„DDoS“ ataka: reikšmė, tipai ir apsauga
„DDoS“ atakos gali sutrikdyti įprastą organizacijos darbą, o jos internetinę svetainę ir paslaugas padaryti neprieinamomis naudotojams. Tokie piktavališki kibernetiniai nusikaltimai yra viena iš pagrindinių kibernetinio saugumo problemų. Skaitykite toliau ir sužinokite, kas yra „DDoS“ atakos, kaip jos veikia ir kaip nuo jų apsisaugoti.
Turinys
Turinys
Kas yra „DDoS“ ataka?
Paskirstytojo paslaugos trikdymo (angl. Distributed Denial-of-Service, „DDoS“) ataka yra kibernetinis nusikaltimas, kurio metu įsilaužėliai siunčia daugybę netikrų užklausų į serverį, paslaugą ar tinklą, kad naudotojai negalėtų pasiekti svetainės ir naudoti paslaugos. Tai yra tarsi eismo kamštis, kurio metu pagrindinis kelias perpildomas įsilaužėlių siunčiamų automobilių ir kiti eismo dalyviai į jį nebegali patekti iš šalutinių kelių.
„DDoS“ ataka sutrikdo įprastą serverio arba svetainės, į kurią ji nukreipta, veikimą. Ji išsemia taikinio duomenų apdorojimo resursus, todėl svetainė arba paslauga sulėtėja, nebereaguoja arba tampa visiškai nepasiekiama teisėtiems naudotojams. Tačiau kaip tiksliai veikia „DDoS“ atakos?
Kaip veikia „DDoS“ atakos
„DDoS“ atakos yra galingos, nes joms įgyvendinti naudojami keli kompiuteriai ar kiti įrenginiai. Įsilaužėlis sukuria tinklą užkrėsdamas įrenginius, paversdamas juos botais ir nuotoliniu būdu juos visus nukreipdamas vienu konkrečiu IP adresu. Dėl to atakuojama paslauga gali nebeveikti.
„DDoS“ atakos gali trukti ilgiau nei 24 valandas ir jas sunku susekti. Jūsų kompiuteris gali būti naudojamas kaip marionetė, kuri slapta atliks kenkėjiškas komandas, o jūs to net nežinosite. Vieninteliai tai išduodantys požymiai gali būti visiškai sulėtėjęs įrenginio veikimas arba jo perkaitimas. Taikinį bombarduojantis duomenų srautas keliaus iš teisėtų (nors ir užkrėstų) įrenginių. Todėl bus dar sunkiau atskirti, ar duomenų srautas yra kenkėjiškas. Tuo tarpu „PDoS“ (angl. Permanent Denial-of-Service) ataka sukelia tik tiesioginę žalą aparatinei įrangai ir ją kur kas lengviau pastebėti.
„DDoS“ atakos gali būti nukreiptos į konkretų tinklo ryšio komponentą ar jų derinius. Kiekvienas internetu veikiantis ryšys keliauja per OSI modelio lygmenis. Dauguma „DDoS“ atakų įvyksta toliau nurodytuose trijuose lygmenyse:
- Tinklo lygmuo (3 lygmuo). Šiame lygmenyje vykstančios atakos apima „smurfų“ atakas, ICMP / ryšio užklausų antplūdžius ir IP / ICMP fragmentavimą.
- Transportavimo lygmuo (4 lygmuo). Šios atakos apima SYN antplūdžius, UDP antplūdžius ir TCP ryšio išnaudojimą.
- Programėlės lygmuo (7 lygmuo). Iš esmės šis lygmuo apima HTTP užšifruotas atakas.
„DoS“ ir „DDoS“ palyginimas ir skirtumai
Paslaugos trikdymo (angl. Denial-of-Service, „DoS“) atakos metu į serverį siunčiamas didžiulis duomenų srautas, todėl nebegalima naudoti paslaugos arba svetainės. „DoS“ yra sistemų sistemos ataka, kurios metu naudojama viena sistema konkrečiai paslaugai užpulti. Skirtingai nei „DoS“ atveju, „DDoS“ metu naudojami keli kompiuteriai ir sistemos taikiniui užpulti.
Nors „DoS“ ir „DDoS“ atakos naudojamos tuo pačiu tikslu, „DDoS“ atakos yra galingesnės ir pavojingesnės.
„DDoS“ atakos aptikimas
Kuo greičiau aptiksite „DDoS“ ataką, tuo didesnė tikimybė, kad ją sustabdysite. Toliau pateikiami pagrindiniai „DDoS“ atakos požymiai.
- Lėtai veikianti arba neveikianti paslauga. Dažniausiai tai yra pirmasis „DDoS“ atakos požymis. Tai, kas yra panašu į 502 blogų vartų klaidą, gali būti jau vykstanti „DDoS“ ataka. Tačiau lėtą veikimą gali lemti ir daug kitų priežasčių, tad negalima pasikliauti vien tik šiuo veiksniu sprendžiant, ar vyksta „DDoS“ ataka.
- Didelis duomenų srautas iš vieno IP adreso. Duomenų srautą galite patikrinti naudodami duomenų srauto analizės įrankius.
- Staigiai ir neįprastai bet kuriuo paros metu padidėjantis duomenų srautas.
- Staigus ir nepaaiškinamas užklausų kiekio padidėjimas tam tikrame puslapyje ar galiniame įrenginyje.
„DDoS“ atakų tipai
„DDoS“ atakos būna skirtingos. Jos skiriasi sudėtingumu, trukme ir įmantrumu.
TCP ryšio atakos
TCP ryšio atakos, dar vadinamos SYN antplūdžiais, vyksta tuomet, kai niekada nepabaigiamas trikryptis TCP procesas tarp pagrindinio įrenginio ir serverio. Šios atakos metu procesas inicijuojamas, tačiau įsilaužėlis sukelia serverio strigimą ir palieka atvirus prievadus. Tai reiškia, kad serveris nebegali priimti jokių kitų užklausų. Įsilaužėlis ir toliau inicijuoja procesus, kol galiausiai serveris nebeveikia.
Talpinės atakos
Talpinės atakos yra dažniausiai pasitaikantis „DDoS“ atakų tipas. Jų metu išnaudojamas visas taikinio ir interneto pralaidumas. To dažnai siekiama naudojant botnetus arba nukreipiant juos į konkretų taikinį.
Vienas iš būdų, kuriuos naudoja įsilaužėliai vykdydami talpinę ataką, yra aukos IP adreso suklastojimas ir kelių užklausų siuntimas į atvirą duomenų vardų sistemos (angl. Domain Name System, DNS) serverį. Ataka suplanuojama taip, kad DNS serveriui sureagavus taikiniui būtų siunčiama daugiau duomenų nei jis gali apdoroti.
Fragmentavimo atakos
Internetu siunčiamas duomenų srautas suskirstomas į duomenų paketus. Jie keliauja ir yra skirtingai iš naujo perskirstomi atsižvelgiant į tai, kuris protokolas naudojamas – TCP ar UDP transportavimo protokolas. Fragmentavimo atakos metu siunčiami netikri duomenų paketai, kurie iškraipo duomenų srautą ir perpildo serverį.
Vienas iš fragmentavimo atakos pavyzdžių yra „per didelio paketų kiekio“ naudojimas. Tinklas užtvindomas per dideliu nepilnų, fragmentuotų paketų kiekiu.
Programėlės lygmens atakos
Programėlės lygmens arba 7 lygmens atakos, kaip nurodoma pačiame pavadinime, yra nukreiptos į programėles. Tai yra tas lygmuo, kuriame serveris generuoja svetaines ir atsako į HTTP užklausas. Tokios atakos serveriui yra panašios į daug kartų tame pačiame puslapyje spaudžiamą atnaujinimo mygtuką. Toks duomenų srautas atrodo teisėtas tol, kol serveris perpildomas ir jau būna per vėlu. Be to, šios atakos yra ne tokios brangios ir sunkiau aptinkamos nei tinklo lygmens atakos.
„DDoS“ sustiprinimo būdai
„DDoS“ sustiprinimo atakos metu kibernetiniai nusikaltėliai taikosi į saugumo spragas DNS serveriuose. Jų metu mažos užklausos paverčiamos didžiulėmis (todėl ir vadinama sustiprinimu), sumažinamas taikinio pralaidumas ir veiksmingai trikdomi atakuojamo serverio procesai. Yra dviejų tipų sustiprinimo atakos – DNS atspindėjimo ir „CharGEN“ atspindėjimo.
DNS atspindėjimas
DNS serverio darbas yra ieškoti bet kokio paieškos juostoje įvesto domeno vardo IP adreso. DNS atspindėjimo atakos metu įsilaužėlis nukopijuoja aukos IP adresą ir siunčia užklausas DNS serveriui, prašydamas plačių atsakymų. Atsakymai gali būti iki 70 kartų didesni nei įprastai ir akimirksniu perpildyti taikinį.
„CharGEN“ atspindėjimas
Remiantis interneto standartais, „CharGEN“ yra pasenęs protokolas, sukurtas 1983 m. klaidų taisymo ir testavimo tikslais. Deja, daug prie interneto prijungtų spausdintuvų ir kopijavimo aparatų vis dar naudoja šį protokolą, tad įsilaužėliai naudojasi daugeliu dėl „CharGEN“ amžiaus atsiradusių spragų. Aukos IP adresu prisidengęs įsilaužėlis siųs daugybę mažyčių duomenų paketų ten, kur naudojamas „CharGEN“ protokolas. Tada įrenginys perpildys aukos sistemą UDP (vartotojo paketų kelio schemos protokolo) atsakymais, o užpultas serveris bus perpildytas ir paleistas iš naujo arba atjungtas.
„DDoS“ atakų apimtis
Technologijos modernėja, o saugos sistemos kasmet tampa vis įmantresnės. Tas pats pasakytina ir apie joms sutrikdyti naudojamus įrankius. Lyginant atakų galingumą nuo 1990-ųjų iki šiuolaikinio „DDoS“ standarto, skirtumas tiesiog pribloškia.
1990-aisiais vidutinė „DDoS“ ataka vargiai viršijo 150 užklausų per sekundę. Palyginkite šiuos duomenis su neseniai vykusia didžiausia užfiksuota sėkminga „DDoS“ ataka, būtent 2018 m. „GitHub“ ataka, kai svetainę užtvindė 1,35 terabito duomenų srauto per sekundę. Ataka svetainės veikimą sutrikdė tik laikinai ir truko tik 8 minutes.
„DDoS“ atakų vykdymo motyvai
„DDoS“ atakos vykdomos dėl įvairių priežasčių. Toliau pateikiame keletą iš jų.
- Haktivizmas. Haktivistai naudoja „DDoS“ atakas, norėdami sutrikdyti įvairių svetainių ir paslaugų, kurioms nepritaria, veikimą. Pvz., jie taikosi į vyriausybių, viešųjų asmenų, nusikalstamų ar teroristinių organizacijų, korporacijų bei kitų subjektų svetaines. Haktivistai dažnai naudoja „DDoS“ atakas žiniai skleisti ir sąmoningumui didinti.
- Išpirkos reikalavimas. Kibernetiniai nusikaltėliai naudoja „DDoS“ atakas siekdami išpirkos. Jie gali reikalauti pinigų, kad sustabdytų ataką ar jos neįvykdytų.
- Vandalizmas. Įsilaužėliai gali inicijuoti „DDoS“ atakas vien dėl pramogos arba norėdami paerzinti ar sužlugdyti kitus. Vadinamieji „skriptų vaikėzai“ gali lengvai sukelti atakas naudodami iš anksto sukurtus įrankius.
- Konkurencija. Konkuruojanti įmonė ar asmuo gali sutrikdyti konkurento svetainės ar paslaugos veikimą ir sukelti laikinus pelno nuostolius, grėsmę saugumui ar tiesiog supykdyti klientus.
- Kibernetinis karas. „DDoS“ yra kibernetiniame kare naudojamas ginklas. Nacionalinę grėsmę keliantys asmenys naudoja didžiules „DDoS“ atakas, siekdami sutrikdyti kritinių infrastruktūrų veikimą priešiškose šalyse. Vyriausybės taip pat gali naudoti tokias atakas opozicinėms jėgoms numalšinti. Valstybės remiamos „DDoS“ atakos paprastai yra puikiai organizuotos ir kur kas sunkiau atremiamos.
Didžiausios „DDoS“ atakos
Pastaraisiais metais įvyko daugybė į verslą nukreiptų „DDoS“ atakų. Jos skyrėsi sunkumu ir sukeltais nuostoliais. Toliau aprašomos trys itin piktavališkos atakos.
2017 m. „Google“ ataka
Didžiausia „DDoS“ ataka įvyko 2017 m. ir ji buvo nukreipta į „Google“ paslaugas. Buvo užpulta 180 000 svetainių, kurios siuntė savo atsakymus „Google“. Ši kibernetinė ataka pasiekė 2,54 TB/s dydį. Turint omenyje, kad įprastos „DDoS“ atakos yra matuojamos GB/s (gigabitais per sekundę), ataka, kurios apimtis buvo matuojama TB/s (terabitais per sekundę), buvo tūkstančius kartų didesnė ir galėjo perpildyti net ir didžiausių įmonių paslaugas internete. Ataka tariamai galėjo būti vykdoma Kinijos remiamų jėgų pastangomis.
2020 m. AWS „DDoS“ ataka
2020 m. milžiniška „DDoS“ ataka smogė „Amazon“ paslaugoms internete. Ji buvo nukreipta į neidentifikuotą klientą ir laikoma viena piktavališkiausių „DDoS“ atakų istorijoje. Naudodami trečiųjų šalių serverius, užpuolikai padidino į vieną IP adresą siunčiamų duomenų kiekį iki 70 kartų. Ši ataka pasiekė 2,3 TB/s dydį.
2022 m. „Cloudflare“ ataka
„Cloudflare“ pranešė apie numalšintą 15,3 mln. užklausų per sekundę „DDoS“ ataką, kuri buvo nukreipta į kriptovaliutų paleidimo platformą valdantį klientą. Atakoje buvo naudojamas botnetas, jungiantis maždaug 6 000 atskirų įrenginių 112 šalių. Šiai atakai užpuolikai naudojo saugų ir šifruotą HTTPS ryšį.
„DDoS“ atakų naudojimo teisėtumas
Daugelyje šalių naudoti „DDoS“ atakas yra neteisėta. Pvz., JAV „DDoS“ ataka gali būti laikoma federaliniu nusikaltimu ir už tai gali grėsti baudos arba įkalinimas. Daugumoje Europos šalių už „DDoS“ atakų vykdymą gresia suėmimas, o JK už tokios atakos inicijavimą galite būti nuteisti iki 10 metų kalėjimo.
„DDoS“ atakų atsekamumas
„DDoS“ atakas susekti yra sunku, nes dauguma jų yra paskirstytos per šimtus ar tūkstančius kitų įrenginių. Be to, atakas inicijuojantys asmenys paprastai įdeda daug pastangų, kad nebūtų surasti.
„DDoS“ atakas įmanoma nustatyti, kai jos vykdomos naudojant tam tikrus kibernetinio saugumo įrankius duomenų srautui analizuoti. Tačiau dažniausiai jau būna per vėlu jas sustabdyti. Geriausiu atveju galima išanalizuoti duomenis ir ateityje imtis atitinkamų kibernetinio saugumo pokyčių.
„DDoS“ atakų prevencija
Toliau pateikiame kelis būdus, kuriais galima išvengti „DDoS“ atakų.
- Naudokite trečiųjų šalių „DDoS“ atakų prevencijos įrankius. Įvairios trečiųjų šalių paslaugos gali būti naudingos siekiant sumažinti „DDoS“ atakų pavojų. Tiesiog įsitikinkite, kad naudojamos priemonės yra saugios ir patikimos. Ir atminkite, kad nė viena iš jų neužtikrina visiško saugumo.
- Organizacijos drauge su interneto paslaugų teikėju gali sukurti apsaugos nuo „DDoS“ atakų strategiją. Kitaip tariant, bendradarbiaukite su interneto paslaugų teikėju, kad būtų tikrinamas pralaidumas. Dažnai interneto paslaugų teikėjai nustato kenkėjiškus paketus anksčiau nei jie pasiekia įrenginį, taip sumažindami pavojų.
- Stebėkite duomenų srautą naudodami duomenų srauto stebėjimo įrankius ir tikrinkite įtartinus veiksmus.
- Reguliariai vykdykite saugumo patikrą. Reguliariai įvertinkite tinklo saugumą ir apsvarstykite galimybę naudoti specialius apsaugos nuo „DDoS“ atakų įrankius, skirtus sistemoms suaktyvinti ir spragoms nustatyti.
VPN galimybės apsaugoti nuo „DDoS“ atakų
Paprastai „DDoS“ atakas naudoja įsilaužėliai, siekdami šantažuoti kūrėjus ir leidėjus ar pakenkti tam tikro asmens ar platformos reputacijai ar pardavimams. Tačiau nuo jų gali nukentėti ir individualūs asmenys, pvz., internetinių žaidimų mėgėjai. Oponentas į žaidėją gali nukreipti „DDoS“ ataką, kad sutrikdytų jo žaidimą. Iš esmės tai nekelia pavojaus saugumui, tačiau gali varyti į neviltį, ypač jei žaidime vyksta didelė konkurencija.
„DoS“ ir „DDoS“ atakos yra nukreiptos į serverius, tad, naudodami VPN, negalite užkirsti kelio į serverį nukreiptai atakai. Tačiau žaidžiant P2P žaidimus, kai tiesiogiai prisijungiate prie kitų žaidėjų, jūsų oponentas gali pažiūrėti jūsų IP adresą ir į jus nukreipti „DoS“ arba „DDoS“ ataką. Laimei, to galite išvengti žaidimo metu naudodami VPN ir tokiu būdu užmaskuodami savo tikrąjį IP adresą. Jei piktavaliai nežinos jūsų tikrojo IP adreso, jie negalės prieš jus naudoti „DoS“ ir „DDoS“ atakų. Be to, tokiu atveju „DDoS“ atakos metu būtų puolamas VPN serveris, kuriame naudojamos nuo „DDoS“ atakų apsaugančios priemonės.
Kibernetinis saugumas vienu spustelėjimu.
Būkite saugūs su vienu geriausių pasaulyje VPN