Як працює DDos-атака та як від неї захиститися? Погляд зсередини

22 липня 1990 року – дуже важлива подія в історії обчислень. У цей момент Міннесотський університет раптово атакували з мережі 114 комп’ютерів, що були заражені шкідливим скриптом Trin00. Через 20 років дослідники з Віргінського університету Ерік Остервіл (Eric Osterweil) та Джордж Мейсон (George Mason) вивчили причини DDoS-атак та їх розвиток. Чи можна розв’язати основні проблеми архітектури мережі, аби уникнути DDoS-атак?

Код змусив заражені комп’ютери у великих об’ємах надсилати пакети даних до університету, саме через це його комп’ютер був перевантажений та не міг опрацьовувати нормальні запити. Таким чином атака вимкнула університетський комп’ютер на два дні.

Це була перша DDoS-атака, але ця методика швидко поширилась далі. За декілька наступних місяців таку атаку здійснили на інші відомі сайти, такі як Yahoo, Amazon та CNN.

Відтоді DDoS-атаки стали звичайним явищем. Хакери й сьогодні вимагають у сайтів гроші, погрожуючи їх зламати. Вони навіть продають свої послуги у даркнеті. 24-годинна DDoS-атака коштує «всього лише» $400.

Але для жертв наслідки можуть бути дуже серйозними, а саме втрати доходу та репутації. У зв’язку з цим з’явився ринок кібербезпеки, який захищає від такого типу атак. У 2018 році такий ринок оцінювався у 2 млн євро. Все це приводить до дуже важливого питання про те, чи можна щось зробити, аби уникнути таких дій.

Для початку, варто зрозуміти яким чином це все відбувається. DDoS-атаки зазвичай поділяються на декілька стадій. На першому етапі хакери заражають комп’ютер спеціальним програмним забезпеченням, яке повинно поширитися всією мережею. Перший комп’ютер, який було пошкоджено вірусом називають «майстром» так, як він може контролювати кожен пристрій, на який поширився вірус. Інші комп’ютери відтворюють саму атаку, їх називають «демонами» або ж «зомбі».

Звичайними жертвами на першому етапі являються університетські мережі, оскільки вони приєднані до цілої низки інших пристроїв.

DDoS-атака починається саме тоді, коли «майстер» надсилає команду «демонам» з адресою цілі атаки. З цього моменту «Демони» починають надсилати величезні потоки пакетів даних на цю адресу. Їх мета перевантажити комп’ютер трафіком на тривалість атаки.

Зловмисники ретельно приховують своє місцеперебування та особистість. Наприклад, демони дуже часто використовують техніку спуфінгу IP-адрес, щоб приховати свою адресу в інтернеті. «Майстра» також знайти дуже складно, тому, що йому потрібно надіслати лише одну команду, аби запустити DDoS-атаку. До того ж, хакери можуть вибрати «демонів», що знаходяться в інших країнах, але фізично живуть зовсім в іншому місці.

Захиститися від інтернет-атак складно. Спочатку потрібно передбачити створення цілої мережі «демонів». Для цього системні адміністратори постійно повинні оновляти програмне забезпечення та слідкувати за гігієною користувачів в мережі – для прикладу, потрібно змінювати паролі.

Інтернет-провайдери також можуть надати певний захист. Їх роль полягає в передачі пакетів даних з однієї частини мережі в іншу в залежності від адреси в заголовку кожного пакета даних. Зазвичай це відбувається без аналізу того, звідки прийшов пакет.

Але це може змінитися. Найменування містить в собі адресу не лише цілі як такої, але й самого джерела. Таким чином, в теорії інтернет-провайдери можуть перевірити адресу джерела та заблокувати пакети даних, якщо їх адресант здається дуже сумнівним.

Весь цей процес доволі дорогий та часозатратний. Оскільки провайдери зрідка являються цілями DDoS-атак, вони не зацікавлені в застосуванні таких процедур.

У кінцевому результаті, сама ціль може щось зробити для того, аби пом’якшити ситуацію після атаки. Одним з цих способів – фільтрувати пакети даних. Це спрацює, якщо їх легко виявити у потрібний час та мати в наявності деякі обчислювальні ресурси, які зможуть впоратися з великим потоком трафіку.

Але вони теж коштують недешево та їх потрібно постійно оновлювати. Велику частину часу вони ніяк не використовуються, починають працювати лише під час самої DDos-атаки. Але навіть у таких випадках такі міри не завжди ефективні.

Ще один варіант — це делегувати проблему на аутсорсинг так званій «хмарі», яка краще справляється із захистом від хакерських загроз. Проте, це не завжди теж працює, особливо якщо атака величезних розмірів.

Тут випливає питання про те, чи можна зробити що-небудь в цій ситуації. Як можна покращити інфраструктуру мережі, аби вона розв’язувала проблему DDoS-атак?

Важлива складова полягає в тому, що атака, як і захист, асиметричні один іншому. Зазвичай DDoS-атаку запускають велика кількість «демонів» по всьому світі, а захищається від неї лише один вузол.

Існує декілька варіантів розв’язання цієї проблеми. Один з них – це спростити для інтернет-провайдерів процес фільтрування заражених пакетів даних.

Ще одна ідея – це зробити пакети даних такими, що відстежуються. Кожен провайдер зможе помітити вибірку пакетів даних, щоб згодом можна було відновити їх маршрут. Це дозволить жертві й правоохоронним органам відстежити джерело атаки навіть після її закінчення.

У цих ідей існує потенціал зробити інтернет безпечнішим місцем. Але вони вимагають загальних зусиль та бажання хоч щось змінити. Остервіл разом із колегами вважають, що прийшов час для рішучих дій:

«Дослідницька спільнота – наша головна надія, лише експерти можуть прийняти цей виклик».

БІЛЬШЕ ЦІКАВОГО:

Джерело: Medium

Читайте также:

Чому варто оновлювати програмне забезпечення на пристроях Android?

Як захистити свої дані? Нотатки параноїка

Google навчить дітей, як визначати дезінформацію і фейкові новини

Про критичність кіберзахисту в сполученому світі