Wyobraź sobie, że pewnego dnia pod siedzibą Twojej firmy pojawia się kilkutysięczny tłum, który o ściśle wyznaczonej godzinie próbuje sforsować drzwi, aby wejść do środka. Kilku osobom może nawet się uda, jednak sytuacja z całą pewnością doprowadzi do zatoru. O ile wystąpienie takiej sytuacji jest mało prawdopodobne w rzeczywistości, o tyle w sieci możesz spotkać się z analogicznym, choć mającym jeszcze większą skalę przypadkiem – atakiem DDoS.
Celem ataków DDoS jest przeciążenie serwera, a tym samym czasowe zablokowanie dostępu do strony internetowej lub sklepu internetowego. Jeżeli serwer jest urządzeniem fizycznym, w skrajnych przypadkach może dojść nawet do jego uszkodzenia. Niezależnie od skali, niesie to za sobą poważne skutki finansowe – w wielu przypadkach nawet godzinna przerwa w funkcjonowaniu danej witryny powoduje duże straty finansowe dla przedsiębiorcy. Ucierpieć może również wizerunek firmy, np. poprzez utrudniony kontakt z klientem lub problemy ze złożeniem zamówienia.
Celem jest wyłączenie strony z użytku?
Warto zaznaczyć, że każdy serwer, na którym znajdują się strony internetowe, ma ograniczone zasoby, takie jak moc obliczeniowa, pamięć czy limity transferu danych. W większości serwery są przystosowane do przetwarzania dużych ilości danych, jednak bywa, że zapytań jest za dużo. Wówczas zasoby się wyczerpują, a strona przestaje działać. Właśnie na tej logice opierają swoje działania hakerzy, którzy dążą do czasowego zablokowania stron internetowych poprzez atakowanie serwerów.
Gdy działanie tego typu przeprowadzane jest na niewielką skalę, mamy do czynienia z atakiem DoS (z ang. denial of service – odmowa usługi). Mówimy o nim, gdy haker używa tylko jednego urządzenia do przeciążenia aplikacji serwera. Sytuacja taka potrafi być uciążliwa, jednak odpowiednie zabezpieczenia są w stanie zareagować i w porę zamknąć takie połączenie.
Sytuacja komplikuje się jednak, gdy do powyższego działania dochodzi element rozproszenia. Przeprowadzony wówczas atak DDoS (distributed denial of service) ma dokładnie ten sam cel – haker chce wywołać sztuczny ruch na stronę i przeciążyć serwer. Dokonuje tego jednak w formie zmasowanej, używając setek, a nawet tysięcy komputerów. Wówczas serwer, na którym znajduje się atakowana strona, znacznie spowalnia, powodując długi czas ładowania strony lub wręcz całkowite jej wyłączenie na określony czas. Największy dotychczasowy atak DDoS miał przepustowość aż 2,3 TB na sekundę, a jego celem padła strona Amazon Web Services, która na szczęście skutecznie poradziła sobie z naporem.
Możesz być atakowanym lub atakującym
Aby przeprowadzić atak DDoS, haker musi najpierw stworzyć armię komputerów, która będzie stanowiła źródło „bombardowania”. Tworzenie takiej sieci zakłada rozprowadzenie w internecie złośliwego oprogramowania. Można się na nie natknąć np. w załącznikach niechcianych maili lub na spreparowanych stronach internetowych.
Gdy oprogramowanie zainfekuje komputer, pozostaje na nim w trybie uśpienia – często bywa niewykryte przez długi czas. Dopiero w odpowiednim momencie haker uruchamia sieć zainfekowanych urządzeń, zwaną botnetem. Oprogramowanie w tym samym momencie uruchamia się na komputerach niczego nieświadomych użytkowników i zaczyna przeprowadzać zmasowany ruch na wybraną stronę, powodując niemal natychmiastowe przeciążenie serwera.
Akcja powoduje zapchanie sieci i wyłączenie jej z użytku na czas, przez jaki może trwać atak – najczęściej od kilku godzin do nawet kilku dni, w zależności od intencji hakera. Skala ataku zależy także od wielkości botnetu – jednym z największych jest obecnie Trickbot, który w ciągu kilku ostatnich lat zainfekował już ponad milion urządzeń. Tego typu sieci stanowią jedno z największych zagrożeń cyfrowych we współczesnym świecie.
Z jakimi rodzajami DDoS można się spotkać?
Choć logika działania hakerów przeprowadzających ataki DDoS jest dość prosta, istnieje kilka sposobów na osiągnięcie celu przez napastnika:
- atak wolumetryczny – ma on na celu przeciążenie przepustowości strony internetowej lub spowodowanie problemów z jej działaniem poprzez wykorzystanie ogromnych ilości danych przesyłanych do ofiary za pomocą aplikacji lub żądania z botnetu
- atak z wykorzystaniem protokołu – skierowany jest na warstwę sieciową docelowego urządzenia; wykorzystuje firewalle oraz inne zasoby serwera, wysyłając więcej danych, niż porty sieciowe są w stanie unieść
- atak w warstwie aplikacji – dość wyrafinowany i przeprowadzany zazwyczaj na mniejszą skalę atak, którego celem jest zniszczenie strony internetowej przez awarię serwera
Hakerzy są również w stanie intensyfikować podejmowane działania, stosując np. flood (zalanie). W tym przypadku zainfekowane komputery wchodzą na stronę internetową i odświeżają ją kilkakrotnie w ciągu sekundy, doprowadzając do szybkiego przeciążenia serwera.
Bądź czujny, gdy Twoja strona spowalnia
Atak DDoS potrafi zablokować stronę internetową na wiele godzin, dlatego warto mieć przygotowany plan reagowania w przypadku jego wystąpienia. Warto, aby Twoi pracownicy byli przeszkoleni na wypadek takiej sytuacji, a dane oraz infrastruktura sieciowa były zabezpieczone.
Oprócz tego warto podjąć poniższe kroki:
- upewnij się, że Twoja strona działa na serwerach o wysokiej przepustowości
- zadbaj o dobre oprogramowanie antywirusowe i skonfiguruj sprzęt sieciowy przed atakiem
- korzystaj z rozwiązań chmurowych, gdzie aplikacje są w stanie absorbować złośliwy ruch zanim atak dotrze do miejsca docelowego
- regularnie monitoruj ruch na swojej stronie internetowej pod kątem nietypowych działań, np. nagłych wzrostów lub spadków ruchu
Jako użytkownik, unikaj również klikania w nieznane linki lub pobierania załączników e-mail, których się nie spodziewasz. Nawet jeśli nie oznacza to zagrożenia atakiem DDoS wymierzonym w Twoją stronę, może doprowadzić do zainfekowania komputera, a tym samym włączenia go w szeregi armii, jaką haker wykorzysta do przeprowadzenia ataku na inne strony.
Im większa skala, tym bardziej skuteczny atak
Najczęściej ofiarami DDoS padają sklepy e-commerce, a także strony instytucji publicznych czy sektora finansowego. Ataki tego typu mają stosunkowo prosty charakter, a swoją skuteczność opierają na skali działania osiąganej przez wykorzystanie setek komputerów niczego nieświadomych użytkowników. Często zdarza się również, że rozproszona odmowa dostępu jest tylko zasłoną dymną – odwróceniem uwagi od właściwego ataku, którego celem może być np. wykradzenie wrażliwych danych.
Bez względu na intencje hakera, warto być przygotowanym na wystąpienie takiego zagrożenia. Odpowiednie zabezpieczenia i rozsądek w codziennych działaniach mogą oszczędzić kłopotu związanego z nagłą odmową dostępu do strony przez wiele godzin lub dni.
