Що таке DDoS-атака і як із нею впоратися?
Тиждень тому від атаки впали сервери Wikipedia, World Of Warcraft і Twitch. Ходять чутки, що це був тест нової мережі ботів. Чим може закінчитися велика атака? Чи існує захист?
Що це таке?
«Denial of Service» — вид хакерської атаки. Зломник робить усе так, щоб користувач не потрапив на конкретний ресурс. Виходить ефект дорожньої пробки в самій мережі, а для сервера — це як тиснути 150-кілограмову штангу замість 50-кілограмової.
«Distributed Denial of Service» перекладається як «розподілена відмова в обслуговуванні». Тут уже залучено багато віддалених один від одного пристроїв. Важливо, що хакеру набагато складніше отримати доступ до системи, ніж зробити DDoS-атаку.
Як це працює?
Спочатку злий хакермен зламує пристрої з доступом в Інтернет. Раніше це були звичайні комп’ютери та сервери, але тепер це смартфони, смарт-годинники, відеокамери та розумні електрочайники. Так, дуже багато чайників можуть покласти сайт інтернет-магазину. Ще є спеціальні сервери-стресери для атак, ними може користуватися майже кожен охочий.
Потім пристрої заражаються спеціальним кодом і з них формується ботнет. За командою мережа створює шкідливий трафік і відправляє його жертві. Якщо сервер жертви витримує навантаження, то просто працює гірше. Якщо ні — не працює зовсім.
Кому і навіщо це потрібно?
Причин багато. Найпоширеніші:
/ Іноді причиною слугує особиста неприязнь. Ось не подобається людині компанія або структура, і вона їй шкодить. Тому поводьтеся добре і ніколи не хаміть. У США так 1999 року атакували ФБР на кілька тижнів.
/ Ще так розважаються. Серйозно, так може будь-хто, хто хоч трохи розбирається в цій галузі. Навряд чи така атака буде анонімною та ефективною. Школяр може вибрати взагалі будь-який сайт для забави.
/ Цим методом борються з конкурентами. DDoS може зіпсувати репутацію і завдати серйозних збитків. Досить поширена причина атаки.
/ DDoS використовують для шантажу і вимагання. Компанії можуть втратити від атаки більше, ніж заплатять хакеру, тому метод ефективний.
/ Хактивісти часто використовують DDoS як метод протесту
Які бувають DDoS-атаки?
Найпростіший метод — це перенасичення смуги пропускання сигналу мережі. Як це роблять:
HTTP GET
HTTP(S) GET-запит надсилається на сервер для отримання файлу або скрипта.
HTTP(S) GET-флуд — DDoS 7 рівня OSI. Хакер створює потік запитів на сервер, а він перестає відповідати на звичайні запити.
HTTP HOST
HTTP(S) POST-запит — дані пакують у тіло запиту, потім кодують, а сервер їх обробляє. Спосіб більш ресурсозатратний, ніж GET.
HTTP(S) POST-флуд — перевантажує сервер POST-запитами і він лягає відпочивати, як і чийсь бізнес.
Важливо, що все вище працює як з HTTP, так і HTTPS. Другий варіант кращий для хакера: дані шифруються, а при отриманні розшифровуються сервером. Так навантаження ще більше збільшується.
Smurf-атака (ICMP-флуд) — небезпечніша, ніж попередні. Хакер надсилає ICMP-пакети, де змінює свою адресу на адресу жертви, а у відповідь усі вузли її мережі відповідають на ping-запит. Вузли швидко втомлюються і йдуть відпочивати.
Fraggle (UPD-флуд) — принцип як у Smurf-атаки, але використовуються UPD-пакети.
SYN-флуд — хакер запускає багато одночасних TCP-з’єднань через надсилання SYN-пакета з вигаданою зворотною адресою. У результаті — DDoS.
На другому місці — вичерпання ресурсів самого сервера
Надсилання «важких пакетів» — через великий розмір пакетів та їхню кількість витрачається процесорний час сервера. Користувачі просто не можуть отримати свої ресурси.
Переповнення сервера лог-файлами — хакер користується недосвідченістю адміністратора і заповнює весь жорсткий диск сервера лог-файлами.
Помилки програмного коду — хакери знаходять помилки коду і пишуть під них програми-експлойти, що атакують системи. Чим це може скінчитися? У кращому разі сильним перевантаженням сервера, у гіршому — спрацьовуванням системи захисту та аварійним відключенням усієї мережі.
Найважливіші DDoS-атаки
Почнемо ми з 7 лютого 2000 року. Що потрібно для успішної DDoS-атаки? Потрібно близько 50 різних мереж, програма Sinkhole, сайти CNN, Amazon, eBay, Yahoo і… Барабанний дріб. І 16-річний пацан із Канади. Атака тривала тиждень, майже весь цей час сайти лежали. Хлопця заарештували у квітні і засудили на 8 місяців виправного центру.
У жовтні 2002 року здійснили атаку на всі 13 рутових DNS-серверів. На них, до речі, весь Інтернет тримається. Хакери не завдали багато проблем мережі, але деякі сервери були поза доступом. Працювали за допомогою ботнету, але правильне налаштування серверів не дало системі впасти.
У квітні 2007 року влада Естонії хотіла перенести меморіал на честь Другої світової війни. Через це почалися мітинги, водночас була атака на урядові ресурси. Того року в країні запрацювала система електронного уряду, бюрократія майже повністю перейшла від аналога в цифру. DDoS прямо паралізував країну, збитки були величезними.
У січні 2008 року хактивісти з групи Anonimous створили проєкт Chanology як помсту за вимоги саєнтологів видалити відео з Томом Крузом з Інтернету. Інтернет-активностей було багато, DDoS зокрема. Акція примітна тим, що була першою масовою DDoS-атакою.
На сезон осінь-зима 2012-2013 на 26 банків США здійснили атаку. Відповідальність на себе взяла група ісламістів, але ЦРУ вважає, що так Іран відповів на санкції. Атака була так собі, але пів року заважала банкам працювати.
І найсмачніше — ботнет Інтернету речей Mirai. Це про ті самі чайники, сигналізації, відеокамери тощо. Mirai — це вірус, який шукає вразливості у таких пристроїв, а потім залучає їх в атаках. Перша атака за допомогою Mirai була у вересні 2016 року, а у 2017 була атака на Dyn DNS: через неї були проблеми з доступом до сервісів Twitter, Spotify, GitHub і SoundCloud. Хоч особливої великої шкоди атака не завдала, але в ній залучили 100 тис. пристроїв Інтернету речей і посилили мільйоном комп’ютерів по всьому світу.
Як захиститися від DDoS-атаки?
Методи боротьби з атаками діляться на 2 види: активні та пасивні. Усілякі превентивні засоби та налаштування — це пасивні, а активні використовують під час атаки.
Хороший адміністратор завжди попереджає атаку, намагається мінімізувати ризики. Не завжди так виходить, але до цього потрібно прагнути.
Найважливіші моменти:
Фільтрація і блокування трафіку: маршрутизація за списками ACL і використання міжмережевих екранів. Перше відсіває другорядні протоколи і не знижує швидкість роботи з ресурсом. Міжмережеві екрани застосовують для захисту приватних мереж.
Зворотний DDoS: перенаправлення трафіку на нападника. Працює, якщо вистачає серверних потужностей і якщо вас не зламали.
Усунення вразливостей: тут усе зрозуміло. Не працює проти флуд-атак.
Побудова розподілених систем: дає змогу покласти не всю систему. Репутаційно важливо для великих проєктів.
Моніторинг: не захищає від DDoS-атаки, але допомагає швидко її виявити і вжити заходів.