SPIS TREŚCI
Co to jest atak DDos i jak się przed nim chronić?
Atak DDos (ang. Distributed Denial of Service) jest jednym ze sposobów na sparaliżowanie infrastruktury sieciowej czy aplikacji. Celem takiego działania nie jest bezpośrednio kradzież czy modyfikacja danych, lecz doprowadzenie do niedostępności danej usługi. Choć jest to jeden z najstarszych, znanych typów ataków tego rodzaju, to skuteczna ochrona przed nim staje się coraz trudniejsza. Co jeszcze warto wiedzieć o atakach DDos?
Atak DDos – co to jest?
Atak DDos, czyli atak rozproszonej odmowy dostępu jest w dalszym ciągu jednym z najpopularniejszych rodzajów narzędzi cyberprzestępców. Motywy takiego działania mogą być różne. Celem może być odwrócenie uwagi personelu IT i przeprowadzenie w tym czasie innego cyberprzestępstwa, na przykład kradzieży danych. Równie dobrze możemy mieć do czynienia ze szkodzeniem bez szczególnego celu. Atak DDos może być też formą szantażu na firmach – w zamian za zapłacenie wskazanej kwoty, przedsiębiorstwo uchroni Cię od ataku. Jego ofiarą może stać się nie tylko duża firma, ale właściwie każdy. Skala takich działań wciąż rośnie i tym samym przedsiębiorstwa mają coraz większy problem, żeby skutecznie obronić się przed cyberoszustami.
Dlaczego atak DDos jest groźny?
Celem ataku DDos jest najczęściej spowodowanie niedostępności usługi, infrastruktury czy serwera. Działania mogą zmierzać na przykład do spowodowania niedostępności danej strony WWW. Podczas ataku, z wielu różnych adresów, wysyłana jest duża ilość zapytań, co ma docelowo doprowadzić do niedostępności usługi. Atak przeprowadzany jest z wielu urządzeń jednocześnie i najczęściej są to sprzęty, które zostały wcześniej zainfekowane wirusem. Tym samym ich właściciele nie wiedzą o tym, że ich sprzęt wykorzystuje się do nielegalnych działań. Dlatego tak ważne jest posiadanie na swoim urządzeniu zainstalowanego aktualnego oprogramowania antywirusowego. Najczęściej w wyniku ataku DDos usługa będąca jego celem może być przez pewien czas niedostępna. Jednorazowe zdarzenie tego typu nie stanowi powodów do niepokoju. Jednakże regularny brak dostępności – na przykład strony internetowej – jest już poważnym problemem. Jeśli efektem ataku DDos jest awaria dużego sklepu internetowego przez kilkadziesiąt minut dziennie, to może to doprowadzić do poważnych strat finansowych. Ataki realizują setki tysięcy urządzeń „zombie” (urządzeń będących częścią botnetu – grupy zainfekowanej wirusem) jednocześnie, co prowadzi do wysyłania wielu gigabajtów danych na sekundę. Dla administratorów jest to ogromne wyzwanie. Jakie największe trudności wiążą się z takimi działaniami? Przede wszystkim:
- Nieograniczona ilość atakujących urządzeń – hacker może zainfekować nawet setki tysięcy urządzeń na całym świecie i zdalnie nimi sterować, tak, że będą one wykonywać wskazane przez niego zadania – na przykład wysyłać zapytania do danego serwisu.
- Brak możliwości odfiltrowania ruchu z danego IP – jeśli dojdzie do ataku, to zablokowanie możliwości łączenia się z danego obszaru geograficznego nic nie pomoże, gdyż zainfekowane urządzenia znajdują się na całym świecie.
- Odcięcie ruchu z konkretnego IP – działanie to może oznaczać, że blokujemy dostęp prawdziwemu użytkownikowi, który nie jest świadomy tego, że jego oprogramowanie zostało zainfekowane.
Jak przeprowadzane są ataki typu DDos?
Atak DDos to przestępstwo, a odpowiedzialność za jego dokonanie jest opisana w art. 268. kodeksu karnego §1–4. Ściganie sprawcy odbywa się na wniosek pokrzywdzonego. Problemem w przypadku takich ataków jest jednak identyfikacja sprawcy. Cyberprzestępcy korzystają z oprogramowania, którego zadaniem jest maskowanie napastnika. To nie oznacza jednak, że osób, które dopuszczają się takiego działania, nie sięga sprawiedliwość. Oto przypadki, w których wskazano sprawców:
- 27 miesięcy pozbawienia wolności i 95 tysięcy dolarów rekompensaty – to wyrok sprawie Austina Thompsona, przywódcy grupy hackerów DerpTrolling, których ataki DDoS spowodowały problemy w działaniu serwerów Sony Entertainment Network. Dochodziło do nich w latach 2013–2014. Sprawca przyznał się do zarzutów w 2018 roku, a w połowie 2019 usłyszał wyrok.
- Aresztowanie sprawcy ataku na serwery World of Warcraft Classic, do którego doszło 7 września 2019 roku. Po 30 minutach zaatakowane serwery były niedostępne. Usługi zaczęły działać prawidłowo dopiero kolejnego dnia. Użytkownika „UkDrillas” zidentyfikowała i zatrzymała przez policja w ciągu dwóch tygodni, ale nie podano jego danych ani nie wskazano, do jakiej grupy należał.
- George Duke Cohan oskarżony jest o przeprowadzenie ataków na blogera IT Briana Krebsa, konwent DEF CON oraz organizacje rządowe w kilku krajach.
- W grudniu 2018 roku FBI zablokowało 15 stron typu DDoS-as-a-Service i postawiło zarzuty trzem osobom, które prowadziły platformę.
Ataki DDos dzisiaj
Co ciekawe, jak wynika z danych udostępnionych przez Kaspersky DDoS Protection, w 2018 roku aktywność związana z atakami DDos zmniejszyła się w stosunku do 2017 roku o 13 proc. Spadek dotyczył wszystkich kwartałów. Nie zmienia to jednak faktu, że skala problemu jest bardzo duża, a zainteresowani przeprowadzeniem ataków nie mają większego problemu ze znalezieniem wykonawców tych nielegalnych działań. Cyberprzestępcy oficjalnie oferują swe usługi w internecie, proponując m.in. ataki na strony rządowe. Oczywiście korzystanie z takich ofert jest przestępstwem, a dodatkowo może się również okazać, że nasze urządzenie zostanie zainfekowane i sami staniemy się narzędziem do przeprowadzenia kolejnego ataku DDos.
Oto kilka ciekawostek związanych z atakami, które przeprowadzono w ostatnim kwartale 2018 roku:
- Na pierwszym miejscu pod względem liczby przeprowadzonych ataków znajdowały się Chiny z udziałem 50,4 proc. Na drugim miejscu plasuje się USA z wynikiem 24,9 proc., a na trzecim Australia – 4,5 proc.
- Najczęstszym celem ataków stali się użytkownicy prywatni i firmy z Chin – 43,36 proc., USA – 29.14 proc. oraz Australii – 5,91 proc.
- Najdłuższy atak trwał nieustannie przez 16 dni.
Największe ataki DDos w historii
Trudno powiedzieć, które ataki DDos były najpoważniejsze, gdyż firmy nie podają szczegółów z nimi związanych. Oto przykłady upublicznionych ataków, które wiązały się z poważnymi konsekwencjami dla firm:
- Spamhaus – do ataku na organizację, która walczy z internetowym spamem, doszło w 2013 roku. Pierwsze ataki nastąpiły 15 marca, a po 3 dniach ich intensywność została zwiększona do tego stopnia, że strona organizacji przestała być dostępna. Nasilenie ataku w szczycie sięgało 300 Gb/s. Skutki działań cyberprzestępców odczuli użytkownicy na całym świecie.
- Dyn – jeden z najbardziej spektakularnych ataków w historii. Dyn to firma, która świadczyła usługi na rzecz m.in. Spotify, Twittera, CNN, Netflixa, PlayStation czy PayPal. Zdarzenie miało miejsce 21 października 2016 roku. Pierwsza faza ataku nastąpiła o godzinie 14:00, a druga o godzinie 18:00. Podczas ataków, część usług w ogóle nie była dostępna. Firma dosyć szybko przywróciła strony do działania, ale efekty ataku cyberprzestępców odczuły miliony użytkowników na całym świecie, również w Polsce. Ruch na serwerach Dyn osiągnął podczas ataku 1,2 Tb/s – wydarzenie to mogło doprowadzić do sparaliżowania Internetu.
- GitHub – w 2018 roku doszło do ataku na serwis WWW, z którego korzystają programiści. GitHub musiał się podczas ataku zmierzyć z ruchem na poziomie 1,3 Tb/s. Mimo takiej skali, portal bardzo dobrze poradził sobie z zagrożeniem – nie był dostępny przez około 10 minut. W ataku wykorzystano niezabezpieczone serwery Memcached.
Jak minimalizować skutki?
Każdy może paść ofiarą ataku DDos. Nie dotyczy to wyłącznie dużych przedsiębiorstw. Co zrobić, żeby zminimalizować skutki ataku?
- Zoptymalizuj stronę – zadbać o to, żeby strona ładowała się jak najszybciej i tym samym, jak najmniej obciążała serwer.
- Korzystaj z serwera CDN (Content Delivery Network) – na takich serwerach mogą znajdować się na przykład statyczne części serwisu. Zasada działania serwerów CDN polega na tym, że dane pobierane są z lokalizacji najbliższej IP danego internauty. Oznacza to, że użytkownik z Hiszpanii pobierze obrazek z innego serwera niż użytkownik z USA i tym samym ruch podczas ataku rozłoży się na kilka serwerów.
- Rozdziel usługi – lepiej, żeby stronę internetową obsługiwał inny serwer niż poczta e-mail. Dzięki temu, w przypadku ataku DDos na serwis, nie zablokuje się jednocześnie możliwość korzystania z poczty.
- Używaj różnych kanałów komunikacji – w razie ataku, użytkownicy mogą dowiedzieć się o problemach serwisu na przykład z fanpage’u na Facebooku.
Jak się chronić przed atakiem DDos?
Firma nie powinna biernie czekać na atak. Warto przeprowadzić testy wydajnościowe i aplikacyjne, których celem jest sprawdzenie odporności infrastruktury na ataki DDos. Pozwalają one wskazać, jakie działania strona jest w stanie przetrzymać. Warto wcześniej ustalić listę adresów IP i domen, które mają kluczowe znaczenie dla działania firmy i jej wizerunku. Kolejnym krokiem może być postawienie na rozwiązania, które chronią przed atakami. Dostawcy Internetu zapewniają ochronę w 3. i 4. warstwie aplikacji, ale nie w warstwie 7., przez którą przeprowadzane są zaawansowane ataki DDos. Do przeprowadzenia cyberataku najczęściej wykorzystywane są aplikacje i usługi, co ma doprowadzić do powolnego wyczerpania zasobów. Warto rozważyć wprowadzenie takich rozwiązań, jak:
- Pakiet bezpieczeństwa – czyli korzystanie z usług firmy, która zapewnia ochronę przed atakami DDos. Jest to propozycja zarówno dla małych stron, jak i rozbudowanych usług korporacyjnych.
- Firewall lub system IPS – rozwiązania te posiadają funkcje zabezpieczające przed atakiem DDos.
- Dedykowane urządzenie – umożliwia m.in. blokowanie ataków masowych. Koszt używania takiego urządzenia zależy od częstotliwości odbierania ataków.
Z badania Kaspersky Lab z 2016 roku wynika, że 8 na 10 firm było więcej niż jeden raz ofiarą ataku DDos. Problem ten dotyczy wszystkich tych, którzy oferują usługi w sieci. Najważniejsze są zatem: świadomość skali problemu i skuteczne przeciwdziałanie zagrożeniom.
Źródła: https://www.kancelariawiejak.pl/odpowiedzialnosc-karna-za-atak-ddos/, https://www.gram.pl/news/2019/07/04/ponad-dwa-lata-pozbawienia-wolnosci-dla-szefa-grupy-derptrolling-za-ataki-ddos-na-sony-online-entertainment.shtml, http://tech-swiat.pl/2019/09/20/aresztowano-sprawce-atakow-na-serwery-wow-classic/, https://www.securelist.pl/analysis/7465,ataki_ddos_w_iv_kwartale_2018_r.html, https://news.webping.pl/najciekawsze-i-najwieksze-ataki-ddos-w-historii-internetu-czesc-ii-atak-na-dyn/, https://businessinsider.com.pl/technologie/nowe-technologie/najwiekszy-atak-ddos-w-historii-przeprowadzono-na-github/zw2ng91