История и эволюция DDoS-атак

DDoS-атаки представляют собой отправку огромного количества запросов с целью перегрузить сервер и привести к замедлению работы веб-ресурса или его полной недоступности. Они наносят реальный ущерб бизнесу: компании несут убытки и рискуют репутацией, тратят ресурсы сотрудников для восстановления работоспособности сайта.

Еще недавно такие атаки казались чем-то удивительным, а сегодня их количество исчисляется тысячами за день. Только за 1 полугодие 2024 года сервисы компании «Солар» зафиксировали 355 тысяч DDoS-атак — это около 2000 ежедневно. При таких объемах целями становятся компании любого масштаба из разных сфер. Чтобы было понятнее, как выстроить защиту, рассказываем об эволюции DDoS-атак и мерах противодействия современным киберпреступным схемам.

История возникновения DDoS-атак

DDoS-атака (от англ. Distributed Denial of Service – распределенный отказ в обслуживании) — это атака с множества устройств, создающая чрезмерную нагрузку на серверы. При таких условиях пользователи не могут получить доступ к атакуемому ресурсу или совершить на нем какие-либо действия, поскольку сайт сильно тормозит. Подобная схема атак появилась достаточно давно — около 30 лет назад. Приведем примеры конкретных хакерских действий тогда и сейчас.

Первые DDoS-атаки в истории

Эра распределенных атак на вычислительные системы началась со схемы хакера Кевина Митника, который в 1994 году атаковал компьютер своего оппонента большим количеством SYN-пакетов. Это была не DDoS-атака, а DoS, поскольку запросы направлялись с одного устройства. Спустя некоторое время хакер снова применил схему, но запускал трафик уже с нескольких компьютеров. Именно тогда появился термин «распределенная атака».

В 1999 году был атакован компьютер университета Миннесоты — на него отправлялись запросы с компьютерной сети, состоящей из 114 устройств, зараженных скриптом Trin00. Вредоносный скрипт был написан хакером из Нового Орлеана. Мужчина заражал устройства под управлением Linux с помощью эксплойта (компьютерной программы, использующей уязвимости), связанного с переполнением буфера. Таким образом, хакеру удалось сформировать достаточно большую бот-сеть, готовую к атаке с использованием UDP-флудинга. Цель такой атаки – перегрузить сеть или сервер большим количеством UDP-пакетов, представляющих собой сгруппированный набор данных.

Усложнение схем DDoS-атак

В 2000-х годах хакеры стали делать упор на массовость, пытаясь вывести из строя ресурсы разных компаний. В этот период атаке подверглись сайты Amazon, Dell, Yahoo и многих других крупных организаций. Самое интересное, что хакером выступал подросток.

В 2006 году в историю вошли DDoS-атаки с многократным усилением, то есть постепенным увеличением числа отправляемых запросов.

В 2016 году хакеры начали использовать в своих преступных схемах различные умные устройства, например, смарт-телевизоры, роботы-пылесосы, видеокамеры с доступом в интернет.

Появление и история ботнетов как ключевого инструмента для DDoS-атак

Ботнеты — сети используемых для атак зараженных устройств, которыми хакеры могут удаленно управлять без ведома пользователей. С этих устройств одновременно направляются запросы к атакуемым ресурсам, что быстро приводит к перегрузке серверов.

Частью ботнета может стать любое устройство с доступом в интернет, даже умные розетки и роботы-пылесосы. Некоторым пользователям технологий кажется, что устройства их подслушивают, и это не всегда кажется — такая практика существует на самом деле. Например, крупные компании могут осознанно внедрять уязвимости в свои устройства, чтобы потом эксплуатировать их в нужных целях, в том числе и для DDoS-атак.

Часто в ботнеты входят компьютеры и устройства, выпускаемые большими партиями, например, роутеры. Их уязвимости эксплуатируются регулярно. Хакеры, обнаружив слабые места в определенных моделях устройств, быстро делятся этой информацией, и под ударом оказываются миллионы роутеров, которые стоят в квартирах ничего не подозревающих пользователей интернета.

Ботнеты эксплуатируются довольно давно. Вспомним первую DDoS-атаку в истории — там уже была задействована сеть зараженных устройств. Но широко о ботнетах заговорили в 2016 году, когда появился ботнет Mirai: в пиковые моменты атак число устройств в нем достигало 600 тысяч.

Еще примеры крупнейших ботнетов-легенд: Storm, SpyEye, Carberp, Mariposa и др. Они лидируют по количеству зараженных устройств, технической «навороченности», числу проведенных с их помощью атак.

Крупнейшие в истории DDoS-атаки

Таких атак очень много, поэтому рассказываем о самых нашумевших. Например, в 2017 году были атакованы сервисы Google. По данным аналитиков, преступную схему организовали хакеры из Китая. Более 6 месяцев злоумышленники пытались вывести сервисы из строя, но серьезно подорвать работу инфраструктуры так и не удалось.

В 2018 году хакеры атаковали GitHub, использовав слабые места безопасности площадки. Самое примечательное в этой схеме то, что злоумышленники не использовали объемный ботнет — они проэксплуатировали уязвимости Memcached-серверов. Они ускоряют работу веб-приложений и баз данных, храня часто используемые данные в оперативной памяти (RAM) компьютера, что позволяет веб-ресурсам работать быстрее.

Одна из последних крупнейших атак произошла в 2023 году. Под удар попала платформа Google Cloud CDN, к которой хакеры отправляли до 400 млн запросов в секунду.

Техническая эволюция DDoS-атак

Рассказываем, какие методы и инструменты атак хакеры используют сегодня, и что может ожидать владельцев веб-ресурсов.

Виды DDoS-атак

В зависимости от уровня и целей атаки можно разделить на три группы:

• Сетевые атаки уровней L3-L4 модели OSI. Они нацелены на сети, маршрутизаторы, каналы обмена данными.
• Атаки уровня приложений (L7), целью которых становится пользовательская часть приложений, либо уровень преобразования данных.
• Комбинированные многоуровневые атаки, преследующие сразу несколько целей.

Сначала появились атаки на сетевом и транспортном уровнях, а потом уже на HTTP, то есть на L7, уровне приложений. Сейчас злоумышленники реализуют и те, и другие, но чаще многоуровневые.

Методы DDoS-атак

В истории DDoS-атак хакеры использовали разные методы — от более простых до продвинутых. Перечислим основные:

• UDP-флуд — заполнение портов сервера «мусорными» запросами.
• ICMP-флуд — отправка множества запросов типа ping, которые обычно отправляются для проверки работоспособности сервера.
• HTTP-флуд — забрасывание серверов запросами на отправку данных или загрузку файлов.
• Fraggle-атаки с использованием протокола UDP.
• Smurf-атака с использованием запросов ICMP для перегрузки сетей.
• Slowloris — продвинутые атаки с отправкой запросов, которые долго остаются активными и мешают серверам обрабатывать легитимные запросы.
• Атаки с отправкой фрагментированных IP-пакетов, которые сервер не может собрать в нужном порядке.

Прогнозы об эволюции DDoS-атак

Сегодня боевые действия активно разворачиваются не только на реальном, но и на виртуальном поле боя. Кибератаки стали эффективным способом нанести удар по экономике, посеять панику с помощью дезинформации и вызвать широкий общественный резонанс. В ближайшем будущем инструменты хакеров станут еще более сложными.

Артем Избаенков,

директор продукта Solar Space, консультант ООН в области кибербезопасности, член правления Ассоциации руководителей служб информационной безопасности

«Сейчас подбор и смена векторов атак в основном осуществляются людьми. В ближайшие 1-2 года киберпреступники начнут это делать с помощью технологий искусственного интеллекта. Это будет происходить в тысячи раз быстрее, и реагировать на такие атаки будет намного сложнее.

В большинстве решений по защите от DDoS-атак помимо автоматических средств работают дежурные инженеры, которые после отражения основной атаки вручную «дочищают» трафик. Но когда векторы атак начнет подбирать ИИ, то люди за ним просто не успеют.

Поэтому для борьбы с атаками мы в своем решении Solar Space используем технологии искусственного интеллекта – ML-модели, которые обучены на огромном количестве атак, могут прогнозировать и отражать их.

Нельзя недооценивать опасность киберугроз для бизнеса – это наша новая реальность. Атаки можно сравнить с болезнью – проще и дешевле предотвратить, чем потом «лечить» свои сайты».

DDoS-атаки регулярно инициируются китайскими, корейскими, украинскими и российскими хакерами. Примеры крупнейших группировок: Red Hacker Alliance, Chaos Computer Club, Fancy Bear. Наибольшая угроза сейчас исходит от ИТ-армии Украины, которая ежедневно наносит удары по российским компаниям. Им все равно кого атаковать, поэтому нужно обязательно предусмотреть защиту.

Как защитить сайт от DDoS-атак сегодня

Что нужно делать в первую очередь:

• использовать только лицензированное программное обеспечение от надежных разработчиков, своевременно обновлять ПО.
• подключить на сайт CAPTCHA для отсеивания ботов и пресечения нежелательной авторизации.
• внедрить инструменты для мониторинга и фильтрации всего входящего трафика.

Сейчас средства защиты сайтов от DDoS-атак и ботов проходят примерно тот же путь, который проходили антивирусы. Раньше к ним относились скептически, а сейчас они стоят на большинстве устройств – как минимум бесплатные версии.

Защита сайта от DDoS-атак, как и установка антивирусов — первый элементарный уровень кибергигиены веб-ресурсов.

История DDoS-атак иллюстрирует, что хакерские цели успешно выполняются, если организации не фильтруют трафик, поэтому фильтрация — ключевая мера защиты.

Существует два принципа фильтрации:

• Фильтрация по запросу. Компания ставит специальный анализатор, который ищет паттерны (признаки) атаки. В анализаторе установлены определенные пороговые значения, на превышение которых он реагирует. При обнаружении признаков атаки защитное решение переводит трафик на центр очистки, и сервис клиента не успевает деградировать – атака не причиняет значительного ущерба.
• Постоянная. Провайдер средства защиты заводит весь клиентский трафик на свои мощности, где он исследуется в реальном времени. По этому принципу работает сервис защиты WEB AntiDDoS от Solar Space. Также решение осуществляет статический анализ аномалий и поведения пользователей, технический анализ сетевых данных, SSL-протоколов и приложений, обнаруживает паттерны вредоносной активности и успешно отражает простые атаки типа флуд на уровне L7. При этом нужно учитывать, что сегодня киберпреступники все чаще отходят от стандартных паттернов атак и усложняют их. Поэтому механизм WEB AntiDDoS необходимо дополнять другими сервисами, чтобы выстроить эшелонированную защиту сайта.

Фильтрация по запросу — более бюджетное, но менее надежное решение, чем постоянный мониторинг. Предпочтительнее все же использовать сервисы защиты, которые будут круглосуточно в реальном времени фильтровать клиентский трафик, например, решение WEB AntiDDoS.

Преимущества защиты WEB AntiDDoS от Solar Space

Сайт должен работать стабильно. В первую очередь это вопрос репутации, ведь клиенты должны всегда иметь доступ к информации о продуктах и услугах, возможность заказать выбранные позиции. От доступности ресурса напрямую зависит успех электронной коммерции. Чтобы обеспечить эту доступность, можно использовать WEB AntiDDoS по подписке. При создании сервиса учитывались эволюция DDoS-атак и актуальные хакерские методики, поэтому защита обеспечивается на высоком уровне.

Ключевые преимущества решения:

• Возможность подключить сервис, даже если сайт уже под атакой.
• Круглосуточный мониторинг, анализ и фильтрация трафика с мгновенным обнаружением вредоносных запросов.
• Удобный личный кабинет для управления сервисом с графическими отчетами по статистике и источникам трафика.
• Клиенты, которые использовали защиту от DDoS-атак американского провайдера CloudFlare, могут перенести все ресурсы в личный кабинет Solar Space одной кнопкой.

Также среди преимуществ возможность выбора оптимального тарифа в зависимости от типа сайта и количества проходящего трафика. Минимальная стоимость использования сервиса — 1200 рублей в месяц. Доступна оплата картой для физических лиц и самозанятых, и по счету для юридических лиц и индивидуальных предпринимателей.

Защитите сайт от DDoS-атак с WEB AntiDDoS от Solar Space

Подключить