Ataki DDoS to obecnie jedne z najczęstszych sposobów destabilizacji systemu informatycznego, a w efekcie duże straty dla przedsiębiorców: finansowe, czasowe, utrata zaufania do firmy, reputacji etc. Według danych z 2017 roku, ataki trwają średnio około 3 godzin, ale zdarzają się również takie, które blokują system IT na kilka lub kilkanaście dni. Czym są ataki DDoS, jak je rozpoznać i im zapobiegać?
Pierwszy atak pojawił się w 1999 roku na Uniwersytecie w Minessocie, gdzie wykorzystano narzędzie Trinoo (lub też trin00) po to, aby zablokować działanie systemu IT na 2 dni. Trinoo składało się z sieci zainfekowanych maszyn nazwanych „Masters” i „Daemons”. Maszyny „Masters” otrzymały instrukcje ataków i wysłały je „Daemonsom”. Były to protokoły UDP wysłane do adresów IP i ukryte za „Deamonsami”. Właściciele tych maszyn nie mieli wiedzy o tej sytuacji.
Czym są ataki DDoS?
DDoS to forma skrótu od angielskiego: Distributed Denial of Service i oznacza cyberatak, który objawia się zablokowaniem systemu informatycznego, tj. strony internetowej lub sklepu internetowego poprzez wysyłanie do niego zbyt dużej ilości danych. System nie jest w stanie ich przetworzyć i ulega destabilizacji. W efekcie nie można uruchomić strony lub e-sklepu ani wykonać na nich żadnych ruchów.
DoS a DDoS: różnica
DDoS są rodzajem ataku DoS (Denial of Service), jednak ten pierwszy pochodzi z wielu źródeł, za którymi może stać grupa osób, botów czy też zainfekowanych systemów.
Jak wygląda atak DDoS?
Celem jest blokada dostępu zwykłych użytkowników do jakiejś usługi. Dzieje się to poprzez wysyłanie ogromnej ilości zapytań w taki sposób, że system IT czy też aplikacja zostają przeciążone. Hacker nie zamierza wykraść danych, ale spowolnić usługę lub ją całkiem zablokować. Bardzo często szuka luk w systemie. Powody mogą być różne:
- Żarty
- Test wytrzymałości systemu
- Chęć osiągnięcia zysku finansowego (żądanie okupu)
- Ideologia.
Atak nie zawsze jest wykryty od razu, ponieważ przedsiębiorca nie sprawdza wciąż swojej strony www. Informację o tym, że strona lub sklep nie działa, może dostać od Klientów.
Rodzaje ataków DDoS
W latach 90. ataki DDoS wykonywano z pojedynczych węzłów (DoS), potem zamiast ataków niskopoziomowych usług sieciowych systemów IT crackerzy zaczęli destabilizować same web aplikacje, a dziś są to ataki kierowane nie tylko na komputery, ale też na urządzenia mobilne, tablety i sztuczną inteligencję (IoT). Crackerzy poszukują luk w działaniu systemu, potem je eksploatują i tworzą z nich botnet, czyli grupę zainfekowanych komputerów, dzięki czemu mają kontrolę nad wszystkimi urządzeniami w tej sieci. Często wysyłają spam oraz stosujują inne ataki, np. szantaże.
W dzisiejszych czasach tego rodzaju ataki są dobrze przygotowane i wymagają użycia jednocześnie kilku tysięcy urządzeń. Cracker wcześniej oczywiście dostaje za to pieniądze i nierzadko ataki DDoS mają na celu wpłynięcie na zachowania społeczne lub decyzje polityczne. Przykładem jest grupa Anonymous i jej działania.
Gdzie zlokalizowano najwięcej ataków DDoS?
Ataki DDoS stanowią blisko 20% incydentów związanych z narażeniem bezpieczeństwa IT w firmach. W 2018 roku tego rodzaju naruszenia systemu zostały potwierdzone w 79 krajach, a blisko połowa (47,53%) z nich zlokalizowana była w Chinach. Najdłuższe ataki trwały blisko 300 godzin, czyli około 12 dni (ofiarą crackerów padła m.in. chińska firma telekomunikacyjna). Inny atak na hiszpański bank trwał 3 dni. Można sobie wyobrazić, ile trwało odrabianie takich strat…
Obecnie zauważalny jest spadek ataków DDoS, które powodują zwiększenie ruchów na stronie, za to wzrost ataków na inteligentne urządzenia. Jednym z takich przykładów jest największy w historii atak na Twitter, CNN, Spotify i wiele innych serwisów we wrześniu 2016, które zostały wtedy wyłączone. Atak został przeprowadzony za pomocą IoT podstępnie podłączonych do botnetu.
Jak się chronić?
Ochrona przed atakami DDoS jest trudna i dość specyficzna. Polega na 3 rodzajach działań:
- zapobieganiu, czyli wdrażaniu rozwiązań, które pozwolą uniknąć ataków, zminimalizują powierzchnię ataku, przeprowadzaniu audytów, wykonywaniu testów penetracyjnych
- wykrywaniu (detekcji) przez monitoring sieci oraz analizę anomalii
- przeciwdziałaniu (odpowiedź), czyli złagodzeniu skutków ataku oraz współpracy z dostawcami internetowymi.
Więcej na temat ochrony przed DDoS będziemy pisali w kolejnym tekście.
Ochrona przed ataki DDoS w ITH
Cyberbezpieczeństwo jest naszym priorytetem, dlatego oferujemy kompletną ochronę przed wspomnianymi atakami oraz monitoring Jesteśmy specjalistami na rynku usług telekomunikacyjnych, a swoje usługi kierujemy zarówno do MŚP, startupów, jak i dużych przedsiębiorstw, instytucji publicznych, deweloperów, instytucji finansowych czy też operatorów telekomunikacyjnych. Od początku współpracy kładziemy nacisk na jasne warunki współpracy oraz zgodność z przepisami RODO. Zapraszamy do skorzystania z usług.