Atak DoS
Atak DoS (Denial of Service) to metoda którą posługują się cyberprzestępcy w celu uniemożliwia użytkownikom dostępu do usługi. Najczęściej dzieje się to poprzez przeciążenie zasobów fizycznych serwera świadczącego usługę lub przeciążenie połączeń sieciowych. Przeciążenie fizycznych zasobów usługi z powodu występowania wielu żądań w tak krótkim czasie, wypełnia całą dostępną pamięć, spowalnia przetwarzanie lub wyczerpuje przestrzeń dyskową. W skrajnych przypadkach może to doprowadzić nawet do uszkodzenia fizycznych elementów obsługujących te zasoby.
Atak typu DoS można porównać do ulewy zapychającej studzienki ściekowe. Atakujący „zalewa” usługę taką dużą ilością ruchu lub danych, że inni użytkownicy nie są w stanie z niej korzystać. Potrwa to tak długo, aż złośliwy ruch nie zostanie obsłużony, a w ekstremalnych przypadkach może spowodować długotrwałą niedostępność.
Ataki Denial of Service (odmowa usługi) i są znane od bardzo dawna, ale nadal stanowią jedno z najpoważniejszych zagrożeń dla firm. Jednym z bardziej znanych ataków tego typu był atak Ping of Death – atak, który ma na celu zakłócenie pracy maszyny docelowej poprzez wysłanie pakietu większego niż maksymalny dopuszczalny rozmiar. Wysładnie takiego pakietu, mogło powodować zamrożenie lub awarię maszyny docelowej. Oryginalny atak Ping of Death jest dziś mniej popularny. Bardziej rozpowszechniony jest pokrewny atak znany jako atak ICMP flood.
Czym różni się DoS od DDoSD
Dodatkowy literał D w skrócie DDoS oznacza Disturbed (rozproszony). Atak DDoS to nic innego jak DoS realizowany w formie rozproszonej. Oznacza to że atakujący wysyła ruch nie z jednego ale równolegle z wielu różnych źródeł/lokalizacji. Atak DDoS może realizować pojedynczy komputer/serwer, który wysyła swoje pakiety różnymi trasami, poprzez użycie serwerów pośredniczących. Typowym atakiem DDoS jest jednak atak realizowany przez wiele komputerów/serwerów, które znajdują się pod kontrolą atakującego. Często są to tak zwane maszyny „zombie”.
Ataki DoS i DDoS objawiają się w różnej formie a ich celem jest zawsze zakłócenie usługi poprzez przeładowanie sieci, wpływając na zasoby systemowe bądź aplikacji. W wyniku tego typu ataków firmy i organizacje często ponoszą duże straty finansowe, gdyż w wyniku braku dostępności do oferowanych przez firmą usług spada produktywność i zaufanie do marki.
Warto wspomnieć, że niektóre złośliwe programy zawierają możliwość przeprowadzania ataków DoS. Po zainfekowaniu komputera lub urządzenia, mogą on wykorzystywać zasoby zainfekowanej maszyny do przeprowadzenia ataku. Taki komputer staje się częścią Botnetu i jest wykorzystywany do przeprowadzania ataków DDoS. Dlatego tak ważnym jest zachowanie uwagi przy instalowaniu oprogramowania na każdym urządzeniu i nie instalowanie programów z niesprawdzonych źródeł.
Botnet Mirai
Mirai to botnetem, który powstał w 2016 r. Obrał za celem dostępne w internecie urządzenia IoT oparte o system operacyjny Linux z zainstalowanym pakietem narzędzi uniksowych o nazwie BusyBox oraz otwartym portem usługi Telnet. Po przejęciu kontroli nad urządzeniem Mirai uruchamiał swoje podstawowe narzędzia dzięki, którym jego operator mógł prowadzić ataki typu DDoS na wskazane przez siebie cele. Skala botnetu była ogromna i w szczycie wynosiła około 380 tys. zainfekowanych maszyn. Botnet był w stanie generować ruch na poziomie Terbajtów danych na sekundę. Co w 2016 roku stanowiło ogromne zagrożenie dla każdego dostawcy internetu.
Jak rozpoznać atak DDoS
Najbardziej oczywistym objawem ataku DDoS jest to, że witryna lub usługa nagle spowalnia lub staje się niedostępna. Ponieważ problemy z wydajnością nie koniecznie muszą oznaczać atak, zwykle konieczne jest przeprowadzenie dokładnej analizy. W tym celu nieodzowną pomocą są narzędzia do analizy ruchu, mogą one pomóc w wykryciu niektórych z charakterystycznych oznak ataku DDoS:
- Podejrzane ilości ruchu pochodzącego z jednego adresu IP lub zakresu IP
- Natłok ruchu od użytkowników, którzy dzielą jeden profil behawioralny, taki jak typ urządzenia, geolokalizacja lub wersja przeglądarki internetowej
- Niewyjaśniony wzrost liczby żądań do pojedynczej strony lub punktu końcowego
- Nietypowe wzorce ruchu, takie jak skoki w niespotykanych porach dnia lub wzorce, które wydają się nienaturalne (np. wzmożony ruch w określony porach – co 30 minut itp.).
