23 min. skaityti
DDoS atakos: Supratimas apie grėsmes, susijusias su paskirstytu paslaugų atsisakymu, ir apsauga nuo jų
Pagrindinės išvados
- DDoS (paskirstyto atsisakymo aptarnauti) atakos užtvindo tikslinius serverius kenkėjišku srautu iš daugelio pažeistų įrenginių, todėl sutrinka paslaugų teikimas ir teisėti naudotojai negali naudotis ištekliais.
- Šioms atakoms naudojami botnetai – užkrėstų kompiuterių, daiktų interneto įrenginių ir mobiliųjų telefonų tinklai – siekiant generuoti didžiulį srautą, kuris perkrauna tikslinę infrastruktūrą.
- DDoS atakos skirstomos į tris pagrindines kategorijas: taikomojo lygmens atakos (nukreiptos į žiniatinklio programas), protokolų atakos (išnaudojant tinklo protokolus) ir apimties atakos (sunaudojant pralaidumą).
- Šiuolaikinės DDoS atakos tampa vis sudėtingesnės, jose naudojami dirbtinio intelekto valdomi metodai ir kelių sektorių metodai, dėl kurių organizacijos gali patirti iki 40 000 JAV dolerių nuostolių per valandą.
- Veiksmingai apsaugai nuo DDoS reikalingos daugiasluoksnės gynybos strategijos, įskaitant srauto filtravimą, spartos ribojimą ir debesijoje teikiamas mažinimo paslaugas, kurios gali atskirti teisėtą ir kenkėjišką srautą.
Šiuolaikiniame tarpusavyje susietame skaitmeniniame pasaulyje DDoS atakos tapo viena iš labiausiai trikdančių ir brangiausiai kainuojančių kibernetinių grėsmių, su kuriomis susiduria organizacijos visame pasaulyje. Dėl šių sudėtingų atakų per kelias minutes gali sutrikti visos internetinės paslaugos, o tai sukelia pražūtingus verslo trikdžius, kurie paveikia visus veiklos aspektus. Suprasti, kaip veikia DDoS atakos, atpažinti jų požymius ir įgyvendinti patikimas apsaugos strategijas, tapo labai svarbu kiekvienai nuo interneto paslaugų priklausomai organizacijai.
Paskirstytosios atsisakymo aptarnauti atakos (DDoS ) – tai koordinuotas kibernetinis išpuolis, kurio tikslas – dideliais kenksmingo srauto kiekiais užtvindyti tikslinius serverius, tinklus ar taikomąsias programas. Skirtingai nuo tradicinių kibernetinių atakų, kurių pagrindinis tikslas – duomenų vagystė arba įsiskverbimas į sistemą, pagrindinis DDoS atakos tikslas – neleisti teisėtiems naudotojams naudotis interneto ištekliais, išnaudojant taikinio pajėgumą apdoroti gaunamas užklausas.
Pastaraisiais metais šiuolaikinių DDoS grėsmių sudėtingumas ir mastas labai išaugo. Dabar užpuolikai naudoja dirbtinį intelektą, mašininį mokymąsi ir vis galingesnius „botnetus”, kad vykdytų daugiavektorines atakas, galinčias generuoti terabaitus atakų srauto. Šios atakos, galinčios organizacijoms kainuoti iki 40 000 JAV dolerių per valandą dėl prarastų pajamų ir atkūrimo išlaidų, kelia didžiulę grėsmę verslo tęstinumui ir klientų pasitikėjimui.
Kas yra DDoS ataka?
Paskirstytosios atsisakymo aptarnauti atakos (DDoS ) – tai piktavališkas bandymas sutrikdyti įprastą srautą į tikslinį serverį, paslaugą ar tinklą, perkraunant jį interneto srautu. Atakos metu naudojamos kelios pažeistos sistemos kaip duomenų srauto šaltiniai, taip sukuriant netikėtą duomenų srauto kamštį, kuris užkerta kelią teisėtiems naudotojams pasiekti tikslą.
Pagrindinis skirtumas tarp DoS ir DDoS yra atakos šaltinių skaičius. DoS ataka kyla iš vienos sistemos, todėl lengviau nustatyti ir užblokuoti šaltinio IP adresą. Tuo tarpu DDoS atakoms naudojami keli kompiuteriai – dažnai tūkstančiai ar milijonai užkrėstų įrenginių, kurie vienu metu užtvindo taikinį.
Dėl tokio paskirstyto metodo DDoS atakos yra daug galingesnės ir nuo jų sunkiau apsisaugoti. Kai teisėti naudotojai bando prisijungti prie atakuojamo serverio, jie susiduria su lėtu krovimu, klaidomis ar visišku paslaugos neprieinamumu. Tikslinis serveris negali atskirti tikrų užklausų nuo didžiulio kiekio kenkėjiškų prisijungimų.
Šiuolaikinės DDoS atakos gali viršyti 1 terabaitą per sekundę ir prilygti didžiųjų interneto paslaugų teikėjų pralaidumui, be to, gali sutrikdyti svarbiausios infrastruktūros ir paslaugų teikimą ištisuose regionuose.
Dabar užpuolikai naudoja sudėtingus įrankius ir botnetus, kurie automatizuoja ir koordinuoja atakas, o tam reikia minimalių žinių. Komercinės „boot” ir „stresser” paslaugos suteik ė galimybę beveik bet kam pradėti DDoS atakas vos už 5 JAV dolerius per valandą.
Poveikis neapsiriboja tik techniniais sutrikimais. Įmonės gali prarasti klientus, sustabdyti e. prekybą ir patirti žalą prekės ženklui, o tokie svarbūs sektoriai kaip sveikatos priežiūra, finansai ir vyriausybė patiria rimtų pasekmių, kai sistemos neveikia.
Kaip veikia DDoS atakos
Norint suprasti, kaip veikia DDoS atakos, reikia išnagrinėti sudėtingą infrastruktūrą ir koordinavimo mechanizmus, leidžiančius vykdyti šias paskirstytas atakas. Procesas prasideda nuo botnetų – užkrėstų įrenginių tinklų, kurie yra pagrindas dideliems atakų srautams generuoti, – kūrimo ir diegimo.
Botnetų kūrimas ir naudojimas
DDoS botnetai pradedami kurti nuo kenkėjiškų programų platinimo kampanijų, skirtų užkrėsti ir pakenkti dideliam skaičiui prie interneto prijungtų įrenginių. Užpuolikai botnetams kurti naudoja įvairius metodus, įskaitant apgaulingus el. laiškus su kenkėjiškais priedais, programinės įrangos pažeidžiamumų išnaudojimą ir daiktų interneto įrenginių su numatytaisiais arba silpnais slaptažodžiais naudojimą. Užkrėsti šie įrenginiai tampa „botais” arba „zombiais”, kuriuos užpuolikas gali valdyti nuotoliniu būdu.
Šiuolaikinius DDoS botnetus gali sudaryti milijonai užkrėstų įrenginių, veikiančių keliuose žemynuose. Šie tinklai apima ne tik tradicinius kompiuterius, bet ir išmaniuosius telefonus, išmaniuosius namų įrenginius, apsaugos kameras, maršrutizatorius ir pramonines valdymo sistemas. Dėl įrenginių tipų įvairovės saugumo komandoms aptikti ir ištaisyti pažeidimus tampa ypač sudėtinga.
Užpuolikai savo botnetams vadovauja ir juos kontroliuoja naudodami šifruotus ryšio kanalus ir sudėtingus koordinavimo protokolus. Ruošdamasis pradėti ataką, užpuolikas siunčia instrukcijas visiems užkrėstiems botneto įrenginiams, nurodydamas tikslinio serverio duomenis, atakos trukmę ir generuojamus srauto modelius. Ši centralizuota kontrolė leidžia užpuolikams koordinuoti vienu metu vykdomas atakas iš tūkstančių geografiškai paskirstytų šaltinių.
Vykdymo etape visi botneto įrenginiai vienu metu pradeda siųsti HTTP užklausas, prisijungimo užklausas ar kitų tipų tinklo srautą į tikslinį serverį. Kiekvienas atskiras įrenginys gali generuoti palyginti nedidelį duomenų srautą, tačiau sujungus visą botnetą, bendras duomenų srautas gali nesunkiai apkrauti net ir gerai aprūpintas tikslines sistemas.
IP suklastojimo būdai dar labiau apsunkina DDoS atakas. Užpuolikai dažnai sukonfigūruoja savo robotus taip, kad jie naudotų suklastotus IP adresus, todėl atakos srautas atrodo, kad ateina iš teisėtų šaltinio IP adresų, o ne iš tikrųjų pažeistų įrenginių. Dėl tokio suklastojimo gynėjams labai sunku nustatyti ir blokuoti tikruosius atakų srauto šaltinius.
Šių atakų paskirstytas pobūdis kelia daugybę iššūkių, susijusių su jų sušvelninimu. Skirtingai nuo atakų iš pavienių šaltinių, kurias galima blokuoti paprasčiausiu IP adresų filtravimu, DDoS atakų atveju gynėjai turi atskirti teisėtą srautą iš realių naudotojų ir kenkėjišką srautą iš galimai milijonų užkrėstų įrenginių. Tai ypač sunku atskirti, kai užpuolikai sąmoningai keičia savo atakų modelius ir naudoja metodus, skirtus išvengti aptikimo.
DDoS atakų tipai
DDoS atakas galima suskirstyti į atskiras kategorijas pagal tai, į kokius tinklo sluoksnius jos nukreiptos, ir pagal konkrečius metodus, naudoj amus aukų sistemoms užvaldyti. Norint sukurti veiksmingas gynybos strategijas, labai svarbu suprasti šiuos skirtingus atakų vektorius, nes kiekvienam tipui reikia specifinių kovos priemonių ir stebėsenos metodų.
Taikomojo lygmens atakos (7 lygmuo)
Taikomųjų programų lygmens atakos yra vienos sudėtingiausių ir pavojingiausių DDoS atakų formų. Šios atakos nukreiptos prieš žiniatinklio serverius ir taikomąsias programas, užverčiant juos užklausomis, kurios atrodo teisėtos, bet skirtos pernelyg dideliam serverio išteklių naudojimui. Skirtingai nuo tūrinių atakų, kurių pagrindinis tikslas – sunaudoti duomenų srauto pralaidumą, taikant taikomojo lygmens atakų metodus išnaudojama asimetrija tarp skaičiavimo sąnaudų, patiriamų apdorojant užklausas serveryje, ir minimalių pastangų, reikalingų joms sukurti.
HTTP užtvindymo atakos yra taikomojo lygmens atakų metodikos pavyzdys. Šių atakų metu botnetai generuoja
„Slowloris” atakos yra dar vienas sudėtingas taikomojo lygmens metodas. Vietoj to, kad serveriai būtų užversti didelės apimties srautu, šios lėtosios atakos sukuria daug vienu metu veikiančių ryšių su tiksliniu žiniatinklio serveriu ir palaiko juos atidarytus, siųsdamos dalines HTTP užklausas lėtais intervalais. Tai neleidžia serveriui uždaryti jungčių, tuo pačiu išnaudojant savo jungčių rezervą, ir galiausiai neleidžia aptarnauti teisėtų klientų, bandančių pasiekti svetainę.
DNS grindžiamos taikomojo sluoksnio atakos nukreiptos prieš DNS serverius, kuriems pateikiama pernelyg daug užklausų, todėl jie nepajėgia išspręsti domenų vardų. Tokios atakos gali sutrikdyti ne tik pirminio tikslo veiklą, bet ir paveikti tolesnes paslaugas, kurios priklauso nuo DNS skirstymo. Užpuolikai gali užversti autoritetingus DNS serverius užklausomis apie neegzistuojančius subdomenus ir priversti serverius atlikti daug išteklių reikalaujančias neigiamas paieškas.
Dėl taikomojo lygmens atakų sudėtingumo jas aptikti ir sušvelninti yra ypač sudėtinga. Kadangi atskiros užklausos dažnai atliekamos pagal tinkamus protokolus ir gali būti siunčiamos iš teisėtai atrodančių šaltinio IP adresų, tradicinių tinklo lygmens filtravimo metodų nepakanka. Organizacijos turi naudoti taikomųjų programų saugumo sprendimus, galinčius analizuoti užklausų modelius, naudotojų elgseną ir konkrečių taikomųjų programų rodiklius, kad būtų galima nustatyti šias sudėtingas atakas.
Protokolo atakos (3-4 sluoksniai)
Protokolų atakose pasinaudojama tinklo protokolų pažeidžiamumais ir apribojimais, kad būtų pažeistos tikslinių sistemų ryšio būsenos lentelės, ugniasienės ir apkrovos balansavimo įrenginiai. Šios tinklo lygmens atakos ir transporto lygmens atakos nukreiptos prieš pagrindinius interneto ryšį užtikrinančius protokolus, todėl jos ypač veiksmingos prieš tinklo infrastruktūros komponentus.
SYN užtvindymo atakos yra viena iš labiausiai paplitusių protokolo atakų rūšių. Šiomis atakomis išnaudojamas trišalis TCP rankų suvedimo procesas, kai į tikslinį serverį siunčiamas didžiulis skaičius TCP SYN paketų, tačiau rankų suvedimo seka niekada neužbaigiama. Tikslinis serveris skiria išteklius kiekvienam neužbaigtam ryšiui, todėl greitai išnaudoja savo ryšių lentelę ir neleidžia teisėtiems naudotojams užmegzti naujų ryšių. Šiuolaikinėse sin flood atakų atmainose naudojami suklastoti šaltinio ip adresai, kad atakas būtų sunkiau susekti ir blokuoti.
UDP užtvindymo atakos taikinius bombarduoja vartotojo duomenų perdavimo protokolo paketais, siunčiamais į atsitiktinius tikslinės sistemos prievadus. Kadangi UDP yra be ryšio protokolas, tikslinis serveris bando atsakyti į šiuos paketus, todėl naudoja apdorojimo išteklius ir pralaidumą. Kai taikinys supranta, kad tiksliniame prievade neklauso jokia programa, jis atsako ICMP paketu „Tikslas nepasiekiamas”, dar labiau eikvodamas išteklius ir galimai apsunkindamas tinklo infrastruktūrą.
Ping srautai naudojami naudojant interneto valdymo pranešimų protokolą (ICMP), kad taikiniai būtų užversti ping užklausomis. Šių atakų metu generuojami didžiuliai ping paketų kiekiai, o taikinys, bandydamas atsakyti į kiekvieną užklausą, sunaudoja ir duomenų srauto pralaidumą, ir apdorojimo išteklius. Išplėstinės ICMP užtvindymo atmainos naudoja didesnius paketų dydžius ir gali apimti paketų fragmentaciją, kad padidintų tikslinių sistemų apdorojimo sąnaudas.
Fragmentacijos atakose naudojamasi pažeidžiamumu, susijusiu su tuo, kaip sistemos tvarko fragmentuotus IP paketus. Užpuolikai siunčia suskaidytų paketų srautus, kurių negalima tinkamai surinkti, todėl tikslinės sistemos, bandydamos atkurti paketus, naudoja atminties ir apdorojimo išteklius. Šios atakos gali būti ypač veiksmingos prieš ugniasienes ir įsilaužimo prevencijos sistemas, kurios bando tikrinti paketų turinį.
Tūrinės atakos
Vykdant tūrines DDoS atakas daugiausia dėmesio skiriama tam, kad būtų išnaudojamas visas turimas duomenų srauto pralaidumas tarp taikinio ir platesnio interneto, taip sukuriant ryšio kliūtį, dėl kurios teisėtas duomenų srautas nepasiekia paskirties vietos. Šių atakų metu generuojami didžiuliai iš pažiūros teisėto duomenų srauto kiekiai, dažnai matuojami šimtais gigabitų per sekundę arba milijonais paketų per sekundę.
DNS stiprinimo atakos yra vienas iš veiksmingiausių tūrinių atakų būdų. Užpuolikai siunčia nedideles DNS užklausas viešiesiems DNS serveriams, naudodami suklastotus šaltinio IP adresus, atitinkančius taikinio adresą. DNS serveriai atsako daug didesniais atsakymais, nukreiptais į taikinį, ir taip pirminis srautas padidėja 50-100 kartų. Šis stiprinimo efektas leidžia užpuolikams generuoti didžiulį srautą naudojant palyginti nedidelius botneto išteklius.
NTP stiprinimo atakos panašiai išnaudoja tinklo laiko protokolo serverius. Užpuolikai siunčia nedideles NTP užklausas, kuriose prašoma serverio statistikos, o gaunami daug didesni atsakymai. Kaip ir DNS stiprinimo atveju, šiose atakose naudojami suklastoti IP adresai, kad sustiprintus atsakymus būtų galima nukreipti į numatytą taikinį. NTP atakų stiprinimo koeficientas gali viršyti 500 kartų pradinės užklausos dydį.
„Memcached amplification” atakos nukreiptos prieš neapsaugotus „Memcached” serverius, kurie paprastai naudojami duomenų bazių spartinimui žiniatinklio programose. Užpuolikai šiuose serveriuose gali saugoti didelius naudinguosius krovinius, o tada juos išgauti naudodami mažas užklausas su suklastotais šaltinio adresais. „Memcached” atakų stiprinimo koeficientas gali viršyti 50 000 kartų, todėl šios atakos yra vienas galingiausių tūrinių atakų vektorių.
Didžiausioje iki šiol užfiksuotoje DDoS atakoje vienu metu buvo naudojami keli stiprinimo vektoriai, o duomenų srautas viršijo 2,3 terabaito per sekundę. Tokios masinės atakos gali užvaldyti ne tik numatomą taikinį, bet ir aukštesnio lygmens interneto paslaugų teikėjus bei tinklo infrastruktūrą ir sukelti plataus masto paslaugų teikimo sutrikimus.
DDoS atakų simptomų nustatymas
Norint sumažinti žalą ir įgyvendinti greito reagavimo priemones, labai svarbu atpažinti ankstyvuosius įspėjamuosius DDoS atakų požymius. Skirtingai nuo kitų kibernetinių grėsmių, kurios gali veikti slapta ilgą laiką, DDoS atakos paprastai iš karto sukelia pastebimus simptomus, kurie turi įtakos ir techninei infrastruktūrai, ir naudotojų patirčiai. Akivaizdžiausias galimos DDoS atakos indikatorius yra staigaus ir nepaaiškinamo svetainės ar paslaugos veikimo pablogėjimo. Teisėti naudotojai gali patirti žymiai lėtesnis puslapio įkėlimo laikas, ilgesnis API skambučių atsakymo laikas arba nepastovūs ryšio sutrikimai. Šios veiklos problemos paprastai pasireiškia visose tikslinėje infrastruktūroje teikiamose paslaugose. o ne daryti poveikį tik konkrečioms programoms ar funkcijoms.
Tinklo srauto analizė atskleidžia svarbius vykstančių atakų rodiklius. Organizacijos turėtų stebėti neįprastus įeinančio srauto šuolius, kurie gerokai viršija įprastas bazines vertes. Tačiau ne visi srauto šuoliai reiškia atakas – teisėti įvykiai, pavyzdžiui, virusinis turinys, rinkodaros kampanijos ar naujienos, taip pat gali sukelti srauto padidėjimą. Pagrindinis skirtumas yra tas, kad eismo modelius ir šaltinių charakteristikas. Kenkėjiškas duomenų srautas dažnai pasižymi specifiniai modeliai, kurie skiriasi nuo teisėto naudotojo elgesio. Atakų srautas gali kilę iš geografiškai neįprastų vietų, pasižymi neįprastais užklausų modeliais arba įtartinomis laiko charakteristikomis, pvz., puikiai sinchronizuotomis užklausomis iš kelių šaltinių. Teisėtas duomenų srautas paprastai pasižymi labiau atsitiktiniais laiko modeliais ir vyksta pagal nuspėjamas geografinis ir demografinis pasiskirstymas.
Serverio išteklių stebėjimas yra dar vienas svarbus aptikimo mechanizmas. DDoS atakų metu organizacijos paprastai pastebi, kad sparčiai naudojami serverio ištekliai, įskaitant procesoriaus naudojimą, atminties naudojimą ir tinklo ryšio limitus. Išteklių naudojimo greitis atakų metu dažnai viršija tai, ko būtų galima tikėtis atsižvelgiant į akivaizdų teisėtų naudotojų veiklos mastą. Protokolų atakų metu dažnai išnaudojami duomenų bazių jungčių rezervai ir žiniatinklio serverių jungčių limitai. Sistemos administratoriai gali pastebėti klaidų žurnalus, kuriuose nurodomas ryšio laiko tarpas, atsisakyti ryšiai arba įspėjimai apie maksimalų ryšio limitą. Šie simptomai gali padėti atskirti taikomojo lygmens atakas nuo tūrinių atakų, kurios pirmiausia naudoja duomenų srauto pralaidumą.
Norint atskirti teisėtus duomenų srauto šuolius nuo DDoS atakų, reikia sudėtingų analizės priemonių ir nustatytų bazinių rodiklių. Organizacijos turėtų įdiegti išsamią stebėseną, kuri vienu metu stebi kelis rodiklius, o ne pasikliauti vienais rodikliais. Realaus laiko srauto analizė, naudotojų elgsenos analizė ir automatinės įspėjimo sistemos padeda saugumo komandoms greitai nustatyti atakas ir inicijuoti tinkamas reagavimo procedūras.
DDoS atakų motyvai
Supratimas apie įvairius DDoS atakų motyvus suteikia esminės informacijos apie grėsmių sukėlėjų elgesį ir padeda organizacijoms įvertinti joms kylančią riziką. Šiuolaikiniai įsilaužėliai šias trikdančias kibernetines atakas vykdo dėl įvairių priežasčių – nuo finansinės naudos iki ideologinės saviraiškos, ir kiekvienai iš jų reikia skirtingų gynybos priemonių.
Finansiniai motyvai
Daugelį šiuolaikinių DDoS atakų lemia finansinės paskatos, o užpuolikai, siekdami pasipelnyti iš savo galimybių, taiko įvairias monetizacijos strategijas. Tiesioginė finansinė motyvacija yra išpirkos schemos, kai užpuolikai reikalauja sumokėti išpirką, kad nutrauktų vykdomas atakas arba užkirstų kelią būsimoms atakoms. Tokie nusikaltėliai paprastai atakuoja organizacijas svarbiausiais verslo laikotarpiais, pavyzdžiui, per šventinių pirkinių sezoną ar produktų pristatymą, kai paslaugų teikimo sutrikimai daro didžiausią finansinį poveikį.
Konkurencinis sabotažas – tai užpuolikai, pasamdyti tam, kad sutrikdytų konkuruojančių įmonių veiklą svarbiais veiklos laikotarpiais. Internetinių žaidimų bendrovės, e. prekybos platformos ir finansinių paslaugų įmonės dažnai patiria išpuolius, kurių laikas sutampa su svarbiais įvykiais, produktų išleidimais ar konkurentų pranešimais. Užpuolikai siekia nukreipti klientus į konkuruojančias paslaugas ir kartu pakenkti tikslinės įmonės reputacijai ir pozicijai rinkoje.
Manipuliavimo rinka schemose DDoS atakos naudojamos siekiant dirbtinai paveikti akcijų kainas arba kriptovaliutų rinkas. Užpuolikai gali taikytis į viešai kotiruojamas bendroves, rengdami tiksliai suplanuotas atakas, kuriomis siekiama sukurti neigiamą reklamą ir suaktyvinti automatines prekybos sistemas. Dėl to atsirandantis rinkos nepastovumas gali sukurti pelno galimybes užpuolikams, kurie pasirinko poziciją, leidžiančią pasinaudoti kainų pokyčiais.
DDoS atakų komercializavimas teikiant „booter” ir „stresser” paslaugas sukūrė ištisą pogrindinę ekonomiką, paremtą atakų galimybėmis. Šios paslaugos reklamuojasi kaip teisėtos tinklo testavimo nepalankiausiomis sąlygomis priemonės, tačiau pirmiausia jos tarnauja klientams, siekiantiems vykdyti atakas prieš konkurentus, buvusius darbdavius ar asmeninius priešus.
Ideologinės ir politinės priežastys
Haktivizmas yra svarbi DDoS atakų kategorija, kurios motyvas – politinė ar socialinė ideologija, o ne finansinė nauda. Tokios grupės kaip „Anonymous”, „LulzSec” ir įvairios nacionalinės haktivistų organizacijos naudoja DDoS atakas kaip skaitmeninio protesto formą prieš organizacijas, kurių politikai ar veiksmams jos nepritaria. Šios atakos dažnai nukreiptos prieš vyriausybines institucijas, korporacijas, veikiančias prieštaringai vertinamose pramonės šakose, arba organizacijas, kurios, kaip manoma, slopina žodžio laisvę.
Autoritarinių režimų politiniai disidentai ir aktyvistai gali naudoti DDoS atakas kaip priemones cenzūrai apeiti ir atkreipti tarptautinį dėmesį į savo reikalus. Šios atakos gali sutrikdyti vyriausybės propagandos svetainių veiklą, išjungti stebėjimo sistemas arba užvaldyti valstybės kontroliuojamas žiniasklaidos platformas. Tačiau tokia veikla kelia didelę asmeninę riziką dalyviams šalyse, kuriose galioja griežti kibernetinio saugumo įstatymai.
Nacionalinių valstybių veikėjai vykdo DDoS atakas kaip platesnių kibernetinio karo strategijų sudedamąsias dalis. Šios sudėtingos atakos dažnai nukreiptos prieš ypatingos svarbos infrastruktūrą, įskaitant elektros tinklus, finansų sistemas ir telekomunikacijų tinklus. Valstybių remiamos atakos gali būti skirtos demonstruoti pajėgumus, atitraukti dėmesį nuo kitų žvalgybos operacijų arba reaguoti į geopolitinę įtampą.
Aplinkosaugos ir socialinio teisingumo judėjimai vis dažniau naudoja DDoS atakas protestuodami prieš, jų nuomone, žalingą įmonių veiklą. Atakos buvo nukreiptos prieš naftos bendroves, kasybos įmones ir gamybos įmones, kaltinamas aplinkos niokojimu. Nors šios atakos retai sukelia nuolatinę žalą , jos skatina aktyvistų veiklos viešinimą ir trikdo įprastą verslo veiklą.
Asmeninė ir nusikalstama veikla
Su žaidimais susijusios DDoS atakos sudaro didžiąją dalį pranešimų apie incidentus, o konkurencingi žaidėjai atakas naudoja siekdami įgyti nesąžiningo pranašumo interneto varžybose. Šios atakos gali būti nukreiptos prieš atskirus varžovus turnyrų metu, sutrikdyti žaidimų serverių darbą, kad nebūtų užbaigtos rungtynės, arba keršyti žaidėjams, kurie, kaip manoma, sukčiauja arba elgiasi nesportiškai.
Daugybę mažesnio masto DDoS atakų lemia asmeninė kerštas, kai asmenys taikosi į buvusius darbdavius, romantiškus partnerius ar tariamus asmeninius priešus. Ginčai socialinėje žiniasklaidoje, internetinės priekabiavimo kampanijos ir tarpasmeniniai konfliktai dažnai perauga į DDoS atakas, kai jų dalyviai turi prieigą prie atakų priemonių ar paslaugų.
Nusikalstamos organizacijos naudoja DDoS atakas kaip diversijos taktiką, kad užmaskuotų kitą kenkėjišką veiklą. Kol saugumo komandos sutelkia dėmesį į DDoS atakos sutrikdytų paslaugų atkūrimą, užpuolikai tuo pat metu gali vykdyti duomenų apsaugos pažeidimus, diegti kenkėjišką programinę įrangą ar atlikti kitus įsilaužimus, dėl kurių paprastai būtų įspėjama apie pavojų. Šis daugiafunkcinis metodas padidina užpuolikų galimybes pasiekti savo pagrindinius tikslus, kol saugumo ištekliai yra perpildyti.
„Script kiddies” ir mėgėjai įsilaužėliai dažnai rengia DDoS atakas, kad pademonstruotų savo gebėjimus arba pelnytų pripažinimą įsilaužėlių bendruomenėse. Tokios atakos paprastai nėra sudėtingai suplanuotos, tačiau vis tiek gali sukelti didelių trikdžių, ypač kai jos nukreiptos prieš mažesnes organizacijas, turinčias ribotą DDoS apsaugos infrastruktūrą.
DDoS kaip paslauga ir pogrindinės rinkos
Komercinių DDoS kaip paslaugos platformų atsiradimas iš esmės pakeitė grėsmių kraštovaizdį, nes galingos atakų galimybės tapo prieinamos asmenims, turintiems minimalių techninių žinių. Šios paslaugos veikia per patogias interneto sąsajas, kurios leidžia klientams vos keliais spustelėjimais pradėti sudėtingas atakas, todėl potencialiems įsilaužėliams gerokai sumažėja patekimo į rinką kliūtys.
„Booter” ir „stresser” paslaugos yra labiausiai paplitusi komercializuotų DDoS pajėgumų forma. Šios platformos palaiko didelius botnetus ir atakų infrastruktūrą, kurią klientai gali išsinuomoti kas valandą, dieną arba kas mėnesį. Kainų modeliai paprastai svyruoja nuo 5 iki 50 JAV dolerių už pagrindines kelias valandas trunkančias atakas, o aukščiausios klasės paslaugos siūlo galingesnes atakas, ilgesnę trukmę ir papildomas funkcijas, pavyzdžiui, įprastų apsaugos sistemų apėjimo galimybes.
Šių paslaugų verslo modelis dažnai apima klientų aptarnavimą, naudotojų pamokas ir paslaugų lygio susitarimus, kuriais užtikrinamas tam tikras atakų intensyvumas. Daugelis platformų siūlo pakopinius paslaugų lygius su tokiais pavadinimais kaip „Basic”, „Professional” ir „Enterprise”, kurie atspindi teisėtus programinės įrangos pasiūlymus. Išplėstinės paslaugos teikia tokias funkcijas kaip atakų planavimas, geografinis nukreipimas ir kelių vektorių atakų deriniai, kuriems palaikyti reikia didelės techninės infrastruktūros.
Šių platformų teisiniuose atsisakymuose ir paslaugų teikimo sąlygose paprastai teigiama, kad jos teikia teisėtas tinklo testavimo nepalankiausiomis sąlygomis paslaugas, tačiau atlikus tyrimus nuolat nustatoma, kad didžioji dauguma jų naudojimo atvejų yra susiję su neteisėtomis atakomis prieš nesutinkančius taikinius. Teisėsaugos institucijos sėkmingai patraukė baudžiamojon atsakomybėn pagrindinių įkrovimo paslaugų operatorius, tačiau dėl šių operacijų paskirstymo ir tarptautinio pobūdžio sudėtinga užtikrinti visapusišką vykdymą.
Tamsiojo interneto prekyvietės palengvina sudėtingesnių atakų paslaugas, įskaitant užsakomųjų botnetų tinklų kūrimą, „nulinės dienos” atakų integravimą ir nacionalinės valstybės lygio atakų galimybes. Šios aukščiausios kokybės paslaugos kainuoja gerokai brangiau, tačiau jomis užtikrinamos atakų galimybės, galinčios priblokšti net gerai apsaugotus taikinius. Pardavėjai šiose rinkose dažnai teikia klientų atsiliepimus, saugojimo paslaugas ir techninę pagalbą, kuri atspindi teisėtas komercines operacijas.
Dėl DDoS kaip paslaugos platformų prieinamumo gerokai padažnėjo atakų dažnumas ir demokratizavosi galimybė vykdyti trikdančias kibernetines atakas. Dabar organizacijos turi atsižvelgti ne tik į sudėtingų nusikalstamų grupuočių, bet ir į nepatenkintų asmenų, konkurentų ar aktyvistų, kurie gali naudotis galingais atakų pajėgumais su minimaliomis investicijomis, keliamas grėsmes.
DDoS poveikio mažinimo ir apsaugos strategijos
Norint veiksmingai mažinti DDoS pavojų, reikia išsamios, daugiasluoksnės gynybos strategijos, kurioje būtų derinamas aktyvus pasirengimas ir reagavimo galimybės. Organizacijos turi įdiegti sprendimus, galinčius aptikti ir sušvelninti įvairių atakų vektorių poveikį, tuo pat metu išlaikant paslaugų prieinamumą teisėtiems naudotojams atakų metu.
Apsaugos nuo DDoS pagrindas prasideda nuo duomenų srauto modelių supratimo ir bazinių įprastos veiklos rodiklių nustatymo. Organizacijos turėtų nuolat stebėti tinklo srautą, serverių našumą ir naudotojų elgsenos modelius, kad būtų galima greitai aptikti neįprastą veiklą. Šie baziniai duomenys tampa labai svarbūs norint atskirti teisėtus duomenų srauto šuolius nuo kenkėjiškų atakų srauto.
Pajėgumų planavimas ir infrastruktūros atleidimas iš darbo suteikia esminių galimybių apsisaugoti nuo tūrinių DDoS atakų. Organizacijos turėtų numatyti pralaidumą ir serverių išteklius, kurie gerokai viršytų įprastus didžiausius poreikius, nors dėl išlaidų nepraktiška numatyti pakankamus pajėgumus didžiausioms galimoms atakoms atremti vien tik infrastruktūra.
Geografinis infrastruktūros paskirstymas naudojant turinio pristatymo tinklus ir debesijos paslaugas padeda absorbuoti atakų srautą keliose vietose, o ne sutelkti poveikį į vieną gedimo tašką. Toks paskirstymas taip pat pagerina teisėtų naudotojų paslaugų našumą, o atakų metu užtikrina kelis srauto nukreipimo kelius.
Techniniai poveikio mažinimo metodai
Greičio ribojimas yra pagrindinis DDoS mažinimo metodas, kuriuo kontroliuojamas užklausų iš atskirų šaltinio IP adresų arba naudotojų sesijų dažnumas. Veiksmingos greičio ribojimo priemonės skiria skirtingus užklausų tipus, taikydamos griežtesnius apribojimus daug išteklių reikalaujančioms operacijoms ir išlaikydamos pagrįstus apribojimus pagrindinėms puslapių peržiūroms ir API skambučiams.
Duomenų srauto filtravimo sistemos analizuoja gaunamo srauto modelius ir blokuoja užklausas, kurios atitinka žinomus atakų požymius arba pasižymi įtartinomis savybėmis. Šiuolaikinėse filtravimo sistemose naudojami mašininio mokymosi algoritmai, leidžiantys nustatyti naujus atakų modelius ir automatiškai atnaujinti filtravimo taisykles be žmogaus įsikišimo. Šios sistemos turi suderinti saugumą ir prieinamumą, kad neužblokuotų teisėtų naudotojų.
Apkrovos balansavimas paskirsto įeinantį srautą keliems serveriams, kad nė viena sistema nebūtų perkrauta. Pažangūs apkrovos balansavimo įrenginiai gali nustatyti, kada serveriai artėja prie pajėgumo ribų, ir nukreipti srautą į alternatyvius išteklius. Atakų metu apkrovos balansavimo įrenginiai gali izoliuoti paveiktas sistemas, išlaikydami paslaugų prieinamumą per nepaveiktą infrastruktūrą.
Geografinis blokavimas riboja prieigą iš tam tikrų geografinių regionų, kuriuose greičiausiai nėra teisėtų naudotojų, bet kurie dažnai yra atakų srauto šaltiniai. Šis metodas ypač veiksmingas organizacijoms, turinčioms aiškiai apibrėžtą geografinę klientų bazę, nors jį reikia kruopščiai įgyvendinti, kad nebūtų blokuojami teisėti tarptautiniai naudotojai.
CAPTCHA iššūkiai ir žmogaus patikros sistemos padeda atskirti automatizuotą atakų srautą nuo teisėtų žmonių naudotojų. Šios užduotys gali būti automatiškai inicijuojamos, kai duomenų srauto modeliai rodo galimas atakas, o iš naudotojų reikalaujama atlikti paprastas užduotis, kurios sudėtingos automatinėms sistemoms, bet trivialios žmonėms.
Pažangios apsaugos technologijos
Mašininio mokymosi ir dirbtinio intelekto technologijos leidžia atlikti sudėtingą duomenų srauto analizę, pagal kurią galima nustatyti subtilius DDoS atakų požymius. Šios sistemos vienu metu analizuoja kelias srauto charakteristikas, įskaitant užklausų laiką, naudingosios apkrovos modelius, naudotojo agento eilutes ir elgsenos sekas, kurias žmogui analitikui būtų sunku nustatyti rankiniu būdu.
Elgsenos analizės sistemos nustato įprastos naudotojo veiklos profilius ir nustato nukrypimus, kurie gali reikšti automatinių atakų srautą. Šios sistemos gali aptikti atakas, net jei atskiros užklausos atrodo teisėtos, analizuodamos bendrus srauto šaltinių elgsenos modelius.
Debesyje veikiantys valymo centrai teikia keičiamo mastelio DDoS mažinimo paslaugas, filtruodami duomenų srautą specializuotuose duomenų centruose ir tik tada persiųsdami švarų srautą į saugomą infrastruktūrą. Šios paslaugos suteikia praktiškai neribotą pajėgumą absorbuoti apimties atakas, kartu išlaikant specializuotą kompetenciją sudėtingiems atakų vektoriams apdoroti.
DNS apsaugos paslaugos apsaugo nuo atakų, nukreiptų į domenų vardų skirstymo infrastruktūrą. Šiomis paslaugomis užtikrinama nereikalinga DNS priegloba, srauto filtravimas DNS lygmeniu ir greito reagavimo į atakas, nukreiptas prieš DNS serverius, galimybės. DNS infrastruktūros apsauga labai svarbi, nes DNS sutrikimai gali paveikti visas interneto paslaugas, priklausančias nuo domenų vardų skirstymo.
Interneto programų ugniasienės (WAF), analizuodamos HTTP užklausas ir atsakymus ir ieškodamos kenkėjiškų šablonų, užtikrina konkrečios programos apsaugą nuo taikomojo lygmens atakų. Šiuolaikiniai WAF sprendimai integruojami su apsaugos nuo DDoS paslaugomis, kad būtų užtikrinta visapusiška visų tinklo sluoksnių aprėptis, išlaikant galimybę atskirti įvairių tipų kenkėjišką srautą.
DDoS apsaugos sprendimų pasirinkimas
Norint pasirinkti tinkamus apsaugos nuo DDoS sprendimus, reikia atidžiai įvertinti organizacijos rizikos veiksnius, biudžeto apribojimus ir techninius reikalavimus. Sprendimų priėmimo procesas turėtų prasidėti nuo išsamaus rizikos įvertinimo, kuriame atsižvelgiama į organizacijos internetu teikiamas paslaugas, klientų bazę ir galimus atakų, kurios gali būti nukreiptos prieš verslą, motyvus.
Poveikio verslui analizė padeda kiekybiškai įvertinti galimas DDoS atakų sukeltų paslaugų teikimo sutrikimų sąnaudas. Organizacijos turėtų apskaičiuoti prarastas pajamas, poveikį klientų patirčiai ir atkūrimo išlaidas, susijusias su įvairiais atakų scenarijais. Ši analizė suteikia pagrindą įvertinti įvairių apsaugos sprendimų investicijų grąžą ir nustatyti atitinkamus biudžeto asignavimus.
Visada įjungtos apsaugos paslaugos ir apsaugos pagal pareikalavimą paslaugos yra esminis DDoS mažinimo strategijos pasirinkimas. Visada įjungtos paslaugos visą srautą nuolat nukreipia per apsaugos infrastruktūrą, todėl į atakas reaguojama nedelsiant, tačiau įprastinė veikla gali vėluoti. Pagal pareikalavimą teikiamos paslaugos aktyvuojamos tik aptikus atakas, todėl poveikis įprastam duomenų srautui sumažėja iki minimumo, tačiau atakos inicijavimo metu gali trumpam sutrikti.
Vertinant paslaugų teikėją reikėtų atkreipti dėmesį į paslaugų teikėjo gebėjimą sušvelninti žalą, reagavimo laiką ir patirtį vykdant panašias į tas atakas, su kuriomis gali susidurti organizacija. Organizacijos turėtų prašyti išsamios informacijos apie paslaugų teikėjo infrastruktūros pajėgumus, pasaulinį pasiskirstymą ir ankstesnius veiklos rodiklius. Panašių organizacijų rekomendacijos suteikia vertingos informacijos apie realią veiklą ir pagalbos kokybę.
Planuojant diegimą reikia atsižvelgti į techninės integracijos reikalavimus ir galimus paslaugų teikimo sutrikimus diegimo metu. Kai kuriems apsaugos sprendimams reikia atlikti DNS pakeitimus, kurie turi įtakos pasauliniam duomenų srauto nukreipimui, o kiti integruojami tinklo lygmeniu, atliekant minimalius matomus pakeitimus. Organizacijos turėtų planuoti diegimą mažo duomenų srauto laikotarpiais ir išlaikyti grįžimo atgal galimybes, jei kiltų integracijos problemų.
Veikimo stebėjimas ir testavimas padeda patvirtinti apsaugos veiksmingumą ir nustatyti optimizavimo galimybes. Organizacijos turėtų reguliariai atlikti bandymus naudodamos kontroliuojamus duomenų srauto generatorius, kad patikrintų, ar apsaugos sistemos tinkamai reaguoja į įvairius atakų scenarijus. Atliekant šiuos bandymus turėtų būti vertinamas klaidingų teigiamų rezultatų lygis ir poveikis teisėtam srautui imituojamų atakų metu.
Reguliari peržiūra ir atnaujinimai užtikrina, kad apsaugos galimybės būtų plėtojamos atsižvelgiant į besikeičiančią grėsmių aplinką ir verslo reikalavimus. DDoS atakų metodai nuolat tobulėja, todėl apsaugos sprendimai turi būti atnaujinami, kad būtų galima reaguoti į naujus atakų vektorius ir prisitaikyti prie duomenų srauto modelių pokyčių, nes organizacijos auga ir keičia savo veiklą internete.
Atrankos procese taip pat reikėtų atsižvelgti į paslaugų teikėjo grėsmių žvalgybos galimybes ir integraciją su kitomis saugumo priemonėmis. Pirmaujančios apsaugos nuo DDoS paslaugos teikia išsamią atakų analizę, grėsmių žvalgybos kanalus ir integracijos su saugumo informacijos ir įvykių valdymo (SIEM) sistemomis galimybes, kurios padeda organizacijoms suprasti atakų modelius ir pagerinti bendrą saugumo būklę.
Dažnai užduodami klausimai
Ar mažos įmonės gali sau leisti DDoS apsaugą?
Taip, apsaugos nuo DDoS sprendimai tampa vis labiau prieinami įvairaus dydžio organizacijoms. Debesija pagrįstos apsaugos paslaugos siūlo pradinio lygio planus nuo 20 iki 100 JAV dolerių per mėnesį, o daugelis turinio pristatymo tinklo paslaugų teikėjų į standartinius paslaugų paketus įtraukia pagrindinius DDoS mažinimo veiksmus. Kai kurie pagrindiniai debesijos paslaugų teikėjai siūlo nemokamų pakopų parinktis, tačiau paprastai jų apsaugos pajėgumai yra riboti. Mažos įmonės turėtų orientuotis į sprendimus, kurie užtikrina automatinį mastelio keitimą ir mokėjimo už naudojimą modelius, kad įprastinės veiklos metu nereikėtų perteklinio aprūpinimo.
Kiek laiko paprastai trunka DDoS atakos?
DDoS atakų trukmė labai skiriasi priklausomai nuo užpuoliko motyvacijos ir išteklių. Dauguma atakų trunka 4-6 valandas, o daugelis trumpesnių atakų trunka vos kelias minutes, kad būtų išbandyta gynyba arba trumpam sutrikdyta veikla. Tačiau nuolatinės atakų kampanijos gali tęstis kelias dienas ar savaites, ypač kai jas motyvuoja bandymai išvilioti pinigus ar ideologiniai motyvai. Ilgiausios užregistruotos atakos tęsėsi kelis mėnesius, o užpuolikai po trumpų pertraukų periodiškai atnaujindavo atakas. Organizacijos turėtų parengti reagavimo į incidentus procedūras tiek trumpalaikiams trikdžiams, tiek ilgalaikėms atakų kampanijoms.
Ar teisėta naudoti DDoS testavimo įrankius savo serveriuose?
DDoS apsaugos nuo savo infrastruktūros bandymai paprastai yra teisėti, jei atliekami tinkamai, tačiau juos reikia kruopščiai suplanuoti ir patvirtinti. Prieš atlikdamos bandymus organizacijos turėtų gauti raštišką visų susijusių suinteresuotųjų šalių leidimą ir užtikrinti, kad bandymų veikla nedarytų poveikio bendrai infrastruktūrai ar trečiųjų šalių paslaugoms. Daugelis įmonių pasitelkia profesionalias įsiskverbimo testavimo įmones, kad jos atliktų kontroliuojamas DDoS imitacijas, atitinkančias teisinius reikalavimus ir pramonės standartus. Labai svarbu prieš atliekant bandymus informuoti interneto paslaugų teikėjus ir prieglobos paslaugų teikėjus, kad būtų išvengta automatinių reagavimo į piktnaudžiavimą procedūrų suveikimo.
Ar per DDoS atakas galima pavogti duomenis arba įdiegti kenkėjišką programinę įrangą?
Tradicinėmis DDoS atakomis siekiama sutrikdyti paslaugų teikimą, o ne pavogti duomenis, tačiau jos gali būti veiksminga kitų kenkėjiškų veiksmų nukreipimo taktika. Kol saugumo komandos reaguoja į DDoS atakų sukeltus paslaugų sutrikimus, užpuolikai tuo pat metu gali bandyti įsilaužti į duomenis, įdiegti kenkėjišką programinę įrangą ar atlikti kitus įsilaužimus, dėl kurių kitu atveju galėtų būti perspėti apie pavojų. Į kai kurias pažangias DDoS atakas įtraukiami antriniai naudingieji krūviai, skirti atakos metu atskleistoms pažeidžiamoms vietoms išnaudoti arba pakenkti sistemoms, kurių saugumo ištekliai yra perpildyti. Organizacijos turėtų vykdyti visapusišką saugumo stebėseną, kuri veiksmingai veiktų net ir DDoS incidentų metu.
Ką turėtumėte daryti iš karto, kai patirsite DDoS ataką?
Skubaus reagavimo procedūros turėtų apimti: 1) suaktyvinti reagavimo į incidentus komandą ir informuoti pagrindines suinteresuotąsias šalis apie paslaugų teikimo sutrikimą, 2) susisiekti su interneto paslaugų teikėju ir „ddos” apsaugos paslaugų teikėju ir pranešti apie ataką bei paprašyti skubios pagalbos, 3) įjungti bet kokias avarinio srauto filtravimo ar greičio ribojimo galimybes, kurias gali suteikti prieglobos paslaugų teikėjas arba saugumo priemonės, 4) pradėti dokumentuoti ataką, įskaitant laiką, paveiktas paslaugas ir bet kokius užpuolikų reikalavimus ar pranešimus, ir 5) įgyvendinti komunikacijos procedūras, kad klientai ir naudotojai būtų informuojami apie paslaugų būklę ir numatomus sprendimo terminus. Venkite skubių infrastruktūros konfigūracijos pakeitimų, kurie gali pabloginti padėtį, ir sutelkite dėmesį į iš anksto suplanuotų reagavimo procedūrų aktyvinimą, o ne į improvizuotus sprendimus krizės metu.