DDoS: atak hakerski, który paraliżuje sieci. Jak się bronić?
Niezwykle trudno się przed nim obronić, a skutki bywają bardzo bolesne. Hakerski atak DDoS potrafi sparaliżować działanie firmy, strony lub usługi, prowadząc do awarii sieci lub systemu. Na czym polega taki atak i co można zrobić, by zminimalizować ryzyko?
Ataki typu DDoS są stosowane coraz chętniej. Z raportu Radware 2022 Global Threat Analysis Report wynika, że globalnie ataki DDoS występowały w 2022 r. aż o 150 proc. częściej niż w 2021. Na domiar złego, zwiększyła się również skala tego typu kampanii, w efekcie czego także skutki ataków są coraz poważniejsze. Ze wspomnianego raportu dowiadujemy się także, że najczęstszymi celami były podmioty z sektora finansowego, technologicznego i zdrowotnego.
Atak DDoS może jednak dotknąć każdy podmiot w internecie i nie ma w tym temacie znaczenia jego rozmiar. Dobrze więc poznać swojego (potencjalnego) wroga.
Co to jest DDoS? Na czym polega taki atak?
DDoS to skrót od "Distributed Denial of Service". Można by to przetłumaczyć jako "rozproszona odmowa usługi". I na tym właśnie polega taki atak – na zmasowanym wysyłaniu zapytań lub żądań do danej usługi, by ta odmówiła współpracy. Można to sobie wyobrazić na takim przykładzie, że zwykle popularną stronę internetową odwiedza kilka tysięcy osób w jednym czasie, atak DDoS sprawia zaś, że w tej samej sekundzie rzekomo próbuje na nią wejść kilkaset tysięcy osób, a czasem i kilka milionów.
Dalsza część artykułu pod materiałem wideo
Każdy serwer ma określone zasoby, którymi dysponuje. Krótko mówiąc: pamięć czy procesor może równocześnie przetworzyć skończoną liczbę zapytań. Każde nawiązane połączenie (czyli na przykład uruchomienie aplikacji lub przejście pod dany adres WWW) wymusza na serwerze przydzielenie określonych zasobów. Przy bardzo dużej liczbie żądań w stosunkowo krótkim czasie dochodzi więc do wyczerpania się zasobów i stopniowego "zapychania się", czyli tworzenia się kolejki oczekujących na przydzielenie zasobów. Najłagodniejszym efektem jest chwilowa przerwa w działaniu, ale równie dobrze sytuacja może zakończyć się zawieszeniem lub awarią całego systemu.
Dodajmy jeszcze, że istnieją dwa podstawowe rodzaje ataków DDoS. Atak wolumetryczny polega na wysłaniu do określonego serwera możliwie wielu sztucznych użytkowników. Atak aplikacyjny z kolei może mieć niewielką liczbę "uczestników", ale ci generują dużą liczbę zapytań. Dobrym porównaniem może być tu sklep – w pierwszym przypadku mamy tłum klientów w środku i na zewnątrz, więc nikt nie może wejść ani nikt nie może wyjść; w drugim zaś mamy garstkę klientów w środku, którzy wciąż dopytując o coś personel, uniemożliwiają prawidłową obsługę pozostałych osób.
Atak (komputerów) zombie
W atakach typu DDoS najczęściej wykorzystywane są botnety – tak nazywane są sieci tworzone przez komputery-zombie (ich użytkownicy nie zdają sobie nawet sprawy z tego, że biorą udział w ataku). Wejście na jedną stronę nie powoduje zauważalnego wzrostu zużycia zasobów na pojedynczym komputerze, ale wywołanie tego samego żądania na dziesiątkach tysięcy urządzeń oznacza spory problem dla serwera, z którym się łączą. Zalewane sztucznym ruchem witryny i usługi przestają działać prawidłowo albo i działać w ogóle.
Wiele zależy od tego, co konkretnie pada ofiarą ataku typu DDoS. Jeśli jest to krytyczna architektura, konsekwencje mogą być bardzo duże. Nawet chwilowy brak dostępu do usługi może wiązać się z realnymi stratami – tak wizerunkowymi, jak i finansowymi. Szczególnie duże znaczenie ma to w przypadku firm brokerskich czy serwisów aukcyjnych. Na przykład niedostępność usług bankowych może prowadzić do kłopotów finansowych i prawnych, a wyłącznie serwisów rządowych – do siania niepokoju wśród obywateli.
Tymczasem sprawnie przeprowadzony atak DDoS może trwać kilka godzin, a w szczególnych sytuacjach nawet kilka dni. Ze statystyk Bitdefendera wynika, że średnio jest to 18 godzin.
Jak się bronić przed atakami DDoS?
Jednym z powodów, dla których ataki DDoS cieszą się tak dużą popularnością wśród cyberprzestępczych organizacji, jest ich olbrzymia skuteczność. Dobrze przygotowana kampania, choć stosunkowo prosta do przeprowadzenia, jest niezwykle trudna do powstrzymania i z powodzeniem może ominąć nawet bardzo zaawansowane zabezpieczenia. Nie oznacza to jednak w żadnym razie, że można tylko stać z założonymi rękami i czekać.
Ataki DDoS nabierają na sile, nie tylko w zakresie ich liczby i częstotliwości, ale także skali. To skłoniło niektórych analityków do nazywania tego zagadnienia "Tsunami ataków DDoS". Lata 2022 i 2023 przyniosły ataki skierowane nie tylko przeciwko przedsiębiorstwom, ale także instytucjom publicznym. Skuteczną obroną przed tym zagrożeniem jest regularna analiza ryzyka, stosowanie adekwatnych rozwiązań anty-DDoS oraz dbałość o optymalizacje i aktualizacje infrastruktury. Zasadnicze jest również zastosowanie ochrony już na poziomie sieci. Operator telekomunikacyjny, dzięki swojej rozbudowanej infrastrukturze i działającemu w trybie 24/7 SOC (Security Operations Center), może szybko i skutecznie reagować, odfiltrować sztuczny ruch, oferując obronę przed wieloma typami ataków o dużej intensywności.
Regularne przeprowadzanie analizy ryzyka jest kluczowe. Można wykorzystać w tym celu niezależne audyty informatyczne albo też zlecić takie cykliczne zadanie wewnętrznemu obszarowi IT. W przypadku dużych firm dobrym pomysłem będzie także powołanie do życia zespołów, których zadaniem będzie identyfikacja i odpieranie ataków DDoS. Dobrze też jest przeszkolić wszystkich pracowników w tym zakresie – choćby po to, by informacja o potencjalnym ataku dotarła do odpowiednich osób tak szybko, jak to możliwe.
Zadanie polegające na monitoringu można powierzyć także odpowiedniemu oprogramowaniu. Relatywnie skuteczną bronią w walce z atakami DDoS rzeczywiście jest warstwa filtrująca (to tak zwana ochrona anty-DDoS). W skrócie: umieszczana "przed serwerem" bramka, w której szczegółowej inspekcji poddawane jest każde pojedyncze zapytanie. To pozwala na szybkie wykrycie wzmożonej fali podejrzanych, nietypowych ruchów i zablokowanie ich zawczasu. Za to ostatnie odpowiadają zaawansowane algorytmy.
Narzędzie typu anty-DDoS może być rozwiązaniem chmurowym, co zwiększa elastyczność w kontekście zastosowań. Można spotkać dwa rodzaje takiej ochrony. Albo przesyłanie do filtra w chmurze odbywa się w sposób ciągły, albo też jest aktywowane w momencie anomalii polegającej na wzmożeniu ruchu.
Ważnym elementem strategii obronnej powinna być optymalizacja strony lub usługi w taki sposób, by pojedyncza wizyta nie generowała zbyt wielu zapytań do baz danych. Bezpośrednio przełoży się to na mniejsze obciążenie, dzięki czemu przy tej samej ilości zasobów serwer przyjmie po prostu więcej "gości" (nawet tych niechcianych). Dobrym pomysłem może być również postawienie na loadbalancing – to rozwiązanie polegające na skalowaniu mocy obliczeniowej (w przypadku natężonego ruchu aktywowane są dodatkowe zasoby).
Niemałe znaczenie w temacie ochrony przed atakami DDoS mają także regularne aktualizacje oprogramowania i aplikacji internetowych. Nierzadko bowiem atakom towarzyszą próby wykorzystania niezałatanych luk (w momencie osłabienia systemu). To zaś może skutkować jeszcze bardziej nieprzyjemnymi konsekwencjami dla ofiary. Między innymi dlatego właśnie warto zadbać o wysokiej jakości oprogramowanie zabezpieczające komputery.
Wiele firm i organizacji z sektora bezpieczeństwa IT oferuje także testy obciążeniowe. Stanowią one symulację ataku DDoS i tym samym pozwalają przekonać się o tym, jak system radzi sobie z ich wykrywaniem i reagowaniem na nie. W ofertach można znaleźć testy o różnej charakterystyce, jak również kompleksowe.
Atak? Po pierwsze nie panikuj
Atak DDoS nie jest powodem do paniki. Choć może mieć poważne konsekwencje, to będąc przygotowanym, w dużej mierze ma się wszystko pod kontrolą. Wciąż mogą pojawić się chwilowe przerwy w dostępności usług, ale raczej nie dojdzie do wielogodzinnego paraliżu systemu.
Warto też wybrać jakiś alternatywny kanał komunikacji. Miejsce, w którym na spokojnie poinformuje się swoich użytkowników, że padło się ofiarą ataku DDoS, że sytuacja jest kontrolowana i że wkrótce działanie zostanie przywrócone. Ze strony klienta nie ma nic gorszego niż brak dostępu połączony z brakiem informacji na temat tego, z czego wynika.
