DDoS ili Distributed Denial-of-Service napadi su već preko 20 godina sastavni dio “kriminalnih” aktivnosti raznih hakera, no s godinama su njihove metode i napadi evoluirali i postaju sve profinjeniji i snažniji.
Što je (D)DoS napad?
DDoS (Distributed Denial of Service) je napad u kojem napadač ili više njih pokušavaju učiniti određeni servis nedostupnim za ostale korisnike. DDoS napad se može izvršiti na server, servise, uređaje, mrežu, aplikacije, pa čak i na određenu vrstu transakcija na Internetu u nekoj aplikaciji. U DDoS napadu zapravo napadač (ili napadači) šalje maliciozne podatke ili zahtjeve (request) prema određenoj meti.
Generalni cilj takvog napada je zatrpati sustav sa zahtjevima. Kada npr. prema web serveru šaljete velike količine zahtjeva, vrlo vjerojatno će se srušiti. Ista stvar je i s bazom podataka. Ako ona bude morala raditi ogromne upite i tako stotine ili tisuće puta u sekundi, velika je šansa da prestane raditi jer neće moći sve procesuirati.
Samim time će i CPU i RAM-i na serveru raditi na maksimumu, Internet bandwidth će biti na maksimumu itd. To znači da nitko ne može pristupiti određenim Internet resursima (serveru, web stranici, bazi podataka, servisu …). I onda često čujete da je određeni servis nedostupan i da je “pao”. A kada određeni servis ne radi – on gubi novce.
Simptomi
DDoS napad je ponekad teško prepoznati jer su to sve “legitimni” zahtjevi od legitimnih korisnika, odnosno jako je teško zaključiti da se događa DDoS napad. Ponekad stranice “padaju” jer ne mogu izdržati overload i ne mogu procesuirati sve zahtjeve, dok je to ponekad sve planirano od strane hakera ili hakerske grupe. Simptomi su, kao što smo rekli, nedostupan servis, server, web stranica, aplikacija … pojednostavljeno – nedostupan mrežni resurs.
DDoS napadi danas
U ranim 2000.-im godinama, mladi kanadski srednjoškolac Michael Calce (a.k.a. MafiaBoy) je izveo jedan od najvećih napada ovog tipa, a meta mu je bila Yahoo!. S tim DDoS napadom je Yahoou pao vodeći server koji je držao dobar dio servisa online. No, on tu nije stao.
Unutar jednog tjedna isto je pokušao i s Amazonom, CNN-om, eBayom i svuda je bio isti rezultat. To nije bio prvi DDoS napad, ali je bio najviše medijski eksponiran i vrlo uspješan, te je zauvijek promijenio neke stvari. Odjednom su C-level menadžeri morali naći načina da zaštite svoje poslove i kompanije.
Od tada DDoS napadi su počeli evoluirati i postali su sastavni dio “hakerskih” aktivnosti, te jedan od najčešćih vrsta napada. Ne samo na kompanije nego i na državne institucije, druge države i slično.
90.-ih godina dovoljno vam je bilo oko 150 zahtjeva u sekundi da srušite cijeli sustav. Danas to mora biti jače od 1000 Gbps, što znači da vam treba ogromna mreža botova.
Jedan od najnovijih DDoS napada se dogodio prije godinu dana kada je napadnu Dyn DNS (sada je to Oracle DYN) koji je bio zatrpan desecima milijuna requestova s milijuna IP adresa.
Ovaj napad je napravljen kroz Mirao botnet koji je inficirao preko 100.000 IoT uređaja, a u svom maksimumu je imao oko 400.000 botova. Ti napadi su pogodili Amazon, Netflix, Reddit, Spotify, Tumblr, Twitter i mnoge druge popularne stranice.
Mirai botnet mreža nije jedina takva. Sigurnosni timovi kompanija Akamai, Cloudfarea, Flashpointa, Googlea … su otkrili slične botnet mreže slične veličine i razne istrage su u tijeku.
Alati za DDoS napade
Tipično, DDoS se izvodi uz pomoć botnet mreže – kolekcije mreža u kojoj se nalaze zaraženi uređaji koji su centralno kontrolirani. Ti inficirani uređaji su najčešće serveri i računala, ali sve je više i IoT i mobilnih uređaja. Napadači “dobiju” vaše računalo u svoju botnet mrežu i onda na određenu centralnu komandu, sva računala u toj zaraženoj mreži napadaju određene mete da vi to niti ne znate.
Kako računalo postane dio botnet mreže? Tako što ga napadač zarazi putem malwarea i drugih infekcijskih tehnika. Često i hakeri koji “posjeduju” botnet mrežu unajmljuju istu za ogromne novce drugim hakerima.
Tipovi DDoS napada
Postoje tri primarne klase DDoS napada. Prvi su oni koji koriste ogromne količine prometa kako bi “ugušili” server zahtjevima, pri čemu koriste ICMP, UDP i druge pakete. Drugi tip DDoS napada su oni koji koriste mrežne pakete kako bi targetirali određenu mrežnu infrastrukturu i alate za upravljanje infrastrukturom.
I na kraju, tu su još i napadi koji ciljaju organizacijski aplikacijski sloj, no cilj svih napada je isti – onemogućiti servis ili određene mrežne resurse, samo im je način onesposobljavanja drugačiji.
Kako DDoS napadi evoluiraju
Kao što smo spomenuli, sve češće postaju situacije kada napadači “unajmljuju” botnet mreže za napade. Očekujte da će taj trend rasti. Drugi trend koji je u porasti je napadanje više meta kako bi određena organizacija ili servis pali. To se često naziva i Advanced Persistent Denial-of-Service (APDoS).
Takvi napadi su često usmjereni na aplikacijski sloj koji pogađa aplikaciju i bazu podataka na određenom serveru. Ali to ide dalje od samog “zatrpavanja” servera. Često se ne napada sama meta, nego i davatelj usluge i cloud provideri i takvi napadi su odlično koordinirani.
Mnoge organizacije su zabrinute jer znaju da kada njih napadnu, napasti će i njihove partnere, dobavljače i sve one koji su povezani s njima što se odražava na sam biznis.
To znači da organizacijama nije problem samo njihova sigurnost i razina zaštite (koja može biti prvoklasna), nego je problem i sigurnost njihovih partnera koja ne mora uvijek biti najbolja moguća.
Ostaje nam samo vidjeti u kojem smjeru će ovo ići i tko će pobijediti – sigurnost ili botnet mreže i kako će se kompanije/organizacije obraniti od takve količine podataka.
Piše: B.P.
