מתקפות מניעת שירות מבוזרת (DDoS)

מה המניע למתקפת DDoS?

ישנם מספר מניעים אפשריים למתקפת DDoS. כשמדובר בפושעי סייבר, המניעים הם בדרך כלל יצירת רווח כספי באמצעות מכירת מתקפות DDoS כשירות, סחיטת מטרות פוטנציאליות על מנת שישלמו כופר, פריצה ממניעים אקטיביסטיים וצבירת יתרון תחרותי.

קבוצות תקיפה מתקדמות ידועות בכך שהן משתמשות במתקפת DDoS כחלק מסל פעולות הרסניות יותר כמו ריגול סייבר וחבלת סייבר, או כהסחת דעת מהפעולות האלה.

כיצד פועלות מתקפות DDoS?

תוקפים המפעילים מתקפות DDoS משתמשים ברשתות של מכשירים פרוצים כדי להפריע לפעילותן של מערכות באמצעות פגיעה במרכיב אחד או יותר החיוני ליצירת קשר (ראו את מודל שבע השכבות) למשאב רשת מסוים.

מתקפות נפח הן אחד מהסוגים הישנים ביותר של מתקפות DDoS. הן משתמשות בכמויות גדולות של תעבורת רשת כדי למלא את רוחב הפס בין רשת הקורבן והאינטרנט, או את רוחב הפס האפשרי ברשת הלקוח. מתקפות הנפח הגדולות ביותר נמדדות (כרגע) ביחידות מידה של טרה-ביטים לשנייה (Tbps), שווה ערך לכ-9,000 חיבורי אינטרנט ממוצעים. לדוגמה, במהלך מתקפת הצפת פרוטוקול UDP, התוקפים מציפים את השרת המרוחק באמצעות בקשת מידע מאפליקציה שמאזינה לפורט מסוים. השרת בודק כל דרישה כזאת ו/או מגיב לה, מה שגורם להצפת רוחב הפס עד למצב בו השירות מפסיק להיות זמין.

מתקפות פרוטוקול. בהתאם לשם, מתקפות פרוטוקול מנצלות לרעה את המבנה של פרוטוקול תקשורת תשתיתי (שכבות 3 ו-4 של מודל שבע השכבות) כדי לכלות את המשאבים של המערכת המותקפת. דוגמה אחת למתקפת פרוטוקול היא הצפת SYN, ששולחת כמויות גדולות של בקשות ספציפיות לשרת המטרה אך משאירה את התשובות לבקשות האלה ללא פעולות נוספות מהצד שלה, כך ש-"לחיצת הידיים המשולשת" לא מגיעה לסיומה. כאשר מספר חיבורים פתוחים מכלים את יכולותיו של השרת, הוא הופך ללא-זמין ואינו יכול לקבל עוד חיבורים לגיטימיים. מתקפות פרוטוקול משתמשות בפאקטות שנוצרו באופן מיוחד כדי להשיג את מטרותיהן הזדוניות, ולכן נמדדות ביחידת מידה של פאקטות לשנייה (PPS). המתקפות הגדולות ביותר שתועדו הגיעו למאות מיליונים.

מתקפת שכבת אפליקציה (שכבה 7 של מודל שבע השכבות) פוגעת באפליקציות זמינות לציבור באמצעות כמות גבוהה של תעבורה משובשת או כוזבת. אחת הדוגמאות למתקפת DDoS ברמת שכבת אפליקציה היא הצפת HTTP, שכחלק ממנה שרת מסוים מוצף בבקשות HTTP מסוג GET ו-POST, שהם סוגי בקשות לגיטימיות. גם אם לשרת יש רוחב פס מספיק, הוא חייב לעבד כמות גדולה של בקשות כוזבות במקום טיפול בבקשות לגיטימיות, וכך מאבד את יכולת העיבוד שלו. מתקפות על שכבת האפליקציה נמדדות ביחידת מידה של עשרות מיליוני בקשות לשנייה (RPS).

מניעת שירות (DoS) לעומת מניעת שירות מבוזרת (DDoS)

ממש כפי ששם המתקפה מראה, ההבדל מתבטא בעיקר בכמות המחשבים התוקפים. במתקפת DoS, המתקפה מתבצעת ע"י סקריפט או כלי, המופעל במחשב אחד ומכוון לשרת ספציפי או לתחנת קצה ספציפית. לעומת זאת, מתקפות DDoS מבוצעות ע"י רשת של מכשירים פרוצים שנשלטים ע"י התוקף, שידועה גם בשם Botnet, וניתן להשתמש בה כדי לגרוס לעומס יתר במכשירים, אפליקציות, אתרי אינטרנט, שירותים ואף רשתות שלמות של קורבן מסוים.

כיצד אפשר לדעת אם הארגון שלכם חווה מתקפת DDoS?

הסימן הברור ביותר למתקפת DDoS הוא ירידה משמעותית בביצועים או חוסר זמינות של מערכת או שירות מסוים. אם המטרה של המתקפה היא אתר אינטרנט, התוצאה עשויה להיות זמני טעינה ארוכים או חוסר גישה מוחלט לאנשים בתוך הארגון ומחוצה לו. ישנם גם שירותים שזמינים לציבור הרחב ומנטרים מתקפות DDoS, כמו downforeveryoneorjustme.com או downdetector.com

7 סיבות שבגללן הארגון שלכם צריך לדאוג ממתקפות DDoS

מתקפת DDoS שמכוונת לארגון עלולה לגרום לאובדן רווחים, שנובע מכך שאתר האינטרנט, השירותים או מערכות החברה אינם מגיבים. טיפול בתקרית עשוי לגרור עלויות נוספות שיצאו כחלק מתקציב האבטחה.
על פי נתוניהם של מספר ספקים מהימנים שמנטרים את תחום מתקפות ה-DDoS, מספר התקריות גדל באופן מהיר במהלך שלוש השנים האחרונות.
מתקפות DDoS הפכו לחזקות יותר, וחלקן אף חזקות מספיק כדי לשבש את פעולתם של שירותים גלובליים. אם בשנת 2020 המתקפות הגדולות ביותר (על שכבת הרשת) עקפו את גבול ה-1 טרה ביט לשנייה, ב-2021 מספר מתקפות משמעותיות הגיעו לתחום של 2-3 טרה ביט לשנייה. אם נתייחס לכמות הבקשות לשנייה (RPS), לפחות שתי מתקפות DDoS משנת 2021 (שדווחו ע"י Cloudflare ו-Yandex) עברו את טווח ה-15 מיליון בקשות לשנייה.

מה הארגון שלכם יכול לעשות כדי להגן על עצמו מפני מתקפות DDoS?

ארגונים שלא מחזיקים במשאבים המתאימים לטיפול במתקפות DDoS, כמו חומרה מתאימה או רוחב פס גדול מספיק, יתקשו לטפל במתקפות כאלה. עם זאת, ישנם מספר דברים שגם חברות קטנות ובינוניות יכולות לעשות כדי לשפר את ההגנה שלהן:

נטרו את תעבורת הרשת ולימדו כיצד לזהות אנומליות בתעבורת האינטרנט. כך תוכלו לזהות בקשות כוזבות או מזויפות שמציפות את המערכות וחוסמות אותן.
הכינו תוכנית להתאוששות מאסון למקרה שמתקפת DDoS פוגעת באתר האינטרנט או במערכות שלכם. תוכנית כזאת תכלול שרתי גיבוי, אתר גיבוי ודרכי תקשורת אלטרנטיביות.
שקלו מעבר לענן. מעבר כזה לא יסכל את האיום לחלוטין, אך הוא עשוי לסייע בטיפול במתקפה קיימת הודות לרוחב הפס הגדול יותר והעמידות של תשתיות ענן.
אם כבר הותקפתם במתקפת DDoS, או שאתם נמצאים בסכנה למתקפת DDoS, שקלו שימוש בשירותים להגנה מפני מתקפות DoS או DDoS, שיכולים לסייע לכם לצמצם את ההשלכות של מתקפה.
אל תאפשרו למכשירים שלכם להפוך לחלק מרשת בוטנט שיכולה לסייע למתקפת DDoS. ודאו שאתם עוקבים אחר החוקים של היגיינת סייבר טובה, מעדכנים את כל התוכנות והמחשבים ומגנים עליהם באמצעות פתרון אבטחה רב-שכבתי

מנעו מתקפות DDoS עוד היום

ESET PROTECT
Advanced

קבלו הגנה אפקטיבית שכוללת יכולות לצמצום הסיכונים הקשורים למתקפות DDoS. פתרונות האבטחה הרב-שכבתיים לתחנות הקצה של ESET משתמשים בטכנולוגיה מתקדמת להגנה מפני מתקפות רשת, הכוללת סינון מתקדם ובחינת פאקטות למניעת הפרעות.

למידע נוסף