Як відбувається DDoS-атака і як боротися з DDoS

В кінці вересня Мережа сколихнула найпотужніша в світі DDoS-атака, яка була здійснена за допомогою пристроїв інтернету речей.
Про те, що таке загрози DDoS (англ. Distributed Denial-of-Service – розподілена атака типу відмови від обслуговування – прим. ред.), які їх особливості, наскільки вони поширені в Україні і як від них захиститися, розповіли генеральний директор реєстратора доменних імен Imena.UA Павло Блоцький і технічний директор хостинг-провайдера MiroHost Сергій Грибченко.
Сергій Грибченко: Зараз є чимало побутових приладів типу холодильників або пральних машин, які зовсім не вимагають доступу в інтернет, але, тим не менш, його мають. І це відкриває хакерам нове поле для діяльності, адже немає ніяких видимих ознак того, що ваш роутер або холодильник працює у складі ботнета.
Пояснення: Ботнет являє собою мережу з заражених шкідливим ПО комп’ютерів, які керуються у віддаленому режимі господарями ботнету. Для створення ботнету використовуються трояни. Досвідчені хакери створюють їх самостійно. В інтернеті також є конструктори троянів, дозволяють легко згенерувати таке зловмисне програмне забезпечення навіть неспеціалістам. Однак більшість антивірусів розпізнає і знешкоджує такі трояни. Спочатку трояни поширюються через довірливих знайомих, форуми тощо. Як тільки кількість заражених комп’ютерів перевищує хоча б 10 000, ботнет можна використовувати для заробітку. Наприклад, для кліків ” по банерах в різних партнерських мережах.
Павло Блоцький: Звичайні домашні комп’ютери є ненадійними і невигідними з точки зору використання їх в DDoS-атаках. Оскільки в цьому випадку дія трояна стає досить помітною, що, в свою чергу, знижує можливість його подальшого використання. Зловмисник, метою якого є фінансова вигода, зацікавлений у тривалій «службі» непроявленого трояна, тобто, щоб такий вірус непомітно «жив» на кожному пристрої як можна довше.
Заражені ПК можуть виконувати безліч більш вигідних функцій: розсилати спам, генерувати фіктивні кліки в рекламних та партнерських мережах, розгадувати «капчі», працювати як проксі-анонимизатора, красти персональні та платіжні дані, паролі, особисту і корпоративне листування, зашифрувати дані на комп’ютері з метою вимагання грошей за розшифровку тощо. Тобто DDoS є найпримітивнішим і найменш прибутковим способом використання бот-мережі.
Сергій Грибченко: З розвитком інтернету речей кількість підключених до Мережі пристроїв зросте у багато разів. З одного боку, це створить нові умови для розвитку ботнетів, а з іншого – новий простір для DDoS. Це очевидно вже сьогодні. Адже блокування роботи «розумного» будинку або окремих пристроїв, які не мають захисту від таких атак, може мати неприємні наслідки.
Дуже яскраво проілюстрував цю тенденцію недавній потужний DDoS американського провайдера Dyn. Так, в мережу було викладено вихідний код бот-мережі Mirai, що дозволяє заражати роутери і відеокамери, створюючи таким чином власні бот-мережі. Саме з використання таких бот-мереж 21 жовтня 2016 року була здійснена безпрецедентна атака на DNS провайдера Dyn. В результаті цієї атаки на кілька годин «лягли» сайти і сервіси майже світового значення — такі як Twitter, PayPal, CNN, Spotify і тому подібне.
Український інтернет і український DDOS
В Україні DDoS-атаки великого масштабу рідкість, що, на жаль, не виключає майже щоденний DDoS різних сайтів.
Павло Блоцький: В українському сегменті Мережі гучних DDoS-атак не було з часів блокування EX.UA. Тоді, в лютому 2012 року, після відключення файлообмінника користувачі «DDoSили» сайти урядових та силових структур. Ресурси не мали серйозного захисту, і атака була успішною – протягом двох днів атаковані сайти були недоступні.
Хоча таких великих атак вже давно не було, це не означає, що їх немає взагалі. Це інтернет, і тут постійно когось потроху «DDoSять». У переважній більшості випадків страждають невеликі сайти, які хостяться» на майданчиках дрібних провайдерів. Саме на таких ресурсах постійно тренуються хакери-новачки.
Веб-сайти деяких державних установ майже постійно піддаються нападам, але, незважаючи на невелику силу атаки, вони витримують. Этоме мало хто приділяє увагу.
Сергій Грибченко: Так, переважна більшість «DDoSеров» – це саме молоді хакери, які навчаються. Іноді, як це було у випадку з EX.UA, підключаються до атак «народні маси». Це типовий приклад роботи мережевих активістів, які піднімають на боротьбу широкі маси користувачів. За кордоном це досить поширене явище.
Дуже рідко DDoS застосовують як інструмент обмеження доступу до певної інформації. Наприклад, щоб «покласти» сайт якоїсь політичної партії чи діяча перед виборами, заблокувати доступ до опублікованих матеріалів. Раніше під час сезону розпродажів інтернет-магазини «DDoSили» один одного. На щастя, ця практика вже відійшла в минуле, тому що організація і проведення DDoS-атаки коштує недешево.
Одним словом, чим довше відбувається DDoS, тим він дорожчий. Це означає, що, рано чи пізно, прийде час припинити атаку, навіть якщо вона успішна. Тому зазвичай DDoS рідко триває більше ніж кілька годин. А за такий час сайт можна захистити.
Сергій Грибченко: DDoS повністю викриває задіяні в атаці ботнети. У разі DDoS-атаки ботнети розкривають себе і швидко блокуються, власник втрачає над ними контроль. З початком атаки термін життя ботнету, який створювався місяцями, йде на годинник. Зараз ботнети використовуються для розподілених обчислень або генерації криптовалют, тобто менш провокаційним і більш прибуткових активностей. Пристрої, об’єднані в ботнет, витрачають частину своїх ресурсів на вирішення складних математичних завдань, у результаті яких створюється криптовалюта (цифрові гроші, емісія та обіг яких децентралізовані і базуються на методах криптографії). Завдання можуть бути і більш конкретними, наприклад, злом паролів.
Як відбувається DDoS атака
Павло Блоцький: DDoS – це розподілена атака, яка відбувається з великої кількості місць і спрямована на припинення або суттєве уповільнення роботи веб-ресурсу. Запити надходять з дуже високою швидкістю, вони займають інтернет-канал. В такому разі, страждають і інші сайти, які розташовані на атакованном сервері. Нападаючі намагаються відправити на сайт більше запитів, ніж той здатний обробити. Якщо це вдається – ресурс стає недоступним.
За своїм характером такі запити відрізняються від звичайного трафіку, який створюють користувачі. Це дозволяє як обладнання, так і фахівцям розпізнавати атаки і приймати відповідні заходи для протидії.
Павло Блоцький: Створення великого потоку даних, які займають весь інтернет-канал – це самий примітивний і не самий ефективний вид атаки. Для перевантаження сайту можуть використовуватися звернення до бази даних або окремих форм, наприклад пошуку або форми реєстрації нового користувача. Зустрічаються і більш складні атаки, де зловмисники імітують дії користувачів. Як правило, серйозна атака розробляється індивідуально, поєднує кілька видів нападу, планується завчасно і базується на “дірках” сайту-жертви.
Захист від DDoS
Сергій Грибченко: Захист від атак, як правило, повністю автоматизована. Провайдери мають складні системи фільтрації, і як тільки фіксується аномальне навантаження на сайт або сервер, спрацьовують фільтри. Відбувається аналіз потоку даних, включаються фільтри і блокувати небажаний трафік. У великих провайдерів крім обладнання аналізом трафіку займаються ще й відповідні фахівці, які можуть коригувати захист в ручному режимі.
Інтелектуальні системи, як Cisco Guard, не тільки фільтрують трафік, але і визначають джерело атаки і інформують інших провайдерів. IP-адреси нападників потрапляють у «чорні» списки, і після цього атака дуже швидко вщухає. У більшості випадків атака триває кілька годин, дуже рідко – більш одного дня.
І, проте, навіть повністю автоматизовані системи захисту потребують висококваліфікованих і досвідчених фахівців.
Павло Блоцький: Малі або дешеві провайдери роблять те, чого домагаються зловмисники: не маючи захисту від DDoS-атак, вони просто вимикають сервер чи сайт, які стали жертвою кіберзлочинців. Великі провайдери так чинять лише у виняткових випадках. Великі компанії використовують CDN-мережі (Content Distribution Network). Працює це таким чином: коли користувач звертається до сайту, обробляє запит найближчий за географічним розташуванням сервер CDN, який видає необхідну сторінку, що знаходиться в кеші, або перенаправляє запит на сайт. Така схема дуже ускладнює атаку, так як вимагає надзвичайно багато ресурсів для здійснення нападу.
Також захиститися від DDoS можна шляхом перенесення сайту на більш захищений хостинг. Саме так в Imena.UA/MiroHost прийшло чимало нових клієнтів. Хороший захист від DDoS має хостинг UKRAINE.
Павло Блоцький: DDoS-атаки – це інструмент для шантажу та вимагання грошей, самі по собі вони не є на 100% ефективними. Зловмисники зв’язуються з жертвою після початку атаки і вимагають кілька тисяч доларів за припинення атаки.
Втім, є сфери діяльності, в яких застосування DDoS може мати цілком самодостатній характер. Так, крім чисто «дослідницьких» цілей та інтернет-вандалізму, DDoS-атаки ефективні проти ресурсів і сервісів, чутливих навіть до короткочасних простоїв. Наприклад, торговельних майданчиків та фінансових установ, аварійних служб тощо. На рівні держав потужні DDoS-атаки можуть бути використані як елементи військової стратегії з метою виведення з ладу інформаційних систем противника.
Сергій Грибченко: Систем фільтрації і «чорних списків» цілком достатньо, щоб послабити атаку. Після початку блокування ботнету нападаючим буде непросто підтримувати силу і інтенсивність потоку трафіку. І, найімовірніше, всі зусилля виявляться марними, а замовник просто витратить гроші, не досягнувши бажаного результату.