Co to jest atak DDOS?

DDOS to skrót od Distributed Denial-of-Service. Jest to rodzaj cyberprzestępczości, w którym jedna lub kilka stron próbuje przerwać ruch serwera lub strony internetowej. Aby być skutecznym, atakują nie tylko jeden komputer, ale często całą ich sieć.

Nie chodzi tu jednak tylko o maszyny atakującego – istnieją rodzaje złośliwego oprogramowania i wirusów, które mogą wpływać na komputer zwykłego użytkownika i przekształcać go w część ataku. Nawet urządzenia IoT nie są bezpieczne – jeśli masz w domu urządzenie inteligentne, teoretycznie mogłoby zostać użyte do takiego ataku.

Jak to działa?

Najprostszym sposobem wyjaśnienia ataków DDOS jest porównanie ich z korkami. Normalny ruch uliczny zostaje przerwany, ponieważ dziesiątki (lub setki, tysiące itd.) niespodziewanych samochodów wjeżdżają na główną drogę, nie przepuszczając innych samochodów.

Pojawiający się zacięcie uniemożliwia normalnym kierowcom dotarcie do celu – w przypadku zdarzenia DDOS jest to serwer lub strona internetowa, której szukają.

Istnieją różne typy ataków, których celem są różne elementy normalnej komunikacji klient-serwer.

Ataki warstwy aplikacji próbują wyczerpać zasoby obiektu docelowego, zmuszając go do wielokrotnego ładowania plików lub zapytań do bazy danych – spowalnia to witrynę i może, w skrajnych przypadkach, powodować problemy z serwerem, przegrzewając go lub zwiększając zużycie energii. Ataki te są trudne do obrony, ponieważ są trudne do wykrycia – nie jest łatwo stwierdzić, czy wzrost użycia wynika ze wzrostu rzeczywistego ruchu, czy ze złośliwego ataku.

Ataki HTTP Flood są przeprowadzane przez ciągłe odświeżanie strony przeglądarki — z wyjątkiem milionów razy. Ta powódź żądań do serwera często powoduje, że jest on przytłoczony i nie odpowiada już na (prawdziwe) żądania. Obrona obejmuje posiadanie serwerów zapasowych i wystarczającą pojemność do obsługi przepełnienia żądań. Na przykład taki atak prawie na pewno nie zadziałałby na Facebooka, ponieważ jego infrastruktura jest tak silna, że ​​może poradzić sobie z takimi atakami.

Ataki protokołów próbują wyczerpać serwer, zużywając całą pojemność, jaką mają aplikacje internetowe – czyli powtarzając żądania do elementu witryny lub usługi. Spowoduje to, że aplikacja internetowa przestanie odpowiadać. Często używane są filtry, które blokują powtarzające się żądania z tych samych adresów IP, aby zapobiec atakom i utrzymać działanie usługi dla zwykłych użytkowników.

Zasadniczo ataki typu SYN Flood są wykonywane przez wielokrotne proszenie serwera o pobranie elementu, a następnie nie potwierdzanie jego odbioru. Oznacza to, że serwer zatrzymuje elementy i czeka na potwierdzenie, które nigdy nie nadejdzie – aż w końcu nie może już ich trzymać i zacznie je upuszczać, aby odebrać więcej.

Ataki wolumetryczne próbują sztucznie stworzyć przeciążenie, specjalnie zajmując całą przepustowość serwera. Jest to podobne do ataków HTTP Flood, z tą różnicą, że zamiast powtarzających się żądań dane są wysyłane do serwera, przez co jest on zbyt zajęty, aby odpowiadać na normalny ruch. Do przeprowadzania tych ataków zwykle wykorzystywane są botnety – często wykorzystują też wzmocnienie DNS.

Wskazówka: wzmocnienie DNS działa jak megafon – mniejsze żądanie lub pakiet danych jest przedstawiany jako znacznie większy niż jest. Może to być napastnik żądający wszystkiego, co serwer ma do zaoferowania, a następnie powtarzający wszystko, o co prosił atakujący – stosunkowo małe i proste żądanie zajmuje dużo zasobów.

Jak bronić się przed atakami DDOS?

Pierwszym krokiem do radzenia sobie z tymi atakami jest upewnienie się, że mają miejsce naprawdę. Wykrycie ich nie zawsze jest łatwe, ponieważ skoki ruchu mogą być normalnym zachowaniem ze względu na strefy czasowe, informacje prasowe i nie tylko. Aby ich ataki zadziałały, osoby atakujące DDOS starają się maksymalnie ukryć swoje zachowanie w normalnym ruchu.

Inne procedury łagodzące ataki DDOS to czarne dziury, ograniczanie szybkości i zapory ogniowe. Czarne dziury są dość ekstremalnym środkiem – nie próbują oddzielić prawdziwego ruchu od ataku, ale raczej przekierowują każde żądanie z serwera, a następnie je odrzucają. Można to zrobić, na przykład, przygotowując oczekiwany atak.

Ograniczanie szybkości jest nieco mniej uciążliwe dla użytkowników – ustawia sztuczny limit liczby żądań, które serwer zaakceptuje. Ten limit wystarczy, aby przepuścić normalny ruch, ale zbyt wiele żądań jest automatycznie przekierowywanych i odrzucanych – w ten sposób serwer nie może zostać przytłoczony. Jest to również skuteczny sposób na powstrzymanie prób łamania haseł metodą brute force – po, powiedzmy, pięciu próbach, próba adresu IP jest po prostu blokowana.

Zapory sieciowe są przydatne nie tylko do ochrony na własnym komputerze, ale także po stronie serwera w ruchu sieciowym. Zwłaszcza firewalle aplikacji internetowych są ustawiane między Internetem a serwerem – chronią przed kilkoma różnymi rodzajami ataków. Dobre zapory ogniowe są również w stanie szybko skonfigurować niestandardowe reakcje na ataki w miarę ich pojawiania się.

Wskazówka: jeśli chcesz chronić swoją witrynę lub serwer przed jakimś atakiem DDOS, będziesz potrzebować zestawu różnych rozwiązań (najprawdopodobniej w tym zapory). Najlepszym sposobem, aby to zrobić, jest skonsultowanie się z konsultantem ds. cyberbezpieczeństwa i poproszenie go o opracowanie planu dostosowanego do Twoich potrzeb. Nie ma jednego uniwersalnego rozwiązania!