Útoky DDoS

Čo motivuje útok DDoS?

Existuje niekoľko dôvodov, pre ktoré dochádza k útokom DDoS. Kybernetickí zločinci zvyčajne vidia motiváciu v zárobku z predaja útokov DDoS, ktoré ponúkajú ako službu, ale aj vo vydieraní potenciálnych cieľov so zámerom vymáhať výkupné, v hacktivizme či získaní konkurenčnej výhody.

Je známe, že sofistikované zločinecké skupiny používajú útoky DDoS väčšinou ako súčasť iných, závažnejších aktivít, ako sú kybernetická špionáž a kybernetická sabotáž, alebo ako prostriedok na odvrátenie pozornosti od nich.

Ako útoky DDoS fungujú?

Páchatelia útokov DDoS využívajú siete distribuovaných a kompromitovaných zariadení s cieľom narušiť fungovanie vybraných systémov tým, že útočné aktivity zamerajú na jeden alebo viacero komponentov potrebných na nadviazanie spojenia (pozri model OSI) so zdrojom siete.

Volumetrické útoky sú jedným z najstarších typov útokov DDoS. Využívajú veľké prenosové objemy na zaplnenie kapacity šírky pásma medzi sieťou obete a internetom, prípadne v rámci samotnej siete obete. Najväčšie volumetrické útoky sa (v súčasnosti) merajú v terabajtoch za sekundu (Tb/s), čo zodpovedá zhruba 9 000 priemerným internetovým pripojeniam. Napríklad počas útoku nazývaného UDP flood (prostredníctvom používateľského datagramového protokolu) útočníci preťažia cieľový vzdialený server vyžiadaním informácií od aplikácie počúvajúcej na konkrétnom porte. Server skontroluje a/alebo zareaguje na každú takúto požiadavku, čím vyčerpá kapacitu šírky pásma a stane sa nedostupným.

Protokolové útoky. Ako už napovedá samotný názov, protokolové útoky zneužívajú dizajn základného komunikačného protokolu (3. a 4. vrstvu modelu OSI) na vyčerpanie zdrojov cieľového systému. Jedným z príkladov protokolového útoku je záplava SYN (SYN flood), ktorá cieľový server zahltí veľkým množstvom špecifických požiadaviek, avšak odpovede na tieto požiadavky ďalej nie sú spracované a nedôjde tak k dokončeniu tzv. trojcestnej výmeny (three way handshake). Keď počet nedokončených spojení vyčerpá kapacitu servera, legitímne spojenia už nie sú možné. Protokolové útoky využívajú na dosiahnutie svojich škodlivých cieľov špeciálne vytvorené pakety a merajú sa preto v paketoch za sekundu (PPS). Najrozsiahlejšie zaznamenané útoky sa vyšplhali na stovky miliónov paketov.

Útoky na aplikačnej vrstve (7. vrstve modelu OSI) sú cielené na verejne dostupné aplikácie prostredníctvom veľkého množstva podvrhnutých alebo falošných požiadaviek. Príkladom tohto typu útoku je záplava HTTP (HTTP flood), ktorá zahltí konkrétny webový server zasielaním inak legitímnych požiadaviek HTTP GET a HTTP POST. Hoci má server dostatočnú šírku pásma, je nútený spracovávať veľké množstvo falošných požiadaviek namiesto tých legitímnych, čím sa vyčerpá jeho kapacita spracúvania. Útoky na aplikačnej vrstve sa merajú v desiatkach miliónov požiadaviek za sekundu (RPS).

Ďalšie dôvody

4. Firmy ani nemusia byť primárnym cieľom, aby pocítili negatívny vplyv útoku DDoS, najmä ak dôjde k narušeniu dôležitých článkov internetovej infraštruktúry, ako sú miestni či regionálni poskytovatelia internetových služieb. V roku 2016 útočníci svojimi požiadavkami zaplavili servery popredného poskytovateľa DNS s názvom Dyn. V dôsledku tohto útoku zostali nedostupné aj iné známe online služby, ako napríklad Twitter, Reddit, Netflix či Spotify.

5. Niektorí kybernetickí útočníci sa vyhrážajú, že ak nedostanú zaplatené, použijú proti danej firme na útok DDoS svoje botnety. Ide o tzv. ransomvérové útoky DDoS, pri ktorých útočník požaduje výkupné, ale nepotrebuje získať prístup k sieťam svojich cieľov.

6. Od roku 2020 sa útoky DDoS na webové stránky obetí pridali ku krádeži a šifrovaniu údajov a stali sa tak súčasťou schémy trojitého vydierania, ktorú využívajú významné ransomvérové gangy.

7. Na dark webe je možné si za útoky DDoS zaplatiť. Môžu ich tak zorganizovať aj neskúsení útočníci, ktorí majú peniaze a motiváciu a chcú napríklad získať výhodu nad konkurenciou.

Odmietnutie služby (DoS) verzus Distribuované odmietnutie služby (DDoS)

Ako už názov napovedá, rozdiel medzi týmito typmi útokov je najmä v počte útočiacich zariadení. Útok DoS zvyčajne využíva skript alebo nástroj, vzniká na jednom zariadení a zameriava sa na jeden konkrétny server alebo koncový bod. V porovnaní s ním sú útoky DDoS vykonávané prostredníctvom veľkej siete kompromitovaných zariadení riadených útočníkom a známych aj ako botnet, pričom môžu byť použité na preťaženie vybraných zariadení, aplikácií, webových stránok, služieb alebo dokonca celých sietí obetí.

Ako zistíte, či sa vaša firma stala obeťou útoku DDoS?

Najočividnejším znakom útoku DDoS je slabý výkon alebo nedostupnosť cieľového systému či služby. V prípade webovej stránky si používatelia môžu všimnúť, že jej načítavanie trvá príliš dlho alebo je úplne nedostupná pre ľudí vo firme aj mimo nej. Existujú tiež verejne dostupné služby monitorujúce útoky DDoS, ako je downforeveryoneorjustme.com alebo downdetector.com.

Sedem dôvodov, prečo by vaša firma mala útokom DDoS venovať pozornosť

Firma, ktorá je vystavená útoku DDoS, vždy príde o príjmy, pretože jej webové stránky, služby alebo systémy prestanú reagovať. Zmierňovanie následkov incidentu tiež dodatočne zaťažuje rozpočet na IT.
Podľa niekoľkých etablovaných dodávateľov, ktorí monitorujú scénu útokov DDoS, počet incidentov za posledné tri roky rýchlo vzrástol.
Útoky DDoS sú tiež čoraz účinnejšie a niektoré dokonca dokážu narušiť fungovanie globálnych služieb. Zatiaľ čo v roku 2020 najväčšie útoky (na sieťovej vrstve) prekročili hranicu 1 Tb/s, v roku 2021 sa už niekoľko významných incidentov dostalo do rozpätia 2 – 3 Tb/s. Pokiaľ ide o počet požiadaviek za sekundu (RPS), najmenej dva útoky DDoS v roku 2021 (nahlásené spoločnosťou Cloudflare a Yandex) prekročili hranicu 15 a viac miliónov RPS.

Ako môžete ochrániť svoju firmu pred útokmi DDoS?

Pre organizácie, ktoré nemajú správne zdroje, napríklad hardvér alebo dostatočnú šírku pásma, môže byť ťažké zmierniť útoky DDoS. Existujú však kroky, ktoré pre zvýšenie svojej ochrany môžu podniknúť aj malé a stredné firmy:

Monitorujte svoju sieťovú komunikáciu a naučte sa v nej rozpoznávať nezvyčajné správanie. Dokážete tak identifikovať a blokovať falošné požiadavky, ktoré zaplavujú vaše systémy.
Nezabudnite na plán obnovy pre prípad, že sa vaše webové stránky alebo systémy stanú obeťou útokov DDoS. Môže ísť o záložné servery, webové stránky alebo alternatívne komunikačné kanály.
Zvážte presun do cloudu. Tento krok nedokáže hrozbu úplne eliminovať, ale aspoň zmierni následky útokov vďaka väčšej kapacite dátového prenosu a odolnosti cloudovej infraštruktúry.
Ak už ste sa stali obeťou útoku DDoS alebo existuje riziko, že k tomu dôjde, zvážte používanie služieb určených na ochranu pred útokmi DoS a DDoS, ktoré vám pomôžu zmierniť ich následky.
Nedovoľte, aby sa vaše zariadenia stali súčasťou botnetu, v ktorom by sa podieľali na spúšťaní nových útokov DDoS. Uistite sa, že dodržujete potrebné bezpečnostné opatrenia, pravidelne aktualizujte všetky zariadenia spolu so softvérom a chráňte ich inštaláciou viacvrstvového bezpečnostného riešenia.

Predchádzajte útokom DDoS

ESET PROTECT
Advanced

Získajte účinnú ochranu schopnú zmierniť riziká spojené s útokmi DDoS. Všetky viacvrstvové bezpečnostné riešenia ESET pre koncové zariadenia využívajú sofistikovanú technológiu na ochranu pred sieťovými útokmi s funkciami pokročilého filtrovania a kontroly paketov, vďaka ktorým možno predchádzať narušeniam prevádzky.

ZISTIŤ VIAC