Κατανεμημένη άρνηση υπηρεσίας (DDoS)

Η επίθεση DDoS είναι μια μορφή κυβερνοεπίθεσης στην οποία οι δράστες επιδιώκουν να διακόψουν ή να προκαλέσουν την κατάρρευσης ενός ιστότοπου, δικτύου ή άλλη διαδικτυακή υπηρεσία υπερφορτώνοντάς τα με μεγάλο όγκο πλαστών ή ανεπιθύμητων αιτημάτων.

Ανάγνωση 5 λεπτών

Τι παρακινεί μια επίθεση DDoS;

Υπάρχουν πολλά κίνητρα πίσω από μια επίθεση DDoS. Για τους κυβερνοεγκληματίες, αυτά περιλαμβάνουν συνήθως απόκτηση χρημάτων πουλώντας επιθέσεις DDoS ως υπηρεσία, τον εκβιασμό πιθανών στόχων για να πληρώσουν λύτρα, τον χακτιβισμό και την απόκτηση ανταγωνιστικού πλεονεκτήματος.

Είναι γνωστό ότι οι εξελιγμένες ομάδες απειλών χρησιμοποιούν επιθέσεις DDoS κυρίως ως μέρος ή ως απόσπαση της προσοχής από άλλες, πιο σοβαρές δραστηριότητες, όπως η κυβερνοκατασκοπεία και το κυβερνοσαμποτάζ.

Πώς λειτουργούν οι επιθέσεις DDoS;

Οι δράστες επιθέσεων DDoS χρησιμοποιούν δίκτυα κατανεμημένων, παραβιασμένων συσκευών για να διακόψουν τα συστήματα στοχεύοντας ένα ή περισσότερα από τα στοιχεία που είναι απαραίτητα για τη δημιουργία σύνδεσης (δείτε το μοντέλο OSI) σε έναν πόρο δικτύου.

Οι ογκομετρικές επιθέσεις είναι ένας από τους παλαιότερους τύπους επιθέσεων DDoS. Χρησιμοποιούν μεγάλους όγκους κίνησης για να καλύψουν τη χωρητικότητα εύρους ζώνης μεταξύ του δικτύου του θύματος και του Διαδικτύου ή τη χωρητικότητα εντός του δικτύου του θύματος. Οι μεγαλύτερες ογκομετρικές επιθέσεις μετρούνται (επί του παρόντος) σε Terabit ανά δευτερόλεπτο (Tbps) που ισοδυναμεί με περίπου 9.000 κατά μέσο όρο συνδέσεις στο Διαδίκτυο. Για παράδειγμα, κατά τη διάρκεια μιας επίθεσης στο Πρωτόκολλο Δεδομένων Χρήστη (UDP), οι εισβολείς κατακλύζουν τον στοχευμένο απομακρυσμένο διακομιστή ζητώντας πληροφορίες από μια εφαρμογή που ακούει σε μια συγκεκριμένη θύρα. Ο διακομιστής ελέγχει και/ή απαντά σε κάθε τέτοια απαίτηση, με αποτέλεσμα να εξαντλείται το εύρος ζώνης και να γίνεται απρόσιτο.

Επιθέσεις πρωτοκόλλου. Όπως δηλώνει και το όνομά τους, οι επιθέσεις πρωτοκόλλου κάνουν κακή χρήση του σχεδιασμού του υποκείμενου πρωτοκόλλου επικοινωνίας (επίπεδα 3 και 4 μοντέλου OSI) για να εξαντλήσουν τους πόρους του στοχευμένου συστήματος. Ένα παράδειγμα επίθεσης πρωτοκόλλου είναι το SYN flood, το οποίο στέλνει μεγάλο αριθμό συγκεκριμένων αιτημάτων στον στοχευμένο διακομιστή, αλλά αφήνει απαντήσεις σε αυτά τα αιτήματα χωρίς περαιτέρω ενέργεια, διατηρώντας τη "χειραψία τριών κατευθύνσεων" ημιτελή. Όταν ο αριθμός των ημιτελών συνδέσεων εξαντλεί τη χωρητικότητα του διακομιστή, καθίσταται απρόσιτος για νόμιμες συνδέσεις. Οι επιθέσεις πρωτοκόλλου χρησιμοποιούν ειδικά δημιουργημένα πακέτα για την επίτευξη των κακόβουλων στόχων τους και επομένως μετρούνται σε πακέτα ανά δευτερόλεπτο (PPS). Οι μεγαλύτερες καταγεγραμμένες επιθέσεις έχουν φτάσει τις εκατοντάδες εκατομμύρια.

Οι επιθέσεις επιπέδου εφαρμογής (επίπεδο μοντέλου OSI 7) στοχεύουν δημόσιες εφαρμογές μέσω μεγάλου όγκου πλαστής ή ψευδούς κίνησης. Ένα παράδειγμα επίθεσης DDoS επιπέδου εφαρμογής είναι μια επίθεση HTTP, η οποία "πλημμυρίζει" έναν συγκεκριμένο διακομιστή ιστού με κατά τα άλλα νόμιμα HTTP GET και HTTP αιτήματα POST. Παρόλο που ο server μπορεί να έχει αρκετό bandwidth, αναγκάζεται να επεξεργαστεί μεγάλο αριθμό ψευδών αιτημάτων αντί των νόμιμων αντίστοιχων, με αποτέλεσμα να εξαντλείται η δυνατότητα επεξεργασίας. Οι επιθέσεις επιπέδου εφαρμογής μετρούνται σε δεκάδες εκατομμύρια αιτήματα ανά δευτερόλεπτο (RPS).

Περισσότεροι λόγοι

4. Δεν χρειάζεται να είναι οι επιχειρήσεις ο πρωταρχικός στόχος για να αισθανθούν τον αντίκτυπο μιας επίθεσης DDoS, ειδικά εάν διαταράσσει ζωτικά μέρη της διαδικτυακής υποδομής, όπως τοπικούς ή περιφερειακούς ISP. Το 2016, εγκληματίες κατέκλυσαν τους διακομιστές του μεγάλου παρόχου DNS Dyn . Άλλες μεγάλες διαδικτυακές υπηρεσίες έγιναν μη διαθέσιμες λόγω αυτής της επίθεσης DDoS, συμπεριλαμβανομένων των Twitter, Reddit, Netflix και Spotify.

5. Ορισμένοι κυβερνοεγκληματίες απειλούν να χρησιμοποιήσουν τα botnet τους για επίθεση DDoS εναντίον ενός συγκεκριμένου οργανισμού, εκτός εάν πραγματοποιηθεί μια πληρωμή. Αυτές οι επιθέσεις ονομάζονται επιθέσεις λύτρων DDoS και δεν απαιτούν από τον εισβολέα να αποκτήσει πρόσβαση στα δίκτυα των στόχων του.

6. Από το 2020, οι επιθέσεις DDoS εναντίον ιστότοπων των θυμάτων έγιναν επίσης μέρος του συστήματος "τριπλού εκβιασμού" που χρησιμοποιείται από συμμορίες ransomware υψηλού προφίλ, προσθέτοντας DDoS πάνω από την κλοπή και την κρυπτογράφηση δεδομένων στόχων.

7. Υπάρχουν υπηρεσίες DDoS για ενοικίαση στο dark web που επιτρέπουν ακόμη και σε άπειρους δράστες που έχουν τα χρήματα και το κίνητρο, όπως για παράδειγμα να αποκτήσουν πλεονέκτημα έναντι ενός ανταγωνιστή, να οργανώσουν μια επίθεση DDoS.

Άρνηση υπηρεσίας (DoS) έναντι Κατανεμημένης άρνησης υπηρεσίας (DDoS)

Όπως υποδηλώνει το όνομα, η διαφορά έγκειται κυρίως στον αριθμό των μηχανών που επιτίθενται. Στην περίπτωση του DoS, η επίθεση συνήθως χρησιμοποιεί ένα σενάριο ή εργαλείο, προέρχεται από μια μεμονωμένη συσκευή και στοχεύει έναν συγκεκριμένο server ή endpoint. Αντίθετα, οι επιθέσεις DDoS εκτελούνται από ένα μεγάλο δίκτυο παραβιασμένων συσκευών που ελέγχονται από εισβολείς, γνωστές και ως botnet και μπορούν να χρησιμοποιηθούν για την υπερφόρτωση επιλεγμένων συσκευών, εφαρμογών, ιστότοπων, υπηρεσιών ή ακόμη και ολόκληρων δικτύων των θυμάτων.

Πώς γνωρίζετε εάν η επιχείρησή σας σας αντιμετωπίζει επίθεση DDoS;

Το πιο προφανές σημάδι μιας επίθεσης DDoS είναι η κακή απόδοση ή η μη διαθεσιμότητα του στοχευμένου συστήματος ή υπηρεσίας. Στην περίπτωση ενός ιστότοπου, αυτό μπορεί να μεταφραστεί σε μεγάλους χρόνους φόρτωσης ή σε αδυναμία πρόσβασης σε άτομα εντός και εκτός επιχείρησης. Υπάρχουν επίσης δημόσια διαθέσιμες υπηρεσίες παρακολούθησης επιθέσεων DDoS, όπως το downforeveryoneorjustme.com ή το downdetector.com

7 λόγοι για τους οποίους πρέπει να απασχολούν την επιχείρησή σας οι επιθέσεις DDoS

Μια επιχείρηση υπό επίθεση DDoS θα χάνει πάντα έσοδα λόγω του ότι ο ιστότοπος, οι υπηρεσίες ή τα συστήματά του δεν ανταποκρίνονται. Ο μετριασμός ενός περιστατικού επιβαρύνει επιπλέον τον προϋπολογισμό ασφαλείας.
Σύμφωνα με αρκετούς καταξιωμένους κατασκευαστές που παρακολουθούν τη σκηνή DDoS, ο αριθμός των περιστατικών αυξάνεται ραγδαία τα τελευταία τρία χρόνια.
Οι επιθέσεις DDoS γίνονται επίσης πιο ισχυρές. Μερικές είναι ακόμη αρκετά ισχυρές ώστε να διαταράξουν τις παγκόσμιες υπηρεσίες. Ενώ το 2020 οι μεγαλύτερες επιθέσεις (επίπεδο δικτύου) ξεπέρασαν το όριο του 1 Tbps, το 2021, μερικά αξιοσημείωτα περιστατικά βρίσκονταν στην περιοχή των 2-3 Tbps. Κατά την καταμέτρηση αιτημάτων ανά δευτερόλεπτο (RPS), τουλάχιστον δύο επιθέσεις DDoS το 2021 (που αναφέρθηκαν από το Cloudflare και το Yandex) έχουν περάσει στην περιοχή των 15+ εκατομμυρίων RPS.

4. Οι επιχειρήσεις δεν χρειάζεται να είναι ο πρωταρχικός στόχος για να αισθανθούν τον αντίκτυπο μιας επίθεσης DDoS, ειδικά εάν διαταράσσει τα ζωτικά μέρη της υποδομής του Διαδικτύου, όπως οι τοπικοί ή περιφερειακοί ISPs. Το 2016, κυβερνοεγκληματίες κατέκλυσαν τους διακομιστές του μεγάλου παρόχου DNS Dyn. Λόγω της συγκεκριμένης επίθεσης DDoS κατέρρευσαν διάφορες μεγάλες διαδικτυακές υπηρεσίες, συμπεριλαμβανομένων των Twitter, Reddit, Netflix και Spotify.

5. Ορισμένοι κυβερνοεγκληματίες απειλούν να χρησιμοποιήσουν τα botnet τους για επίθεση DDoS εναντίον μιας συγκεκριμένης επιχείρησης, εκτός εάν καταβληθούν τα λύτρα που ζητούν. Αυτές οι επιθέσεις ονομάζονται επιθέσεις λύτρων DDoS και δεν απαιτούν από τον εισβολέα να αποκτήσει πρόσβαση στα δίκτυα των στόχων του.

6. Από το 2020, οι επιθέσεις DDoS εναντίον ιστότοπων θυμάτων έχουν γίνει επίσης μέρος του συστήματος "τριπλού εκβιασμού" που χρησιμοποιείται από συμμορίες ransomware υψηλού προφίλ, προσθέτοντας και επίθεση DDoS στην υποκλοπή και την κρυπτογράφηση των δεδομένων.

7. Στο dark web υπάρχουν υπηρεσίες DDoS προς ενοικίαση που επιτρέπουν ακόμη και σε άπειρους δράστες που έχουν τα χρήματα και τα κίνητρα, όπως για παράδειγμα να αποκτήσουν πλεονέκτημα έναντι ενός ανταγωνιστή, να οργανώσουν μια επίθεση DDoS.

Τι μπορεί να κάνει η επιχείρησή σας για να προστατευτεί από επιθέσεις DDoS;

Οι επιθέσεις DDoS μπορεί να είναι δύσκολο να μετριαστούν σε επιχειρήσεις που δεν διαθέτουν τους κατάλληλους πόρους, όπως hardware ή επαρκές bandwidth. Ωστόσο, υπάρχουν πράγματα που μπορούν να κάνουν ακόμη και οι μικρές και μεσαίες εταιρείες για να αυξήσουν την προστασία τους:

Παρακολουθείτε την κυκλοφορία του δικτύου σας και μάθετενα εντοπίζετε ανωμαλίες στην κίνηση στο Διαδίκτυο. Με αυτόν τον τρόπο, μπορείτε να εντοπίσετε ψευδή αιτήματα που κατακλύζουν τα συστήματά σας και να τα αποκλείσετε.
Να έχετε ένα σχέδιο αποκατάστασης καταστροφών σε περίπτωση που μια επίθεση DDoS χτυπήσει τον ιστότοπο ή τα συστήματά σας. Αυτό μπορεί να περιλαμβάνει την ύπαρξη εφεδρικών διακομιστών, ιστότοπου και εναλλακτικών καναλιών επικοινωνίας.
Σκεφτείτε τη μετάβαση στο cloud. Αυτό δεν θα εξαλείψει την απειλή, αλλά μπορεί να βοηθήσει στον μετριασμό των επιθέσεων λόγω του υψηλότερου εύρους ζώνης και της ανθεκτικότητας της cloud υποδομής.
Εάν έχετε ήδη στοχοποιηθεί με επίθεση DDoS ή διατρέχετε κίνδυνο, σκεφτείτε να χρησιμοποιήσετε υπηρεσίες προστασίας DoS και DDoS που μπορούν να σας βοηθήσουν να μειώσετε τον αντίκτυπο.
Μην αφήνετε τις συσκευές σας να γίνουν μέρος ενός botnet που μπορεί να συμβάλει σε μια επίθεση DDoS. Βεβαιωθείτε ότι ακολουθείτε τους κανόνες καλής κυβερνουγιεινής, διατηρείτε ενημερωμένες όλες τις συσκευές σας και το λογισμικό τους και προστατέψτε τες εγκαθιστώντας μια πολυεπίπεδη λύση ασφαλείας.

Αποτρέψτε τις επιθέσεις DDoS τώρα

ESET PROTECT
Advanced

Αποκτήστε αποτελεσματική προστασία με τις δυνατότητες μετριασμού των κινδύνων που σχετίζονται με επιθέσεις DDoS. Οι πολυεπίπεδες λύσεις ασφάλειας για endpoints της ESET χρησιμοποιούν εξελιγμένη τεχνολογία προστασίας από δικτυακές επιθέσεις με προηγμένο φιλτράρισμα και επιθεώρηση πακέτων για την αποφυγή διαταραχών.

ΠΕΡΙΣΣΟΤΕΡΑ