Dlaczego moja strona nie działa Jak zabezpieczyć się przed atakami DDoS

DDoS, czy też DoS to skrót od ang. distributed denial of service – przekładając na język ludzki jest to działanie prowadzące do zablokowania usługi wywołane w sposób rozproszony.

Ale skąd się biorą ataki? No cóż, jak wszystko na tej planecie – głównie pochodzą z Chin i Taiwanu. Ataki DDoS mają rozproszone źródło pochodzenia. W głównej mierze są to zwykłe komputery, które są w pewien sposób zawirusowane i pozostają pod kontrolą grup przestępczych. Sieci takich zawirusowanych komputerów tworzą tzw. botnet. Bardziej znane botnety to Grum, BredoLab, ZeroAccess, Kraken, Windigo, Storm, Cutwail. Wszystko zaczęło się, kiedy uruchomiony został robak Morris Worm potrafiący infekować inne komputery przez Internet. Zainfekowanych zostało 6 tys. komputerów, czyli około 10% ówczesnego Internetu. Straty – około 10 mln USD. Sprawca przyznał się do winy – 3 lata nadzoru, 400 h prac społecznych i grzywna 10 tys. USD. W 2009 roku BredoLab dał radę zainfekować ponad 30 mln komputerów. Aktualnie przestępcy starają się tworzyć mniejsze sieci BotNet na kilka tysięcy komputerów, za to z lepszym dostępem do Internetu.

Powody ataków DDoS

Ataki DDoS stały się źródłem zarobku dla wyspecjalizowanych grup przestępczych, które przeprowadzają tego typu ataki dla wymuszenia okupu lub na zlecenie. Zamówienie takiego ataku to dziś bardzo niski koszt. Godzina ciągłego ataku to koszt kliku dolarów. Jeśli atak został zaplanowany na cały tydzień, będzie to wydatek na poziomie około tysiąca dolarów. Tak więc możemy stać się ofiarą ataku dla okupu. Można paść także ofiarą gniewu niezadowolonego klienta czy nieuczciwego konkurenta – przypadki ataków DDoS na serwisy dostawców nazwa.pl (komunikat) oraz na home.pl (komunikat).

Typy przeprowadzanych ataków 

Specjaliści od ataków DDoS podzielili je na kilka grup w zależności od tzw. wektora ataku, czyli prosto mówiąc o celu i kierunku w jakim dany atak jest przeprowadzany:

  • ataki warstwy TCP – poprzez utrzymywanie ogromnej ilości otwartych połączeń TCP,
  • ataki wolumetryczne – polegające na wysyceniu łącza internetowego ofiary,
  • atak fragmentacyjny – wysyłanych jest bardzo dużo pakietów TCP lub UDP z flagą fragmentacji, tak by wymusić na ofierze łączenie pakietów, przez co następuje znaczne obniżenie wydajności usługi,
  • ataki aplikacyjne – trudne do wykrycia ataki wykorzystujące specyficzne podatności aplikacji.

Rodzaje wzmocnień ataków DDoS:

  • Odbicie DNS, czyli krótkie pytanie, długa odpowiedź – atakujący może wysłać małe zapytanie w imieniu ofiary do serwera DNS, zmuszając go do długiej odpowiedzi w kierunku ofiary. W ten sposób można uzyskać około 70-krotne wzmocnienie ataku,
  • Odbicie CharGEN, czyli stały ciąg znaków w kierunku Ofiary. CharGEN, to protokół zdefiniowany w RFC 864, który w zamierzeniu miał służyć diagnostyce działania sieci IP. Jego zadaniem było wysyłanie ciągłego strumienia znaków do klienta, dopóki ten nie zamknie połączenia. Niektóre urządzenia w sieci IP mają ten protokół domyślnie włączony, przez co jest on wykorzystywany przez przestępców do wzmocnienia ataków wolumetrycznych.

Cele ataków DDoS

Najczęściej atakowani są dostawcy usług internetowych, gdzie jakość świadczenia usług bezpośrednio przekłada się na przychody firmy. Pozostałe grupy to dostawcy rozwiązań rozrywki i sektor finansowy. Aby atak był możliwie dotkliwy, należy zaatakować taką usługę, od której zależnych jest możliwie najwięcej innych usług. Dlatego też jednym z głównych celów ataków DDoS jest system DNS. Usługa, na bazie której opiera się znakomita większość aplikacji. Skuteczny atak na serwery DNS dostawcy usług internetowych może sparaliżować działanie pozostałych usług świadczonych przez dostawcę. Taki przypadek mieliśmy 24 września 2018 kiedy atak na infrastrukturę DNS dużego dostawcy uniemożliwił korzystanie z wszystkich innych usług dostawcy. Podobnie atakowane były duże firmy z sektora finansowego i aukcyjnego w roku 2013.

Sposoby ochrony przed atakami DDoS

Istnieje kilka lepszych lub gorszych sposobów ochrony przed atakami DDoS. Metody obrony zależą też w sporej mierze od rodzaju ataku i budżetu jakim dysponujemy.

  • Ataki warstwy TCP są trudne do obrony. Część użytkowników próbuje zabezpieczyć się przed tym typem ataku za pomocą urządzenia dedykowanego lub oprogramowania zapewniającego czyszczenie takich szkodliwych zapytań. Jednak z powodu bardzo dużego wolumenu ataków, zabezpieczania te są dziś niewystarczalne i skazane na niepowodzenie. Są także bardzo kosztowne w zakupie i wdrożeniu.
  • Ataki wolumetryczne, czyli ataki wysycające fizyczne możliwości naszych łączy internetowych. Jedynym skutecznym sposobem na obronę przed takim atakiem jest zatrzymanie takiego ruchu na urządzeniach będących węzłami sieci, np. u operatora telekomunikacyjnego i niedopuszczenie go do naszych końcówek internetowych. Możemy to zrealizować wykupując specjalną ochronę antyDDoS w zewnętrznej firmie i w chwili ataku dokonać przekierowania całego ruchu na serwery firmy chroniącej, odbierając od niej już przefiltrowany i wyczyszczony ruch lub po prostu wykupić ochronę łącza u operatora telekomunikacyjnego.
  • Atak fragmentacyjny – tu skuteczne okażą się własne narzędzia o ile wolumen ruchu nie przekroczy fizycznych możliwości łącza, czy też urządzenia chroniącego, co zwykle ma miejsce w przypadku ataku rzeczywistego.
  • Ataki aplikacyjne – tu musimy zadbać przede wszystkich o aktualizację naszych systemów i serwisów oraz samych aplikacji tak by nie występowała w nich podatność na atak. Jeśli to jest niewystarczające, może nas ochronić specjalistyczne rozwiązanie typu IPS/IDS lub WAF o ile wolumen ataku nie przekracza fizycznych możliwości tych urządzeń.

Najskuteczniejszą i najprostszą ochroną przed  większością ataków DDoS jest niedopuszczanie tych ataków do własnych łącz. Są na to dwa sposoby:

  • Zakup łącza internetowego z ochroną DDoS po stronie operatora telekomunikacyjnego, tu mamy gwarancję, że ruch zostanie wyczyszczony bardzo szybko i skutecznie. Dodatkowo duzi operatorzy telekomunikacyjni współpracują między sobą, żeby jak najszybciej odciąć źródła danego ataku.
  • Zakup antyDDoS w firmie świadczącej taki rodzaj usługi i w przypadku ataku przekierowanie całego ruchu IP np. modyfikując ścieżki BGP do firmy chroniącej, zestawiając jednocześnie tunel powrotny, którym otrzymamy już wyczyszczony ruch do naszych usług. Rozwiązanie to jest dość skomplikowane i powoduje przerzucanie dużych ilości ruchu po światowych łączach szerokopasmowych, ale jest jednocześnie najskuteczniejszym sposobem ochrony i obrony.

Wybierając dostawcę usługi, zawsze starajmy się zweryfikować jego poziom wiedzy eksperckiej i rodzaj stosowanych zabezpieczeń. Takie podejście może uchronić nas przed skutkami ataku DDoS i odpowiednio do niego przygotować, jeżeli już nastąpi.

Jesteś Klientem indywidualnym? Podwoimy Twoje pierwsze doładowanie cloud.

Bez kombinacji. Ot tak.

Załóż konto

Exea Cloud
Exea Cloud
Exea Backup
Exea Poczta
Status i informacje
Pomoc techniczna
×