A közelmúlt 7 leghíresebb DDoS-támadása

Mivel több vállalat támaszkodik az olyan online szolgáltatásokra, mint a felhőalapú számítástechnika, és ennek megfelelően lépéseket tesz a hálózati biztonságuk javítása érdekében, a DDoS-támadások (distributed detail of service) egyre vonzóbb stratégiává váltak a káoszt és zavart okozó hackerek számára. A könnyen megszervezhető és kivitelezhető DDoS-támadások az elmúlt évtizedben egyre kifinomultabbá és intenzívebbé váltak, és a lassulásnak kevés jelét mutatják. Bár a szervezetek és az adatközpontok fokozták kiberbiztonsági erőfeszítéseiket e támadások hatásainak mérséklése érdekében, ezek a támadások még mindig igen károsak lehetnek mind a megtámadott vállalatok, mind a szolgáltatásaikra támaszkodó ügyfelek számára.

A közelmúltbeli DDoS-támadások 2018-ban ugyan kissé csökkentek, 2019 első negyedévében azonban 84 százalékkal nőttek az előző évhez képest. E támadások mérete és gyakorisága egyaránt nőtt, a legnagyobb növekedést az egy óránál hosszabb ideig tartó támadások mutatták. Ezeknek a támadásoknak nemcsak a mennyisége duplázódott meg, hanem az átlagos hosszuk is 487 százalékkal nőtt. Mivel a támadások egyre inkább több támadási vektort használnak, a kiberbiztonsági szakértők a mesterséges intelligencia és a gépi tanulás felé fordulnak a támadási minták azonosítása és a DDoS-támadások elleni védekezés megerősítése érdekében.

Gyorslinkek:

• Mi a DDoS-támadás?
• A közelmúlt 7 leghíresebb DDoS-támadása
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Mi a DDoS támadás?

A decentralizált szolgáltatásmegtagadási támadások a kibertámadások egy olyan típusa, amelynek célja a szerverek túlterhelése vagy a hálózati szolgáltatások megzavarása a hozzáférési kérelmek túlterhelésével. Ezeknek a támadásoknak a konkrét módszere egyénenként eltérő lehet, de gyakran jellemző a botnetek használata.

Mi az a botnet? Kompromittált számítógépek és szerverek virtualizált “hadserege”, amelyet egy adott rendszer megcélzására használnak. A DDoS-támadás mögött álló hacker számos rendszerre küld rosszindulatú programot, és ha sikeresen települ, akkor a rosszindulatú program segítségével távolról átveheti a megtámadott rendszer egyes (vagy összes) folyamatainak irányítását a támadás végrehajtása érdekében.

Mit csinál egy DDoS-támadás és hogyan működik? Ez a végrehajtott DDoS-támadás konkrét típusától függ. A DDoS-támadásoknak számos különböző típusa létezik, például:

• Volumetrikus támadások. Ezek a támadások arra törekednek, hogy a hálózaton rendelkezésre álló összes sávszélességet felemésszék, így egyetlen legitim kérést sem tudnak feldolgozni. A volumetrikus DDoS-támadás példája lehet egy DNS-erősítő támadás.
• TCP Handshake/SYN Floods. Egy sor hiányos “TCP Handshake” protokollkérést küldenek a célrendszernek egy kezdeti kapcsolathoz, de soha nem fejezik be – jellemzően hamisított IP-címek használatával. Ez egy példa a “protokolltámadásra”. Itt a weboldalt meglátogatni próbáló legitim webhely-felhasználók is hozzájárulhatnak a problémához, mivel a böngészőjükön a “frissítés” gombot nyomják meg, hogy az oldal betöltődjön (bár ez általában a tényleges támadáshoz képest a terhelésnek csak egy apró százalékát teszi ki).
• Alkalmazási rétegbeli támadások. Más néven “7. rétegű DDoS-támadások”, ezek a támadások alapvetően folyamatosan pingelik a kiszolgálót HTTP-kérésekkel – ami a küldő számára alacsony hatású, de erőforrás-igényes a kiszolgáló számára, amelynek be kell töltenie az összes fájlt és adatbázis-lekérdezést, amelyre a weboldalnak szüksége van a megfelelő megjelenítéshez.
• Többvektoros DDoS-támadások. Előfordul, hogy egy támadó több DDoS-támadási módszert kombinál, hogy támadását hatékonyabbá és nehezebben kivédhetővé tegye. A hálózat több rétegének megcélzása rendkívül hatékony lehet a zavarok fokozásában.

A DDoS-támadások megakadályozását az teszi nehézzé, hogy nagyon sok típusuk van, és egyeseket nehezebb elkülöníteni a legitim forgalmi kérésektől, mint másokat.

7 a közelmúlt leghíresebb DDoS-támadásai közül

Amazon Web Services (AWS) (2020 február)

A ZDNet cikke szerint 2020 februárjában “az Amazon szerint az AWS Shield szolgáltatása enyhítette a valaha feljegyzett legnagyobb DDoS-támadást, megállítva egy 2,3 Tbps-os támadást”. Ezt a támadást megelőzően a legnagyobb feljegyzett DDoS-támadás világrekordja 1,7 Tbps (Terabit per másodperc) volt, ami önmagában kiszorította az alább említett GitHub-támadás által felállított rekordot.

A ZDNet cikke nem nevezi meg az AWS ügyfelét, de megemlíti, hogy “a támadást eltérített CLDAP webszerverekkel hajtották végre, és három napig tartó “fokozott fenyegetettséget” okozott az AWS Shield munkatársainak”. A CLDAP a Connection-less Lightweight Directory Access Protocol rövidítése, amely az interneten megosztott könyvtárakhoz való csatlakozás, keresés és módosítás protokollja.

A ZDNet szerint ez is egy olyan protokoll, amellyel “2016 vége óta visszaélnek DDoS-támadásokhoz”, és “a CLDAP szerverekről ismert, hogy a DDoS-forgalmat a kezdeti méret 56-70-szeresére erősítik.”

GitHub (2018. február)

A GitHub egy népszerű online kódkezelő szolgáltatás, amelyet fejlesztők milliói használnak, és nagy forgalomhoz és használathoz van szokva. Amire nem volt felkészülve, az az akkori rekordot jelentő 1,3 Tbps forgalom volt, amely másodpercenként 126,9 millió adatcsomaggal árasztotta el a szervereit. A támadás volt az akkori legnagyobb feljegyzett DDoS-támadás, de a támadás csak körülbelül 20 percre állította le a GitHub rendszereit. Ez nagyrészt annak volt köszönhető, hogy a GitHub egy DDoS-csökkentő szolgáltatást használt, amely észlelte a támadást, és gyorsan lépéseket tett a hatás minimalizálására.

A közelmúlt számos DDoS-támadásától eltérően a GitHub-támadás nem botneteket érintett. Ehelyett a DDoS-támadók a memcaching néven ismert stratégiát alkalmazták, amelynek során hamisított kérést juttatnak el egy sebezhető szerverre, amely aztán felerősített forgalommal árasztja el a célzott áldozatot. A memcache adatbázisokat általában a webhelyek és hálózatok felgyorsítására használják, de a közelmúltban a DDoS-támadók is fegyverként használták őket.

Fel nem fedett NETSCOUT-ügyfél (2018. március)

Nem sokkal a GitHub elleni 1,3 Tbps-os DDoS-támadás után a NETSCOUT jelentette, hogy egyik ügyfele ellen 1,7 Tbps-os DDoS-támadás indult. Ezt a konkrét támadást a NETSCOUT úgy írta le, hogy “ugyanazon a memcached-reflexiós/erősítési támadási vektoron alapul, amely a Github-támadást is megbolondította.”

A támadás hatalmas mérete ellenére azonban a NETSCOUT szerint “semmilyen kiesést nem jelentettek emiatt”. Ez példaként szolgálhat arra, hogy egy adott típusú támadásra való felkészültség nagyban befolyásolhatja a támadás hatását.”

Dyn (2016. október)

A Dyn mint jelentős DNS-szolgáltató több nagyvállalat, köztük a Netflix, a PayPal, a Visa, az Amazon és a The New York Times hálózati infrastruktúrája szempontjából is kulcsfontosságú volt. Az ismeretlen hackerek a Mirai nevű rosszindulatú szoftver segítségével egy hatalmas botnetet hoztak létre a dolgok internetének (IoT) eszközeiből, hogy elindítsák az akkori legnagyobb feljegyzett DDoS-támadást. A támadásnak hatalmas átgyűrűző hatásai voltak, mivel a Dyn számos ügyfele DNS-hibák miatt megnyomorította weboldalait, amikor a Dyn szerverei leálltak. Bár a nap végére sikerült megoldani a problémákat és helyreállítani a szolgáltatást, ez ijesztő emlékeztető volt a hálózati infrastruktúra törékenységére.

BBC (2015. december)

2015 utolsó napján a “New World Hacking” nevű csoport 600 Gbps sebességű támadást indított a BangStresser nevű alkalmazási eszközzel. A támadás körülbelül három órára leállította a BBC oldalait, köztük az iPlayer on-demand szolgáltatást. A puszta méretétől eltekintve, amely az akkoriban feljegyzett legnagyobb DDoS-támadás volt, a BBC-támadás legfigyelemreméltóbb aspektusa az volt, hogy az indításához használt eszköz valójában az Amazon AWS két szerverének felhőalapú számítási erőforrásait használta. Az informatikai biztonsági szakemberek számára, akik már régóta bíztak az Amazon biztonsági hírnevében, különösen aggasztó volt a gondolat, hogy a DDoS-támadók megtalálták a módját annak, hogy egy nyilvános felhőalapú számítástechnikai szolgáltatás sávszélességét használják ki a támadásukhoz.

Spamhaus (2013. március)

2013-ban a Spamhaus az iparág vezető spamszűrő szervezete volt, amely a spam e-mailek akár 80%-át is eltávolította. Ez vonzó célponttá tette őket a csalók számára, akik végül felbéreltek egy tizenéves hackert Nagy-Britanniában, hogy indítson nagyszabású offenzívát a Spamhaus rendszereinek kiiktatására. Ez a támadás 300 Gbps sebességgel a legnagyobb DDoS-támadás volt, amelyet akkoriban feljegyeztek. Amikor a Spamhaus a fenyegetésre reagálva egy DDoS-csökkentő szolgáltatáshoz fordult, a támadó másra koncentrált, és megpróbálta azt is leállítani, ami hálózati fennakadásokat okozott egész Nagy-Britanniában, mivel más vállalatok is kereszttűzbe kerültek.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (2012. december)

2012 szeptemberében és októberében egy magát “Izz ad-Din al-Qassam Cyber Fighters” néven azonosító csoport több DDoS-támadást indított amerikai bankok ellen, állítólag egy ellentmondásos filmtrailerre válaszul a YouTube-on. Még abban az évben a csoport azt ígérte, hogy kiterjeszti támadásainak hatókörét. Decemberben aztán tettek is érte: három nap alatt hat neves bankot támadtak meg, megzavarva a szolgáltatásokat és súlyos lassulást okozva. Bár a támadás nagyobb volt, mint a néhány hónappal korábbiak, a korábbi hullám miatt a kiberbiztonsági szakértők jobban felkészültek a csoport által alkalmazott botnet taktikára. A támadások csúcspontjukon 63,3 Gbps sebességet értek el.

A közelmúltbeli DDoS-támadások folyamatosan fejlődnek, a kiberbiztonsági szakértők keményen dolgoznak a hatásuk ellensúlyozásán és hatásuk csökkentésén. Bár a DDoS-támadás még mindig olyasvalami, ami miatt minden vállalatnak aggódnia kell, számos módja van a működésük elleni védelemnek, a DDoS-csökkentő szolgáltatásoktól kezdve az olyan adatközponti lehetőségekig, mint a kevert ISP-kapcsolat. Ezek az erőfeszítések talán nem képesek arra, hogy a DDoS-támadások a múlté legyenek, de kevésbé hatékony stratégiává teszik őket a működés és a szolgáltatások megzavarására.