Na czym polega atak DDoS, jakie są rodzaje ataków DDoS, kto za nimi stoi i jak się bronić – wszystko, co powinieneś wiedzieć o jednej z najpoważniejszych broni w arsenale cyberprzestępców, haktywistów i nieuczciwych konkurentów.
Atak DDoS – Co to jest?
Atak DDoS (Distributed Denial of Service, z ang. rozproszona odmowa usługi) to rodzaj cyber ataku polegającego na wysyłaniu bardzo dużej liczby pakietów do serwera, aby go przeciążyć i uniemożliwić normalne działanie strony www czy aplikacji.
Założenie jest proste: zasoby sieciowe mają ograniczony limit żądań, które mogą obsłużyć w tym samym czasie. Gdy trwa atak DDoS, a tych żądań jest zbyt dużo, to serwer pada. Podobnie stanie się, jeżeli dojdzie do przekroczenia limitów przepustowości.
W przypadku ataku DDoS Twoja witryna lub aplikacja po prostu przestaje działać.
Jak zauważa serwis Zaufana Trzecia Strona, „specyfiką ataków DDoS jest duża asymetria między łatwością ataku a trudnością obrony. Skuteczne ataki prowadzić może każdy średnio utalentowany nastolatek, któremu uda się zbudować przeciętny botnet, z kolei obrona przed takim atakiem może wymagać sporych nakładów oraz umiejętności”.
Ataki DDoS znane są od prawie 30 lat, a teraz przeżywają drugą młodość. Według danych Microsoft, platforma Azure naliczyła ok. 360 tys. takich ataków w drugiej połowie 2021 roku – to o 43 proc. więcej niż w pierwszych sześciu miesiącach.
Agresorzy atakują wszelkiego rodzaju firmy, które świadczą usługi w sieci, ale szczególnie chętnie biorą na celownik usługi finansowe, atakami DDoS zagrożone są również przedsiębiorstwa z branży IT, e-commerce (sklepy internetowe, kasyna online), telekomunikacji i gamingowej.
Ataki typu DDoS są obok phishingu i ransomware największym zagrożeniem dla firm działających online.
Cybergangi chętnie stosują metodę potrójnego wymuszenia – łączą atak ransomware (szyfrowanie danych) z żądaniem ponownego okupu za nieujawnianie przejętych danych oraz groźbą ataku DDoS.
„W ostatnich latach prawie wszystkie główne ataki typu „odmowa usługi” miały charakter rozproszony — a niektóre polegały na wykorzystaniu podłączonych do Internetu kamer i innych urządzeń jako narzędzi ataku zamiast klasycznych komputerów – podkreślają autorzy “Cybersecurity All-in-One For Dummies”.
600 000 zhakowanych urządzeń IoT (czyli podłączonych do internetu, w tym kamer) zebranych w sieć Botnet Mirai zaatakowało w 2016 roku KrebsOnSecurity, serwis poświęcony cyberbezpieczeństwu.
Nie brakuje też ataków na instytucje publiczne wykonywanych przez tajne służby obcych państw (np. tuż przed eskalacją wojny na Ukrainie w 2022 roku, liczba ataków DDoS na ukraińskie i rosyjskie strony www wzrosła według raportu Imperva aż o 320 proc.)
Kto stoi za atakami DDoS?
Jakie są motywacje ataków DDoS? Oto najważniejsze cele:
- finansowy – cyberprzestępcy stojący za atakiem żądają okupu, często rutynowo wykonują zautomatyzowane, krótkie uderzenia na strony internetowe i serwisy. Kreatywnością wykazali się Polacy: w 2013 roku właściciele pewnej szczecińskiej firmy IT zostali skazani na ponad 5 lat więzienia za atak na brytyjskie kasyno i próbę wyłudzenia w nim udziałów,
- walka z konkurencją – pozbawiony skrupułów konkurent może zaatakować sklep internetowy w najbardziej gorącym, handlowym okresie (np. w Czarny Piątek lub przed Bożym Narodzeniem). Z badań firmy Kaspersky Lab i B2B International (2017) wynika, że prawie połowa firm na całym świecie, które doświadczyły ataku DDoS, podejrzewa, że stała za nimi konkurencja ,
- polityczny/ideologiczny – ataki DDoS przeprowadzała np. grupa Anonymous oraz inni haktywiści, a nawet „cywile”: w pierwszych miesiącach eskalacji agresji Rosji na Ukrainę zwykli internauci próbowali blokować rosyjskie witryny. Akta Snowdena ujawniły, że brytyjskie tajne służby dokonały ataku DDoS na serwer IRC używany przez hakerów z Anonymous. Można też sobie wyobrazić scenariusz, w którym skorumpowani politycy próbują „wyłączyć” strony internetowe swoich przeciwników podczas kampanii przedwyborczej.
- wspierający inny atak – atak DDoS może też mieć na celu odwrócenie uwagi od innej operacji (np. wykradania poufnych danych). Przestępcy mogą również też testować sprawność i siłę rażenia swojej sieci botnet.
DDoS jako usługa
Skoro na rynku rośnie popyt na ataki DDoS, to przestępcy oferują takie usługi w modelu „DDoS as a service”.
Cyber gangi za opłatą atakują określone cele. Niektóre przestępcze firmy proponują nawet bezpłatne wersja próbne – testowe ataki kosztują 5 dolarów za kilka dni. Transakcje odbywają się w Dark Webie. Cena zależy od konfiguracji ataku, czasu jego trwania oraz mocy. Klienci mają dostęp do aplikacji, w których skalują atak. Dodatkowym bonusem są programy lojalnościowe za wybranie przestępczej usługi oraz pełne wsparcie klienta ze strony gangu (np. raporty o skuteczności agresji).
Ile kosztuje wykupienie ataku DDoS? Nie trzeba mieć grubego portfela z bitcoinami.
Firma Imperva zrobiła wyliczenie, z którego wynika, że za tygodniowe wypożyczenie botnetu trzeba zapłacić 700 dolarów. Planowane ataki DDoS potrwają 48 godzin x 2 w tygodniu. Średni okup, który ma zapłacić ofiara – np. właściciel sklepu online – to ok. 5 tys. dolarów (równowartość w kryptowalutach).
Tymczasem potencjalne straty dla zaatakowanej strony www to ok. 209 600 dolarów utraconych zysków ze sprzedaży. Do tego trzeba dodać koszt wynajęcia firmy, która przywróci działanie witryny i usług.
Za duży atak DDoS – przy użyciu 150 tys. botnetów i przepustowości 1 Tbps na sekundę – trzeba zapłacić w Darknecie kilka tysięcy dolarów.
Ataki DDoS – skutki
Skutki ataku DDoS to:
- Znaczące spowolnienie dostępu do Internetu z sieci lokalnej. Ataki powodują, że łączność jest wolna, a czas ładowania strony tak długi, że połączenia kończą się niepowodzeniem z powodu ustawień limitu czasu sesji – systemy przerywają połączenia po tym, jak zobaczą, że uzyskanie odpowiedzi na żądania trwa dłużej niż określony maksymalny dopuszczalny próg.
- Zablokowanie strony. W październiku 2016 r. wielu użytkowników nie mogło wejść na duże i znane strony www, m.in. Twittera, PayPal, CNN, Spotify czy HBO. Powodem był masowy ataku DDoS na firmę Dyn świadczącą usługi techniczne dla tych stron.
- Nakłonienie internautów do skorzystania z innej witryny. Spowolnienie lub zablokowania danej strony sprawia, że użytkownicy szukają informacji lub produktów pod innymi adresami.
To wszystko przynosi firmom wielomilionowe straty, odpływ klientów i konieczność zainwestowania w usunięcie szkód.
Jak działają ataki DDoS?
Atak DDoS polega na przesyłaniu dużej ilości nieprawidłowych żądań do serwera w celu zablokowania dostępu do danej usługi lub strony internetowej.
Atak może być wykonywany z wielu komputerów jednocześnie, w tym z wykorzystaniem różnych protokołów, botnetów (sieci komputerów-zombie przejętych przez przestępców, prawowici właściciele nie wiedzą do czego służy ich urządzenie) i innych technik (np. wtyczek multimedialnych ze zmienionym kodem, które sprawiały, że komputer wykonywał wiele połączeń do wskazanych adresów www).
Agresorzy zazwyczaj zacierają za sobą ślady – wykorzystać różne metody, aby zmienić adresy IP lub zakamuflować źródło ataku.
W ostatnich latach bardzo popularne są ataki wielowektorowe (przy użyciu różnych rodzajów ataku DDoS) skierowane na firmy, które nie chcą płacić okupu cyberprzestępcom.
Rodzaje ataków DDoS
Oto główne rodzaje ataków DDoS: ataki wolumetryczne (z dużą liczbą fałszywych zapytań do serwera), ataki aplikacji (na aplikacje, z których korzystają użytkownicy) oraz ataki protokołu wycelowane w protokoły używane do komunikacji sieciowej.
Inny podział to:
- Odmowa usługi. Atak odmowy usługi (ang. Denial of Service – DoS) polega na przesyłaniu dużej ilości nieprawidłowych żądań do serwera aby uniemożliwić/ograniczyć dostęp do danej usługi, aplikacji lub strony internetowej. Jeden z najczęściej stosowanych ataków DoS to tzw. flood ping, który polega na wysyłaniu dużej liczby zapytań do serwera w krótkim czasie, co prowadzi do przeciążenia systemu i uniemożliwia dostęp innym użytkownikom. Inną metodą jest atak za pomocą zainfekowanych komputerów, które kontroluje przestępca.
- Przeciążenie. Podczas Flooding Attack agresor przesyła dużą ilość prawidłowych żądań do serwera aby go przeciążyć i sparaliżować. Przeciążenie serwera może wywołać wysyłanie np. dużej ilości pakietów danych, które serwer będzie próbował przetworzyć. Ataki te są szczególnie niebezpieczne dla serwerów, które są w stanie obsługiwać tylko określoną ilość zapytań jednocześnie.
- Wyczerpanie zasobów. Tego rodzaju atak – Resource Exhaustion Attack – ma wyczerpać zasoby systemowe ofiary, np. przepustowość sieciową, moc obliczeniową czy pamięć RAM.
Przykłady ataków DDoS
Cyberprzestępcy stosują wiele rodzajów ataków DDoS. Wśród nich są:
- atak typu SYN Flood – polega na wysyłaniu dużej liczby fałszywych żądań TCP SYN do serwera lub docelowego adresu sieciowego. Żądania te są zawierane w pakietach TCP, które są wysyłane do serwera z różnych źródeł, co sprawia, że jest on przeciążony i nie może udzielić odpowiedzi. W rezultacie, serwer lub docelowy adres sieciowy jest całkowicie wyłączony z sieci, a użytkownicy nie mają dostępu do serwisu,
- atak typu Ping of Death – agresor wysyła sztucznie wygenerowany pakiet danych, który jest dłuższy od dozwolonego limitu 65 535 bajtów. Po dotarciu do serwera lub docelowego adresu sieciowego pakiet zostaje rozdzielony na wiele mniejszych części, co może całkowicie zablokować system,
- atak typu UDP Flood – duża liczba fałszywych żądań UDP trafia do serwera lub docelowego adresu sieciowego. Żądania te są wysyłane z różnych źródeł,
- ICMP Flood – ten atak polega na wysyłaniu dużej liczby żądań ICMP (Internet Control Message Protocol) do serwera lub docelowego adresu sieciowego,
- DNS Amplification – agresor wykorzystuje serwery DNS, aby wysyłać duże ilości pakietów do celowego adresu sieciowego, zalewając go ruchem sieciowym.
- Slowloris – to atak polegający na wysyłaniu fałszywych żądań HTTP do serwera,
- NTP Amplification – wykorzystuje serwery NTP do wysyłania dużej ilości danych do docelowego adresu sieciowego,
- HTTP Flood – polega na wysyłaniu dużej liczby żądań HTTP do serwera w celu jego przeciążenia,
- Smurf Attack – atakujący wysyła fałszywe pakiety ICMP do dużej liczby komputerów lub serwerów, by zalać ruchem docelowy adres sieciowy.
Największe ataki DDoS w historii
Jak już wspomniałem, ataki DDoS są popularne od wielu lat. Pierwsze zanotowano w połowie lat 90-tych XX wieku (precyzyjnie mówiąc, były to DoS) – celem była firma Panix, której usługi zostały wyłączone na kilka dni, a inny, demonstracyjny, atak pozbawił internetu uczestników Def Con w Las Vegas.
Do historii przeszedł – jako jeden z najpoważniejszych – atak DDoS na witryny internetowe rządu Stanów Zjednoczonych (lipiec 2009 roku). Trwał ok. 30 minut i miał siłę 602 Gbps. Złośliwe oprogramowanie zainfekowało ok. 100 000 komputerów w celu wygenerowania dużej ilości sztucznego ruchu wymierzonego w rządowe strony. Atak wywołał zamieszanie w sieci i spowolnił działanie serwerów, odciągając uwagę od innych ataków hakerskich.
Inny skuteczny atak DDoS na usługę DynDNS miał siłę 1,2 Tbps i trwał ok. godziny (październik 2016 r.). Atak polegał na wysłaniu dużej ilości ruchu sieciowego wymierzonego w usługę DynDNS, a efektem była blokada lub zakłócenie dostępu do wielu stron www (m.in. Twittera, Netflixa i PayPal).
Ofiarą ataku DDoS padła witryna GitHub (kwiecień 2018 r). Atak – o sile 1,35 Tbps – trwał ok. 30 minut i spowodował blokadę serwisu. Dodatkowo część użytkowników straciła swoje dane.
Milionowe straty poniosła giełda papierów wartościowych w Nowej Zelandii w 2016 roku. Skuteczny atak DDoS wyłączył ją na trzy dni.
To nie wszystko. Przykładów skutecznych ataków DDoS jest więcej.
W lipcu 2015 r. grupa hakerów zorganizowała atak DDoS na witrynę BBC, który miał siłę 602 Gbps. W grudniu 2016 r. złośliwe oprogramowanie wygenerowało atak o siła 1,1 Tbps na francuską firmę hostingową OVH. W maju 2017 r. nastąpił atak na witrynę Bank of Cyprus wykonany z siłą 1,2 Tbps.
Agresorzy atakują też dostawców konkretnych usług, np. bezpiecznej poczty elektronicznej – w listopadzie 2016 roku problemy miał m.in. Protonmail, Fastmail i Hushmail zaatakowane przez grupę Armada Collective (wiadomo, że Protonmail po wcześniejszych atakach DDoS zapłacił okup przestępcom).
Również polskie firmy są na celowniku przestępców i muszą chronić się przed atakami DDoS. Np. w maju 2016 roku ofiarą ataku DDoS (o przepustowości do 50GBps) padły największe polskie banki. Autorzy – podpisali się pseudonimem Kadyrovtsy – żądali kilkudziesięciu bitcoinów za zaprzestanie ataków.
Pewien 31-latek przeprowadził serię ataków DDoS na polskie witryny rządowe w kwietniu 2015 rok. Po jednym z nich przestała odpowiadać główna witryna policji, a atakiem DDoS zostały zagrożone strony ABW i CBA. Sprawdza został złapany w ciągu doby (ukrywał się na strychu).
Przeciwdziałanie atakom DDoS – jak się bronić i zapobiegać
Skuteczna ochrona przed atakiem DDoS wymaga, jak podsumował serwis Zaufana Trzecia Strona, nie tylko ciężarówek gotówki na sprzęt i łącza, ale także utalentowanych ludzi, którzy potrafią szybko i kreatywnie reagować na nowe zagrożenia.
Na rynku działają wyspecjalizowane firmy, które neutralizują próby ataków DDoS na strony i serwisy internetowe.
Poniżej znajdziesz podstawowe zalecenia, jak skutecznie przeciwdziałać atakom DDoS:
- Utwórz zaporę ogniową, aby ograniczyć przepływ ruchu sieciowego.
- Wykorzystuj usługi monitorowania, by wykrywać i blokować nietypową aktywność.
- Przekierowuj cały ruch przez warstwę filtrującą, która analizuje wszystkie zapytania/pakiety i odrzuca próby ataków.
- Stosuj wielowarstwowe zabezpieczenia, aby zwiększyć bezpieczeństwo systemu.
- Utwórz plan reagowania na incydenty, aby szybko odpowiedzieć na ataki.
- Korzystaj tylko z oprogramowanie pochodzącego od wiarygodnych i dobrze znanych producentów (freeware mogą używać Twojego komputera do ataków DDoS).
Gdzie zgłosić atak DDoS? Do organów ścigania, bo to przestępstwo (ścigane z artykułu 268 i 268a Kodeksu karnego, podlega karze pozbawienia wolności do 3 lat). Warto też zawiadomić CERT Polska czyli instytucję zajmującą się cyberbezpieczeństwem.
Pamiętaj, że wszystko przypominające atak DDoS jest rzeczywiście takim atakiem. Ze względu na specyfikę ataków DDoS, trudno je odróżnić od normalnego ruchu.
„Pozorny atak DDoS na stronie internetowej może po prostu oznaczać, że witryna staje się wirusowa, ponieważ jest popularna. Ma to nawet swoją nazwę: efekt Slashdot.23. Efekt ten pojawia się, gdy popularna witryna internetowa prowadzi do innej witryny i ta (zwykle mniejsza), generuje nagle większy ruch, niż jest w stanie obsłużyć. Ludzie na całym świecie będą próbowali wejść na stronę, co wygląda na rozproszony atak. Nie jest jednak atakiem. Po prostu strona internetowa jest dziś popularna i każdy chce ją odwiedzić. Intencja nie jest złośliwa; to raczej dobrze, że witryna ma tak duże wzięcie – piszą autorzy „Cybersecurity Myths and Misconceptions”.
Zapisz się na bezpłatny 7-dniowy kurs e-mail:
PODSTAWY BEZPIECZEŃSTWA
i dowiedz się jak zabezpieczyć komputer, telefon i konta internetowe: