Виды DDoS-атак и способы их предотвращения

Блог

Различные типы DDoS-атак посеяли значительный хаос в цифровом мире - давайте разберемся, что это такое и как их предотвратить.

Ахона Рудра

Время чтения: 10 мин
Виды DDoS-атак и способы их предотвращения
Оглавление-

Среди всех киберугроз распределенные атаки типа "отказ в обслуживании" (DDoS) являются одними из самых коварных и распространенных. Согласно отчету, в 2022 году 74 %-ный рост количество DDoS-атак увеличится на 74 % по сравнению с предыдущими годами. Даже на начальном этапе организации должны принимать меры по предотвращению DDoS-атак. Защита от DDoS-атаки очень важна, поскольку она позволяет злоумышленникам переполнять сеть трафиком, что приводит к ее постоянному или временному отключению. Перегрузка трафика нарушает связь, лишая легитимных пользователей возможности посещать ваш сайт.

По сути, DDoS-атака или распределенный отказ в обслуживании - это киберпреступление, в ходе которого хакеры пытаются вывести из строя сеть или сервер, перегружая его фальшивым трафиком. Непредвиденный всплеск сообщений, запросов на соединение или пакетов данных перегружает целевую систему, заставляя ее замедлиться или отключиться. Мотивом преступников или хактивистов, осуществляющих различные типы DDoS-атак, часто является переполнение сети или системы цели запросами, чтобы помешать бизнес-операциям или сделать веб-сайт/приложение недоступным для его целевых пользователей.

Другие мотивы могут включать манипулирование целями, чтобы заставить их заплатить большой выкуп, нарушение работы сервиса из-за профессионального соперничества, подрыв имиджа бренда или отвлечение команды реагирования на инцидент для попытки более масштабной атаки. С годами эти атаки эволюционировали, поэтому защититься от них стало сложнее. Однако при правильной стратегии и всестороннем понимании этих атак вы можете смягчить их последствия. В дальнейшем это может привести к другим формам киберпреступлений, таким как фишинг и спуфинг, которые могут быть смягчены, если вы используете SPF, DKIM и DMARC.

В этой статье мы расскажем вам о различных типах DDoS-атак и стратегиях защиты ваших цифровых активов и обеспечения бесперебойной работы бизнеса в современном мире гиперподключений. Последствия IP DDoS-атаки могут быть значительными, включая упущенную выгоду, испорченную репутацию и даже юридическую ответственность. Кроме того, частота и интенсивность таких атак постоянно растут, поэтому сетевым администраторам и специалистам по безопасности крайне важно понимать их природу и последствия.

Ключевые выводы

  1. DDoS-атаки используют различные сетевые уровни (прикладной, протокольный, объемный), применяя такие методы, как SYN-флуд, UDP-флуд и атаки отражения, чтобы перегрузить системы.
  2. Эффективная защита требует многоуровневого подхода, включающего уменьшение поверхности атаки (WAF, CDN), мониторинг сети, резервирование серверов и надежные методы обеспечения безопасности.
  3. Обнаружение DDoS включает в себя определение базовых параметров трафика, мониторинг аномалий (например, связь с C&C-сервером) и анализ в режиме реального времени.
  4. Комплексный план реагирования на DDoS, включающий обученную команду и четкие протоколы, имеет решающее значение для минимизации времени простоя и ущерба.
  5. Ущерб от DDoS-атак не ограничивается простоями, а приводит к значительным финансовым, репутационным и операционным потерям, что подчеркивает необходимость проактивного информирования и предотвращения кибербезопасности.

Различные виды DDoS-атак

Хотя основная идея всех DDoS-атак одинакова - забить трафиком ИТ-инфраструктуру жертвы и помешать ее работе, они могут быть выполнены по-разному. Различные типы DDoS-атак классифицируются в зависимости от уровня сетевых соединений, на которые они нацелены, что может существенно изменить способ их обнаружения и защиты от них. Как правило, они делятся на три основные категории: объемные атаки, атаки на протоколы и атаки на прикладной уровень.

  • Объемные атаки: Цель этих атак - потребление всей доступной полосы пропускания между целью и сетью Интернет. Они уменьшают пропускную способность вашего сайта, используя технику усиления. Обнаружить такую атаку сложно, поскольку трафик поступает с нескольких IP-адресов. В качестве примера можно привести UDP-флуд и ICMP-флуд.
  • Атаки на протокол: Они направлены на потребление ресурсов сервера или промежуточного коммуникационного оборудования, такого как брандмауэры и балансировщики нагрузки. Примерами могут служить SYN-флуд и атаки типа "Ping of Death".
  • Атаки на прикладном уровне: Они направлены на конкретные приложения или сервисы, используя уязвимости (например, SIP, голосовые сервисы, BGP) или заваливая их, казалось бы, легитимными запросами, лишая приложение возможности доставлять контент. Частым примером являются HTTP-флуды.

Среди распространенных примеров конкретных типов DDoS-атак и их реальных примеров можно назвать следующие:

Атака на отражение CLDAP

CLDAP Reflection Attack - один из самых распространенных и смертоносных видов DDoS-атак, причем воздействие новых эксплойтов увеличилось до 70 раз за последние годы. Атака направлена на протокол доступа к каталогам Connectionless Lightweight Directory Access Protocol (CLDAP), который является альтернативой LDAP (Lightweight Directory Access Protocol).

При этой атаке злоумышленник использует поддельный IP-адрес отправителя жертвы для инициирования запросов к уязвимому LDAP-серверу. Затем уязвимый сервер отвечает на IP-адрес жертвы усиленными ответами, вызывая тем самым атаку отражения. Это один из видов объемной атаки.

DDoS-атака на AWS: 2020 год

В 2020 году компания Amazon Web Services Inc. сообщила на сайте что ей удалось отразить распределенный отказ в обслуживании со скоростью 2,3 Тбайт/с, что стало крупнейшим ударом в истории DDoS-атак. Согласно отчету AWS, в основе этой атаки лежала отраженная DDoS-атака CLDAP, организованная с целью нарушить работу приложения или сайта путем наводнения цели огромным количеством запросов.

DDoS-атака на Memcached

Как и любой другой тип DDoS-атаки, Memcached DDoS Attack представляет собой атаку, в ходе которой угрожающий субъект переполняет сервер цели интернет-трафиком. 

В этой атаке злоумышленник использует поддельный IP-адрес для использования уязвимого UDP-сервера memcached с небольшими запросами, чтобы получить усиленные ответы, направленные на IP-адрес жертвы, создавая впечатление, что запросы исходят от самой жертвы. Это еще один пример объемной атаки на основе отражения.

DDoS-атака на GitHub: 2018 год

В 2018 году DDoS-атаке подвергся GitHub - онлайн-платформа для управления кодом, используемая разработчиками по всему миру. Атака привела к тому, что серверы GitHub были в ярости: трафик объемом 1,2 Тбит/с был отправлен со скоростью 126,9 млн в секунду. 1,2 Тбит/с трафика, передаваемого со скоростью 126,9 млн в секунду.. Источником атаки стали более тысячи отдельных автономных систем (ASN), распределенных по десяткам тысяч отдельных конечных точек.

HTTPS DDoS-атака

Атака HTTP flood, также известная как DDoS-атака 7-го уровня (атака уровня приложений), использует кажущийся легитимным HTTP GET или POST-запрос для снижения нагрузки на сервер или приложение. Вместо отправки больших пакетов злоумышленник посылает множество запросов через HTTP/HTTPS-соединение. Это приводит к высокой загрузке процессора и потреблению памяти на целевом узле, поскольку ему необходимо обработать эти запросы, прежде чем ответить на них, возможно, с сообщением об ошибке: "сервер слишком занят" или "ресурс недоступен". Подобные DDoS-атаки опираются на ботнет, который представляет собой сеть взломанных компьютеров, контролируемых одним субъектом. Поскольку злоумышленник использует стандартные URL-запросы, поддельный трафик практически неотличим от действительного. 

Атака Google: 2022 год

Ярким примером DDoS-атаки по протоколу HTTPS является атака, которой подверглась компания Google в 2022 году. Google, произошедшая 1 июня 2022 года. Инфраструктура и сервисы Google были выведены из строя, когда злоумышленник, используя несколько адресов, сгенерировал более 46 млн. запросов в секунду, что на 76% превысило ранее зафиксированный рекорд.

Атака SYN Flood

Атака SYN flood (тип атаки протокола) - один из самых распространенных видов атак на вашу сеть. При этой атаке злоумышленник посылает на ваш сервер поток SYN-пакетов (часть рукопожатия TCP), часто с поддельными IP-адресами источника. Сервер отвечает пакетом SYN-ACK на каждый запрос SYN, ожидая финального пакета ACK, который так и не приходит с поддельного адреса. В результате остается множество полуоткрытых соединений, которые потребляют ресурсы сервера до тех пор, пока он не перестает обрабатывать легитимные запросы.

Атака UDP Flood

При атаке UDP flood (объемная атака) злоумышленник отправляет большое количество пакетов протокола User Datagram Protocol (UDP) на случайные порты целевого сервера. Сервер пытается обработать эти пакеты, проверяя наличие приложений, прослушивающих эти порты. Не найдя таковых, он отвечает пакетом ICMP "Destination Unreachable". Огромный объем входящих UDP-пакетов и исходящих ICMP-ответов может истощить ресурсы сервера и пропускную способность сети, что приведет к перебоям в обслуживании.

Атака смурфов

Атака Smurf (разновидность объемной/отражательной атаки) использует поддельные эхо-запросы ICMP (pings). Атакующий отправляет эти запросы на широковещательный адрес сети, используя IP-адрес жертвы в качестве IP-адреса источника. Затем все устройства в широковещательной сети отвечают ICMP-эхо-запросами на поддельный адрес жертвы. В результате на целевой компьютер поступают тысячи пингов в секунду, что может привести к его перегрузке.

Смертельная атака

Атака Ping of Death (протокольная атака) - одна из старых DDoS-атак, использующая фрагментацию IP-адресов. Злоумышленник отправляет IP-пакет, размер которого превышает максимально допустимый (65 535 байт), фрагментируя его. Когда целевая система пытается собрать пакет большего размера, это может привести к переполнению буфера и краху системы на старых, непропатченных системах. Хотя сегодня этот метод менее эффективен из-за более совершенных ОС, принцип использования уязвимостей протокола остается актуальным.

Защита от распределенных атак типа "отказ в обслуживании 

Поскольку серьезность и частота различных типов DDoS-атак становятся насущными проблемами для организаций и их служб безопасности, крайне важно придерживаться стратегического подхода к предотвращению и смягчению последствий этих вредоносных атак. Грамотный план обеспечения кибербезопасности не только помогает предприятиям укрепить свою сетевую инфраструктуру, но и сохранить целостность веб-сайта/приложения. 

Вот несколько способов предотвращения DDoS-атак и обеспечения бесперебойной работы пользователей в Интернете:

Уменьшите площадь атаки

Один из первых шагов к обеспечению устойчивости цифровой инфраструктуры - ограничение точек уязвимости для злоумышленников. Защитите важные документы, приложения, порты, протоколы, серверы и другие потенциальные точки входа. Для этого можно использовать брандмауэр веб-приложений (WAF) или службу CDN, чтобы предотвратить прямой доступ злоумышленников к вашим цифровым ресурсам, размещенным на сервере или в приложении. CDN кэширует контент в глобальном масштабе и обслуживает запросы, а WAF фильтрует вредоносные запросы. Также необходимо использовать балансировщики нагрузки для распределения трафика и защиты веб-серверов. Регулярно чистите веб-сайты и приложения, удаляя неактуальные сервисы и открытые порты, которыми могут воспользоваться хакеры.

Мониторинг и анализ сетевого трафика

Если вы заметили необычные действия или аномалии в сетевом трафике, примите это как знак, чтобы проанализировать и оперативно отреагировать на них. Эффективный способ сделать это - установить базовый уровень или эталон типичного поведения сети (анализ базового трафика). Все, что значительно отклоняется от этой базовой линии, может свидетельствовать о потенциальном нарушении безопасности. Обращайте внимание на такие "красные флажки", как плохое соединение, низкая производительность, избыточный трафик на определенную конечную точку, частые сбои или необычные модели трафика с одного IP-адреса или группы. Опасность могут представлять и атаки с малым объемом и небольшой продолжительностью. Раннее обнаружение с помощью непрерывного профилирования трафика и пакетов просто необходимо. Ищите связь с известными командно-контрольными (C&C) серверами, используемыми ботнетами. Реагирование в режиме реального времени, возможно, с использованием систем корреляции событий на основе правил, которые автоматически обнаруживают подозрительную активность и реагируют на нее, имеет решающее значение.

Обеспечьте надежную сетевую безопасность

Внедрите несколько уровней сетевой безопасности, чтобы обнаружить атаки на ранней стадии и ограничить их воздействие. Используйте брандмауэры и системы обнаружения вторжений (IDS) для фильтрации трафика. Используйте антивирусные программы и программы защиты от вредоносного ПО. Используйте инструменты для предотвращения подмены IP-адресов путем проверки исходных адресов (например, фильтрация на входе). Убедитесь, что все конечные точки сети (настольные компьютеры, ноутбуки, мобильные устройства) защищены, поскольку они часто подвергаются эксплуатации. Рассмотрите возможность сегментации сети, чтобы разделить системы на подсети, ограничив радиус поражения при компрометации одного сегмента. Ограничение сетевого вещания также может помочь; ограничьте или отключите переадресацию вещания и отключите ненужные службы, такие как echo и chargen, где это возможно.

Обеспечьте резервирование серверов

Использование нескольких распределенных серверов затрудняет одновременную атаку злоумышленников на все серверы. Если одно хостинговое устройство подвергается атаке, другие могут продолжать работать и принимать на себя нагрузку до тех пор, пока целевая система не восстановится. Размещайте серверы в географически разных центрах обработки данных или колокейшн, чтобы избежать узких мест в сети. Сеть доставки контента (CDN) также по своей сути обеспечивает избыточность, распределяя контент по многим серверам.

Переход на облачные решения и использование возможностей поставщиков

Облачные решения не только обеспечивают плавное масштабирование ресурсов, но и зачастую являются более безопасными и надежными, чем традиционные локальные системы. Облачные провайдеры, как правило, обладают гораздо большей пропускной способностью, чем отдельные организации, что затрудняет проведение объемных атак. Распределенный характер облачной инфраструктуры также снижает уязвимость. Кроме того, решающую роль играют поставщики интернет-услуг (ISP) и облачные провайдеры. Провайдеры могут блокировать вредоносный трафик, отслеживать подозрительную активность, предоставлять пропускную способность по требованию во время атак и распределять трафик атак. Многие облачные провайдеры предлагают специализированные услуги по защите от DDoS, используя свой масштаб и опыт для обнаружения и эффективного противодействия атакам.

Наличие плана реагирования

Хорошо продуманный план реагирования крайне важен для любой организации, чтобы эффективно справиться с инцидентами, минимизировать ущерб и обеспечить непрерывность бизнеса в случае атаки. Чем сложнее ваша инфраструктура, тем более подробным должен быть план. Ваш план реагирования на DDoS-атаки должен включать следующее:

  • Контрольный список систем
  • Хорошо подготовленная команда реагирования
  • Меры/протоколы обнаружения и оповещения
  • Комплексные стратегии по снижению воздействия (как активировать защитные механизмы, связаться с поставщиками и т. д.)
  • Планы коммуникации для внутренних и внешних заинтересованных сторон (включая список тех, кого необходимо проинформировать)
  • Процедуры для поддержания бизнес-операций во время атаки
  • Список критически важных систем

Проведение оценки уязвимости

Оценка уязвимостей позволяет организациям систематически проверять и исследовать лазейки в своих сетях, системах и приложениях до того, как злоумышленник воспользуется ими. Это включает в себя оценку сетей и беспроводных сетей, анализ политик, а также проверку веб-приложений и исходного кода на наличие изъянов, часто с помощью автоматизированных инструментов сканирования. Оценка рисков, составление комплексных отчетов и постоянная работа над оценкой способствуют разработке надежной стратегии кибербезопасности и помогают обеспечить непрерывность работы. Такой подход помогает организациям уменьшить опасность DDoS-атак и их типов.

Развивайте и применяйте на практике хорошие привычки кибергигиены

Ваша команда должна быть обучена хорошим навыкам кибергигиены, чтобы предотвратить взлом систем и их потенциальное использование в ботнетах. К ним относятся:

  • Устанавливайте надежные, уникальные пароли (не менее 12 символов с цифрами, символами, заглавными и прописными буквами) и регулярно меняйте их.
  • Избегайте совместного и повторного использования паролей.
  • Используйте двухфакторную аутентификацию (2FA) везде, где это возможно, чтобы добавить дополнительный уровень безопасности.
  • Используйте шифрование устройств на ноутбуках, планшетах, смартфонах, внешних дисках и в облачных хранилищах.
  • Обновляйте программное обеспечение и системы последними исправлениями безопасности.

Затраты на DDoS-атаки

DDoS-атаки становятся все более продолжительными, изощренными и масштабными, что значительно увеличивает расходы предприятий. Согласно исследованию Ponemon Institute, средняя стоимость минуты простоя в результате DDoS-атаки может быть значительной и достигать 22 000 долларов. Точные затраты зависят от таких факторов, как отрасль, размер предприятия, продолжительность атаки и репутация бренда. Однако реальные затраты выходят далеко за рамки непосредственных финансовых потерь и включают в себя:

  • Прямые затраты: Потребление полосы пропускания, повреждение или замена оборудования, плата за услуги по снижению нагрузки.
  • Юридические издержки: Потенциальные судебные иски или штрафы от регулирующих органов в случае компрометации конфиденциальных данных или нарушения соглашений об уровне обслуживания.
  • Потери интеллектуальной собственности: Если атака служит прикрытием для кражи данных.
  • Производственные и операционные потери: Потерянные продажи, снижение производительности, отток клиентов из-за недоступности сервиса.
  • Ущерб репутации: Потеря доверия со стороны клиентов, партнеров и инвесторов, что может иметь долгосрочные последствия.
  • Потери, связанные с методами восстановления: Стоимость внедрения и обслуживания центров очистки, специализированного оборудования и мер по ликвидации последствий инцидентов.

В двух словах 

Теперь, когда вы знаете, что последствия распределенных атак типа "отказ в обслуживании" (DDoS) гораздо более дорогостоящие и разрушительные, чем когда-либо, необходимо осознать всю остроту ситуации и принять упреждающие меры для защиты вашего бренда и поддержания бесперебойной работы бизнеса. Будущее IP DDoS-атак остается неопределенным, но они по-прежнему будут представлять собой серьезную угрозу. По мере развития технологий злоумышленники получат доступ к более сложным инструментам, что сделает защиту все более сложной. Поэтому организациям необходимо проактивно подходить к обеспечению кибербезопасности. Используя комплексные средства оценки уязвимостей, протоколы упреждающего реагирования на инциденты, средства мониторинга сети, резервирование серверов, надежную сетевую защиту, облачные решения и повышая осведомленность сотрудников о кибербезопасности, ваша организация сможет противостоять беспрецедентному росту трафика, проявляющемуся в виде различных типов DDoS-атак.

Чтобы защитить свои активы от незаконного взлома и обеспечить комплексную защиту от кибератак на электронную почту, доверьтесь нашим экспертам из PowerDMARC. Благодаря глубоким знаниям и большому опыту мы обеспечим сохранность ваших цифровых активов и бесперебойную работу даже перед лицом врагов. Чтобы узнать больше о наших решениях в области кибербезопасности, свяжитесь с нами с нами прямо сейчас!

Последние сообщения Ахона Рудра (см. все)
Фишинг-атаки на руководителей - практические рекомендации и меры по предотвращению...Executive-Phishing-Is-the-Email-From-Your-CEO-FakeStaying-off-the-Hook-Defending-Against-Angler-PhishingНе попасться на крючок: Защита от Angler Phishing