Про DDoS: ➤ как развиваются атаки на «отказ в обслуживании»

DDoS-атаки стали неотъемлемой частью криминального набора за последние 20 лет и они продолжают становиться все более распространенными и мощными.

Что такое DDoS-атака?

Атака распределенного отказа в обслуживании происходит тогда, когда атакующая сторона делает невозможным доступ к веб-сервису. Такое может быть достигнуто блокировкой доступа к чему угодно: серверам, устройствам, сервисам, подсетям, приложениям и даже к специфическим транзакциям внутри приложений. В случае DDoS-атаки вредоносные запросы приходят от одной системы/устройства; источником DDoS-атаки служит множество систем/устройств.

В общем случае, эти атаки глушат атакуемую систему множественными запросами данных. Это может быть отправка веб-серверу такого множества запросов к каким-либо страницам, что это вызывает у него сбой. Или это может быть база данных, к которой отправляется масса тяжеловесных запросов. В результате происходит исчерпание имеющихся ресурсов интернет-канала, процессора или оперативной памяти атакуемой системы.

Воздействие может варьироваться от незначительных сбоев в обслуживании до появления целых веб-сайтов, приложений или даже всего бизнеса, недоступного для обычных пользователей.

Симптомы DDoS-атаки

DDoS-атаки могут выглядеть как вполне обыденные вещи, вызывающие проблемы с доступом — например, как упавший сервер, слишком большой поток вполне легальных запросов от обычных пользователей или даже как повреждение кабеля. Часто требуется провести анализ трафика, чтобы определить, что именно происходит.

Хроники DDoS-атак

Это была атака, которая навсегда изменила представление об атаках типа «отказ в обслуживании». В начале 2000 года канадский школьник Майкл Кальс, известный как MafiaBoy, атаковал Yahoo! распределенной атакой отказа в обслуживании (DDoS), которая смогла положить один из ведущих веб-сайтов того времени. В течение следующей недели Кальс подготовился и успешно нарушил работу других сайтов, таких как Amazon, CNN и eBay.

Конечно, это была не первая DDoS-атака, но эта серия публичных и успешных атак превратила атаки типа «отказ в обслуживании» из чего-то нового и незначительного в мощных разрушителей бизнеса в умах IТ-бизнесменов навсегда.

С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, в качестве средства онлайн-активности и даже для ведения кибервойн.

Они также стали мощнее с годами. В середине 1990-х годов атака могла состоять из 150 запросов в секунду — и этого было бы достаточно для разрушения многих систем. Сегодня они могут превышать 1 Терабит/с. Во многом это стало возможным благодаря огромным размерам современных ботнетов.

В октябре 2016 года интернет-провайдер Dyn DNS (ныне Oracle DYN) лег на волне DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры. На своем пике Mirai достиг размера 400 000 атакующих ботов. Сервисы Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter были нарушены.

В начале 2018 года появилась новая технология DDoS. 28 февраля хостинг-сервис контроля версий GitHub подвергся массированной атаке типа «отказ в обслуживании»: на него обрушилась волна вредоносного трафика 1,35 ТБ в секунду. Несмотря на то, что GitHub периодически уходил в автономный режим и ему удавалось полностью отразить атаку менее чем через 20 минут, масштаб нападения вызывал беспокойство, поскольку он опережал атаку Dyn, интенсивность которой достигала только 1,2 ТБ в секунду.

Анализ технологии, на которой строилась атака, показал, что она была в некотором смысле проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч устройств IoT, атака GitHub использовала серверы, которые задействовали систему кэширования памяти Memcached, имеющую функционал возвращать очень большие фрагменты данных в ответ на простые запросы.

Memcached предназначен для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, имеет мало средств защиты от злоумышленников, меняющих IP-адреса и отправляющих огромные объемы данных не подозревающим жертвам. К сожалению, тысячи серверов Memcached находятся в открытом интернете и их использование в DDoS-атаках значительно возросло. Сказать, что серверы «похищены», едва ли справедливо, так как они будут с удовольствием отправлять пакеты туда, куда им говорят, не задавая лишних вопросов и не требуя дополнительной авторизации.

Спустя всего несколько дней после атаки GitHub еще одна атака DDoS на основе Memcached накрыла американского сервис-провайдера с интенсивностью 1,7 ТБ данных в секунду.

Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он использовал уязвимые устройства IoT, а не ПК и серверы. Это особенно страшно, если учесть, что к 2020 году, согласно BI Intelligence, будет 34 миллиарда подключенных к Интернету устройств, и большинство (24 миллиарда) будут IoT-устройствами.

К сожалению, Mirai не стал последним ботнетом с поддержкой IoT. Исследование групп безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru выявило ботнет аналогичного размера, названный WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Расследование было вызвано серией крупных DDoS-атак, нацеленных на поставщиков контента и сетей доставки контента.

DDoS-атаки сегодня

Хотя объем DDoS-атак сокращается, они все еще представляют собой серьезную угрозу. «Лаборатория Касперского» сообщает, что количество DDoS-атак снижалось каждый квартал в 2018 году по сравнению с предыдущим годом, за исключением третьего из-за «аномально активного сентября». В целом, активность DDoS снизилась на 13 процентов в 2018 году.

По словам Касперского, недавно обнаруженные ботнеты, такие как Torii и DemonBot, способные запускать атаки DDoS. Torii способен захватить целый ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности.

Еще одной тревожной тенденцией является наличие новых платформ запуска DDoS, таких как 0x-booter. Этот DDos-as-a-service использует около 16 000 устройств IoT, зараженных вредоносным софтом Bushido, вариантом Mirai.

Тем не менее, в отчете Kaspersky действительно были основания для оптимизма по поводу уменьшения количества атак DDoS и наносимого ими ущерба. Это утверждение основано на повышении эффективности работы правоохранительных органов по всему миру в плане закрытия операторов DDoS и это является вероятной причиной снижения числа атак.

Инструменты DDoS-атак

Как правило, злоумышленники DDoS используют бот-сети — наборы сетей, зараженных вредоносным ПО, которые находятся под централизованным контролем. Эти зараженные конечные устройства обычно представляют собой компьютеры и серверы, но все чаще представляют собой IoT и мобильные устройства. Злоумышленники будут использовать эти системы, выявляя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники будут брать в аренду эти ботнеты у тех, кто их построил.

Три типа DDoS-атак

Существует три основных класса атак DDoS: первый — это те атаки, которые используют огромные объемы фиктивного трафика для отключения ресурса, такого как веб-сайт или сервер, включая атаки ICMP, UDP и атаки с использованием поддельных пакетов.

Другой класс DDoS-атак использует пакеты для целевой сетевой инфраструктуры и инструментов управления инфраструктурой. Эти протокольные атаки включают, среди прочего, SYN Floods и Smurf DDoS.

Наконец, некоторые DDoS-атаки нацелены на уровень приложений организации и осуществляются путем заполнения приложений вредоносными запросами. Цель всегда одна и та же: сделать онлайн-ресурсы труднодоступными или совсем не отвечающими.

Как развиваются DDoS-атаки

Как кратко упомянуто выше, эти атаки становятся все более частыми из арендованных ботнетов. Ожидается, что эта тенденция будет продолжаться.

Еще одной тенденцией является использование нескольких векторов в рамках одной атаки, также известной как расширенные атаки постоянного отказа в обслуживании (APDoS). Например, атака APDoS может включать в себя прикладной уровень, такой как атаки на базы данных и приложения, а также непосредственно на сервер. «Это выходит за рамки простого «затопления», — говорит Чак Макки, управляющий директор по успеху партнеров в Binary Defense.

Кроме того, объясняет Макки, злоумышленники часто не просто нацеливаются непосредственно на своих жертв, но и на организации, от которых они зависят, такие как интернет-провайдеры и облачные провайдеры. «Это широкомасштабные, высокоэффективные атаки, которые хорошо скоординированы», — говорит он.

Это также меняет влияние DDoS-атак на организации и увеличивает их риск. «Предприятия больше не просто озабочены DDoS-атаками на самих себя, а и атаками на огромное количество деловых партнеров, поставщиков и сервисов, на которых полагаются эти предприятия», — говорит Майк Оверли, адвокат по кибербезопасности из Foley & Lardner LLP. «Одна из самых старых пословиц в области безопасности заключается в том, что бизнес настолько безопасен, насколько безопасно его самое слабое звено. В сегодняшних условиях (о чем свидетельствуют недавние инциденты) этим самым слабым звеном может быть и часто является одна из третьих сторон», — сообщает он.

Поскольку преступники совершенствуют свои DDoS-атаки, конечно же, технологии и тактика не будут стоять на месте. Как объясняет Род Сото, директор по исследованиям в области безопасности JASK, добавление новых устройств IoT, развитие машинного обучения и искусственного интеллекта будут играть роль в изменении этих атак. «Злоумышленники в конечном итоге также интегрируют эти технологии в атаки, что усложняет защиту защитников от атак DDoS, особенно тех, которые не могут быть остановлены простыми списками ACL или сигнатурами. Технология защиты от DDoS также должна развиваться в этом направлении», — говорит Сото.

Источник: статья в издании CSO

Читайте также: