DDOS to skrót od Distributed Denial-of-Service. Jest to rodzaj cyberprzestępczości, w którym jedna lub kilka stron próbuje przerwać ruch serwera lub strony internetowej. Aby być skutecznym, atakują nie tylko jeden komputer, ale często całą ich sieć.
Nie chodzi jednak tylko o maszyny atakującego – istnieją rodzaje złośliwego oprogramowania i wirusów, które mogą wpływać na komputer zwykłego użytkownika i przekształcić go w część ataku. Nawet urządzenia IoT nie są bezpieczne – jeśli masz w domu urządzenie inteligentne, teoretycznie mogłoby zostać wykorzystane do takiego ataku.
Jak to działa?
Najprostszym sposobem wyjaśnienia ataków DDOS jest porównanie ich z korkami. Normalny ruch uliczny zostaje przerwany, ponieważ dziesiątki (lub setki, tysiące itd.) niespodziewanych samochodów wjeżdżają na główną drogę, nie przepuszczając innych samochodów.
Pojawiający się zacięcie uniemożliwia normalnym kierowcom dotarcie do celu – w przypadku zdarzenia DDOS jest to serwer lub witryna, której szukają.
Istnieją różne typy ataków, których celem są różne elementy normalnej komunikacji klient-serwer.
Ataki na warstwę aplikacji spróbuj wyczerpać zasoby celu, zmuszając go do wielokrotnego ładowania plików lub zapytań do bazy danych – to spowalnia działanie strony i może w skrajnych przypadkach powodować problemy z serwerem poprzez jego przegrzanie lub zwiększenie mocy posługiwać się. Ataki te są trudne do obrony, ponieważ są trudne do wykrycia – nie jest łatwo powiedzieć, czy wzrost użycia wynika ze wzrostu rzeczywistego ruchu, czy ze złośliwego ataku.
Ataki typu HTTP Flood są wykonywane przez zasadniczo ciągłe odświeżanie strony przeglądarki – z wyjątkiem milionów razy. Ta powódź żądań do serwera często powoduje, że jest on przytłoczony i nie odpowiada już na (prawdziwe) żądania. Obrona obejmuje posiadanie serwerów zapasowych i wystarczającą pojemność do obsługi przepełnienia żądań. Na przykład taki atak prawie na pewno nie zadziałałby na Facebooka, ponieważ jego infrastruktura jest tak silna, że może poradzić sobie z takimi atakami.
Ataki protokołu spróbuj wyczerpać serwer, wykorzystując całą pojemność, jaką mają aplikacje internetowe – czyli powtarzając żądania do elementu witryny lub usługi. Spowoduje to, że aplikacja internetowa przestanie odpowiadać. Często używane są filtry, które blokują powtarzające się żądania z tych samych adresów IP w celu powstrzymania ataków i utrzymania działania usługi dla zwykłych użytkowników.
Ataki powodziowe SYN są wykonywane w zasadzie poprzez wielokrotne proszenie serwera o pobranie elementu, a następnie nie potwierdzanie jego odbioru. Oznacza to, że serwer zatrzymuje elementy i czeka na pokwitowanie, które nigdy nie nadchodzi – aż w końcu nie może już ich dłużej pomieścić i zacznie je upuszczać, aby odebrać więcej.
Ataki wolumetryczne spróbuj sztucznie stworzyć przeciążenie, specjalnie zajmując całą przepustowość, jaką ma serwer. Jest to podobne do ataków HTTP Flood, z tą różnicą, że zamiast powtarzających się żądań przesyłane są dane do serwer, przez co jest zbyt zajęty, aby odpowiadać na normalny ruch. Do przeprowadzania tych ataków zwykle wykorzystywane są botnety – często wykorzystują one również wzmocnienie DNS.
Wskazówka: wzmocnienie DNS działa jak megafon – mniejsze żądanie lub pakiet danych jest przedstawiany jako znacznie większy niż jest. Może to być osoba atakująca, która żąda wszystkiego, co serwer ma do zaoferowania, a następnie prosi o powtórzenie wszystko, o co prosił atakujący – stosunkowo małe i proste żądanie zajmuje dużo czasu Surowce.
Jak bronić się przed atakami DDOS?
Pierwszym krokiem do radzenia sobie z tymi atakami jest upewnienie się, że mają miejsce naprawdę. Wykrycie ich nie zawsze jest łatwe, ponieważ skoki ruchu mogą być normalnym zachowaniem ze względu na strefy czasowe, informacje prasowe i nie tylko. Aby ich ataki zadziałały, osoby atakujące DDOS starają się maksymalnie ukryć swoje zachowanie w normalnym ruchu.
Inne procedury łagodzące ataki DDOS to czarne dziury, ograniczanie szybkości i zapory ogniowe. Czarne dziury są dość ekstremalnym środkiem – nie próbują oddzielić prawdziwego ruchu od ataku, ale raczej przekierowują każde żądanie z serwera, a następnie je odrzucają. Można to zrobić, na przykład, przygotowując oczekiwany atak.
Ograniczanie szybkości jest nieco mniej uciążliwe dla użytkowników – ustawia sztuczny limit liczby żądań, które serwer zaakceptuje. Ten limit wystarczy, aby przepuścić normalny ruch, ale zbyt wiele żądań jest automatycznie przekierowywanych i odrzucanych – w ten sposób serwer nie może zostać przytłoczony. Jest to również skuteczny sposób na powstrzymanie prób łamania haseł metodą brute force – po, powiedzmy, pięciu próbach, próba adresu IP jest po prostu blokowana.
Zapory sieciowe są przydatne nie tylko do ochrony na własnym komputerze, ale także po stronie serwera w ruchu sieciowym. Zwłaszcza firewalle aplikacji internetowych są ustawiane między Internetem a serwerem – chronią przed kilkoma różnymi rodzajami ataków. Dobre zapory sieciowe są również w stanie szybko skonfigurować niestandardowe reakcje na ataki w miarę ich pojawiania się.
Wskazówka: jeśli chcesz chronić swoją witrynę lub serwer przed jakimś atakiem DDOS, będziesz potrzebować zestawu różnych rozwiązań (najprawdopodobniej w tym zapory). Najlepszym sposobem na rozwiązanie tego problemu jest skonsultowanie się z konsultantem ds. cyberbezpieczeństwa, który opracuje plan dostosowany do Twoich potrzeb. Nie ma jednego uniwersalnego rozwiązania!