Розподілена атака на відмову в обслуговуванні (DDoS)

DDoS-атака — це вид кібератаки, під час якої зловмисники намагаються порушити роботу вебсайту, мережі чи інших онлайн-сервісів, перевантажуючи їх великою кількістю підроблених
або небажаних запитів.

Для чого зловмисники здійснюють DDoS-атаки?

Існує кілька мотивів. Для кіберзлочинців це, як правило, заробляння грошей на продажі DDoS-атак як послуги, шантажування потенційних жертв, щоб вони сплатили викуп, хактивізм або спосіб недобросовісної боротьби з конкурентами.

Під час більш складних операцій зловмисники часто використовують DDoS-атаки як один із інструментів для відволікання від інших, більш серйозних видів діяльності, наприклад, кібершпигунства та кіберсаботажу.

Як відбуваються DDoS-атаки?

Зловмисники, які запускають DDoS-атаки, використовують мережі розподілених скомпрометованих пристроїв, щоб порушити роботу системи, націлюючись на один або кілька компонентів, необхідних для встановлення з’єднання з мережевим ресурсом.

Найбільш поширені типи DDoS-атак:

Об’ємні атаки є одним із найстаріших типів DDoS-атак. Вони використовують великі обсяги трафіку, щоб заповнити пропускну здатність мережі жертви або пропускну здатність між мережею та Інтернетом. Сьогодні найбільші об’ємні атаки вимірюються в терабітах на секунду (тбіт/с), що еквівалентно приблизно 9000 середніх підключень до Інтернету. Наприклад, під час
флуд-атаки за протоколом UDP (User Datagram Protocol) зловмисники перевантажують цільовий віддалений сервер, надсилаючи запити програмі, яка прослуховує певний порт. Через те,  що сервер перевіряє та відповідає на кожен такий запит, його пропускна здатність швидко закінчується і він стає недоступним.

Атаки прикладного рівня (7 рівень моделі OSI) здійснюють на загальнодоступні програми за допомогою великого обсягу підробленого або фіктивного трафіку. Прикладом є HTTP-флуд, який заповнює певний вебсервер легітимними запитами HTTP GET та HTTP POST. Незважаючи на те, що сервер може мати достатню пропускну здатність, він змушений обробляти велику кількість фіктивних запитів, тому його можливості обробки вичерпуються. Атаки прикладного рівня вимірюються десятками мільйонів запитів на секунду (RPS).

Під час атак на рівні протоколу зловмисники використовують уразливості мережевих протоколів, таких як TCP, UDP, ICMP (3 та 4 рівні моделі OSI), щоб вичерпати ресурси системи жертви. Одним із прикладів є SYN-флуд, який надсилає велику кількість запитів на сервер жертви, але залишає відповіді на ці запити без подальших дій, тому так зване «тристороннє рукостискання» (Three-way Handshake) залишається неповним. Коли кількість незавершених з’єднань вичерпує потужність сервера, він стає недоступним. Атаки на рівні протоколу використовують спеціально створені пакети для досягнення своїх шкідливих цілей та вимірюються в пакетах в секунду (PPS). Під час найбільших зафіксованих атак такого типу кількість пакетів досягала сотень мільйонів.

В чому різниця між атаками на відмову в обслуговуванні (DoS) та розподіленими атаками на відмову в обслуговуванні (DDoS)

Як видно з назви, основна різниця в полягає в кількості атакуючих машин. У випадку DoS-атак використовується скрипт або інструмент, який запускається з одного пристрою та націлений на один конкретний сервер або робочу станцію. Натомість, DDoS-атаки здійснюються великою мережею скомпрометованих пристроїв, також відомою як ботнет, яку можна використовувати для перевантаження окремих пристроїв, програм, вебсайтів, служб або навіть цілих мереж жертв.

Як розпізнати DDoS-атаку на організацію?

Найочевиднішою ознакою є низька продуктивність або відсутність доступу системи чи сервісу. Наприклад, вебсайт може довго завантажуватись або бути недоступним. Існують також спеціальні сервіси для моніторингу DDoS-атак, зокрема downforeveryoneorjustme.com або downdetector.com.

Детальніше

Крім цього, таку кібератаку можна ідентифікувати завдяки моніторингу та аналізу мережевого трафіку, які допомагають виявити підроблені або небажані запити, що перевантажують одну або декілька систем компанії. На можливу або вже триваючу DDoS-атаку також можуть вказувати повідомлення від зловмисників, у яких вони вимагають викуп за виключення організації зі списку майбутніх цілей або за припинення поточної атаки.

Зловмисники шантажують жертву за допомогою атак хакерів. ESET.

7 причин, чому варто подбати про захист від DDoS-атак

  1. Внаслідок атаки організація може втратити частину доходу через те, що її вебсайт, сервіс чи система не реагують на запити користувачів. Крім цього, усунення наслідків інциденту також потребує додаткових витрат.
  2. За даними кількох відомих організацій, які займаються відстеженням DDoS-атак, протягом останніх трьох років кількість інцидентів стрімко зросла.
  3. З кожним роком DDoS-атаки стають потужнішими. Зокрема, у 2020 році найбільші атаки (на мережевому рівні) перевищували показник 1 Тбіт/с, у 2021 році під час декількох наймасштабніших інцидентів було зафіксовано 2-3 Тбіт/с. Крім цього, під час щонайменше двох DDoS-атак в 2021 році фіксувалось 15 мільйонів запитів в секунду (RPS).

Інші причини здійснення атак

4. Організаціям не завжди потрібно бути безпосередніми цілями DDoS-атак, щоб відчути їх вплив. Зокрема, якщо зловмисники порушують роботу важливих елементів Інтернет-інфраструктури, наприклад, місцевих або регіональних провайдерів. У 2016 році внаслідок атаки на провайдера DNS Dyn стали недоступні популярні онлайн-сервіси Twitter, Reddit, Netflix та Spotify.

5. Кіберзлочинці часто шантажують організації тим, що використають ботнети для DDoS-атаки на них, якщо жертви не заплатять викуп. Для цього зловмисники не обов’язково можуть мати доступ до мереж цілей.

6. Починаючи з 2020 року також були зафіксовані випадки, коли відомі групи кіберзлочинців, які поширюють програми-вимагачі, використовували DDoS-атаки для додаткового шантажу жертв.

7. У даркнеті існують послуги з найму зловмисників, які займаються DDoS-атаками.

Як компаніям захиститись?

Організаціям, які мають обмежені ресурси, наприклад, недостатню пропускну здатність або відсутність додаткового обладнання, може бути складно перешкоджати DDoS-атакам. Однак існують заходи безпеки, які дозволяють навіть малим та середнім компаніям підвищити рівень захисту:

  • Відстежуйте мережевий трафік та навчіться виявляти аномалії в Інтернет-трафіку. Таким чином, ви матимете можливість виявляти та своєчасно заблокувати фіктивні запити.
  • Створіть план аварійного відновлення на випадок DDoS-атаки на вебсайт або систему. Наприклад, підготуйте резервні сервери, вебсайт та альтернативні канали зв’язку.
  • Проаналізуйте можливість міграції до хмари. Цей крок не усуне загрозу, однак допоможе зменшити імовірність атак завдяки вищій пропускній здатності та стійкості хмарної інфраструктури.
  • Якщо ваша організація вже стала жертвою DDoS-атаки або перебуває в групі ризику, подумайте про використання сервісів захисту від DoS та DDoS, які можуть допомогти зменшити негативні наслідки атаки.
  • Не дайте корпоративним пристроям стати частиною ботнет-мережі, яка може сприяти DDoS-атаці. Переконайтеся, що працівники дотримуються правил кібергігієни, своєчасно оновлюйте всі пристрої та програмне забезпечення, а також забезпечте надійний захист пристроїв завдяки багаторівневим рішенням з безпеки.

Забезпечте потужний корпоративний захист

ESET PROTECT
Advanced

Отримайте ефективне рішення для захисту, яке допоможе мінімізувати ризики, пов’язані із DDoS-атаками. Багаторівневе рішення ESET для захисту робочих станцій використовує складну технологію для Захисту від атак на мережевому рівні із розширеними можливостями фільтрації та перевіркою пакетів для запобігання інцидентам.