Как это работает. Все, что нужно знать о DDoS-атаках

Одним из направлений работы кибервойск стали DDoS-атаки на сайты агрессора. Что это такое? Как организовывается и какой имеет эффект? Наша журналистка Дарья Чернина разобралась в технических особенностях процедуры.

Что такое DDoS-атака

Это попытка сделать онлайн-сервис недоступным, перегрузив его трафиком из нескольких источников. Как правило, в качестве жертвы выбирают различные ресурсы, начиная с государственных сайтов и банков до новостных сайтов и онлайн-магазинов. Особенность DDoS (Distributed Denial of Service attack) в том, что объект атакуют из нескольких мест (как правило, стран) одновременно. Это ключевое отличие от DoS (Denial of Service) — когда злоумышленники производят атаку с одной точки.

Целей у DDoS-атак может быть одна или несколько. Чаще всего это:

• шантаж — требование денег за возобновление работы системы;
• ценные данные;
• дестабилизация работы ресурса на определенное время;  
• развлечение — да, это один из способов заявить о себе.

В нынешних условиях цель кибератак украинцев — нанести урон агрессору и призвать граждан РФ действовать против войны.

В 2022 году организовать DDoS-атаку достаточно просто. Тут даже не нужна специфическая техническая подготовка, какие-то дипломы или глубинные знания HTML и HTTPS. К примеру, первый набор публичных инструментов, с помощью которых можно осуществить атаку, появился в открытом доступе еще в 1996 году.

Даже в мирное время DDoS-атаку можно заказать. На «черном рынке» услуга обойдется от нескольких десятков до пары сотен долларов в час. Цена зависит от длительности и сложности атаки. Эта услуга настолько популярная, что приобрести ее можно через различные Telegram-каналы или веб-ресурсы.

Спрос говорит сам за себя. В первом квартале 2021-го хакеры совершили 5,4 млн DDoS-атак.

Какие бывают DDoS-атаки

DDoS-атаки направлены на различные уровни OSI Модель OSI Open Systems Interconnection — это скелет, фундамент и база всех сетевых сущностей . Эта модель определяет сетевые протоколы, распределяя их на семь логических уровней.

Всего их три вида:

• Protocol attacks (на уровне протокола) — атаки, в которых используются уязвимости сетевых протоколов, таких как TCP, UDP, ICMP — 3 и 4 уровни модели OSI. В данном случае стоит задача перегрузить сетевые мощности не столько гигантским объемом трафика, сколько точечными действиями, использующими несовершенства сети;
• Application layer attacks (прикладной уровень) — атаки на прикладном уровне (7 уровень OSI) направлены на веб-серверы и приложения. Например, CMS сайта. Главной целью в данном случае является выведение из строя ресурсов. В частности, чрезмерная нагрузка на CPU или RAM;
• Volumetric attacks (объемные) — самый распространенный тип. Злоумышленники делают такое количество запросов к серверу, что образовавшийся трафик просто перекрывает всю пропускную способность сети. Его объем может доходить до нескольких терабит в секунду. 

DDoS-атака может обрушиться на каждый из семи уровней, но чаще всего их инициируют на сетевом и транспортном уровне — низкоуровневые атаки, а также на сеансовом и прикладном — высокоуровневые атаки.

Как организовать DDoS-атаку

Чтобы перегрузить любой сервис трафиком, нужен ботнет. Так называют сети из зараженных устройств. Это могут быть домашние компьютеры, роутеры, принтеры, веб-камеры и прочие устройства IoT (Internet of Things). За последние годы возможности ботнетов значительно расширились. С одной стороны, у населения становится больше девайсов. С другой — только 1 из 20 устройств обеспечено высоким уровнем защиты. Так владельцы зараженных устройств даже могут не подозревать, что их роутер или умный пылесос состоит в ботнете и может использоваться для кибератак.  

Ботнеты не создаются за один день. Тут нужно время, чтобы охватить как можно больше компьютеров и превратить их в зомби. Как правило, девайсы и гаджеты заражаются намеренно. Среди самых распространенных методов:

• рассылка e-mail с зараженными файлами;
• заражение через нелегальное ПО;
• проникновение через уязвимые места легального ПО на устройство.

Самые крупные ботнеты на сегодня — ZeuS (около 13 млн зараженных устройств), Mirai (до 560 000), Meris (до 250 000).

Для усиления DDoS-атак используют DNS — самую большую базу данных в мире. Именно в ней хранятся доменные имена и IP-адреса.

«Когда вы вводите в строке броузера mil точка gov точка ua, броузер сперва обращается к DNS-серверу и запрашивает, какой адрес у этого домена? Сервер отвечает 104.18.6.221 (поздравляю МОУ с переездом за Cloudflare, давно пора). Проблема в том, что запрос маленький от 50 байт, а ответ большой до 8 килобайт (если есть поддержка eDNS0). Возникает плечо до 1 к 160 (как правило, меньше чем 1:160)», — объясняет процесс пресс-секретарь киберальянса Украины (UCA), известный как Шон Брайан Таунсенд, в своем Telegram-канале (орфография автора сохранена).

То есть атакующий покупает сервер и начинает посылать запросы специально подобранным и абсолютно легальным DNS-серверам. А в качестве отправителя указывается адрес жертвы.

«Если у сервера гигабитное подключение, то плечо превратит их в 20–100 гигабит мусора в секунду», — уточняет эксперт. 

За это злоумышленникам может грозить штраф от двух до четырех тысяч необлагаемых налогом минимумов доходов граждан или ограничение свободы до трех лет. 

В случае повторных действий — ограничение свободы до пяти лет или лишение свободы на тот же срок с запретом занимать определенные должности или вести определенную деятельность сроком до трех лет.

Как определить DDoS-атаку

Как правило, атака похожа на аномальный рост трафика. Тут главное не перепутать ее с органическими заходами на сайт. Например, когда компания запустила новый продукт или обновила интерфейс. В качестве примера можно рассмотреть трафик 2021 года клиента Cloudflare — американской компании, предоставляющей в частности защиту от DDoS-атак.

Судя по картинке, можно увидеть, что в течении пары секунд на ресурс осуществлялось свыше 15 млн запросов. Cloudflare также проанализировал трафик по странам. 

Судя по IP-адресам ботов, почти 15% атак были совершены из Индонезии и почти 5% из Украины. Это говорит о том, что в этих странах есть много зараженных устройств.

Длительность DDoS-атак может варьироваться в зависимости от разных факторов. Согласно отчету Radware, 33% атак продолжаются около часа, 60% длятся почти сутки, а 15% не прекращаются в течение целого месяца.

Как предотвратить DDoS-атаку (украинцам стоит это знать)

Есть ряд правил, которые помогут минимизировать риски:

• Фильтровать трафик на уровне хостинга. Эту услугу обычно предоставляют провайдеры.
• Делать тестовые «нападения» на сервер. Для этого есть программы типа Hping3, LOIC либо OWASP Switchblade.
• Отслеживать и анализировать трафик подключения к интернету.
• Организовывать дополнительное обучение по кибербезопасности среди сотрудников, обмениваться опытом.

Немаловажно использовать только лицензированный софт, обновлять ключи безопасности, а также время от времени проверять ПО на наличие вредоносных программ. 

Для всех желающих присоединиться к IT-войску, welcome!