Atak DDoS: co to jest i jak się przed nim bronić

Materiał zaktualizowany 24.07.2023 r.

Aktualny krajobraz cyberbezpieczeństwa jest bardzo dynamiczny i często się zmienia. Każdego dnia pojawiają się nowe wyrafinowane formy cyberataków i sposobów na kradzież danych. Jednym z najbardziej dotkliwych rodzajów zagrożeń są ataki DDoS, które mogą na długie tygodnie wyłączyć witrynę i serwery danej firmy. Jednak czym są ataki DDoS i czy można się przed nimi obronić?

Atak DDoS: co to jest i jak się przed nim bronić

Ataki typu DDoS (Distributed Denial of Service), to cyberataki, które są uruchamiane za pośrednictwem botnetów (grupy komputerów wysyłających zainfekowany wirusami spam) z wielu komputerów w różnych lokalizacjach, które zalewają witrynę komunikatami z żądaniami lub uniemożliwiają dostęp do systemu. Odebranie wysłanej przez nich wiadomości umożliwia cyberprzestępcy zdalne sterowanie komputerem. Takie cyberincydenty są bardzo niebezpieczne dla firm i witryn, ponieważ mogą przeciążyć ich sieci i czasowo wyłączyć możliwość z ich korzystania.

Ataki DDoS mają różną genezę. Jednak najczęstszą motywacją dla cyberprzestępców jest chęć zarobku. Ataki DDoS są hakerską usługą, którą może zamówić firma, do tego, aby zniszczyć konkurencję, sposobem na prowadzenie walki ideologicznej stosowanej przez terrorystów, elementem działań zbrojnych i siania dezinformacji, a nawet zabiegiem odwracającym uwagę od prawdziwego włamania i kradzieży danych (znany atak na serwery Sony w 2011 roku, najprawdopodobniej przeprowadzony przez samo Sony, po to, by zatuszować kradzież danych stu milionów użytkowników).

Do najbardziej spektakularnych ataków DDoS możemy na pewno zaliczyć operację Stophaus z 2013 roku, która została zapoczątkowana przez nieporozumienie pomiędzy organizacją SpamHaus i firmą hostingową CyberBunker. SpamHaus zamieścił witryny CyberBunker na czarnej liście i uznał je jako niebezpieczne. Reakcją na tę decyzję były kilkudniowe ataki DDoS na serwery SpamHaus, które przeprowadzała firma CyberBunker.

Nie możemy także zapominać o naszym lokalnym rynku. Allegro zmagało się z atakami DDoS w 2013 roku. Ich skutkiem były dotkliwe straty finansowe dla firmy. Poza tym ataki DDoS w Polsce były szczególnie rozpowszechnione po rozpoczęciu wojny w Ukrainie. Wtedy witryny rządowe i informacyjne, takie jak wp.pl i interia.pl często były atakowane przez grupy związane z Rosją.

Atak DDoS na czym polega?

Ataki DDoS polegają na przeciążaniu systemów ofiary za pomocą zapytań kierowanych z sieci wielu komputerów, czyli botnetu. Jednak, w jaki sposób są przeprowadzane? Aby odpowiedzieć na to pytanie, najpierw musimy wyjaśnić, czym się różnią ataki DDos od DoS.

Czym się różni DoS od DDoS?

Różnicą pomiędzy tymi typami ataków jest ich skala. Ataki DoS są przeprowadzane najczęściej przez jeden komputer. Natomiast ataki DDoS wykorzystują wiele urządzeń, których właściciele najczęściej nawet o tym nie wiedzą. Skoro znamy już różnicę pomiędzy tymi typami zagrożeń, to teraz wyjaśnijmy, jakie są najpopularniejsze typy ataków DDoS i w jaki sposób są przeprowadzane.

Ataki protokołowe

Atak protokołowy polega na tym, aby jak najskuteczniej wykorzystać słabości systemu ofiary i nadużyciu protokołów trzeciej i czwartej warstwy w modelu OSI.

Ping flood

Atak wolumetryczny typu Ping flood skupia się na trzeciej warstwie modelu OSI. Podczas jego trwania cyberprzestępca wysyła masowe żądania (np. za pomocą botnetu) ECHO protokołu ICMP. Zaatakowany komputer lub serwer jest zajęty odpowiadaniem na nieustające pingi, więc wykorzystuje na to wszystkie zasoby, skutkiem czego jest to, iż nie może wykonywać niezbędnych operacji do podtrzymywania pracy witryny.

SYN flood

Podczas ataków typu SYN flood serwera jest zalewany pakietami SYN. Zaatakowane urządzenie stara się przetworzyć i odpowiedzieć na wszystkie pakiety, przez co nie może wykonywać standardowych zadań. Co ciekawe atakujący wykorzystuje losowe sfałszowane adresy, więc jego urządzenie nie jest obciążone przez odpowiadanie na komunikaty z zaatakowanej jednostki centralnej.

Podczas przeprowadzania ataków DDoS hakerzy bardzo często posługują się botnetami, czyli sieciami komputerów zombie, w skład których mogą wchodzić nawet miliony urządzeń. Co ciekawe prawdziwi właściciele jednostek centralnych, które są w botnecie, często nie zdają sobie nawet z tego sprawy. Jeśli chcesz dowiedzieć się, czy Twój komputer jest zainfekowany i wykorzystywany do ataków DDoS, to zapraszamy do zapoznania się z tym artykułem.

Cele ataków DDoS

Cele ataków DDoS mogą być różne. Najczęściej zamawiają je firmy, które chcą zniszczyć reputację konkurencji. Jednak nie jest to regułą. Zdarza się, że ataki są przeprowadzane przez początkujących hakerów dla celów czysto rozrywkowych. Nie możemy także zapominać o tym, że ataki DDoS są także częstym elementem działań terrorystycznych (np. cyberdżihad) i zbrojnych (np. ataki proukraińskich hakerów na rządowe witryny Rosjan i Białorusinów).

Skutki ataków DDoS

Skutki ataków DDoS mogą być naprawdę bardzo dotkliwe, szczególnie dla firm, których jedynym kanałem dystrybucyjnym jest ich witryna internetowa. Wyłączenie takiej strony skutkuje tym, że przedsiębiorstwo nie może generować dochodów, co może skutkować nawet wielomilionowymi stratami.

Nie zapominajmy również o tym, że ataki DDoS mogą skutkować także utratą reputacji i zaufania wśród swoich klientów oraz kontrahentów. Partnerzy handlowi mogą stracić cierpliwość w stosunku do firmy, która jest bez przerwy nękana atakami. Co więcej, mogą bać się, że sami staną się celami wrogich grup przestępczych. Niestety zauważalnym trendem jest także to, że popularność ataków DDoS i ich powszechność doprowadziła do tego, że wiele firm oszukuje swoich klientów, tłumacząc wszystkie błędy i złe konfiguracje sieciowe rzekomymi atakami DDoS.

Przykładem instytucji, która niedawno (kwiecień 2023 roku) doświadczyła ataku DDoS, jest Giełda Papierów Wartościowych. Na skutek cyberincydentu spowodowanego przez prorosyjskich hakerów strony internetowe GPW zostały wyłączone na godzinę. Dlatego możemy stwierdzić, że Polska spółka poradziła sobie stosunkowo dobrze z zagrożeniem.

Niestety nie możemy tego powiedzieć o zabezpieczeniach CNN, eBay’a i Yahoo, których serwery były atakowane w 2000 roku przez 15-latka o pseudonimie Mafiaboy. Korporacje te były kompletnie nieprzygotowane na ataki tego typu, czego skutkiem były wielomilionowe straty.

Jak chronić się przed atakami DDoS?

Ataki DDoS są stosunkowo trudne do wykrycia i powstrzymania, jednak istnieją pewne narzędzia, dzięki którym będziemy mogli zadbać o bezpieczeństwo naszej firmy. Poniżej opiszemy najpopularniejsze z nich.

Filtrowanie pakietów przychodzących

Jedną najskuteczniejszych metod służących do powstrzymania ataków DDoS jest filtrowanie pakietów przychodzących, które są wysyłane w ramach trwającej komunikacji protokołem TCP/IP. Ponadto niektóre rodzaje floodów (np. HTTP) można zneutralizować dzięki uwierzytelnianiu klienta, np. za pomocą technologii Captcha.

Reverse proxy

Reverse proxy to technika ochrony, która polega na przygotowaniu serwerów Proxy tak, aby przyjmowały one ruch przychodzący i filtrowały zapytania. Dzięki temu masowe ataki zostaną odfiltrowane.

Przewymiarowanie infrastruktury

Przewymiarowanie infrastruktury to jedna z najskuteczniejszych metod ochrony przed atakami DDoS. Dobrze skonfigurowana infrastruktura, która została wyposażona w dodatkowe zasoby, będzie optymalnie obsługiwać żądania. Oprócz tego infrastrukturę sieciową warto wesprzeć w dodatkowe rozwiązania takie jak firewall, Captcha, CDN i Blachole. Dzięki temu będziemy mogli jeszcze skuteczniej dbać o ochronę przed zagrożeniem zbyt wielkiego obciążenia.

Warto także zadbać o to, aby administrator naszej sieci zawsze priorytetowo traktował monitorowanie zasobów sieciowych i w razie niebezpiecznej sieci szybko zareagował, ponieważ im szybciej zneutralizujemy atak DDoS, tym mniej szkód wyrządzi. Warto także wesprzeć nasz zespół do spraw cyberbezpieczeństwa i wdrożyć rozwiązanie XDR, np. Bitdefender GravityZone XDR, który będzie stale monitorował potencjalne wektory ataku i w razie potencjalnego niebezpieczeństwa natychmiastowo wygeneruje odpowiedni raport.

Znaczenie edukacji w zapobieganiu atakom DDoS

Ataki DDoS są aktualnie bardzo popularne, dlatego warto inwestować w edukację swoich pracowników z zakresu wiedzy o tym rodzaju cyberzagrożenia. Jak podają najnowsze raporty firmy Bitdefender, większość udanych ataków i włamań są następstwami błędów ludzkich, dlatego, jeśli rozważasz wysłanie swojego pracownika na szkolenie, to zdecydowanie koszt kursu będzie niższy, niż potencjalne szkody spowodowane przez jego niewiedzę. W Polsce istnieje wiele firm, które specjalizują się w szkoleniach z zakresu cyberbezpieczeństwa, przykładem może być niebezpiecznik.pl. Oczywiście zapraszamy także na nasze bezpłatne cykliczne szkolenia w formie webinariów.

Wnioski

Firmy i przedsiębiorstwa są aktualnie bardzo częstymi celami ataków hakerskich. Ataki DDoS mogą wyrządzić wiele szkód, m.in. przestoje w działaniu firmy i utratę reputacji wśród klientów oraz kontrahentów. Dlatego bardzo istotnym elementem cyberochrony jest zabezpieczenie się przed masowym zalewem żądań za pomocą odpowiedniej konfiguracji serwerów Proxy oraz wdrożeniem dodatkowych warstw takich jak firewall lub XDR. Warto także inwestować w edukację zespołu do spraw cyberbezpieczeństwa, a także zawsze pamiętać o tym, aby korzystać ze skutecznego systemu antywirusowego.