С ростом зависимости бизнеса и общества от интернет-технологий злоумышленники начали организовывать специальные атаки. Они направлены на подавление функционирования сетевых сервисов. Такие атаки представляют собой скоординированные попытки множества компьютеров одновременно и часто массово нагружать онлайн-сервисы таким образом, чтобы те перестали справляться с нагрузкой. По своему характеру и проявлению («отказ в обслуживании», denial of service) их начали называть Distributed Denial of Service — DDoS-атаками.
В этой статье — технические основы DDoS-атак, их виды, методы реализации и потенциальные последствия для жертв, стратегии защиты и реагирования, которые могут использовать организации для снижения рисков и восстановления после атак.
Что такое DDoS-атака
DDoS-атака — это тип кибератаки, при которой множество устройств, способных выходить во всемирную сеть и делать запросы к сервисам в ней, одновременно отправляют большое количество обращений к одному и тому же серверу или сети. Это приводит к выводу за пределы их возможностей по обработке запросов.
В таком состоянии нарушается нормальное функционирование интернет-сервисов: обычные пользователи сталкиваются с невозможностью посетить сайт, загрузить или посмотреть видео, купить товары или услуги, а владельцы атакованного ресурса теряют посетителей и связанный с ними заработок.
Почему вдруг тысячи устройств начинают обращаться к одному и тому же серверу? Они делают это по команде злоумышленника, который может использовать атаку для шантажа владельца ресурса, нанесения урона его пользовательской базе или срыва трансляции важных мероприятий. Иногда DDoS-атаки применяют для провокации и вскрытия уязвимостей в коде атакованного сервиса.
Эксплуатация уязвимости может привести к утечке ценных данных или даже полному перехвату владения сервисом. Поэтому DDoS-атака — это серьезное правонарушение, которое несет для жертвы большие риски.
Виды DDoS-атак
DDoS-атаки обычно классифицируют по способу их реализации и уровню сети, на который они направлены. Всего выделяют три типа: объемные, атаки на протокол и приложение.
Объемные атаки
Это самый часто встречающийся тип DDoS-атак, при котором злоумышленники стремятся «засыпать» целевой ресурс огромным объемом трафика. Эта тактика направлена на то, чтобы исчерпать пропускную способность сети, из-за чего сервис становится недоступным обычным пользователям.
По типу используемого для атаки протокола различают UDP flood и ICMP flood, где большое количество UDP-пакетов или ICMP-эхо-запросов посылаются к целевому серверу.
Атаки на протокол
Они фокусируются на эксплуатации уязвимостей в сетевых протоколах. В подавляющем большинстве случаев для этого выбирают TCP/IP. Злоумышленники могут использовать различные методы. Например, SYN flood, при котором сервер перегружают неполными запросами на установление соединения. Другой вариант — атака фрагментированными пакетами (fragmented packet attack), где перегружают сервисы, которые отвечают за сборку данных в полноценные пакеты. Такие атаки создают проблемы на уровне маршрутизаторов и сетевого оборудования.
Атаки на приложение
Менее универсальный способ, так как направлен на слабые места конкретных приложений. Злоумышленники используют сложные, многоуровневые запросы, которые требуют от серверов больших вычислительных ресурсов, что в итоге приводит к их исчерпанию.
Примером служит Slowloris, где злоумышленник открывает и поддерживает множество незавершенных соединений с сервером, или атаки множеством запросов на уровне протокола HTTP.
Принцип работы DDoS-атак
Прежде чем начать атаку, злоумышленник должен потратить много времени на то, чтобы построить так называемый «ботнет»: сеть устройств, готовых исполнять команды.
Для этого используют любые доступные средства:
- покупку ресурсов у облачных провайдеров;
- эксплуатацию уязвимостей в серверах, включенных в сеть интернет (особенно опасны так называемые уязвимости «нулевого дня» — те, что известны только злоумышленнику, но не производителю уязвимого ПО);
- изготовление поддельных приложений, мимикрирующих под что угодно — от банковских клиентов до игр;
- социальную инженерию и фишинг;
- распространение вредоносных программ через сервисы с любым нелегальным контентом.
Фактически любое устройство с доступом в интернет, которое может обновлять свою прошивку или прикладное программное обеспечение, может стать «зараженным» и невольно присоединиться к ботнету злоумышленников.
Известны даже случаи, когда действия преступников приводили к тому, что устройства выходили уже зараженными прямо с фабрик, где их изготавливали.
Набор достаточно большой базы зараженных устройств — это непростая задача, поэтому часто злоумышленник занимается его построением не для атак в своих прямых интересах, а для исполнения заказов тех, кто хочет парализовать работу какого-то сервиса. После того как создан мощный ботнет (его силу измеряют числом запросов, которое он может одновременно сгенерировать), его владелец выбирает цель и начинает атаку в назначенное время. Злоумышленник может использовать весь ботнет или лишь его часть.
Последствия DDoS-атаки
Самым непосредственным и очевидным последствием DDoS-атак становится простой в работе сетевой инфраструктуры. То есть во время атак посетители не могут пользоваться привычными им интернет-сервисами.
Простои в работе и недоступность сервисов прямо влияют на доходы, особенно для бизнесов, которые полностью зависят от онлайн-транзакций. Это приводит к прямым потерям продаж. Но если атакован сервис, работающий по подписке (например, онлайн-кинотеатр), то атака может спровоцировать отток клиентов. А если сервис работает на условиях соглашения об уровне обслуживания (Service Level Agreement, SLA), то клиенты могут потребовать компенсаций.
Даже кратковременные простои могут нанести значительный ущерб репутации компании, уменьшить доверие пользователей, покупателей и партнеров. Это, в свою очередь, создает долгосрочный негативный шлейф вокруг компании, избавиться от которого гораздо сложнее и дольше, чем просто технически восстановиться.
Анализ после атаки часто заканчивается тем, что жертва принимает решение выделить дополнительные средства на защиту, чтобы предотвратить повторение подобной ситуации. В затраты может входить оборудование, программное обеспечение, услуги и сервисы, а также вложения в переподготовку специалистов компании. Недешево, долго, и после атаки делать это уже поздно.
В случае утечки данных или существенного нарушения работы критической инфраструктуры в результате DDoS-атак на компанию могут наложить штрафы в соответствии с законодательством о защите данных или другими регуляторными требованиями.
Кто может стать жертвой
Любой человек или организация, у которых есть онлайн-присутствие, может стать жертвой кибератаки.
Но некоторые попадают под атаки чаще других. В первую очередь — участники электронной интернет-торговли (интернет-магазины, банки, платежные системы). Для них даже короткий простой в работе может привести к значительным финансовым потерям, нанести ущерб репутации.
DDoS-атаки могут использовать и для того, чтобы вредить государственным сайтам и сервисам, особенно во время политически напряженных периодов. Это может быть как попыткой дестабилизировать ситуацию, так и своеобразной формой протеста.
СМИ, освещающие острые споры и конфликты, могут подвергаться атакам, чтобы помешать свободному распространению информации.
Популярные онлайн-игры и платформы тоже часто становятся жертвами. Причинами атак могут быть как конкурентная борьба, месть, обида, так и желание похулиганить.
Вызывают к себе повышенный интерес и интернет-компании, и хостинг-провайдеры, поскольку они управляют значительными частями интернет-инфраструктуры, а потому успешная атака на них может стать причиной более заметных последствий.
Отдельно стоит отметить организации, в которых занимаются спорными социальными, экологическими или политическими вопросами. Атаки на них могут использовать как препятствие нормальной работе.
А еще DDoS-атака может быть направлена не на нанесение прямого ущерба жертве, а использоваться для отвлечения внимания от более серьезных киберпреступлений, например кражи данных.
Как распознать атаку
Злоумышленники стараются замаскировать свой трафик под нормальные запросы пользователей. Поэтому выявить атаку и отличить ее от случайного всплеска интереса к ресурсу не всегда просто.
Но есть ряд признаков, которые позволяют сделать предположение о кибератаке:
- Необъяснимо медленный доступ к ресурсам.
- Снижение доступности сервиса или сайта для пользователей.
- Неожиданный резкий рост количества запросов или объема сетевого трафика, особенно из необычных источников или географических локаций.
- Увеличение нагрузки на процессоры или память сервера. Может быть результатом большого количества одновременных запросов, типичного для объемных DDoS-атак.
- Маршрутизаторы, коммутаторы или файрволы неожиданно перезагружаются или отказывают.
- Повышенное количество ошибок сервера (например, 503 «сервис недоступен»).
Ни один из перечисленных выше признаков не является критерием DDoS-атаки, но появление сразу нескольких из них должно наводить на мысль, что ресурсы попали под атаку, которой необходимо активно противодействовать.
Как защищаться от DDoS-атак
Для своевременного обнаружения и реагирования на DDoS-атаки понадобится система мониторинга сети, которая может анализировать и сравнивать текущий трафик с базовыми уровнями, а также использовать современные инструменты безопасности, способные автоматически распознавать и блокировать подозрительные активности. Обычно публичные хостинг-провайдеры или дата-центры берут на себя заботу о предотвращении таких атак и могут включать услугу защиты по умолчанию или за отдельную плату.
В любом случае полезно разработать планы реагирования на DDoS-атаку и периодически проводить учения с персоналом по выявлению угрозы кибератаки и противодействию ей. В этом плане должны быть описаны не только действия технического персонала, отвечающего за работу сервисов и оборудования, но и меры, которые должны предпринять взаимодействующие непосредственно с клиентами подразделения. Например, на случай атаки можно предусмотреть план коммуникации с пользователями, которых это коснулось, а также способы устранения негативных последствий кибератаки для них.
Заключение
DDoS-атаки были, есть и, вероятно, останутся одной из серьезных угроз в области кибербезопасности. Способность парализовать целые сети и сервисы делает их удобным инструментом для киберпреступников, которые стремятся нанести прямой ущерб или посеять экономический, политический хаос.
Залогом эффективного отражения DDoS-атаки становится не только современное оборудование и программное обеспечение, но и высокая техническая культура персонала, заблаговременное планирование действий на случай кибератаки, слаженная работа технических и front-office подразделений компании непосредственно во время атаки.
Затраты на техническое восстановление и препятствие DDoS-атакам гораздо меньше того ущерба, который возникает из-за их долгосрочных последствий, например репутационных потерь.
