Все, что нужно знать о DDoS-атаках

Что такое DDoS-атака?

Распределенная атака типа “отказ в обслуживании” (DDoS) происходит, когда хакер отправляет большое количество поддельных запросов на сервер, службу или сеть с целью ее перегрузки. В результате пользователи этого сервиса лишаются доступа к веб-сайту. DDoS-атаку можно сравнить с дорожным затором, когда главная дорога забита присланными хакером машинами, тогда как нормальный поток автомобилей, идущий с боковой дороги, больше не может попасть внутрь.

DDoS-атака нарушает нормальное функционирование атакуемого сервера или веб-сайта. Она истощает их вычислительные ресурсы и делает веб-сайт или сервис медленными, невосприимчивыми или полностью недоступными для пользователей. Но что именно происходит во время DDoS-атаки?

Принцип действия DDoS-атак

DDoS-атаки создают мощную нагрузку на сервер, ведь для их осуществления хакер использует ряд компьютеров или других устройств. Строится целая сеть из хакнутых устройств, которые превращаются в ботов (или зомби), запросы с которых одновременно удаленно направляются на определенный IP-адрес. Такая лавина может привести к сбою в работе сервиса.

DDoS-атаки могут длиться более 24 часов, и их источник трудно отследить. Ваш компьютер тоже может быть использован в качестве пешки в армии ботнетов (также называемых зомби-сетями), которые тайно реагируют на вредоносные команды. И вы даже не будете об этом знать! Единственным признаком может быть незначительное снижение производительности или перегрев устройства. Трафик, атакующий цель, поступает с обычных (хотя и зараженных) устройств разных пользователей. Этот факт еще больше затрудняет распознавание вредоносного трафика от органического. Для сравнения, PDOs-атака наносит прямой ущерб оборудованию, поэтому ее гораздо легче заметить.

DDoS-атаки могут быть нацелены на определенный компонент сетевого соединения или на их сочетание. Каждое подключение, осуществляемое через Интернет, проходит через уровни модели OSI. Большинство DDoS-атак происходят на следующих трех уровнях:

• Сетевой уровень (уровень 3). Атаки на этом уровне включают Smurf-атаки, ICMP/Ping-флуды и фрагментацию IP/ICMP.
• Транспортный уровень (уровень 4). Эти атаки включают в себя SYN-флуды, UDP-флуды и исчерпание TCP-соединения.
• Прикладной уровень (уровень 7). В основном это атаки с использованием HTTP-шифрования.

В чем разница между DOS и DDoS-атаками?

Атака типа “отказ в обслуживании” (DoS) перегружает сервер трафиком и делает службу или веб-сайт недоступными. DoS – это атака типа “система против системы”, то есть одна система атакует определенный сервис. А вот в DDoS-атаках для перегрузки сервиса используется уже сеть компьютеров и систем.

Хотя как DoS, так и DDoS-атаки могут быть направлены на одну и ту же цель, DDoS-атака будет мощнее и опаснее.

Как распознать DDoS-атаку

Чем раньше DDoS-атака будет выявлена, тем выше шансы ее предотвратить. Приведем основные признаки того, что против вас осуществляется DDoS-атака:

• Медленный или недоступный сервис. Обычно это первый признак DDoS-атаки. Ошибка шлюза 502 на самом деле может быть DDoS-атакой в действии. Однако к снижению производительности могут привести и многие другие проблемы, поэтому идентифицировать DDoS-атаку только по производительности невозможно.
• Много трафика поступает с одного IP-адреса. Выявить этот факт помогут инструменты по аналитике трафика.
• Неестественные всплески трафика в необычное для этого время суток.
• Внезапное и необъяснимое увеличение запросов на определенной странице или конечной точке.

Виды DDoS-атак

DDoS-атаки различаются по сложности, продолжительности и изощренности.

Атака на TCP-соединение

Атаки на TCP-соединение, также известные как SYN-flood-атаки, происходят, когда трехстороннее TCP-подтверждение связи между хостом и сервером не завершается. При этой атаке инициируется обмен данными, но хакер оставляет сервер зависшим, а порты открытыми. То есть сервер не в состоянии принимать никакие другие запросы. Хакер продолжает заполнять его новыми рукопожатиями, что в конечном итоге приводит к сбою.

Массивная атака

Массивные атаки являются наиболее распространенным типом DDoS-атак. Во время атаки потребляется вся доступная пропускная способность между объектом и интернетом. Обычно это делается с помощью ботнетов, которые направляются в целевую систему.

Одним из примеров массивной атаки является подмена IP-адреса жертвы и многократные запросы к открытому DNS-серверу. Атака структурирована таким образом, что, когда DNS-сервер отвечает, он отправляет жертве больше данных, чем она может обработать.

Атака на фрагментацию

Трафик, передаваемый через Интернет, делится на пакеты данных. Они перемещаются и собираются заново по-разному в зависимости от того, какой протокол используется, транспортный TCP или UDP. Атака на фрагментации отправляет поддельные пакеты данных, которые искажают поток данных и, следовательно, перегружают сервер.

Эксплойт “слишком много пакетов” является примером атаки на фрагментацию. Он наводняет сеть чрезмерным количеством неполных, фрагментированных пакетов.

Атака на уровне приложений

Атаки уровня приложений или 7-го уровня нацелены, как следует из названия, на приложения – уровень, на котором сервер генерирует веб-страницы и отвечает на HTTP-запросы. Сервером такая атака будет восприниматься, как будто кто-то много раз нажимает кнопку «Обновить» на одной странице. Все будет выглядеть как органический трафик, пока сервер не будет переполнен и не откажется отвечать. Эти атаки и стоят дешевле, и их труд нее обнаружить, чем атаки на сетевом уровне.

Усиленная DDoS-атака

Усиленная DDoS-атака – это атака, при которой киберпреступник специально нацеливается на уязвимости в системе безопасности серверов доменных имен (DNS). Они преобразуют небольшие запросы в огромные (отсюда и термин “усиление”), ограничивая пропускную способность бедного сервера и останавливая его процессы. Усиленные атаки делятся на два типа: отображение DNS и отображение CharGEN.

Отражение DNS

Задача DNS-сервера заключается в поиске IP-адреса доменного имени, которое вводится пользователем в строку поиска. Это как адресная книга Интернета. Атака с отражением DNS происходит, когда хакер копирует IP-адрес жертвы и отправляет запросы на DNS-сервер, требуя больших ответов. Известно, что ответы могут быть усилены в 70 раз по сравнению с обычными, что мгновенно ошеломляет сервер-жертву.

Отображение CharGEN

Протокол CharGEN по современным интернет-стандартам уже устарел. Он был создан в 1983 году для целей отладки или тестирования. К сожалению, многие принтеры и копировальные аппараты, подключенные к интернету, по-прежнему используют этот протокол, что позволяет хакерам использовать многочисленные лазейки CharGEN, связанные с возрастом. Хакер отправляет множество крошечных пакетов данных под видом IP-адреса жертвы на все устройства, работающие на протоколе CharGEN. Затем устройство забрасывает систему жертвы ответами по протоколу UDP (User Datagram Protocol), перегружая целевой сервер и заставляя его перезагружаться или вообще отключаться.

Количество DDoS-атак

По мере развития технологий и усложнения систем безопасности меняются и инструменты, используемые для их взлома. Если сравнить силу атак 1990-х годов с современными стандартными DDoS-атаками, разница будет огромной.

Среднее количество запросов при DDoS-атаке 90-х годов едва превышало 150 в секунду. Сравните эту цифру с самой успешной DDoS-атакой за последнее время, а именно атакой на GitHub в 2018 году, и вы увидите, что на сайт поступали ошеломляющие 1,35 терабита трафика в секунду. Атака временно вывела сайт из строя, хотя длилась всего 8 минут.

Зачем используются DDoS-атаки

К DDoS-атакам прибегают по разным причинам, приведем основные:

• Хактивизм. Хактивисты используют DDoS-атаки для удаления различных веб-сайтов и сервисов, с которыми они не согласны. Например, целью могут быть веб-сайты правительств, общественных деятелей, преступных или террористических организаций, корпораций и тому подобное. Зачастую хактивисты используют DDoS-атаки для распространения сообщений и повышения осведомленности.
• Вымогательство. Киберпреступники также используют DDoS-атаки для вымогательства. Чтобы остановить или предотвратить атаку, хакеры могут запросить денежный выкуп.
• Вандализм. Хакеры могут инициировать DDoS-атаки исключительно для развлечения или чтобы досадить другим. Так называемые скриптовые ребятишки легко провоцируют подобные атаки, используя готовые инструменты.
• Соперничество – еще одна причина для проведения DDoS-атак. Компания может нанести ущерб веб-сайту или сервису своего конкурента и привести к временной потере им прибыли, а в случае, если на нерабочий сервис обозлятся клиенты, – и популярности.
• Кибервойна. DDoS-атаки используются в качестве оружия в кибервойнах. Субъекты, представляющие угрозу национальному государству, задействуют крупномасштабные DDoS-атаки для разрушения критически важных инфраструктур в странах-противниках. Правительственные силы также могут использовать такие атаки, чтобы заставить оппозицию замолчать. DDoS-атаки, поддерживаемые государством, обычно хорошо организованы, и их труднее предотвратить.

Крупнейшие DDoS-атаки

За последние годы на различные компании было совершено бесчисленное количество DDoS-атак, различающихся по степени агрессии и нанесенному ущербу. Приведем три самых вредоносных:

Атака на Google в 2017 году

Крупнейшая DDoS-атака была проведена в 2017 году на сервисы Google. Злоумышленники захватили 180 000 веб-серверов, которые отправляли свои ответы в Google. Скорость кибератаки достигла 2,54 Тбит/с. Учитывая, что типичная DDoS-атака измеряется в Гбит/с (гигабитах в секунду), атака с объемом трафика в Тбит/с (терабитах в секунду) в тысячу раз мощнее и способна подавить даже самые надежные онлайн-сервисы. Такое мощное нападение было совершено группировкой государственного уровня, предположительно Китаем.

DDoS-атака на AWS в 2020 году

В 2020 году Amazon Web Services подверглись массированной DDoS-атаке, ее целью был неустановленный клиент. Атака считается одной из самых агрессивных в истории. Используя сторонние серверы, злоумышленникам удалось увеличить объем данных, отправляемых на один IP-адрес, до 70 раз. Скорость атаки достигла 2,3 Тбит/с.

Атака на Cloudflare в 2022 году

Cloudflare сообщила о DDoS-атаке со скоростью 15,3 миллиона запросов в секунду, нацеленной на клиента, который управлял криптографической стартовой площадкой. Компании удалось ее остановить. В ходе атаки была задействована ботнет-сеть, состоящая примерно из 6000 уникальных устройств из 112 стран. Для ее инициирования злоумышленники использовали защищенное, зашифрованное HTTPS-соединение.

Законно ли проводить DDoS-атаки?

Проведение DDoS-атак запрещено во многих странах. Например, в США атаки DDoS рассматриваются как федеральное преступление и могут привести к штрафам и тюремному заключению. В большинстве европейских стран применение DDoS-атак грозит арестом, а вот в Великобритании злоумышленник может получить до 10 лет лишения свободы за организацию такого нападения.

Можно ли отследить источник DDoS-атаки?

Источник DDoS-атаки трудно обнаружить, ведь большинство атак поступают с сотни и тысячи устройств. Кроме того, инициаторы атаки тщательно маскируются, чтобы их нельзя было отследить.

Уже начатую DDoS-атаку можно обнаружить с помощью инструментов кибербезопасности для анализа трафика. Однако обычно останавливать ее слишком поздно. В лучшем случае можно проанализировать полученные данные и внести соответствующие изменения в систему кибербезопасности на будущее.

Как предотвратить DDoS-атаки

Приведем несколько правил безопасности по предотвращению DDoS-атак:

• Используйте сторонние средства предотвращения DDoS-атак, они уменьшают их вероятность и масштаб ущерба. Однако сами эти устройства должны быть безопасны и надежны. Впрочем, помните, что ни одно из них не гарантирует полную безопасность.
• Компаниям стоит разработать стратегию защиты от DDoS-атак совместно со своим интернет-провайдером, они имеют средства для обеспечения чистой пропускной способности. Интернет-провайдеры обычно имеют возможность обнаружить вредоносные пакеты раньше, чем они попадут на устройства и наносят ущерб.
• Следите за трафиком с помощью инструментов мониторинга трафика и проверяйте, нет ли странных закономерностей.
• Проверяйте выполнение правил безопасности. Регулярно оценивайте предпринимаемые меры безопасности ваших сетей и рассмотрите возможность их тестирования с помощью специализированных средств для проведения DDoS-атак. Они усиливают нагрузку на системы и помогают найти уязвимости.

Помогает ли VPN предотвратить DDoS-атаки?

DDoS-атаки используются преимущественно против организаций, компании и сервисов. Например, для шантажа компании-разработчика, для нанесения ущерба репутации влиятельного лица или для препятствия продажам на определенной платформе. Однако даже отдельные пользователи могут стать их жертвами, например, онлайн-геймеры. Оппонент может использовать DDoS-атаку, чтобы нарушить ваш игровой процесс, что само по себе не является угрозой безопасности, но может привести к досадной потере очков и разочарованию, особенно если суть игры заключается в соревновании с другими.

DOS и DDoS-атаки нацелены на серверы, а с помощью VPN невозможно предотвратить атаку на сервер. Однако в играх P2P, когда надо напрямую подключаться к другим игрокам, оппонент может найти ваш IP-адрес и направить на него DOS или DDoS-атаку. Вот здесь как раз и пригодится VPN для игр, он маскирует оригинальный IP-адрес пользователя. Не зная вашего реального IP-адреса, злоумышленники просто не смогут направить на вас DoS/DDoS-атаку. Кроме того, сама DDoS-атака нацелена на VPN-сервер, на котором уже приняты меры по защите от DDoS-атак.