Możesz chronić się przed kradzieżą tożsamości, chroniąc numer ubezpieczenia społecznego i inne poufne dokumenty, regularnie sprawdzając swoje raporty kredytowe, korzystając z narzędzia do monitorowania dark web i nie udo...
Atak DDoS (ang. Distributed Denial of Service) to próba zakłócenia zwykłego ruchu na serwerze będącym celem ataku. Polega on na przeciążeniu serwera, usługi lub sieci poprzez zalewanie ruchem internetowym, co ostatecznie spowalnia działanie serwera lub powoduje jego awarię. Przypomina to korek uliczny, w którym wszystkie samochody na drodze zwalniają lub się zatrzymują. Tak jak korki samochodowe, atak DDoS spowalnia lub zatrzymuje ruch internetowy, powodując powolne działanie strony internetowej lub aplikacji, a nawet ich całkowite zawieszenie.
Na czym polega atak DDoS?
Sieci mogą obsługiwać tylko określoną liczbę żądań, a serwery mają ograniczoną przepustowość. Oznacza to, że poziom jakości usług będzie spadał, gdy natężenie ruchu przekroczy limit przepustowości.
Zazwyczaj ostatecznym celem atakującego jest całkowite utrudnienie normalnego działania źródła internetowego. Ponadto atakujący może również zażądać zapłaty określonej kwoty w zamian za zakończenie ataku. Atak może być również próbą dyskredytacji firmy lub jej zaszkodzenia.
Ataki DDoS przeprowadzane są przy użyciu sieci urządzeń zwanych botami połączonych z Internetem. Sieci te składają się z komputerów i innych urządzeń, takich jak internet rzeczy (IoT), które są zainfekowane złośliwym oprogramowaniem. Wiele połączonych botów nazywa się botnetami, a po ich utworzeniu atakujący może je kontrolować poprzez zdalne wydawanie komend botom.
Gdy serwer lub sieć jest atakowana przez botnet, każdy bot wysyła zapytania na adres IP – co powoduje przeciążenie serwera lub sieci, co skutkuje atakiem DDoS na regularny ruch. Ponieważ każdy bot jest legalnym urządzeniem internetowym, odróżnienie ruchu będącego atakiem od zwykłego ruchu może być bardzo trudne.
Rodzaje ataków DDos
Chociaż większość ataków DDoS polega na zalaniu urządzenia lub sieci docelowych ruchem, istnieją trzy główne rodzaje ataków – w każdym typie występują również podtypy.
1. Ataki oparte na wolumenie (wolumetryczne)
Atak wolumetryczny to próba przekroczenia przepustowości sieci poprzez wysłanie dużego ruchu lub żądań do urządzenia docelowego. Ataki te mają na celu zalanie celu, aby spowolnić lub całkowicie zatrzymać jego usługi. Rozmiar żądania wynosi zazwyczaj setki gigabitów na sekundę (Gbps). Ostatnie ataki osiągnęły poziom ponad 1 terabajta na sekundę (Tbps).
Ataki wolumetryczne są powszechne ze względu na niższą barierę techniczną dla generowania nadmiernej liczby żądań. Przez większość czasu atakujący używają prostych taktyk wzmacniania. Stosowanie tego typu taktyki sprawia, że ruch pochodzi z różnych źródeł, takich jak adresy IP lub sieci, co sprawia, że jeszcze trudniejsze jest ręczne łagodzenie skutków ataków wolumetrycznych.
Wzmocnienie DNS
Wzmocnienie DNS jest jednym z podtypów ataku wolumetrycznego. Podczas tego typu ataku wolumetrycznego atakujący wykorzystują funkcjonalność otwartych serwerów DNS. Po wejściu atakujący zalewa serwer lub serwery docelowe nadmiernym natężeniem ruchu, co sprawia, że serwer i otaczająca go infrastruktura są niedostępne.
Atak z użyciem protokołu UDP
Atak wolumetryczny typu UDP jest kolejnym jego podtypem. Podczas tego typu ataku atakujący wysyła ogromną liczbę pakietów UDP (User Datagram Protocol) do atakowanego serwera, aby uniemożliwić urządzeniu przetwarzanie żądań i odpowiadanie na nie. Może to doprowadzić do wyczerpania limitu zapory firewallu, co skutkuje odmową dostępu do ruchu niebędącego elementem ataku.
2. Ataki protokołowe
Atak protokołowy polega na wykorzystaniu złośliwego żądania połączenia, które za pomocą interakcji protokołu wypróbowuje, zużywa i wyczerpuje pojemność różnych zasobów infrastruktury sieciowej, w tym serwerów i zapór.
SYN flood
SYN flood to jeden z podtypów ataku z wykorzystaniem protokołu, który ma na celu całkowite wyczerpanie zasobów serwera w celu uniemożliwienia obsługi ruchu niebędącego elementem ataku. Atakujący mogą zaatakować wszystkie otwarte porty na serwerze poprzez częste wysyłanie pakietów z żądaniem połączenia początkowego (SYN). W rezultacie atakowane urządzenie reaguje na legalny ruch powoli lub wcale na niego nie reaguje.
Atak ping of death
Inny podtyp ataku protokołu nosi nazwę „ping of death” (ping śmierci). Gdy dochodzi do tego typu ataku, atakujący wysyła duży pakiet złośliwych danych do atakowanego serwera przy użyciu prostego zapytania ping. Liczba wysyłanych na serwer danych przekracza znacznie jego możliwości, co powoduje awarię, destabilizację lub zawieszenie serwera.
3. Ataki na warstwie aplikacji
Celem tego typu ataku jest wyczerpanie zasobów atakowanego urządzenia i odmowa usługi (Denial-of-Service). Celem tych ataków jest ukierunkowanie na warstwę, na której tworzone są strony internetowe na serwerze. Koszt przetworzenia pojedynczego żądania HTTP jest niski po stronie klienta, ale koszt odpowiedzi po stronie serwera docelowego może być wysoki. Wynika to z faktu, że serwer często ładuje wiele plików i zapytań do bazy danych, aby wygenerować stronę internetową. Ataki na warstwie aplikacji stanowią wyzwanie, ponieważ trudno jest odróżnić złośliwy ruch od ruchu normalnego.
HTTP flood
Atak typu HTTP flood to podtyp ataku na warstwę aplikacji, którego celem jest przeciążenie serwera docelowego żądaniami HTTP. Odmowa usługi ma miejsce, gdy cel ataku otrzymuje wiele zapytań i nie jest już w stanie reagować na legalny ruch.
Ataki typu low-and-slow
Ataki typu low-and-slow, znane również jako ataki typu slow-rate, to kolejny podtyp ataków na warstwie aplikacji. Jest to atak podstępny, ponieważ wysyła pozornie legalny ruch z niezwykle wolną prędkością, co utrudnia odróżnienie ataku od zwykłego ruchu, co sprawia, że tego typu atak często pozostaje niewykryty przez długi czas.
Rozpoznanie ataku DDoS
Chociaż cyberprzestępcy poprzedzają atak DDoS ostrzeżeniem o nim, często zdarzają się one bez ostrzeżenia. Ponadto często mija wiele godzin, zanim personel bezpieczeństwa wykryje atak DDoS i podejmie walkę z jego skutkami. Może to spowodować wiele godzin powolnej usługi lub awarię strony internetowej lub aplikacji, co może znacząco wpłynąć na liczbę wyświetleń witryny i sprzedaż.
Oto niektóre znaki ostrzegawcze świadczące o tym, że może trwać atak DDoS.
- Analiza rejestru zdarzeń pokazuje skoki ruchu, ale nie jest możliwe określenie żadnych przyczyn ich powstawania.
- Otrzymujesz zgłoszenia od klientów o powolnym działaniu Twojej strony. Ponadto, jeśli używasz tego samego połączenia do sieci wewnętrznej, pracownicy również zaczną zauważać problemy związane z powolnym działaniem sieci.
- Serwer odpowiada błędem niedostępności 503 (503 Service Unavailable). Gdy zmniejsza się natężenie ruchu, błąd ten zwykle zanika. Po pewnym czasie, jeśli nadal będzie się utrzymywał, coś zaczyna się dziać.
- Niektóre adresy IP wielokrotnie wysyłają wiele zapytań w krótkim czasie.
- Użytkownicy wewnętrzni zgłaszają problemy z dostępem do plików lub całkowity jego brak.
- Twój system pocztowy jest przeciążony spamem.
Jak łagodzić negatywne skutki ataków DDoS?
Rozróżnienie pomiędzy złośliwym a zwykłym ruchem jest kluczowym problemem, jeśli chodzi o łagodzenie skutków ataku DDoS. Oto kilka sposobów radzenia sobie z atakami DDoS.
Tworzenie planu reagowania na ataki DDoS
Przygotowując się na atak DDoS przed jego wystąpieniem, będziesz dokładnie wiedzieć, co zrobić, jeśli nastąpi. W planie reagowania na ataki DDoS powinna znaleźć się lista kontrolna zawierająca wszystkie kroki, osoby do kontaktu oraz narzędzia, z których należy korzystać w przypadku ataku. Plan reagowania powinien również obejmować obowiązki każdej osoby w zespole. Przypisując obowiązki na wczesnym etapie, każdy członek zespołu wie, co zrobić w trakcie ataku DDoS. Gotowy plan reagowania może złagodzić negatywne konsekwencje ataku DDoS i zapobiec trwałym stratom dla organizacji.
Monitorowanie ruchu
Ataki DDoS zakłócają ruch na serwerze docelowym, przeciążając serwer, zalewając go ruchem internetowym. Poprzez ciągłe monitorowanie ruchu na serwerze lub w sieci za pomocą narzędzi monitorowania, można określić, kiedy ruch osiąga określony próg, ponieważ zostanie wysłane powiadomienie. Narzędzie to nie tylko pomaga wcześnie identyfikować ataki DDoS, ale także przeciwdziałać negatywnym skutkom.
Ograniczenie szybkości
Ponieważ ataki DDoS wykorzystują botnety do przeciążenia atakowanego serwera, ograniczenie szybkości jest przydatne, ponieważ ogranicza liczbę żądań, które użytkownik lub bot może wykonać, mierząc czas między każdym żądaniem z każdego adresu IP. Gdy jeden adres IP wysyła zbyt wiele żądań, narzędzie ograniczające szybkość blokuje je.