DDoS – co to jest i na czym polega? Jakie są rodzaje i jak się zabezpieczyć?
DDoS to skrót od Distributed Denial of Service, czyli rozproszona odmowa usługi. Ten typ ataku hakerskiego stanowi jedno z największych zagrożeń dla firm i organizacji działających w sieci. Jako eksperci w dziedzinie cyberbezpieczeństwa, chcemy podzielić się z Wami wiedzą na temat ataków DDoS oraz doradzić, jak skutecznie się przed nimi bronić.
Czym jest DDoS?
DDoS to rodzaj ataku cybernetycznego, którego celem jest sparaliżowanie lub wyłączenie dostępu do danego zasobu lub usługi w sieci. Atakujący wykorzystują do tego celu wiele komputerów (często zainfekowanych i włączonych do botnetu), które jednocześnie wysyłają ogromne ilości żądań do systemu ofiary, powodując jego przeciążenie i w efekcie – niedostępność dla zwykłych użytkowników.
Na czym polega atak DDoS?
Atak DDoS polega na skoordynowanym wysyłaniu olbrzymiej liczby zapytań lub pakietów danych do serwera docelowego z wielu źródeł jednocześnie. Celem jest zajęcie wszystkich dostępnych zasobów serwera, tak aby stał się on nieresponsywny lub całkowicie niedostępny dla normalnego ruchu. Atakujący często wykorzystują do tego celu sieć zainfekowanych komputerów (botnet), nad którymi przejęli kontrolę za pomocą złośliwego oprogramowania.
Jakie są rodzaje ataków DDoS?
Wyróżniamy kilka głównych rodzajów ataków DDoS:
Ataki wolumetryczne
Ataki wolumetryczne to prawdopodobnie najpowszechniejszy rodzaj DDoS. Ich istotą jest zalewanie łącza ofiary ogromną ilością ruchu, mierzoną często w gigabitach na sekundę (Gbps). Celem jest całkowite wysycenie pasma, uniemożliwiające normalną komunikację.
Atakujący wykorzystują tu różne metody generowania ruchu, takie jak:
- Ping Flood – masowe wysyłanie pakietów ICMP Echo Request
- UDP Flood – zalewanie losowymi pakietami UDP
- SYN Flood – wysyłanie ogromnej liczby pakietów TCP SYN w celu wyczerpania puli połączeń
- ACK Flood – zalewanie pakietami TCP ACK
- HTTP Flood – bombardowanie serwerów WWW żądaniami GET/POST
Obroną przed atakami wolumetrycznymi jest filtrowanie ruchu, blokowanie źródłowych adresów IP oraz przewymiarowanie łącza i serwerów. Jednak przy bardzo dużej skali ataku może to być niewystarczające.
Ataki protokołowe
Ataki protokołowe polegają na eksploatowaniu słabości i podatności w implementacji protokołów sieciowych, takich jak TCP, UDP, ICMP, DNS czy BGP. Nie chodzi tu o zalanie “brutalną siłą”, ale raczej o sprytne omijanie i oszukiwanie mechanizmów kontrolnych.
Przykładami takich ataków są:
- SYN-ACK Reflection – generowanie dużej liczby odpowiedzi SYN-ACK do nieistniejących hostów, co obciąża serwery ofiary
- Ping of Death – wysyłanie specjalnie spreparowanych, zbyt dużych pakietów ICMP
- Teardrop – dzielenie pakietów IP na fragmenty z nakładającymi się offsetami, co może doprowadzić do awarii stosu TCP/IP
- DNS Amplification – wysyłanie zapytań DNS z podszytym adresem ofiary do serwerów open resolver, które generują znacznie większe odpowiedzi]
Obroną przed atakami protokołowymi jest aktualizowanie systemów, aby eliminować znane podatności, oraz wdrażanie filtrów anty-spoofingowych i mechanizmów weryfikacji integralności pakietów.
Ataki aplikacyjne
Ataki aplikacyjne celują w warstwę 7 modelu ISO/OSI, czyli w same aplikacje webowe. Ich celem jest wyczerpanie zasobów serwerów aplikacyjnych, takich jak wątki, procesy, pamięć czy połączenia z bazą danych.
Do najpopularniejszych technik należą:
- HTTP Flood – masowe wysyłanie żądań GET/POST, często z różnymi parametrami, aby ominąć cache]
- Slowloris – otwieranie wielu połączeń HTTP i utrzymywanie ich w stanie półotwartym poprzez wysyłanie niekompletnych żądań
- RUDY (R-U-Dead-Yet) – powolne wysyłanie ciała żądania HTTP POST, po jednym bajcie na pakiet
- XDoS, Slow Read – powolne czytanie odpowiedzi serwera, po jednym bajcie na pewien czas
- HTTP Fragmentation – dzielenie żądań HTTP na wiele małych pakietów TCP
Obroną przed atakami aplikacyjnymi jest wdrażanie WAF-ów (Web Application Firewall), ograniczanie liczby i czasu bezczynnych połączeń, a także optymalizacja aplikacji i serwerów pod kątem wydajności.
Ataki typu “low and slow”
Ataki “low and slow” to podstępna odmiana DDoS, która polega na powolnym, ale systematycznym wysyłaniu żądań, co utrudnia ich odróżnienie od zwykłego ruchu. Ruch generowany przez atakującego nie odbiega parametrami od normalnego, więc klasyczne mechanizmy wykrywania anomalii zawodzą.
Przykładami “low and slow” są wspomniane już ataki Slowloris, RUDY czy Slow Read. Działają one na poziomie aplikacyjnym, stopniowo wyczerpując pulę dostępnych wątków i połączeń. Inną techniką jest Sockstress – nawiązywanie wielu połączeń TCP z oknem o rozmiarze 0, co blokuje zasoby serwera.
Obroną przed “low and slow” jest przede wszystkim odpowiednie strojenie serwerów WWW i bieżący monitoring zużycia zasobów. Pomocne mogą być też dedykowane systemy anty-DDoS, wyposażone w zaawansowane algorytmy behawioralne.
Dlaczego DDoS powoduje przerwę w dostawach usług?
Ataki DDoS prowadzą do przeciążenia infrastruktury sieciowej i serwerów docelowych. W efekcie, legitymowani użytkownicy nie są w stanie uzyskać dostępu do zasobów lub usług online. Dla firm oznacza to nie tylko straty finansowe związane z przestojem, ale także poważne szkody wizerunkowe. Długotrwałe ataki DDoS mogą nawet doprowadzić do całkowitego zamknięcia biznesu.
Jak zabezpieczyć się przed atakami DDoS?
Aby skutecznie chronić się przed atakami DDoS, warto wdrożyć kilka kluczowych rozwiązań:
- Usługi mitygacji DDoS – profesjonalne usługi filtrowania ruchu, wykrywania anomalii i blokowania ataków.
- Redundancja infrastruktury – posiadanie zapasowych serwerów i łączy, które przejmą obsługę ruchu w razie ataku.
- Regularne aktualizacje – dbanie o aktualność oprogramowania i łatanie znanych luk bezpieczeństwa.
- Planowanie na wypadek incydentu – opracowanie procedur reagowania i komunikacji w przypadku ataku DDoS.
- Edukacja pracowników – podnoszenie świadomości na temat cyberzagrożeń wśród kadry.
Największy atak DDoS w historii miał miejsce w 2022 roku i osiągnął rekordową wielkość 3,4 Tb/s. Był to atak wolumetryczny na operatora telekomunikacyjnego w Europie Środkowej. Warto wspomnieć, że tego typu ataki mogą być wykonywane przez tzw. botnety, czyli sieci zainfekowanych komputerów wykorzystywanych do przeprowadzania ataków DDoS, które mogą liczyć nawet miliony maszyn. Jednym z największych botnetów był Mirai, który składał się z około 600 tys. urządzeń IoT. Niektóre ataki DDoS są tak zaawansowane, że trudno je odróżnić od normalnego ruchu sieciowego, co utrudnia ich wykrycie i zablokowanie.
Maciej Cieśla, Head of Cybersecurity, HackerU Polska
Czy atak DDoS jest nielegalny?
Tak, atak DDoS jest formą cyberprzestępstwa i naruszeniem prawa. W większości krajów, w tym w Polsce, przeprowadzanie ataków DDoS jest nielegalne i grozi odpowiedzialnością karną. Firmy padające ofiarą takich ataków mogą dochodzić swoich praw i odszkodowań na drodze sądowej. Warto jednak pamiętać, że wykrycie i udowodnienie sprawstwa bywa trudne ze względu na rozproszony i anonimowy charakter ataków.
Jak widać, ataki DDoS to poważne zagrożenie dla ciągłości działania i reputacji firm obecnych w sieci. Skutki udanego ataku mogą być katastrofalne – od utraty przychodów i klientów, przez koszty przestoju i naprawy infrastruktury, aż po długofalowe szkody wizerunkowe. Dlatego tak ważne jest odpowiednie przygotowanie i zabezpieczenie organizacji przed tego typu incydentami.
Kluczem do skutecznej ochrony jest połączenie rozwiązań technicznych, takich jak usługi mitygacji DDoS czy redundancja infrastruktury, z działaniami organizacyjnymi, jak regularne aktualizacje, planowanie na wypadek incydentu oraz edukacja pracowników. Tylko holistyczne podejście do problemu pozwoli zminimalizować ryzyko stania się ofiarą paraliżującego ataku DDoS.
W HackerU doskonale zdajemy sobie sprawę, jak ważna jest świadomość i przygotowanie firm na zagrożenia płynące z cyberprzestrzeni. Dlatego oferujemy kompleksowe szkolenia z zakresu cyberbezpieczeństwa, podczas których omawiamy m.in. problematykę ataków DDoS. Nasi eksperci nie tylko przekazują niezbędną wiedzę teoretyczną, ale także uczą praktycznych umiejętności zapobiegania, wykrywania i reagowania na incydenty. Wierzymy, że poprzez podnoszenie kompetencji pracowników i wdrażanie odpowiednich rozwiązań, możemy skutecznie chronić biznes przed coraz bardziej wyrafinowanymi atakami hakerów.
Źródła:
- https://www.microsoft.com/pl-pl/security/business/security-101/what-is-a-ddos-attack
- https://www.akamai.com/glossary/what-is-a-low-and-slow-attack
- https://cebrf.knf.gov.pl/encyklopedia/hasla/385-definicje/799-ddos