Як це працює. Все, що потрібно знати про DDoS-атаки

Одним із напрямків роботи кібервійськ стали DDoS-атаки на сайти агресора. Що це таке? Як організовується та який має ефект? Наша журналістка Дар’я Черніна розібралася у технічних особливостях процедури.

Що таке DDoS-атака

Це спроба зробити онлайн-сервіс недоступним, перевантаживши його трафіком із кількох джерел. Як правило, злочинці вибирають різні ресурси, починаючи з державних сайтів і банків до новинних сайтів та онлайн-магазинів. Особливість DDoS (Distributed Denial of Service attack) у цьому, що об’єкт атакують із кількох місць (зазвичай, країн) одночасно. Це ключова відмінність від DoS (Denial of Service) — коли зловмисники здійснюють атаку з однієї точки.

Цілей у DDoS-атак може бути одна або кілька. Найчастіше це:

• шантаж — вимога грошей за відновлення роботи системи;
• цінні дані;
• дестабілізація роботи ресурсу на певний час;
• розвага — так, це один зі способів заявити про себе.

У нинішніх умовах мета кібератак українців — завдати шкоди агресору та закликати громадян РФ діяти проти війни.

2022 року організувати DDoS-атаку доволі просто. Тут навіть не потрібна специфічна технічна підготовка, дипломи або глибинні знання HTML і HTTPS. Наприклад, перший набір публічних інструментів, за допомогою яких можна здійснити атаку, з’явився у відкритому доступі ще 1996 року.

Навіть у мирний час DDoS-атаку можна замовити. На «чорному ринку» послуга обійдеться від кількох десятків до кількох сотень доларів на годину. Ціна залежить від тривалості та складності атаки. Ця послуга настільки популярна, що її можна придбати через різні Telegram-канали або вебресурси.

Попит каже сам за себе. У першому кварталі 2021-го хакери здійснили 5,4 млн DDoS-атак.

Які бувають DDoS-атаки

DDoS-атаки спрямовані на різні рівні OSI. Ця модель визначає мережеві протоколи, розподіляючи їх у сім логічних рівнів.

Усього їх три види:

• Protocol attacks (на рівні протоколу) — атаки, в яких використовуються вразливості мережевих протоколів, таких як TCP, UDP, ICMP — 3 та 4 рівні моделі OSI. Стоїть завдання перевантажити мережеві потужності не стільки гігантським обсягом трафіку, скільки точковими діями, використовуючи недосконалості мережі.
• Application layer attacks (прикладний рівень) — атаки на прикладному рівні (7 рівень OSI) спрямовані на вебсервери та програми. Наприклад, CMS сайту. Головною метою є виведення з ладу ресурсів. Зокрема, надмірне навантаження на CPU чи RAM.
• Volumetric attacks (об’ємні) — найпоширеніший тип. Зловмисники роблять таку кількість запитів до сервера, що трафік просто перекриває всю пропускну здатність мережі. Його обсяг може сягати кількох терабіт на секунду.

DDoS-атака можна спрямувати на кожен із семи рівнів, але найчастіше їх ініціюють на мережевому та транспортному рівні — низькорівневі атаки, а також на сеансовому та прикладному — високорівневі атаки.

Як організувати кібератаку

Щоби перевантажити будь-який сервіс трафіком, потрібен ботнет. Так називають мережі із заражених пристроїв. Це можуть бути домашні комп’ютери, роутери, принтери, вебкамери та інші пристрої IoT (Internet of Things). Останніми роками можливості ботнетів значно розширилися. З одного боку, у населення стає більше девайсів. З іншого боку, лише 1 із 20 пристроїв забезпечено високим рівнем захисту. Так власники заражених пристроїв навіть можуть не підозрювати, що їхній роутер або розумний пилосос полягає в ботнеті й може використовуватися для кібератак.

Ботнети не створюються за день. Тут потрібен час, щоб охопити якнайбільше комп’ютерів і перетворити їх на зомбі. Як правило, девайси та гаджети заражаються навмисно. Серед найпоширеніших методів:

• розсилання e-mail із зараженими файлами;
• зараження через нелегальне ПЗ;
• проникнення через вразливі місця легального програмного забезпечення на пристрій.

Найбільші ботнети на сьогодні — ZeuS (приблизно 13 млн заражених пристроїв), Mirai (до 560 000), Meris (до 250 000).

Для посилення DDoS-атак використовують DNS — найбільшу базу даних у світі. Саме в ній зберігаються доменні імена та IP-адреси.

«Коли ви вводите в рядку браузера mil точка gov точка ua, браузер спочатку звертається до DNS-сервера і запитує, яка адреса цього домену? Сервер відповідає 104.18.6.221 (вітаю МОУ з переїздом за Cloudflare, давно настав час). Проблема в тому, що запит невеликий від 50 байтів, а відповідь велика до 8 кілобайтів (якщо є підтримка eDNS0). Виникає плече до 1 до 160 (зазвичай менше ніж 1:160)», — пояснює процес прессекретар кіберальянсу України (UCA), відомий як Шон Браян Таунсенд, у своєму Telegram-каналі.

Тобто нападник купує сервер і починає надсилати запити спеціально підібраним та абсолютно легальним DNS-серверам. А як відправник вказується адреса жертви.

«Якщо сервер має гігабітне підключення, то плече перетворить їх на 20–100 гігабіт сміття за секунду», — уточнює експерт.

За це зловмисникам може загрожувати штраф від 2000 до 4000 неоподатковуваних мінімумів доходів громадян або обмеження волі до трьох років.

У разі повторних дій — обмеження волі до п’яти років або позбавлення волі на той же термін із забороною обіймати певні посади або вести певну діяльність на строк до трьох років.

Як визначити DDoS-атаку

Як правило, атака схожа на аномальне зростання трафіку. Тут головне не переплутати її з органічними візитами на сайт. Наприклад, коли компанія запустила новий продукт чи оновила інтерфейс. Як приклад можна розглянути трафік 2021 клієнта Cloudflare — американської компанії, що надає зокрема захист від DDoS-атак.

Судячи з картинки, можна побачити, що протягом декількох секунд на ресурс здійснювалося понад 15 млн запитів. Cloudflare також проаналізував трафік країнами.

Судячи з IP-адрес ботів, майже 15% атак були скоєні з Індонезії та майже 5% з України. Це говорить про те, що у цих країнах є багато заражених пристроїв.

Тривалість DDoS-атак може змінюватися залежно від різних факторів. Згідно зі звітом Radware, 33% атак тривають майже годину, 60% тривають майже добу, а 15% не припиняються протягом місяця.

Як запобігти DDoS-атаці (українцям варто це знати)

Є низка правил, які допоможуть мінімізувати ризики:

• Фільтрувати трафік на рівні хостингу. Цю послугу зазвичай пропонують провайдери.
• Робити тестові напади на сервер. І тому є програми типу Hping3, LOIC чи OWASP Switchblade.
• Відстежувати та аналізувати трафік підключення до інтернету.
• Організовувати додаткове навчання кібербезпеки серед співробітників, обмінюватися досвідом.

Важливо використовувати лише ліцензований софт, оновлювати ключі безпеки, а також час від часу перевіряти програмне забезпечення на наявність шкідливих програм.

Для всіх охочих приєднатися до IT-війська, welcome!