Перейти до основного вмісту

DDoS-атаки стали невід'ємною частиною кримінального набору за останні 20 років і вони продовжують ставати все більш поширеними і потужними.


 

Як еволюціонують DDoS-атаки

Автор
 
Наталія Барашкова
ssl.com.ua
6 хв

DDoS-атаки стали невід'ємною частиною кримінального набору за останні 20 років і вони продовжують ставати все більш поширеними і потужними.

Що таке DDoS-атака?

Атака розподіленого відмови в обслуговуванні відбувається тоді, коли атакуюча сторона робить неможливим доступ до веб-сервісу. Таке може бути досягнуто блокуванням доступу до чого завгодно: серверам, пристроїв, сервісів, подсетям, додатків і навіть до специфічних транзакціях всередині додатків. У разі DDoS-атаки шкідливі запити приходять від однієї системи / пристрої; джерелом DDoS-атаки служить безліч систем / пристроїв.

У загальному випадку, ці атаки глушать атакується множинними запитами даних. Це може бути відправка веб-сервера такого безлічі запитів до будь-яких сторінок, що це викликає у нього збій. Або це може бути база даних, до якої відправляється маса великовагових запитів. В результаті відбувається вичерпання наявних ресурсів інтернет-каналу, процесора або оперативної пам'яті атакується системи.

Вплив може варіюватися від незначних збоїв в обслуговуванні до появи цілих веб-сайтів, додатків або навіть всього бізнесу, недоступного для звичайних користувачів.

Симптоми DDoS-атаки

DDoS-атаки можуть виглядати як цілком звичайні речі, що викликають проблеми з доступом - наприклад, як впав сервер, занадто великий потік цілком легальних запитів від звичайних користувачів або навіть як пошкодження кабелю. Часто потрібно провести аналіз трафіку, щоб визначити, що саме відбувається.

Хроники DDoS-атак

Це була атака, яка назавжди змінила уявлення про атаки типу «відмова в обслуговуванні». На початку 2000 року канадський школяр Майкл Кальс, відомий як MafiaBoy, атакував Yahoo! розподіленої атакою відмови в обслуговуванні (DDoS), яка змогла покласти один з провідних веб-сайтів того часу. Протягом наступного тижня Кальс підготувався і успішно порушив роботу інших сайтів, таких як Amazon, CNN і eBay.

Звичайно, це була не перша DDoS-атака, але ця серія публічних і успішних атак перетворила атаки типу «відмова в обслуговуванні» з чогось нового і незначного в потужних руйнівників бізнесу в умах IТ-бізнесменів назавжди.

З тих пір DDoS-атаки стали занадто частою загрозою, оскільки вони зазвичай використовуються для помсти, вимагання, як засіб онлайн-активності і навіть для ведення кібервійни.

Вони також стали потужнішими з роками. В середині 1990-х років атака могла складатися з 150 запитів в секунду - і цього було б достатньо для руйнування багатьох систем. Сьогодні вони можуть перевищувати 1 Терабит / с. Багато в чому це стало можливим завдяки величезним розмірам сучасних ботнетів.

У жовтні 2016 року інтернет-провайдер Dyn DNS (нині Oracle DYN) ліг на хвилі DNS-запитів з десятків мільйонів IP-адрес. Ця атака, здійснена через ботнет Mirai , за повідомленнями, заразила більше 100 000 пристроїв IoT, включаючи IP-камери і принтери. На своєму піку Mirai досяг розміру 400 000 атакуючих ботів. Сервіси Amazon, Netflix, Reddit, Spotify, Tumblr і Twitter були порушені.

На початку 2018 року з'явилася нова технологія DDoS. 28 лютого хостинг-сервіс контролю версій GitHub піддався масованій атаці типу «відмова в обслуговуванні»: на нього обрушилася хвиля шкідливого трафіку 1,35 ТБ в секунду. Незважаючи на те, що GitHub періодично йшов в автономний режим і йому вдавалося повністю відобразити атаку менш ніж через 20 хвилин, масштаб нападу викликав занепокоєння, оскільки він випереджав атаку Dyn, інтенсивність якої сягала лише 1,2 ТБ в секунду.

Аналіз технології, на якій будувалася атака, показав, що вона була в певному сенсі простіше, ніж інші атаки. У той час як атака Dyn була продуктом ботнету Mirai, який вимагав шкідливого ПО для зараження тисяч пристроїв IoT, атака GitHub використовувала сервери, які задіяли систему кешування пам'яті Memcached, що має функціонал повертати дуже великі фрагменти даних у відповідь на прості запити.

Memcached призначений для використання тільки на захищених серверах, що працюють у внутрішніх мережах, і, як правило, має мало засобів захисту від зловмисників, які змінюють IP-адреси і відправляють величезні обсяги даних не підозрюють жертв. На жаль, тисячі серверів Memcached знаходяться у відкритому інтернеті  і їх використання в DDoS-атаках значно зросла. Сказати, що сервери «викрадені», чи справедливо, так як вони будуть з задоволенням відправляти пакети туди, куди їм кажуть, не ставлячи зайвих питань і не вимагаючи додаткової авторизації.

Лише через декілька днів після атаки GitHub ще одна атака DDoS на основі Memcached накрила американського сервіс-провайдера з інтенсивністю 1,7 ТБ даних в секунду.

Ботнет Mirai був важливий тим, що, на відміну від більшості DDoS-атак, він використовував вразливі пристрої IoT, а не ПК і сервери. Це особливо страшно, якщо врахувати, що до 2020 року, згідно з BI Intelligence, буде 34 мільярди підключених до Інтернету пристроїв, і більшість (24 мільярди) будуть IoT-пристроями.

На жаль, Mirai не став останнім ботнетом з підтримкою IoT. Дослідження груп безпеки в Akamai, Cloudflare, Flashpoint, Google, RiskIQ і Team Cymru виявило ботнет аналогічного розміру , названий WireX, що складається з 100 000 скомпрометованих пристроїв Android в 100 країнах. Розслідування було викликано серією великих DDoS-атак, націлених на постачальників контенту та мереж доставки контенту.

DDoS-атаки сьогодні

Хоча обсяг DDoS-атак скорочується, вони все ще є серйозною загрозою. «Лабораторія Касперського» повідомляє , що кількість DDoS-атак знижувалося кожен квартал в 2018 році в порівнянні з попереднім роком, за винятком третього через «аномально активного вересня». В цілому, активність DDoS знизилася на 13 відсотків у 2018 році.

За словами Касперського, нещодавно виявлені ботнети, такі як Torii і DemonBot, здатні запускати атаки DDoS. Torii здатний захопити цілий ряд пристроїв IoT і вважається більш стійким і небезпечним, ніж Mirai. DemonBot захоплює кластери Hadoop, що дає йому доступ до більшої обчислювальної потужності.

Ще однією тривожною тенденцією є наявність нових платформ запуску DDoS, таких як 0x-booter. Цей DDos-as-a-service використовує близько 16 000 пристроїв IoT, заражених шкідливим софтом Bushido, варіантом Mirai.

Проте, в звіті Kaspersky дійсно були підстави для оптимізму з приводу зменшення кількості атак DDoS і наноситься ними збитку. Це твердження засноване на підвищенні ефективності роботи правоохоронних органів по всьому світу в плані закриття операторів DDoS і це є імовірною причиною зниження числа атак.

Інструменти DDoS-атак

Як правило, зловмисники DDoS використовують бот-мережі - набори мереж, заражених шкідливим ПЗ, які знаходяться під централізованим контролем. Ці заражені кінцеві пристрої зазвичай являють собою комп'ютери і сервери, але все частіше представляють собою IoT і мобільні пристрої. Зловмисники будуть використовувати ці системи, виявляючи вразливі системи, які вони можуть заразити за допомогою фішингових атак, атак з використанням шкідливої ​​реклами та інших методів масового зараження. Все частіше зловмисники будуть брати в оренду ці ботнети у тих, хто їх побудував.

Три типа DDoS-атак

Існує три основні класи атак DDoS: перший - це ті атаки, які використовують величезні обсяги фіктивного трафіку для відключення ресурсу, такого як веб-сайт або сервер, включаючи атаки ICMP, UDP і атаки з використанням підроблених пакетів.

Інший клас DDoS-атак використовує пакети для цільової мережевої інфраструктури та інструментів управління інфраструктурою. Ці протокольні атаки включають, серед іншого, SYN Floods і Smurf DDoS.

Нарешті, деякі DDoS-атаки націлені на рівень додатків організації і здійснюються шляхом заповнення додатків шкідливими запитами. Мета завжди одна і та ж: зробити онлайн-ресурси важкодоступними або зовсім не відповідають.

Як розвиваються DDoS-атаки

Як коротко згадано вище, ці атаки стають все більш частими з орендованих ботнетів. Очікується, що ця тенденція буде продовжуватися.

Ще однією тенденцією є використання декількох векторів в рамках однієї атаки, також відомої як розширені атаки постійного відмови в обслуговуванні (APDoS). Наприклад, атака APDoS може включати в себе прикладний рівень, такий як атаки на бази даних і додатки, а також безпосередньо на сервер. «Це виходить за рамки простого« затоплення », - говорить Чак Маккі, керуючий директор по успіху партнерів в Binary Defense.

Крім того, пояснює Маккі, зловмисники часто не просто націлюються безпосередньо на своїх жертв, а й на організації, від яких вони залежать, такі як інтернет-провайдери та хмарні провайдери. «Це широкомасштабні, високоефективні атаки, які добре скоординовані», - говорить він.

Це також змінює вплив DDoS-атак на організації і збільшує їх ризик. «Підприємства більше не просто стурбовані DDoS-атаками на самих себе, а й атаками на величезну кількість ділових партнерів, постачальників і сервісів, на яких покладаються ці підприємства», - говорить Майк Оверлей, адвокат з кібербезпеки з Foley & Lardner LLP. «Одна з найстаріших прислів'їв в області безпеки полягає в тому, що бізнес настільки безпечний, наскільки безпечно його найслабша ланка. В сьогоднішніх умовах (про що свідчать недавні інциденти) цим найслабшою ланкою може бути і часто є одна з третіх сторін », - повідомляє він.

Оскільки злочинці вдосконалюють свої DDoS-атаки, звичайно ж, технології і тактика не будуть стояти на місці. Як пояснює Рід Сото, директор з досліджень в області безпеки JASK, додавання нових пристроїв IoT, розвиток машинного навчання і штучного інтелекту гратимуть роль у зміні цих атак. «Зловмисники в кінцевому підсумку також інтегрують ці технології в атаки, що ускладнює захист захисників від атак DDoS, особливо тих, які не можуть бути зупинені простими списками ACL або сигнатурами. Технологія захисту від DDoS також повинна розвиватися в цьому напрямку », - каже Сото.

Джерело: стаття у виданні CSO

Читайте также:



 

Просмотры:

Коментарі

Популярні публікації