DDoS-атаки (Distributed Denial of Service)

DDoS-атаки (Distributed Denial of Service) – хакерская атака на веб-сайт, главная задача которой привести к отказу в обслуживании, при котором пользователи не смогут работать с сервисами и сайтами, или эта работа будет затруднена. Ее отличие от DoS-атаки в том, что она проводится сразу с множества устройств и адресов. Для DDoS-атак хакеры собирают ботнеты из зараженных вредоносными программами компьютеров-зомби.

Цель проведения DDoS-атаки - вымогательство денег за их прекращение, восставления доступа к веб-сайту. Чаще всего DDoS-атаки устраиваются злоумышленниками на веб-сайты электронной коммерции, онлайн-банки, системы бронирования, букмекерские конторы, информационные сервисы, СМИ и другие организации, ведущие свой бизнес в сети.

DDoS-атаки (Distributed Denial of Service)

Существуют специальные вредоносные программы (боты), которые позволяют формировать ботнеты. Например, интернет-червь Mirai заразил более 500 тыс устройств, подключенных к интернет, из которых был сформирован одноименный ботнет для рекордно мощных на данный момент DDoS-атак.

DDoS-атаки обрели популярность в 1999 году, когда злоумышленники атаковали веб-сайты крупнейших компаний (Yahoo, eBay, Amazon, E-Trade, CNN и многие другие), а пользоваться DDoS-атаками начали с 1996 года. Спустя год после атак на крупные корпорации была осознана необходимость в принятии срочных мер для борьбы с появившейся проблемой.

Классификация DDoS-атак

Основные способы DDoS-атак:

  1. HTTP-флуд. Самый распространенный способ DDoS-атак. Основная идея HTTP-флуда – отправка серверу такого пакета, ответом на который будет пакет гораздо большего размера. В специально сформированном запросе к серверу злоумышленник подменяет свой IP на IP машины внутри сети-жертвы.
  2. ICMP-флуд. При этом типе DDoS-атаки хакер отправляет ICMP-пакет (зачастую используя утилиту ping) усиливающей сети, которая имеет много машин внутри. IP адрес хакера подменяется на IP жертвы, и на сервер-жертву приходит ответ на утилиту ping, усиленный в столько раз, сколько машин в усиливающей сети. Также подобная атака может происходить с помощью UDP-пакетов.
  3. SYN-флуд. Для обмена данными компьютерным системам требуется установка соединения, при этом на само соединение выделяются компьютерные ресурсы, на них и нацелен данный вид атак. Отправляя ложные запросы можно использовать все ресурсы компьютерной системы, которые зарезервированы на установку соединений.  
  4. «Тяжелые пакеты». Для этого метода атаки хакер с помощью ботнета отправляет серверу тяжелые пакеты, которые не переполняют вещательный канал, но занимают процессорное время процессора сервера, что может привести к его перегреву или перегрузке.

Объект воздействия

Цель DDoS-атаки – вывод веб-сайта из строя. Однако, бывает так, что цель DDoS – DNS-сервер (например, в 2012 группа Anonymous собиралась с помощью DDoS вывести из строя 13 корневых DNS-серверов мира, что лишило бы интернета все население Земли. Однако, атаку не провели). Также целью может стать уязвимое веб-приложение. DDoS могут производит ради развлечения, или в знак политического протеста (например, акция в честь Памятника Воину-освободителю в Эстонии 2007 года). Зачастую DDoS проводят для шантажа или вымогательства. От DDoS ежегодно страдает огромное количество компаний и частных владельцев сайтов, ведь из-за DDoS их сайт (сайты) становится недоступен и не приносит дохода. Государственные учреждения, сайты СМИ и электронной коммерции, сайты компаний, коммерческих и некоммерческих организаций – все они являются потенциальными целями DDoS-атак.

Несмотря на некоторое затишье в последние годы, согласно отчету компании Qrator Labs, в 2016 году DDoS-атаки начали снова будоражить компании. Несмотря на то, что для многих провайдеров легко нейтрализовать атаки мощностью до 300 Гбит/сек, проблемы все таки остались. Так, атаки начали проводить с использованием зараженных серверов видеозаписи, веб-камер, IoT устройств в которых имеются уязвимости. Благодаря распространенности устройств, атаки стали еще более масштабными. По мнению Qrator Labs, техническим специалистам на защиту от DDoS-атак необходимо снова обращать свое внимание, как и 5-7 лет назад.

Если до 2016 года наблюдалось линейное увеличение мощности DDoS-атак, то уже в 2016 году ситуация резко изменилась. Сегодня атаки могут достигать таких масштабов, что им под силу накрывать целые регионы земного шара, а это напрямую угрожает функционированию работы крупных провайдеров. По оценкам экспертов, в 2017 году мощность качественной атаки может превысить 1 Тбит/сек.

Наибольшее «внимание» киберпреступники уделили следующим отраслям:

  • Купонные сервисы
  • Платежные системы
  • Информационные агрегаторы
  • Электронная коммерция
  • Игры и игровые площадки
  • Прочие

Источник DDoS-атак

Источников DDoS-атак множество: конкуренты, недоброжелатели, хактивисты и т.д. По данным “Лаборатории Касперского”, в 2015 году DDoS-атаке подверглась каждая шестая российская компания. За 2015 год было проведено около 120 тысяч атак на 68 тысяч различных ресурсов по всему миру. Мощность потока при этом достигала 450 Гбит/сек. Чаще всего DDoS-атакам подвергается крупный бизнес (20%).

Анализ риска

Противостояние DDoS-атакам сложная задача, запросы к сайту поступают со многих направлений.  DDoS – большая неприятность для сервера и компании в целом. Защита от DoS и DDoS – важная часть настройки и обслуживания сервера. От слабых DDoS-атак, например, от HTTP-флуда поможет установка лимита подключений, от ICMP-флуда – отключение ответов на все запросы ECHO или правильно настроенный WAF, против UDP-флуда - отключение от сети Интернет UDP-сервисов и установка лимита подключений к DNS-серверу.

Однако против большинства атак, организованных профессиональными киберпреступниками и направленных на объем, настройка веб-сервера ничего не даст, так как будет сам забит канал связи. В этому случае смогут помочь только специальные сервисы защиты.