Atacurile online distribuite (Distributed Network Attacks) sunt adesea numite atacuri de tip Distributed Denial of Service (DDoS). Un atac de tip Distributed Denial of Service (DDoS) profita de limitele  resurselor de retea – cum ar fi infrastructura care permite existenta site-ul web al unei companii.

In acest articol vom defini ce este un atac Distributed Denial of Service (DDoS), cum functioneaza si ce puteti face daca ati fost vizat de un astfel de atac.

Ce este un atac Distributed Denial of Service (DDoS)?

In cadrul unui atac de tip DDoS (Distributed Denial of Service) se va trimite un numar mare de solicitari catre resursa web atacata. Scopul este de a depasi capacitatea site-ului web de a gestiona solicitarile si de a impiedica astfel functionarea corecta a acestuia. Mai simplu spus, hackerii vor trimite un aflux mare de trafic catre o retea sau server pentru a coplesi sistemul si pentru a-i perturba (incetini sau bloca) capacitatea de a opera. Tinta poate fi un server, un site web sau alta resursa de retea.

Tintele tipice pentru atacurile de tip DDoS includ:

  • site-uri de cumparaturi online pe Internet
  • cazinouri online
  • orice afacere sau organizatie care depinde de furnizarea de servicii online

Cum functioneaza un un atac Distributed Denial of Service (DDoS)?

Resursele de retea – cum ar fi serverele web – au o limita finita a numarului de cereri pe care le pot deservi simultan. Pe langa limita de capacitate a serverului, canalul care conecteaza serverul la Internet va avea, de asemenea, o latime de banda /capacitate finita.

Ori de cate ori numarul de solicitari depaseste limitele de capacitate ale oricarei componente a infrastructurii, este probabil ca serviciul sa sufere intr-unul din urmatoarele moduri:

  • Raspunsul la solicitari va fi mult mai lent decat in mod normal
  • Unele cereri ale utilizatorilor – sau toate – pot fi ignorate in totalitate

De obicei, scopul suprem al atacatorului este impiedicarea completa a functionarii normale a resursei web – adica o „negare a serviciului” totala („denial of service”). Atacatorul poate solicita, de asemenea, plata pentru oprirea atacului. In unele cazuri, un atac DDoS poate fi chiar o incercare de a discredita sau pagubi afacerea unui concurent.

Folosirea unei „retele zombie” Botnet pentru a initia atacuri Distributed Denial of Service (DDoS)

Pentru a trimite un numar extrem de mare de solicitari catre tinta vizata, criminalul cibernetic va folosi adesea un botnet. Acesta include un anumit numar de computere si dispozitive cu Internet, care au fost preluate de la distanta folosind malware si pe care hackerul le-a infectat. Aceste computere si dispozitive alatuiesc o „retea zombie”.

Deoarece criminalul are controlul asupra actiunilor fiecarui computer infectat din reteaua zombie, amploarea atacului poate fi coplesitoare pentru resursele web ale victimei.

Cum stiti daca computerul dvs. a fost inscris intr-un botnet?

Computerul dvs. ar putea fi listat intr-un botnet fara ca dvs. sa stiti macar. Unele semne de activitate nociva pe dispozitivul dvs. includ un timp de incarcare mai lung decat de obicei, caderi frecvente si unele mesaje de eroare ciudate.

Tipuri de atacuri DDoS

Exista mai multe tipuri de atacuri DDoS, cum ar fi:

  • Atacuri volumetrice sau centrate pe retea (atacuri care incearca sa consume latime de banda)

Un exemplu al acestui tip de atac este un atac de amplificare a sistemului de nume de domeniu, care face cereri catre un server DNS utilizand adresa Internet Protocol (IP) a tintei. Serverul copleseste apoi tinta cu raspunsuri.

  • Atacuri de protocol (vizeaza utilizarea resurselor serverului, si includ Smurf DDoS, Ping of Death si SYN flood)

Un atac SYN flood de exemplu trimite adreselor IP tinta un volum mare de pachete „cerere de conexiune initiala” folosind adrese IP sursa falsificate. Aceasta intarzie protocolul handshake Transmission Control Protocol, care nu poate fi finalizat niciodata din cauza afluxului constant de solicitari.

  • Atacuri de tip Application Layer (atacurile de tip Zero-day DDoS sau Slowloris vizeaza aplicatiile, facand ceea ce pare a fi cereri legitime, dar la un volum foarte mare, oprind in cele din urma serverul web)

Un exemplu in acest sens este un Hypertext Transfer Protocol (HTTP) flood attack, care este echivalentul reimprospatarii simultane a mai multor pagini web.

Atacuri DDoS si scopul acestora

Atacurile de tip DDoS pot fi efectuate practic de oricine. Un om obisnuit poate plati pentru atacuri DDoS sau chiar pot inchiria un botnet existent pentru a-si pune in practica planurile rau intentionate.

Motivele sunt nenumarate: detinatori de afaceri care doresc sa se plaseze inaintea concurentilor, gamerii competitivi care vor sa isi elimine adversarii, activistii care doresc sa impiedice accesul persoanelor la anumite tipuri de continut, etc.

Identificarea atacurilor DDoS

Traficul rezultat in urma unui atac atac Distributed Denial of Service (DDoS) cauzeaza in esenta o problema de disponibilitate. Problemele de disponibilitate sunt ceva normal intr-o retea. Este important insa sa puteti distinge intre problemele operationale standard si atacurile DDoS.

Uneori, un atac DDoS poate parea banal, deci este important sa stiti ce sa cautati. Este necesara o analiza detaliata a traficului pentru a determina mai intai daca are loc un atac si apoi pentru a determina metoda de atac.

Iata cateva exemple de comportamente de retea si server care pot indica un atac DDoS. Unul sau o combinatie dintre aceste comportamente ar trebui sa starneasca ingrijorare:

  • Una sau mai multe adrese IP specifice fac multe solicitari consecutive intr-o perioada scurta
  • O crestere a traficului provenita de la utilizatori cu caracteristici comportamentale similare. De exemplu, daca mult trafic provine de la utilizatori de dispozitive similare, de la o singura locatie geografica sau de la acelasi browser
  • Serverul se dezactiveaza la incercarea de testare folosind un serviciu de ping
  • Serverul raspunde cu un mesaj de eroare 503 HTTP, ceea ce inseamna ca serverul este fie supraincarcat, fie oprit pentru intretinere
  • Logurile indica o crestere puternica si consecventa a latimii de banda. Latimea de banda ar trebui sa ramana stabila pentru un server care functioneaza normal
  • Logurile indica varfuri de trafic la ore neobisnuite sau intr-o succesiune obisnuita
  • Logurile indica cresteri neobisnuit de mari in trafic catre un punct final sau o pagina web

Aceste comportamente pot ajuta, de asemenea, la determinarea tipului de atac. Daca se afla la nivel de protocol sau de retea – de exemplu, eroarea 503 – este probabil sa fie un atac bazat pe protocol sau centrat pe retea. Daca comportamentul apare ca trafic catre o aplicatie sau o pagina web, poate indica pentru un atac la nivel de aplicatie.

In majoritatea cazurilor, este imposibil ca o persoana sa urmareasca toate variabilele necesare pentru a determina tipul de atac, deci este necesar sa utilizati instrumente de analiza a retelei si a aplicatiilor pentru a automatiza procesul.

Semnele unui atac DDoS sunt similare atacului de tip DoS (denial-of-service):
  • Performanta slaba a retelei (mai ales la deschiderea fisierelor stocate in retea sau la accesarea website-urilor)
  • Indisponibilitatea anumitor website-uri (anumite website-uri nu se afiseaza sau nu pot fi gasite)
  • Incapacitatea de a accesa website-ul (toate site-urile web sunt inaccesibile in retea)
  • Aflux mare de email tip SPAM (un volum de Spam mai mare decat in mod normal)

Impactul atacurilor DDoS si prevenirea acestora

Principala tinta a acestor atacuri sunt de obicei corporatiile gigantice, care au de piedut mult de pe urma timpului de nefunctionare cauzat de un astfel de atac. Insa orice companie, indiferent de marime, poate avea de suferit de pe urma acestuia.

Pentru a preintampina (gestiona) atacul, puteti sa:

  • monitorizati constant traficul pe website
  • achizitionati mai multa latime de banda decat aveti nevoie
  • utilizati o retea CDN (Content Distribution Network)
  • utilizati un server VPS cu protectie DDoS si 99,9% uptime

Natura amenintarilor DDoS de astazi

Pana la mijlocul anilor 2000, acest tip de activitate criminala cibernetica era destul de frecventa. Cu toate acestea, numarul de atacuri atacuri Distributed Denial of Service (DDoS) de succes este in scadere ca urmare a:

  • investigatiilor politiei care au dus la arestarea unor criminali cibernetici din intreaga lume
  • masurilor tehnice de securitate care au avut succes impotriva atacurilor DDoS

 

Desi reprezinta inca o amenintare serioasa pentru companii, cresterea gradului de constientizare corporativa, impreuna cu imbunatatirile software-ului de securitate web, au contribuit la reducerea numarului mare de atacuri Distributed Denial of Service (DDoS). Cu toate acestea, orice atac DDoS reprezinta un risc major.

Practicile solide de gestionare a patch-urilor, testarea angajatilor pentru tentative de phishing prin e-mail, instruirea utilizatorilor, monitorizarea si alertarea proactiva a retelei, pot contribui la minimizarea efectelor unui atac DDoS asupra unei organizatii.