Ataki DDoS | ESET

Co motywuje ataki DDoS?

Istnieje kilka motywacji dla przeprowadzenia ataku DDoS. Dla cyberprzestępców mogą to być zarobki poprzez sprzedaż ataków DDoS jako usługi, szantaż potencjalnych celów w celu wymuszenia okupu, haktywiści oraz zdobywanie przewagi konkurencyjnej.

Wyrafinowane grupy zagrożeń wykorzystują ataki DDoS głównie jako część lub odwrócenie uwagi od innych, poważniejszych działań, takich jak cyberszpiegostwo i cybersabotaż.

Jak działają ataki DDoS?

Sprawcy ataków DDoS wykorzystują sieci rozproszonych, zainfekowanych urządzeń do zakłócania systemów, celując w jeden lub więcej komponentów niezbędnych do nawiązania połączenia (zobacz model OSI) z zasobem sieciowym.

Ataki objętościowe to jeden z najstarszych typów ataków DDoS. Wykorzystują dużą ilość ruchu do zapełnienia pojemności pasma między siecią ofiary a Internetem lub pojemności w samej sieci ofiary. Największe ataki objętościowe są mierzone w Terabitach na sekundę (Tbit/s), co odpowiada około 9000 przeciętnych połączeń internetowych. Na przykład, podczas ataku typu UDP Flood, sprawcy przytłaczają docelowy zdalny serwer, żądając informacji od aplikacji nasłuchującej na określonym porcie. Serwer sprawdza i/lub odpowiada na każde takie żądanie, ostatecznie wyczerpując pasmo i stając się niedostępny.

Ataki protokołowe. Ataki protokołowe niewłaściwie wykorzystują projekt podstawowego protokołu komunikacyjnego (warstwy modelu OSI 3 i 4) w celu wyczerpania zasobów docelowego systemu. Jednym z przykładów ataku na protokół jest SYN Flood, który wysyła dużą liczbę określonych żądań do docelowego serwera, a jednocześnie pozostawia odpowiedzi na te żądania bez dalszych działań, przez co „trójstronne uzgadnianie” jest niekompletne. Gdy liczba niedokończonych połączeń wyczerpuje pojemność serwera, staje się on nieosiągalny dla legalnych połączeń. Ataki oparte na protokołach wykorzystują specjalnie spreparowane pakiety do osiągnięcia swoich złośliwych celów i dlatego są mierzone w pakietach na sekundę (PPS). Największe odnotowane ataki osiągnęły setki milionów.

Ataki na poziomie aplikacji (warstwa 7 modelu OSI) celują w publicznie dostępne aplikacje za pomocą dużej liczby podrabianego lub fałszywego ruchu. Przykładem ataku na poziomie aplikacji jest flood HTTP, który zalewa konkretny serwer internetowy prawidłowymi żądaniami HTTP GET i HTTP POST. Mimo że serwer może mieć wystarczającą przepustowość, jest zmuszony do przetwarzania dużej liczby fałszywych żądań zamiast prawidłowych, przez co wyczerpuje pojemność przetwarzania. Ataki na poziomie aplikacji są mierzone w dziesiątkach milionów żądań na sekundę (RPS).

Więcej powodów

4. Organizacje nie muszą być głównym celem, aby odczuć wpływ ataku DDoS, szczególnie jeśli zakłóca on kluczowe części infrastruktury internetowej, takie jak lokalni lub regionalni ISP. W 2016 roku przestępcy zalały serwery głównego dostawcy DNS Dyn. Inne ważne usługi online stały się niedostępne z powodu tego ataku DDoS, w tym Twitter, Reddit, Netflix i Spotify.

5. Niektórzy cyberprzestępcy grożą wykorzystaniem swoich botnetów do ataku DDoS na konkretną organizację, jeśli nie zostanie dokonana płatność. Te ataki nazywane są atakami DDoS wymuszającymi okup i nie wymagają od atakującego uzyskania dostępu do sieci ofiar.

6. Od 2020 r. ataki DDoS na strony internetowe ofiar stały się również częścią schematu „potrójnego wymuszenia” stosowanego przez znane gangi ransomware, dodając DDoS do kradzieży i szyfrowania danych celów.

7. Istnieją usługi DDoS na wynajem w dark webie, które pozwalają nawet niedoświadczonym aktorom, którzy mają pieniądze i motywację, taką jak zdobycie przewagi nad konkurencją, zorganizować atak DDoS.

Denial of Service (DoS) vs Distributed Denial of Service (DDoS)

Różnica polega głównie na liczbie atakujących maszyn. W przypadku DoS atak zwykle wykorzystuje skrypt lub narzędzie, pochodzi z jednego urządzenia i celuje w jeden konkretny serwer lub stację roboczą. W przeciwieństwie do tego, ataki DDoS są realizowane przez dużą sieć zainfekowanych urządzeń kontrolowanych przez atakujących, znaną również jako botnet i mogą być używane do przeciążania wybranych urządzeń, aplikacji, witryn internetowych, usług, a nawet całych sieci ofiar.

Jak rozpoznać czy Twoja organizacja jest celem ataku DDoS?

Najbardziej oczywistym sygnałem ataku DDoS jest słaba wydajność lub niedostępność docelowego systemu lub usługi. W przypadku witryny internetowej może to objawiać się długim czasem ładowania lub brakiem dostępu zarówno dla osób wewnętrznych, jak i zewnętrznych. Istnieją także publicznie dostępne usługi monitorujące ataki DDoS, takie jak downforeveryoneorjustme.com lub downdetector.com

7 powodów, dla których Twoja organizacja powinna dbać o ochronę przed atakami DDoS

Organizacja poddana atakowi DDoS zawsze straci przychody z powodu niedostępności swojej witryny, usług lub systemów. Łagodzenie incydentu dodatkowo obciąża budżet bezpieczeństwa.
Według kilku uznanych dostawców monitorujących scenę DDoS liczba incydentów szybko rośnie w ciągu ostatnich trzech lat.
Ataki DDoS stają się coraz potężniejsze; niektóre są na tyle silne, że mogą zakłócać globalne usługi. W 2020 roku największe (na poziomie sieci) ataki przekroczyły próg 1 Tbps, a w 2021 roku kilka znaczących incydentówjuż znajdowało się w obszarze 2-3 Tbps. Licząc żądania na sekundę (RPS), przynajmniej dwa ataki DDoS w 2021 roku (zgłoszone przez Cloudflare i Yandex) przekroczyły granicę 15+ milionów RPS.

Co może zrobić Twoja organizacja, aby chronić się przed atakami DDoS?

Ataki DDoS mogą być trudne do złagodzenia dla organizacji, które nie mają odpowiednich zasobów, takich jak sprzęt czy wystarczająca przepustowość. Jednak istnieją działania, które nawet małe i średnie firmy mogą podjąć, aby zwiększyć swoją ochronę:

Monitoruj ruch sieciowy i ucz się identyfikować anomalie w ruchu internetowym. W ten sposób możesz identyfikować fałszywe lub niechciane żądania, które zalewają Twoje systemy i blokować je.
Przygotuj plan odzyskiwania danych po awarii na wypadek ataku DDoS na Twoją witrynę lub systemy. Może to obejmować posiadanie serwerów zapasowych, witryny i alternatywnych kanałów komunikacji.
Rozważ przejście do chmury. To nie wyeliminuje zagrożenia, ale może pomóc w łagodzeniu ataków dzięki wyższej przepustowości i odporności infrastruktury chmurowej.
Jeśli już byłeś celem ataku DDoS lub jesteś w grupie ryzyka, rozważ skorzystanie z usług ochrony przed DoS i DDoS, które mogą pomóc w złagodzeniu wpływu ataku.
Nie pozwól, aby Twoje urządzenia stały się częścią botnetu, który może przyczynić się do ataku DDoS. Upewnij się, że przestrzegasz zasad dobrej higieny cybernetycznej, regularnie aktualizujesz wszystkie swoje urządzenia i ich oprogramowanie oraz chronisz je, instalując wielowarstwowe rozwiązanie zabezpieczające.

Zabezpiecz się przed atakami DDoS już teraz

ESET PROTECT
Advanced

Zyskaj skuteczną ochronę dzięki możliwościom łagodzenia ryzyka związanego z atakami DDoS. Rozwiązania zabezpieczające ESET oparte na wielowarstwowej ochronie stacji roboczych wykorzystują zaawansowaną technologię ochrony przed atakami sieciowymi z zaawansowanym filtrowaniem i inspekcją pakietów, aby zapobiegać zakłóceniom.

DOWIEDZ SIĘ WIĘCEJ