Już ponad 5 miliardów ludzi na Ziemi korzysta z internetu. Dla wielu z nich stanowi on podstawowe źródło informacji, a jednocześnie najczęściej wybierany sposób komunikacji i robienia zakupów. Szybko rozwijający się cyfrowy świat odgrywa coraz istotniejszą rolę w życiu mieszkańców kolejnych rejonów świata. Nie dziwi więc, że blokowanie dostępu do konkretnych stron czy usług od lat jest w czołówce działań cyberprzestępców. Na czym polegają i jakie mają skutki przeprowadzane przez nich ataki DDoS (Distributed Denial of Service)?
DDoS (Distributed Denial of Service) to forma ataku mająca na celu uniemożliwienie użytkownikom dostępu do danego serwisu poprzez wysycenie pasma na łączu lub przeciążenie serwera, by stracił zdolność realizacji powierzonych zadań. Początkowo ataki przeprowadzane były z jednej lokalizacji (atak DoS – Denial of Service), lecz z czasem technikę udoskonalono, opracowując rozproszenie źródeł ataku (atak DDoS – Distributed Denial of Service). W tym przypadku napastnik wykorzystuje do realizacji celu „zombi” – zainfekowane urządzenia, nad którymi kontrolę zapewnia mu umieszczone w nich złośliwe oprogramowanie.
W pierwszym kwartale 2022 roku wykryto łącznie ponad 91 000 ataków DDoS, co oznacza średnio około tysiąca prób każdego dnia. Niemal 95% z nich trwała mniej niż cztery godziny, choć zdarzały się też o wiele dłuższe, jak rekordowe w tym czasie 549 godzin. Cyberprzestępcy biorą na cel przede wszystkim organizacje o istotnym znaczeniu politycznym, społecznym lub konsumenckim. W ich przypadku powodzenie ataku może być najbardziej odczuwalne przez mieszkańców danego regionu lub wybraną grupę. Tylko w maju 2022 roku przed działaniami hakerów musiały bronić się m.in. niemieckie Ministerstwo Obrony i związane z nim instytucje, a także organizatorzy konkursu Eurowizji.
Potencjalnym celem ataku może być więc każdy.
Armia zombi do dyspozycji
W jaki sposób przygotowywany i przeprowadzany jest atak DDoS? W pierwszym etapie cyberprzestępca tworzy armię „zombi”, a więc zainfekowanych urządzeń, które następnie będą atakować wybrany cel. Za pomocą wirusa, trojana lub robaka przejmuje kontrolę nie tylko nad komputerami i smartfonami, ale również bogatym ekosystemem urządzeń internetu rzeczy. Nic nie stoi na przeszkodzie, by pod jego kontrolą znalazły się np. kamery IP. Każde urządzenie podpięte do sieci może równie dobrze spełnić swoje zadanie jako narzędzie ataku.
Tak przygotowana sieć botów (botnet) zasypuje serwery hostujące dany serwis ogromną liczbą zapytań lub bezwartościowych danych, których ten nie jest w stanie przetworzyć. W efekcie przestaje odpowiadać także na próby kontaktu ze strony zwykłych użytkowników, a strona staje się niedostępna dla kogokolwiek. Ataki DDoS są uciążliwe i łatwo zauważalne, ale same w sobie nie przynoszą zagrożenia dla zasobów danej organizacji, która stała się celem ataku. Cyberprzestępcy odcinają dostęp użytkownikom do strony czy serwera, ale nie uzyskują dostępów do wrażliwych danych, które mogliby na przykład wykraść. Nie zmienia to jednak faktu, że konsekwencje ataku mogą być kosztowne, zwłaszcza dla przedsiębiorstw, które opierają swoją działalność na kontakcie z konsumentem i sprzedaży produktów lub usług.
Rodzaje ataków DDoS
Hakerzy mogą zablokować dany serwis na kilka sposobów. W zależności od charakteru działań, możemy wymienić następujące rodzaje ataków:
- wolumetryczny
- aplikacyjny
- protokołowe
W przypadku ataku wolumetrycznego dana lokalizacja w sieci staje się niedostępna na skutek wysycenia łączy internetowych, które nie są w stanie przyjąć napływających w ogromnych ilościach danych. Choć łącza pozostają sprawne, liczba pakietów sprawia, że nie mogą obsłużyć wszystkich przychodzących i wychodzących informacji.
Atak aplikacyjny ogranicza dostęp do danego serwisu, angażując go dużą liczbą zapytań, które wymagają zarezerwowania i wykorzystania pewnej puli zasobów. Przedłużając kontakt i czas odpowiedzi, napastnicy są w stanie przy dużej liczbie takich działań zużyć wszystkie zasoby aplikacji internetowej. Do tej metody zaliczają się m.in. ataki HTTP Flood, w ramach których żądania dotyczące pobrania określonej zawartości lub wykonania pewnego działania przez serwer doprowadzają do jego przeciążenia.
Z kolei atak protokołowy opiera się na wykorzystaniu słabości bądź też nadużywaniu protokołów trzeciej i czwartej warstwy modelu OSI. Celem cyberprzestępców w takim przypadku są protokoły IP, TCP i UDP.
Warto być przygotowanym
W dobie tak dużej liczby urządzeń podpiętych do sieci, które mogą stać się zombi, na działania hakerów należy być dobrze przygotowanym. Nigdy nie wiemy, kiedy możemy stać się celem ataku o większej sile lub czasie trwania, którego konsekwencje mogą być bardzo dotkliwe. Dobrym punktem startowym jest regularne aktualizowanie aplikacji, zachowywanie ostrożności w kontaktach przez sieć czy wykorzystywanie VPN-ów. W przypadku firm lista zaleceń jest o wiele dłuższa i obejmuje etapy od opracowania planu reakcji na atak DDoS, przez zadbanie o firewalle czy systemy wykrywania i zapobiegania włamaniom, po redundancję serwerów.
Jak się skutecznie bronić i na co uważać? O tym dowiesz się z serii wideoporadników Michała Porady, w których omawia sposoby działań cyberprzestępców.
Sponsorem cyklu audycji
o cyberbezpieczeństwie jest firma Cisco