Η επίθεση DDoS είναι μια μορφή κυβερνοεπίθεσης στην οποία οι δράστες επιδιώκουν να διακόψουν ή να προκαλέσουν την κατάρρευσης ενός ιστότοπου, δικτύου ή άλλη διαδικτυακή υπηρεσία υπερφορτώνοντάς τα με μεγάλο όγκο πλαστών ή ανεπιθύμητων αιτημάτων.
Υπάρχουν πολλά κίνητρα πίσω από μια επίθεση DDoS. Για τους κυβερνοεγκληματίες, αυτά περιλαμβάνουν συνήθως απόκτηση χρημάτων πουλώντας επιθέσεις DDoS ως υπηρεσία, τον εκβιασμό πιθανών στόχων για να πληρώσουν λύτρα, τον χακτιβισμό και την απόκτηση ανταγωνιστικού πλεονεκτήματος.
Είναι γνωστό ότι οι εξελιγμένες ομάδες απειλών χρησιμοποιούν επιθέσεις DDoS κυρίως ως μέρος ή ως απόσπαση της προσοχής από άλλες, πιο σοβαρές δραστηριότητες, όπως η κυβερνοκατασκοπεία και το κυβερνοσαμποτάζ.
Οι δράστες επιθέσεων DDoS χρησιμοποιούν δίκτυα κατανεμημένων, παραβιασμένων συσκευών για να διακόψουν τα συστήματα στοχεύοντας ένα ή περισσότερα από τα στοιχεία που είναι απαραίτητα για τη δημιουργία σύνδεσης (δείτε το μοντέλο OSI) σε έναν πόρο δικτύου.
Οι ογκομετρικές επιθέσεις είναι ένας από τους παλαιότερους τύπους επιθέσεων DDoS. Χρησιμοποιούν μεγάλους όγκους κίνησης για να καλύψουν τη χωρητικότητα εύρους ζώνης μεταξύ του δικτύου του θύματος και του Διαδικτύου ή τη χωρητικότητα εντός του δικτύου του θύματος. Οι μεγαλύτερες ογκομετρικές επιθέσεις μετρούνται (επί του παρόντος) σε Terabit ανά δευτερόλεπτο (Tbps) που ισοδυναμεί με περίπου 9.000 κατά μέσο όρο συνδέσεις στο Διαδίκτυο. Για παράδειγμα, κατά τη διάρκεια μιας επίθεσης στο Πρωτόκολλο Δεδομένων Χρήστη (UDP), οι εισβολείς κατακλύζουν τον στοχευμένο απομακρυσμένο διακομιστή ζητώντας πληροφορίες από μια εφαρμογή που ακούει σε μια συγκεκριμένη θύρα. Ο διακομιστής ελέγχει και/ή απαντά σε κάθε τέτοια απαίτηση, με αποτέλεσμα να εξαντλείται το εύρος ζώνης και να γίνεται απρόσιτο.
Επιθέσεις πρωτοκόλλου. Όπως δηλώνει και το όνομά τους, οι επιθέσεις πρωτοκόλλου κάνουν κακή χρήση του σχεδιασμού του υποκείμενου πρωτοκόλλου επικοινωνίας (επίπεδα 3 και 4 μοντέλου OSI) για να εξαντλήσουν τους πόρους του στοχευμένου συστήματος. Ένα παράδειγμα επίθεσης πρωτοκόλλου είναι το SYN flood, το οποίο στέλνει μεγάλο αριθμό συγκεκριμένων αιτημάτων στον στοχευμένο διακομιστή, αλλά αφήνει απαντήσεις σε αυτά τα αιτήματα χωρίς περαιτέρω ενέργεια, διατηρώντας τη "χειραψία τριών κατευθύνσεων" ημιτελή. Όταν ο αριθμός των ημιτελών συνδέσεων εξαντλεί τη χωρητικότητα του διακομιστή, καθίσταται απρόσιτος για νόμιμες συνδέσεις. Οι επιθέσεις πρωτοκόλλου χρησιμοποιούν ειδικά δημιουργημένα πακέτα για την επίτευξη των κακόβουλων στόχων τους και επομένως μετρούνται σε πακέτα ανά δευτερόλεπτο (PPS). Οι μεγαλύτερες καταγεγραμμένες επιθέσεις έχουν φτάσει τις εκατοντάδες εκατομμύρια.
Οι επιθέσεις επιπέδου εφαρμογής (επίπεδο μοντέλου OSI 7) στοχεύουν δημόσιες εφαρμογές μέσω μεγάλου όγκου πλαστής ή ψευδούς κίνησης. Ένα παράδειγμα επίθεσης DDoS επιπέδου εφαρμογής είναι μια επίθεση HTTP, η οποία "πλημμυρίζει" έναν συγκεκριμένο διακομιστή ιστού με κατά τα άλλα νόμιμα HTTP GET και HTTP αιτήματα POST. Παρόλο που ο server μπορεί να έχει αρκετό bandwidth, αναγκάζεται να επεξεργαστεί μεγάλο αριθμό ψευδών αιτημάτων αντί των νόμιμων αντίστοιχων, με αποτέλεσμα να εξαντλείται η δυνατότητα επεξεργασίας. Οι επιθέσεις επιπέδου εφαρμογής μετρούνται σε δεκάδες εκατομμύρια αιτήματα ανά δευτερόλεπτο (RPS).
4. Δεν χρειάζεται να είναι οι επιχειρήσεις ο πρωταρχικός στόχος για να αισθανθούν τον αντίκτυπο μιας επίθεσης DDoS, ειδικά εάν διαταράσσει ζωτικά μέρη της διαδικτυακής υποδομής, όπως τοπικούς ή περιφερειακούς ISP. Το 2016, εγκληματίες κατέκλυσαν τους διακομιστές του μεγάλου παρόχου DNS Dyn . Άλλες μεγάλες διαδικτυακές υπηρεσίες έγιναν μη διαθέσιμες λόγω αυτής της επίθεσης DDoS, συμπεριλαμβανομένων των Twitter, Reddit, Netflix και Spotify.
5. Ορισμένοι κυβερνοεγκληματίες απειλούν να χρησιμοποιήσουν τα botnet τους για επίθεση DDoS εναντίον ενός συγκεκριμένου οργανισμού, εκτός εάν πραγματοποιηθεί μια πληρωμή. Αυτές οι επιθέσεις ονομάζονται επιθέσεις λύτρων DDoS και δεν απαιτούν από τον εισβολέα να αποκτήσει πρόσβαση στα δίκτυα των στόχων του.
6. Από το 2020, οι επιθέσεις DDoS εναντίον ιστότοπων των θυμάτων έγιναν επίσης μέρος του συστήματος "τριπλού εκβιασμού" που χρησιμοποιείται από συμμορίες ransomware υψηλού προφίλ, προσθέτοντας DDoS πάνω από την κλοπή και την κρυπτογράφηση δεδομένων στόχων.
7. Υπάρχουν υπηρεσίες DDoS για ενοικίαση στο dark web που επιτρέπουν ακόμη και σε άπειρους δράστες που έχουν τα χρήματα και το κίνητρο, όπως για παράδειγμα να αποκτήσουν πλεονέκτημα έναντι ενός ανταγωνιστή, να οργανώσουν μια επίθεση DDoS.
Όπως υποδηλώνει το όνομα, η διαφορά έγκειται κυρίως στον αριθμό των μηχανών που επιτίθενται. Στην περίπτωση του DoS, η επίθεση συνήθως χρησιμοποιεί ένα σενάριο ή εργαλείο, προέρχεται από μια μεμονωμένη συσκευή και στοχεύει έναν συγκεκριμένο server ή endpoint. Αντίθετα, οι επιθέσεις DDoS εκτελούνται από ένα μεγάλο δίκτυο παραβιασμένων συσκευών που ελέγχονται από εισβολείς, γνωστές και ως botnet και μπορούν να χρησιμοποιηθούν για την υπερφόρτωση επιλεγμένων συσκευών, εφαρμογών, ιστότοπων, υπηρεσιών ή ακόμη και ολόκληρων δικτύων των θυμάτων.
Το πιο προφανές σημάδι μιας επίθεσης DDoS είναι η κακή απόδοση ή η μη διαθεσιμότητα του στοχευμένου συστήματος ή υπηρεσίας. Στην περίπτωση ενός ιστότοπου, αυτό μπορεί να μεταφραστεί σε μεγάλους χρόνους φόρτωσης ή σε αδυναμία πρόσβασης σε άτομα εντός και εκτός επιχείρησης. Υπάρχουν επίσης δημόσια διαθέσιμες υπηρεσίες παρακολούθησης επιθέσεων DDoS, όπως το downforeveryoneorjustme.com ή το downdetector.com
Μια επίθεση DDoS μπορεί επίσης να εντοπιστεί μέσω της παρακολούθησης και της ανάλυσης της κυκλοφορίας δικτύου που εντοπίζει ψευδή ή ανεπιθύμητα αιτήματα που υπερφορτώνουν ένα ή περισσότερα εταιρικά συστήματα. Σε ορισμένες περιπτώσεις, ένα εκβιαστικό μήνυμα που ζητά την καταβολή λύτρων για την απόσυρση του οργανισμού σας από τη λίστα των μελλοντικών στόχων ή για τον τερματισμό μιας συνεχιζόμενης επίθεσης, μπορεί επίσης να υποδεικνύει μια πιθανή ή συνεχιζόμενη επίθεση DDoS.
4. Οι επιχειρήσεις δεν χρειάζεται να είναι ο πρωταρχικός στόχος για να αισθανθούν τον αντίκτυπο μιας επίθεσης DDoS, ειδικά εάν διαταράσσει τα ζωτικά μέρη της υποδομής του Διαδικτύου, όπως οι τοπικοί ή περιφερειακοί ISPs. Το 2016, κυβερνοεγκληματίες κατέκλυσαν τους διακομιστές του μεγάλου παρόχου DNS Dyn. Λόγω της συγκεκριμένης επίθεσης DDoS κατέρρευσαν διάφορες μεγάλες διαδικτυακές υπηρεσίες, συμπεριλαμβανομένων των Twitter, Reddit, Netflix και Spotify.
5. Ορισμένοι κυβερνοεγκληματίες απειλούν να χρησιμοποιήσουν τα botnet τους για επίθεση DDoS εναντίον μιας συγκεκριμένης επιχείρησης, εκτός εάν καταβληθούν τα λύτρα που ζητούν. Αυτές οι επιθέσεις ονομάζονται επιθέσεις λύτρων DDoS και δεν απαιτούν από τον εισβολέα να αποκτήσει πρόσβαση στα δίκτυα των στόχων του.
6. Από το 2020, οι επιθέσεις DDoS εναντίον ιστότοπων θυμάτων έχουν γίνει επίσης μέρος του συστήματος "τριπλού εκβιασμού" που χρησιμοποιείται από συμμορίες ransomware υψηλού προφίλ, προσθέτοντας και επίθεση DDoS στην υποκλοπή και την κρυπτογράφηση των δεδομένων.
7. Στο dark web υπάρχουν υπηρεσίες DDoS προς ενοικίαση που επιτρέπουν ακόμη και σε άπειρους δράστες που έχουν τα χρήματα και τα κίνητρα, όπως για παράδειγμα να αποκτήσουν πλεονέκτημα έναντι ενός ανταγωνιστή, να οργανώσουν μια επίθεση DDoS.
Οι επιθέσεις DDoS μπορεί να είναι δύσκολο να μετριαστούν σε επιχειρήσεις που δεν διαθέτουν τους κατάλληλους πόρους, όπως hardware ή επαρκές bandwidth. Ωστόσο, υπάρχουν πράγματα που μπορούν να κάνουν ακόμη και οι μικρές και μεσαίες εταιρείες για να αυξήσουν την προστασία τους:
Αποκτήστε αποτελεσματική προστασία με τις δυνατότητες μετριασμού των κινδύνων που σχετίζονται με επιθέσεις DDoS. Οι πολυεπίπεδες λύσεις ασφάλειας για endpoints της ESET χρησιμοποιούν εξελιγμένη τεχνολογία προστασίας από δικτυακές επιθέσεις με προηγμένο φιλτράρισμα και επιθεώρηση πακέτων για την αποφυγή διαταραχών.
