Czym jest rozproszony atak typu "odmowa usługi" (DDoS) i jakie stanowi zagrożenie dla serwera?

Pojawia się coraz więcej doniesień o działaniach hakerów i próbach włamań do oprogramowania. Ataki DDoS często pojawiają się w tych raportach. Niestety, często wspomina się o nich bez wyjaśnienia, czym są ataki DDoS i w jaki sposób mogą zaszkodzić serwerom.

W tym artykule omówimy, czym dokładnie są ataki DDoS i dlaczego do tej pory były one głównym problemem dla specjalistów ds. bezpieczeństwa w Internecie. Ponadto dowiesz się, jak działają ataki DDoS i jak je powstrzymać.

Czym jest atak DDoS?

Termin atak DDoS pochodzi od skrótu "Distributed Denial of Service", co oznacza rozproszony atak odmowy usługi. Celem ataku DDoS jest zakłócenie normalnego działania serwera, usługi lub sieci lokalnej. Głównym celem takiego ataku jest doprowadzenie do awarii usługi lub utrudnienie zwykłym użytkownikom dostępu do usługi. Aby wykonać to zadanie, generowany jest zalew ruchu internetowego, który jest zbyt duży dla zwykłego systemu komputerowego.

Ruch związany z atakami jest generowany przez wiele komputerów, sieci lokalnych i urządzeń IoT. Złośliwe działania osoby lub grupy generują wiele żądań do atakowanego systemu, umożliwiając atakującym uzyskanie nieautoryzowanego dostępu do cennych informacji. Może to być wrażliwa baza danych, kod programu lub wersja oprogramowania.

W codziennym życiu atak DDoS jest analogiczny do korka spowodowanego przez wiele pojazdów. W rezultacie zwykli kierowcy nie mogą dotrzeć do celu.

Jak przeprowadzany jest rozproszony atak typu "odmowa usługi"?

Tylko te systemy komputerowe, które mają połączenie z Internetem, mogą zostać poddane atakowi DDoS. Globalna sieć składa się z wielu komputerów i innych urządzeń, które mają połączenie z Internetem.

Istnieje wiele sposobów na wprowadzenie złośliwego oprogramowania (wirusa) do sieci komputerowej. Ataki DDoS osiągają skuteczność poprzez wykorzystanie wielu zainfekowanych systemów komputerowych jako źródeł ruchu atakującego. Wykorzystane maszyny są często określane w slangu jako "zombie", a ich grupy są odpowiednio nazywane botnetem.

Natychmiast po utworzeniu systemu botnet, haker ma możliwość zorganizowania ataku DDoS, który jest przeprowadzany w następujący sposób.

• Dla każdego bota opracowywana jest specjalna instrukcja, która jest do niego przesyłana za pośrednictwem sieci.
• Po jej otrzymaniu zarządzany komputer lub system zaczyna tworzyć i wysyłać żądania do adresów IP atakowanej sieci lokalnej lub serwera.
• Powoduje to spowolnienie przetwarzania ruchu, a przeciążony sprzęt zaczyna szwankować. W rezultacie cały ruch, w tym ruch pochodzący od zwykłych użytkowników, zostaje zablokowany.

Głównym problemem w przeciwdziałaniu rozproszonym atakom DDoS jest to, że niezwykle trudno jest odróżnić ruch atakujący od normalnego ruchu. Każdy z botów używanych przez hakerów jest legalnym urządzeniem internetowym i niezwykle trudno jest oddzielić złośliwe żądania od zwykłych.

Główne oznaki ataku DDoS na serwer

Nagłe spowolnienie serwera, brak dostępu do usługi lub oddzielnej strony może wskazywać na nielegalne działania hakerów. Jednocześnie trudności mogą wynikać z przyczyn naturalnych, takich jak na przykład gwałtowny wzrost normalnego ruchu.

Publicznie dostępne usługi analityczne pozwalają zidentyfikować atak DDoS na podstawie szeregu charakterystycznych cech:

• Znaczna ilość ruchu z jednego lub kilku adresów IP należących do tego samego zakresu.
• Duża liczba użytkowników, którzy otrzymują żądania dostępu do analizowanych stron internetowych, ma te same profile behawioralne (geolokalizacja, wersja przeglądarki lub typ urządzenia).
• Gwałtowny wzrost ruchu w określonych odstępach czasu, na przykład co dwie lub trzy godziny lub zgodnie z innym harmonogramem.
• Gwałtowny wzrost liczby żądań do jednej z usług internetowych lub stron internetowych.

Oprócz tego istnieją inne oznaki charakterystyczne dla niektórych rodzajów rozproszonych ataków DDoS. W takich przypadkach możliwości konwencjonalnych narzędzi analityki internetowej mogą okazać się niewystarczające, a do ich identyfikacji wymagane będzie specjalistyczne oprogramowanie.

Klasyfikacja ataków DDoS: najczęstsze rodzaje

Hakerzy używają różnych narzędzi do włamywania się na strony internetowe. Niektóre rodzaje ataków DDoS są wymierzone w konkretne komponenty zasobów internetowych, serwery lub komputery. Zrozumienie, jak działają ich algorytmy, wymaga zrozumienia, jak działa określone połączenie sieciowe.

Specjalne oprogramowanie zapewnia połączenie internetowe, które składa się z wielu komponentów określanych jako "warstwy". Każdy komponent został zaprojektowany do określonego celu i razem są w stanie stworzyć model. Takich jak wspieranie, podtrzymywanie i otaczanie konstrukcji w budowie.

Siedmiopoziomowy model OSI służy do opisu struktury połączeń sieciowych:

• Warstwa aplikacji Ten poziom jest używany przez klientów poczty e-mail, komunikatory i przeglądarki do bezpośredniego przetwarzania danych.
• Poziom widoków Celem przygotowania danych (kompresja, translacja i szyfrowanie) jest przygotowanie danych do użycia w aplikacjach.
• Poziom sesji Ustanawia kanał komunikacyjny między dwoma urządzeniami w sieci i zamyka go po zakończeniu czasu sesji.
• Poziom transportu Odpowiada za zarządzanie przepływem danych i kontrolę błędów między określonymi urządzeniami, a także zapewnienie kompleksowej komunikacji między określonymi urządzeniami.
• Warstwa sieciowa Ułatwia przesyłanie danych między urządzeniami należącymi do różnych sieci. Warstwa ta zapewnia optymalny routing, rozdzielanie informacji na pakiety z późniejszym montażem w punkcie docelowym.
• Poziom kanału transmisji danych Podobnie jak warstwa sieciowa, ułatwia wymianę danych między urządzeniami w sieci.
• Poziom fizyczny Obejmuje sprzęt używany do wymiany danych między urządzeniami (kable, przełączniki itp.). Na tym poziomie pakiety informacji są przekształcane w strumień bitów, a sygnały są dopasowywane.

Większość ataków DDoS ma na celu przeciążenie określonego serwera lub sieci. W zależności od liczby i charakteru wektorów ataku, działania te można podzielić na trzy kategorie:

• jedn;
• wielokrotne;
• cykliczne.

Te ostatnie są stosowane głównie w odpowiedzi na przeciwdziałania stosowane w celu ochrony zasobów internetowych.

Ataki DDoS przeprowadzane na poziomie aplikacji

W oparciu o powyższy model takie ataki nazywane są atakami DDoS siódmego poziomu. Ich celem jest przeciążenie strony i stworzenie warunków, w których obsługa normalnego ruchu staje się niemożliwa.

Ataki hakerskie tego typu są przeprowadzane na poziomie, na którym strona internetowa jest tworzona na serwerze. Ataki są przesyłane w odpowiedzi na żądania HTTP. Po stronie klienta takie żądania nie wymagają ogromnych zasobów do tworzenia i przetwarzania informacji. Jednocześnie serwer musi wykorzystywać znaczne zasoby obliczeniowe. W trakcie tego procesu wiele żądań bazy danych może być przetwarzanych na serwerze docelowym, a kilka plików może zostać pobranych w celu utworzenia żądanej strony internetowej.
Ochrona przed rozproszonymi atakami siódmego poziomu jest trudna ze względu na fakt, że nie jest łatwo odróżnić złośliwy ruch od normalnego ruchu.

HTTP flood

Atak tego typu symuluje wiele aktualizacji przeglądarki internetowej, które są wykonywane jednocześnie na wielu komputerach. To tak, jakby wielu użytkowników stale naciskało przycisk resetowania, co skutkuje dużą liczbą żądań HTTP. Z tego powodu serwer jest przeciążony, co powoduje awarie usługi. W zależności od poziomu złożoności ataku, ataki DDoS typu HTTP flood można sklasyfikować jako:

• Proste. W takim ataku DDoS skoordynowane działania z adresów IP z tego samego zakresu są wykorzystywane do zapewnienia nieautoryzowanego dostępu do tego samego adresu URL, które są realizowane przy użyciu tych samych agentów użytkownika i źródeł przejścia.
• Złożone. Aby zhakować kilka stron internetowych jednocześnie, atakujący używa zarówno adresów IP, pobranych z losowych źródeł ruchu, jak i agentów użytkownika.

Zarządzanie złożonymi atakami DDoS wymaga komputerów o odpowiedniej charakterystyce, a także oprogramowania wymagającego dużej ilości zasobów.

Atak na protokół

Specjaliści określają tego typu włamania jako ataki i wyczerpanie. Zużywając zbyt dużo zasobów serwera lub określonego sprzętu sieciowego, ataki protokołów mogą zakłócać pracę różnych usług. W takich przypadkach atakujący zazwyczaj atakują load balancery lub firewalle.

Aby uniemożliwić dostęp do docelowej strony internetowej, atak z użyciem protokołu wykorzystuje luki w warstwie 3 i 4 (stos protokołów).

SYN-flood

Podczas takiego ataku z botów wysyłanych jest wiele pakietów TCP z fałszywymi adresami IP. Wspomniane pakiety SYN są przeznaczone do inicjowania połączeń sieciowych. Maszyna docelowa odpowiada na te żądania i czeka na ich potwierdzenie, którego nie otrzymuje. W związku z tym zasoby atakowanej strony internetowej zostają wyczerpane i przestaje ona odpowiadać na przychodzące żądania.

SYN-flood można porównać do pracy dużego sklepu, w którym pracownicy działu zaopatrzenia otrzymują instrukcje z działu handlowego dotyczące dostawy określonego produktu. Udają się do magazynu, znajdują to, czego potrzebują, ale bez otrzymania potwierdzenia zamówienia nie rozumieją, co robić dalej. W rezultacie przestają pracować do czasu wyjaśnienia okoliczności.

Ataki DDoS typu masowego

Działania hakerów w tych przypadkach mają na celu stworzenie takiego obciążenia, aby wykorzystana została cała dostępna przepustowość połączenia internetowego. Podczas przeprowadzania ataków DDoS na dużą skalę, duże pakiety danych są wysyłane do zasobu docelowego przy użyciu różnych środków generowania dużego ruchu lub innych środków wzmocnienia. Podczas ataku wykorzystywane są zarówno pojedyncze boty, jak i całe botnety, z których generowanych jest wiele żądań do docelowej strony internetowej lub pojedynczego serwera.

Wzmacnianie DNS

Podczas ataku hakerskiego żądania są wysyłane do publicznych serwerów DNS zawierających adres IP urządzenia docelowego. Odpowiada ono pakietem rzekomo zawierającym duże dane. W rezultacie generowanych jest wiele takich fałszywych żądań, powodując przeciążenie celu i odmowę usługi.

Przykładem amplifikacji DNS jest sytuacja, w której osoba dzwoni do restauracji lub supermarketu i prosi o dostawę jedzenia lub towarów i prosi o oddzwonienie. W międzyczasie otrzymuje numer telefonu sąsiada. Duża liczba użytkowników wykonuje takie połączenia do celu, co ostatecznie przeciąża usługę dostawy.

Metody zapobiegania atakom DDoS

Aby zapewnić ochronę przed atakami hakerów, konieczne jest rozróżnienie między atakującym a normalnym ruchem. W kampaniach reklamowych nowych produktów wielu użytkowników może odwiedzać stronę dewelopera. Może to spowodować awaryjne wyłączenie ruchu i błędy. Jeśli ten zasób internetowy ma gwałtowny wzrost ruchu ze strony znanych grup hakerów, konieczne jest podjęcie środków w celu zmniejszenia wpływu rozproszonego ataku DDoS.

Próby ataków hakerskich mogą przybierać różne formy, od najprostszych z pojedynczym źródłem podejrzanego ruchu do bardziej złożonych z efektami wielowektorowymi. W tym ostatnim przypadku kilka różnych rodzajów ataków DDoS jest wykorzystywanych jednocześnie, aby zmusić stronę broniącą się do rozproszenia swoich sił i funduszy.

Przykładem takiego wielowektorowego oddziaływania jest jednoczesny atak DDoS, który występuje na kilku poziomach. Taki efekt osiąga się poprzez wzmocnienie DNS w połączeniu z dużą liczbą żądań HTTP. Aby zapobiec takim atakom, należy stosować kilka strategii przeciwdziałania jednocześnie.

Gdy atakujący używają rozproszonych ataków typu denial-of-service z kombinacją różnych metod ataku, złożoność przeciwdziałania im znacznie wzrasta.

Hakerzy mają tendencję do mieszania ruchu atakującego z normalnym ruchem w jak największym stopniu, aby zmniejszyć skuteczność środków ochronnych do wskaźników bliskich zeru.

Próby prostego wyłączenia lub ograniczenia ruchu bez filtrowania rzadko przynoszą pozytywne rezultaty. Jednocześnie atak DDoS dostosowuje się i szuka sposobów na ominięcie podjętych działań zaradczych. W takich przypadkach najlepszym rozwiązaniem jest zastosowanie wielopoziomowej strategii ochrony.

Routing przez czarną dziurę

Jedną z najbardziej dostępnych metod ochrony przed DDoS dla administratorów sieci jest stworzenie "czarnej dziury" dla podejrzanego ruchu. W swojej najprostszej formie, Blackhole routing zapewnia przekierowanie wszystkich żądań bez dzielenia ich na normalne i złośliwe na trasę zerową, a następnie usunięcie tych żądań z sieci. W przypadku wykrycia ataku DDoS na określoną witrynę, dostawca ma możliwość anulowania całego ruchu jako środka ochronnego. To rozwiązanie nie jest najlepsze, ponieważ atakujący osiąga swój cel i sprawia, że wszystkie zasoby stają się niedostępne.

Ograniczanie prędkości ataku DDoS

Każdy serwer może odbierać i przetwarzać określoną liczbę żądań przez określony czas. Ograniczenie prędkości ataku DDoS pozwala znacznie zmniejszyć jego skuteczność. Jednocześnie należy rozumieć, że metoda ta zapewnia znaczne spowolnienie kradzieży treści i kodu programu przez parsery sieciowe oraz blokuje próby logowania przy użyciu brutalnej siły. Nie jest ona jednak wystarczająco skuteczna przeciwko złożonym połączonym atakom typu denial-of-service.

Cechy korzystania z zapór aplikacji internetowych

Metoda ta zmniejsza szkodliwe konsekwencje ataków DDoS poprzez redystrybucję ruchu w sieci serwerów.

Jeśli ten sam serwer otrzyma wiele żądań w tym samym czasie, zostanie przeciążony ruchem i nie będzie w stanie skutecznie odpowiadać na dodatkowe przychodzące żądania. W sieci Anycast, zamiast pojedynczego serwera źródłowego przejmującego ciężar ruchu, obciążenie zostanie rozłożone na inne dostępne centra danych, z których każde ma serwery zdolne do przetwarzania i odpowiadania na przychodzące żądania. Ta metoda routingu może zapobiec rozszerzeniu pojemności serwera źródłowego i uniknąć przerywania usług klientów żądających od niego treści.

Najlepszą analogią metody dystrybucji Anycast w sieci jest rozdzielenie przepływu dużej rzeki o silnym nurcie wzdłuż oddzielnych gałęzi. W wyniku redystrybucji ruchu pochodzącego z ataku DDoS, jego niszczycielska zdolność zostaje zredukowana do minimum i staje się w pełni zarządzalna.