DDoS-атаки не только растут, они также более масштабны и разрушительны, чем когда-либо прежде. От независимых сайтов до многонациональных банков кажется, что никто не застрахован.
На самом деле, в отчете Cisco за 2017 год было обнаружено, что число атак DD0S, превышающих 1 гигабит в секунду трафика, возрастет до 3,1 миллиона к 2021 году , что в 2,5 раза больше, чем в 2016 году.
Однако злоумышленники не единственные, кто способен к адаптации. Изучив пять самых известных атак DDoS в новейшей истории, вы сможете узнать, как лучше защитить себя в будущем.
Давайте рассмотрим самые известные атаки DDoS и уроки, которые они могут предложить.
Что такое DDOS-атака?
Прежде чем мы углубимся в пять самых известных атак DDoS, давайте сначала рассмотрим, что такое атака DDoS.
DDoS означает Распределенный отказ в обслуживании, который относится к развертыванию большого числа интернет-ботов - от сотен до сотен тысяч. Эти боты предназначены для атаки на один сервер, сеть или приложение с подавляющим числом запросов, пакетов или сообщений, тем самым отказывая в обслуживании законным пользователям, таким как сотрудники или клиенты.
Обычно злоумышленники начинают DDoS-атаку, используя уязвимость в одной компьютерной системе. Затем система злоумышленника становится мастером DDoS и работает над выявлением других уязвимых систем, чтобы превратить их в ботов.
Исполнитель направляет этих компьютерных ботов на атаку с помощью командно-контрольного сервера или ботнета. В этот момент все, что нужно атакующему, это сказать ботам, на кого нужно нацелиться.
Кто будет проводить DDoS-атаку? Как выясняется, ответ включает в себя множество различных типов плохих игроков, таких как киберпреступники или недовольные сотрудники. Исполнители совершают DDoS-атаки по разным причинам, таким как вымогательство, месть или политика.
DDoS-атаки измеряются тем, сколько битов (двоичных цифр) трафика они отправляют на цель в секунду - например, небольшая атака может измерять только несколько мегабит в секунду (Мбит/с), в то время как более крупные атаки могут измерять несколько сотен гигабит в секунду (Гбит/с) или даже более одного терабит в секунду (Тбит/с).
Важно отметить, что не все DDoS-атаки ориентированы на пропускную способность. Например, атаки по сетевому протоколу имеют низкую пропускную способность со многими пакетами в секунду (PPS).
Пять самых известных DDOS-атак
В последние годы DDoS-атаки только увеличиваются как по частоте, так и по степени серьезности. Здесь мы рассмотрим пять самых крупных и известных DDoS-атак.
1. GITHUB: 1,35 ТБИТ/С
28 февраля 2018 года популярная платформа для разработчиков GitHub подверглась внезапному нападению со скоростью 1,35 терабит в секунду. Объем трафика не только огромный, но и рекордный.
Согласно GitHub, трафик был прослежен до «более тысячи различных автономных систем (ASN) через десятки тысяч уникальных конечных точек».
На этом графике вы можете увидеть разницу между нормальным уровнем трафика и уровнем атаки:
Хуже всего то, что GitHub был совершенно не готов к DDoS-атаке - у них просто не было возможности узнать, что атака такого масштаба будет запущена.
Как пояснил GitHub в отчете об инциденте, связанном выше: «За прошедший год мы развернули дополнительный транзит на наши объекты. За это время мы более чем удвоили нашу пропускную способность, что позволило нам выдерживать определенные объемные атаки без воздействия на пользователей…. Тем не менее, подобные атаки иногда требуют помощи партнеров с более крупными транзитными сетями для обеспечения блокировки и фильтрации».
2. OCCUPY CENTRAL, ГОНКОНГ: 500 ГБИТ/С
Атака PopVote DDoS была проведена в 2014 году и направлена в Гонконге на основе низового движения, известное как Occupy Central. Движение боролось за более демократичную систему голосования.
В ответ на свои действия злоумышленники отправили большие объемы трафика трем службам веб-хостинга Occupy Central, а также двум независимым сайтам: PopVote, сайту с фиктивными выборами в Интернете, и Apple Daily, новостному сайту, ни один из которых принадлежали Occupy Central, но открыто поддержали его дело. Предположительно, ответственные лица отреагировали на продемократическое послание Occupy Central.
Атака блокировала серверы с пакетами, замаскированными под легитимный трафик, и была выполнена не с одним, не с двумя, а с пятью ботнетами. Это привело к пиковым уровням трафика в 500 гигабит в секунду.
3. CLOUDFLARE: 400 ГБИТ/С
В 2014 году провайдер безопасности и сеть доставки контента CloudFlare были перегружены примерно 400 гигабитами трафика в секунду. Атака была направлена на одного клиента - целевые серверы CloudFlare в Европе и была начата с помощью уязвимости в Network Time Protocol (NTP), сетевом протоколе для синхронизации часов компьютера. Хотя атака была направлена только на одного из клиентов CloudFlare, она была настолько мощной, что затронула собственную сеть CloudFlare.
Эта атака проиллюстрировала технику, в которой злоумышленники используют поддельные адреса источников для отправки массового количества ответов NTP-серверов жертве. Это называется «отражением», поскольку злоумышленник может отражать и усиливать трафик.
Вскоре после атаки группа по готовности к компьютерным чрезвычайным ситуациям в США пояснила, что атаки по усилению NTP «особенно трудно блокировать», поскольку «ответы представляют собой достоверные данные, поступающие с действительных серверов».
4. SPAMHAUS: 300 ГБИТ/С
В 2013 году была начата DDoS-атака против некоммерческого провайдера разведки угроз Spamhaus. Несмотря на то, что Spamhaus, как организация по защите от спама, регулярно подвергалась угрозам и атакам, эта DDoS-атака была достаточно большой, чтобы отключить их веб-сайт в автономном режиме, а также часть их почтовых служб.
Как и атака 2014 года на CloudFlare, упомянутая выше, эта атака использовала отражение для перегрузки серверов Spamhaus с 300 гигабитами трафика в секунду.
Атака была прослежена до члена голландской компании по имени Cyberbunker, который, по-видимому, нацелился на Spamhaus после того, как он занес в черный список Cyberbunker.
5. БАНКИ США: 60 ГБИТ/С
В 2012 году целая серия DDoS-атак была направлена не на один, не на два, а на целых шесть американских банков. Жертвами были также не мелкие банки: среди них были Bank of America, JP Morgan Chase, US Bancorp, Citigroup и PNC Bank.
Атака была осуществлена сотнями угнанных серверов, каждый из которых создавал пиковые потоки трафика более 60 гигабит в секунду.
В то время эти атаки были уникальными по своей стойкости: вместо того, чтобы пытаться выполнить одну атаку и затем отступать, преступник (и) захватили свои цели множеством методов, чтобы найти тот, который сработал. Таким образом, даже если банк был оборудован для борьбы с несколькими типами DDoS-атак, они были беспомощны против других типов.