DDoS, czyli Distributed Denial of Service, to rodzaj cyberataku mający na celu zablokowanie dostępu do usług lub zasobów sieciowych poprzez ich przeciążenie nadmierną ilością żądań. Ataki DDoS stają się coraz bardziej powszechne – sam Cloudflare zauważył 20-procentowy wzrost u swoich klientów w porównaniu z 2023 rokiem.

W artykule opowiemy jakie są rodzaje ataków DDoS oraz w jaki sposób można sobie z nimi radzić. Opiszemy także wady i zalety poszczególnych metod ochrony i wskażemy tę, która naszym zdaniem jest najbardziej skuteczna.

DDoS vs DoS

Ataki DDoS (Distributed Denial of Service) rozwinęły się z prostszych ataków DoS (Denial of Service), których historia sięga lat dziewięćdziesiątych. W porównaniu do DoS, ataki DDoS są bardziej złożone, szybsze i trudniejsze do zatrzymania.

Podstawą ataku DoS jest zalewanie serwera ogromną liczbą zapytań, co prowadzi do jego przeciążenia i tym, że przestaje odpowiadać. Dziś wykonanie takiego ataku jest niezwykle łatwe i dostępne dzięki narzędziom takim jak np. Low Orbit Ion Cannon. Wystarczy wpisać adres IP lub URL, który ma być zaatakowany. Należy jednak pamiętać, że takie działanie, o ile nie jest częścią testowania własnej infrastruktury, jest niezgodne z prawem.

Z perspektywy cyberprzestępców, ataki DoS mają swoje wady. Są stosunkowo łatwe do powstrzymania, ponieważ pochodzą z jednego adresu IP – wystarczy dodać ten adres do czarnej listy, aby zablokować ruch z niego na firewallu. Ponadto, by skutecznie przeprowadzić atak DoS, napastnik musiałby mieć większą przepustowość łącza niż ofiara. Dlatego ataki DoS są obecnie mniej efektywne i coraz częściej ustępują miejsca bardziej skomplikowanym atakom DDoS.

Czym są ataki DDoS?

Ataki DDoS (Distributed Denial of Service) również mają na celu zablokowanie działania atakowanych serwerów, ale różnią się od ataków DoS tym, że generowany ruch pochodzi z wielu źródeł jednocześnie. Cyberprzestępcy często wykorzystują do tego urządzenia IoT, które zazwyczaj mają przestarzałe oprogramowanie pełne podatności i prosty interfejs, ale są podłączone do Internetu. Wystarczy przeskanować daną adresację za pomocą narzędzi takich jak np. Shodan, aby znaleźć urządzenia takie jak drukarki czy kamery, przejąć nad nimi kontrolę i włączyć je do tzw. farmy botnetowej.

Kiedy tak połączone urządzenia generują atak DDoS, o wiele trudniej jest go zablokować. Ponieważ ruch pochodzi z praktycznie nieograniczonej liczby źródeł, blokowanie poszczególnych adresów IP nie jest skuteczne – atak może pochodzić z wielu nowych miejsc. Próba blokowania zbyt dużej liczby adresów IP może także uniemożliwić dostęp do naszej infrastruktury dla normalnych użytkowników. Dlatego blokowanie ataków DDoS w warstwie trzeciej nie jest najlepszym rozwiązaniem; może prowadzić do sytuacji, w której razem z złośliwym ruchem blokujemy dostęp do usługi dla prawdziwych użytkowników, myląc się co do skuteczności naszej obrony.

Rodzaje ataków DDoS

Atak wolumetryczny

Atak wolumetryczny polega na zalewaniu łącza ofiary ogromną ilością ruchu, często mierzoną w gigabitach na sekundę (Gbps). Efektem jest całkowite wysycenie łącza, co uniemożliwia normalną komunikację. Choć ataki te są dość archaiczne, wciąż są stosowane, ponieważ są stosunkowo łatwe do wykonania a ich koszt nie jest wysoki.

Jednym z przykładów ataku wolumetrycznego jest tzw. atak SYN FLOOD, który jest jednym z najbardziej popularnych ataków w sieciach komputerowych. Polega on na wysyłaniu do serwera dużej liczby zapytań typu SYN, które sygnalizują chęć nawiązania połączenia. Serwer, otrzymując te zapytania, odpowiada zgodnie z protokołem TCP, wysyłając pakiety SYN-ACK do nadawcy zapytania. Jeśli atakujący nie odpowiada na te pakiety, a liczba zapytań ciągle rośnie, tablica połączeń serwera może ulec przepełnieniu. W rezultacie serwer przestaje akceptować nowe połączenia i pozostaje w trybie oczekiwania na pakiety ACK, które nigdy nie nadejdą.

Atak protokołowy

To bardziej skomplikowany rodzaj ataku DDoS, który opiera się na wykorzystaniu słabości i podatności w implementacji protokołów sieciowych. Polega on raczej na sprytnym omijaniu zabezpieczeń, aniżeli na brutalnym zalewaniu ruchem.

Przykładem ataku protokołowego może być tzw. DNS amplification. Polega on na tym, że atakujący przy pomocy farmy botów wysyła do konkretnych serwerów DNS zapytanie, w którym podszywa się pod adres IP ofiary. W wyniku tego działania, atakowany serwer otrzymuje bardzo dużo odpowiedzi z serwera DNS na pytanie, którego nigdy nie zadał. Wszystkie te odpowiedzi musi przyjąć i przetworzyć, a to z kolei powoduje wysycenia łącza.

Atak aplikacyjny

To rodzaj ataku, który celuje w warstwę siódmą modelu ISO/OSI, czyli w same aplikacje webowe. Jego celem jest wyczerpanie zasobów serwerów aplikacyjnych, takich jak wątki, procesy, pamięć czy połączenia z bazą danych.

Atak low and slow

To bardzo podstępny rodzaj ataku DDoS, który charakteryzuje się tym, że architektura sieciowa jest powoli i systematycznie zalewana skomplikowanymi zapytaniami, sesje są sztucznie podtrzymywane, a ilości danych przesyłanych w konkretnych sesjach bardzo duże. Wszystko to powoduje, że ruch generowany przez atakującego nie odbiega parametrami od normalnego, dlatego trudno jest je rozróżnić bez specjalnych narzędzi.

Jak skutecznie chronić organizacje przed atakami DDoS?

Ochrona on-premise

Są to narzędzia umieszczone w lokalnej infrastrukturze sieciowej takie jak firewalle, systemy anty-DDoS czy inne urządzenia brzegowe, które mogą pomagać w ochronie przed mniejszymi atakami. Ich skuteczność jest jednak ograniczona w przypadku dużych ataków wolumetrycznych, które przekraczają przepustowość dostępnych łączy internetowych.

Ochrona od operatorów lokalnych

Można również skorzystać z ochrony przed atakami DDoS oferowanej przez operatora sieci. Najczęściej jest to usługa filtrowania ruchu, która eliminuje złośliwe pakiety już na poziomie sieci operatora. Takie rozwiązania są zazwyczaj bardziej efektywne niż lokalne systemy ochrony, ale również mają swoje ograniczenia. Często polegają na blokowaniu określonych klas adresowych, co może prowadzić do problemów z dostępnością usług dla użytkowników korzystających z tych samych adresów.

Niektórzy operatorzy oferują bardziej zaawansowane rozwiązania, które analizują ruch sieciowy w tzw. Scrubbing Center. W tym miejscu dochodzi do szczegółowej analizy, czy dane pakiety są częścią ataku, czy legalnego ruchu. Niestety, w zależności od dostawcy usługi, proces analizy może zająć kilkanaście minut, co sprawia, że takie rozwiązanie może nie być wystarczająco skuteczne w przypadku krótkich, ale intensywnych ataków.

Ochrona przez Content Delivery Network

Content Delivery Network to w naszej opinii jedno z najbardziej efektywnych rozwiązań w ochronie przed atakami DDoS. CDN rozprasza ruch na setki serwerowni na całym świecie, co pozwala na rozproszenie ataku i zminimalizowanie jego wpływu na konkretne serwery. Przykładem skutecznej usługi CDN jest rozwiązanie od Cloudflare. Jest to rozwiązanie oparte na sieci serwerowni rozmieszczonych na całym świecie, z których każda wyposażona jest w Scrubbing Center, dzięki czemu oferuje szybką mitygację ataków – w ciągu kilku sekund.

Jeśli chcesz dowiedzieć się więcej o atakach DDoS i jak Cloudflare może pomóc – obejrzyj webinar “Dlaczego rozwiązania anty-DDoS od operatorów lokalnych są nieskuteczne?”.

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.