Północ — dobry czas na odparcie ataku
Celem rekordowego ataku był pojedynczy adres IP. Atak rozpoczął się o 0:02 i trwał około 18 minut, natomiast szczytowe wartości były utrzymane przez około 2 minuty. Wykorzystano jedną z najpopularniejszych obecnie technik, opartą na protokole UDP i technice DNS amplification.
Źródłem był dużych rozmiarów botnet, duża sieć przejętych urządzeń (botów) zarządzana przez cyberprzestępców. Zarejestrowano adresy z 90 krajów, jednak ponad 50% złośliwego ruchu pochodziło z Chin, Indii, Brazylii, Rosji oraz Stanów Zjednoczonych.
Ponad półtora roku utrzymywał się dotychczasowy rekord poziomu ataku DDoS, którego celem była sieć Orange Polska. Wynik 543,9 Gbps (gigabita na sekundę) to już jednak przeszłość.
- 21 lipca padł kolejny rekord. Tego dnia tuż po północy, w naszej sieci skumulowała się seria DDoS-ów na jeden z adresów. Ostatni z serii dużych ataków osiągnął poziom 586.5 Gbps/58.5 Mpps i jest to największa wartość odnotowana przez nas w historii i największa potwierdzona w polskim internecie. Co istotne atak został przez nas odparty i nie miał wpływu na naszą sieć i usługi Orange – podsumował Robert Grabowski, szef CERT Orange Polska.
Rok 2023 to zresztą zdecydowana zmiana, jeśli chodzi o typowe techniki atakujących DDoS-ami. Wg danych z raportu CERT Orange Polska to był rok ataków złożonych, wielowektorowych oraz długich. Cyberprzestępcy widząc skuteczność mechanizmów obrony zaczęli szukać słabych punktów. Stosowanie przez nich rozległych ataków wolumetrycznych osłabia ochronę i w tym czasie mogą oni prowadzić intensywne, dobrze zaplanowane ataki aplikacyjne.
- Zaobserwowaliśmy, że atakujący starają się mocno rozproszyć ataki poprzez zróżnicowane podejście do budowy swojej infrastruktury. Istnieją grupy wykorzystujące przejęte systemy klienckie, inne korzystają z proxy-VPN i systemów anonimizacji IP, a jeszcze inni wykorzystują duże botnety składające się ze źle skonfigurowanych urządzeń sieciowych, co miało miejsce 21 lipca – mówił Robert Grabowski
Amplifikacja DDoS
W przypadku opisywanego ataku Reflection/Amplification DDoS największym zagrożeniem jest wykorzystanie publicznie dostępnych usług do dalszego atakowania/wzmacniania ataków. Co gorsza, w przypadku niektórych typów ataków nie jest konieczne wcześniejsze przełamanie zabezpieczeń.
Według Michała Łopackiego z CERT Orange Polska atak ten polega na wykorzystaniu serwerów DNS odpowiadających na zapytania spoza swojej sieci tzw. open resolverów w celu zwiększenia siły ataku DDoS. Atakujący wysyła fałszywe zapytania DNS do otwartych resolverów, podszywając się pod adres IP ofiary ataku.
Serwery DNS odpowiadają na te zapytania, przesyłając znacznie większe odpowiedzi zwrotne (takie jak rekordy TXT lub wszystkie – ANY), niż żądania początkowe. Zapytanie ma rozmiar kilkudziesięciu bajtów, a odpowiedź – zależnie od serwera DNS — kilka kB.
Oznacza to, że atakujący uzyskał kilkudziesięciokrotne wzmocnienie. Oprócz tego ukrył swój adres IP – dla ofiary źródłem ataku będzie open resolver, a nie faktyczny atakujący. W analogiczny sposób odbywają się ataki z wykorzystaniem NTP albo SNMP.
Skąd się biorą ataki DDoS i na czym polegają?
Ataki typu DDoS (z ang. Distributed Denial of Service) – skierowane są zazwyczaj na systemy lub usługi sieciowe. Polegają na wysyłaniu ogromnej ilości zapytań lub wywołań serwisu, aby zająć wszelkie dostępne zasoby serwerów i uniemożliwić działanie systemów lub usług w sieci. Są w stanie skutecznie sparaliżować działanie pojedynczych internautów, ale przede wszystkim firm i instytucji.
Atak polega na zdalnym wykorzystaniu przez atakujących komputerów „zombie”, rozmieszczonych na całym świecie, zainfekowanych złośliwym oprogramowaniem (m.in. trojany, malware).
Do infekcji dochodzi najczęściej poprzez otworzenie przez użytkownika złośliwego załącznika do poczty, kliknięcie w spreparowane linki z poczty i komunikatorów internetowych powodujące automatyczną instalację na komputerze złośliwego oprogramowania.
Taki trojan/malware zagnieżdża się w zasobach komputera i czeka na polecenie właściciela, czyli cyberprzestępcy. Na wydany przez kontrolującego to oprogramowanie rozkaz, dziesiątki, a często setki tysięcy zainfekowanych komputerów (botnet) bez wiedzy użytkownika w tym samym czasie próbują wysyłać żądania połączenia z będącymi celem ataku stron lub usług ofiary.
Jeśli liczba wysyłanych zapytań jest większa od możliwości odpowiedzi serwisu, ten może zawiesić swoje działanie po wyczerpaniu zasobów takich jak moc procesora, pamięci i transferu sieciowego i zablokować dostęp z i do internetu.
Urządzeniami wykorzystywanymi do ataków DDoS mogą być nie tylko komputery, ale też smartfony i tablety, a nawet urządzenia IoT (kamery IP, telewizory, routery i inteligentne czujniki i inne tego typu sprzęty), w których jest system operacyjny zdolny do wysyłania danych przez internet. Wystarczy, że atakujący zmodyfikują ich oprogramowanie, włamując się do nich dzięki słabym zabezpieczeniom i hasłom.
Podstawa dobrej obrony przed atakami DDoS
Ważnych jest kilka elementów:
- monitorowanie podejrzanych wzrostów ruchu,
- wiedza o możliwych przyczynach i skutkach oraz przygotowanie planu reakcji na takie incydenty.
– Dobrym rozwiązaniem jest możliwość zwiększenia mocy obliczeniowej w momencie ataku oraz ukrycie się za narzędziem, które poprawia bezpieczeństwo stron internetowych i chroni je właśnie przed atakami DDoS. Istotna jest także ochrona po stronie usługodawcy, który w przypadku wykrycia ataku reaguje — sam bądź z naszą pomocą – podkreślił Robert Grabowski.