Все, що треба знати про DDoS-атаки

Що таке DDoS-атака?

Розподілена атака відмови в обслуговуванні (DDoS) стається, коли хакер надсилає велику кількість фейкових запитів на сервер, службу чи мережу з метою її перевантажити. В результаті користувачі цього сервісу лишаються доступу до вебсайту. DDoS-атаку можна порівняти з дорожнім затором, коли головна дорога забита машинами, надісланими хакером, тоді як нормальний потік автівок, що йде з бічної дороги, більше не може потрапити всередину.

DDoS-атака порушує нормальне функціонування цільового сервера або вебсайту. Вона виснажує їх обчислювальні ресурси і робить вебсайт або сервіс повільними, несприйнятливими або повністю недоступними для користувачів. Але що саме відбувається під час DDoS-атаки?

Принцип дії DDoS-атак

DDoS-атаки створюють потужне навантаження на сервер, адже для їх здійснення хакер використовує низку комп’ютерів або інших пристроїв. Будується ціла мережа із хакнутих пристроїв, які перетворюються на ботів (чи зомбі), запроси з яких одночасно віддалено направляються на певну IP-адресу. Така лавина може призвести до збою у роботі сервісу.

DDoS-атаки можуть тривати понад 24 годин, і їх джерело важко відстежити. Ваш комп’ютер також може бути використаний в якості пішаки в армії ботнетів (чи зомбі-мереж), які таємно реагують на шкідливі команди – і ви навіть не будете про це знати! Єдиною ознакою може стати незначне зниження продуктивності або перегрів пристрою. Трафік, що атакує цільову систему, надходить зі звичайних (хоча і заражених) пристроїв різних користувачів. Цей факт ще більше ускладнює розпізнавання шкідливого трафіку від органічного. Для порівняння, Pdos-атака завдає прямої шкоди обладнанню, тому її набагато легше помітити.

DDoS-атаки можуть бути націлені на певний компонент мережевого з’єднання або на їх поєднання. Кожне підключення, здійснюване через Інтернет, проходить через модельні рівні OSI. Більшість DDoS-атак відбуваються на наступних трьох рівнях:

• Мережевий рівень (рівень 3). Атаки на цьому рівні включають Smurf-атаки, ICMP/Ping-флуди і фрагментацію IP / ICMP.
• Транспортний рівень (рівень 4). Ці атаки включають SYN-флуд, UDP-флуд та вичерпання TCP-з’єднання.
• Прикладний рівень (рівень 7). Здебільшого це атаки з використанням HTTP-шифрування.

Яка різниця між DoS та DDoS-атаками?

Атака відмови в обслуговуванні (DoS) перевантажує сервер трафіком, що робить службу або вебсайт недоступними. DoS – це атака “система проти системи”, тобто одна система атакує певний сервіс. А от у DDoS-атаках для перевантаження сервісу використовується вже низка комп’ютерів і систем.

Хоча ціллю як DoS, так і DDoS-атак може бути той самий вебсайт, DDoS-атака буде потужнішою й небезпечнішою.

Чим раніше виявити DDoS-атаку, тим вищі шанси її запобігти. Наведемо основні ознаки того, що проти вас відбувається DDoS-атака:

• Повільний або недоступний сервіс. Зазвичай це перша ознака DDoS-атаки. Помилка шлюзу 502 насправді може бути DDoS-атакою в дії. Хоча до зниження продуктивності можуть призвести й багато інших проблем, тож ідентифікувати DDoS-атаку тільки за продуктивністю неможливо.
• Багато трафіку надходить з однієї IP-адреси. Виявити цей факт допоможуть інструменти з аналітики трафіку.
• Неорганічні сплески трафіку в незвичайний для цього час доби.
• Раптовий і незрозумілий сплеск запитів на певній сторінці або кінцевій точці.

Види DDoS-атак

DDoS-атаки відрізняються за складністю, тривалістю та майстерністю.

Атака на TCP-з’єднання

Атаки на TCP-з’єднання, також відомі як syn-flood-атаки, відбуваються, коли тристороннє TCP-підтвердження зв’язку між хостом і сервером не завершується. При цій атаці ініціюється обмін даними, але хакер залишає сервер завислим, а порти відкритими. Тобто сервер не в змозі приймати ніякі інші запити. Хакер продовжує заповнювати його новими рукостисканнями, що згодом призводить до збою.

Масивна атака

Масивні атаки – найпоширеніший тип DDoS-атак. Під час атаки споживається вся доступна пропускна здатність між об’єктом та Інтернетом. Зазвичай це робиться за допомогою ботнетів, які спрямовуються на цільову систему.

Одним із прикладів об’ємної атаки є підробка IP-адреси жертви хакером і багаторазові запити до відкритого DNS-сервера. Атака структурована таким чином, що коли DNS-сервер відповідає, він надсилає жертві більше даних, ніж вона може обробити.

Атака на фрагментацію

Трафік, що передається через Інтернет, ділиться на пакети даних. Вони переміщуються і збираються заново по-різному залежно від того, який протокол використовується, транспортний TCP або UDP. Атака на фрагментацію надсилає підроблені пакети даних, які спотворюють потік даних і, отже, перевантажують сервер.

Експлойт “занадто багато пакетів” є прикладом атаки на фрагментацію. Він затоплює мережу надмірною кількістю неповних, фрагментованих пакетів.

Атаки рівня додатків або 7-го рівня націлені, як випливає з назви, на додатки – рівень, на якому сервер генерує вебсторінки й відповідає на HTTP-запити. Сервером така атака буде сприйматися, наче хтось багато разів натискає кнопку «Оновити» на одній сторінці. Все виглядатиме як органічний трафік, аж поки сервер не буде переповнений і відмовиться реагувати. Ці атаки й коштують дешевше, і їх важче виявити, ніж атаки на мережевому рівні.

Посилені DDoS-атаки

DDoS-атака з посиленням – це атака, при якій кіберзлочинець спеціально націлюється на уразливості в системі безпеки серверів доменних імен (DNS). Вони перетворюють невеликі запити на величезні (звідси термін “посилення”), обмежуючи пропускну здатність бідолашного сервера та зупиняючи його процеси. Посилені атаки поділяються на два типи: відображення DNS і відображення CharGEN.

Відображення DNS

Завдання DNS-сервера полягає в пошуку IP-адреси доменного імені, яке вводиться в рядок пошуку. Це як адресна книга Інтернету. Атака відображення DNS стається, коли хакер копіює IP-адресу жертви та надсилає запити на DNS-сервер, вимагаючи великі відповіді. Відомо, що відповіді можуть бути посилені в 70 разів порівняно зі звичайними, що миттєво приголомшує сервер-жертву.

Відображення CharGEN

Протокол CharGEN за сучасними інтернет-стандартами вже застарілий. Його створено в 1983 році для цілей налагодження або тестування. На жаль, багато принтерів та копіювальних машин, підключених до інтернету, все ще використовують цей протокол, що дозволяє хакерам експлуатувати численні лазівки CharGEN, викликані віком. Хакер надсилає безліч крихітних пакетів даних під виглядом IP-адреси жертви на все, що працює на CharGEN. Потім пристрій закидує систему жертви відповідями по протоколу UDP (User Datagram Protocol), перевантажуючи цільовий сервер і змушуючи його перезавантажуватися або взагалі відключитися.

Кількість DDoS-атак

Оскільки технології прогресують, а системи безпеки з кожним роком стають дедалі складнішими, змінюються й інструменти, які використовуються для їх злому. Якщо порівняти силу атак 1990-х років із сучасними стандартними DDoS-атаками, різниця надзвичайна.

Середня кількість запитів під час DDoS-атаки 90-х років ледь перевищувала 150 в секунду. Порівняйте цю цифру з найбільшою успішною DDoS-атакою за останній час, а саме атакою на GitHub у 2018 році, і ви побачите, що на сайт надходило приголомшливі 1,35 терабіт трафіку в секунду. Атака тимчасово вивела сайт з ладу і тривала всього 8 хвилин.

З яких причин використовуються DDoS-атаки

До DDoS-атак вдаються з різних причин, наведемо основні:

• Хактивізм. Хактивісти застосовують DDoS-атаки для видалення різних вебсайтів та сервісів, з якими вони не згодні. Наприклад, ціллю можуть бути вебсайти урядів, громадських діячів, злочинних чи терористичних організацій, корпорацій тощо. Здебільшого хактивісти використовують DDoS-атаки для поширення повідомлень та підвищення обізнаності.
• Вимагання. Кіберзлочинці також використовують DDoS-атаки для вимагання. Щоб зупинити або попередити атаку, хакери можуть запросити грошовий викуп.
• Вандалізм. Хакер може ініціювати DDoS-атаки виключно для розваги або щоб засмутити чи роздратувати інших. Так звані скриптові дітлахи легко провокують подібні атаки, використовуючи готові інструменти.
• Суперництво – ще одна причина для здійснення DDoS-атак. Конкурентна компанія може завдати шкоди вебсайту або сервісу свого конкурента і призвести до тимчасової втрати прибутку, а у разі, якщо на неробочий сервіс розлючуються клієнти, – і популярності.
• Кібервійна. DDoS-атаки використовуються як зброя в кібервійнах. Суб’єкти, що становлять загрозу національній державі, генерують великомасштабні DDoS-атаки для руйнування критично важливих інфраструктур в країнах-противниках. Урядові спецслужби за допомогою таких цифрових нападів можуть примусити опозиційні сили замовкнути. DDoS-атаки, що підтримуються державою, зазвичай добре організовані, і їх важче запобігти.

Найбільші DDoS-атаки

За останні роки на компанії було здійснено незліченну кількість DDoS-атак, які відрізнялися за ступенем тяжкості та завданими збитками. Наведемо приклади трьох найшкідливіших атак:

Атака на Google у 2017 році

Найбільша DDoS-атака була проведена у 2017 році на сервіси Google. Зловмисники захопили 180 000 вебсерверів, які відправляли свої відповіді в Google. Швидкість кібератаки досягла 2,54 Тбіт/с. Враховуючи, що типова DDoS-атака вимірюється в Гбіт/сек (гігабітах в секунду), атака з обсягом трафіку в Тбіт/сек (терабіт в секунду) в тисячу разів потужніша і здатна придушити навіть найнадійніші онлайн-сервіси. Такий потужний напад було скоєно угрупуванням державного рівня, ймовірно Китаєм.

DDoS-атака на AWS 2020 року

У 2020 році Amazon Web Services піддалися масованій DDoS-атаці, її ціллю був невстановлений клієнт. Атака вважається однією з найагресивніших в історії. Використовуючи сторонні сервери, зловмисникам вдалося збільшити обсяг даних, що відправляються на одну IP-адресу, до 70 разів. Швидкість атаки досягла 2,3 Тбіт/с.

Атака на Cloudflare у 2022 році

Cloudflare повідомила про DDoS-атаку зі швидкістю 15,3 мільйона запитів в секунду, націлену на клієнта, який керував криптографічним стартовим майданчиком. Компанії вдалося її зупинити. В ході атаки була залучена ботнет-мережа, що складається приблизно з 6000 унікальних пристроїв зі 112 країн. Для її ініціювання зловмисники використовували захищене, зашифроване з’єднання HTTPS.

Чи законно здійснювати DDos-атаки?

Проведення DDos-атак заборонено у багатьох країнах. Наприклад, у США атаки DDoS розглядаються як федеральний злочин і можуть призвести до штрафів та ув’язнення. У більшості європейських країн застосування DDos-атак загрожує арештом, а от у Великобританії злочинець може отримати до 10 років ув’язнення за організацію такого нападу.

Чи можна відстежити джерело DDoS-атаки?

Джерело DDoS-атаки важко виявити, адже більшість атак надходять з сотні й тисячі пристроїв. Крім того, ініціатори атаки ретельно маскуються, щоб їх не можна було відстежити.

Вже розпочату DDoS-атаку можна виявити за допомогою певних інструментів кібербезпеки для аналізу трафіку. Однак зазвичай зупиняти її занадто пізно. У кращому випадку можна проаналізувати отримані дані й внести відповідні зміни в систему кібербезпеки на майбутнє.

Як запобігти DDoS-атакам

Наведемо кілька заходів щодо запобігання DDoS-атакам:

• Використовуйте сторонні засоби запобігання DDoS-атак, вони зменшують їх вірогідність та масштаб шкоди. Але ці пристрої самі обов’язково мають бути безпечні та надійні. Втім, майте на увазі, що жоден з них не гарантує повну безпеку.
• Компаніям варто розробити стратегію захисту від DDoS спільно зі своїм інтернет-провайдером, вони мають засоби для забезпечення чистої пропускної здатності. Інтернет-провайдери зазвичай мають змогу виявити шкідливі пакети раніше, ніж вони потраплять на пристрої і завдадуть шкоди.
• Слідкуйте за трафіком за допомогою інструментів моніторингу трафіку і спостерігайте, чи немає дивних закономірностей.
• Перевіряйте виконання правил безпеки. Регулярно оцінюйте стан безпеки своїх мереж і розгляньте можливість протестувати їх за допомогою спеціалізованих засобів для проведення DDoS-атак. Вони посилюють навантаження на системи і допомагають знайти уразливості.

Чи допомагає VPN запобігти DDoS-атакам?

DDoS-атаки використовуються переважно проти організацій, компанії та сервісів. Наприклад, для шантажу компанії-розробника, для зіпсування репутації впливової особи чи для перешкоди продажам певної платформи. Однак навіть окремі користувачі можуть стати їх жертвою, як-от онлайн-геймери. Суперник може застосувати DDoS-атаку, щоб порушити ваш ігровий процес, що саме по собі не є загрозою безпеці, але може викликати розчарування, особливо якщо суть гри полягає в конкурентній боротьбі.

DoS і DDoS-атаки націлені на сервери, тому за допомогою VPN неможливо запобігти атаці на сервер. Однак в іграх P2P, коли треба безпосередньо підключатися до інших гравців, ваш опонент може знайти вашу IP-адресу і направити на неї DoS або DDoS-атаку. Саме цього можна запобігти, використовуючи VPN для ігор, адже він маскує оригінальну IP-адресу користувача. Якщо зловмисники не знають вашої реальної IP-адреси, вони просто не зможуть вас атакувати DoS/DDoS-атаками. Крім того, сама DDoS-атака націлена на VPN-сервер, на якому вже вжито заходів щодо захисту від DDoS-атак.