Netia DDoS Protection - ochrona przed atakami

Ataki typu DDoS (distributed denial of service), czyli ataki rozproszone, z wielu miejsc jednocześnie, stają się coraz większym problemem dla firm, które znaczną część swojej działalności prowadzą on-line. Dlatego niezwykle istotną kwestią jest zdobycie informacji o tym, czym jest atak DDoS i jak go powstrzymać.
Każdy atak DDoS ma na celu zatrzymanie działań biznesowych poprzez niedostępność strony, sklepu lub serwisu. Oznacza to nie tylko utratę przychodów i potencjalnych klientów, ale także reputacji. Z tego względu najważniejszą wartością dodaną ochrony przed atakiem DDoS jest nie tylko jego powstrzymanie, ale przede wszystkim utrzymanie dostępności chronionych obiektów (Business Continuity).
Pamiętajmy też, że w dobie wysokiej dostępności usług typu "DDoS as a service", lub inaczej “na żądanie”, kiedy firmy z “ciemnej strony Internetu” są gotowe wykonać zlecenie za odpowiednią, niewielką opłatą (stawki rozpoczynają się już od kilkunastu USD za godzinę), możemy mówić o sytuacji, w której dzielimy rynek na tych, którzy byli, są lub będą zaatakowani.

Czym jest atak DDoS?

Atak DDoS inicjowany jest przez wysyłanie wielu zapytań, a tym samym przewymiarowanego ruchu, do konkretnego serwera lub hosta, co prowadzi do przekroczenia dostępnej przepustowości i zasobów. W efekcie klienci nie mają dostępu do usług internetowych, a w skrajnych sytuacjach awarii lub zniszczeniu mogą ulec elementy infrastruktury IT, np. serwery, czy routery brzegowe.
Szczególnie zagrożone atakami DDoS są usługi i platformy internetowe, ponieważ cyberprzestępcy mogą atakować usługi o kluczowym znaczeniu, zalewając sieć fikcyjnym ruchem. Ataki DDoS są dość często skierowane przeciwko dużym firmom oraz bankom. Mogą również być przyczyną utraty wiarygodności firmy, jeśli użytkownicy nie wiedzą, dlaczego strona internetowa, sklep lub usługa nie działa. Z tych powodów poznanie sposobów na powstrzymywanie i zapobieganie atakom DDoS jest kluczowe dla działania wielu firm .

Rodzaje ataków DDoS

Istnieje kilka rodzajów ataków DDoS. Są to:
Ataki wolumetryczne Jest to najczęstszy rodzaj ataku DDoS polegający na wysyłaniu dużej ilości danych na określony adres IP. Atak DDoS przeciąża sieć, wysyłając ogromną liczbę fałszywych żądań do każdego dostępnego portu. Oznacza to, że atakowany serwis nie jest w stanie obsługiwać zapytań prawdziwych klientów.

Ataki na poziomie aplikacji

To atak DDoS ukierunkowany na aplikacje, z których korzystają użytkownicy, i działa bezpośrednio na ruch internetowy atakując protokoły HTTP, HTTPS, DNS lub SMTP. Ten rodzaju ataku może być trudny do wychwycenia i powstrzymania, ponieważ doskonale naśladuje standardowy ruch w sieci. Zwłaszcza, gdy powszechnie używane systemy monitorujące nie zauważą ataku (ruchu wysycającego wydajność aplikacji), ponieważ ruch aplikacyjny nie stanowi 100% całego ruchu w sieci.

Ataki na poziomie protokołu

Ataki na protokół oznaczają, że atakowane są części sieci, które służą do weryfikowania połączeń. Cyberprzestępcy wysyłają wolne lub zniekształcone sygnały ping, przez co sieć zużywa dużo zasobów, próbując je zweryfikować. Ten rodzaj DDoS może również atakować zapory ogniowe, wysyłając duże ilości celowo zniekształconych danych.
W niektórych atakach DDoS wykorzystywane są wszystkich trzy metody jednocześnie, aby całkowicie przeciążyć sieć i spowodować awarię.
Jak wykryć atak DDoS Atak DDoS uderza z reguły bez ostrzeżenia i może wyglądać na wyłączony serwer WWW lub domenę hostingową. Z kolei testy serwera mogą wskazywać po prostu na duży ruch, który może wydawać się normalny.
Ponadto, atak DDoS z reguły nie pochodzi z jednego źródła, co utrudnia wyśledzenie konkretnego adresu IP w dziennikach log komputera. Cyberprzestępcy infekują zazwyczaj całe sieci użytkowników - łącząc ich w tzw. "Botnety" i przejmując kontrolę nad ich komputerami osobistymi, telefonami komórkowymi lub urządzeniami IoT - a następnie przypuszczają atak za pośrednictwem sprzętu zainfekowanego złośliwym oprogramowaniem. Użytkownik, który “atakuje”, najczęściej nie ma świadomości, że jest tzw. “zombie”, a przynależność do "Botnetu" trwa niekiedy bardzo długo, aż do momentu wykrycia i zablokowania komunikacji urządzenia z centrum zarządzania (C&C_Command&Control). Stąd właśnie wynika złożoność identyfikacji ataku DDoS, ponieważ dane wysyłane są z różnych adresów IP, pomiędzy którymi mogą znajdować się także prawdziwi klienci.