Что такое DDoS-атака
DDoS (Distributed Denial of Service) или «распределенная атака типа отказа в обслуживании» — вид кибератаки, когда злоумышленники направляют так много запросов на ресурс, что сервер-жертва не справляется с нагрузкой становясь недоступным для пользователей.
В отличие от DoS-атак, которые выполняются из одного источника, DDoS-атаки используют сеть зараженных устройств — ботнет. Он состоит из огромного количества зараженных устройств, которыми управляет злоумышленник. Иногда роль ботнета выполняет легитимный трафик другого приложения, например, атака Misused Application направляет запросы реальных пользователей на сервер-жертву. Другой вариант — виртуальная «сидячая забастовка» — злоумышленники с минимальным интервалом посещают сайт занимая всю полосу пропускания (HTTP-флуд).
Немного истории
Первая DDoS-атака зафиксирована в 1996 году на компанию Panix — одного из старейших интернет-провайдера в мире. Атака представляла собой SYN-Flood — большое количество поддельных запросов с поддельным IP-адресом источника. В результате такой атаки на сервере быстро заканчивается память таблицы соединений (Transmission Control Block Table) и критически падает производительность, приводя к отказу работы сервера.
Насколько опасны DDoS-атаки
Масштабная DDoS-атака может полностью парализовать работу системы, будь то сервер, облачная инфраструктура или сетевое устройство. Допустим, атака выводит из строя, сайт интернет-магазина, компания теряет прибыль, поскольку клиенты просто не могут зайти на него.
Иногда DDoS становится прикрытием для сложных, опасных кибератак, цель которых не вывести систему из строя, а похитить данные компании и ее клиентов. Это могут быть персональные данные (номера паспортов, медицинские карты, адреса), учетные записи и пароли (электронная почта, социальные сети) или другая конфиденциальная информация, которую используют для шантажа, вымогательства или других преступлений.
Поэтому большие организации с финансовой отчетностью, информацией о клиентах и бизнес-секретах часто становятся мишенью. Яркий пример — инцидент WannaCry и NotPetya в 2017 году, вирус-шифровальщик кодировал данные и требовал выкуп для дешифровки. Как итог: вредоносный код вывел из строя тысячи компаний по всему миру нанеся ущерб в миллиарды долларов.
Эстония (2007)
2007 год запомнился выходом первого iPhone и крупной DDoS-атакой на целую страну. Хактивисты атаковали сетевые ресурсы правительства, банков и медиа Эстонии. Три недели DDoS нарушал работу значительной части эстонской интернет-инфраструктуры парализовав доступ к ключевым услугам.
После этого инцидента НАТО провела внутреннюю оценку кибербезопасности, защиты инфраструктуры альянса. Разработана политика киберзащиты. Создан Центр передового опыта по кооперативной киберзащиты НАТО.
Spamhaus (2013)
Spamhaus — международная некоммерческая организация, которая занимается сбором и предоставлением данных о репутации IP-адресов и доменов. Проект существует с 1998 года и активно борется со спамом ведением черных списков.
2013 год — компания Spamhaus, внесла провайдера Cyberbunker в списки спамеров из-за сомнительной деятельности его клиентов. После публикации информации в открытом доступе, Spamhaus подверглась мощной DDoS-атаке до 300 Гбит/сек. Масштаб вредоносного трафика был настолько велик, что его последствия затронули даже Tier-1-операторов и крупные точки обмена трафиком в Европе.
Code Spaces (2014)
Крупный хостинг-сервис и платформу для совместной работы над кодом Code Spaces атаковали в 2014 году, но это была не самая большая проблема. DDoS ослабил сетевую защиту и отвлек внимание, в то время как хакеры проникли в панель управления Code Spaces на Amazon EC2 с целью вымогательства.
Code Spaces отказалась платить и поменяла пароли в EC2, однако злоумышленники успели создать резервные доступы. Заметив попытки отбить атаку, хакеры начали удалять данные, включая конфигурации машин и резервные копии, даже сделанные вне офиса.
После такой широкомасштабной DDoS-атаки компания не смогла оправиться от удара и завершила свою работу.
BBC (2015)
Под конец 2015 года все домены BBC, включая новостные веб-сайты, телевизионные плееры и радио на несколько часов перестали открываться. В компании назвали это техническим сбоем, но позже признали, что подверглись DDoS-атаке.
Группа хакеров, которые назвали себя New World Hacking, взяли на себя ответственность и заявили, что мощность атаки достигла 602 Гбит/с. Достичь таких показателей удалось благодаря использованию серверов Amazon. Однако ни одно из их сообщений не подтвердилось, несмотря на то, что официальные данные о мощности ddos-атаки так и не были опубликованы.
В конечном итоге атака на BBC была признана не столь значительной, и, вероятнее всего, была попыткой New World Hacking привлечь к себе внимание.
GitHub (2015 и 2018)
На веб-сервисе для хостинга IT-проектов и совместной разработки GitHub появилось несколько решений для обхода китайской государственной цензуры. Их URL-адреса стали целью DDoS-атаки из Поднебесной.
Злоумышленники создавали вредоносный трафик, внедряя JavaScript код в браузеры посетителей Baidu – самого популярного китайского поисковика. Другие сайты, которые использовали аналитические сервисы поисковика, также распространяли вредоносное ПО.
Зараженные устройства несколько дней отправляли HTTP-запросы на указанные страницы, перегружая весь ресурс.
Белые хакеры с помощью модифицированной версии traceroute отследили местоположение узла, с которого отправляли вредоносный код. Настроенная трассировка использовала HTTP-пакеты, чтобы отследить их путь по Интернету, вместо UDP или ICMP-пакетов, используемых в обычных трассировках.
Скорее всего, атака исходила из Китая, однако утверждать точно нельзя. В большинстве случаев злоумышленники специально создают впечатление и оставляют улики, будто за этим стоит кто-то другой.
Новый вектор усиления DDoS-атак
Через три года после атаки из Китая GitHub снова стал целью киберпреступников. В этот раз атака была основана на механизме усиления примерно в 50 000 раз с помощью Memcached-серверов. На пике мощности DDoS достигла 1,35 Тбит\сек.
Memcached поддерживает UDP-протокол и идеально подходит для усиления: данные отправляются почти без задержки, а ответ на запрос может достигать размеров 1 МБ.
Как сообщил GitHub в пресс-релизе, кибератака исходила более чем из 1 000 различных автономных систем (AS) и достигла пика в 1,35 Тбит\сек, с колоссальными 126,9 миллиона пакетов в секунду.
Системы мониторинга оперативно обнаружили аномалию. Трафик был перенаправлен к Akamai (поставщик услуг для акселерации веб-сайтов, провайдер платформ доставки контента и приложений), который предоставил дополнительную емкость на уровне сети.
Компания передала всю информацию в профильные организации и производителям оборудования, чтобы совместными усилиями нейтрализовать Mēris.
Dyn (2016)
В октябре 2016 года целью очередной масштабной DDoS-атаки стал поставщик DNS-услуг Dyn. Хакеры использовали ботнет-сеть под названием Mirai, захватившую тысячи плохо защищенных IoT-устройств, чтобы бомбардировать Dyn потоком мусорных данных.
О Mirai следует сказать отдельно. Это один из самых больших ботнетов (на то время), в котором было задействовано порядка 145 тысяч IoT-устройств. 30 сентября на хакерских форумах опубликовали исходный код, после чего количество крупных DDoS-атак значительно возросло.
В итоге на поставщика сетевых сервисов обрушился поток трафика мощностью в 1 Тбит\сек, и пользователи потеряли доступ к множеству сайтов, включая GitHub, HBO, Twitter, Reddit, PayPal, Netflix и Airbnb. Хакеры трижды атаковали компанию, и каждый раз Dyn требовалось несколько часов, чтобы восстановить свою работу.
Google (2017 и 2023)
В конце 2020 года команда Google Cloud рассказала об одной из крупных DDoS-атак на сервисы компании в 2017. По заявлению SRE-инженера Дамиана Меншера, злоумышленники шесть месяцев пытались нащупать брешь в защите Google, а мощность атак достигала 2,54 Тбит\сек.
Специалист отметил, что несмотря на внушительную длительность, пиковую нагрузку и изобретательность кибератаки, она не нанесла интернет-гиганту ущерба. Чтобы выстроить защиту, Google группирует объемные атаки по нескольким ключевым метрикам:
- bps — количество битов в секунду, направленных на сетевые каналы;
- pps — количество пакетов в секунду, нацеленных на сетевое оборудование или DNS-серверы;
- rps — количество HTTP(S) - запросов в секунду, направленных на серверы приложений.
Это позволяет сосредоточить усилия на обеспечении достаточной пропускной способности для каждой системы.
Самая мощная DDoS-атака в истории
В октябре 2023 года специалисты Google рассказали о новой сильной DDoS-атаке, основанной на сетевом протоколе HTTP/2, на несколько сервисов компании и клиентов Google Cloud.
Кибератаки были мощнее, чем любые, ранее зафиксированные на уровне L7, а крупнейшая из них превысила 398 RPS (запросов в секунду). До сих пор эта атака остается мощнейшей из зарегистрированных DDoS-атак. Большую часть трафика остановили на границе сети с помощью глобальной системы балансировки нагрузки, поэтому он не повлиял на работу сервисов.
Компания помогла скоординировать процесс раскрытия уязвимостей HTTP/2 и оповестила инфраструктурные компании и разработчиков ПО.
AWS (2020)
Amazon Web Services (AWS) — коммерческое публичное облако от компании Amazon для оказания услуг по инфраструктурной модели и платформенного уровня. В отчете AWS Shield за первый квартал 2020 года компания сообщила о крупной DDoS-атаке с пиковым объемом 2,3 Тбит/с.
Атака продолжалась три дня и была усилена захваченными CLDAP (Code Access Protocol Lightweight, протокол доступа к каталогам без подключения) веб-серверами. AWS не уточнила, куда именно была направлена DDoS-атака, но сообщила о ее полной нейтрализации благодаря архитектуре, которая распределяет обработку запросов между пограничными точками AWS и временно блокирует исходные IP-адреса, превышающие заранее установленный лимит.
Яндекс (2021)
В сентябре 2021 года жертвой киберпреступников стал Яндекс. На пике атаки на серверы компании поступало более 21,8 млн RPS.
Новый ботнет Mēris (по-латышски «чума») заражал устройства латвийской фирмы MikroTik и Linksys. Предположительно он насчитывал более 200 тысяч устройств и обладал потенциалом для организации атак в несколько Тбит\сек.
По мнению специалистов, устройства в Mēris более высокопроизводительные, чем девайсы «интернета вещей», подключенные Wi-Fi. Скорее всего сеть состоит из мощных IoT-устройств, требующих Ethernet-подключения и роутеров, коммутаторов, а также других элементов инфраструктуры для управления трафиком.
Компания передала всю информацию в профильные организации и производителям оборудования, чтобы совместными усилиями нейтрализовать Mēris.
Как вендор может обеспечить защиту проекта от DDoS
Для безопасности сетевой инфраструктуры необходимо профессиональное и комплексное решение еще до возникновения угрозы. Например, установка защитных брандмауэров, систем мониторинга и обнаружения вторжений, а также оптимизация сетевой архитектуры.
По каким признакам определить надежного поставщика защиты от DDoS-атак
При выборе поставщика защиты от DDoS-атак важно учитывать, насколько он способен обеспечивать стабильность и безопасность вашего бизнеса даже в условиях угроз. Доверие к такому поставщику складывается из нескольких факторов: это готовность быстро реагировать на атаки, гибкость в подборе решений, а также регулярное обновление системы защиты. Надежный провайдер не только владеет набором готовых инструментов для защиты, но и способен предложить индивидуальный подход, если того требует проект.
Мгновенное реагирование
Опытный провайдер круглосуточно анализирует трафик, готов оперативно реагировать на угрозы и обеспечивает отказоустойчивость даже при пиковых нагрузках.
Набор готовых предложений и индивидуальные решения
У надежного вендора есть готовые решения, которые можно интегрировать и адаптировать даже во время DDoS-атаки. Если необходимо индивидуальное решение, под конкретную задачу или проект, хороший поставщик сможет его не только найти, но и реализовать.
Регулярные обновления
Разработка средств нападения и защиты — классический пример «гонки вооружений» хакеров и служб сетевой безопасности. Поэтому системы вендора должны получать регулярные обновления и актуализироваться для устойчивости к крупным DDoS-атакам.
В первом квартале 2024 года DDoS-Guard наблюдал множество атак на поддомены: sub1.example.com, sub2.example.com, и так далее. Теперь эта техника трансформировалась для нападения на клиентские сети в которых работают правила полного перехвата трафика для защиты на уровне L7 OSI.
Для атаки достаточно указать в качестве точки назначения protected ip (защищаемый IP-адрес), а в качестве host (это обязательный заголовок в HTTP-запросе) — любое доменное имя. Это усложняет процесс защиты, так как системе приходится принимать во внимание большое количество доменов при детектировании аномалий
Решение — разработка «Watch Dog» от специалистов компании DDoS-Guard. Она анализирует число уникальных доменов в каждый интервал времени по IP-адресу назначения (dst ip). При достижении порогового значения запускается автоматический фильтр, который исключает ложно-положительные срабатывания.
Доступная статистика
Системы отчетов и детальная информация о состоянии сети и позволяет грамотно распределять ресурсы и отслеживать актуальное состояние системы. Данные о прошедших DDoS-атаках помогут пользователям собрать исчерпывающую картину происходящего и оценить эффективность защиты.
Углубляемся в тему:
Как не ошибиться с выбором провайдера?
Рекомендуем заранее подготовиться к возможным киберинцидентам и продумать стратегию защиты. Такой подход поможет значительно сохранить бюджет и время, которое не придется тратить на восстановление инфраструктуры после DDoS-атаки.
