Profundizarea în Securitatea Cibernetică: Totul Despre Atacurile DDoS

Cum Funcționează un Atac DDoS?

Atacurile DDoS folosesc „botnet-uri” pentru a trimite mai multe cereri simultane serverelor companiei-țintă, în încercarea de a le coplesi.

Un botnet este practic o rețea de dispozitive „zombie” (calculatoare, dispozitive mobile, laptop-uri, etc.) controlate de „botmaster” (hacker) după ce le-a infectat cu malware.

Aceste dispozitive individuale infectate sunt numite „bots”, iar botmasterul le poate controla cu ușurință de la distanță.

După ce botmasterul infectează suficiente dispozitive pentru a lansa un atac DDoS, el trimite instrucțiuni specifice fiecărei dispozitive, iar atacul poate începe.

Iată cum se întâmplă totul:

• Hackerul infiltrează 2.000 de dispozitive ale unor persoane aleatoare care nu sunt conștiente de acest lucru
• Hackerul creează un botnet din acele 2.000 de dispozitive instalând un malware de control în fiecare
• Hackerul selectează o țintă pentru atac
• Hackerul trimite instrucțiuni specifice fiecărei dispozitive din botnet pentru a accesa adresa IP a companiei simultan
• Serverele țintei primesc 2.000 de cereri simultane și se prăbușesc din cauza incapacității de a gestiona atât de multe cereri în același timp

Un atac DDoS notoriu a fost lansat împotriva Dyn în octombrie 2016. Dyn controla cea mai mare parte a infrastructurii DNS a internetului, așa că atacul a afectat site-uri precum Netflix, Twitter, Reddit, CNN și altele din Europa și SUA.
Botnet-ul utilizat în atacul Dyn este estimat la 100.000 de dispozitive, constând în dispozitive IoT (Internet of Things) precum camere digitale și playere DVR.

Puterea totală a atacului botnet-ului a fost estimată la aproximativ 1.2Tbps (terabytes pe secundă), ceea ce este de două ori mai puternic decât orice alt atac DDoS din istorie.

Tipuri de Atacuri DDoS

Există trei tipuri de atacuri DDoS:

• Atacuri la Nivel de Aplicație
• Atacuri de Protocol
• Atacuri Volumetrice

Toate cele trei tipuri de atacuri DDoS vor perturba și coplesi serverele țintei, dar mijloacele de realizare sunt diferite.
În plus, toate atacurile DDoS vor manipula conectivitatea rețelei într-o anumită măsură. Pentru a vă ajuta să înțelegeți cum funcționează conexiunile de rețea, iată un Model OSI util.

[Caption id=”attachment_44456″ align=”alignnone” width=”1024″] https://www.cloudflare.com/learning/ddos/glossary/open-systems-interconnection-model-osi/[/caption]

Prin urmare, o conexiune de rețea are șapte straturi, iar atacurile DDoS manipulează unele dintre aceste straturi pentru a coplesi serverele.

Să aruncăm o privire mai atentă la cele trei tipuri de atacuri DDoS!

1. Atacuri la Nivel de Aplicație

[Caption id=”attachment_44457″ align=”alignnone” width=”1024″] https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/[/caption]
Atacurile DDoS la Nivel de Aplicație sunt cunoscute și sub numele de atacuri de Nivel 7, deoarece manipulează al 7-lea strat din Modelul OSI de mai sus (Nivelul de Aplicație).

Scopul unui atac DDoS la Nivel de Aplicație este să epuizeze resursele unui server, astfel încât acesta să se prăbușească în cele din urmă din cauza resurselor insuficiente.

De aceea, puterea atacului la Nivel de Aplicație este măsurată în RPS sau cereri pe secundă.

Ținta acestui atac este partea HTTP a unui server, mai precis paginile web pe care serverul le generează și le livrează ca răspuns la cererile HTTP trimise de client.

Actul simplu de încărcare a unei pagini web pare simplu pentru client, dar este un proces complex pentru server. Asta pentru că trebuie să încarce mai multe fișiere, să acceseze baze de date, să ruleze interogări și apoi să creeze pagina web.

Exemple de Atacuri la Nivel de Aplicație:

• Instruirea botnetului să deschidă aceeași pagină web simultan, efectuând multiple cereri HTTP către server
• Instruirea botnetului să reîmprospăteze aceeași pagină web de mai multe ori simultan

Cu atâtea cereri HTTP pentru a încărca o pagină web, capacitatea computatională a serverului poate fi coplesită. Nu are resursele necesare pentru a satisface toate cererile HTTP simultan, astfel că se prăbușește.
Acesta este modul în care funcționează un atac de tip denegare a serviciului prin intermediul unui atac DDoS la Nivel de Aplicație!

2. Atacuri de Protocol

[Caption id=”attachment_44458″ align=”alignnone” width=”1024″] cloudflare.com/learning/ddos/what-is-a-ddos-attack/[/caption]
Atacurile DDoS de Protocol manipulează al 3-lea și al 4-lea straturi ale Modelului OSI de rețea de mai sus (Nivelul de Rețea și Nivelul de Transport).

Aceste atacuri sunt măsurate în pachete pe secundă și vizează resurse specifice precum echilibratoarele de încărcare, firewall-urile, ruterele și alte resurse.

Cu toate acestea, ideea din spatele Atacurilor de Protocol este puțin diferită în comparație cu atacurile la Nivel de Aplicație.

În timp ce atacurile la Nivel de Aplicație se bazează pe cererile HTTP copleșitoare pentru a prăbuși serverul, Atacurile de Protocol exploatează strângerea de mână TCP implicată într-un schimb de informații de tip protocol.

Strângerea de mână TCP se bazează pe trei pași:

• Pachetul SYN trimis de client către server sau resursă
• Pachetul SYN-ACK trimis de server/resursă către client
• Pachetul ACK trimis înapoi de client către server/resursă

Într-un Atac de Protocol, lipsește al treilea pas. Serverul/resursa victimă nu primește pachetul ACK de la client (botnetul hackerului), astfel că nu poate finaliza transferul de date.
Clientul trimite mai multe pachete TCP SYN folosind adrese IP falsificate către server/resursă. Serverul va răspunde la cererile de conectare și va aștepta pachetul ACK pentru a finaliza strângerea de mână, dar acesta nu sosește niciodată.

Astfel, tot mai multe cereri de conectare fără răspuns se acumulează, epuizând resursele serverului/resursei țintă.

3. Atacuri Volumetrice

[Caption id=”attachment_44459″ align=”alignnone” width=”1024″] https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/[/caption]
Atacul Volumetric este cea mai obișnuită formă de atac DDoS și este și ceea ce majoritatea oamenilor se referă (inconștient) atunci când vorbesc despre atacurile DDoS.

Puterea sa de atac este măsurată în biți pe secundă sau gigabiți pe secundă (vezi atacul Dyn), iar scopul său este să coplească un server cu trafic și cereri.

Această abordare de tip forță brută necesită un botnet suficient de mare pentru a epuiza întreaga lățime de bandă a serverului.

Alternativ, hackerii pot folosi amplificarea DNS pentru a obține același rezultat mai ușor. Iată cum funcționează:

• Hackerul trimite mai multe cereri DNS mici folosind adresa IP sursă falsificată a victimei către un server DNS
• Serverul DNS răspunde victimei cu un răspuns DNS mult mai mare decât cel trimis de atacator
• Serveurle victimei sunt în cele din urmă coplesite de cantitatea de trafic primită

Deci, fie prin cereri ale botnetului sau prin amplificarea DNS, Atacul Volumetric este menit să coplească serverul cu cereri.
Diferența între un Atac Volumetric și un Atac la Nivel de Aplicație este că primul este mai complex și necesită acțiuni mai specifice pentru a fi realizat.

Cum Să Identificați un Atac DDoS

Este imposibil să știți când va fi lansat un atac DDoS. Cu toate acestea, există semne de avertizare pe care le puteți identifica atunci când atacul este în desfășurare.

Detectarea unui atac DDoS într-un stadiu incipient vă poate ajuta să-l atenuați mai rapid, evitând greutatea asaltului și negarea serviciului.

Iată câteva moduri în care puteți identifica un atac DDoS:

• O creștere bruscă a traficului web provenind dintr-o singură locație sau adresă IP

Majoritatea atacurilor DDoS se bazează pe botneturi, care sunt dispozitive infectate, de obicei situate în aceeași zonă.
Odată ce botmasterul instruiește botnetul să înceapă un atac DDoS, toate dispozitivele vor începe să trimită cereri constante către serverele dumneavoastră.

Acestea vor apărea ca o creștere bruscă a traficului provenind de la aceleași dispozitive și din aceeași zonă.

• Timp încet în încărcarea paginii web

Dacă observați o încetinire inexplicabilă a site-ului dumneavoastră web, s-ar putea să se datoreze faptului că serverele dumneavoastră sunt inundate cu cereri.
Odată ce sistemul este suprasolicitat, va încetini, ducând la timp de încărcare mai lung. Acesta este adesea primul semn de avertizare pe care oamenii îl observă în timpul unui atac DDoS.

• Serverul răspunde cu o eroare 503

Atunci când un atac DDoS crește traficul serverului, acesta va răspunde adesea cu o eroare 503 indisponibilă, deoarece nu poate gestiona atâtea cereri.
De obicei, această eroare va dispărea odată cu scăderea volumului traficului, dar dacă nu o face, atunci probabil aveți de-a face cu un atac DDoS.

În timpul unui atac DDoS, volumul traficului nu scade niciodată până când hackerul decide să oprească atacul.

• Performanța site-ului și a serviciilor scade pe aceeași rețea

Atacurile DDoS vizează rețeaua de internet a unui server, astfel că orice dispozitiv/serviciu care folosește această rețea va funcționa mai lent.
Aceasta se datorează faptului că lățimea de bandă a rețelei este limitată, iar atacul DDoS consumă întreaga lățime de bandă disponibilă.

Orice serviciu care utilizează rețeaua va încetini sau se va bloca. Adesea, aceste servicii subsidiare arată primii semne de avertizare pentru că sunt mai vulnerabile decât serverele dumneavoastră.

• Creșterea utilizării memoriei sau a CPU-ului pe serverul dumneavoastră

Atacurile DDoS vizează resursele unui server prin creșterea utilizării sale a CPU-ului și a memoriei până la limita colapsului.
Fiți atenți la orice creștere bruscă a utilizării CPU-ului sau a memoriei. Dacă acestea sunt bruste și inexplicabile, atunci s-ar putea să fie un atac DDoS în faza sa inițială.

• Adresele sursă de trafic vor solicita același set de date după expirarea timpului de cerere

Când un client solicită un set de date printr-un server DNS, serverul trebuie să furnizeze acele date într-un interval de timp dat.
În timpul unui atac DDoS, serverul este atât de copleșit de cereri încât nu poate furniza acele seturi de date în timpul alocat. Aici apare o solicitare cu expirare.

Dacă clientul primește o solicitare cu expirare, nu va solicita aceleași date pentru o perioadă de timp, crezând că serverul este în jos.

Cu toate acestea, dacă observați că aceleași adrese sursă de trafic solicită aceleași seturi de date, în ciuda expirării solicitării, este un semn de avertizare.

Traficul autentic nu se comportă astfel. Odată ce primește o solicitare cu expirare, nu va trimite alte cereri pentru o perioadă de timp.

• O creștere bruscă a traficului către o singură pagină sau serviciu

Atunci când lansează un atac DDoS, hackerii se concentrează adesea pe câteva pagini sau servicii și direcționează botnetul către acele pagini.
Deci, dacă observați o creștere bruscă și neobișnuită a traficului către o pagină sau serviciu, ar trebui să ridice un semn de avertizare.

Ținte Comune ale Atacurilor DDoS și Motivații

Deși este adevărat că orice afacere online este o potențială țintă a unui atac DDoS, hackerii se concentrează de obicei pe câteva industrii cheie și segmente de piață.

În primul rând, să vă vorbesc despre cele mai comune motivații ale atacurilor DDoS:

• Motive Ideologice – hacktivismul nu este un fenomen nou și se referă la hackeri care atacă ținte care nu sunt de acord cu ideologia lor

• Șantaj – Aceasta este cea mai comună motivare pentru un atac DDoS, pentru a fura bani de la o țintă sau pentru a fura date valoroase pe care le puteți vinde ulterior cu profit pe Dark Web

• Conflicte în Afaceri – Multe afaceri recurg la atacuri DDoS strategice împotriva competitorilor lor pentru a le face site-urile să se prăbușească și pentru a obține un avantaj

• Război Cibernetic – Atacurile DDoS sunt folosite chiar și de guvernele lumii împotriva țărilor inamice pentru a slăbi infrastructura acestora

• Plictiseală – Cyber-tâlharii, cum îmi place să-i numesc, trimit atacuri DDoS aleatorii către ținte aleatorii fără un scop mai mare în minte. Sunt plictisiți și vor un impuls de adrenalină

• Manifestări – Criminalii cibernetici lansează adesea atacuri DDoS pentru a demonstra eficacitatea scripturilor lor și pentru a încuraja cumpărătorii să achiziționeze serviciile lor

• Răzbunare – Căutarea răzbunării împotriva unui oponent politic, a unui guvern sau a unei companii este foarte obișnuită și este adesea realizată prin atacuri DDoS. Angajații nemulțumiți recurg adesea la acest tip de atac atunci când au un conflict cu angajatorul lor și sunt concediați

• Pregătire pentru un Atac Mai Mare – Mulți hackeri folosesc atacurile DDoS ca preludiu pentru alte atacuri mai sofisticate sau mai insidioase. Scopul este de a slăbi rețeaua țintei și apoi de a o infiltra cu un atac paralel

În ultimii ani, am observat o creștere a atacurilor DDoS care sunt scurte și de înaltă intensitate, ceea ce indică faptul că hackerii devin mai eficienți și mai specifici în ceea ce privește țintele lor.
Acum, că știm despre motivațiile din spatele atacurilor DDoS, să aruncăm o privire asupra celor mai comune ținte până în 2023:

1. Sectorul Software și Tehnologie

Conform unui sondaj realizat de AtlasVPN în iunie 2021, 65% dintre toate organizațiile vizate de atacuri DDoS se aflau în SUA și UK, iar 83% dintre ele aparțineau sectoarelor de Internet și Calculatoare.

Companiile de tehnologie bazate pe SaaS și cloud, precum și alte organizații bazate pe tehnologie, sunt cele mai frecvente ținte ale atacurilor DDoS din întreaga lume.

Atacurile de reflexie și amplificare DNS și NTP au fost cele mai utilizate vectori de atac, cu o utilizare de 33% și 26%, în timp ce atacurile SYN floods și UDP floods au reprezentat 22% și 27% din atacuri.

Motivul pentru care sectorul tehnologic este ținta preferată a atacurilor DDoS este interconectivitatea industriei.

Companiile tech includ furnizori de hosting, furnizori de servicii de internet, SaaS și companii bazate pe cloud utilizate de o multitudine de alte companii și servicii.

Atacarea furnizorilor de servicii va afecta automat și clienții downstream, într-o reacție în lanț de proporții în creștere.

2. Sectorul Financiar

Sectorul financiar este a doua cea mai vizată industrie de atacurile DDoS din întreaga lume. Motivul pentru aceasta este simplu – bani.
Băncile, agențiile de împrumut, companiile de credit și toate organizațiile legate de bani sunt ținte principale pentru hackeri datorită profiturilor potențiale implicate.

De multe ori, atacurile DDoS asupra companiilor financiare sunt urmate de alte atacuri, cum ar fi atacuri de tip ransomware, malware sau phishing.

Platformele de criptomonede au înregistrat o creștere masivă a atacurilor DDOS de 600%, cu o creștere de 15% în atacurile DDoS HHTP.

De asemenea, a crescut și complexitatea atacurilor DDoS lansate împotriva companiilor de criptomonede, probabil din cauza măsurilor tot mai avansate de securitate cibernetică pe care le utilizează.

3. Sectorul Serviciilor de Informații

Sectorul de informații include orice companii sau organizații care agregă informații într-un fel sau altul.
Aceste companii produc sau procesează informații. Și informația are valoare pe Dark Web, așa cum știm prea bine.

Nu este o surpriză faptul că acest sector este al treilea cel mai vizat de atacurile DDoS din lume. Odată ce hackerii pun mâna pe adrese IP sau alte date personale, le pot vinde cu profit fără a putea fi urmăriți de autorități.

În plus, cantitatea de informații din lume crește constant, deoarece din ce în ce mai multe persoane folosesc internetul, se dezvoltă mai multe tehnologii și există mai multe modalități de utilizare a internetului.

În mod natural, hackerii vor intensifica și mai mult focusul asupra acestei industrii în viitorul previzibil.

4. Sectorul Jocurilor

Akamai Technologies, care este cea mai reputată companie de securitate cibernetică și cloud computing din lume, a raportat în 2022 că atacurile DDoS asupra industriei de jocuri s-au dublat în ultimul an.
Raportul susține că industria de jocuri este ținta a 37% din toate atacurile DDoS. Acest lucru se datorează probabil trecerii la jocurile bazate pe cloud, care creează noi vectori de atac pentru atacatori.

Microtranzacțiile au devenit, de asemenea, mai populare, ceea ce reprezintă o țintă foarte atractivă pentru hackeri.

Jonathan Singer, Strategist Senior la Akamai, a raportat că „Pe măsură ce activitatea de jocuri a crescut și s-a dezvoltat, a crescut și valoarea de a o perturba prin atacuri cibernetice. De asemenea, cu extinderea industriei către jocurile bazate pe cloud, s-au deschis noi suprafețe de amenințare pentru atacatori, aducând noi jucători care sunt ținte de bază pentru actorii răi.”

Industria de jocuri este, de asemenea, populată de audiențe mai tinere, care sunt mai puțin conștiente de riscurile de securitate cibernetică și sunt ușor manipulabile.

Cum se ascund atacatorii DDoS?

Pentru a se asigura că atacurile lor sunt cât mai eficiente posibil, hackerii vor încerca să evite detectarea și să-și ascundă urmele atunci când lansează un atac DDoS.

Iată cum procedează:

1. Spoofing

Conform Forcepoint, „Spoofing este actul de a disimula o comunicare provenită de la o sursă necunoscută ca fiind de la o sursă cunoscută și de încredere”.
Hackerii DDoS vor falsifica adresele sursă și destinație prin rețelele IPv4, care sunt mai vulnerabile decât IPv6.

Actorii răi vor crea pachete cu adrese sursă fictive, permițându-le să manipuleze dispozitivele legitime să răspundă acestor pachete în bună credință.

Hackerii vor trimite milioane de răspunsuri către gazda victimă, chiar dacă dispozitivul gazdă nu a cerut aceste răspunsuri.

Asta pentru că răspunsurile par legitime datorită adreselor sursă și destinație falsificate.

Aceasta este ideea de bază.

2. Reflexie

Atacatorii DDoS vor folosi mai multe servere (DNS, NTP sau SNMP) pentru a-și ascunde identitatea față de victimă.
Serviciile de internet precum Sistemul de Nume de Domeniu și Managementul Simplu de Rețea au făcut dificilă identificarea originii atacului sau a identității atacatorilor pentru victime.

Asta pentru că aceste servere nu păstrează înregistrări despre serviciile pe care oamenii le folosesc pe aceste servere.

Această politică fără jurnale este în general o chestie bună, deoarece nu vrei ca cineva să țină evidența activităților tale online.

Dar acest lucru înseamnă și că hackerii au mai multă libertate în scala atacurilor pe care le efectuează datorită ușurinței de a rămâne anonimi.

3. Amplificare

Am menționat amplificarea anterior ca factorul determinant în atacurile Volumetrice. Ceea ce nu am spus este că amplificarea este și eficientă în ascunderea urmelor atacatorului.
Hackerul nu trimite un pachet direct către victimă, ci mai degrabă „convinge” un serviciu legitim să trimită sute și mii de răspunsuri către rețeaua/serviciul victimei.

Este o metodă de atac indirectă care menține hackerul anonim în tot acest timp.

Cât durează atacurile DDoS?

Conform unui raport SecureList din 2019, 81.86% dintre atacurile DDoS au durat mai puțin de 4 ore.

Este foarte neobișnuit ca un atac DDoS să dureze mai mult de câteva ore, dar au existat cazuri în care atacurile au durat mai multe zile.

Cel mai mare atac DDoS înregistrat vreodată a durat 509 ore (aproape 21 de zile), și s-a întâmplat în 2019, conform raportului Kaspersky.

Să vă arăt distribuția atacurilor DDoS în funcție de durată în T3 și T4 2019, dintr-un studiu SecureList:

Se pare că a existat o creștere a duratei atacurilor DDoS de la T3 la T4 2019. Numărul atacurilor DDoS cu o durată mai mică sau egală cu 4 ore a scăzut cu aproximativ 3%.

Atacurile DDoS cu durate mai mari au crescut. Același raport menționează că în T4 2019, au avut loc trei atacuri DDoS care au durat mai mult de 20 de zile, în timp ce în T3 2019, nici măcar un atac nu a durat mai mult de 12 ore.

Iată același raport pentru T2-T3 2022:

Se pare că în 2022, atacurile DDoS au scăzut ca durată, cu aproape 95% dintre ele fiind mai scurte de patru ore în T3 2022.
Mai puțin de 0.01% din toate atacurile DDoS din 2022 au o durată egală sau mai mare de 140 de ore, și aproape aceeași situație se aplică și pentru atacurile DDoS care au durat între 100 și 139 de ore.

Cu toate acestea, asta nu înseamnă neapărat vești bune. Deși durata atacurilor DDoS a scăzut, numărul lor a crescut.

Geografia Atacurilor DDoS

Atacurile DDoS nu sunt aleatoare, din perspectiva geografică. Ele vizează anumite țări deoarece acolo se află cele mai mari profituri.

Să aruncăm o privire la care țări au fost cele mai vizate de atacurile DDoS în T2 2022 și T3 2022:

Cele mai multe atacuri DDoS vizează Statele Unite (39.60% în T3 2022), dar a avut loc o scădere de 6% în atacurile asupra Statelor Unite între T2 și T3 2022.

În schimb, atacurile îndreptate împotriva Chinei continentale s-au aproape dublat, semnificând o schimbare în interesele actorilor amenințărilor, poate.

Acum, să vă arăt distribuția țintelor unice ale atacurilor DDoS după țară în T2 – T3 2022:

Statele Unite rămân în fruntea listei în ceea ce privește țintele unice ale atacurilor DDoS, dar statistica arată o perspectivă pozitivă între T2 și T3 2022.
China înregistrează aceeași creștere semnificativă a țintelor unice precum a făcut-o și în totalul atacurilor, ceea ce constituie o distincție importantă.

Mai multe afaceri cu sediul în China au fost lovite de atacurile DDoS în loc să fie direcționate mai multe atacuri DDoS împotriva acelorași ținte.

DDoS vs. Atacuri DoS - Distincții Importante

Atacurile DDoS și cele DoS nu sunt la fel. În timp ce scopul final rămâne același – inundarea serverului victimei cu trafic pentru a-l suprasolicita – metodele utilizate sunt diferite.

În timp ce atacurile DDoS se bazează pe mai multe computere care inundă o resursă țintă unică, atacurile DoS sunt unu-la-unu, ceea ce înseamnă că un singur sistem atacă alt sistem.

Practic, atacurile DDoS sunt multe la unu, în timp ce atacurile DoS sunt unu-la-unu.

Există și alte diferențe cheie între cele două, însă:

• Ușurința detectării și contracarării – Atacurile DoS sunt mai ușor de detectat și protejat împotriva lor, deoarece provin de la o singură sursă. Atacurile DDoS sunt distribuite între mai multe surse, ceea ce le face mai greu de detectat sau contracarat
• Viteza atacului – Atacurile DoS sunt mai lente decât cele DDoS deoarece este mai rapid să lansezi un atac din mai multe surse. Viteza mai mare a atacului face ca detectarea și contracararea să fie mai dificile, de asemenea
• Volumul traficului – Atacurile DDoS pot trimite mult mai mult trafic către serverul victimei, deoarece folosesc mai multe dispozitive pentru a trimite trafic simultan. Atacurile DoS folosesc o singură mașină care poate trimite trafic limitat, făcând aceste atacuri mai puțin eficiente
• Scara de daune provocate – Cu cât se trimite mai mult trafic odată, cu atât un atac DDoS este mai eficient. Și deoarece atacurile DDoS trimit mai mult trafic, acest lucru le face mai distructive și mai greu de contracarat decât atacurile DoS
• Metoda de executare – Atacurile DoS folosesc un script sau o unealtă pentru a lansa atacul de pe o singură dispozitiv. Atacurile DDoS coordonează mai multe roboți (dispozitive infectate), creând un botnet pe care hackerul îl controlează printr-un centru de comandă și control. Prin urmare, atacurile DDoS sunt mai intricate în desfășurare
• Ușurința urmăririi sursei atacului – Atacurile DDoS sunt mult mai greu de urmărit din cauza botnetului (mai multe dispozitive) folosit în atac. Atacurile DoS folosesc o singură dispozitiv, ceea ce le face mult mai ușor de urmărit

Este destul de clar că atacurile DDoS sunt forma mai puternică și mai periculoasă a atacurilor DoS. Acestea necesită mai multe resurse și cunoștințe tehnice mai avansate, dar au capacități de atac superioare.

Impactul Atacurilor DDoS

Atacurile DDoS pot avea un impact semnificativ asupra productivității și performanței unei companii în mai multe moduri, inclusiv:

• Pierderea Veniturilor

Când o companie este lovita de un atac DDoS, va apărea o perioadă de indisponibilitate, angajații nu vor putea accesa anumite servicii, iar producția se va opri complet.
O perioadă de indisponibilitate totală poate însemna zeci de mii de dolari pierduți pentru companiile din sectorul financiar, de exemplu, dar orice companie care oferă un serviciu online va pierde venituri, în esență.

Conform unui raport Statista publicat în 2019, 25% dintre întreprinderile globale pierdeau între 301.000 și 400.000 de dolari pe oră de inactivitate în 2020.

Și 17% dintre toate întreprinderile pierdeau mai mult de 5 milioane de dolari pe oră de inactivitate, ceea ce este o sumă uluitoare.

• Pierderea Productivității

Chiar dacă producția nu se oprește complet în timpul unui atac DDoS, productivitatea va fi totuși afectată negativ.
Dacă anumite aplicații sau servicii devin inaccesibile, angajații nu vor putea lucra eficient, deci va exista totuși o anumită perioadă de indisponibilitate.

Proprietarii de afaceri ar putea lua în considerare costul pe oră al timpului pierdut de angajați în cazul în care apare un atac DDoS.

• Costurile de Remediere a Daunelor

Atunci când un atac DDoS lovește, cauzează aproape întotdeauna daune sistemelor, serviciilor și afectează performanța. Recuperarea sistemului, costurile de muncă, costurile suplimentare, angajarea de consultanți externi pentru evaluarea daunelor DDoS, toate acestea sunt costuri de remediere a daunelor.
Urmările unui atac DDoS pot, de fapt, afecta mai mult decât departamentul IT și sistemele. Poate afecta relațiile publice, echipele de suport pentru a răspunde reclamațiilor clienților și alte sisteme corelate.

• Daune de Reputație

Multe companii și industrii (Sănătate, Găzduire, Finanțe, etc.) vor suferi daune la reputație când sunt lovite de un atac DDoS. Publicul va pierde încrederea în capacitatea companiei de a-și proteja datele personale și de a oferi servicii de calitate constantă.
Astfel de servicii trebuie să fie disponibile în mod constant, altfel clienții vor lăsa recenzii negative și vor răspândi vestea pe rețelele de socializare, prejudiciind reputația companiei.

Atacurile DDoS creează o perioadă de inactivitate de câteva ore până la câteva zile, dacă atacul este deosebit de sever. Dacă se întâmplă destul de des, va lăsa reputația companiei în ruine.

• Daune la Cota de Piață

Companiile publice trebuie, de asemenea, să-și mențină cota de piață pentru a rămâne atractive pentru investitori și a-și păstra acționarii mulțumiți. Inactivitatea constantă din cauza atacurilor DDoS va afecta cu siguranță acea cota de piață.

• Costurile Potențiale de Răscumpărare

Deși ransomware-ul este diferit de DDoS, hackerii au început să combine ambele tipuri de atacuri în ultimii ani.
Ei lansează mai întâi un atac DDoS și cer o răscumpărare în schimbul opirii atacului DDoS și a restaurării funcționalității companiei.

Sau mai întâi trimit o cerere de răscumpărare și amenință că vor lansa un atac DDoS dacă nu primesc plata.

Atacurile DDoS pot fi foarte distructive, în funcție de sistemul de securitate al victimei, industrie, sofisticarea atacului și alte factori.

De la pierderi de productivitate la scăderi ale cotei de piață și daune uriașe la reputație, companiile lovite de atacurile DDoS au mult de făcut pentru a se recupera.

Cyber-asigurare ar ajuta să se reducă majoritatea acestor probleme, acoperind majoritatea acestor costuri. Cu siguranță merită să fie luate în considerare pentru companiile care activează în industrii cu risc ridicat.

Cum să previi un atac DDoS în 6 pași

Deși atacurile DDoS apar în mod neașteptat, există modalități de a te proteja împotriva lor înainte să lovească.

Hai să-ți dau un rezumat al acestor 6 metode de prevenire:

1. Redu suprafața de atac

Atacurile DDoS sunt mai devastatoare cu cât suprafața de atac este mai mare. Prin urmare, limitarea suprafeței de atac va atenua cea mai mare parte a impactului unui asalt DDoS asupra serverelor tale. De asemenea, îți permite să implementezi măsuri de securitate mai eficient datorită segmentării rețelei.
Ar trebui să minimizezi punctele potențiale de atac prin a nu-ți expune resursele la aplicații necunoscute sau învechite, protocoale sau porturi.

De asemenea, ar trebui să folosești balanțiere de încărcare, rețele de distribuție a conținutului și liste de control al accesului (sau firewalls) pentru a controla traficul care ajunge la serverul și aplicațiile tale.

2. Obține redundanță la nivel de rețea

Atacurile DDoS funcționează prin supraîncărcarea capacității rețelei tale cu volume mari de trafic. Prin urmare, dacă ai multă conectivitate la internet neutilizată și redundantă, atacurile DDoS nu vor funcționa.
Creșterea capacității de bandă (tranzit) și a capacității serverului va îmbunătăți semnificativ șansele tale de a evita un atac DDoS.

Providerul tău de găzduire gestionează capacitatea ta de bandă, așa că vorbește cu ei și cere mai multă conectivitate la internet redundantă.

În ceea ce privește capacitatea serverului, ar trebui să folosești rețele extinse și interfețe de rețea extinse care permit utilizarea unor volume mai mari de resurse odată.

Balanțierele de încărcare (menționate mai sus) sunt o altă soluție excelentă pentru a monitoriza și redistribui încărcăturile de resurse în mod transparent pentru a evita supraîncărcarea unui sistem în particular.

3. Monitorizarea activă a amenințărilor

Nu există scăpare de la o atitudine proactivă când vine vorba de prevenirea atacurilor DDoS. Ar trebui să folosești monitorizarea constantă a jurnalelor pentru a identifica orice modele ciudate de trafic în stadiul incipient.
Creșteri ciudate de trafic, activități de rețea neobișnuite, cereri sau blocări IP anormale, toate acestea pot fi identificate în prealabil.

Având mai mult timp pentru a te pregăti înainte ca un atac DDoS să înceapă face diferența între o perturbare totală și o reducere controlată a daunelor.

4. Folosește o rețea de livrare a conținutului

Memorarea resurselor cu ajutorul unei rețele de livrare a conținutului va reduce numărul de cereri către serverul de origine. Acest lucru va reduce șansa de suprasolicitare în timpul unui atac DDoS.
Această strategie este adesea neglijată de webmasteri și proprietarii de afaceri, dar este o soluție simplă care te va duce departe în prevenirea atacurilor DDoS.

5. Limitarea ratei

Cu Limitarea Ratei, poți limita cantitatea de trafic de rețea care trece prin rețeaua ta pentru o anumită perioadă de timp.
Serverele web vor fi mai rezistente la atacurile DDoS și la solicitări masive de la anumite adrese IP specifice. Limitarea ratei este deosebit de utilă împotriva botneturilor care vor trimite solicitări simultane către un punct final specific.

6. Treci în cloud

Deplasarea afacerii tale în cloud va reduce în mare parte atacurile DDoS, deoarece cloud-ul are mai multă lățime de bandă la dispoziție. Nu mai depinzi de resursele locale limitate, ci de cele bazate în cloud, care pot fi mult mai mari.
Un furnizor de găzduire bazat în cloud, cum ar fi CloudFlare, poate reduce semnificativ riscul atacurilor DDoS prin sistemele lor. De obicei, aceste companii au și protecție împotriva DDoS.

Aceste șase metode de prevenire ar trebui să te ajute să eviți majoritatea atacurilor DDoS înainte ca acestea să aibă șansa de a afecta afacerea ta.

Ca întotdeauna, precauția și prevenirea sunt cheia pentru a supraviețui în orice industrie online!

Cum să răspunzi la un atac DDoS

Am văzut deja cât de distructive pot fi atacurile DDoS și am vorbit despre metodele de prevenire.

Dar ce faci dacă, în ciuda eforturilor tale, serverele tale totuși sunt lovite de un atac cibernetic sofisticat DDoS? Cum răspunzi în cel mai eficient mod posibil?

Asta sunt aici să explic. Iată cele 4 metode de răspuns cele mai eficiente atunci când ești lovit de un atac DDoS:

1. Urmează procedurile stabilite

Când un atac DDoS lovește serverele, fiecare membru relevant al echipei ar trebui să urmeze procedurile stabilite:

• Cine primește notificarea DDoS?

Ar trebui să existe un manager de securitate responsabil de formularea planului de răspuns și coordonarea tuturor celorlalți în combaterea atacului DDoS.
Cine observă atacul DDoS ar trebui să notifice managerul de securitate sau pe cineva responsabil de combaterea atacului DDoS.

• Verifică atacul DDoS

Următorul pas este să determini dacă criza actuală este într-adevăr un atac DDoS sau doar un flux neobișnuit de trafic într-un moment de afaceri aglomerat.
Orice proceduri de escaladare vor fi suspendate înainte ca această determinare să fie făcută de cineva cu cunoștințe suficiente despre securitate cibernetică.

• Implementează procedurile de escaladare

Odată ce ai determinat că te confrunți cu un atac DDoS, ar trebui să implementezi procedurile de escaladare.
De exemplu, poți redirecționa traficul către centrele de curățare, poți implementa limitarea ratei și filtrarea traficului pentru a atenua impactul.

Următorul pas este identificarea adreselor IP atacante și blocarea lor pentru a opri atacul DDoS.

În cele din urmă, restabilește operațiunile rețelei tale după ce ai oprit complet atacul DDoS și învață din experiență.

2. Implementează limitarea ratei

Potrivit Imperva, „Limitarea ratei este o tehnică pentru a limita traficul de rețea pentru a preveni epuizarea resurselor sistemului„.
Este una dintre cele mai bune metode de atenuare împotriva atacurilor DoS și DDoS, iar multe API-uri o vor avea implementată în mod implicit.

Odată ce API-ul detectează că un client face prea multe apeluri și trimite prea multe cereri, îl va limita sau bloca temporar.

Există trei tipuri de limite de rată:

• Limite de rată pentru utilizator – urmărește adresa IP a utilizatorului și o blochează dacă face prea multe cereri într-un anumit interval de timp. Acesta este cel mai utilizat metodă de limitare a ratei în industrie
• Limite de rată geografică – urmărește locația geografică a utilizatorilor și le setează o limită de rată. Aceasta este utilă în special atunci când ai date comportamentale pentru utilizatori într-o anumită regiune și știi când sunt cei mai activi sau cei mai puțin activi
• Limite de rată pentru server – poți seta limite de rată specifice pentru oricare server dat, dacă știi că unele servere vor fi utilizate mai des

Limitarea ratei acționează atât ca procedură de prevenire, cât și de atenuare a atacurilor DDoS, deoarece odată ce atacul DDoS începe, poți schimba protocoalele de limitare a ratei în funcție de condițiile actuale ale atacului.

3. Adaugă noi servere pentru a atenua suprasolicitarea

Odată ce ești lovit de un atac DDOS, nu ai prea mult timp să acționezi. Unul dintre primele lucruri pe care ar trebui să le faci este să adaugi noi servere pentru a distribui încărcătura de trafic.
Acest lucru va reduce șansele ca un server să fie suprasolicitat și să închidă sistemele. De aceea ar trebui să ai deja redundanță la nivel de rețea și servere de rezervă pe care nu le folosești.

Deși acest lucru nu oprește atacul DDoS, îți menține sistemul și te menține operațional până poți bloca adresele IP invadatoare.

4. Migrează la o nouă adresă IP

O altă soluție (temporară) pentru un atac DDoS este să migrezi traficul legitim la o altă adresă IP pentru a păstra funcționalitatea afacerii și a evita o închidere completă.
Acesta este un proces ieftin care îți va oferi timp pentru alte metode de atenuare mai pe termen lung.

Atacatorii vor găsi în cele din urmă noua adresă IP și vor începe să o suprasolicite cu cereri, deci nu te aștepta să dureze mult această scurtă pauză.

Migrarea la o nouă adresă IP poate fi, de asemenea, dificilă din perspectivă organizațională. Va trebui să faci unele schimbări interne pentru a adapta resursele mutate la noua adresă IP.

Concluzie

Atacurile DDoS sunt printre cele mai comune atacuri cibernetice în 2023, și au devenit o amenințare mai mare decât suntem dispși să recunoaștem.

Mai multe companii sunt vizate de atacuri DDoS ca niciodată înainte, iar hackerii devin tot mai sofisticați.

Securitatea cibernetică are o șansă de luptă, dar trebuie să fie implementată corect. Nu mai sunt permise erori, tăierea colțurilor sau speranța că totul va fi bine!

Conștientizarea securității trebuie să fie prioritatea principală pentru orice companie online, indiferent de industrie.

Angajații trebuie să poată identifica cu precizie semnele de avertizare ale atacurilor DDoS și să acționeze în consecință pentru a le atenua eficient.

În orice caz, companiile trebuie să-și schimbe modul de abordare dacă speră să rămână la suprafață în ecosistemul actual. Criminalitatea cibernetică este la un nivel record și securitatea cibernetică nu mai este o opțiune, ci o necesitate!

Concluzie

The Guardian – Atacul DDoS care a perturbat Internetul a fost cel mai mare de acest fel din istorie, spun experții
CloudFlare – Ce este Modelul OSI?
GeeksForGeeks – Modelul de Handshake TCP 3-Way
eSecurityPlanet – Cum să afli dacă ai fost supus unui atac DDoS: 5 semne ale unui atac DDoS
Imperva – Atacuri DDoS
PropertyCasualty360 – Cele 5 Industrii Cele Mai Vizate de Atacurile DDoS
AtlasVPN – 65% din Toate Atacurile DDoS Vizează SUA și UK
Blog Cloudflare – Raportul de Amenințări DDoS pentru al doilea trimestru din 2023
Akamai – Cercetarea Akamai arată că atacurile asupra companiilor de jocuri s-au dublat față de anul trecut
Comptia – Ce Este un Atac DDoS și Cum Funcționează?
ForcePoint – Ce Este Spoofing-ul?
SecureList – Atacuri DDoS în T4 2019
Kasperski – Atacurile DDoS au Crescut cu 18% în al Doilea Trimestru Comparativ cu 2018
SecureList – Atacurile DDoS în T3 2022
Fortinet – Atacul DoS vs. Atacul DDoS
Corero – Impactul Distructiv al Atacurilor DDoS
Statista – Costul Mediu pe Oră al Downtime-ului Serverelor Enterprise la Nivel Global în 2019
Privacy Affairs – Ce Este Asigurarea Cyber și Cum Afectează Criminalitatea Cibernetică?
Cloudflare – Cum să Previi Atacurile DDoS | Metode și Instrumente
SecurityScoreCard – Beneficiile Monitorizării Continue a Conformității în Cloud
Red Button – Cum să Identifici și Să Răspunzi la un Atac de Rețea DDoS
Imperva – Limitarea Ratei