Сайт Spilno.net зазнав масштабної DDoS-атаки. Атака почалася приблизно в 15 годин за київським часом 15.10.2022.…
Что такое DDoS-атака?
Распределенная атака типа «отказ в обслуживании» (DDoS) — это киберпреступление, которое пытается прервать работу сервера или сети, заполнив их фальшивым интернет-трафиком.
Цель DDoS-атаки — подорвать способность организации обслуживать своих пользователей. Злоумышленники используют DDoS-атаки для:
- саботаж конкурентов
- инсайдерская месть
- национально-государственная деятельность
- беспредел / хаос
DoS против DDoS — в чем разница?
DDoS-атаки запускаются с нескольких систем, а DoS-атаки (отказ в обслуживании) — только с одной системы. DDoS-атаки быстрее и сложнее блокировать, чем DOS-атаки. DoS-атаки легче блокировать, потому что нужно идентифицировать только одну атакующую машину.
Как работает DDoS-атака?
Невозможно обсуждать DDoS-атаки без обсуждения ботнетов. Ботнет — это сеть компьютеров, зараженных вредоносным ПО, которое позволяет злоумышленникам удаленно управлять компьютерами. Эти ботнеты являются «распределенными», потому что они могут находиться где угодно и принадлежать кому угодно. Невиновные владельцы зараженных компьютеров могут никогда не узнать, что их системы являются частью ботнета.
Создав массивную ботнет из миллионов скомпрометированных устройств, DDoS-атака удаленно направляет каждого бота на отправку запросов на IP-адрес цели. Цель состоит в том, чтобы превысить пределы пропускной способности веб-ресурсов жертвы с огромным количеством запросов на подключение или данных, чтобы в конечном итоге остановить их обслуживание.
Типы DDoS-атак
DDoS-атаки можно классифицировать по-разному, но обычно их делят на три типа:
1. Объемная атака
Ботнеты отправляют на ресурс огромные объемы поддельного трафика. Этот тип атаки может использовать ping-флуд, флуд с поддельными пакетами или флуд UDP. Атака на основе объема измеряется в битах в секунду (BPS).
2. Атаки на сетевом уровне
Атаки на сетевом уровне, также известные как атаки на протоколы , отправляют большое количество пакетов цели. Атака на сетевом уровне не требует открытого соединения по протоколу управления передачей (TCP) и не нацелена на конкретный порт. Атака на сетевом уровне измеряется количеством пакетов в секунду (PPS).
Примеры атак на сетевом уровне включают в себя:
- Атака Smurf : попытка залить сервер на сетевом уровне с использованием пакетов протокола управляющих сообщений Интернета (ICMP) и использования уязвимостей IP.
- SYN Flood : инициирует подключение к серверу, не закрывая указанное соединение, в результате чего серверы перегружаются. Этот тип атаки использует огромное количество TCP-запросов на рукопожатие с поддельными IP-адресами.
3. Атаки на прикладном уровне
Атаки на прикладном уровне используют распространенные запросы, такие как HTTP GET и HTTP POST. Эти атаки воздействуют как на серверные, так и на сетевые ресурсы, поэтому тот же разрушительный эффект, что и у других типов DDoS-атак, может быть достигнут при меньшей пропускной способности. Различить законный и вредоносный трафик на этом уровне сложно, потому что трафик не подделывается и поэтому кажется нормальным. Атака прикладного уровня измеряется количеством запросов в секунду (RPS).
Хотя большинство атак основаны на объемах, существуют также «низкие и медленные» DDoS-атаки, которые ускользают от обнаружения, отправляя небольшие устойчивые потоки запросов, которые могут незаметно снижать производительность в течение длительного периода времени. Низкие и медленные атаки нацелены на веб-серверы на основе потоков и вызывают очень медленную передачу данных законным пользователям, но не настолько медленную, чтобы вызвать ошибку тайм-аута. Некоторые инструменты, используемые в низких и медленных атаках, включают Slowloris, RUDY и Sockstress.
Почему DDoS-атаки представляют собой растущую угрозу?
DDoS-атаки стремительно растут. Несмотря на спад в 2018 году, когда ФБР закрыло крупнейшие DDoS-сайты по найму в темной сети, количество DDoS-атак увеличилось на 151% в первой половине 2020 года. В некоторых странах DDoS-атаки могут составлять до 25% всего интернета. трафика во время атаки.
Движущей силой этой эскалации является внедрение Интернета вещей (IoT). Большинство устройств IoT не имеют встроенной прошивки или элементов управления безопасностью. Поскольку устройства IoT многочисленны и часто внедряются без проверки безопасности и контроля, они подвержены вторжению в ботнеты IoT.
Еще одна слабая сторона — это API или интерфейсы прикладного программирования. API — это небольшие фрагменты кода, которые позволяют различным системам обмениваться данными. Например, туристический сайт, публикующий расписания авиакомпаний, использует API для переноса этих данных с сайтов авиакомпаний на веб-страницы туристического сайта. «Общедоступные» API, которые доступны для всех, могут быть плохо защищены. Типичные уязвимости включают слабые проверки аутентификации, неадекватную безопасность конечных точек, отсутствие надежного шифрования и ошибочную бизнес-логику.
Какая самая крупная DDoS-атака когда-либо была зарегистрирована?
Когда дело доходит до DDoS-атак, размер не имеет значения. Ни одна компания не является полностью безопасной, независимо от того, насколько она велика. На сегодняшний день крупнейшая DDoS-атака произошла с одним из клиентов облачных сервисов Google в июне 2022 года. В какой-то момент клиент Google подвергался бомбардировке со скоростью 46 миллионов RPS (запросов в секунду). Google предупредил своего клиента об атаке и смог заблокировать ее в течение часа.
Совсем недавно, в октябре 2022 года, веб-сайты нескольких крупных аэропортов США рухнули в результате DDoS-атаки . Атака была организована российской группировкой KillNet. К счастью, работа аэропорта не была нарушена, за исключением того, что путешественники и члены их семей не могли найти информацию о рейсах. Эта атака произошла через несколько дней после того, как несколько веб-сайтов правительства штата США, таких как веб-портал штата Колорадо, подверглись атаке. Ни одна из этих атак не закончилась долгосрочными негативными последствиями, и теперь сайты работают нормально.
Каковы признаки DDoS-атаки?
Жертвы DDoS-атак обычно замечают, что их сеть, веб-сайт или устройство работают медленно или не предоставляют услуги. Однако эти симптомы не уникальны для DDoS-атак — они могут быть вызваны многими причинами, такими как неисправный сервер, всплеск законного трафика или даже обрыв кабеля. Вот почему вы не можете просто полагаться на наблюдения вручную, а вместо этого должны использовать инструмент анализа трафика для обнаружения распределенных атак типа «отказ в обслуживании».
Защита от DDoS-атак
Для предотвращения и защиты от DDoS-атак требуется комплексный подход — ни один инструмент не может гарантировать полную защиту от всех типов DDoS-атак. Ниже приведены несколько основных инструментов, которые можно добавить в свой арсенал:
Оценка рисков:
Компании должны использовать проактивный подход при защите от DDoS-атак. Первый шаг — знать обо всех уязвимостях и сильных сторонах вашей компании. Проведите оценку рисков для всех ваших цифровых активов (т. е. сетей, серверов, устройств, программного обеспечения), чтобы подготовить наилучший план смягчения последствий, когда придет время.
Брандмауэр веб-приложений (WAF):
WAF похож на контрольную точку для веб-приложений, поскольку он используется для мониторинга входящих запросов HTTP-трафика и фильтрации вредоносного трафика. При обнаружении DDoS-атаки на уровне приложений политики WAF можно быстро изменить, чтобы ограничить скорость запросов и заблокировать вредоносный трафик, обновив список контроля доступа (ACL).
Информация о безопасности и управление событиями (SIEM):
SIEM — это инструмент, который извлекает данные из каждого уголка среды и объединяет их в едином централизованном интерфейсе, обеспечивая видимость вредоносной активности, которую можно использовать для квалификации предупреждений, создания отчетов и поддержки реагирования на инциденты.
Сети доставки контента/балансировщики нагрузки:
CDN и балансировщики нагрузки можно использовать для снижения риска перегрузки сервера и последующих проблем с производительностью/доступностью за счет автоматического распределения потоков трафика между несколькими серверами.
Маршрутизация через черную дыру
Во время маршрутизации через черную дыру сетевой администратор пропускает весь трафик, как хороший, так и плохой, через маршрут черной дыры. Цель состоит в том, чтобы отбросить ВЕСЬ трафик из сети, что приводит к потере законного трафика и, возможно, некоторого бизнеса.
Ограничение скорости
Ограничьте количество запросов на обслуживание, которые ваша сеть получает и принимает в определенный период времени. Обычно этого недостаточно для борьбы с более изощренными DDoS-атаками, поэтому его следует использовать вместе с другими стратегиями смягчения последствий.