Как это работает. Все, что нужно знать о DDoS-атаках
Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Одним из направлений работы кибервойск стали DDoS-атаки на сайты агрессора. Что это такое? Как организовывается и какой имеет эффект? Наша журналистка Дарья Чернина разобралась в технических особенностях процедуры.
Что такое DDoS-атака
Это попытка сделать онлайн-сервис недоступным, перегрузив его трафиком из нескольких источников. Как правило, в качестве жертвы выбирают различные ресурсы, начиная с государственных сайтов и банков до новостных сайтов и онлайн-магазинов. Особенность DDoS (Distributed Denial of Service attack) в том, что объект атакуют из нескольких мест (как правило, стран) одновременно. Это ключевое отличие от DoS (Denial of Service) — когда злоумышленники производят атаку с одной точки.
Целей у DDoS-атак может быть одна или несколько. Чаще всего это:
- шантаж — требование денег за возобновление работы системы;
- ценные данные;
- дестабилизация работы ресурса на определенное время;
- развлечение — да, это один из способов заявить о себе.
В нынешних условиях цель кибератак украинцев — нанести урон агрессору и призвать граждан РФ действовать против войны.
В 2022 году организовать DDoS-атаку достаточно просто. Тут даже не нужна специфическая техническая подготовка, какие-то дипломы или глубинные знания HTML и HTTPS. К примеру, первый набор публичных инструментов, с помощью которых можно осуществить атаку, появился в открытом доступе еще в 1996 году.
Даже в мирное время DDoS-атаку можно заказать. На «черном рынке» услуга обойдется от нескольких десятков до пары сотен долларов в час. Цена зависит от длительности и сложности атаки. Эта услуга настолько популярная, что приобрести ее можно через различные Telegram-каналы или веб-ресурсы.
Спрос говорит сам за себя. В первом квартале 2021-го хакеры совершили 5,4 млн DDoS-атак.
Какие бывают DDoS-атаки
DDoS-атаки направлены на различные уровни OSI Модель OSI Open Systems Interconnection — это скелет, фундамент и база всех сетевых сущностей . Эта модель определяет сетевые протоколы, распределяя их на семь логических уровней.
Всего их три вида:
- Protocol attacks (на уровне протокола) — атаки, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объемом трафика, сколько точечными действиями, использующими несовершенства сети;
- Application layer attacks (прикладной уровень) — атаки на прикладном уровне (7 уровень OSI) направлены на веб-серверы и приложения. Например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM;
- Volumetric attacks (объемные) — самый распространенный тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети. Его объем может доходить до нескольких терабит в секунду.
DDoS-атака может обрушиться на каждый из семи уровней, но чаще всего их инициируют на сетевом и транспортном уровне — низкоуровневые атаки, а также на сеансовом и прикладном — высокоуровневые атаки.
Как организовать DDoS-атаку
Чтобы перегрузить любой сервис трафиком, нужен ботнет. Так называют сети из зараженных устройств. Это могут быть домашние компьютеры, роутеры, принтеры, веб-камеры и прочие устройства IoT (Internet of Things). За последние годы возможности ботнетов значительно расширились. С одной стороны, у населения становится больше девайсов. С другой — только 1 из 20 устройств обеспечено высоким уровнем защиты. Так владельцы зараженных устройств даже могут не подозревать, что их роутер или умный пылесос состоит в ботнете и может использоваться для кибератак.
Ботнеты не создаются за один день. Тут нужно время, чтобы охватить как можно больше компьютеров и превратить их в зомби. Как правило, девайсы и гаджеты заражаются намеренно. Среди самых распространенных методов:
- рассылка e-mail с зараженными файлами;
- заражение через нелегальное ПО;
- проникновение через уязвимые места легального ПО на устройство.
Самые крупные ботнеты на сегодня — ZeuS (около 13 млн зараженных устройств), Mirai (до 560 000), Meris (до 250 000).
Для усиления DDoS-атак используют DNS — самую большую базу данных в мире. Именно в ней хранятся доменные имена и IP-адреса.
«Когда вы вводите в строке броузера mil точка gov точка ua, броузер сперва обращается к DNS-серверу и запрашивает, какой адрес у этого домена? Сервер отвечает 104.18.6.221 (поздравляю МОУ с переездом за Cloudflare, давно пора). Проблема в том, что запрос маленький от 50 байт, а ответ большой до 8 килобайт (если есть поддержка eDNS0). Возникает плечо до 1 к 160 (как правило, меньше чем 1:160)», — объясняет процесс пресс-секретарь киберальянса Украины (UCA), известный как Шон Брайан Таунсенд, в своем Telegram-канале (орфография автора сохранена).
То есть атакующий покупает сервер и начинает посылать запросы специально подобранным и абсолютно легальным DNS-серверам. А в качестве отправителя указывается адрес жертвы.
«Если у сервера гигабитное подключение, то плечо превратит их в 20–100 гигабит мусора в секунду», — уточняет эксперт.
За это злоумышленникам может грозить штраф от двух до четырех тысяч необлагаемых налогом минимумов доходов граждан или ограничение свободы до трех лет.
В случае повторных действий — ограничение свободы до пяти лет или лишение свободы на тот же срок с запретом занимать определенные должности или вести определенную деятельность сроком до трех лет.
Как определить DDoS-атаку
Как правило, атака похожа на аномальный рост трафика. Тут главное не перепутать ее с органическими заходами на сайт. Например, когда компания запустила новый продукт или обновила интерфейс. В качестве примера можно рассмотреть трафик 2021 года клиента Cloudflare — американской компании, предоставляющей в частности защиту от DDoS-атак.
Судя по картинке, можно увидеть, что в течении пары секунд на ресурс осуществлялось свыше 15 млн запросов. Cloudflare также проанализировал трафик по странам.
Судя по IP-адресам ботов, почти 15% атак были совершены из Индонезии и почти 5% из Украины. Это говорит о том, что в этих странах есть много зараженных устройств.
Длительность DDoS-атак может варьироваться в зависимости от разных факторов. Согласно отчету Radware, 33% атак продолжаются около часа, 60% длятся почти сутки, а 15% не прекращаются в течение целого месяца.
Как предотвратить DDoS-атаку (украинцам стоит это знать)
Есть ряд правил, которые помогут минимизировать риски:
- Фильтровать трафик на уровне хостинга. Эту услугу обычно предоставляют провайдеры.
- Делать тестовые «нападения» на сервер. Для этого есть программы типа Hping3, LOIC либо OWASP Switchblade.
- Отслеживать и анализировать трафик подключения к интернету.
- Организовывать дополнительное обучение по кибербезопасности среди сотрудников, обмениваться опытом.
Немаловажно использовать только лицензированный софт, обновлять ключи безопасности, а также время от времени проверять ПО на наличие вредоносных программ.
Для всех желающих присоединиться к IT-войску, welcome!