Что такое DoS-атака? Это направленное вмешательство в работу онлайн сервиса с целью спровоцировать сбой в работе и невозможность корректно принять входящий трафик в моменте. На практике это выглядит так: провоцируется повышенный трафик на сайт, приложение, портал, что приводит к полному отключению или частичной блокировке объекта атаки.
Как это происходит на практике? Объекты в сети интернет ограничены по количеству посещений. Допустим в количестве 1000-2000 посетителей в моменте. Хакеры, которые используют DoS-атаки, инициируют повышенный входящий трафик, увеличение посещений в десятки, сотни раз. От этого страдает объект атаки: перестает работать или обеспечивает не полную обработку входящих целевых заявок, что сказывается на качестве и количестве продаж.
Цели DoS-атак
Как правило, мошенники преследуют одну или несколько целей DoS-атаки:
1. Полную или частичную блокировку работы сервиса и ущерб от неполученных клиентов и необработанных заявок.
2. Ущерб деловой репутации и имиджу компании за счет отказа главного сайта (приложения, портала, онлайн-магазина).
3. Создание критической уязвимости с целью дальнейшей имплементации вредоносного ПО.
4. Провоцирование затрат на восстановление и реконструкцию атакованных сервисов, затраты на создание и развертывание резервных систем и так далее.
Причинами таких атак может быть недобросовестная конкуренция, желание временно вывести перспективный проект из игры, нападение хакеров, политические или идеологические мотивы, несогласие с информацией, которую транслируют на сервисе, маскировка более масштабного вторжения в контур безопасности, отвлечение внимания сил ИБ от главной проблемы.
Жертвами DoS-атак часто становятся веб-серверы известных организаций, таких как банковские, торговые и медиа-компании, правительственные и торговые организации, официальные сайты известных медиа-персон и экспертов и так далее.
Окунёмся в историю и статистику
Как ни удивительно, первая DoS-атака была зафиксирована еще в 1974 году тринадцатилетним подростком в США. Дэвид Деннис обнаружил интересный факт, что можно заставить компьютеры в Университете Иллинойса зависать по определенной команде. Он испробовал свое открытие на 31 компьютере университета, и в итоге они перестали работать на время.
Еще интересный факт: атака по типу «отказ в обслуживании» может растянуться на долгое время. Конечно, постоянная нагрузка и обеспечение бесперебойного внедрения требует больших затрат ресурсов, однако, если вывести конкурента из игры на сутки и более того стоит – компании-конкуренты могут пойти и на это. Поэтому не удивительно, что самые долгие DoS-атаки превышали 329 часов и 509 часов соответственно или более 13 и более 21 суток. Это достаточно много.
Кстати, можно в режиме реального времени отследить поток DDoS-атак в мире и их региональное распределение. Как видим большая часть источников находится в густонаселенных развитых центрах. А количество в моменте отправляемых атак достигает 4 785 000 единиц (229 208 для России).
Чем отличается DoS и DDoS атаки?
Распределенная атака типа DDoS «Distributed Denial of Service attack» — это подкатегория более общей атаки DoS «Denial of Service attack». При DoS-атаке хакер использует одно подключение к сети и с него осуществляет спам-входы. А при DDoS-атаках изменяется масштаб и используются тысячи (даже миллионы) подключенных устройств, часто объединенных в сеть (ботнеты).
Эффективность DoS в настоящее время крайне мала. Такой тип внедрения работает по простому линейному принципе 1:1 – один источник угроз и одна жертва. К тому же одиночная атака достаточна заметна по содержимому лог-файла и IP, и легко купируется брандмауэром. Поэтому в последнее время стали более популярными массовые атаки DDoS с помощью ботнетов. Как они работают?
Ботнеты
Ботнеты являются основным способом осуществления распределенных атак типа DDoS. Злоумышленник создает управляемую одноранговую сеть из устройств, которые осуществляют вредоносное воздействие на жертву DDoS. Количество таких машин может варьироваться: от нескольких десятков до сотен тысяч. Все зависит от масштабности кампании. На захваченный компьютер устанавливается вредоносный фрагмент кода или вредоносное ПО, которое называется ботом. Вместе зараженные компьютеры образуют сеть, называемую ботнетом. Затем злоумышленник дает указание ботнету выполнить одновременный вход на устройство или сервер жертвы. Это значит одновременно посылается большое количество запросов на подключение, значительно превышающее количество, доступное к обработке. Это как одна атака всеми пчелами сразу (смотрите схему ниже).
На сегодня самыми популярными ботнетами являются: Storm, Zeus, Mariposa, Bredolab, Sality, Fast Flux и другие. На этом сайте можно посмотреть распределение мировых источников ботнетов в режиме реального времени.
Стоимость DDoS-атак в 2024 году
Услуга ботнета вполне доступна для покупки не только в Darknet, но и в обычной сети. В зависимости от количества закупаемой мощности стоимость услуги может начинаться от 50$ и доходить до нескольких десятков тысяч. Так что в качестве источника нечестной конкурентной борьбы это средство не трудно использовать. При этом во время DDoS-атаки каждая минута простоя компании малого или среднего бизнеса приносит убытки, которые могут доходить до нескольких десятков тысяч долларов (зависит от размера), а восстановление служб и операций после атаки может обойтись в 70 000-120 000 долларов в среднем.
В 2024 году DDoS-атаки на уровне приложений нанесли онлайн-отраслям больше ущерба, чем любой другой тип атак: на 131% больше, чем в предыдущем квартале (и на 300% в годовом исчислении).
Симптомы атаки и как ее распознать
DDoS-атаки не обладают ярко выраженными симптомами, при наступлении которых мы можем четко сказать: «Смотрите, у нас DDoS-атака». Обычно понижается скорость загрузки сервиса, сайт выдает ошибку 502,503,504, или его невозможно просмотреть, фиксируется повышение спама, необычного контента, возрастает количество одновременных обращений пользователей к одним и тем же ресурсам сайта, проблемы с подключением к сети Интернет, нецелевые посетители и общение на отвлеченные темы и так далее. Также можно мониторить объемы трафика на порты соединений и изменение в сторону роста нагрузки на оперативную память и процессор, которые возрастают в разы.
Симптомы не однозначны и не всегда соответствуют 100% атаке на ваш сайт, сеть, приложение. Однако при их появлении стоит задуматься о безопасности.
Как бороться с DoS и DDoS?
Конечно, перед такой угрозой необходима защита. И против DoS и DDoS-атак есть несколько вариантов обеспечения информационной безопасности:
1. Используйте системы мониторинга сетевого трафика.
Они обеспечат мониторинг источников трафика и зафиксируют аномальные скачки в сети.
2. Брандмауэры.
Брандмауэр – это обратный прокси сервер, который устанавливается физически между сетью Интернет и серверами компании. После установки брандмауэр применяет ко всему входящему трафику комплекс правил, которые заранее установил администратор. Поэтому каждый инцидент, который не соответствует данным установленным требованиям автоматически не принимается.
3. Аудит систем безопасности и, возможно, закупка белого хакерства по DDoS.
Организациям следует регулярно проводить оценку рисков и аудит своих устройств, серверов и сети. Проводить периодическое тестирование сайта по параметру «время отклика», чтобы понимать, что для вас норма, а что уже является превышением и может быть вызвано атакой. Также полезно привлечение белого хакера, который в самое невостребованное время на сайте спровоцирует атаку и подсветит слабые стороны защиты системы безопасности.
4. Используйте ИИ и специализированное программное обеспечение.
Инструменты искусственного интеллекта намного адаптивнее обычного программного обеспечения, так как они имеют возможность самообучаться и действовать с поправкой на самые свежие данные. Нейронный сети используются и в борьбе с DDoS, протестируйте доступные формы для вас. Также не стоит игнорировать ПО и вспомогательные сервисы, которые специализируются на защите от такой формы воздействия. Здесь, пожалуй, самыми известными будут Yandex Smart Web Security и Cloudflare.
5. Маршрутизация черной дыры.
Другой формой защиты является маршрутизация через черную дыру, при которой сетевой администратор (или интернет-провайдер организации) создает маршрут через черную дыру и направляет туда трафик. При использовании этой стратегии весь трафик, как хороший, так и плохой, направляется на нулевой маршрут и фактически удаляется из сети. Это может быть довольно экстремально, поскольку законный трафик также останавливается и может привести к потере бизнеса.