Атаки типа «отказ в обслуживании» уже двадцать лет являются частью набора инструментов для киберпреступлений, они становятся все более распространенными и сильными.

Distributed Denial of Service-распределенная атака типа «отказ в обслуживании» — это когда злоумышленник или злоумышленники пытаются сделать невозможным работу услуги. Это может быть достигнуто путем блокирования доступа практически ко всему: серверам, устройствам, службам, сетям, приложениям и даже определенным транзакциям внутри приложений. В DoS-атаке это одна система, которая отправляет вредоносные данные или запросы. DDoS-атака происходит от нескольких систем.

Как правило, эти атаки работают путем нагрузки системы запросами. Это может быть отправка веб-серверу такого количества запросов на обслуживание страницы, что он падает, или это может быть база данных, загруженная большим количеством запросов. В результате доступная пропускная способность интернет-канала, ЦП и ОЗУ становятся перегружены. Воздействие может варьироваться от незначительного раздражения и сбоев в обслуживании до отключения от сети целых веб-сайтов, приложений или даже всего бизнеса.

DDoS-атаки могут напоминать многие не злонамеренные вещи, которые вызвают проблемы с доступностью, такие как сбой на сервере или в системе, слишком много законных запросов от законных пользователей или даже перерезанный кабель. Часто чтобы определить, что именно происходит, требуется анализ трафика.

Это была атака, которая навсегда изменила представление об атаках типа «отказ в обслуживании». В начале 2000 года канадский школьник Майкл Кальс, известный как MafiaBoy, ударил Yahoo! с распределенной атакой отказа в обслуживании (DDoS), которая смогла закрыть один из ведущих веб-сайтов того времени. В течение следующей недели Кальс прицеливался и успешно разрушал другие сайты, такие как Amazon, CNN и eBay. Конечно, это была не первая DDoS-атака, но эта публичная и успешная серия атак навсегда превратила их из новизны и незначительных неприятностей в мощных разрушителей бизнеса в умах CISO и ИТ-директоров. С тех пор DDoS-атаки стали слишком частой угрозой, поскольку они обычно используются для мести, вымогательства, в качестве средства онлайн-активности и даже для ведения кибервойн. Они также стали больше с годами. В середине 1990-х годов атака могла состоять из 150 запросов в секунду – и этого было бы достаточно для разрушения многих систем. Сегодня они могут превышать 1000 Гбит/с. Во многом это было вызвано огромным размером современных ботнетов.

В октябре 2016 года поставщик услуг интернет-инфраструктуры Dyn DNS (ныне Oracle DYN) застрял на волне DNS-запросов с десятков миллионов IP-адресов. Эта атака, осуществленная через ботнет Mirai, по сообщениям, заразила более 100 000 устройств IoT, включая IP-камеры и принтеры. На своем пике Mirai достиг 400 000 ботов. Работа многих сервисов, включая такие, как Amazon, Netflix, Reddit, Spotify, Tumblr и Twitter, была нарушена. В начале 2018 года появилась новая технология DDoS. 28 февраля хостинг-сервис контроля версий GitHub подвергся массированной атаке типа «отказ в обслуживании»: на популярный сайт попал трафик в размере 1,35 ТБ в секунду. Несмотря на то что GitHub периодически перебивался в автономном режиме и ему удавалось полностью отразить атаку менее чем через 20 минут, масштаб нападения вызывал беспокойство, поскольку он опережал атаку Dyn, скорость которой достигала 1,2 ТБ в секунду.

Анализ технологии, которая привела к атаке, показал, что она была в некотором смысле проще, чем другие атаки. В то время как атака Dyn была продуктом ботнета Mirai, который требовал вредоносного ПО для заражения тысяч IoT-устройств, атака GitHub использовала серверы, на которых работала система кэширования памяти Memcached, которая может возвращать очень большие порции данных в ответ на простые запросы. Memcached предназначена для использования только на защищенных серверах, работающих во внутренних сетях, и, как правило, имеет мало возможностей для защиты от злоумышленников, подделывающих IP-адреса и отправляющих огромные объемы данных не подозревающим жертвам. К сожалению, тысячи серверов Memcached находятся в открытом интернете, и их использование в DDoS-атаках значительно возросло. Сказать, что серверы похищены, едва ли справедливо, так как они будут с удовольствием отправлять пакеты туда, куда им говорят, не задавая вопросов.

Спустя всего несколько дней после атаки GitHub, еще одна атака DDoS на основе Memecached врезалась в поставщика услуг США с 1,7 ТБ данных в секунду. Ботнет Mirai был важен тем, что, в отличие от большинства DDoS-атак, он использовал уязвимые устройства IoT, а не ПК и серверы. Особенно страшно, если учесть, что к 2020 году, согласно BI Intelligence, будет 34 миллиарда подключенных к интернету устройств, и большинство (24 миллиарда) будут IoT-устройствами. К сожалению, Mirai не станет последним ботнетом с поддержкой IoT. Исследование групп безопасности в Akamai, Cloudflare, Flashpoint, Google, RiskIQ и Team Cymru обнаружило ботнет аналогичного размера, названный WireX, состоящий из 100 000 скомпрометированных устройств Android в 100 странах. Расследование вызвало серию крупных DDoS-атак, нацеленных на поставщиков контента и сети доставки контента.

Хотя объем DDoS-атак сокращается, они все еще представляют собой серьезную угрозу. «Лаборатория Касперского» сообщает, что количество DDoS-атак в 2018 году снижалось каждый квартал, за исключением третьего из-за «аномально активного сентября». В целом в 2018 году активность DDoS снизилась на 13 %. По словам Касперского, недавно обнаруженные ботнеты, такие как Torii и DemonBot, способны запускать атаки DDoS. Torii способен захватить целый ряд устройств IoT и считается более стойким и опасным, чем Mirai. DemonBot захватывает кластеры Hadoop, что дает ему доступ к большей вычислительной мощности. Еще одной тревожной тенденцией является наличие новых платформ запуска DDoS, таких как 0x-booter. Этот DDos-as-a-service использует около 16 000 устройств IoT, зараженных вредоносным ПО Bushido, вариантом Mirai.

Как правило, злоумышленники DDoS используют бот-сети — наборы сетей, зараженных вредоносным ПО, которые находятся под централизованным контролем. Эти зараженные конечные точки обычно представляют собой компьютеры и серверы, но все чаще это IoT и мобильные устройства. Злоумышленники будут использовать эти системы, выявляя уязвимые системы, которые они могут заразить с помощью фишинговых атак, атак с использованием вредоносной рекламы и других методов массового заражения. Все чаще злоумышленники будут брать ботнеты в аренду у тех, кто их создал.

Существует три основных класса атак DDoS. Те, которые используют огромные объемы фиктивного трафика для отключения ресурса, такого как веб-сайт или сервер, включая атаки ICMP, UDP и атаки с использованием поддельных пакетов. Другой класс DDoS-атак использует пакеты для целевой сетевой инфраструктуры и инструментов управления инфраструктурой. Эти протокольные атаки включают, среди прочего, SYN Floods и Smurf DDoS. Наконец, некоторые DDoS-атаки нацелены на уровень приложений организации и осуществляются путем заполнения приложений вредоносными запросами. Цель всегда остается одной: сделать предмет атаки уязвимым или обрушить его.