Atacurile online distribuite (Distributed Network Attacks) sunt adesea numite atacuri de tip Distributed Denial of Service (DDoS). Un atac de tip Distributed Denial of Service (DDoS) profita de limitele  resurselor de retea – cum ar fi infrastructura care permite existenta site-ul web al unei companii.

In acest articol vom defini ce este un atac Distributed Denial of Service (DDoS), cum functioneaza si ce puteti face daca ati fost vizat de un astfel de atac.

Ce este un atac Distributed Denial of Service (DDoS)?

In cadrul unui atac de tip DDoS (Distributed Denial of Service) se va trimite un numar mare de solicitari catre resursa web atacata. Scopul este de a depasi capacitatea site-ului web de a gestiona solicitarile si de a impiedica astfel functionarea corecta a acestuia. Mai simplu spus, hackerii vor trimite un aflux mare de trafic catre o retea sau server pentru a coplesi sistemul si pentru a-i perturba (incetini sau bloca) capacitatea de a opera. Tinta poate fi un server, un site web sau alta resursa de retea.

Tintele tipice pentru atacurile de tip DDoS includ:

  • magazine online
  • cazinouri, servicii de gaming online
  • orice afacere sau organizatie care depinde de furnizarea de servicii online

Cum functioneaza un un atac Distributed Denial of Service (DDoS)?

Resursele de retea – cum ar fi serverele web – au o limita finita a numarului de cereri pe care le pot deservi simultan. Pe langa limita de capacitate a serverului, canalul care conecteaza serverul la Internet va avea o latime de banda /capacitate finita.

Ori de cate ori numarul de solicitari depaseste limitele de capacitate ale oricarei componente a infrastructurii este probabil ca serviciul sa sufere intr-unul din urmatoarele moduri:

  • Raspunsul la solicitari va fi mult mai lent decat in mod normal
  • Unele cereri ale utilizatorilor – sau toate – pot fi ignorate in totalitate

De obicei, scopul suprem al atacatorului este impiedicarea completa a functionarii normale a resursei web – adica o „negare a serviciului” totala („denial of service”). In unele cazuri, atacatorul poate solicita o plata pentru oprirea atacului iar in unele cazuri un atac DDoS poate fi chiar o incercare de a discredita sau pagubi afacerea unui concurent.

Folosirea unei „retele zombie” Botnet pentru a initia atacuri Distributed Denial of Service (DDoS)

Pentru a trimite un numar extrem de mare de solicitari catre tinta vizata, criminalul cibernetic va folosi adesea un botnet. Acesta include un anumit numar de computere si dispozitive online care au fost preluate / compromise de la distanta folosind malware. Aceste computere si dispozitive alcatuiesc o „retea zombie”.

Deoarece o terta parte are controlul asupra actiunilor fiecarui computer infectat din reteaua zombie amploarea atacului poate fi coplesitoare pentru resursele web ale victimei.

Cum stiti daca computerul dvs. este parte dintr-un botnet?

Computerul dvs. ar putea fi listat intr-un botnet fara ca dvs. sa stiti. Unele semne de activitate nociva pe dispozitivul dvs. includ un timp de incarcare mai lung decat de obicei, caderi frecvente si unele mesaje de eroare ciudate.

Tipuri de atacuri DDoS

Exista mai multe tipuri de atacuri DDoS, cum ar fi:

  • Atacuri volumetrice sau centrate pe retea (atacuri care incearca sa consume latime de banda)

Un exemplu al acestui tip de atac este un atac de amplificare DNS, care trimite cereri catre un server DNS utilizand adresa Internet Protocol (IP) a tintei.

  • Atacuri de protocol (vizeaza utilizarea resurselor serverului si includ Smurf DDoS, Ping of Death si SYN flood)

Un atac SYN flood   trimite  IP-urilor tinta un volum mare de pachete „cerere de conexiune initiala” folosind adrese IP sursa falsificate. Aceasta intarzie protocolul handshake Transmission Control Protocol care nu poate fi finalizat niciodata din cauza afluxului constant de solicitari.

  • Atacuri de tip Application Layer (   vizeaza aplicatiile trimitand ceea ce par a fi cereri legitime dar la un volum foarte mare, oprind in cele din urma serverul web)

Un exemplu in acest sens este un Hypertext Transfer Protocol (HTTP) flood attack care este echivalentul incarcarii simultane a mai multor pagini web.

Atacuri DDoS si scopul acestora

Atacurile de tip DDoS pot fi efectuate practic de oricine. O persoana obisnuita poate plati pentru atacuri DDoS sau chiar pot inchiria un botnet existent pentru a-si pune in practica planurile rau intentionate.

Motivele sunt nenumarate: detinatori de afaceri care doresc sa se plaseze inaintea concurentilor, gamerii competitivi care vor sa isi elimine adversarii, activistii care doresc sa impiedice accesul persoanelor la anumite tipuri de continut, etc.

Identificarea atacurilor DDoS

Traficul rezultat in urma unui atac atac Distributed Denial of Service (DDoS) cauzeaza in esenta o problema de disponibilitate. Problemele de disponibilitate sunt ceva normal intr-o retea. Este important insa sa puteti distinge intre problemele operationale standard si atacurile DDoS.

Uneori, un atac DDoS poate parea banal deci este important sa stiti ce sa cautati. Este necesara o analiza detaliata a traficului pentru a determina mai intai daca are loc un atac si apoi pentru a determina metoda de atac.

Iata cateva exemple de comportamente de retea si server care pot indica un atac DDoS. Unul sau o combinatie dintre aceste comportamente ar trebui sa starneasca ingrijorare:

  • Una sau mai multe adrese IP trimit multe solicitari  intr-o perioada scurta
  • O crestere a traficului provenita de la utilizatori cu caracteristici comportamentale similare. De exemplu, daca un nivel de trafic ridicat provine de la utilizatori de dispozitive similare, de la o singura locatie geografica sau de la acelasi browser
  • Serverul raspunde cu un mesaj de eroare 503 HTTP ceea ce inseamna ca serverul este fie supraincarcat, fie oprit pentru intretinere
  • Logurile indica o crestere puternica si consecventa a utilizarii latimii de banda. Latimea de banda ar trebui sa ramana stabila pentru un server care functioneaza normal
  • Logurile indica varfuri de trafic la ore neobisnuite sau intr-o succesiune obisnuita
  • Logurile indica cresteri neobisnuit de mari de trafic catre   o pagina web

Aceste comportamente pot ajuta  la determinarea tipului de atac. Daca apar la nivel de protocol sau de retea – de exemplu eroarea 503 – este probabil sa fie un atac bazat pe protocol sau centrat pe retea. Daca comportamentul apare ca trafic catre o aplicatie sau o pagina web poate indica pentru un atac la nivel de aplicatie.

In majoritatea cazurilor este imposibil ca o persoana sa urmareasca toate variabilele necesare pentru a determina tipul de atac si este necesar sa utilizati instrumente de analiza a retelei si a aplicatiilor pentru a automatiza procesul.

Semnele unui atac DDoS sunt similare atacului de tip DoS (denial-of-service):
  • Performanta slaba a retelei (mai ales la deschiderea fisierelor stocate in retea sau la accesarea website-urilor)
  • Indisponibilitatea anumitor website-uri (anumite website-uri nu se afiseaza sau nu pot fi gasite)
  • Incapacitatea de a accesa website-ul (toate site-urile web sunt inaccesibile in retea)
  • Aflux mare de email tip Spam (un volum de Spam mai mare decat in mod normal)

Impactul atacurilor DDoS si prevenirea acestora

Principala tinta a acestor atacuri sunt de obicei corporatiile  care au de piedut mult de pe urma timpului de nefunctionare cauzat de un astfel de atac. Insa orice companie, indiferent de marime, poate avea de suferit de pe urma acestuia.

Pentru a preintampina (gestiona) atacurile DDOS puteti sa:

  • monitorizati constant traficul pe website
  • achizitionati mai multa latime de banda decat aveti nevoie
  • utilizati o retea CDN (Content Distribution Network)
  • utilizati un server VPS cu protectie DDoS si 99,9% uptime

Natura amenintarilor DDoS de astazi

Pana la mijlocul anilor 2000 acest tip de activitate criminala cibernetica era destul de frecventa. Cu toate acestea, numarul de atacuri atacuri Distributed Denial of Service (DDoS) de succes este in scadere ca urmare a:

  • investigatiilor politiei care au dus la arestarea unor criminali cibernetici din intreaga lume
  • masurilor tehnice de securitate care au avut succes impotriva atacurilor DDoS

 

Desi reprezinta inca o amenintare serioasa pentru companii, cresterea gradului de constientizare corporativa impreuna cu imbunatatirile software-ului de securitate web, au contribuit la reducerea numarului mare de atacuri Distributed Denial of Service (DDoS). Cu toate acestea, orice atac DDoS reprezinta un risc major.

Practicile solide de gestionare a patch-urilor, testarea angajatilor pentru tentative de phishing prin e-mail, instruirea utilizatorilor, monitorizarea si alertarea proactiva a retelei, pot contribui la minimizarea efectelor unui atac DDoS asupra unei organizatii.