Розподілена атака відмови в обслуговуванні (DDoS) стається, коли хакер надсилає велику кількість фейкових запитів на сервер, службу чи мережу з метою її перевантажити. В результаті користувачі цього сервісу лишаються доступу до вебсайту. DDoS-атаку можна порівняти з дорожнім затором, коли головна дорога забита машинами, надісланими хакером, тоді як нормальний потік автівок, що йде з бічної дороги, більше не може потрапити всередину.

DDoS-атака порушує нормальне функціонування цільового сервера або вебсайту. Вона виснажує їх обчислювальні ресурси і робить вебсайт або сервіс повільними, несприйнятливими або повністю недоступними для користувачів. Але що саме відбувається під час DDoS-атаки?

DDoS-атаки створюють потужне навантаження на сервер, адже для їх здійснення хакер використовує низку комп’ютерів або інших пристроїв. Будується ціла мережа із хакнутих пристроїв, які перетворюються на ботів (чи зомбі), запроси з яких одночасно віддалено направляються на певну IP-адресу. Така лавина може призвести до збою у роботі сервісу.

DDoS-атаки можуть тривати понад 24 годин, і їх джерело важко відстежити. Ваш комп’ютер також може бути використаний в якості пішаки в армії ботнетів (чи зомбі-мереж), які таємно реагують на шкідливі команди – і ви навіть не будете про це знати! Єдиною ознакою може стати незначне зниження продуктивності або перегрів пристрою. Трафік, що атакує цільову систему, надходить зі звичайних (хоча і заражених) пристроїв різних користувачів. Цей факт ще більше ускладнює розпізнавання шкідливого трафіку від органічного. Для порівняння, Pdos-атака завдає прямої шкоди обладнанню, тому її набагато легше помітити.

DDoS-атаки можуть бути націлені на певний компонент мережевого з’єднання або на їх поєднання. Кожне підключення, здійснюване через Інтернет, проходить через модельні рівні OSI. Більшість DDoS-атак відбуваються на наступних трьох рівнях:

Атака відмови в обслуговуванні (DoS) перевантажує сервер трафіком, що робить службу або вебсайт недоступними. DoS – це атака “система проти системи”, тобто одна система атакує певний сервіс. А от у DDoS-атаках для перевантаження сервісу використовується вже низка комп’ютерів і систем.

Хоча ціллю як DoS, так і DDoS-атак може бути той самий вебсайт, DDoS-атака буде потужнішою й небезпечнішою.

Чим раніше виявити DDoS-атаку, тим вищі шанси її запобігти. Наведемо основні ознаки того, що проти вас відбувається DDoS-атака:

DDoS-атаки відрізняються за складністю, тривалістю та майстерністю.

Атаки на TCP-з’єднання, також відомі як syn-flood-атаки, відбуваються, коли тристороннє TCP-підтвердження зв’язку між хостом і сервером не завершується. При цій атаці ініціюється обмін даними, але хакер залишає сервер завислим, а порти відкритими. Тобто сервер не в змозі приймати ніякі інші запити. Хакер продовжує заповнювати його новими

рукостисканнями, що згодом призводить до збою.

Масивні атаки – найпоширеніший тип DDoS-атак. Під час атаки споживається вся доступна пропускна здатність між об’єктом та Інтернетом. Зазвичай це робиться за допомогою ботнетів, які спрямовуються на цільову систему.

Одним із прикладів об’ємної атаки є підробка IP-адреси жертви хакером і багаторазові запити до відкритого DNS-сервера. Атака структурована таким чином, що коли DNS-сервер відповідає, він надсилає жертві більше даних, ніж вона може обробити.

Трафік, що передається через Інтернет, ділиться на пакети даних. Вони переміщуються і збираються заново по-різному залежно від того, який протокол використовується, транспортний TCP або UDP. Атака на фрагментацію надсилає підроблені пакети даних, які спотворюють потік даних і, отже, перевантажують сервер.

Експлойт “занадто багато пакетів” є прикладом атаки на фрагментацію. Він затоплює мережу надмірною кількістю неповних, фрагментованих пакетів.

Атаки рівня додатків або 7-го рівня націлені, як випливає з назви, на додатки – рівень, на якому сервер генерує вебсторінки й відповідає на HTTP-запити. Сервером така атака буде сприйматися, наче хтось багато разів натискає кнопку «Оновити» на одній сторінці. Все виглядатиме як органічний трафік, аж поки сервер не буде переповнений і відмовиться реагувати. Ці атаки й коштують дешевше, і їх важче виявити, ніж атаки на мережевому рівні.

{SHORTCODES.blogRelatedArticles}

DDoS-атака з посиленням – це атака, при якій кіберзлочинець спеціально націлюється на уразливості в системі безпеки серверів доменних імен (DNS). Вони перетворюють невеликі запити на величезні (звідси термін “посилення”), обмежуючи пропускну здатність бідолашного сервера та зупиняючи його процеси. Посилені атаки поділяються на два типи: відображення DNS і відображення CharGEN.

Завдання DNS-сервера полягає в пошуку IP-адреси доменного імені, яке вводиться в рядок пошуку. Це як адресна книга Інтернету. Атака відображення DNS стається, коли хакер копіює IP-адресу жертви та надсилає запити на DNS-сервер, вимагаючи великі відповіді. Відомо, що відповіді можуть бути посилені в 70 разів порівняно зі звичайними, що миттєво приголомшує сервер-жертву.

Протокол CharGEN за сучасними інтернет-стандартами вже застарілий. Його створено в 1983 році для цілей налагодження або тестування. На жаль, багато принтерів та копіювальних машин, підключених до інтернету, все ще використовують цей протокол, що дозволяє хакерам експлуатувати численні лазівки CharGEN, викликані віком. Хакер надсилає безліч крихітних пакетів даних під виглядом IP-адреси жертви на все, що працює на CharGEN. Потім пристрій закидує систему жертви відповідями по протоколу UDP (User Datagram Protocol), перевантажуючи цільовий сервер і змушуючи його перезавантажуватися або взагалі відключитися.

Оскільки технології прогресують, а системи безпеки з кожним роком стають дедалі складнішими, змінюються й інструменти, які використовуються для їх злому. Якщо порівняти силу атак 1990-х років із сучасними стандартними DDoS-атаками, різниця надзвичайна.

Середня кількість запитів під час DDoS-атаки 90-х років ледь перевищувала 150 в секунду. Порівняйте цю цифру з найбільшою успішною DDoS-атакою за останній час, а саме атакою на GitHub у 2018 році, і ви побачите, що на сайт надходило приголомшливі 1,35 терабіт трафіку в секунду. Атака тимчасово вивела сайт з ладу і тривала всього 8 хвилин.

До DDoS-атак вдаються з різних причин, наведемо основні:

За останні роки на компанії було здійснено незліченну кількість DDoS-атак, які відрізнялися за ступенем тяжкості та завданими збитками. Наведемо приклади трьох найшкідливіших атак:

Найбільша DDoS-атака була проведена у 2017 році на сервіси Google. Зловмисники захопили 180 000 вебсерверів, які відправляли свої відповіді в Google. Швидкість кібератаки досягла 2,54 Тбіт/с. Враховуючи, що типова DDoS-атака вимірюється в Гбіт/сек (гігабітах в секунду), атака з обсягом трафіку в Тбіт/сек (терабіт в секунду) в тисячу разів потужніша і здатна придушити навіть найнадійніші онлайн-сервіси. Такий потужний напад було скоєно угрупуванням державного рівня, ймовірно Китаєм.

У 2020 році Amazon Web Services піддалися масованій DDoS-атаці, її ціллю був невстановлений клієнт. Атака вважається однією з найагресивніших в історії. Використовуючи сторонні сервери, зловмисникам вдалося збільшити обсяг даних, що відправляються на одну IP-адресу, до 70 разів. Швидкість атаки досягла 2,3 Тбіт/с.

Cloudflare повідомила про DDoS-атаку зі швидкістю 15,3 мільйона запитів в секунду, націлену на клієнта, який керував криптографічним стартовим майданчиком. Компанії вдалося її зупинити. В ході атаки була залучена ботнет-мережа, що складається приблизно з 6000 унікальних пристроїв зі 112 країн. Для її ініціювання зловмисники використовували захищене, зашифроване з’єднання HTTPS.

Проведення DDos-атак заборонено у багатьох країнах. Наприклад, у США атаки DDoS розглядаються як федеральний злочин і можуть призвести до штрафів та ув’язнення. У більшості європейських країн застосування DDos-атак загрожує арештом, а от у Великобританії злочинець може отримати до 10 років ув’язнення за організацію такого нападу.

Джерело DDoS-атаки важко виявити, адже більшість атак надходять з сотні й тисячі пристроїв. Крім того, ініціатори атаки ретельно маскуються, щоб їх не можна було відстежити.

Вже розпочату DDoS-атаку можна виявити за допомогою певних інструментів кібербезпеки для аналізу трафіку. Однак зазвичай зупиняти її занадто пізно. У кращому випадку можна проаналізувати отримані дані й внести відповідні зміни в систему кібербезпеки на майбутнє.

Наведемо кілька заходів щодо запобігання DDoS-атакам:

DDoS-атаки використовуються переважно проти організацій, компанії та сервісів. Наприклад, для шантажу компанії-розробника, для зіпсування репутації впливової особи чи для перешкоди продажам певної платформи. Однак навіть окремі користувачі можуть стати їх жертвою, як-от онлайн-геймери. Суперник може застосувати DDoS-атаку, щоб порушити ваш ігровий процес, що саме по собі не є загрозою безпеці, але може викликати розчарування, особливо якщо суть гри полягає в конкурентній боротьбі.

DoS і DDoS-атаки націлені на сервери, тому за допомогою VPN неможливо запобігти атаці на сервер. Однак в іграх P2P, коли треба безпосередньо підключатися до інших гравців, ваш опонент може знайти вашу IP-адресу і направити на неї DoS або DDoS-атаку. Саме цього можна запобігти, використовуючи VPN для ігор, адже він маскує оригінальну IP-адресу користувача. Якщо зловмисники не знають вашої реальної IP-адреси, вони просто не зможуть вас атакувати DoS/DDoS-атаками. Крім того, сама DDoS-атака націлена на VPN-сервер, на якому вже вжито заходів щодо захисту від DDoS-атак.