Atak DDoS (Distributed Denial of Service) to forma cyberataku, w której sprawcy dążą do zakłócenia działania lub zablokowania witryny internetowej, sieci lub innej usługi online poprzez przeciążenie jej dużą liczbą fałszywych lub niechcianych żądań.
Istnieje kilka motywacji dla przeprowadzenia ataku DDoS. Dla cyberprzestępców mogą to być zarobki poprzez sprzedaż ataków DDoS jako usługi, szantaż potencjalnych celów w celu wymuszenia okupu, haktywiści oraz zdobywanie przewagi konkurencyjnej.
Wyrafinowane grupy zagrożeń wykorzystują ataki DDoS głównie jako część lub odwrócenie uwagi od innych, poważniejszych działań, takich jak cyberszpiegostwo i cybersabotaż.
Sprawcy ataków DDoS wykorzystują sieci rozproszonych, zainfekowanych urządzeń do zakłócania systemów, celując w jeden lub więcej komponentów niezbędnych do nawiązania połączenia (zobacz model OSI) z zasobem sieciowym.
Ataki objętościowe to jeden z najstarszych typów ataków DDoS. Wykorzystują dużą ilość ruchu do zapełnienia pojemności pasma między siecią ofiary a Internetem lub pojemności w samej sieci ofiary. Największe ataki objętościowe są mierzone w Terabitach na sekundę (Tbit/s), co odpowiada około 9000 przeciętnych połączeń internetowych. Na przykład, podczas ataku typu UDP Flood, sprawcy przytłaczają docelowy zdalny serwer, żądając informacji od aplikacji nasłuchującej na określonym porcie. Serwer sprawdza i/lub odpowiada na każde takie żądanie, ostatecznie wyczerpując pasmo i stając się niedostępny.
Ataki protokołowe. Ataki protokołowe niewłaściwie wykorzystują projekt podstawowego protokołu komunikacyjnego (warstwy modelu OSI 3 i 4) w celu wyczerpania zasobów docelowego systemu. Jednym z przykładów ataku na protokół jest SYN Flood, który wysyła dużą liczbę określonych żądań do docelowego serwera, a jednocześnie pozostawia odpowiedzi na te żądania bez dalszych działań, przez co „trójstronne uzgadnianie” jest niekompletne. Gdy liczba niedokończonych połączeń wyczerpuje pojemność serwera, staje się on nieosiągalny dla legalnych połączeń. Ataki oparte na protokołach wykorzystują specjalnie spreparowane pakiety do osiągnięcia swoich złośliwych celów i dlatego są mierzone w pakietach na sekundę (PPS). Największe odnotowane ataki osiągnęły setki milionów.
Ataki na poziomie aplikacji (warstwa 7 modelu OSI) celują w publicznie dostępne aplikacje za pomocą dużej liczby podrabianego lub fałszywego ruchu. Przykładem ataku na poziomie aplikacji jest flood HTTP, który zalewa konkretny serwer internetowy prawidłowymi żądaniami HTTP GET i HTTP POST. Mimo że serwer może mieć wystarczającą przepustowość, jest zmuszony do przetwarzania dużej liczby fałszywych żądań zamiast prawidłowych, przez co wyczerpuje pojemność przetwarzania. Ataki na poziomie aplikacji są mierzone w dziesiątkach milionów żądań na sekundę (RPS).
4. Organizacje nie muszą być głównym celem, aby odczuć wpływ ataku DDoS, szczególnie jeśli zakłóca on kluczowe części infrastruktury internetowej, takie jak lokalni lub regionalni ISP. W 2016 roku przestępcy zalały serwery głównego dostawcy DNS Dyn. Inne ważne usługi online stały się niedostępne z powodu tego ataku DDoS, w tym Twitter, Reddit, Netflix i Spotify.
5. Niektórzy cyberprzestępcy grożą wykorzystaniem swoich botnetów do ataku DDoS na konkretną organizację, jeśli nie zostanie dokonana płatność. Te ataki nazywane są atakami DDoS wymuszającymi okup i nie wymagają od atakującego uzyskania dostępu do sieci ofiar.
6. Od 2020 r. ataki DDoS na strony internetowe ofiar stały się również częścią schematu „potrójnego wymuszenia” stosowanego przez znane gangi ransomware, dodając DDoS do kradzieży i szyfrowania danych celów.
7. Istnieją usługi DDoS na wynajem w dark webie, które pozwalają nawet niedoświadczonym aktorom, którzy mają pieniądze i motywację, taką jak zdobycie przewagi nad konkurencją, zorganizować atak DDoS.
Różnica polega głównie na liczbie atakujących maszyn. W przypadku DoS atak zwykle wykorzystuje skrypt lub narzędzie, pochodzi z jednego urządzenia i celuje w jeden konkretny serwer lub stację roboczą. W przeciwieństwie do tego, ataki DDoS są realizowane przez dużą sieć zainfekowanych urządzeń kontrolowanych przez atakujących, znaną również jako botnet i mogą być używane do przeciążania wybranych urządzeń, aplikacji, witryn internetowych, usług, a nawet całych sieci ofiar.
Najbardziej oczywistym sygnałem ataku DDoS jest słaba wydajność lub niedostępność docelowego systemu lub usługi. W przypadku witryny internetowej może to objawiać się długim czasem ładowania lub brakiem dostępu zarówno dla osób wewnętrznych, jak i zewnętrznych. Istnieją także publicznie dostępne usługi monitorujące ataki DDoS, takie jak downforeveryoneorjustme.com lub downdetector.com
Atak DDoS można również zidentyfikować poprzez monitorowanie i analizę ruchu sieciowego, który identyfikuje fałszywe lub niechciane żądania przeciążające jeden lub więcej systemów firmy. W niektórych przypadkach wiadomość szantażująca może również wskazywać na możliwy lub trwający atak DDoS, żądając okupu za usunięcie Twojej organizacji z listy przyszłych celów lub za zaprzestanie trwającego ataku.
4. Organizacje nie muszą być głównym celem, aby odczuć wpływ ataku DDoS, szczególnie jeśli zakłóca on kluczowe części infrastruktury internetowej, takie jak lokalni lub regionalni ISP. W 2016 roku przestępcy zalały serwery głównego dostawcy DNS Dyn. Inne ważne usługi online stały się niedostępne z powodu tego ataku DDoS, w tym Twitter, Reddit, Netflix i Spotify.
5. Niektórzy cyberprzestępcy grożą wykorzystaniem swoich botnetów do ataku DDoS na konkretną organizację, jeśli nie zostanie dokonana płatność. Te ataki nazywane są atakami DDoS wymuszającymi okup i nie wymagają od atakującego uzyskania dostępu do sieci ofiar.
6. Od 2020 r. ataki DDoS na strony internetowe ofiar stały się również częścią schematu „potrójnego wymuszenia” stosowanego przez znane gangi ransomware, dodając DDoS do kradzieży i szyfrowania danych celów.
7. DDoS na wynajem DDoS na wynajem w dark webie, które pozwalają nawet niedoświadczonym aktorom, którzy mają pieniądze i motywację, taką jak zdobycie przewagi nad konkurencją, zorganizować atak DDoS.
Ataki DDoS mogą być trudne do złagodzenia dla organizacji, które nie mają odpowiednich zasobów, takich jak sprzęt czy wystarczająca przepustowość. Jednak istnieją działania, które nawet małe i średnie firmy mogą podjąć, aby zwiększyć swoją ochronę:
Zyskaj skuteczną ochronę dzięki możliwościom łagodzenia ryzyka związanego z atakami DDoS. Rozwiązania zabezpieczające ESET oparte na wielowarstwowej ochronie stacji roboczych wykorzystują zaawansowaną technologię ochrony przed atakami sieciowymi z zaawansowanym filtrowaniem i inspekcją pakietów, aby zapobiegać zakłóceniom.
