מתקפת DDoS היא סוג של מתקפת סייבר, שבה התוקפים מנסים להפריע לפעילות של אתר אינטרנט, רשת או שירות מקוון אחר לגרום להם לקריסה באמצעות העמסת כמות גדולה של בקשות מזויפות או בקשות זבל
ישנם מספר מניעים אפשריים למתקפת DDoS. כשמדובר בפושעי סייבר, המניעים הם בדרך כלל יצירת רווח כספי באמצעות מכירת מתקפות DDoS כשירות, סחיטת מטרות פוטנציאליות על מנת שישלמו כופר, פריצה ממניעים אקטיביסטיים וצבירת יתרון תחרותי.
קבוצות תקיפה מתקדמות ידועות בכך שהן משתמשות במתקפת DDoS כחלק מסל פעולות הרסניות יותר כמו ריגול סייבר וחבלת סייבר, או כהסחת דעת מהפעולות האלה.
תוקפים המפעילים מתקפות DDoS משתמשים ברשתות של מכשירים פרוצים כדי להפריע לפעילותן של מערכות באמצעות פגיעה במרכיב אחד או יותר החיוני ליצירת קשר (ראו את מודל שבע השכבות) למשאב רשת מסוים.
מתקפות נפח הן אחד מהסוגים הישנים ביותר של מתקפות DDoS. הן משתמשות בכמויות גדולות של תעבורת רשת כדי למלא את רוחב הפס בין רשת הקורבן והאינטרנט, או את רוחב הפס האפשרי ברשת הלקוח. מתקפות הנפח הגדולות ביותר נמדדות (כרגע) ביחידות מידה של טרה-ביטים לשנייה (Tbps), שווה ערך לכ-9,000 חיבורי אינטרנט ממוצעים. לדוגמה, במהלך מתקפת הצפת פרוטוקול UDP, התוקפים מציפים את השרת המרוחק באמצעות בקשת מידע מאפליקציה שמאזינה לפורט מסוים. השרת בודק כל דרישה כזאת ו/או מגיב לה, מה שגורם להצפת רוחב הפס עד למצב בו השירות מפסיק להיות זמין.
מתקפות פרוטוקול. בהתאם לשם, מתקפות פרוטוקול מנצלות לרעה את המבנה של פרוטוקול תקשורת תשתיתי (שכבות 3 ו-4 של מודל שבע השכבות) כדי לכלות את המשאבים של המערכת המותקפת. דוגמה אחת למתקפת פרוטוקול היא הצפת SYN, ששולחת כמויות גדולות של בקשות ספציפיות לשרת המטרה אך משאירה את התשובות לבקשות האלה ללא פעולות נוספות מהצד שלה, כך ש-"לחיצת הידיים המשולשת" לא מגיעה לסיומה. כאשר מספר חיבורים פתוחים מכלים את יכולותיו של השרת, הוא הופך ללא-זמין ואינו יכול לקבל עוד חיבורים לגיטימיים. מתקפות פרוטוקול משתמשות בפאקטות שנוצרו באופן מיוחד כדי להשיג את מטרותיהן הזדוניות, ולכן נמדדות ביחידת מידה של פאקטות לשנייה (PPS). המתקפות הגדולות ביותר שתועדו הגיעו למאות מיליונים.
מתקפת שכבת אפליקציה (שכבה 7 של מודל שבע השכבות) פוגעת באפליקציות זמינות לציבור באמצעות כמות גבוהה של תעבורה משובשת או כוזבת. אחת הדוגמאות למתקפת DDoS ברמת שכבת אפליקציה היא הצפת HTTP, שכחלק ממנה שרת מסוים מוצף בבקשות HTTP מסוג GET ו-POST, שהם סוגי בקשות לגיטימיות. גם אם לשרת יש רוחב פס מספיק, הוא חייב לעבד כמות גדולה של בקשות כוזבות במקום טיפול בבקשות לגיטימיות, וכך מאבד את יכולת העיבוד שלו. מתקפות על שכבת האפליקציה נמדדות ביחידת מידה של עשרות מיליוני בקשות לשנייה (RPS).
ממש כפי ששם המתקפה מראה, ההבדל מתבטא בעיקר בכמות המחשבים התוקפים. במתקפת DoS, המתקפה מתבצעת ע"י סקריפט או כלי, המופעל במחשב אחד ומכוון לשרת ספציפי או לתחנת קצה ספציפית. לעומת זאת, מתקפות DDoS מבוצעות ע"י רשת של מכשירים פרוצים שנשלטים ע"י התוקף, שידועה גם בשם Botnet, וניתן להשתמש בה כדי לגרוס לעומס יתר במכשירים, אפליקציות, אתרי אינטרנט, שירותים ואף רשתות שלמות של קורבן מסוים.
הסימן הברור ביותר למתקפת DDoS הוא ירידה משמעותית בביצועים או חוסר זמינות של מערכת או שירות מסוים. אם המטרה של המתקפה היא אתר אינטרנט, התוצאה עשויה להיות זמני טעינה ארוכים או חוסר גישה מוחלט לאנשים בתוך הארגון ומחוצה לו. ישנם גם שירותים שזמינים לציבור הרחב ומנטרים מתקפות DDoS, כמו downforeveryoneorjustme.com או downdetector.com
ניתן לזהות מתקפת DDoS גם באמצעות ניטור וניתוח של תעבורת הרשת, שמזהה בקשות כוזבות או בקשות זבל שמעמיסות על מערכת אחת של החברה או על מספר מערכות. בחלק מהמקרים, הודעת סחיטה יכולה להיות רמז למתקפת DDoS פוטנציאלית או מתמשכת, כשהודעה כזו תדרוש כופר בתמורה להסרת הארגון מרשימת המטרות העתידיות או עצירת המתקפה המתמשכת.
4. גם אם הארגון עצמו הוא לא מטרת המתקפה, הוא אכן עשוי להרגיש השפעה של מתקפת DDoS, במיוחד אם היא משבשת את פעילותם של חלקים חיוניים מתשתית האינטרנט, כמו ספקי שירותי אינטרנט (ISP) מקומיים או אזוריים. בשנת 2016, עברייני סייבר הציפו את השרתים של ספק ה-DNS הפופולרי Dyn. שירותים מקוונים גדולים הפכו ללא-זמינים בעקבות המתקפה, ביניהם Twitter, Reddit, Netflix ו-Spotify.
5. חלק מגורמי פשיעת הסייבר מאיימים להשתמש ברשתות הבוטנט שלהם לטובת מתקפת DDoS כנגד ארגון מסוים, אלא אם ישלם סכום כספי. המתקפות האלה מכונות מתקפות DDoS כופר, ובהן התוקף לא נדרש לקבל גישה לרשתות של מטרות המתקפה.
6. החל משנת 2020, מתקפות DDoS נגד אתרי אינטרנט של קורבן הפכו לחלק מתוכנית "סחיטה משולשת" הנמצאת בשימוש של כנופיות כופרה משמעותיות, שבהן מתקפת DDoS מתווספת לגניבת והצפנת נתונים של המטרות.
7. ישנם שירותי DDoS להשכרה ברשת האפלה, שמאפשרים גם לגורמים חסרי ניסיון שמעוניינים ברווח כספי בלבד, כמו קבלת יתרון מול מתחרים, לארגן מתקפת DDoS.
ארגונים שלא מחזיקים במשאבים המתאימים לטיפול במתקפות DDoS, כמו חומרה מתאימה או רוחב פס גדול מספיק, יתקשו לטפל במתקפות כאלה. עם זאת, ישנם מספר דברים שגם חברות קטנות ובינוניות יכולות לעשות כדי לשפר את ההגנה שלהן:
קבלו הגנה אפקטיבית שכוללת יכולות לצמצום הסיכונים הקשורים למתקפות DDoS. פתרונות האבטחה הרב-שכבתיים לתחנות הקצה של ESET משתמשים בטכנולוגיה מתקדמת להגנה מפני מתקפות רשת, הכוללת סינון מתקדם ובחינת פאקטות למניעת הפרעות.
