Зачем злоумышленники совершают DDoS-атаки?
Существует несколько мотивов. Для киберпреступников это, как правило, зарабатывание денег на продаже DDoS-атак как услуги, шантажирование потенциальных жертв, чтобы они оплатили выкуп, хактивизм или способ недобросовестной борьбы с конкурентами.
Во время более сложных операций злоумышленники часто используют DDoS-атаки как один из инструментов для отвлечения от других более серьезных видов деятельности, например, кибершпионажа и киберсаботажа.
Как происходят DDoS-атаки?
Злоумышленники, запускающие DDoS-атаки, используют сети распределенных скомпрометированных устройств, чтобы нарушить работу системы, нацеливаясь на один или несколько компонентов, необходимых для установления соединения с сетевым ресурсом.
Наиболее распространенные типы DDoS-атак:
Объемные атаки являются одним из старейших типов DDoS-атак. Они используют большие объемы трафика, чтобы заполнить пропускную способность жертвы или пропускную способность между сетью и Интернетом. Сегодня самые большие объемные атаки измеряются в терабитах в секунду (тбит/с), что эквивалентно примерно 9000 средних подключений к Интернету. Например, во время флуд-атаки по протоколу UDP (User Datagram Protocol) злоумышленники перегружают целевой удаленный сервер, посылая запросы программе, прослушивающей определенный порт. Из-за того, что сервер проверяет и отвечает на каждый запрос, его пропускная способность быстро заканчивается и он становится недоступным.
Атаки прикладного уровня (7 уровень модели OSI) осуществляются на общедоступные программы с помощью большого объема поддельного или фиктивного трафика. Примером является HTTP-флуд, заполняющий определенный веб-сервер легитимными запросами HTTP GET и HTTP POST. Несмотря на то, что сервер может обладать достаточной пропускной способностью, он вынужден обрабатывать большое количество фиктивных запросов, поэтому его возможности обработки иссякают. Атаки прикладного уровня измеряются десятками миллионов запросов в секунду (RPS).
Во время атак на уровне протокола злоумышленники используют уязвимости сетевых протоколов, таких как TCP, UDP, ICMP (3 и 4 уровня OSI), чтобы исчерпать ресурсы системы жертвы. Одним из примеров является SYN-флуд, который посылает большое количество запросов на сервер жертвы, но оставляет ответы на эти запросы без дальнейших действий, поэтому так называемое «трехстороннее рукопожатие» (Three-way Handshake) остается неполным. Когда количество незавершенных соединений исчерпывает мощность сервера, он становится недоступным. Атаки на уровне протокола используют специально созданные пакеты для достижения своих вредоносных целей и измеряются в пакетах в секунду (PPS). Во время самых больших зафиксированных атак такого типа количество пакетов достигало сотен миллионов.
В чем разница между атаками на отказ в обслуживании (DoS)
и распределенными атаками на отказ в обслуживании (DDoS)
Как видно из названия, основная разница заключается в количестве атакующих машин. В случае DoS-атак используется скрипт или инструмент, запускаемый с одного устройства и нацеленный на один конкретный сервер или рабочую станцию. В то время как DDoS-атаки осуществляются большой сетью скомпрометированных устройств, также известной как ботнет, которую можно использовать для перегрузки отдельных устройств, программ, веб-сайтов, служб или даже целых сетей жертв.
Как распознать DDoS-атаку на компанию?
Наиболее очевидным признаком является низкая производительность или отсутствие доступа системы или сервиса. Например, веб-сайт может долго загружаться или быть недоступным. Существуют также специальные сервисы для мониторинга DDoS-атак, включая downforeveryoneorjustme.com или downdetector.com.
Подробнее
Кроме этого, такая кибератака может быть идентифицирована мониторингом и анализом сетевого трафика, которые помогают выявить поддельные или нежелательные запросы, перегружающие одну или несколько систем компании. На возможную или уже продолжающуюся DDoS-атаку также могут указывать сообщения от злоумышленников, в которых они требуют выкуп за исключение организации из списка будущих целей или за прекращение текущей атаки.
7 причин, почему стоит позаботиться о защите от DDoS-атак
- В результате атаки организация может потерять часть дохода из-за того, что ее веб-сайт, сервис или система не реагируют на запросы пользователей. Кроме того, устранение последствий инцидента также требует дополнительных затрат.
- По данным нескольких известных организаций, занимающихся отслеживанием DDoS-атак, за последние три года количество инцидентов стремительно возросло.
- С каждым годом DDoS-атаки становятся более мощными. В частности, в 2020 году самые большие атаки (на сетевом уровне) превышали показатель 1 Тбит/с, в 2021 году во время нескольких самых масштабных инцидентов было зафиксировано 2-3 Тбит/с. Кроме того, во время по меньшей мере двух DDoS-атак в 2021 году фиксировалось 15 миллионов запросов в секунду (RPS).
Другие причины совершения атак
4. Организациям не всегда нужно быть непосредственными целями DDoS-атак, чтобы ощутить их влияние. В частности, если злоумышленники нарушают работу важных элементов Интернет-инфраструктуры, например местных или региональных провайдеров. В 2016 году в результате атаки на провайдера DNS Dyn стали недоступны популярные онлайн-сервисы Twitter, Reddit, Netflix и Spotify.
5. Киберпреступники часто шантажируют организации тем, что используют ботнеты для DDoS-атаки на них, если жертвы не заплатят выкуп. Для этого злоумышленники не обязательно могут иметь доступ к сетям целей.
6. Начиная с 2020 года также были зафиксированы случаи, когда известные группы киберпреступников, распространяющих программы-вымогатели, использовали DDoS-атаки для дополнительного шантажа жертв.
7. В даркнете существуют услуги по найму злоумышленников, занимающихся DDoS-атаками.
Как защититься компаниям?
Организациям, имеющим ограниченные ресурсы, например недостаточную пропускную способность или отсутствие дополнительного оборудования, может быть сложно препятствовать DDoS-атакам. Однако существуют меры безопасности, позволяющие даже малым и средним компаниям повысить уровень защиты:
- Отслеживайте сетевой трафик и научитесь обнаруживать аномалии в Интернет-трафике. Таким образом, вы сможете выявить и своевременно заблокировать фиктивные запросы.
- Создайте план аварийного восстановления на случай DDoS-атаки на веб-сайт или систему. Например, подготовьте резервные серверы, веб-сайт и альтернативные каналы связи.
- Проанализируйте возможность миграции в облако. Этот шаг не устранит угрозу, однако поможет снизить вероятность атак благодаря более высокой пропускной способности и устойчивости облачной инфраструктуры.
- Если ваша организация уже стала жертвой DDoS-атаки или находится в группе риска, подумайте об использовании сервисов защиты от DoS и DDoS, которые могут помочь снизить негативные последствия атаки.
- Не дайте корпоративным устройствам стать частью ботнет-сети, которая может способствовать DDoS-атаке. Убедитесь, что работники соблюдают правила кибергигиены, своевременно обновляйте все устройства и программное обеспечение, а также обеспечьте надежную защиту устройств благодаря многоуровневым решениям по безопасности.
Обеспечьте мощную корпоративную защиту
Получите эффективное решение для защиты, которое поможет минимизировать риски, связанные с DDoS-атаками. Многоуровневое решение ESET для защиты рабочих станций использует сложную технологию защиты от атак на сетевом уровне с расширенными возможностями фильтрации и проверкой пакетов для предотвращения инцидентов.