Ожидается, что киберпреступность обойдется предприятиям в более чем 8 триллионов долларов в течение следующих трех лет, согласно результатам исследования Juniper Research.
Но хотя крупномасштабные попытки фишинга и вымогательства заставляют многие компании беспокоиться о безопасности в Интернете, существует еще один тип кибератак, который все чаще используется противниками. Мы имеем в виду, конечно, DDoS-атаки.
Распределенные атаки типа «отказ в обслуживании» (DDoS) – один из старейших существующих способов атаки.
Они могут нанести вред сети компании и / или серверам веб-сайта достаточно долгое время, чтобы значительно его отключить, или даже заставить его прекратить работу на время атаки и некоторое время после нее.
Для множества отраслей промышленности – будь то электронная коммерция, банковское дело или здравоохранение – хорошо выполненная атака DDoS может стать причиной финансовых потерь, ущерба репутации и закрытия бизнеса.
Но насколько вы действительно понимаете DDoS-атаки?
Знание того, что они являются разновидностью кибератаки или о том, что они могут нанести ущерб, – это залог успеха, поэтому продолжайте читать, чтобы узнать, как они работают, кто подвергается риску и что можно сделать, чтобы обнаружить и смягчить их.
- Что такое DDoS-атака?
- Что происходит во время DDoS-атаки?
- Какие бывают типы DDoS-атак?
- DDoS-атаки на основе объема
- DDoS-атаки на основе протокола
- DDoS-атаки на уровне приложений
- Каковы некоторые распространенные инструменты DDoS-атак?
- HULK (HTTP Unbearable Load King)
- LOIC (Low Orbit Ion Cannon)
- HOIC (High Orbit Ion Cannon)
- Что можно сделать, чтобы обнаружить DDoS-атаку?
Что такое DDoS-атака?
DDoS-атаки – это злонамеренные попытки исказить обычные схемы трафика службы, сети или сервера, перегружая цель потоком веб-трафика.
DDoS-атака повышает эффективность за счет использования нескольких скомпрометированных серверов, которые в совокупности обозначены как бот-сети, в качестве источников вредоносного трафика.
К атакующим устройствам могут относиться ПК и другие интернет-ресурсы, такие как устройства Интернета вещей.
DDoS-атаки могут произойти на предприятиях любого размера в любое время и в любом месте, и в 2019 году количество атак, которым подвергаются компании по всему миру, стремительно растет.
Недавние примеры успешной DDoS-атаки включают громкую атаку на GitHub.
Репозиторий кодов отключился из-за атаки, масштабируемой до 1,3 Тбит / с.
Что происходит во время DDoS-атаки?
DDoS требует, чтобы злоумышленники получили доступ к группе компьютеров для запуска атаки.
ПК и другие машины (например, смартфоны) заражены вредоносным программным обеспечением, и атака превращает каждое из них в устройство-зомби или бот.
Затем противник получает дистанционное управление ботами, создавая группу, известную как ботнет.
После создания ботнета злоумышленник может проинструктировать отдельных ботов, отправляя обновленные указания на каждую машину с помощью метода дистанционного управления.
Когда ботнет нацелен на сеть или службу жертвы, каждый бот реагирует, посылая жертве несколько запросов, что может привести к переполнению буфера целевой машины, что приведет к отказу в обслуживании обычного трафика.
Поскольку каждый бот является легитимной машиной, фильтрация вредоносного потока от обычного трафика может быть затруднена.
Какие бывают типы DDoS-атак?
Основа DDoS-атаки может значительно различаться, но большинство атак обычно классифицируют в одну из следующих трех категорий.
DDoS-атаки на основе объема
Эти атаки пытаются использовать всю доступную пропускную способность между целевой сетью / сервером и остальной частью Интернета.
Примеры векторов DDoS-атак на основе емкости включают в себя увеличение DNS, флуд ICMP, увеличение NTP и многое другое.
DDoS-атаки на основе протокола
Атаки протокола DDoS, также называемые атаками по исчерпанию состояния TCP, направлены на использование емкости таблиц состояний таких компонентов инфраструктуры, как балансировщики нагрузки и брандмауэры, а также таблиц состояний соединений на серверах веб-приложений.
Векторы атаки в этой категории включают Ping of Death, SYN Flood и многое другое.
DDoS-атаки на уровне приложений
Атаки прикладного уровня пытаются исчерпать ресурсы службы или приложения на уровне 7 (компоненты присутствуют на седьмом уровне модели OSI).
Обычно это делается путем атаки на уровень приложения в том месте, где веб-страницы создают и передают в ответ на запрос, связанный с HTTP.
Примеры атак на уровне приложений включают DNSQF (DNS Query Flood), HTTP Flooding и атаки, направленные на другие уязвимости программного обеспечения.
Каковы некоторые распространенные инструменты DDoS-атак?
Существует несколько инструментов, которые можно использовать для запуска DDoS-атаки.
Некоторые из них преследуют законные цели, поскольку сетевые инженеры и исследователи безопасности могут иногда использовать их для проверки механизмов защиты своих компаний.
Другие предназначены для атаки на определенный уровень стека приложений.
Ниже приведен сборник наиболее часто используемых вариантов.
HULK (HTTP Unbearable Load King)
Этот инструмент DDoS-атаки создает уникальный запрос для каждого полученного запроса, чтобы нарушить поток трафика на сервер жертвы.
Он имеет легко доступный список случайных пользовательских агентов, которые он использует, чтобы избежать обнаружения по известным шаблонам.
Кроме того, он использует подделку реферера в некоторых случаях и способен обходить механизмы кэширования для непосредственного воздействия на пул ресурсов системы.
LOIC (Low Orbit Ion Cannon)
Это приложение с открытым исходным кодом, которое можно использовать для запуска DDoS в небольших сетях.
Атака выполняется путем отправки HTTP, TCP или UDP-запросов на целевой сервер.
LOIC был популярен у известной группой Anonymous, которая использовала его для разрушения сетей многих известных организаций.
Пользователям просто нужно знать IP-адрес или URL-адрес сервера, и инструмент выполнит остальную часть работы.
HOIC (High Orbit Ion Cannon)
Это еще один популярный инструмент для DDoS-атак.
HOIC использует протокол HTTP для выполнения целевой атаки, которую сложно обнаружить и смягчить.
Программное обеспечение, однако, требует как минимум 50 пользователей, работающих на их отдельных машинах, для запуска скоординированной атаки ботнета.
Что можно сделать, чтобы обнаружить DDoS-атаку?
Существует несколько интеграций, которые указывают на атаку такого рода, например, решение SIEM, демонстрирующее огромный разброс трафика.
Например, если сеть обычно получает 10 000 посетителей в пятницу вечером, стать причиной для тревоги может тот факт, что она внезапно получит 50 000 пингов из разных источников.
Также стоит внимательно следить за любыми учетными записями электронной почты, размещенными на сервере компании, и за областью комментариев любых сайтов, работающих в этой системе.
Резкое увеличение времени ожидания запроса эхо-запроса времени жизни (TTL), ошибки503 и запросы IP-адреса могут указывать на то, что пришло время укрепить защиту.
