvindė 1,35 terabito duomenų srauto per sekundę. Ataka svetainės veikimą sutrikdė tik laikinai ir truko tik 8 minutes.

„DDoS“ atakų vykdymo motyvai

„DDoS“ atakos vykdomos dėl įvairių priežasčių. Toliau pateikiame keletą iš jų.

• Haktivizmas. Haktivistai naudoja „DDoS“ atakas, norėdami sutrikdyti įvairių svetainių ir paslaugų, kurioms nepritaria, veikimą. Pvz., jie taikosi į vyriausybių, viešųjų asmenų, nusikalstamų ar teroristinių organizacijų, korporacijų bei kitų subjektų svetaines. Haktivistai dažnai naudoja „DDoS“ atakas žiniai skleisti ir sąmoningumui didinti.
• Išpirkos reikalavimas. Kibernetiniai nusikaltėliai naudoja „DDoS“ atakas siekdami išpirkos. Jie gali reikalauti pinigų, kad sustabdytų ataką ar jos neįvykdytų.
• Vandalizmas. Įsilaužėliai gali inicijuoti „DDoS“ atakas vien dėl pramogos arba norėdami paerzinti ar sužlugdyti kitus. Vadinamieji „skriptų vaikėzai“ gali lengvai sukelti atakas naudodami iš anksto sukurtus įrankius.
• Konkurencija. Konkuruojanti įmonė ar asmuo gali sutrikdyti konkurento svetainės ar paslaugos veikimą ir sukelti laikinus pelno nuostolius, grėsmę saugumui ar tiesiog supykdyti klientus.
• Kibernetinis karas. „DDoS“ yra kibernetiniame kare naudojamas ginklas. Nacionalinę grėsmę keliantys asmenys naudoja didžiules „DDoS“ atakas, siekdami sutrikdyti kritinių infrastruktūrų veikimą priešiškose šalyse. Vyriausybės taip pat gali naudoti tokias atakas opozicinėms jėgoms numalšinti. Valstybės remiamos „DDoS“ atakos paprastai yra puikiai organizuotos ir kur kas sunkiau atremiamos.

Didžiausios „DDoS“ atakos

Pastaraisiais metais įvyko daugybė į verslą nukreiptų „DDoS“ atakų. Jos skyrėsi sunkumu ir sukeltais nuostoliais. Toliau aprašomos trys itin piktavališkos atakos.

2017 m. „Google“ ataka

Didžiausia „DDoS“ ataka įvyko 2017 m. ir ji buvo nukreipta į „Google“ paslaugas. Buvo užpulta 180 000 svetainių, kurios siuntė savo atsakymus „Google“. Ši kibernetinė ataka pasiekė 2,54 TB/s dydį. Turint omenyje, kad įprastos „DDoS“ atakos yra matuojamos GB/s (gigabitais per sekundę), ataka, kurios apimtis buvo matuojama TB/s (terabitais per sekundę), buvo tūkstančius kartų didesnė ir galėjo perpildyti net ir didžiausių įmonių paslaugas internete. Ataka tariamai galėjo būti vykdoma Kinijos remiamų jėgų pastangomis.

2020 m. AWS „DDoS“ ataka