DDOS-атаки и как они развиваются

DDOS-АТАКИ И КАК ОНИ РАЗВИВАЮТСЯ

Атаки типа «отказ в обслуживании» уже двадцать лет являются частью набора инструментов для киберпреступлений, они становятся все более распространенными и сильными.

Что такое DDoS-атака?

Distributed Denial of Service-распределенная атака типа «отказ в обслуживании» — это когда злоумышленник или злоумышленники пытаются сделать невозможным работу услуги. Это может быть достигнуто путем блокирования доступа практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже определенным транзакциям внутри приложений. В DoS-атаке это одна система, которая отправляет вредоносные данные или запросы. DDoS-атака происходит от нескольких систем.

Как правило, эти атаки работают путем нагрузки системы запросами. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он падает, или это может быть база данных, загруженная большим количеством запросов. В результате доступная пропускная способность интернет-канала, ЦП и ОЗУ становятся перегружены. Воздействие может варьироваться от незначительного раздражения и сбоев в обслуживании до отключения от сети целых веб-сайтов, приложений или даже всего бизнеса.

Симптомы DDoS-атаки

DDoS-атаки могут напоминать многие не злонамеренные вещи, которые вызвают проблемы с доступностью, такие как сбой на сервере или в системе, слишком много законных запросов от законных пользователей или даже перерезанный кабель. Часто чтобы определить, что именно происходит, требуется анализ трафика.

Хронология развития DDoS-атак

Это была атака, которая навсегда изменила представление об атаках типа «отказ в обслуживании». В начале 2000 года канадский школьник Майкл Кальс, известный как MafiaBoy, ударил Yahoo! с распределенной атакой отказа в обслуживании (DDoS), которая смогла закрыть один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицеливался и успешно разрушал другие сайты, такие как Amazon, CNN и eBay. Конечно, это была не первая DDoS-атака, но эта публичная и успешная серия атак навсегда превратила их из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах CISO и ИТ-директоров. С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, в качестве средства онлайн-активности и даже для ведения кибервойн. Они также стали больше с годами. В середине 1990-х годов атака могла состоять из 150 запросов в секунду – и этого было бы достаточно для разрушения многих систем. Сегодня они могут превышать 1000 Гбит/с. Во многом это было вызвано огромным размером современных ботнетов.

В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял на волне DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры. На своем пике Mirai достиг 400 000 ботов. Работа многих сервисов, включая такие, как Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, была нарушена. В начале 2018 года появилась новая технология DDoS. 28 февраля хостинг-сервис контроля версий GitHub подвергся массированной атаке типа «отказ в обслуживании»: на популярный сайт попал трафик в размере 1,35 ТБ в секунду. Несмотря на то что GitHub периодически перебивался в автономном режиме и ему удавалось полностью отразить атаку менее чем через 20 минут, масштаб нападения вызывал беспокойство, поскольку он опережал атаку Dyn, скорость которой достигала 1,2 ТБ в секунду.

Анализ технологии, которая привела к атаке, показал, что она была в некотором смысле проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч IoT-устройств, атака GitHub использовала серверы, на которых работала система кэширования памяти Memcached, которая может возвращать очень большие порции данных в ответ на простые запросы. Memcached предназначена для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, имеет мало возможностей для защиты от злоумышленников, подделывающих IP-адреса и отправляющих огромные объемы данных не подозревающим жертвам. К сожалению, тысячи серверов Memcached находятся в открытом интернете, и их использование в DDoS-атаках значительно возросло. Сказать, что серверы похищены, едва ли справедливо, так как они будут с удовольствием отправлять пакеты туда, куда им говорят, не задавая вопросов.

Спустя всего несколько дней после атаки GitHub, еще одна атака DDoS на основе Memecached врезалась в поставщика услуг США с 1,7 ТБ данных в секунду. Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он использовал уязвимые устройства IoT, а не ПК и серверы. Особенно страшно, если учесть, что к 2020 году, согласно BI Intelligence, будет 34 миллиарда подключенных к интернету устройств, и большинство (24 миллиарда) будут IoT-устройствами. К сожалению, Mirai не станет последним ботнетом с поддержкой IoT. Исследование групп безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru обнаружило ботнет аналогичного размера, названный WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Расследование вызвало серию крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.

DDoS-атаки сегодня

Хотя объем DDoS-атак сокращается, они все еще представляют собой серьезную угрозу. «Лаборатория Касперского» сообщает, что количество DDoS-атак в 2018 году снижалось каждый квартал, за исключением третьего из-за «аномально активного сентября». В целом в 2018 году активность DDoS снизилась на 13 %. По словам Касперского, недавно обнаруженные ботнеты, такие как Torii и DemonBot, способны запускать атаки DDoS. Torii способен захватить целый ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности. Еще одной тревожной тенденцией является наличие новых платформ запуска DDoS, таких как 0x-booter. Этот DDos-as-a-service использует около 16 000 устройств IoT, зараженных вредоносным ПО Bushido, вариантом Mirai.

Инструменты DDoS-атаки

Как правило, злоумышленники DDoS используют бот-сети — наборы сетей, зараженных вредоносным ПО, которые находятся под централизованным контролем. Эти зараженные конечные точки обычно представляют собой компьютеры и серверы, но все чаще это IoT и мобильные устройства. Злоумышленники будут использовать эти системы, выявляя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники будут брать ботнеты в аренду у тех, кто их создал.

3 типа DDoS-атак

Существует три основных класса атак DDoS. Те, которые используют огромные объемы фиктивного трафика для отключения ресурса, такого как веб-сайт или сервер, включая атаки ICMP, UDP и атаки с использованием поддельных пакетов. Другой класс DDoS-атак использует пакеты для целевой сетевой инфраструктуры и инструментов управления инфраструктурой. Эти протокольные атаки включают, среди прочего, SYN Floods и Smurf DDoS. Наконец, некоторые DDoS-атаки нацелены на уровень приложений организации и осуществляются путем заполнения приложений вредоносными запросами. Цель всегда остается одной: сделать предмет атаки уязвимым или обрушить его.