Articles

7 nejznámějších útoků DDoS z poslední doby

On 28 ledna, 2022 by

S tím, jak se stále více společností stává závislými na online službách, jako je cloud computing, a podniká kroky ke zlepšení zabezpečení svých sítí, stávají se útoky DDoS (distributed detail of service) stále atraktivnější strategií pro hackery, kteří chtějí způsobit chaos a narušení. Útoky DDoS, které je snadné zorganizovat a provést, se v poslední době staly sofistikovanějšími a intenzivnějšími a v posledních deseti letech vykazují jen malé známky zpomalení. Přestože organizace a datová centra zvýšily své úsilí v oblasti kybernetické bezpečnosti, aby zmírnily dopady těchto útoků, stále mohou být značně škodlivé jak pro společnosti, na které útoky cílí, tak pro zákazníky, kteří se při podnikání spoléhají na jejich služby.

Ačkoli v roce 2018 počet nedávných útoků DDoS mírně poklesl, v prvním čtvrtletí roku 2019 došlo k 84% nárůstu oproti předchozímu roku. Zvýšila se velikost i četnost těchto útoků, přičemž největší nárůst zaznamenaly útoky trvající déle než hodinu. Nejenže se množství těchto útoků zdvojnásobilo, ale také jejich průměrná délka vzrostla o 487 procent. Vzhledem k tomu, že útoky stále častěji využívají více vektorů útoku, obracejí se odborníci na kybernetickou bezpečnost k umělé inteligenci a strojovému učení, aby identifikovali vzory útoků a posílili jejich zmírňování.

Rychlé odkazy:

  • Co je to útok DDoS?
  • 7 nejznámějších nedávných útoků DDoS
    • Amazon Web Services, 2020
    • GitHub, 2018
    • NETSCOUT, 2018
    • Dyn, 2016
    • BBC, 2015
    • Spamhaus, 2013
    • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Co je útok DDoS?

Distribuované útoky typu odepření služby jsou typem kybernetického útoku, jehož cílem je přetížit servery nebo narušit síťové služby tím, že je zahltí požadavky na přístup. Konkrétní způsob těchto útoků se může lišit, ale často se při nich používají botnety.

Co je to botnet? Je to virtualizovaná „armáda“ kompromitovaných počítačů a serverů, která se používá k cílení na konkrétní systém. Hacker, který stojí za útokem DDoS, pošle malware do mnoha systémů a v případě úspěšné instalace může tento malware použít ke vzdálenému převzetí některých (nebo všech) procesů napadeného systému a provést útok.

Co dělá útok DDoS a jak funguje? To závisí na konkrétním typu prováděného útoku DDoS. Existuje mnoho různých typů útoků DDoS, například:

  • Objemové útoky. Cílem těchto útoků je spotřebovat veškerou dostupnou šířku pásma v síti, aby nemohly být zpracovány žádné legitimní požadavky. Příkladem volumetrického útoku DDoS může být útok DNS amplification.
  • TCP Handshake/SYN Floods. Do cílového systému je odeslána řada neúplných požadavků protokolu „TCP Handshake“ na počáteční připojení, které však nejsou nikdy dokončeny – obvykle pomocí podvržených IP adres. Jedná se o příklad „útoku na protokol“. V tomto případě mohou legitimní uživatelé webu, kteří se snaží navštívit webovou stránku, dále přispívat k problému, protože ve svých prohlížečích stisknou tlačítko „refresh“, aby se stránka načetla (i když to obvykle představuje jen malé procento zatížení ve srovnání se skutečným útokem).
  • Útoky na aplikační vrstvě. Tyto útoky, známé také jako „útoky DDoS na 7. vrstvě“, v podstatě neustále zasílají na server požadavky HTTP – což je něco, co má nízký dopad na odesílatele, ale je to náročné na zdroje serveru, který musí načíst všechny soubory a dotazy do databáze, které webová stránka potřebuje ke správnému zobrazení.
  • Útoky DDoS s více vektory. Někdy může útočník kombinovat několik metod útoku DDoS, aby byl jeho útok účinnější a bylo obtížné mu čelit. Cílení na více vrstev sítě může být mimořádně účinné pro zvýšení narušení provozu.

Předcházení útokům DDoS je obtížné proto, že jich existuje mnoho typů a některé je obtížnější oddělit od legitimních požadavků na provoz než jiné.

7 nejznámějších nedávných útoků DDoS

Amazon Web Services (AWS) (únor 2020)

Podle článku ZDNet v únoru 2020 „společnost Amazon uvedla, že její služba AWS Shield zmírnila největší kdy zaznamenaný útok DDoS a zastavila útok o rychlosti 2,3 Tb/s“. Před tímto útokem byl světový rekord v největším zaznamenaném útoku DDoS 1,7 Tb/s (terabitů za sekundu), což samo o sobě vytlačilo rekord stanovený útokem na GitHub, který bude zmíněn níže.

Článek ZDNet neuvádí jméno zákazníka AWS, ale zmiňuje, že „útok byl proveden pomocí unesených webových serverů CLDAP a způsobil zaměstnancům služby AWS Shield tři dny ‚zvýšeného ohrožení'“. CLDAP je zkratka pro Connection-less Lightweight Directory Access Protocol, což je protokol pro připojování, vyhledávání a úpravu sdílených adresářů na internetu.

Jedná se také podle serveru ZDNet o protokol, který „je od konce roku 2016 zneužíván k útokům DDoS“ a o kterém je známo, že „servery CLDAP zesilují provoz DDoS 56 až 70násobně oproti původní velikosti.“

GitHub (únor, 2018)

Populární online služba pro správu kódu, kterou používají miliony vývojářů, GitHub je zvyklá na vysoký provoz a využití. Na co však nebyla připravena, byl tehdy rekordní provoz 1,3 Tb/s, který zaplavil její servery 126,9 miliony paketů dat každou sekundu. Jednalo se o největší zaznamenaný útok DDoS v té době, ale nápor vyřadil systémy GitHubu z provozu jen asi na 20 minut. Bylo to hlavně díky tomu, že společnost GitHub využívala službu pro zmírnění DDoS, která útok detekovala a rychle přijala opatření k minimalizaci dopadu.

Na rozdíl od mnoha nedávných útoků DDoS se útoku na GitHub neúčastnily botnety. Místo toho útočníci DDoS použili strategii známou jako memcaching, při níž je podvržený požadavek doručen na zranitelný server, který pak cílovou oběť zaplaví zesíleným provozem. Databáze memcached se běžně používají ke zrychlení webových stránek a sítí, ale v poslední době se staly zbraní útočníků DDoS.

Nezveřejněný klient NETSCOUT (březen 2018)

Nedlouho po útoku DDoS na GitHub o rychlosti 1,3 Tb/s společnost NETSCOUT oznámila, že jeden z jejích zákazníků se stal terčem útoku DDoS o rychlosti 1,7 Tb/s. Tento konkrétní útok byl společností NETSCOUT popsán jako „založený na stejném vektoru útoku memcached reflection/amplification, který pobláznil útok na Github.“

I přes obrovský rozsah útoku však podle společnosti NETSCOUT „nebyly kvůli tomu hlášeny žádné výpadky“. To může sloužit jako příklad toho, že připravenost na určitý typ útoku může mít zásadní vliv na jeho dopad.

Dyn (říjen 2016)

Jako významný poskytovatel DNS byla společnost Dyn klíčová pro síťovou infrastrukturu několika významných společností, včetně společností Netflix, PayPal, Visa, Amazon a The New York Times. Pomocí malwaru zvaného Mirai vytvořili neznámí hackeři masivní botnet zahrnující zařízení internetu věcí (IoT) a provedli v té době největší zaznamenaný útok DDoS. Útok měl masivní dopady, protože mnoho zákazníků společnosti Dyn zjistilo, že jejich webové stránky jsou ochromeny chybami DNS, když došlo k výpadku serverů společnosti Dyn. Přestože se problémy podařilo do konce dne vyřešit a služby obnovit, byla to děsivá připomínka křehkosti síťové infrastruktury.

BBC (prosinec, 2015)

Poslední den roku 2015 provedla skupina s názvem „New World Hacking“ útok o rychlosti 600 Gb/s pomocí svého aplikačního nástroje BangStresser. Útok vyřadil stránky BBC, včetně služby iPlayer na vyžádání, přibližně na tři hodiny. Kromě samotné velikosti, která byla v té době největším zaznamenaným útokem DDoS, byla nejpozoruhodnějším aspektem útoku na BBC skutečnost, že nástroj použitý k jeho spuštění skutečně využíval cloudové výpočetní zdroje ze dvou serverů Amazon AWS. Pro odborníky na bezpečnost IT, kteří dlouho důvěřovali pověsti společnosti Amazon v oblasti bezpečnosti, byla představa, že útočníci DDoS našli způsob, jak využít šířku pásma veřejné cloudové výpočetní služby pro svůj útok, obzvláště znepokojující.

Spamhaus (březen 2013)

V roce 2013 byla společnost Spamhaus přední organizací v oboru filtrování spamu, která odstraňovala až 80 % nevyžádaných e-mailů. To z ní učinilo atraktivní cíl pro podvodníky, kteří si nakonec najali mladistvého hackera z Británie, aby zahájil masivní ofenzivu s cílem zničit systémy Spamhaus. Tento útok o rychlosti 300 Gb/s byl v té době největším zaznamenaným útokem DDoS. Když společnost Spamhaus na hrozbu reagovala tím, že se obrátila na službu pro zmírnění DDoS, útočník se zaměřil na snahu vyřadit i ji, což způsobilo narušení sítě v celé Británii, protože se do křížové palby dostaly další společnosti.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (prosinec 2012)

V září a říjnu 2012 provedla skupina, která se označila jako „Izz ad-Din al-Qassam Cyber Fighters“, několik útoků DDoS na americké banky, údajně v reakci na kontroverzní filmovou upoutávku na YouTube. Později téhož roku skupina slíbila, že rozsah svých útoků rozšíří. V prosinci to dotáhla do konce a během tří dnů zasáhla šest významných bank, čímž narušila služby a způsobila vážné zpomalení. Útok byl sice větší než ty z několika měsíců předtím, ale díky dřívější vlně byli odborníci na kybernetickou bezpečnost lépe připraveni na taktiku botnetu, kterou skupina nasadila. Na svém vrcholu dosáhly útoky rychlosti 63,3 Gb/s.

S tím, jak se nedávné útoky DDoS vyvíjejí, odborníci na kybernetickou bezpečnost usilovně pracují na tom, aby čelili jejich účinkům a zmenšili jejich dopad. Přestože útok DDoS je stále něčím, čeho by se měla každá společnost obávat, existuje mnoho způsobů, jak před nimi zabezpečit provoz, od služeb pro zmírnění DDoS až po možnosti datových center, jako je smíšené připojení k ISP. Tyto snahy sice nedokážou učinit útoky DDoS minulostí, ale činí z nich méně účinnou strategii narušování provozu a služeb.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.