Ataki typu DDoS (distributed denial of service), czyli ataki rozproszone, z wielu miejsc jednocześnie, stają się coraz większym problemem dla firm, które znaczną część swojej działalności prowadzą online. Dlatego niezwykle istotną kwestią jest zdobycie informacji o tym, czym jest atak DDoS i jak go powstrzymać.

Każdy atak DDoS ma na celu zatrzymanie działań biznesowych poprzez niedostępność strony, sklepu lub serwisu. Oznacza to nie tylko utratę przychodów i potencjalnych klientów, ale także reputacji. Z tego względu najważniejszą wartością dodaną ochrony przed atakiem DDoS jest nie tylko jego powstrzymanie, ale przede wszystkim utrzymanie dostępności chronionych obiektów (Business Continuity).

W dobie wysokiej dostępności usług typu "DDoS as a service", lub inaczej “na żądanie”, kiedy firmy z „ciemnej strony Internetu” są gotowe wykonać zlecenie za odpowiednią, niewielką opłatą (stawki rozpoczynają się już od kilkunastu USD za godzinę), możemy mówić o sytuacji, w której dzielimy rynek na tych, którzy byli, są lub będą zaatakowani.

Atak DDoS inicjowany jest przez wysyłanie wielu zapytań, a tym samym przewymiarowanego ruchu, do konkretnego serwera lub hosta, co prowadzi do przekroczenia dostępnej przepustowości i zasobów. W efekcie klienci nie mają dostępu do usług internetowych, a w skrajnych sytuacjach, elementy infrastruktury IT jak serwery, czy routery brzegowe mogą ulec awarii lub zniszczeniu.

Szczególnie zagrożone atakami DDoS są usługi i platformy internetowe, ponieważ cyberprzestępcy mogą atakować usługi o kluczowym znaczeniu, zalewając sieć fikcyjnym ruchem. Ataki DDoS są dość często skierowane przeciwko dużym firmom oraz bankom. Mogą również być przyczyną utraty wiarygodności firmy, jeśli użytkownicy nie wiedzą, dlaczego strona internetowa, sklep lub usługa nie działa. Z tych powodów poznanie sposobów na powstrzymywanie i zapobieganie atakom DDoS jest kluczowe dla działania wielu firm .
 

Istnieje kilka rodzajów ataków DDoS:

 

Ataki wolumetryczne

Jest to najczęstszy rodzaj ataku DDoS, polegający na wysyłaniu dużej ilości danych na określony adres IP. Atak DDoS przeciąża sieć, wysyłając ogromną liczbę fałszywych żądań do każdego dostępnego portu. Skutkiem jest to, że atakowany serwis nie jest w stanie obsługiwać zapytań prawdziwych klientów.

Ataki na poziomie aplikacji

Atak DDoS ukierunkowany na aplikacje, z których korzystają użytkownicy, działający bezpośrednio na ruch internetowy, atakując protokoły HTTP, HTTPS, DNS lub SMTP. Ten rodzaju ataku może być trudny do wychwycenia i powstrzymania, ponieważ doskonale naśladuje standardowy ruch w sieci. Powszechnie używane systemy monitorujące nie zauważą ataku (ruchu wysycającego wydajność aplikacji), ponieważ ruch aplikacyjny nie stanowi 100% całego ruchu w sieci.
 

Ataki na poziomie protokołu

Ataki na protokół oznaczają, że atakowane są części sieci, które służą do weryfikowania połączeń. Cyberprzestępcy wysyłają wolne lub zniekształcone sygnały ping, przez co sieć zużywa dużo zasobów, próbując je zweryfikować. Ten rodzaj DDoS może również atakować zapory ogniowe, wysyłając duże ilości celowo zniekształconych danych.

W niektórych atakach DDoS wykorzystywane są wszystkich trzy metody jednocześnie, aby całkowicie przeciążyć sieć i spowodować awarię.

Atak DDoS uderza z reguły bez ostrzeżenia i może wyglądać na wyłączony serwer WWW lub domenę hostingową. Z kolei testy serwera mogą wskazywać po prostu na duży ruch, który może wydawać się normalny.
Ponadto, atak DDoS z reguły nie pochodzi z jednego źródła, co utrudnia wyśledzenie konkretnego adresu IP w dziennikach log komputera. Cyberprzestępcy infekują zazwyczaj całe sieci użytkowników - łącząc ich w tzw. "Botnety" i przejmując kontrolę nad ich komputerami osobistymi, telefonami komórkowymi lub urządzeniami IoT.
Następnie przypuszczają atak za pośrednictwem sprzętu zainfekowanego złośliwym oprogramowaniem. Użytkownik, który “atakuje”, najczęściej nie ma świadomości, że jest tzw. “zombie”, a przynależność do "Botnetu" trwa niekiedy bardzo długo, aż do momentu wykrycia i zablokowania komunikacji urządzenia z centrum zarządzania (C&C_Command&Control). Z tego wynika złożoność identyfikacji ataku DDoS, że dane wysyłane są z różnych adresów IP, pomiędzy którymi mogą znajdować się także prawdziwi klienci.
Należy zatem zastanowić się, czy system nie jest celem ataku DDoS w następujących przypadkach:
 

Adres IP wysyła, w powtarzalny sposób, wiele żądań w ciągu kilku sekund lub pojawiają się takie same adresy IP. 

W przypadku zauważenia takich adresów IP, można skierować ruch z tych adresów do tzw. "czarnej dziury", czyli pod adres in­terfejsu odrzucającego (NULL). Pozwala to przekierować ruch ze swoich serwerów. Co jednak, jeśli pomiędzy tymi adresami IP będą znajdować się klienci? Można dodać ich do białej listy, ale to bardzo żmudny proces.
 

Serwer odpowiada błędem 503 

W takim wypadku można zdefiniować reakcję systemu na określone zdarzenie. Może to być np. wysłanie e-maila do administratora.
 

Limit czasu dla zapytań ping

Kontrola odpowiedzi na sygnał ping jest dobrym sposobem pozwalającym stwierdzić, czy z serwerem nie dzieje się coś niedobrego. Dostępnych jest wiele usług automatycznego wysyłania sygnałów ping, takich jak UpTimeRobot, Pingdom, InternetSeer czy Uptrends. Pozwalają one skonfigurować częstotliwość wysyłania sygnałów ping dla dowolnej witryny i zgłosić administratorowi przekroczenie limitu czasu.
 

Dzienniki pokazują ogromny wzrost natężenia ruchu

Do obserwowania ataków DDoS można użyć też usługi Loggly, która analizuje i pokazuje nie tylko skoki ruchu, ale także datę i godzinę ich wystąpienia, serwery źródłowe i błędy użytkownika. Pozwala także lepiej wykorzystać dzienniki i zaprojektować alerty, które mogą, na przykład, wykorzystywać kombinację zdarzeń i skoków ruchu, a następnie eliminować fałszywe alerty.
 

Odpowiedzią na ochronę przed atakiem DDoS jest łącze internetowe z usługą Netia DDoS Protection.
Usługa Netia DDoS Protection:

 

• monitoruje ruch sieciowy,
• powiadamia o zagrożeniach,
• udostępnia raporty i statystyki,
• pozwala przekierować ruch do Centrum Przeciwdziałania atakom DDoS w sieci Netia,
• odfiltrowuje niechciany ruch i przesyła pożądany ruch do sieci klienta.