7 najbardziej znanych ostatnich ataków DDoS

Ponieważ coraz więcej firm polega na usługach online, takich jak przetwarzanie w chmurze, i podejmuje kroki w celu odpowiedniego zwiększenia bezpieczeństwa sieci, rozproszone ataki DDoS (distributed detail of service) stały się bardziej atrakcyjną strategią dla hakerów pragnących wywołać chaos i zakłócenia. Łatwe do zorganizowania i przeprowadzenia, ostatnie ataki DDoS stały się bardziej wyrafinowane i intensywne w ciągu ostatniej dekady i niewiele wskazuje na to, aby miały zwolnić. Chociaż organizacje i centra danych zwiększyły swoje wysiłki w zakresie bezpieczeństwa cybernetycznego, aby złagodzić wpływ tych ataków, nadal mogą one być dość szkodliwe zarówno dla firm będących celem ataków, jak i klientów, którzy polegają na ich usługach w celu prowadzenia działalności.

Chociaż ostatnie ataki DDoS nieznacznie spadły w 2018 r., w pierwszym kwartale 2019 r. odnotowano 84-procentowy wzrost w stosunku do poprzedniego roku. Wzrosła zarówno wielkość, jak i częstotliwość tych ataków, przy czym największy wzrost nastąpił w atakach trwających ponad godzinę. Ataki te nie tylko podwoiły się pod względem ilości, ale również ich średnia długość wzrosła o 487 procent. Ponieważ ataki w coraz większym stopniu wykorzystują wiele wektorów ataku, eksperci ds. bezpieczeństwa cybernetycznego zwracają się ku sztucznej inteligencji i uczeniu maszynowemu, aby zidentyfikować wzorce ataków i wzmocnić ich łagodzenie skutków DDoS.

Krótkie linki:

• Co to jest atak DDoS?
• 7 najbardziej znanych ostatnich ataków DDoS
  • Amazon Web Services, 2020
  • GitHub, 2018
  • NETSCOUT, 2018
  • Dyn, 2016
  • BBC, 2015
  • Spamhaus, 2013
  • Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank, 2012

Co to jest atak DDoS?

Ataki DDoS to rodzaj cyberataku mającego na celu przeciążenie serwerów lub zakłócenie działania usług sieciowych poprzez przytłoczenie ich żądaniami dostępu. Konkretna metoda tych ataków może być różna, ale często wykorzystuje się w nich botnety.

Co to jest botnet? To zwirtualizowana „armia” skompromitowanych komputerów i serwerów, które są wykorzystywane do ataku na konkretny system. Haker stojący za atakiem DDoS wysyła złośliwe oprogramowanie do wielu systemów, a jeśli zostanie ono pomyślnie zainstalowane, może użyć tego złośliwego oprogramowania do zdalnego przejęcia niektórych (lub wszystkich) procesów skompromitowanego systemu w celu przeprowadzenia ataku.

Co robi atak DDoS i jak działa? To zależy od konkretnego typu przeprowadzanego ataku DDoS. Istnieje wiele różnych rodzajów ataków DDoS, takich jak:

• Ataki wolumetryczne. Ataki te mają na celu wykorzystanie całej dostępnej przepustowości w sieci, tak aby nie można było przetworzyć żadnych uzasadnionych żądań. Przykładem wolumetrycznego ataku DDoS może być atak DNS amplification.
• TCP Handshake/SYN Floods. Seria niekompletnych żądań protokołu „TCP Handshake” o nawiązanie pierwszego połączenia jest wysyłana do systemu docelowego, ale nigdy nie zostaje ukończona – zazwyczaj przy użyciu sfałszowanych adresów IP. Jest to przykład „ataku protokolarnego”. W tym przypadku legalni użytkownicy witryny próbujący odwiedzić stronę internetową mogą dodatkowo przyczynić się do problemu, ponieważ naciskają przycisk „odśwież” w swoich przeglądarkach, aby strona się załadowała (jest to jednak zazwyczaj tylko niewielki procent obciążenia w porównaniu z rzeczywistym atakiem).
• Ataki warstwy aplikacji. Ataki te, znane również jako „ataki DDoS warstwy 7”, polegają w zasadzie na ciągłym wysyłaniu do serwera żądań HTTP – coś, co nie ma większego wpływu na nadawców, ale wymaga dużego nakładu zasobów dla serwera, który musi załadować wszystkie pliki i zapytania do bazy danych, których witryna potrzebuje do prawidłowego wyświetlania.
• Wielowektorowe ataki DDoS. Czasami atakujący może połączyć kilka metod ataku DDoS, aby uczynić swój atak bardziej skutecznym i trudnym do odparcia. Wymierzone w wiele warstw sieci mogą być niezwykle skuteczne w zwiększaniu zakłóceń.

To, co utrudnia zapobieganie atakom DDoS, to fakt, że istnieje tak wiele ich rodzajów, a niektóre z nich trudniej oddzielić od legalnych żądań ruchu niż inne.

7 najsłynniejszych ostatnich ataków DDoS

Amazon Web Services (AWS) (luty 2020)

Zgodnie z artykułem ZDNet, w lutym 2020 roku „Amazon powiedział, że jego usługa AWS Shield złagodziła największy atak DDoS, jaki kiedykolwiek zarejestrowano, zatrzymując atak o wielkości 2,3 Tbps.” Przed tym atakiem, rekord świata dla największego zarejestrowanego ataku DDoS wynosił 1,7 Tbps (Terabits per second), który sam wyparł rekord ustanowiony przez atak GitHub, o którym będzie mowa poniżej.

Artykuł ZDNet nie wymienia klienta AWS, ale wspomina, że „atak został przeprowadzony przy użyciu porwanych serwerów internetowych CLDAP i spowodował trzy dni 'podwyższonego zagrożenia’ dla pracowników AWS Shield.” CLDAP to skrót od Connection-less Lightweight Directory Access Protocol, który jest protokołem służącym do łączenia, przeszukiwania i modyfikowania współdzielonych katalogów w Internecie.

Jest to również, według ZDNet, protokół, który „był nadużywany do ataków DDoS od późnego 2016 roku” i że „serwery CLDAP są znane ze wzmacniania ruchu DDoS o 56 do 70 razy jego początkowego rozmiaru.”

GitHub (luty, 2018)

Popularna usługa zarządzania kodem online używana przez miliony deweloperów, GitHub jest przyzwyczajony do dużego ruchu i wykorzystania. To, na co nie był przygotowany, to rekordowy wówczas ruch na poziomie 1,3 Tbps, który zalewał jego serwery 126,9 mln pakietów danych w każdej sekundzie. Atak ten był największym odnotowanym wówczas atakiem DDoS, ale spowodował on wyłączenie systemów GitHuba tylko na około 20 minut. Było to w dużej mierze spowodowane tym, że GitHub korzystał z usługi łagodzenia ataków DDoS, która wykryła atak i szybko podjęła kroki w celu zminimalizowania jego skutków.

W przeciwieństwie do wielu ostatnich ataków DDoS, atak na GitHub nie obejmował botnetów. Zamiast tego napastnicy DDoS wykorzystali strategię znaną jako memcaching, w której spreparowane żądanie jest dostarczane do podatnego na ataki serwera, który następnie zalewa docelową ofiarę zwiększonym ruchem. Bazy danych Memcached są powszechnie używane do przyspieszania stron internetowych i sieci, ale ostatnio zostały wykorzystane przez atakujących DDoS.

Nieujawniony klient NETSCOUT (marzec 2018)

Niedługo po ataku DDoS o przepustowości 1,3 Tb/s na GitHub, NETSCOUT poinformował, że jeden z ich klientów był celem ataku DDoS o przepustowości 1,7 Tb/s. Ten konkretny atak został opisany przez NETSCOUT jako „oparty na tym samym wektorze ataku memcached reflection/amplification, który spowodował atak na Github.”

Jednakże, pomimo ogromnego rozmiaru ataku, „nie zgłoszono z tego powodu żadnych przestojów” według NETSCOUT. Może to służyć jako przykład tego, jak bycie przygotowanym na konkretny rodzaj ataku może stanowić istotną różnicę w skutkach tego ataku.

Dyn (październik, 2016)

Jako główny dostawca DNS, Dyn był kluczowy dla infrastruktury sieciowej kilku dużych firm, w tym Netflix, PayPal, Visa, Amazon i The New York Times. Wykorzystując złośliwe oprogramowanie o nazwie Mirai, niezidentyfikowani hakerzy stworzyli ogromny botnet obejmujący urządzenia Internetu rzeczy (IoT) w celu przeprowadzenia największego w tamtym czasie zarejestrowanego ataku DDoS. Atak miał ogromny efekt domina, ponieważ wielu klientów firmy Dyn znalazło swoje strony internetowe sparaliżowane przez błędy DNS, gdy serwery Dyn przestały działać. Chociaż problemy zostały rozwiązane, a usługi przywrócone do końca dnia, było to przerażające przypomnienie o kruchości infrastruktury sieciowej.

BBC (grudzień, 2015)

W ostatnim dniu 2015 r. grupa o nazwie „New World Hacking” przeprowadziła atak z prędkością 600 Gbps przy użyciu swojego narzędzia aplikacyjnego BangStresser. Atak spowodował wyłączenie stron BBC, w tym jej serwisu na żądanie iPlayer, na około trzy godziny. Oprócz samego rozmiaru ataku, który był największym rekordowym atakiem DDoS w tamtym czasie, najbardziej godnym uwagi aspektem ataku BBC był fakt, że narzędzie użyte do jego przeprowadzenia faktycznie wykorzystywało zasoby chmury obliczeniowej z dwóch serwerów Amazon AWS. Dla specjalistów ds. bezpieczeństwa IT, którzy od dawna ufali reputacji firmy Amazon w zakresie bezpieczeństwa, koncepcja, że napastnicy DDoS znaleźli sposób na wykorzystanie przepustowości publicznej chmury obliczeniowej do przeprowadzenia ataku, była szczególnie niepokojąca.

Spamhaus (marzec, 2013)

W 2013 r. firma Spamhaus była wiodącą w branży organizacją zajmującą się filtrowaniem spamu, usuwającą aż 80% wiadomości spamowych. To uczyniło z nich atrakcyjny cel dla oszustów, którzy ostatecznie wynajęli nastoletniego hakera z Wielkiej Brytanii, aby rozpocząć masową ofensywę w celu zniszczenia systemów Spamhaus. Atak ten, który osiągnął prędkość 300 Gb/s, był największym atakiem DDoS zarejestrowanym w tamtym czasie. Kiedy firma Spamhaus zareagowała na zagrożenie, zwracając się o pomoc do serwisu łagodzącego ataki DDoS, atakujący skupił się na próbie zniszczenia również tej firmy, co spowodowało zakłócenia sieci w całej Wielkiej Brytanii, a inne firmy znalazły się w krzyżowym ogniu.

Bank of America/JP Morgan Chase/US Bancorp/Citigroup/PNC Bank (grudzień, 2012)

We wrześniu i październiku 2012 r. grupa identyfikująca się jako „Izz ad-Din al-Qassam Cyber Fighters” przeprowadziła kilka ataków DDoS na banki amerykańskie, rzekomo w odpowiedzi na kontrowersyjny zwiastun filmowy w serwisie YouTube. Jeszcze w tym samym roku grupa obiecała rozszerzyć zakres swoich ataków. W grudniu zastosowała się do nich i w ciągu trzech dni uderzyła w sześć znanych banków, zakłócając działanie usług i powodując poważne spowolnienie. Chociaż atak był większy niż te z kilku miesięcy wcześniej, wcześniejsza fala sprawiła, że eksperci ds. bezpieczeństwa cybernetycznego byli lepiej przygotowani do radzenia sobie z taktyką botnetów, którą zastosowała grupa. W szczytowym momencie ataki osiągnęły 63,3 Gbps.

Jako że ostatnie ataki DDoS nadal ewoluują, eksperci ds. bezpieczeństwa cybernetycznego ciężko pracują, aby przeciwdziałać ich skutkom i zmniejszyć ich wpływ. Chociaż atak DDoS jest nadal czymś, czego każda firma powinna się obawiać, istnieje wiele sposobów zabezpieczenia przed nim operacji, od usług łagodzenia skutków DDoS po opcje dla centrów danych, takie jak łączność z dostawcami usług internetowych. Te wysiłki mogą nie być w stanie sprawić, że ataki DDoS odejdą w przeszłość, ale sprawiają, że stają się one mniej skuteczną strategią zakłócania operacji i usług.

.