Google, Microsoft, Apple, PayPal, Visa, MasterCard… wiele spośród największych witryn świata padło ofiarą ataków DDoS (ang. Distributed-Denial-of-Service, czyli „rozproszona odmowa usługi”). Jak widać po ostatnich wydarzeniach na serwerach Battlefield 4, takie ataki mogą być uciążliwe nie tylko dla dużych korporacji, ale również dla każdego z nas – w tym w szczególności dla graczy komputerowych. Czym dokładnie jest DDos i jak wyglądała ewolucja tego zjawiska od początku millenium?

Atak DDoS polega na zaatakowaniu jednego celu przez wiele komputerów jednocześnie po to, by doprowadzić do sytuacji, w której jego zasoby staną się niedostępne dla użytkowników, dla których są przeznaczone. W ostatniej dekadzie zwiększyła się liczba ataków DDoS, a stojące za nimi motywacje i cele ewoluowały.

Początek roku 2000: w centrum uwagi

Chociaż trudno dokładnie stwierdzić, kiedy doszło do pierwszego prawdziwego ataku DDoS, pierwszy rozproszony atak na dużą skalę miał miejsce w 1999 roku i był on skierowany przeciw serwerowi IRC Uniwersytetu Minnesoty. Zainfekowanych zostało 227 komputerów, a atak sprawił, że serwer uniwersytecki był bezużyteczny przez dwa dni.

W lutym 2000 roku wiele popularnych witryn, w tym Yahoo!, eBay, CNN, Amazon.com i ZDNet.com, zostało sparaliżowanych na kilka godzin. Straty Yahoo! w ciągu trzech godzin awarii wyniosły 500.000 USD, ruch w witrynie CNN.com spadł o 95%, a ze strony ZDNet praktycznie w ogóle nie dało się skorzystać. Straty związane z awarią były ogromne.

O wywołanie tych ataków został oskarżony (i aresztowany) 15-letni Kanadyjczyk, znany jako Mafiaboy. Co go do tego popchnęło? Młodzieńczy bunt i przekora – nastolatek chciał po prostu pokazać, co potrafi. W tym celu skanował sieć, aby znaleźć podatne hosty. Wykorzystując znalezione luki, instalował oprogramowanie zamieniające hosty w zombie, a następnie rozprzestrzeniał atak w taki sposób, że zombie wyszukiwały luki w kolejnych celach i wykonywały ten sam proces.

2005: czas na łupy

Na początku pierwszej dekady XXI wieku, jeśli haker chciał utworzyć botneta do przeprowadzenia ataku DDoS, musiał podejmować te same kroki co Mafiaboy. Wraz z pojawieniem się robaków internetowych, kroki te zostały zautomatyzowane, co umożliwiło hakerom uruchamianie ataków na dużą skalę. W sierpniu 2005 roku 18-letni Farid Essabar, który nigdy nie studiował informatyki, został aresztowany za rozesłanie robaka MyTob. Robak otwierał „tylne drzwi” zainfekowanego hosta z systemem MS Windows, łącząc się ze zdalnym serwerem IRC i czekał na polecenia. Rozprzestrzeniał się samoistnie przy ponownym uruchamianiu systemów, kopiując się na współdzielone zasoby, otwierając drogę do dużych ataków DDoS z udziałem wszystkich zainfekowanych hostów i wykonując polecenia przesyłane przez sieć IRC. Atak był na żywo relacjonowany w CNN, w pewnym momencie zainfekowana została także sieć komputerowa stacji telewizyjnej.

Jakie tym razem były intencje hakerów? Tak naprawdę nie chodziło o sparaliżowanie korporacyjnych sieci, ale o wymuszenie od firm tysięcy dolarów z wykorzystaniem groźby skierowania ataku DDoS na ich sieć. Krótko mówiąc, firmy, do których docierały takie groźby, wolały płacić szantażystom, niż radzić sobie potem z konsekwencjami ataku DDoS.
2010: DDoS a haktywizm
W 2010 roku w największych mediach obszernie relacjonowano zaawansowane ataki DDoS motywowane kwestiami politycznymi i ideologicznymi, takie jak szeroko nagłośnione serie incydentów związanych z projektem WikiLeaks czy grupą Anonymous. W tym roku liczba ataków radykalnie się zwiększyła – po raz pierwszy przekraczając barierę 100 Gb/s, czyli około 22 tysiące razy tyle co przeciętna przepustowość łącza dostępna wtedy dla zwykłego użytkownika internetu w USA.

W grudniu 2010 r. znacząco wzrosła presja na WikiLeaks, aby witryna przestała publikować tajne depesze amerykańskiej dyplomacji. W reakcji na te naciski grupa Anonymous ogłosiła swoje poparcie dla WikiLeaks i w ramach tzw. „Operacji Payback” przypuściła serię ataków DDoS na serwery takich firm jak Amazon, PayPal, MasterCard i Visa, w odwecie za działania skierowane przeciw WikiLeaks. Ataki te doprowadziły 8 grudnia do zawieszenia witryn firm MasterCard i Visa.
Narzędzie, z którego korzystano przy atakach grup Anonymous/WikiLeaks, to program o nazwie Low Orbit Ion Cannon (LOIC). Mimo że początkowo było to narzędzie open source stworzone z myślą o testowaniu aplikacji internetowych pod kątem obciążeń, w tym przypadku zostało ono wykorzystane do przeprowadzenia ataku DDoS.

2012 i później: nasilenie ataków w warstwie aplikacji

Istnieje wprawdzie wiele różnych metod ataków, jednak ataki DDoS można ogólnie podzielić na dwie kategorie:

  • ataki wolumetryczne: ataki typu flood (ang. powódź) intensywnie obciążają przepustowość i infrastrukturę sieci (np. UDP, TCP SYN, ICMP);
  • ataki w warstwie aplikacji: ataki te są tworzone pod kątem określonych usług, tak by wyczerpać ich zasoby (HTTP, DNS). Ponieważ zużywają one mniej przepustowości łączy, trudniej jest je wykryć

Idealna sytuacja do przeprowadzenia ataków DDoS w warstwie aplikacji występuje wtedy, gdy wszystkie inne usługi pozostają nienaruszone, a sam serwer jest zupełnie niedostępny. Zgodnie z tym podejściem powstało oprogramowanie Slowloris, które jest stosunkowo trudno wykrywalne w porównaniu do większości narzędzi służących do ataków typu flood.

Według informacji firmy Stratecast, liczba ataków DDoS zwiększa się o 20%-45% rocznie, przy czym wzrosty liczby ataków DDoS w warstwie aplikacji są trzycyfrowe. Trend wzrostu dynamiki ataków DDoS w warstwie aplikacji jest wyraźny i mało prawdopodobne, by się odwrócił. Nie oznacza to jednak, że ataki wolumetryczne, w warstwie sieciowej lub transportowej, zanikną. Wręcz przeciwnie – obydwa rodzaje ataków będą się łączyć, zyskując jeszcze na sile. Jak wynika z raportu firmy Verizon z 2012 roku o dochodzeniach w sprawie utraty danych (2012 Verizon Data Breach Investigations Report), wiele zaawansowanych ataków DDoS w warstwie aplikacji kryjących się za atakami wolumetrycznymi wykorzystano do przysłonięcia prób kradzieży danych. Dowodzi to, że ataki wielowektorowe są praktykowane w celu ukrycia ich faktycznego celu.

Ataki DDoS przybierają na sile i częstotliwości, podczas gdy równolegle środki potrzebne do przeprowadzenia ataku stają się coraz prostsze i bardziej dostępne. Poza tym stopień złożoności tych ataków rośnie ze względu na ich polimorficzny charakter oraz rozwój nowych narzędzi umożliwiających zakamuflowanie ich prawdziwej natury. W rezultacie tradycyjne metody wykrywania zagrożeń są często bezużyteczne, a unikanie tych zagrożeń staje się trudniejsze. Biorąc pod uwagę tę ewolucję, bardzo ważne jest, by organizacje korygowały swoją politykę bezpieczeństwa, upewniając się, że dysponują odpowiednimi zabezpieczeniami, które ochronią je przed atakami DDoS. Największym wyzwaniem jest tu posiadanie środków zapewniających przewidywalność i odpowiedni kontekst w celu wykrywania szerokiej gamy typów ataków bez spowolnienia przepływu danych i obsługi uprawnionego ruchu, a w następnej kolejności – w celu minimalizacji skutków ataku w najbardziej efektywny sposób. Strategia zabezpieczeń wielowarstwowych jest więc kluczowa dla zapewnienia szczegółowej kontroli i ochrony wszystkich elementów znajdujących się na krytycznej ścieżce działań online.

Mariusz Rzepka, Fortinet Territory Manager na Polskę, Białoruś i Ukrainę