Что такое DDOS-атака и как она может привести к сбою веб-сайта или игры?
Если в последние несколько лет вы вообще были в сети, вы, вероятно, слышали о сервисах, отключенных во время DDoS-атаки. Без предупреждения ваш любимый веб-сайт или видеоигра больше не в сети, потому что кто-то или что-то делает это DDoSing.
Хотя термин DDoS кажется загадочным, теперь он является частью общего интернет-лексикона. Но если вы все еще не уверены, что такое DDoS-атака и как DDoS может привести к сбою видеоигры, читайте дальше.
Что такое DDoS-атака?
DDoS означает «распределенный отказ в обслуживании», и это имя, данное атаке, которая перегружает службу запросами, заставляя ее отключаться.
Когда вы часто слышите о том, что хакеры закрывают веб-сайт или видеоигру, это означает, что они подвергаются DDoS-атаке. Злоумышленники нацелены на конкретный веб-сайт, службу или видеоигру и наводняют работающие серверы запросами данных. Количество запросов может быстро перегрузить серверную инфраструктуру, на которой размещена служба, и заставить ее отключиться.
Атаку DDoS иногда называют DDoSing.
Как работает DDoS-атака?
При DDoS-атаке данные не обязательно должны быть несколькими большими файлами, запрашиваемыми для загрузки. На самом деле часто бывает наоборот, когда все тысячи машин одновременно отправляют небольшие запросы данных. Хотя каждый отдельный запрос невелик, количество запросов усиливает эффект на тысячах устройств.
Итак, кто контролирует тысячи компьютеров, которые они могут использовать для отправки запросов на один сервер?
По большей части DDoS-атаки исходят от крупных ботнетов , групп скомпрометированных компьютеров, находящихся под контролем злоумышленника. Злоумышленник может направить мощность своего ботнета на цель, заполнив веб-сайт или серверы видеоигр запросами и отключив их.
Направление огромного объема трафика на жертву останавливает любой обычный трафик, обращающийся к веб-сайту или видеоиграм, вызывая отказ в обслуживании. То, что трафик исходит из множества источников, означает, что атака является распределенной, отсюда и атака распределенного отказа в обслуживании.
В любой момент в мире может происходить несколько DDoS-атак. Вы с большей вероятностью услышите о них, когда они отключат крупную службу, но вы можете использовать карту цифровых атак как приблизительное представление о том, что происходит.
Как и в случае с большинством типов кибератак, существует множество различных типов DDoS-атак. DDoS – это общий термин для обозначения стиля атаки, но у злоумышленников есть много разных вариантов .
Атака на уровне приложений
DDoS-атака на уровне приложений нацелена на запросы веб-сайтов, одновременно выполняя значительное количество запросов данных. Например, злоумышленник может сделать тысячи запросов на загрузку определенного файла, что приведет к замедлению сканирования сервера.
Эти запросы практически неотличимы от запросов обычных пользователей, что затрудняет предотвращение DDoS-атак на уровне приложений.
DDoS-атаки прикладного уровня в основном сосредоточены на нарушении HTTP-трафика. Одним из распространенных типов DDoS-атак на уровне приложений является HTTP Flood, когда злоумышленник создает как можно больше HTTP-запросов. Думайте об этом как о нажатии кнопки обновления вашего браузера тысячи раз, но тысячи других браузеров также обновляются одновременно.
Протокол атаки
Протокол DDoS-атаки нацелен на сеть жертвы, нацеливаясь на серверные ресурсы различного характера. Например, атака протокола может привести к перегрузке брандмауэра или балансировщика нагрузки, заставив их прекратить работу.
DDoS-атака SYN Flood – полезный пример. Когда вы делаете запрос в Интернете, происходят три вещи. Во-первых, запрос данных, известный как SYN (сокращение от Synchronization). Во-вторых, ответ на запрос данных, известный как ACK (сокращение от Acknowledgment). Наконец, SYN-ACK, который, по сути, является запросчиком, подтверждающим получение данных. Это звучит сбивающе с толку, но происходит в мгновение ока.
SYN Flood в основном отправляет кучи поддельных SYN-пакетов с поддельных IP-адресов, то есть ACK отвечает на поддельный адрес, который, в свою очередь, никогда не отвечает. Запрос остается там, пока больше накапливается, вызывая отказ в обслуживании.
Объемная атака
Объемная DDoS-атака может работать аналогично атаке на уровне приложений, переполняя целевой сервер запросами, но с модификатором, который может увеличить количество одновременных запросов.
DNS Amplification – один из наиболее распространенных типов DDoS-атак и яркий пример объемной атаки. Когда злоумышленник делает запрос к серверу, он включает поддельный адрес, часто это IP-адрес самой цели. Каждый запрос возвращается к целевому IP-адресу, увеличивая количество запросов.
Зачем использовать DDoS-атаку?
Существует множество причин, по которым злоумышленник выберет DDoS-атаку на цель, например, прикрытие для другого вектора атаки или причинение финансового ущерба жертве.
- Нарушение обслуживания: в основе DDoS лежит нарушение обслуживания. Если вы завалите серверы запросами, обычные пользователи не смогут получить доступ к сервису. В некоторых случаях DDoS-атаки использовались, чтобы вывести из строя конкурентов, вынуждая пользователей сервиса переходить на сторону онлайн-конкурента.
- Хактивизм и политика: некоторые группы хактивистов, такие как Anonymous, хорошо известны тем, что используют DDoS-атаки для отключения своих целей на длительное время. DDoS-атака может стоить бизнесу или другой организации значительных затрат с точки зрения времени простоя, затрат на сервер, платы за данные, инженеров и т. Д. Точно так же отключение правительственных сайтов с помощью DDoS-атаки может заставить правительство действовать или является демонстрацией протеста.
- Прикрытие для более крупной атаки: активность DDoS на самом деле может быть прикрытием для другого вектора атаки, включая вмешательство, чтобы занять ИТ-службу или команду киберреагирования. В то же время настоящая атака происходит где-то еще. Было множество примеров того, как преступные предприятия использовали эту технику отвлечения DDoS-атак для совершения других преступлений.
- Манипуляции / Исследование / Тестирование: Иногда DDoS происходит из-за того, что кто-то где-то тестирует новую технику или скрипт, и он идет не так (или работает идеально!).
Это всего четыре причины, по которым злоумышленник может выполнить DDoS-атаку на видеоигру или веб-сайт. Есть и другие причины.
Является ли DDoS-атака незаконной?
Да, одним словом. DDoS-атака является незаконной в соответствии с Законом о компьютерном мошенничестве и злоупотреблении в США, Законом о неправомерном использовании компьютеров в Великобритании и влечет за собой максимальное наказание в виде 10 лет лишения свободы в Канаде.
Законы и толкования различаются во всем мире, но в большинстве стран с действующей политикой кибербезопасности и компьютерных злоупотреблений DDoS-атака определяется как незаконная деятельность.
DDoS как услуга
Вы слышали о программном обеспечении как услуге (SaaS) и, возможно, об инфраструктуре как услуге (IaaS), но как насчет DDoSaaS? Правильно, наборы и платформы «Распределенный отказ в обслуживании как услуга» доступны на форумах по взлому даркнета.
Вместо того чтобы тратить время на создание ботнета, потенциальный злоумышленник может заплатить владельцу существующего ботнета, чтобы он указал своей сетью на цель. Эти службы обычно носят название «стрессогенераторы», подразумевая, что вы можете использовать их для стресс-тестирования вашей сети против теоретического злоумышленника.
Однако без проверки клиентов и принятия мер по обеспечению владения сервером эти платформы DDoSaaS открыты для злоупотреблений.
Примеры DDoS-атак
Подводя итог, вот несколько ярких примеров DDoS-атак за последние несколько лет. Согласно отчету Neustar о киберугрозах и тенденциях за 1/2 квартал 2020 года [PDF, требуется регистрация], количество атак, обеспечивающих устойчивую загрузку данных со скоростью более 100 Гбит / с, выросло более чем на 250 процентов за 12-месячный период.
Следующий список помогает проиллюстрировать разный размер DDoS-атак и то, как этот размер вырос за последние несколько лет.
- Сентябрь 2016 г. Недавно обнаруженный ботнет Mirai атакует веб-сайт журналиста по безопасности Брайана Кребса со скоростью 620 Гбит / с, серьезно нарушая работу его веб-сайта, но в конечном итоге отказал из-за защиты Akamai от DDoS-атак. Ботнет Mirai использует устройства Интернета вещей для расширения своих возможностей.
- Сентябрь 2016 г. Ботнет Mirai атакует французский веб-хостинг OVH, скорость его передачи составляет около 1 Тбит / с.
- Октябрь 2016 г. В результате масштабной атаки было отключено большинство интернет-сервисов на восточном побережье США. Атака была нацелена на DNS-провайдера Dyn, его сервисы получали трафик со скоростью примерно 1,2 Тбит / с, временно закрывая веб-сайты, включая Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa и Xbox Live.
- Ноябрь 2016 года. Mirai наносит удар по интернет-провайдерам и поставщикам мобильных услуг в Либерии, отключая большинство каналов связи по всей стране.
- Март 2018. GitHub подвергся крупнейшему на то время зафиксированному DDoS- атаку, зафиксировав стабильный трафик около 1,35 Тбит / с.
- Март 2018. Компания сетевой безопасности Arbor Networks утверждает, что ее глобальный трафик ATLAS и система мониторинга DDoS регистрируют 1,7 Тбит / с.
- Февраль 2020 года. Amazon Web Services (AWS) подвергся атаке со скоростью 2,3 Тбит / с, хотя Amazon не раскрыл фактическую цель DDoS-атаки.
За пределами этих семи DDoS-атак было гораздо больше, и их будет гораздо больше – вероятнее всего, их мощность увеличится.
DDoS-атаки не остановятся
В то время как DDoS-атаки продолжают успешно разрушать серверы, веб-сайты и сервисы видеоигр, злоумышленники будут рассматривать это как жизнеспособный вариант.