Navigace

DoS a DDoS – Síťové nebezpečí v praxi

DoS a DDoS – Síťové nebezpečí v praxi

Útok DoS / DDoS je forma kybernetického útoku, při kterém se útočníci snaží narušit, nebo poškodit webovou stránku, síť nebo jinou online službu tím, že ji přetíží velkým množstvím falešných nebo nevyžádaných požadavků, dokud nedojde k poklesu výkonu, omezení, nebo výpadku služby.

Velmi často spojována s útokem typu „Botnet“, který je využíván k přetížení vybraných aplikací, webových stránek, nebo služeb a jsou tedy prostředkem DDoS útoků, ale mohou být použity i k distribuci spamu, adwaru, spywaru apod. Útočník převezme nad zařízením kontrolu tím, že ho infikuje malwarem. Majitel takto kompromitovaného zařízení často neví, že jeho zařízení je infikováno, a že je součástí botnetu.

Denial of Service (DoS)

Útok je postaven na znemožnění použití služby (narušení dostupnosti)

Útokem může být jak zamezení použití systémových prostředků, tak například zašifrování s možností odemčení po zaplacení výkupného (Ransomware, může být považován za DoS/DDoS)

Realizován obvykle z jednoho místa (jedna IP adresa)

Distributed Denial of Service (DDoS)

Rozdílem je realizace z 2 a více zařízení, která cílí na jednu službu, společnost, či systém.

Útok je často realizován z veřejných služeb, či nezabezpečených koncových stanic, které jsou aktéry hrozeb zneužívány.

Cílem obou je odepřít, nebo znepřístupnit nějakou službu legitimním uživatelům (=denial of service) jako například webovou stránku, aplikaci nebo e-shop. Útok je prováděn přes síť infikovaných počítačů („zombie“) z celého světa, tzv. distribuovanou botnet síť (=distributed). Kvůli tomu nelze útok zneškodnit zablokováním jednoho konkrétního zařízení. Velmi podobně se chova i zmíněný Botnet jehož architektura se řadí k modelu klient-server, který umožňuje „bot hederovi“ (hlavnímu počítači / útočníkovi) ovládat vše vzdáleně a maskovat provoz. Infikovaní klienti přistupují na předem určenou lokalitu, kde vyčkávají na příkazy přicházející ze serveru. Příkazy na server posílá bot heder. Klienti příkazy provedou a výsledky posílají zpět bot hederům.

Další z modelů je potom peer-to-peer síť, která ke komunikaci nevyžaduje centrální server, který je často bodem selhání útoků. Namísto toho vystupují boti jako server pro distribuci příkazů i jako klient, který příkazy přijímá.

Proč se dělají Dos / DDoS / útoky?

Motivů pro DDoS útoky je hned několik. Kyberzločinci podnikají útoky nejčastěji tzv. na objednávku, kdy vydělávají peníze na prodeji útoku jako služby. Primárně je to touha útočníka přijít k penězům může mít i podobu vydírání, kdy útočník nutí cíl zaplatit výkupné výměnou za ukončení útoku a odblokování online služby nebo webové stránky.

V některých případech stojí za útokem hacktivismus. Aktivisté v tomto případě chtějí bránit občanské nebo politické ideály a upozornit na jimi vnímanou nespravedlnost pomocí hackingu.

V neposlední řadě může být za útokem nekalá konkurence, která chce zahlcením serveru poškodit firmu ze stejného oboru a získat na trhu konkurenční výhodu, případně pomsta bývalého zaměstnance firmy.

Sofistikované hackerské skupiny používají DDoS útoky většinou jako kamufláž pro jiné, závažnější aktivity, jako je kybernetická špionáž či sabotáž. DDoS útok zde slouží jako prostředek k odvedení pozornosti.

V posledním případě mohou být DDoS útoky také zábavou, ale nutno připomenout, že v České republice jsou útoky typu DoS a DDoS postihovány podle trestního zákoníku (§ 230 Neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací).

Jak probíhá DoS / DDoS útok?

Pachatelé využívají k útoku koordinovanou síť distribuovaných kompromitovaných zařízení (tzv. botnet síť tvořenou zombie počítači). S využitím řídících serverů (C&C = Command and Control) posílají přes botnet na dálku nevyžádané požadavky v řádu až terabitů za sekundu. Snaží se zaměřit pozornost na síťové prvky systémů, které jsou nezbytné k navázání internetového připojení (např. router) případně na webové stránky, servery či databáze, dokud se jim nepodaří systém přetížit.

Mezi nejčastější typy patří:

  1. Útoky na aplikační vrstvě: Tyto útoky cílí na konkrétní aplikace, jako jsou webové servery. Útočník zahltí server požadavky, které vypadají jako legitimní, čímž způsobí jeho přetížení. Příkladem je HTTP Flood, kdy útočník posílá velké množství HTTP požadavků na server.
  1. Útoky na transportní vrstvu: Tyto útoky cílí na síťovou infrastrukturu. Příkladem je TCP SYN Flood, při kterém útočník zaplaví server falešnými požadavky na otevření TCP připojení.
  1. Útoky na síťovou vrstvu: Tyto útoky jsou zaměřené na zahlcení síťových zdrojů. Například ICMP Flood, při kterém útočník zaplaví server velkým množstvím ICMP požadavků (pingů).
  1. Amplifikační útoky: Tento typ útoku využívá slabin v síťových protokolech, kdy malý požadavek od útočníka vyvolá velkou odpověď, čímž se přetíží cílový server. Příklady zahrnují DNS Amplification a NTP Amplification.

Graficky znázornění útoku

Průměrná doba trvání útoku na sítovou infrastrukturu

Jak se efektivně bránit proti Dos / DDoS útokům?

  1. Síťové filtry a firewally – Implementujte firewally, které dokážou rozpoznat a blokovat podezřelé nebo škodlivé pakety ještě předtím, než dorazí na cílový server.
  1. Load balancery – Rozložení zátěže mezi více serverů může pomoci zvládnout vysoký počet požadavků a zabránit přetížení jednoho bodu.
  1. Anycast síť – Použití Anycast sítě může distribuovat provoz do různých geografických lokalit, což ztíží útočníkům zaměření na jeden cíl.
  1. Scrubbing centry – Provoz je přesměrován do scrubbing centra, kde jsou škodlivé pakety filtrovány, a čistý provoz je pak poslán na cílový server.
  1. Monitorování a detekce anomálií – Neustálé sledování provozu a detekce neobvyklých aktivit může včas upozornit na možný útok.
  1. Ochrana na aplikační vrstvě – WAF (Web Application Firewall) může ochránit aplikace před útoky na aplikační vrstvě.
  1. Omezování rychlosti (Rate Limiting) – Omezte počet požadavků, které může konkrétní IP adresa poslat v určitém čase.
  1. Bezpečnostní služby DDoS ochrany – Společnosti, jako je Cloudflare, Akamai nebo Arbor Networks, nabízejí DDoS ochranu jako službu, která může automaticky detekovat a neutralizovat útoky.

Závěr

DoS a DDoS i Botnet útoky představují vážnou hrozbu pro online služby a infrastrukturu. I když je téměř nemožné se jim zcela vyhnout, kombinací správně implementovaných technologií, pravidelného monitoringu a nasazení specializovaných ochranných služeb můžete výrazně snížit riziko úspěšného útoku. Prevence a připravenost jsou v tomto odvětví klíčové faktory pro zachování dostupnosti a bezpečnosti Vašich služeb.

I na nás, iPodnik cloud, a naše zákazníky jsou každý den cíleny DDoS útoky, které pro naše zákazníky již 2. rokem velmi úspěšně odrážíme a zachováváme tak naše služby funkční a v provozu. Mnohdy nemusí jít o cílený útok s vidinou výdělku, ale pouze o zábavu či prokázání svých schopností v hackerské komunitě. Jste také chráněni Vaším poskytovatelem cloudových služeb před těmito typy útoků? 

TeamViewer Pro Windows Pro MAC

+420 222 300 800 info@ipodnik.cz

cs sk