Strona główna

DDoS ulubioną bronią cyberprzestępców

  • Projekt graficzny pojazdu kosmicznego ARRM transportującego odłamek materii skalnej pobranej z powierzchni asteroidy; Ilustracja: NASA / nasa.gov

Ataki odmowy dostępu do usługi (Distributed Denial of Service – DDoS) należą do najprostszych, a zarazem  najpopularniejszych zagrożeń sieci lub systemów komputerowych, przed którymi muszą się chronić firmy i instytucje. Skalę niebezpieczeństwa obrazują statystyki CERT Orange Polska, który w ub.r. odnotowywał średnio 6 tys. alertów tego typu miesięcznie. 

Ataki DDoS ograniczają bądź blokują dostęp do zasobów sieciowych. co jest szczególnie istotne, gdy są one własnością firm świadczących usługi online. W konsekwencji może to doprowadzić do utraty reputacji czy dużych strat finansowych i wizerunkowych.

Cyberprzestępcy sięgają chętnie po tego typu narzędzia m.in. ze względu na łatwość przeprowadzenia ataku i jego niski koszt. Część narzędzi do DDoS jest dostępna za darmo, zaś na czarnym rynku „usługa” DDoS kosztuje kilka-kilkanaście dolarów.  - Zapewne dlatego też jednym z najczęstszych celów ataków typu DDoS są gracze online - mówi Tomasz Matuła, dyrektor pionu infrastruktury ICT (Information and Communication Technologies - przyp. red.) i cyberbezpieczeństwa w Orange Polska. Wystarczy bowiem nawet kilkuminutowy atak (często dostępny za darmo w ramach „testu”), by uniemożliwić wykonanie transakcji w określonym czasie, zablokować dostęp do usługi w krytycznym momencie czy wylogować gracza z gry online podczas e-sportowych rozgrywek.

Z drugiej strony firmom nie jest łatwo efektywnie przeciwstawić się atakom DDoS. Obrona polega głównie na ciągłym monitorowaniu i szybkiej reakcji na wykryte ataki. Te zaś charakteryzują się dużą zmiennością i różnorodnością, również w zakresie wykrywania słabych punktów celu. Dynamicznie zmienia się też technika ataku. Nieprzygotowana i zaskoczona atakiem DDoS ofiara zazwyczaj nie ma szans na obronę bądź jedynie zachowuje jej pozory (np. restartując aplikacje, serwery czy urządzenia sieciowe). Do tego dochodzi trudność identyfikacji rzeczywistego źródła ataku, gdyż najczęściej adresy źródłowe są zafałszowane (tzw. spoofing).

Nieprzygotowana, zaskoczona atakiem DDoS ofiara w większości przypadków nie ma możliwości obrony. Potencjalne środki obrony okazują się nierzadko iluzją nie prowadząc do pełnego przywrócenia usługi. Odcięcia atakowanego serwisu od sieci nie można nazwać środkiem zaradczym, bowiem taki cel stawiają sobie niejednokrotnie cyberprzestępcy.

W 2015 r. CERT Orange Polska zidentyfikował 68 641 alertów DDoS (ostrzeżeń o ruchu noszącym znamiona ataku) dotyczących sieci usługowej spółki Orange Polska, co daje średnio ok. 6 tysięcy alertów miesięcznie. Wysoka częstotliwość tych ataków skłoniła w połowie ub.r. CERT Orange Polska do zmiany metody ich obsługi w systemie monitorującym ruch sieciowy. W efekcie od lipca 2015 r. zanotowany został spadek liczby tego typy alertów. Obecnie w jednym alercie oznaczane są różne typy ataku, więc ich sumaryczna liczba jest mniejsza w porównaniu z danymi z ub.r. Jeden przypadek ataku może też dotyczyć kilku alertów (choćby ze względu na występowanie tzw. false positive – klasyfikacji prawidłowego ruchu jako anomalii), zaś w niektórych przypadkach infrastruktura sieciowa potrafi rozproszyć próbę bez udziału specjalistycznych rozwiązań. To sprawia, że obecnie progi alarmowe dla informacji o potencjalnym zagrożeniu są ustawione na relatywnie wysokim poziomie.

W 2015 r. nie byliśmy świadkami rekordowo dużych ataków, jeśli chodzi o natężenie ruchu, rośnie jednak ich wielkość – w 2014 r. średnia wielkość szczytowego natężenia ataku osiągnęła ok. 900 Mbps, a w 2015 roku - ok. 1,1 Gbps. Wzrost siły ataków to efekt nie tylko szybszych łączy internetowych, ale też przystępności cen ataków DDoS na "czarnym rynku" i upowszechnienia się technik wzmocnionego odbicia.

Tomasz Matuła, dyrektor infrastruktury ICT i cyberbezpieczeństwa Orange Polska.

Większość zarejestrowanych alertów, podobnie jak w 2014 r., trwała poniżej 10 minut, natomiast średni czas trwania wszystkich zarejestrowanych alertów to ok. 23 minuty (nieznaczny wzrost w porównaniu z 2014 r.). Ogólnie od kilku lat utrzymuje się tendencja dywersyfikacji celów celów ataku. Zjawisku temu towarzyszy skrócenie czasu trwania ataków. Krótkotrwałe ataki stanowią wyzwanie dla używanych technik ochrony przed DDoS, które zakładając uruchomienie mitygacji dopiero po kilku/kilkunastu minutach ciągłego ataku. Choć istnieje wiele metod ochrony przed DDoS, duże ataki wolumetryczne mogą zostać zmitygowane jedynie na poziomie ISP bądź przy wsparciu specjalistycznych firm „ukrywających” chronione serwisy za swoją infrastrukturą. W takiej sytuacji ograniczenie skutków następuje dzięki geograficznemu rozproszeniu węzłów, filtrowaniu złośliwego ruchu oraz łączom o dużej przepustowości. Dla ochrony własnej sieci korporacyjnej przed DDoS Orange Polska używa dedykowanych rozwiązań czołowych producentów, a także korzysta z możliwości blokowania adresów potwierdzonych jako źródło ataków albo ograniczenia dostępu do atakowanych zasobów.

Tomasz Matuła podkreśla jednak, że częstotliwość występowania ataków DDoS na przestrzeni ostatnich lat jednak nie maleje. - Rozkład alertów pod względem ich krytyczności w 2015 r. jest podobny jak we wcześniejszych latach. Ten aspekt jest zależny od wolumenu ruchu i czasu jego trwania. Alert sklasyfikowany jako wysoki najczęściej ma istotny wpływ na dostępność usług, zaś te o poziomach średnim i niskim ograniczają dostępność usług jedynie w specyficznych warunkach - mówi Matuła.

W ub.r., podobnie jak w 2014 r., najczęściej występującymi rodzajami ataków identyfikowanymi przez CERT Orange Polska były obok UDP Fragmentation, ataki Reflected DDoS przy użyciu protokołów UDP (DNS, NTP, SSDP, CHARGEN, SNMP).

Ataki UDP Fragmentation polegają na fragmentacji pakietów UDP, tj. wysyłaniu dużych pakietów (powyżej MTU 1500). Dla przesłania przez sieć dużych pakietów muszą one zostać podzielone do rozmiaru MTU, a następnie połączone przez atakowany system. Wymaga to wykorzystania w znacznym stopniu zasobów procesora. Z kolei ataki Reflected DDoS polegają na wysyłaniu krótkich zapytań do urządzeń sieciowych, gdzie atakujący podszywa się pod maszynę ofiary. Urządzenia docelowe odpowiadają pakietami kierowanymi na adres pochodzący z fałszywego nagłówka, a ofiara jest zalewana olbrzymią liczbą pakietów z wielu hostów. Najczęściej takie ataki wykorzystują podatności protokołów bazujących na UDP, m.in. DNS, SNMP, CHARGEN, NTP czy SSDP. W przypadku ataku rozproszonego mówimy o DrDoS, czyli Distributed Reflection DoS.

Cyberprzestępcy chętnie wykorzystują też metodę UDP/ICMP Flood. Polega ona na zalewaniu atakowanego hosta pakietami UDP/ICMP, które są wysyłane z wielu przejętych hostów/urządzeń (botów).

Autorzy raportu CERT Orange Polska zauważają też, że w ub.r. upowszechniła się metoda wzmacniania ataków DDoS. Najczęściej wykorzystywane były tutaj niepoprawnie skonfigurowane serwery czasu (NTP – Network Time Protocol), protokół SSDP (Simple Service Discovery Protocol, wykrywający urządzenia Universal Plug and Play) i otwarte serwery DNS. Technika ta pozwala na efektywne ataki wolumetryczne, bowiem odpowiedź źle skonfigurowanego serwera/usługi może być nawet kilkaset razy większa od zapytania.

Komentarze