Rodzaje ataków DDoS i sposoby zapobiegania im

Blog

Różne rodzaje ataków DDoS siały znaczne spustoszenie w cyfrowym świecie - zbadajmy, czym one są i jak im zapobiegać.

przez Ahona Rudra

Czas odczytu: 10 min
Rodzaje ataków DDoS i sposoby zapobiegania im
Spis treści-

Spośród wszystkich cyberzagrożeń ataki typu Distributed Denial of Service (DDoS) i ich rodzaje należą do najbardziej podstępnych i rozpowszechnionych. Według raportu, w 2022 r. odnotowano 74% wzrost w liczbie ataków DDoS w porównaniu z poprzednimi latami. Nawet na początkowym etapie organizacje powinny podjąć kroki w celu zapobiegania atakom DDoS. Ochrona DDoS jest ważna, ponieważ umożliwia złośliwym podmiotom zalanie sieci ruchem, powodując jej trwałe lub tymczasowe wyłączenie. Przeciążenie ruchu zakłóca łączność, uniemożliwiając legalnym użytkownikom odwiedzanie witryny.

Zasadniczo atak DDoS lub Distributed Denial of Service to cyberprzestępstwo, w którym hakerzy dążą do awarii sieci lub serwera poprzez przeciążenie go fałszywym ruchem. Nieprzewidziany wzrost liczby wiadomości, żądań połączeń lub pakietów danych przytłacza docelowy system, powodując jego spowolnienie lub wyłączenie. Motywem sprawców lub haktywistów różnych rodzajów ataków DDoS jest często zalanie docelowej sieci lub systemu żądaniami w celu utrudnienia operacji biznesowych lub uniemożliwienia dostępu do strony internetowej/aplikacji jej docelowym użytkownikom.

Inne motywy mogą obejmować manipulowanie celami w celu zapłacenia wysokiego okupu, zakłócanie usług w celu rywalizacji zawodowej, utrudnianie wizerunku marki lub odwracanie uwagi zespołu reagowania na incydenty w celu podjęcia próby większego ataku. Ataki te ewoluowały na przestrzeni lat, co utrudnia obronę przed nimi. Jednak dzięki odpowiedniej strategii i kompleksowemu zrozumieniu tych ataków można złagodzić ich wpływ. Może to prowadzić do innych form cyberprzestępczości, takich jak phishing i spoofing, które można złagodzić, stosując SPF, DKIM i DMARC.

W tym artykule przedstawimy różne rodzaje ataków DDoS i strategie ochrony zasobów cyfrowych oraz utrzymania nieprzerwanych operacji biznesowych w dzisiejszym hiperpołączonym świecie. Skutki ataku IP DDoS mogą być znaczące, w tym utrata przychodów, utrata reputacji, a nawet odpowiedzialność prawna. Co więcej, częstotliwość i intensywność tych ataków rośnie, co sprawia, że dla administratorów sieci i specjalistów ds. bezpieczeństwa kluczowe znaczenie ma zrozumienie ich natury i konsekwencji.

Kluczowe wnioski

  1. Ataki DDoS wykorzystują różne warstwy sieci (aplikacji, protokołu, wolumetryczną) przy użyciu technik takich jak SYN Floods, UDP Floods i ataki odbiciowe w celu przeciążenia systemów.
  2. Skuteczna ochrona wymaga wielowarstwowego podejścia, w tym zmniejszenia powierzchni ataku (WAF, CDN), monitorowania sieci, redundancji serwerów i solidnych praktyk bezpieczeństwa.
  3. Wykrywanie DDoS obejmuje ustanowienie linii bazowych ruchu, monitorowanie anomalii (takich jak komunikacja z serwerem C&C) i wdrażanie analizy w czasie rzeczywistym.
  4. Kompleksowy plan reagowania na ataki DDoS, obejmujący przeszkolony zespół i jasne protokoły, ma kluczowe znaczenie dla zminimalizowania przestojów i szkód.
  5. Koszty ataków DDoS wykraczają poza przestoje i obejmują znaczne straty finansowe, reputacyjne i operacyjne, podkreślając potrzebę proaktywnej świadomości i zapobiegania cyberbezpieczeństwu.

Różne rodzaje ataków DDoS

Podczas gdy podstawowa przesłanka wszystkich ataków DDoS jest taka sama, czyli zatkanie infrastruktury IT ofiary ruchem i utrudnienie operacji, mogą one być wykonywane na różne sposoby. Te różne rodzaje ataków DDoS są klasyfikowane zgodnie z warstwami połączeń sieciowych, na które są ukierunkowane, co może znacząco zmienić sposób ich wykrywania i obrony przed nimi. Zazwyczaj dzielą się one na trzy główne kategorie: Ataki wolumetryczne, ataki na protokoły i ataki na warstwę aplikacji.

  • Ataki wolumetryczne: Mają one na celu wykorzystanie całej dostępnej przepustowości między celem a Internetem. Zmniejszają one przepustowość witryny przy użyciu technik amplifikacji. Jest to trudne do wykrycia, ponieważ ruch wydaje się pochodzić z wielu adresów IP. Przykłady obejmują UDP floods i ICMP floods.
  • Ataki na protokoły: Koncentrują się one na zużyciu zasobów serwera lub zasobów pośredniego sprzętu komunikacyjnego, takiego jak zapory ogniowe i load balancery. Przykłady obejmują ataki SYN flood i Ping of Death.
  • Ataki w warstwie aplikacji: Ataki te są ukierunkowane na określone aplikacje lub usługi poprzez wykorzystywanie luk w zabezpieczeniach (takich jak SIP, usługi głosowe, BGP) lub przytłaczanie ich pozornie legalnymi żądaniami, wyłączając zdolność aplikacji do dostarczania treści. Powodzie HTTP są częstym przykładem.

Niektóre typowe przykłady określonych rodzajów ataków DDoS i ich rzeczywiste przykłady obejmują:

Atak z odbiciem CLDAP

Atak typu CLDAP Reflection Attack jest jednym z najczęstszych i najbardziej śmiertelnych rodzajów ataków DDoS, a wpływ nowych exploitów wzrósł w ostatnich latach nawet 70-krotnie. 70 razy w ostatnich latach. Celem ataku jest protokół CLDAP (Connectionless Lightweight Directory Access Protocol), który jest alternatywą dla protokołu LDAP (Lightweight Directory Access Protocol).

W tym ataku atakujący używa sfałszowanego adresu IP nadawcy ofiary do inicjowania żądań do podatnego serwera LDAP. Podatny serwer odpowiada następnie na adres IP ofiary wzmocnionymi odpowiedziami, powodując w ten sposób atak odbiciowy. Jest to rodzaj ataku wolumetrycznego.

Atak DDoS na AWS: 2020 r.

W 2020 roku Amazon Web Services Inc. ujawniła że udało jej się uniknąć rozproszonej odmowy usługi na poziomie 2,3 terabajta na sekundę, co stanowi największy cios w historii ataków DDoS. Według raportu AWS, atak ten opierał się na ataku odbicia CLDAP DDoS, zorganizowanym w celu zakłócenia działania aplikacji lub strony internetowej poprzez zalanie celu ogromną liczbą żądań.

Atak DDoS na Memcached

Podobnie jak każdy inny typ ataku DDoS, atak DDoS Memcached jest atakiem, w którym aktor zagrożenia przytłacza serwer celu ruchem internetowym. 

W tym ataku atakujący wykorzystuje sfałszowany adres IP, aby wykorzystać podatny serwer memcached UDP z małymi zapytaniami w celu uzyskania wzmocnionych odpowiedzi skierowanych na adres IP ofiary, sprawiając wrażenie, że żądania pochodzą od samej ofiary. Jest to kolejny przykład ataku wolumetrycznego opartego na odbiciu.

Atak DDoS na GitHub: 2018 r.

W 2018 roku atak DDoS był wymierzony w GitHub, który jest internetową platformą zarządzania kodem używaną przez programistów na całym świecie. Atak doprowadził serwery GitHub do szału, generując ruch o natężeniu 1,2 Tbps ruchu, wysyłanego z prędkością 126,9 miliona na sekundę.. Źródło ataku zostało prześledzone do ponad tysiąca różnych systemów autonomicznych (ASN) rozproszonych w dziesiątkach tysięcy indywidualnych punktów końcowych.

Atak DDoS HTTPS

Atak HTTP flood, znany również jako atak DDoS warstwy 7 (atak warstwy aplikacji), wykorzystuje pozornie legalne żądanie HTTP GET lub POST do obciążenia serwera lub aplikacji. Zamiast wysyłać duże pakiety, atakujący wysyła wiele żądań przez połączenie HTTP/HTTPS. Powoduje to wysokie zużycie procesora i pamięci na docelowym hoście, ponieważ musi on przetworzyć te żądania przed udzieleniem odpowiedzi, potencjalnie z komunikatem o błędzie, który mówi "serwer zbyt zajęty" lub "zasób niedostępny". Tego typu ataki DDoS opierają się na botnecie, który jest siecią zainfekowanych komputerów kontrolowanych przez jeden podmiot. Ponieważ atakujący wykorzystuje standardowe żądania URL, sfałszowany ruch jest prawie nie do odróżnienia od prawidłowego ruchu. 

Atak Google: 2022 r.

Godnym uwagi przykładem ataku HTTPS DDoS jest ten, który Google ucierpiał 1 czerwca 2022 roku. Infrastruktura i usługi Google zostały zakłócone, gdy atakujący użył kilku adresów do wygenerowania ponad 46 milionów żądań na sekundę, co było o 76% większe niż wcześniej zgłoszony rekord.

Atak SYN Flood

Atak SYN flood (rodzaj ataku protokołowego) jest jednym z najczęstszych rodzajów ataków na sieć. W tym ataku atakujący wysyła do serwera zalew pakietów SYN (część uzgadniania protokołu TCP), często ze sfałszowanymi źródłowymi adresami IP. Serwer odpowiada pakietem SYN-ACK na każde żądanie SYN, czekając na końcowy pakiet ACK, który nigdy nie dociera z podrobionego adresu. Pozostawia to wiele półotwartych połączeń, zużywając zasoby serwera, aż nie będzie on w stanie obsłużyć legalnych żądań.

Atak UDP Flood

W ataku UDP flood (atak wolumetryczny) atakujący wysyła dużą ilość pakietów User Datagram Protocol (UDP) do losowych portów na serwerze docelowym. Serwer próbuje przetworzyć te pakiety, sprawdzając aplikacje nasłuchujące na tych portach. Nie znajdując żadnej, odpowiada pakietem ICMP "Destination Unreachable". Sama ilość przychodzących pakietów UDP i wychodzących odpowiedzi ICMP może wyczerpać zasoby serwera i przepustowość sieci, powodując zakłócenia w świadczeniu usług.

Atak Smerfów

Atak typu smurf (rodzaj ataku wolumetrycznego/odbicia) wykorzystuje sfałszowane żądania echa ICMP (pingi). Atakujący wysyła te pingi na adres rozgłoszeniowy sieci, używając adresu IP ofiary jako źródłowego adresu IP. Wszystkie urządzenia w sieci rozgłoszeniowej odpowiadają następnie odpowiedziami echa ICMP na sfałszowany adres ofiary. Powoduje to zalanie komputera docelowego tysiącami pingów na sekundę, potencjalnie go przytłaczając.

Ping of Death Attack

Atak Ping of Death (atak protokołowy) jest jednym ze starszych ataków DDoS, który wykorzystuje fragmentację IP. Atakujący wysyła pakiet IP większy niż maksymalny dozwolony rozmiar (65 535 bajtów), fragmentując go. Gdy system docelowy próbuje ponownie złożyć zbyt duży pakiet, może to spowodować przepełnienie bufora i awarie systemu na starszych, niezałatanych systemach. Chociaż obecnie jest to mniej skuteczne ze względu na lepszą obsługę systemu operacyjnego, zasada wykorzystywania luk w protokołach pozostaje aktualna.

Ochrona przed rozproszonymi atakami typu "odmowa usługi 

Ponieważ nasilenie i częstotliwość różnych rodzajów ataków DDoS stają się palącymi kwestiami dla organizacji i ich zespołów ds. bezpieczeństwa, kluczowe jest, aby stosowały one strategiczne podejście do unikania i łagodzenia skutków tych złośliwych ataków. Przestrzeganie dobrze opracowanego planu cyberbezpieczeństwa nie tylko pomaga przedsiębiorstwom wzmocnić ich infrastrukturę sieciową, ale także zachować integralność ich strony internetowej/aplikacji. 

Oto kilka sposobów na zapobieganie atakom DDoS i zapewnienie użytkownikom płynnego korzystania z Internetu:

Zmniejszenie narażenia na ataki

Jednym z pierwszych kroków do zapewnienia odporności infrastruktury cyfrowej jest ograniczenie punktów podatności na ataki. Należy chronić ważne dokumenty, aplikacje, porty, protokoły, serwery i inne potencjalne punkty wejścia. W tym celu można polegać na zaporze aplikacji internetowej (WAF) lub usłudze CDN, aby uniemożliwić podmiotom stanowiącym zagrożenie bezpośredni dostęp do zasobów cyfrowych hostowanych na serwerze lub w aplikacji. CDN buforuje zawartość globalnie i obsługuje żądania, podczas gdy WAF filtruje złośliwe żądania. Należy również używać load balancerów do dystrybucji ruchu i ochrony serwerów internetowych. Regularnie czyść strony internetowe lub aplikacje, eliminując nieistotne usługi lub otwarte porty, które mogą zostać wykorzystane przez hakerów.

Monitorowanie i analizowanie ruchu sieciowego

Jeśli zauważysz nietypowe działania lub anomalie w ruchu sieciowym, potraktuj to jako znak do analizy i szybkiego reagowania na nie. Skutecznym sposobem na to jest ustanowienie linii bazowej lub punktu odniesienia, jak wygląda typowe zachowanie sieci (Baseline Traffic Analysis). Wszystko, co znacznie odbiega od tej linii bazowej, może wskazywać na potencjalne naruszenie bezpieczeństwa. Zwróć uwagę na czerwone flagi, takie jak słaba łączność, niska wydajność, nadmierny ruch do określonego punktu końcowego, częste awarie lub nietypowe wzorce ruchu z jednego adresu IP lub grupy. Niebezpieczne mogą być również ataki o niskim natężeniu i krótkim czasie trwania. Niezbędne jest wczesne wykrywanie poprzez ciągłe profilowanie ruchu i pakietów. Należy szukać komunikacji ze znanymi serwerami dowodzenia i kontroli (C&C) używanymi przez botnety. Reagowanie w czasie rzeczywistym, być może przy użyciu systemów korelacji zdarzeń opartych na regułach, które automatycznie wykrywają i reagują na podejrzaną aktywność, ma kluczowe znaczenie.

Zapewnienie solidnego bezpieczeństwa sieci

Wdrożenie wielu warstw zabezpieczeń sieciowych w celu wczesnego wykrywania ataków i ograniczania ich wpływu. Używaj zapór sieciowych i systemów wykrywania włamań (IDS) do filtrowania ruchu. Stosować programy antywirusowe i antymalware. Używanie narzędzi zapobiegających fałszowaniu adresów IP poprzez weryfikację adresów źródłowych (np. filtrowanie przychodzące). Upewnij się, że wszystkie punkty końcowe sieci (komputery stacjonarne, laptopy, urządzenia mobilne) są zabezpieczone, ponieważ są one często wykorzystywane. Rozważ segmentację sieci, aby podzielić systemy na podsieci, ograniczając promień wybuchu, jeśli jeden segment zostanie naruszony. Pomocne może być również ograniczenie rozgłaszania sieciowego; ograniczenie lub wyłączenie przekazywania rozgłaszania i wyłączenie niepotrzebnych usług, takich jak echo i chargen, tam gdzie to możliwe.

Nadmiarowość serwerów

Korzystanie z wielu rozproszonych serwerów utrudnia atakującym jednoczesne zaatakowanie wszystkich serwerów. Jeśli jedno urządzenie hostingowe zostanie zaatakowane, inne mogą nadal działać i przejąć obciążenie ruchem do czasu odzyskania docelowego systemu. Hostuj serwery w geograficznie zróżnicowanych centrach danych lub obiektach kolokacyjnych, aby uniknąć wąskich gardeł w sieci. Sieć dostarczania treści (CDN) zapewnia również redundancję poprzez dystrybucję treści na wielu serwerach.

Przejście na rozwiązania chmurowe i wykorzystanie możliwości dostawcy

Rozwiązania oparte na chmurze nie tylko zapewniają płynną skalowalność zasobów, ale także są często bezpieczniejsze i bardziej niezawodne niż tradycyjne konfiguracje lokalne. Dostawcy usług w chmurze zazwyczaj dysponują znacznie większą przepustowością niż poszczególne organizacje, co utrudnia przeprowadzenie ataków wolumetrycznych. Rozproszony charakter infrastruktury chmurowej również z natury zmniejsza podatność na ataki. Co więcej, dostawcy usług internetowych (ISP) i dostawcy usług w chmurze odgrywają kluczową rolę. Dostawcy usług internetowych mogą blokować złośliwy ruch, monitorować podejrzaną aktywność, zapewniać przepustowość na żądanie podczas ataków i dystrybuować ruch związany z atakami. Wielu dostawców usług w chmurze oferuje wyspecjalizowane usługi ochrony DDoS, wykorzystując swoją skalę i wiedzę specjalistyczną do skutecznego wykrywania i łagodzenia ataków.

Posiadanie planu reagowania

Dobrze opracowany plan reagowania ma kluczowe znaczenie dla każdej organizacji, aby skutecznie radzić sobie z incydentami, minimalizować szkody i zapewnić ciągłość działania w przypadku ataku. Im bardziej złożona infrastruktura, tym bardziej szczegółowy musi być plan. Plan reagowania na ataki DDoS powinien zawierać następujące elementy:

  • Lista kontrolna systemów
  • Dobrze wyszkolony zespół reagowania
  • Środki/protokoły wykrywania i ostrzegania
  • Kompleksowe strategie łagodzenia skutków (jak aktywować mechanizmy obronne, skontaktować się z dostawcami itp.)
  • Plany komunikacji dla interesariuszy wewnętrznych i zewnętrznych (w tym lista osób, które należy poinformować)
  • Procedury utrzymania działalności biznesowej podczas ataku
  • Lista systemów o krytycznym znaczeniu

Przeprowadzanie ocen podatności na zagrożenia

Oceny podatności pozwalają organizacjom na systematyczne sprawdzanie i badanie luk w ich sieciach, systemach i aplikacjach, zanim atakujący je wykorzysta. Obejmuje to oceny sieci i sieci bezprzewodowych, przeglądy zasad oraz sprawdzanie aplikacji internetowych i kodu źródłowego pod kątem błędów, często przy użyciu zautomatyzowanych narzędzi skanujących. Ocena ryzyka, generowanie kompleksowych raportów i ciągła praca nad oceną przyczynia się do solidnej strategii cyberbezpieczeństwa i pomaga zapewnić ciągłość działania. Takie podejście pomaga organizacjom złagodzić zagrożenia związane z atakami DDoS i ich rodzajami.

Rozwijanie i praktykowanie dobrych nawyków w zakresie cyberhigieny

Twój zespół musi zostać przeszkolony w zakresie dobrych nawyków higieny cybernetycznej, aby zapobiec naruszeniu bezpieczeństwa systemów i potencjalnemu wykorzystaniu ich w botnetach. Należą do nich:

  • Ustaw silne, unikalne hasła (co najmniej 12 znaków z cyframi, symbolami, dużymi/małymi literami) i zmieniaj je regularnie.
  • Unikaj udostępniania i ponownego używania haseł.
  • W miarę możliwości korzystaj z uwierzytelniania dwuskładnikowego (2FA), aby dodać dodatkową warstwę zabezpieczeń.
  • Stosuj szyfrowanie urządzeń na laptopach, tabletach, smartfonach, dyskach zewnętrznych i w chmurze.
  • Aktualizuj oprogramowanie i systemy za pomocą najnowszych poprawek bezpieczeństwa.

Koszty ataków DDoS

Ataki DDoS stają się coraz dłuższe, bardziej wyrafinowane i większe, znacznie zwiększając koszty dla firm. Według badań przeprowadzonych przez Ponemon Institute, średni koszt za minutę przestoju spowodowanego atakiem DDoS może być znaczny, potencjalnie sięgając 22 000 USD. Dokładne koszty zależą od takich czynników jak branża, wielkość firmy, czas trwania ataku i reputacja marki. Prawdziwe koszty wykraczają jednak daleko poza bezpośrednie straty finansowe i obejmują:

  • Koszty bezpośrednie: Zużycie przepustowości, uszkodzenie lub wymiana sprzętu, opłaty za usługi ograniczania ryzyka.
  • Koszty prawne: Potencjalne procesy sądowe lub grzywny regulacyjne w przypadku naruszenia poufnych danych lub umów o gwarantowanym poziomie usług.
  • Straty własności intelektualnej: Jeśli atak służy jako zasłona dymna dla kradzieży danych.
  • Straty produkcyjne i operacyjne: Utrata sprzedaży, spadek produktywności, rezygnacja klientów z powodu niedostępności usług.
  • Uszkodzenie reputacji: Utrata zaufania klientów, partnerów i inwestorów, która może mieć długotrwałe skutki.
  • Straty spowodowane technikami odzyskiwania danych: Koszt wdrożenia i utrzymania centrów oczyszczania, specjalistycznego sprzętu i wysiłków związanych z reagowaniem na incydenty.

W skrócie 

Teraz, gdy wiadomo już, że wpływ ataków typu Distributed Denial of Service (DDoS) jest znacznie bardziej kosztowny i uciążliwy niż kiedykolwiek wcześniej, ważne jest, aby zdać sobie sprawę z pilności sytuacji i podjąć proaktywne działania w celu ochrony tożsamości marki i utrzymania płynności operacji biznesowych. Przyszłość ataków IP DDoS pozostaje niepewna, ale nadal będą one stanowić poważne zagrożenie. Wraz z postępem technologicznym atakujący uzyskają dostęp do bardziej wyrafinowanych narzędzi, co sprawi, że obrona stanie się coraz większym wyzwaniem. Dlatego organizacje muszą być proaktywne w swoim podejściu do cyberbezpieczeństwa. Dzięki kompleksowym narzędziom do oceny podatności na ataki, proaktywnym protokołom reagowania na incydenty, narzędziom do monitorowania sieci, redundancji serwerów, solidnym zabezpieczeniom sieciowym, rozwiązaniom chmurowym i wspieraniu silnej świadomości cyberbezpieczeństwa wśród pracowników, organizacja może przeciwdziałać bezprecedensowemu wzrostowi ruchu objawiającego się w postaci różnych rodzajów ataków DDoS.

Aby chronić swoje aktywa przed nielegalnymi włamaniami i zapewnić wszechstronną ochronę przed cyberatakami opartymi na poczcie elektronicznej, należy polegać na naszych ekspertach z PowerDMARC. Dzięki naszej dogłębnej wiedzy i bogatemu doświadczeniu zapewniamy, że Twoje zasoby cyfrowe pozostaną bezpieczne, a Twoje operacje będą przebiegać sprawnie, nawet w obliczu przeciwników. Aby dowiedzieć się więcej o naszych rozwiązaniach z zakresu cyberbezpieczeństwa, skontaktuj się z nami z nami już dziś!

Latest posts by Ahona Rudra (zobacz wszystkie)
Ataki phishingowe na kierownictwo - praktyczne spostrzeż...Executive-Phishing - czy e-mail od prezesa jest fałszywy?Nie dać się złapać - obrona przed wrogim phishingiemNie dać się złapać: Obrona przed phishingiem wędkarskim